Hvordan ruste virksomheten din mot cyberangrep?

av Birgitte Bøe - Rådgiver for informasjonssikkerhet
| minutter å lese

Cyberangrep kan neppe unngås, du kunne takle det når det kommer. Men hvordan får du med alle i virksomheten, slik at konsekvensene av angrep blir minst mulig? 

  • Februar i år: Politiets sikkerhetstjenestes (PST) trusselvurdering slår fast at statlig etterretning er den største trusselen mot norske virksomheter. 

  • Samme måned: Russland invaderer Ukraina. Ringvirkningene medførte at virksomheter i Norge måtte øke sin digitale sikkerhet.  

I dag er ikke situasjonen bedre. Cyberangrep har blitt hverdagskost, påpeker Nasjonal Sikkerhetsmyndighet (NSM). Krigføring i Ukraina, gasslekkasje i Østersjøen og observasjoner av uidentifiserte droner på norsk sokkel viser også at risikobildet stadig skifter. 

Norske virksomheter må ta grep for å redusere risikoen for cyberangrep, enten den er liten eller stor, har kritisk infrastruktur eller ei, er offentlig eller privat: Du må ha en aktiv beredskap. Her er fem viktige grep: 

1 - Forstå risikoen: Angrep kommer 

Det aller viktigste er å forstå at angrep kommer, og de kan veldig godt bli vellykket – sett fra inntrengerens side. Derfor bør man heller bygge opp en beredskap for å takle et cyberangrep enn bare å unngå det. Det er ikke snakk om et «hvis», men «når» cyberangrep skjer. Man må altså bygge opp en robusthet for å tåleet cyberangrep. Da gjelder følgende: 

2Alle må vite, alle må med 

Hver eneste ansatt med tilgang til virksomhetens systemer - fysisk eller digitalt - er en mulig åpning for angripere. Det skal ofte lite til før systemet er infiltrert. Eller infisert.  

Planleggingen må inkludere hele virksomheten, ikke bare sikkerhetsavdelingen. Alle må kjenne trusselbildet, omfanget og de mulige konsekvensene av et cyberangrep. De trenger kunnskap for å bruke den inn i sin arbeidshverdag. 

3 – Ta grep i hverdagen og øv 

Samtlige må også tenke forebygging til hverdags: Det handler ikke bare om å unngå å klikke på lenker i phishing-mail, men også for eksempel  

  • å spørre sikkerhetsavdelingen før man installerer selv et lite program på egen PC. Fagfolkene bør få vurdere risiko og tiltak heller enn å måtte reparere når cyberangrepet er et faktum. 

  • være aktiv i sikkerhetsarbeidet selv. Snakk med kollegaer om nett-trusler, også om klikketabber du har gjort, på nettsider eller i e-post. Alle har gjort det, og alle lærer av det. 

4 - Følg trusselbildet 

Derfor må man forberede, bevisstgjøre og øve sammen, så alle kan være med å redusere risikoen. Arbeidet må skje kontinuerlig; alle ansatte må være oppdatert og forberedt på aktuelle trusler. En beredskapsplan som ikke brukes aktivt, samler bare støv. 

For små virksomheter er det utfordrende å lage en god beredskapsplan bare med interne ressurser. Men man kan hente mye i mediebildet: Hvilke trusler finnes der ute? Hvordan vurderer PST og NSM bildet fortløpende og i sine årlige trusselvurderinger? Hvilke tiltak bør vi opplagt sette i gang? 

Noen tiltak er billige og enkle, som å lære alle ansatte å avsløre om en lenke faktisk peker til det den utgir seg for (nevnte jeg phishing-mail?), andre er komplekse og kostbare 

Har man ressursene, vil samarbeid med relevante responsteam (CERT-team) eller å leie inn ekstern kunnskap fra konsulenthus, bidra til å øke både kunnskapen og sikkerheten.  

5 - Fordel ansvar 

I tillegg må man peke ut eiere både for risikoene og for tiltak for å reduseredisse risikoene. Med klare roller og oppgaver vet man hvem man skal forholde seg til, og man får mye lettere oversikt over hva man skal gjøre om eller når et angrep skjer. Følelsen av kaos er knapt til å unngå, men litt orden og rutiner vil dempe panikken. 

Igjen: Øvelser er viktig, øvelse gjør mester.  

Klar for angrep 

Med en oppdatert og realistisk forståelse av risikoen ved cyberangrep, gode risikovurderinger, beredskapsplaner og flittig bevisstgjøring og ansvarsfordeling mellom alle ansatte, står virksomheten din allerede mye bedre rustet mot cyberangrep. Fokuset er på rett sted, og man vil bruke nødvendig tid og ressurser til det kontinuerlige beredskapsarbeidet. Man har en aktivberedskap, ansett hvilket nivå man klarer å legge seg på.  

Som sagt: Spørsmålet er ikke om et cyberangrep vil ramme, men når. 

 

Vil du lese mer om temaet på soprasteria.no?

Search

Se alle blogginnleggene våre