<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-W3GDQPF" height="0" width="0" style="display:none;visibility:hidden">
Publisert 16. des. 2021 kl. 19.25
Lesetid: 3 minutter
Artikkellengde er 551 ord
ØKENDE PROBLEM: Dataangrepet mot Hydro i 2019 kostet selskapet et høyere tresifret millionbeløp. Foto: NTB

Sikkerhetshull som bør få deg til å grøsse

Sist helg var Brønnøysundregistrene nede på grunn av et sikkerhetshull. Hvor alvorlig tar norske toppledere slike trusler, spør Jørgen Rørvik og Nils-Erik Auråker i Sopra Steria.

La oss gi deg litt bakgrunn. Torsdag forrige uke varsles det på Twitter om sårbarheten, som får den digitale verden til å grøsse. Kort tid etter tas mange samfunnskritiske systemer, slik som Brønnøysundregistrene og søkefunksjonen på Altinn, ned umiddelbart. Sårbarheten gjelder et bibliotek som programmeringsspråket Java benytter, og det høres i seg selv ikke særlig spennende ut.

Jørgen Rørvik. Foto: Sopra Steria
Nils-Erik Auråker. Foto: Sopra Steria

Men er du leder i næringsliv eller offentlig sektor bør du sitte ytterst på stolen akkurat nå. Denne sårbarheten gjelder så å si alle, for de fleste virksomheter benytter systemer som nå kan fjernstyres via det som kalles «Log4shell». Dette er ikke første gangen slike sårbarheter oppstår, og det vil ikke være siste. Hvorfor må du som virksomhetsleder være opplyst og informert om slike ting? Er ikke dette noe sikkerhetsavdelingen bare kan fikse?

Ikke lenger. De siste fem årene har det skjedd et markant skifte. Når alt virksomheten gjør avhenger av digitale systemer og prosesser er det ikke lenger en farbar vei for toppledelsen å tenke at ansvaret for dette ligger hos noen andre. Sikkerhet er virksomhetskritisk. Bare spør Petter Stordalens Nordic Choice Hotels, der de de siste ukene har måttet benytte seg av 30 år gamle manuelle innsjekkskjemaer på papir. Eller Hydro. Sistnevnte kan fortelle deg at sikkerhetshull fort kan koste hundrevis av millioner av kroner. Men hvordan kan du som toppleder sette IT-sikkerhet som en integrert del av virke og strategi?

Først og fremst bør du ha de kyndige tett på deg i ledergruppen – og du bør få sikkerhet inn i styrerommet. Det må rapporteres på IT-sikkerhet, om hvilken risiko som finnes, du må vite hvor mye penger som brukes på det, og du må vite hva du får igjen for pengene som investeres.

Kryptoangrep blir gjerne svært kostbart for bedrifter, for det koster fort millioner av kroner i tapte inntekter og opprydding

Som en av landets største leverandører av IT-driftstjenester ble det en hektisk helg for oss i Sopra Steria i kjølvannet av nyheten om «Log4shell». Vi måtte raskt gjøre nødvendige tiltak basert på sårbarheter som kunne dukke opp i våre kunders systemer – og potensielt omfang. Litt avhengig av bransjen, er det ulik risiko som eksponeres ved slike sårbarheter. For noen bedrifter vil tilgang og uthenting av sensitiv data være et problem.

På generelt grunnlag kan vi si at de fleste bedrifter som opplever sikkerhetsbrudd dessverre eksponeres for pengeutpressing og skadevare. Fordi sårbarhetene er så omfattende, er det derfor lett å bli tatt med inn i «dragsuget» på et angrep som utnytter sårbarheten generelt. Kryptoangrep blir gjerne svært kostbart for bedrifter, for det koster fort millioner av kroner i tapte inntekter og opprydding. I tillegg kan det påvirke samfunnet dersom kritiske tjenester går ned. Hva hadde skjedd om alle systemene til NAV gikk ned – og ingen umiddelbart klarte å få dem opp igjen? Eller systemene til Bane NOR eller Avinor? Det er lett å forestille seg konsekvensene.

Uavhengig av hva slags virksomhet du leder, er tiden for å få sikkerhet på toppen av virksomhetens agenda langt på overtid. De aller fleste virksomheter i Norge har i dag en eller annen variant av «cybertrussel» øverst til høyre i sin interne risikomatrise. Helgens hendelse viser med rette hvorfor dette er høyst reelt.

Jørgen Rørvik

Direktør for cybersikkerhet i Sopra Steria

Nils-Erik Auråker

Driftsdirektør for Skandinavia i Sopra Steria