Ledelsen utgjør det største innsideproblemet!

Undersøkelsen gjelder for kalenderåret 2021, et år preget av pandemi og økende global usikkerhet. Utstrakt bruk av hjemmekontor der virksomhetenes digitale verktøy ble spredd for alle vinder samtidig som kriminelle og statlige etterretningsaktører fikk flere angrepsflater og blod på tann, burde tilsi at antallet informasjonssikkerhetshendelser gikk opp. Det bekrefter også Nasjonal sikkerhetsmyndighet i sin siste årlige rapport Risiko 2022; i 2021 var det en kraftig økning i sikkerhetstruende hendelser. Da er det besynderlig at Mørketallsundersøkelsen viser en generell nedgang i antall opplevde hendelser. Det kan være flere grunner til dette. Kanskje Nasjonal sikkerhetsmyndighet har forbedret sin evne til å oppdage cyberangrep? Kanskje virksomhetene ikke oppdager at de er blitt hacket eller infiltrert? Kanskje er ansatte blitt generelt flinkere til å gjennomskue forsøk på manipulasjon? Kanskje angriperne har blitt dyktigere og i større grad går mot enklere og naive leverandører i stadig mer komplekse leveransekjeder? Eller kanskje virksomhetene ikke vil fortelle at de har blitt utsatt for angrep – altså at det er mørketall også i Mørketallsundersøkelsen? Jeg tror svaret er ja på alle disse spørsmålene.

Undersøkelsen avdekker at det er få virksomheter i Norge som rapporterte sikkerhetshendelser til myndighetene. Det gjelder både til Politiet, til Datatilsynet og til sektor-CERT eller Nasjonalt cybersikkerhetssenter. Kun 1-2% rapporterte hendelser til de to sist nevnte, og små virksomheter i mindre grad enn store, og private i mindre grad enn offentlige. Dette kan tyde på at tilliten til disse sikkerhetsaktørene er svært lav, eller at virksomhetene i liten grad vet at de finnes. Begge forholdene bekreftes i en annen undersøkelse som nylig er utført av Nordstat på vegne av LO Stat og Utsyn – forum for utenriks og sikkerhet. Dette burde bekymre Nasjonal sikkerhetsmyndighet.

Det burde også bekymre myndighetene at kun 5% av virksomhetene rapporterte sikkerhetshendelsene til Datatilsynet. Dataangrep berører ofte personopplysninger, og da slår personopplysningsloven (GDPR) inn. Da plikter virksomhetene å melde fra til Datatilsynet innen 72 timer. Men det gjør altså de færreste - og det burde bekymre den enkelte av oss.

Den notorisk manglende rapporteringen, sammen med undersøkelsens funn om at kun 6% av sikkerhetshendelsene resulterte i en offentliggjøring, tyder på at virksomhetenes ledere i svært liten grad er opptatt av å bli sett i kortene eller i informasjonsdeling.

Tilbake til poenget innledningsvis om rammeverk eller styringssystem for informasjonssikkerhet. Det er for dårlig at halvparten av virksomhetene i Norge ikke har dette, og at det er stadig færre som velger å ha det. Undersøkelsen avdekker at de som har et rammeverk for informasjonssikkerhet opplever noe flere hendelser enn andre, og at de fleste oppdager sikkerhetsbrudd under sikkerhetsmonitorering eller interne kontroller. Det kan tyde på at mange av de som ikke har et rammeverk for informasjonssikkerhet faktisk ikke får med seg at de blir eller har blitt angrepet. Når det samtidig kommer frem at det er 10-14% sjanse for at angrepene på virksomhetene får negative konsekvenser, så burde dette motivere alle virksomhetsledere til å ta informasjons- og cybersikkerhet på et mye større alvor.

Hvis vi går hele fire år tilbake i tid, så hevdet Nasjonal sikkerhetsmyndighet i Risiko 2019 at for mange virksomheter ikke hadde oversikt over egne sårbarheter og hvilken risiko de er utsatt for. I årets nasjonale trusselvurdering hevdet Politiets sikkerhetstjeneste at nye nettverksoperasjoner vil ramme norske mål i år. Virksomheter knyttet til forsvar, beredskap, politikkutforming eller teknologi hvor Norge er langt fremme, vil være særlig utsatt. Og de av oss ledere som har tiltro til våre hemmelige tjenester tar dette på alvor. Eller?

Det største innside-problemet i en organisasjon er en ledelse som ikke erkjenner cybertrusselen. Jeg venter i spenning på Mørketallsundersøkelsen i 2024.