Hva er cybersikkerhet og hvorfor bør vi ta det på alvor?

(FAGARTIKKEL:) Digitaliseringen gjennomsyrer alle deler av samfunnet og utviklingen går raskere og raskere. Det fører til økt sårbarhet for «usynlige» angrep på din bedrift eller dine personlige data.

Av forskningsassistent Magne Granly og journalist Mari Kristine Buckholm

Ordet «cyber» kan tolkes på flere måter, men stammer fra gresk og betyr noe sånt som «flink til å administrere». I dag blir det brukt i ulike sammenhenger, for eksempel i cyberangrep, cyberforsvar, cyberkultur – og cybersikkerhet. Da handler det først og fremst om kommunikasjon mellom datasystemer.

Digitaliseringen har introdusert mange digitale elementer i samfunnet og utviklingen går ekstremt fort, noe som gjør det hele ganske uoversiktlig. Dette legger grunnlaget for at systemene ikke er sikret på en god måte, og de blir sårbare for potensielle cyberangrep. Slike digitalt administrerte angrep er tilsiktede handlinger der noen ønsker å påføre en form for skade eller innbrudd mot et datasystem eller en organisasjon.

Fortsatt er det for lite fokus på cybersikkerhet i organisasjoner verden over, men rapporter viser at flere og flere tar grep for å beskytte seg. Blant smartgrid-laboratorier i Europa, for eksempel, har man gått fra å være mest opptatt av funksjonalitet til et like stort fokus på å beskytte datasystemene sine mot cyberangrep. Dette skjer i takt med at systemene blir så komplekse at mennesker ikke lenger klarer å holde oversikt.

Alle har sikkerhetsbehov

Cybersikkerhet kan således sies å være en tilstand eller prosess som beskytter, sikrer og/eller gjenoppretter nettverk, enheter og programmer fra ulike typer tilsiktede angrep. Alle bedrifter, store som små, bør øke kunnskapen sin om cybersikkerhet og iverksette tiltak for å beskytte sine datasystemer.

Dette først og fremst fordi cyberangrep kan føre til betydelig økonomisk skade og tyveri av personlige data og informasjon. Ofte vet man ikke hvor sårbar man er, eller hvilke behov man har for beskyttelse, før angrepet skjer. Men da er det for sent.

Den vanligste formen for cyberangrep er såkalte «denial of service»-angrep. Det betyr at systemer og/eller tjenester settes ut av spill, slik at de ikke kan brukes. Bakenforliggende formål kan være å slå av sikkerhetssystemer for senere å begå et fysisk innbrudd, eller rett og slett å hemme en bedrifts tjenester for å påføre bedriften økonomisk skade.

Det viktigste tiltaket bedrifter kan og bør gjøre, er å skaffe kompetanse på cybersikkerhet. Det vil si personer som kan kartlegge bedriftens sårbarhet og som vet hvilke muligheter som finnes. Med andre ord: Invester mer i datasikkerhet, sett deg inn i trender og forstå hvilken vei digitaliseringen går.

Hvorfor ta grep?

Denne investeringen er nødvendig av flere grunner. Først og fremst av hensyn til liv og helse. Dersom ikke datasystemer er sikret på en god måte, kan det føre til store konsekvenser for oss mennesker. Bruk av Internet-of-Things og digitalisering av systemer som tradisjonelt har vært fysiske, for eksempel innen helsesektoren, fører med seg høyere risiko for angrep fra utsiden. Dette omfatter blant annet trådløs teknologi ved sykehus og låsesystemer.

For det andre bør det være i bedriftens interesse å beskytte seg mot angrep som har som formål å skade bedriftens drift eller tjenester eller stjele verdifull informasjon. Som nevnt, kan slike angrep føre til betydelige økonomiske tap for bedriften, og i verste fall konkurs.

Det fikk Norsk Hydro ASA erfare tirsdag 19. mars 2019, da et omfattende virusangrep rammet hele det globale selskapet og påvirket driften i flere forretningsområder. I ettertid ble alle PC-er og servere i hele selskapet gjennomgått, rengjort for skadelig programvare og deretter gjenopprettet i henhold til strenge retningslinjer for å sikre sikkerheten. Hydro har estimert den totale kostnaden av dette cyberangrepet til rundt 550-650 millioner kroner.

For det tredje har alle organisasjoner et samfunnsansvar overfor befolkningen generelt. Er man medlem av samfunnet, eller representer en organisasjon, har man et ansvar for å sørge for at ens handlinger ikke påvirker andre negativt. Det innebærer å ta nødvendige grep for å sikre at ens data eller systemer ikke kan misbrukes av andre. Dette gjelder særlig bedrifter som arbeider med sensitiv informasjon eller potensielt farlige systemer.

