Risikoanalyse: PSTs trusselvurdering angår også virksomheten din

Forrige uke la PST fram sin trusselvurdering. Ingen som jobber med beredskap og sikkerhet kan ha unngått å se at Russland og Kina er pekt ut som «verstingene» når det gjelder intensjon og kapasitet til å utøve etterretningsvirksomhet mot Norge. Det er fort gjort å tenke: Da gjelder det ikke meg. La meg utfordre den konklusjonen.

Frode Lien Otnes (Foto: One Voice)

Frode Lien Otnes (Foto: One Voice)

"Etterretningstjenester vil fortsatt prioritere å få tilgang til ny norsk teknologi. Formålet er å styrke eget næringsliv og eget forsvar."
PSTs Trusselvurdering 2017

Norge og norske interesser vil i 2017 utsettes for fremmed etterretningsvirksomhet, og du er sannsynligvis et mål for dette.

Når PST har hjulpet oss på veien ved å peke på noen av trusselaktørene, så fortsetter jobben for oss andre. Vi må avklare en rekke forhold:

  1. Hvilke verdier har vi som vi må beskytte?
  2. Hvem er interessert, har evne, intensjon og kapasitet til å true våre verdier?
  3. Hvor sårbare er vi? Hvor er våre sårbarheter?

Kun 25% av norske virksomheter gjennomfører risiko- og sårbarhetsanalyser. Dette innebærer at mer enn 75% av oss knapt vet hva vi skal beskytte - langt mindre hvordan vi eventuelt skal beskytte oss, og mot hvem.

Bare halvparten av dem som har gjort sine analyser, har iverksatt tiltak mot risikoene de kjenner til.

> Les også: Derfor mislykkes du med din risikostyring 

Våre verdier

Du er nødt til å vite hva som er grunnleggende viktig for din egen virksomhet. Mange skjønner godt at man trenger strøm og IKT for å drifte virksomheten. Men det er få som forstår risikobildet og konsekvensene strømbrudd eller tjenestenekt-angrep (DDOS) mot egen eller andres infrastruktur.

De fleste forstår at både doble strømtilførsler, UPS'er og dieselaggregat sikrer tilgangen til strøm. Og at doble eller triple føringsveier for datatrafikk er nødvendig for å holde en datasentral tilgjengelig for våre kunder. Men det er få som vet hva som må til for å beskytte tilgangen til informasjon, dens konfidensialitet eller integritet.

> Les også: Risikovurdering datasikkerhet: Vet du egentlig hva som kan ramme deg?

En annen risikabel faktor er at vi er oss selv nærmest. Hvor mange av dere har tenkt at selv om denne informasjonen ikke er viktig for meg, så kan den være det for andre? Som underleverandør er det viktig å vite hvilken verdi dette har for kunden og kundens kunder, og etterleve kravene som gjelder. Det er ikke nok å si at du ivaretar sikkerheten - du skal vite og kontrollere at du ivaretar den. Hvem har ansvaret for at Indiske IKT-medarbeidere har tilgang - og kanskje muligheten til å styre tilgjengeligheten - til Nødnettet?

Hvem truer oss?

Myndighetene vil nok lede oss i en retning av at Russland og Kina er våre viktigste trusselaktører, og det er nok riktig både når det gjelder politiske, økonomiske og sikkerhetsmessige interesser. Derfor er det fort gjort å "senke guarden» for forhold som er nærmere oss selv. USA er vår samarbeidspartner, NATO er vår forsvarsallianse, og både Sverige og Danmark er våre gode naboer. Det betyr ikke at de og deres virksomheter ikke utgjør en trussel.

Vi har et selvstendig ansvar for å identifisere andres interesse overfor våre verdier. Din verste konkurrent kan kjøpe hackeraktiviteter for 50 dollar på internett, og du kan være sikker på at mennesker er i stand til å utrette forkastelige ting for å nå sine mål. På et frokostmøte hos NSR, Næringslivets Sikkerhetsråd, forrige tirsdag la Økokrim fram tall som viser at det er mistanke om kriminalitet i mer enn 50% av alle foretakskonkurser. Når du er presset, flytter du grensene for hva som er akseptabelt.

Svært mange hendelser oppstår og gjennomføres av interne ressurser. Et godt og langsiktig arbeide med intern sikkerhetskultur med helhetlig omfang skal ivareta:

  1. Virksomhetsstyring i henhold til relevante lover og standarder
  2. Personellsikkerhet
  3. Fysisk sikring
  4. Informasjonssikkerhet
  5. Forhold til kunder og leverandører

> Les også: Har du risikovurdert bruken av sosiale medier i virksomheten din?

Hvordan er vi sårbare?

Det hjelper fint lite å bygge verdens sikreste datarom hvis du lar døra stå åpen og setter din fiende til å holde vakt. Når det viser seg at Russland har intensjoner og kapasitet til å true våre verdier, påvirke valg i USA eller hacke politiske organisasjoner i Norge, er det viktig for oss å vite hvordan vi er sårbare for dette.

Kompetanse hos egne ansatte til ikke å la seg manipulere, enten man møter folk på konferanse eller i sosiale medier, er kanskje det viktigste kringvernet. Men vi ser også grelle eksempler på at sentrale ledere ikke forstår at de har ansvar for hele verdikjeden - også kontroll av forretningsprosesser hos underleverandører og samarbeidspartnere. Vi som etterlever ISO27001 er bevisst dette ansvaret – ifølge sikkerhetsloven påligger dette ansvaret alle virksomheter.

> Les ogsså: Er nettbaserte tjenester trygge? Slik sjekker du at levereandøren din tar datasikkerhet på alvor

Mine råd til deg er:

Hvis du ikke har gjort dine risikoanalyser – gjør dem!

Hvis du ikke har kunnskapen – skaff den!

Hvis du ikke har kapasiteten – lei den!

Hvis du ikke gjør det – kan det være for sent 
 

Vet du om du er hacket og hvilke konsekvenser det kan få for virksomheten i fremtiden?

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss