digitale-trusler

Digitale trusler krever digital beredskap

En digitalisert verden åpner mange nye og spennende muligheter. Men det dukker også opp helt nye trusler. Janne Hagen har jobbet mye med å kartlegge hvilke faktorer som kjenne­tegner vår ­digitale sårbarhet og en god digital beredskap.

– Alle typer virksomheter, både offentlige og private, må ta dette beredskapsansvaret. Vi er koblet sammen og møter de samme truslene. En digital verdikjede er aldri sterkere enn sitt svakeste ledd, understreker Hagen.

Som forsker deltok hun i regjeringens digitale ­sårbarhetsutvalg, det såkalte Lysne-utvalget, som i 2015 la frem NOU-rapporten «Digital sårbarhet – sikkert samfunn», der de foreslo tiltak for å styrke beredskapen og redusere den digitale sårbarheten i samfunnet. I tillegg har Hagen ledet Informasjons­sikkerhetsutvalget i Næringslivets sikkerhetsråd, og arbeider i dag som Sjefingeniør Beredskap i NVE – en virksomhet som i høyeste grad har samfunnskritiske oppgaver og må ta dette ansvaret på alvor.

Flere feilkilder

Lysne-utvalget pekte på noen forhold som er ­karakteristiske for digital sårbarhet: Digitale verdi­kjeder, enkeltfeil, menneskelig sårbarhet og mangel på kompetanse.

– Digitale verdikjeder er lange og krysser lande­grenser. Det gjør at vi blir eksponert for sårbarheter som oppstår i virksomheter i andre land og i andre lands infrastruktur. For en som sitter dypt nede i en slik digital verdikjede er det veldig vanskelig å forstå hva som skjer høyere oppe i kjeden og hvilke konsekvenser en svikt i den komponenten de leverer kan få for sluttbruker. Tilsvarende vanskelig er det for sluttbruker å forstå sårbarhetene som ligger dypt nede i kjeden.

– Så har vi enkeltfeil, der utvalget trakk frem Telenors kjernenett som et eksempel. Norge har bygd all sin digitale infrastruktur oppå dette nettet, noe som gjør det til en kritisk bestanddel i all digital produksjon. Om noe skjer med kjernenettet, kan konsekvensene bli store.

– Den tredje faktoren er den menneskelige sårbarheten. Når vi er i samme rom og prater sammen, ser du meg og kan verifisere at jeg er her. Men på nettet har du i beste fall et bilde på en skjerm, og i slik kommunikasjon bruker vi bare en liten del av det biologiske sanseapparatet vi er utstyrte med. I tillegg er IKT-sikkerhetskompetansen svak hos mange. Dette kan være en kilde til problemer, påpeker Hagen.

Digital beredskapsplan

Når sårbarhetene er definerte, er digi­tal beredskap et naturlig neste skritt. Hvordan skal man forberede seg på å håndtere trusselsituasjoner som kan oppstå? Innenfor de fleste sektorer gjøres det i dag risiko- og sårbarhets­analyser som avdekker forhold med høy, middels eller lav risiko. Noen kan man leve med, eller de kan håndteres der og da – men slett ikke alle.

– Analysene danner utgangspunktet for beredskapen som skal bidra til å håndtere restrisikoen. I det digitale domenet, som i det fysiske, må du tenke gjennom alle mulige situasjoner som kan oppstå, hvordan de kan håndteres, og hva slags risikoer du kan redusere eller håndtere i en beredskapsplan.

Tilgjengelighet, integritet og ­konfidensialitet
For digital beredskap er det ifølge Hagen spesielt tre dimensjoner man må tenke langs: Tilgjengelighet, integritet og konfidensialitet.

– I et samfunn der digitale tjenester skal bidra til mye av verdiskaping, helse, trygghet, og så videre, er det viktig at tjenestene er tilgjengelige. Da er vi tilbake til de mange verdikjedene, der enkeltfeil kan få store konsekvenser. Beredskap må sikre at en har systemer som gjør det mulig å få tilgang til informasjon og kommunisere, for eksempel hvis det offentlige mobilnettet skulle svikte.

– Integritet innebærer at systemet virker som det er tiltenkt. Med økt automati­sering, mer maskin-til-maskin-kommunikasjon, og «tingenes internett» der stadig mer er tilkoblet, blir integritet veldig viktig. Vi må kunne stole på ­tjenestene som blir utviklet og ha mulighet til å kontrollere gyldigheten i informasjon vi får.

Til sist er det konfidensialitet – beskyttelse av forretningshemmeligheter, personopplysninger og annen infor­masjon som ikke skal være tilgjengelig for uvedkommende. Sensitive person­opplysninger på avveie kan gi grunnlag for å utøve press mot enkeltindivider. Tilsvarende vil lekking av bedrifts­sensitiv informasjon kunne medføre tapt konkurransefortrinn.

– Personvernet er under veldig sterkt press, og personopplysninger er allerede en kommersiell vare. Visse typer person­opplysninger vi ikke ser som kritiske i dag, kan være verdifulle for en fremmed makt – enten direkte eller indirekte ved sammenstilling av data. Man kan for eksempel koble helseopplysninger med økonomisk informasjon og politiske uttalelser for å danne en profil av noen, for deretter å utøve press, påpeker Hagen.

Må ha konkrete tiltak

Men det hjelper lite å ha en beredskapsplan som tar høyde for digitale trusler og svikt i digitale system dersom planverket ikke er kjent i virksomheten. Derfor er det like viktig å øve på en digital krisesituasjon som på andre kriser, og å ha konkrete beredskapstiltak klare – både digitale og analoge.

– Et eksempel på et digitalt bered­skapstiltak er å ha en alternativ kommunikasjonskanal, for eksempel Twitter, dersom virksomhetens nettsider skulle gå ned.

– Når veldig mange ting koblet til internett og du har en stor, innovativ næring på nye tjenester, vil du få utfordringer med gammel programvare og sårbarheter. Tenk på utfordringene staten har i dag, med for eksempel skolebygg som ikke blir vedlikeholdt. Også i den digitale verden er det viktig å vedlike­holde ­systemene man har og sørge for at de blir oppdaterte. Hvis ikke blir antall sårbarheter betydelig flere. Men dette krever investeringer og driftsmidler, og jeg er spent på om de digitale bud­sjettene vil øke tilstrekkelig i årene som kommer.

Økende bevissthet

Det nasjonale samfunnssikkerhets- og beredskapsarbeidet er basert på fire prinsipper: Ansvar, nærhet, likhet og samvirke. Disse er i høyeste grad relevante også for håndtering av digitale trusler, understreker Hagen. Nærings­livets Sikkerhetsråds mørketallsunder­søkelse i 2016 viste at ca. 20 prosent av norske virksomheter hadde blitt utsatt for virus og skadevare – som bare er én type trussel.

– Jeg har inntrykk av at det generelt sett er sterkt økende bevissthet på området i dag. Så lenge fordelene er større en ulempene vil digitaliseringshjulet rulle videre, og da må hver enkelt virksomhet ta ansvar for å sikre sine systemer, avslutter Janne Hagen.