Fra papirutgaven

Cybersikkerhet er blitt avgjørende for personvernet 

Bilde: Utsnitt av forsiden til Minerva nr. 4/17

– Min bekymring er at det blir så mye støy at folk velger å overse datasikkerhet. Det kan få alvorlige konsekvenser, sier Jan Henrik Schou Straumsheim, sikkerhetsrådgiver i PwC.

Den største globale megatrenden, som på ulik måte påvirker oss mennesker hvor enn vi måtte befinne oss i verden, er digitalisering. Et sentralt element i denne megatrenden er den økende mengden data og informasjon som sendes, mottas og bearbeides på ulike datanettverk (virtuelle rom). I dagligtalen er det blitt vanlig å referere til begrepet ”cyberspace” som en samlebetegnelse for disse prosessene som styrer stadig mer av våre liv.

Etterhvert som disse prosessene utgjør en viktigere del av individers, bedrifters, organisasjoners og sogar staters virksomhet, er det blitt tilsvarende viktig å beskytte seg. For stater er det et spørsmål om rikets sikkerhet. For individer er cybersikkerhet blitt et spørsmål om grunnleggende personvern.

Som regjeringen skriver i Internasjonal cyberstrategi for Norge: «Det digitale rom har på kort tid endret det globale landskapet Norge befinner seg i. Internett har utviklet seg til å bli verdens viktigste infrastruktur og utgjør i dag ryggraden i den globale flyten av varer, tjenester og informasjon. Om få år antas internett å være den superstrukturen som all annen infrastruktur er avhengig av. Betydningen av det digitale rom for nasjoners økonomi, sikkerhet, vekst og utviklingsmuligheter er stor og økende.» Den amerikanske valgkampen i 2016 anskueliggjorde for en hel verden betydningen av cybersikkerhet.

Jan Henrik Schou Straumsheim er Senior Manager, Cyber Security i rådgivningsselskapet PwC, og jobber med problematikken til daglig. Han er tydelig om at cybertrusler kan utgjøre en stor fare for det norske samfunnet.

Det er vanskelig å si eksakt hvor stor trussel cyberangrep mot norske interesser er, fordi det er vanskelig å overskue alle potensielle konsekvenser. Men det er åpenbart at det er utrolig viktig å beskytte kritisk infrastruktur. Det er skummelt å tenke på konsekvensene av at slik infrastruktur skulle svikte, slik vi blant annet observerte i Ukraina julen 2015, da strømmen for flere hundre tusen mennesker vest i Ukraina forsvant.

Analoge reserveløsninger borte

Straumsheim påpeker at Norge er blant de mest digitaliserte landene i verden; det gjør oss også mer sårbare. – Etterhvert som mer kritisk infrastruktur blir digitalisert, mister vi ofte muligheten til analoge reservemuligheter. Det blir eksempelvis umulig å kopiere all informasjon som lagres elektronisk i et arkivskap, ettersom mengden i seg selv gjør en slik backup-løsning nær umulig. Det betyr at den eneste løsningen er god nok cybersikkerhet.

Så er spørsmålet: Er samfunnet godt nok forberedt på truslene?

Det er også et godt spørsmål. I Norge har vi tilnærmet oss utfordringen ut fra såkalt sektorvis respons, der Nasjonal sikkerhetsmyndighet (NSM) har det øverste koordinerende ansvaret. Det er en god tanke, men jeg er usikker på om det er gjennomførbart i praksis. Det vi trenger i tilfelle vi blir utsatt for et cyberangrep, er rask og lett tilgang til ressurser. Se hva andre vestlige land gjør med hensyn til å bygge reservestyrker for «cyber». Jeg tenker det kan være hensiktsmessig å se på hvilke muligheter det kan gi.

