Med den raske teknologiutviklingen og et mer spent geopolitisk landskap, har trusselnivået for digitale angrep økt betydelig. Angrepsmetodene blir stadig mer varierte og komplekse, og datalekkasjer har blitt vanligere. I samarbeid med Accenture har FIDL utviklet tre spillbaserte datasikkerhetskurs som skal hjelpe virksomheter med å øke den generelle sikkerhetskompetansen hos de ansatte.
Økende trusselnivå
Eirik Gjesteland leder Accentures avdeling for Cyber Protection i Norden. Gjennom de siste 20 årene har han jobbet med både teknisk og organisatorisk sikkerhet i ulike virksomheter i offentlig og privat sektor. Han påpeker at det er flere faktorer som fører til et høyere trusselnivå for dataangrep.
- Samfunnet er mer og mer digitalisert, hvilket betyr en større angrepsflate for digitale angrep, men også at virksomheter er mer og mer avhengig av at IT-systemene fungerer. Dette vet angripere å utnytte. Informasjon og tilgang til den har blitt lettere omsettelig gjennom utbredelsen av kryptovaluta. I tillegg til aktører som motiveres av økonomisk vinning, ser vi både aktivister og nasjoner som bruker digitale angrep systematisk for å få gjennomslag for sine agendaer. Disse er mer aktive i urolige tider, forteller Gjesteland.
Alle er utsatt for dataangrep
Både små- og store virksomheter er utsatt for dataangrep, og Gjesteland mener det varierer hvilke virksomheter og bransjer som trender.
- Hvilke virksomheter og bransjer som er spesielt utsatt, vil variere avhengig av hvem angriperne er og hvilken motivasjon de har. For eksempel vil virksomheter som opererer innenfor samfunnssikkerhet og kritiske samfunnsfunksjoner være attraktive for statsstøttede angripere. Virksomheter innen forskning og utvikling er attraktive for industrispionasje, mens samtlige virksomheter er i målgruppen for kriminelle som er ute etter økonomisk vinning gjennom for eksempel utpressingsangrep eller svindel. Kort fortalt, ingen bør tenke at dette gjelder kun alle andre, for det er ingen som slipper unna.
Gjesteland peker også på at en stor andel av toppledere er usikre på om organisasjonen deres er godt nok rustet for dataangrep.
- I en undersøkelse vi i Accenture gjorde nylig, ser vi at opp mot tre fjerdedeler av administrerende direktører er bekymret for organisasjonens evne til å forhindre skade som følge av et dataangrep. Dette til tross for at 96 prosent oppgir at datasikkerhet er avgjørende for organisasjonens vekst og stabilitet.
Norske virksomheter er spesielt attraktive mål for hackere
Nordmenn er attraktive mål for hackere av flere grunner. Først og fremst har de ofte høy strategisk og økonomisk verdi, og mange nordmenn undervurderer trusselen om dataangrep.
- Vi har et høyt tillitsnivå i Norge, og er av og til for lette å lure. Samtidig har vi mange virksomheter som direkte eller indirekte jobber mot olje- og gassbransjen og andre kritiske samfunnsfunksjoner, hvilket har ført til økt oppmerksomhet fra både aktivister og statsstøttede grupper. Noen av de mest kjente angrepene de siste årene er angrepet mot Østre Toten kommune, Norsk Hydro og Stortinget. I sommer var departementene i søkelyset og den siste måneden har vi hørt om en rørleggervirksomhet som måtte permittere ansatte som følge av et angrep mot IT-leverandøren. Dataangrep skjer så ofte at mye ikke rapporteres i avisene lenger, sier Gjesteland.
Økonomiske konsekvenser ved datasikkerhetsbrudd
Konsekvensene av datasikkerhetsbrudd kan være økonomisk katastrofale. De kriminelle kan kreve store summer løsepenger, i tillegg til at virksomheten kan ende opp med bøter, rettslige prosesser, enorme kostnader i forbindelse med opprydning, og tap av omdømme, kunderelasjoner og forretningsmuligheter.
- Ferske undersøkelser indikerer en gjennomsnittlig kostnad på cirka 40 millioner kroner for å håndtere et enkelt cyberangrep, men det er stort spenn i feltet. For eksempel brukte Østre Toten kommune 33 millioner kroner på å rydde opp etter dataangrepet, mens Norsk Hydro sine kostnader var langt høyere, nærmere 800 millioner kroner, sier Gjesteland.
Menneskelige feil er ofte årsaken til at angripere lykkes
Dataangrep på virksomheter starter ofte med angrep mot de ansatte, for eksempel via phishing. Når hackerne har fått fotfeste i virksomhetens systemer, kan de hente ut eller kryptere data og kreve løsepenger. Ved å lære de ansatte om forskjellige type dataangrep, vil de være bedre rustet til å gjenkjenne og unngå disse truslene. Gjesteland mener opplæring er et relativt enkelt tiltak som kan skåne virksomheter for mulige tap.
- Mennesker gjør feil, og det er ofte et element ved angrep. Virksomheter som ikke innser dette og mangler øvrige barrierer, er de som er mest utsatt for angrep. For å redusere risikoen kan man både innføre ekstra barrierer som gjør at enkeltfeil ikke blir utslagsgivende, samt redusere sannsynligheten for individuelle feil – gjennom opplæring og holdningsskapende arbeid.
Datasikkerhetskurs utviklet med Accenture
FIDL har i tett samarbeid med Accenture utviklet tre spillbaserte datasikkerhetskurs som kan tas digitalt, enten via en telefon eller datamaskin.
- Kombinasjonen av FIDLs pedagogiske metode og Accentures kunnskap om cybersikkerhet har resultert i engasjerende kurs som har potensial til å utgjøre en betydelig forskjell. Virksomheter som bruker disse for å styrke egen kompetanse vil ikke bare beskytte seg selv bedre mot digitale trusler, men også bidra til økt sikkerhet i hele verdikjeden, sier Gjesteland avslutningsvis.