Det digitaliserte Norge
Norge er et av de mest digitaliserte landene i verden. Det kan vi være stolte av, men det bærer også med seg noen mørke sider. Nordmenn flest er nemlig litt naive i møte med det vi i Braathe kaller “hverdagssikkerhet”. Mange bedrifter sitter fortsatt med ansatte som ikke har aktivert tofaktorautentisering, som ikke vet hvordan et phishingangrep kan se ut og som ikke aner hvor sårbar en organisasjon er med ansatte uten sikkerhetskompetanse. Da blir verdier potensielt eksponerte for å bli stjålet.
Det er vanskelig å fordele skylden for hvorfor vi ikke er bedre på hverdagssikkerhet, og lenge har vi kunnet unnskylde oss med at det digitaliserte Norge fortsatt er nytt. Men nå er ikke en unnskyldning lenger, det har den Europeiske Union bestemt. Nå forventes det at alle virksomheter, private som offentlige, holder en standard som er 2023 verdig.
EU tok fatt på sikkerhetskravene i året som gikk. 10. november 2022 vedtok de visse direktiver som påvirker også norske virksomheter sitt sikkerhetsarbeid. Med en rekke krav og regler vil EU gjøre alle bevisste på hvilken tid vi er i. En der cyberangrep er trussel nr. 1. Nå er det din jobb å følge direktivene!
Dette er “must have” for alle bedrifter i 2023
Sikkerhetstrening og sikkerhetshygiene er et “must have”. Mange har allerede fått satt i gang, og det på en god måte også. Det betyr likevel ikke at det holder standard. For akkurat som trening på mølla, så duger det ikke med en runde på mølla den første uka etter nyttår. Sikkerhetstrening må repeteres igjen og igjen, helt til dere har nådd målet om null uhell eller klikk som ikke skulle blitt gjort. Det må innarbeides og bli en rutine, akkurat som når du pusser tennene hver eneste kveld. Sikkerhet må testes jevnt gjennom året. Kun på den måten vet dere hvor risikoen deres ligger.
Mens sikkerhetstreningen skjer jevnt og trutt, så bør sikkerhetshygienen ivaretas hver dag. Vi ble ganske dyktige på å bruke antibac under Covid-19, nå er det tid for å bli skikkelig gode på å dobbeltsjekke mailadresser, slette shady SMS-er, følge med på hvor filer sendes og hvem som har tilgang på hva. Der har vi en lang vei å gå.
EU ønsker spesielt å stille strengere krav til bransjer som er samfunnskritiske eller “essensielle” som de sier selv. Det gjelder virksomheter som driver innen energi, transport, bank og finans, helse, digital infrastruktur og selvsagt offentlige etater. Hører du til i en av disse bransjene?
Dette er EU sine direktiver til norske bedrifter
EU vil at bedriftene skal være forpliktet til å ha en plan for:
- Risikohåndtering i møte med digitale angrep
- Rapporteringsplikt av sitt sikkerhetsarbeid
- Informasjonsdeling til ansatte, samarbeidspartnere og leverandører
EU stiller også krav til hvordan bedrifter setter opp:
- Sin hendelsesrespons hvis det verste skulle skje
- Sikkerheten i forsyningskjeden sin
- Kryptering av data i organisasjonen
- Systemer for deteksjon og varsling av sårbarheter i egne systemer og kjøpte systemer
Ikke bli en av dem som henger bakpå
Holder du deg ikke helt fremst i skoa i ditt sikkerhetsarbeide? Det kan fort bli dyrt og smake veldig vondt. Nå er tiden for å sette sikkerhetsstandarden for 2023. Digitaliseringen fortsetter, og det må du også.
Hvis du er usikker på hvor du skal starte – start her: i sikkerhetsportalen vår. Der gir vi deg noen tips og triks, forteller om tjenestene våre og gir deg flere råd gjennom bloggen vår.
Kilde til EU-direktivet vedtatt 10. november 2022: https://www.europarl.europa.eu/news/pt/press-room/20221107IPR49608/cybersecurity-parliament-adopts-new-law-to-strengthen-eu-wide-resilience
