Du understøtter nasjonal sikkerhet
Hvorfor velger myndighetene å dele en rapport som denne med offentligheten? Motivasjonen deres for å dele denne informasjon er å trene opp den norske befolkningen i digital sikkerhet. Gjennom Risiko 2024 får de vist frem risikoene vi står ovenfor hvis den norske befolkningen fortsetter som de alltid har gjort. Håpet til myndighetene er nok at rapporten vil åpne øynene til bedrifter og enkeltpersoner som ikke tenker på eller bryr seg om digital sikkerhet i dag. Vi som jobber med IT-sikkerhet hver eneste dag drømmer om at alle tenker på digital sikkerhet på samme måte som folk automatisk låser døren, installerer alarm eller leier inn et vaktselskap til bedriften sin.
I rapporten går sikkerhetsaktørene langt i å fortelle hvorfor hvert enkelt menneske og hver enkelt bedrift har et ansvar. Det norske næringslivet understøtter nemlig nasjonal sikkerhet, -men hva betyr det?
Næringslivet i Norge kjøper av hverandre på kryss og tvers. Vi har opptil flere underleverandører på listen vår som sikrer at vi kan levere det vi skal til vårt marked. Så hvordan påvirker det sikkerheten? Jo, det mange glemmer i jakten på en underleverandør er å sjekke sikkerhetsrutinene deres. For selv om du og dine ansatte har de beste rutinene og er så strenge som dere kan, så har dere fortsatt sikkerhetshull. De befinner seg nedover i leverandørkjeden.
Underleverandører kan bli hacket og miste alt, inkludert dine data, tegninger, oppskrifter og annen virksomhetskritisk informasjon. Eller de kan få en rekke målrettede phishingangrep (mail-svindel) mot seg og bli bedt om å betale ut penger, betale falske fakturaer eller dele konkret informasjon om deg. Plutselig går de konkurs fordi store summer har forsvunnet, eller kanskje du blir hacket fordi de delte den informasjonen hackerne trengte for å nå akkurat deg.
Hos deg og underleverandørene dine jobber det mennesker som må læres opp i digital sikkerhet. Som virksomhet må dere ta ansvar for deres digitale sikkerhet og holde underleverandørene deres ansvarlige. På den måten kan vi sikre det norske næringslivet i mye større grad. I et sikkerhetsperspektiv er kunnskap makt. Kompetansen til å gjenkjenne phishing-angrep, falske nettsider og andre lurerier kan redde virksomheten din. Som en bonus kan du redde bestemor fra prinsene i Nigeria også. Er ikke det fint?
La oss se på de seks tingene du må vite
1. Få oversikt over det du er avhengig av for å drive.
Kartlegg verdier, tjenester og produkter som er grunnleggende for å drifte virksomheten din. Identifiser potensielle trusler, enten det er fra eksterne kilder som hackere eller interne risikofaktorer som ansattes kunnskap og kompetanse på feltet. Å kartlegge dette er avgjørende for å kunne lage en helhetlig sikkerhetsstrategi. Dette kan inkludere å gjennomføre risikovurderinger, vurdere sårbarheter i systemer og nettverk, og etablere beredskapsplaner for håndtering av potensielle angrep eller brudd på datasikkerheten. Er du nysgjerrig på hva en beredskapsplan innebærer? Les mer om det her: Beredskapsplan for IT: Hva er det og hvorfor du bør ha det
2. Er du en liten bedrift? Det tenker ikke hackerne på. Her betyr ikke størrelse noen ting. Derfor må du sørge for at du har en solid infrastruktur på plass og god sikkerhetskultur internt. For selv om små bedrifter kanskje ikke har de samme ressursene som større selskaper, er de likevel like sårbare for cyberangrep. Her gjelder det å implementere robuste sikkerhetsprotokoller, inkludert brannmurer, antivirusprogramvare, regelmessig sikkerhetsoppdateringer og opplæring av ansatte i datasikkerhet. Hvis dere ikke klarer det på egnehånd, så anbefaler vi å skaffe en IT-leverandør som kan bistå dere. Dette er viktige skritt for å beskytte seg mot potensielle trusler.
3. Er du en underleverandør eller har mange underleverandører?
Da bør du ettergå rutinene dine og sørge for at samarbeidspartnerne dine gjør det samme. Dere er mest sannsynlig et fristende mål! Som en del av en forsyningskjede er du en potensiell svakhet som hackere kan målrettet jobbe seg mot for å få tilgang til større selskaper eller organisasjoner. Gjennomføring av grundige sikkerhetsrevisjoner av dine egne systemer og prosesser, samt kommunikasjon og samarbeid med dine leverandører for å sikre at beste praksis for datasikkerhet følges gjennom hele forsyningskjeden, er kritisk. Dette kan inkludere etablering av sikre kommunikasjonskanaler, implementering av strengere autentisering og tilgangskontroller, samt regelmessig revisjon av leverandørers sikkerhetspolicyer.
4. Du som enkeltperson kan være et mål.
Som enkeltperson er du også sårbar for cyberangrep, spesielt hvis du har tilgang til sensitive data eller ressurser som kan være fristende for hackere. Det er viktig å være bevisst på personvern og sikkerhetsrisikoer, inkludert å begrense delingen av personlige opplysninger på nett, alltid vær skeptisk til ukjente henvendelser eller forespørsler, og implementere robuste sikkerhetsprotokoller for enheter og kontoer du har kontroll over.
5. Kjøper du og importerer digitale tjenester fra utlandet?
Når du vurderer digitale tjenester fra utlandet, må du være oppmerksom på potensielle trusler som kan følge med. Dette inkluderer ikke bare skjulte bakdører, men også risikoen for datalekkasjer, etterretningssamarbeid og til og med sabotasje. Det er viktig at du gjør grundig arbeid og risikovurderinger før du går til innkjøp av utenlandske tjenester og inngår avtaler med utenlandske leverandører. Det du kan gjøre er å undersøke leverandørens sikkerhetspraksis, sertifiseringene deres, sjekke om det finnes tidligere sikkerhetsbrudd og deres omdømme i bransjen. I tillegg bør du vurdere å implementere tiltak hos dere som kryptering, nettverkssegmentering og overvåking for å begrense eksponeringen og håndtere eventuelle sikkerhetshendelser hvis de oppstår.
6. Cyberangrep blir mer og mer avanserte.
Med den veksten vi ser av avanserte trusselaktører og bruk av avanserte teknologier som kunstig intelligens (KI) i cyberangrep, er det nødvendig å forstå hvordan disse angrepene utvikler seg og tilpasse ditt sikkerhetsarbeid deretter. Dette krever at du får en grundig forståelse av angrepsteknikker og sårbarheter, men også lærer opp evnen din til å bruke avanserte verktøy og teknologier for å forhindre at cyberangrepene finner sted. Vi anbefaler å starte med AI og maskinlæring. Bli godt kjent med verktøyene før du beveger deg videre. På sikt kan du bruke AI for å oppdage unormale aktiviteter og avvik i nettverkstrafikken din, og utvikle adaptive forsvarstiltak som kan tilpasse seg og respondere løpende på trusselaktørers taktikker. Å investere i forskning, opplæring og samarbeid med sikkerhetseksperter er viktig for å holde tritt med den stadig skiftende naturen til cybertrusler og beskytte din virksomhet mot fremtidige angrep.
Vil du lese rapporten selv? Den finner du her: Risiko 2024.