Norge, et lett bytte for cyberkriminelle

Norge, et lett bytte for cyberkriminelle

At Norge ikke har klart å få på plass en nasjonal strategi for cybersikkerhet, gjør oss trolig til en av verdens største honningkrukker for datakriminelle og fiendtlig etterretning.

  • Sikkerhet
Motta nyhetsbrev fra Effektiv IT

Kraftsalven kommer fra spesialrådgiver innen cybersikkerhet i Watchcom Security Group, Roar Sundseth.

Sundseth er ingen hvem som helst på it-sikkerhetsarenaen i Norge. Den tidligere forsvarstoppen sto bak etableringen av Cyberforsvaret i 2012, og har lenge ivret for en nasjonal strategi innen cybersikkerhet. Han etterlyser større samarbeid på tvers av sektorer og mer åpenhet og deling av informasjon rundt sikkerhetshendelser. Sundseth delte sine bekymringer med over 400 deltakere under årets Paranoia på Folketeateret i forrige uke.

-Overdreven fokus på teknologi gir nødvendigvis ikke bedre sikkerhet. Nå er det på tide med nye tanker, påpeker Sundseth i et intervju med Effektiv IT

Bare vi har tykke nok brannmurer og antivirusprogrammer er jobben gjort. Slik er det bare ikke

- Slik jeg vurderer situasjonen i dag satser man mer eller mindre på at teknologi alene skal løse sikkerhetsutfordringene vi har, sier spesialrådgiveren i Watchcom Security Group.

Bevisstgjøring

Han fastslår at når det gjelder cyber- og informasjonssikkerhet dreier 20 prosent seg om teknologi, og 80 prosent om den menneskelige faktoren.

- Hovedbudskapet mitt er at vi er nødt til å tenke annerledes. Vi må fokusere på adferd og adferdsendringer hvis vi skal lykkes. Sundseth mener ikke at vi skal glemme teknologien. Den må brukes for å oppdage unormale hendelser, men en bevisstgjøring av den enkelte er nøkkelen, sier han.

- Vi må legge planer og prioritere virksomhetens informasjon slik at vi kan fokusere på å beskytte det vi prioriterer høyest. Vi må i tillegg vite hva vi skal gjøre når vi blir kompromittert. For det er ikke et spørsmål om hvis, men når det skjer, sier spesialrådgiveren.

Skal være et gnagsår

Sundseth mener at toppledelsen må involveres for å skape rom for debatt.

- Jeg pleier å si at cybersikkerhet må ut av serverrommet og inn i styrerommet. I dag er sikkerhet stort sett overlatt til it-drift. Dette fungerer ikke da alle må involveres for å skape en kulturendring. Derfor er dette et langsiktig og kontinuerlig arbeid. Vi må være tålmodige, men vi trenger samtidig et gnagsår i det offentlige rom, sier han.

- Det kan gjerne Watchcom være sammen med andre nasjonale aktører som tar et samfunnsansvar innenfor disse viktige og sårbare fagområdene. Cybersikkerhet er et tema som må bli debattert og holdt oppe helt til det blir like naturlig som å feste setebeltet, fortsetter Sundseth.

Statlig involvering

Sundseth er overbevist om at landets øverste myndigheter må sette en helt ny standard for hvordan vi skal forholde oss til cybersikkerhet.

- Vi må bort fra rapporter som blir utarbeidet og lagt i skuffen. Vi må gå fra prat til handling. Vi er avhengig av å dele informasjon om hva som skjer på nettet, sier han.

Sundseth er ikke overbevist om at dagens mekanismer og organisering fører frem.

- Min påstand er at vi ikke har noe organ som kan ta denne rollen i dag. Det er flere som peker på NorCERT under Nasjonal Sikkerhetsmyndighet. Dette er en viktig aktør, men ut fra mandatet og måten de er organisert på kan de gjennom endringer utrette mye mer.

Sundseth er også kritisk til sektoransvarsprinsippet i staten, hvor hvert departement selv er ansvarlig for å rydde opp ved en hendelse.

- Det er meningsløst å snakke om sektoransvar i et grenseløst domene som cybersikkerhet. Vi trenger en sterk hånd til å koordinere. Det virker som alle gjerne vil være med på å koordinere, men ingen vil la seg koordinere, sier han.

Privat sektor i Norge er preget av små og mellomstore bedrifter, hvor de aller fleste ikke har råd til en egen sikkerhetsavdeling. Både drift og it-sikkerhet settes ofte bort til andre. Her burde staten bidratt mer aktivt for å bedre sikkerheten eksempelvis gjennom en utvidet rolle for NorCERT, mener Sundseth.

Må dele informasjon

Sundseth trekker frem Finland som et godt eksempel til etterfølgelse. Der har man utarbeidet en nasjonal cybersikkerhetsstrategi som brukes til organisering og styring. I Finland deles informasjon på tvers av sektorer i mye større grad enn i Norge.

- Vi trenger mer informasjon ut i det offentlige rom. Det er vanskelig å få bedrifter til å stå frem og fortelle om datainnbrudd. Det kan være sensitivt, og man er redd for sitt omdømme. All ære til Telenor som fortalte om kompromitteringen av ledelsen i selskapet. Vi kan i ettertid si at de ikke tapte omdømme på det, snarere tvert imot, sier han.

Sundseth mener vi må bygge nettverk og mekanismer hvor bedrifter og offentlig sektor kan dele informasjon basert på tillit. Han bruker USA som eksempel hvor man har gått langt i å lovregulere plikten til å informere om hendelser. Nye lovpålagte krav er aldri populært. Sundseth har allikevel et håp om at det digitale sårbarhetsutvalget, Lysne-utvalget, kan komme med anbefalinger som staten tar til følge.

- Ser vi på historien det er ikke grunn til å være altfor optimistisk, avslutter han.

Til toppen