Nasjonal sikkerhetsmyndighet (NSM) har tidligere slått alarm om alvorlige hull i Norsk sikkerhet, og en fersk trusselrapport fastslår at «alle» kan sette i gang et cyberangrep. Forstår egentlig toppledelsen i norske bedrifter og organisasjoner hvilket ansvar de har?
Du er innlagt på et sykehus og klargjøres for en viktig operasjon. Men så skjer det noe uventet. Strømmen går, nødaggregatet kobles raskt inn. Operasjonen din blir utsatt, fordi strømnettet har blitt utsatt for cyberangrep. Sykehuset er usikre på kapasiteten til nødaggregatene og må prioritere pasienter som ligger på intensiven. Ingen vet hvor lenge strømmen vil være borte.
Du blir sendt hjem. Du leser i media at hackere har slått ut strømnettet til kritisk infrastruktur, blant annet ditt sykehus.
Hackere gjør enorm skade
Se for deg at systemene som styrer strømnettet har en sårbarhet som ingen kjenner til. Bortsett fra hackerne. De vet hvordan de kan mørklegge samfunnet. Sårbarheten er ukjent for leverandøren av systemet. Dette kalles en nulldagssårbarhet. Det tar cirka fire timer fra en nulldagssårbarhet blir kjent til utenforstående kan kjøpe skadevare for å utnytte den hos utsatte virksomheter. En hacker som har full kontroll over nettverket ditt uten at du vet det, kan få tilgang til mye kritisk informasjon og gjøre enorm skade.
Hvor stort er egentlig dette dette problemet?
I fjor sommer ble tolv departementer utsatt for angrep på grunn av en ukjent nulldagssårbarhet, og statsministeren gikk ut og sa: «Regjeringen er under angrep». I rapporten «Risiko 2024» fra Nasjonal sikkerhetsmyndighet trekkes også utnyttelse av nulldagssårbarheter frem som tema. Nulldagssårbarheter er åpenbart et samfunnsproblem. PST sier i årets nasjonale trusselvurdering at Kina og Russland er den største trusselaktøren for Norge. Vi vet for eksempel at Kina er interessert i norske verdier, og utnyttelse av en nulldagssårbarhet kan hjelpe til med å gi tilgang til disse.
Vi kommer til å høre mer om disse sårbarhetene fremover. Sopra Sterias trusselrapport for 2024 fastslår at «alle» kan sette i gang et cyberangrep. Toppledere i alle sektorer bør ha dette høyt på agendaen om de bryr seg om sin virksomhet. Hvis sårbarhetene ikke håndteres, kan de føre til store samfunnsmessige konsekvenser. Virksomheter som ikke tar sikkerhet inn i sin strategi, evner neppe å være forberedt når angrepet skjer. Er din bedrift forberedt?
Toppledelsen må vite hvilke verdier og systemer som er kritiske for virksomheten, og hva som kan skje hvis en hacker får kontroll. Ved å ha oversikt, kan dere raskt begrense konsekvensene.
Øv på et reelt cyberangrep
Det er dessverre ikke lenger «hvis» man blir utsatt for et cyberangrep, men «når». Det gjelder å øve, øve og øve, og dermed være klar når det skjer. Toppledelsen må delta på øvelser for å få tilstrekkelig kunnskap. Først da kan de være med på å utvikle strategier for effektiv krisehåndtering. Øvelser vil styrke toppledelsens og virksomhetens evne til å håndtere kritiske situasjoner, ta raske beslutninger og sikre kontinuitet i virksomheten.
Samarbeid og åpenhet er en kritisk faktor for å redusere de samfunnsmessige konsekvenser en nulldagssårbarhet kan gi. Alle virksomheter og ikke minst leverandører må samarbeide tett. Sårbarhetene eksisterer på tvers av sektorer, og det er gjerne en leverandør som er nøkkelen til å lage en sikkerhetsoppdatering. Å etablere møteplasser for å dele erfaringer på tvers av bedrifter, sektorer og myndigheter, er helt nødvendig for å få kontroll på nulldagssårbarhetene.
Det er også helt nødvendig å ha god oversikt over og dialog med leverandører, også de mindre. Da får man raskt tilgang til sikkerhetsoppdateringer fra leverandørene og oppdateringen må skje raskt. For la oss ta turen tilbake til sykehuset. Se for deg at operasjonen din ble utsatt på ubestemt tid, nettopp fordi sykehuset ikke hadde oversikt over leverandørene sine. Det kunne i verste fall igjen skape ringvirkninger for helsen og livskvaliteten din.
Nulldagssårbarheter skulle helst vært håndtert i går. Og helst før vi leser om det i media. Da er det for sent og konsekvensene er allerede for store.
Innlegget ble først publisert hos digi.no 5. april 2024.