Et godt eksempel på sistnevnte er dataormen Stuxnet, som først ble oppdaget i juni 2010 av VirusBlokAda, et sikkerhetsfirma basert i Hviterussland. Det uvanlig avanserte dataviruset er programmert til å angripe SCADA (Supervisory Control and Data Acquisition)-systemer og var opprinnelig rettet mot Irans atomanlegg. Det antas at dataormen satte Irans atomprogram tilbake med to år, og grunnet omfanget av viruset, har det blitt spekulert i om USA eller Israel stod bak angrepet. Stuxnet er den første kjente dataormen som spionerer på og omprogrammerer industrielle systemer.

Stuxnet-eksempelet viser hvordan svært avanserte og farlige systemer kan hackes, nærmest være umulig å oppdage, og potensielt påføre stor skade i samfunnet.

Jevnlig testing

Fordelene med å gjøre nødvendige grep rundt cybersikkerheten i en bedrift er utvilsomt mange, men også vanskelige å måle. De angrepene som aldri skjer på grunn av tilstrekkelig beskyttelse av bedriftens data, ser man ikke. Det er gevinsten. Til gjengjeld er ulempene svært synlige den dagen bedriften faktisk blir angrepet.

Begge de ovennevnte eksemplene viser hva som kan skje dersom cybersikkerheten i et selskap ikke er god nok, til tross for at det er innført sikkerhetstiltak. Med andre ord er det ikke alltid nok bare å innføre standard sikkerhetsrutiner; det er også svært relevant å teste cybersikkerheten i selskapet i praksis.

En etter hvert velkjent metode for å teste om sikkerheten fungerer som ønsket, er å hyre inn en ekstern aktør som faktisk gjennomfører et angrep. Deretter evaluerer man nivået på sikkerheten og diskuterer hva som kan gjøres for å beskytte seg bedre.

Det finnes flere typiske angrep eller veier inn i en bedrifts systemer som bør sjekkes og testes. Det aller første som bør være på plass, er et sikkert nettverk. Det vil si at det bør være en brannmur mellom bedriftens nettverk og internett. I tillegg bør man sikre sårbare porter.

Brannmuren bidrar til å beskytte bedriften mot rene digitale angrep, men det finnes også eksempler på angrep som skjer via mennesker. En mulig måte å angripe en bedrift på, er å legge igjen en USB-penn på parkeringsplassen og vente på at en ansatt finner den og tar den med inn. Idet den ansatte setter minnepennen inn i en av bedriftens PC-er for å sjekke hva som er på den, av ren nysgjerrighet, sprer viruset seg og skaden er skjedd.

Et annet eksempel er såkalte «phishing emails», som på norsk kalles nettfiske. Dette er en betegnelse på digital snoking eller «fisking» etter sensitiv informasjon, som passord eller kredittkortnummer. Det klassiske scenarioet er en e-post som tilsynelatende kommer fra banken din, hvor de ber deg oppgi sensitiv informasjon. Gjør du det, havner informasjonen hos kriminelle, som kan bruke informasjonen til å tømme kontoen din.

Det lønner seg med andre ord å orientere ansatte om hvordan de kan bidra til å beskytte bedriften, for eksempel ved å være skeptisk til bruk av ukjente minnepenner og åpning e-poster som ber om sensitiv informasjon.

«Ett angrep er nok»

Økende bruk av digitale systemer i alle deler av samfunnet, sammen med kravet om at systemene skal kommunisere med hverandre, leder til en kompleksitet og en sårbarhet som er vanskelig å håndtere. Resultatet er at det er helt nødvendig å vie en stor dose oppmerksomhet til cybersikkerhet – for alle aktører, store som små.

Fordi: Ett angrep er nok. Det skal bare ett enkelt cyberangrep til før katastrofen er ute.

Smart Innovation Norway jobber for tiden med å sette opp en Cyber Security-lab på Remmen Kunnskapspark. Hensikten med laben er nettopp å takle de overordnede utfordringene knyttet til cybersikkerhet som belyses i denne artikkelen.

For å bidra til økt cybersikkerhet blant medlemmene i næringsklyngene NCE Smart Energy Markets og Cluster for Applied AI, tilbyr Smart Innovation Norway gratis kurs (webinar) i Cyber Security, fordelt på to uker i april og mai 2020. Del 1 av kurset ble avholdt allerede i uke 17, mens del 2 går av stabelen i uke 21.