Bedrifter og individer trues

Men cybersikkerhet er ikke bare et spørsmål for nasjonale myndigheter; det har etterhvert utviklet seg til å bli et essensielt spørsmål for bedrifter og individer. Cybertrusler er i ferd med å bli en alvorlig trussel mot den enkeltes privatliv og bedriftenes kjernevirksomhet. Vi kan nærmest daglig lese om forsøk på å stjele informasjon i cyberspace (internett). Allerede i 2012 uttalte tidligere NSA-sjef Keith Alexander at ”Cybercrime is the greatest transfer of wealth in history”. Problemet er ikke blitt noe mindre de siste fem årene.

– Det er vanskelig å beskytte seg mot angrep, særlig hvis man ikke har gjort seg noen tanker om sikkerhet før man oppdager et angrep. Som bedriftsleder bør man starte med å gjennomføre en risikoanalyse. Hva er selskapets ”core value”? Og hvor godt er den beskyttet? Forebyggende arbeid er utrolig viktig. Det å foreta en sårbarhetsanalyse og påfølgende risikovurdering er den beste måten å beskytte vital informasjon på. Og alt dette starter på øverste nivå. Hvis ikke ledelsen tar cybersikkerhet på alvor, er det mindre sannsynlig at selskapet forstår viktigheten av grunnleggende sikring av vital informasjon. Min bekymring er at det blir så mye støy rundt problematikken, så mange mediesaker, at folk bare velger å overse det, sier Straumsheim til Minerva.

Kontroversiell outsourcing

En relatert problemstilling som det er blitt skrevet mye om, er outsourcing av IKT-tjenester og påfølgende avsløringer om at uvedkommende har fått tilgang til kritisk infrastruktur og vital informasjon. Eksempler er skandalen knyttet til Helse-Sør-Øst og Statoil. Flere har av den grunn tatt til orde for at man ikke bør outsource viktige IKT-tjenester, men Straumsheim er uenig.

 Outsourcing er nødvendig i mange tilfeller, simpelthen fordi man trenger kompetansen. Debatten om outsourcing er derfor kommet litt feil av sted. Spørsmålet burde derfor ikke være om vi kan eller skal outsource tjenester, men hvordan man gjør det. Og selvsagt at man ikke outsourcer tjenester før man har kontroll på egen IKT-avdeling. Det er naivt å tro at man kan være god på leverandørstyring hvis ikke man har nødvendig kunnskap til å stille riktige krav, sier han.

Bli abonnent på Minerva, høyresidens nettavis: Kun 1,- første måneden!

Den største utfordringen også når det gjelder cybertrusler, er som på de fleste andre områder der individer er involvert: den menneskelige faktor. Man kan sørge for fysiske sikkerhetssystemer og gode IKT-systemer, men det er alltid vanskelig å gardere seg mot menneskelig svikt.

De fleste angripere er klar over at det svakeste punktet som oftest er den menneskelige faktoren. De fleste cyberangrep starter via e-post, der målet er å få mottager til å klikke på en lenke og gi fra seg informasjon. Mer avanserte angrep bruker tid og ressurser på å kartlegge dem man ønsker å stjele informasjon fra. Eksempelvis deres adferd i sosiale medier, for å finne sårbare punkter som kan utnyttes. De finnes nesten alltid. Men god sikkerhetskultur må komme i tillegg til – ikke istedenfor – tekniske sikkerhetsmekanismer.

Mange kommer på jobb nettopp for å lese og skrive e-post, og de er avhengige av å stole på systemene de bruker. Hvis den tilliten undergraves, og ansatte vegrer seg for å gjøre jobben sin, får man helt andre utfordringer. Sikkerhetsarbeidet er en balansegang som krever regelmessig oppfølging og justering, avslutter Jan Henrik Schou Straumsheim.

Intervjuet er hentet fra temanummeret om overvåkning, Minerva nr. 4/2017. 

Bli abonnent

Da får du tilgang til alle artikler. Det tar under ett minutt.

Prøv i en måned for 1,-
Allerede abonnent? Logg inn

Fra forsiden