Fiende ved brannmuren

Fienden er ikke på et annet kontinent, men rett på andre siden av brannmuren. Fremmede makter gjør enkeltbedrifter til mål for nettbasert spionasje og annen kriminalitet, en utvikling vi i Norge er dårlig rustet til å møte.

Foto: Bypass

Gunnar Lindstøl

Etter at 2011 ble et datasikkerhetens ”annus horribilis” for både private og offentlige virksomheter verden over, blir 2012 året da datasikkerhet blir satt på dagsorden på høyeste nivå i samfunnet. Da Forsvarets etterretningstjeneste nylig la frem sin trusselvurdering ”Fokus 2012” ble tyveri av kommersielle data og intellektuell eiendom fremhevet som den mest omfattende trusselen mot norske interesser i fredstid.
I World Economic Forums årlige rapport ”Global Risks for 2012” er cyberangrep identifisert som en av de fem fremste globale risikoene. Rapporten konkluderer med at private bedrifter har en lang vei å gå før vi har gjennomgående robuste strategier innenfor datasikkerhet. Vi er enige i denne konklusjonen, men bedriftsledere møter nå et helt nytt trusselbilde som gjør det umulig å stå alene i dette arbeidet. Det kreves samhandling mellom myndigheter og bedrifter for å bygge effektive barrierer mot moderne nettkriminalitet, fordi den er mer kompleks og annerledes motivert enn tidligere. Mens data- og nettkriminalitet frem til nå i hovedsak har dreid seg om økonomisk vinning gjennom relativt usofistikerte metoder, ser vi nå en betydelig endring i hvem som står bak angrepene, hvordan de utføres, og hva som motiverer handlingene. Aktivisme og politiske motiver trer frem som alvorlige trusler mot virksomheter verden over. En spesielt foruroligende utvikling er at fremmede makter går til angrep på private virksomheter og enkeltbedrifter i andre land gjennom nettbasert spionasje og kriminalitet. I internasjonale etterretningsmiljøer ser man nå nettspionasje som en større trussel enn tradisjonelle spionasjemetoder. Aktører som søker å tilegne seg sensitiv informasjon opererer relativt risikofritt i ”cyberspace”, og målene er stadig oftere private bedrifter.

I fjor så vi urovekkende eksempler på datakriminalitet mot private bedrifter i Europa som kan spores tilbake til fremmede statsmakter. I juli 2011 oppdaget DigiNotar, en nederlandsk utsteder av digitale sertifikater for sikring av nettsider, at noen hadde hacket deres systemer for å utstede falske sertifikater. Hackerne kunne dermed overvåke nettrafikk. Målet synes å ha vært en statsmakts overvåking av dissidenter i landet gjennom eksempelvis å  ”avlytte” e-post . Hvordan private bedrifter i den vestlige verden utnyttes for politiske formål i fremmede land er dramatisk. Få måneder etter at selskapets systemer ble hacket var DigiNotar konkurs, og vi kan bare spekulere i konsekvensene for enkeltmennesker som potensielt utsettes for overvåkning fra sine egne myndigheter.

Vi ser nå eksempler på ny eller skjerpet lovgivning innenfor datasikkerhet og – beskyttelse, hvor virksomheter vil risikere straff utover rene økonomiske tap etter et hackerangrep. I forbindelse med revideringen av EUs databeskyttelsesdirektiv fra 1995, har Europakommisjonen innført bøter for selskaper som blir frastjålet persondata. Uavhengig av hvor de har sitt hovedkontor kan selskaper som opererer innenfor EU-området bli dømt til bøter for databrudd, et faktum som flytter temaet fra IT-avdelingen til styrerommet.

Ved inngangen til 2012 må myndigheter, selskaper og organisasjoner erkjenne at de er under angrep, og at det kreves en helt ny tilnærming til datasikkerhet. I Norge står vi dårlig rustet til å møte utviklingen, med klare mangler innenfor to områder: Koordinert forsvar og kunnskap. Virksomheter som angripes står mer eller mindre alene i sitt forsvar, til tross for at de potensielle konsekvensene kan være samfunnsmessig gjennomgripende. Dette gjelder også de aktørene som i dag forvalter kritiske komponenter innenfor vår nasjonale infrastruktur – en infrastruktur som er mer enn bare vei og bane, den omfatter i høyeste grad også datakommunikasjon, strømnett og systemer for bank og finans. Et koordinert nettangrep kan rettes mot denne infrastrukturen for å lamme samfunnet på en måte som likner et tradisjonelt militært angrep. Beredskap mot denne typen angrep kan ikke håndteres i offentlige og private siloer, her må lovgivning og samarbeid gå hånd i hånd om vi som samfunn skal kunne utvikle et effektivt forsvar. Kunnskap og informasjon er kritiske komponenter i dette forsvaret, ikke bare nasjonalt men også internasjonalt. Norske myndigheter må inngå tettere informasjonssamarbeid med andre land, og informasjon må deles med og mellom de offentlige og private virksomhetene som kan være mål for angrep. Et angrep på private bedrifter bør eskaleres og i visse tilfeller bør det utløse respons fra Norge gjennom diplomatiske kanaler. Dette har vi i dag verken tradisjon eller mekanismer for, og kompetansen er begrenset. I sum kreves det et gjennomgripende nytt syn på hvordan vi skal møte det nye trusselbildet: Vi trenger mer kunnskap, mer informasjon og bedre samhandling for å utvikle effektive strategier for vårt forsvar – og vi trenger det nå. 

Kronikken har også stått på trykk i Dagens Næringsliv 23.3.2012.

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss