Leif Martin Kirknes

leif.kirknes@lomedia.no

Norge har verdier og ligger dessuten snedig plassert i Europa. Norske virksomheter må forstå at de er en del av hele rikets IT-sikkerhet og iverksette tiltak, akkurat som landets borgere nå gjør i den store korona-dugnaden. Hvis selskaper alle gjør sitt innen IT-sikkerhet kommer vi en vei mot digital flokkimmunitet, mener Hanne Tange-Nilsen, sikkerhetsdirektør i Telenor Norge.

– Hvis du og jeg gjør de tingene myndighetene ber om, bygger vi opp motstandskraft, sier hun.

Hun mener koronadugnad-tankegangen er mulig å overføre til digital sikkerhet, der det er en konstant overhengende trussel om angrep fra aktører som normalt enten er ute etter å stjele verdier eller å forstyrre nasjoner av politiske årsaker.

For å oppnå digital flokkimmunitet må alle virksomheter vite hvilke verdier de og deres kunder besitter, og bør vurdere de viktigste tiltakene som underbygger sikkerheten, mener hun. Da snakker hun om verdier slik angriperen ser den, ikke det bedriften selv mener er mest verdifullt for dem.

– Hvis alle virksomheter bygger opp en basis innen digital sikkerhet, og alle bedrifter gjør dette samtidig, da hever vi lista og gjør det vanskeligere både for kriminelle og statlige aktører å angripe. Det er det jeg ønsker meg med flokkimmunitet, sier Tangen Nilsen.

Samtidig må grunnleggende IT-sikkerhet bli allmennlære, mener hun.

– Du og jeg som enkeltindivider må ha et forhold til sikkerhet. Vi må kunnskap om det vanligste som pågår av kriminalitet i det digitale domenet. Det er allmennkunnskap som man må være klar over så man har en bevissthet som sier fra når et tilbud er for godt til å være sant g at en ikke skal gi fra seg sensitiv informasjon om noen bero om det på telefon eller epost.

Vil ha sikkerhetsdebatt

Telenor har nettopp kommet med sin årlige IT-sikkerhetsrapport som i år særlig tar for seg «de lange linjene». Der ber Telenor om en utredning for fremtidsrettet totalberedskap der det sikres samordning og samhandling på tvers av sektorer, som også inkluderer flere offentlige og private virksomheter og sikrer av rolle- og ansvarsfordeling dem imellom.

– En utredning er en mulighet til å skape felles forståelse for hva vi trenger å gjøre i fremtiden. Vi tror tiden er moden for en politisk debatt om robusthet og beredskap. Vårt digitale Norge angripes fordi vi har verdier, informasjon og beliggenhet som trusselaktører ønsker å utnytte, sier Tangen Nilsen.

Robusthet og beredskap må bygges med tanke på det som kalles hybride operasjoner, mener hun. Det er en metode der trusselaktører spiller på flere hester for å oppnå målet sitt, enten det er egen vinning eller å sette et helt samfunn ut av spill. Metoden går ut på at det både kan foregå digitale angrep, fysisk sabotasje og samtidig spredning desinformasjon som ledd i angrepet.

Telenor tar til orde for et eget tverrsektorialt statlig organ som driver med hypoteseutvikling og konsekvensvurdering på nasjonalt nivå og som kan ta høyde for det utenkelige.

– Vi har godt samarbeid på operativt nivå, mellom mange operative sikkerhetssentre som deler informasjon. Men vi ønsker oss en tverrsektoriell nasjonal toppnode på et strategisk nivå, som kan se sammenhenger mellom ulike typer hendelser og forstå om det er snakk om et koordinert hybridangrep eller bare tilfeldigheter.

Sci-fi

Tangen Nilsen mener vi må tørre å tenke utenfor boksen når vi tenker på digital sikkerhet.

– Vi må basere oss både på logikk fra rasjonalitet og vitenskap, men trolig også på fiksjon om vi skal forberede oss på morgendagens trusler, mener Tangen Nilsen.

Norge har klart seg dugelig godt gjennom Covid 19, ikke minst sett fra et kommunikasjonsståsted, der de digitale kommunikasjons-motorveier har holdt selv om mange har flyttet inn på hjemmekontor og debutert med videokonferanser og kanskje brukt kveldene på langt mer videostrømming enn vanlig.

Samtidig kom pandemiens spredningstakt overraskende for mange. Det var ikke et scenario det egentlig var tatt spesielt stor høyde for at kom til å skje. Der kan man dra lærdom, også innenfor digital sikkerhet, utdyper Tangen Nilsen, som ønsker seg mye mer fantasifulle risikovurderinger.

– Noen ganger lager man et risiko-scenario, og så sier noen «nei, det der kan ikke skje, det er umulig.» Men da må du samtidig stille deg spørsmålet: om det skjedde, kunne du leve med det?, sier sikkerhetssjefen, som påpeker at det er mye uvisst rundt utnyttelse av teknologi fremover og at verden og at en her også kan bruke science fiction for å forsøke seg for seg alle muligheter som kan skje.

Tenk om en stat brukte korona-situasjonen til å samtidig iverksette avanserte hybride operasjoner, påpeker hun.

– Verden er global og vi mennesker er veldig sammensatte. Det er mange som tenker skumle tanker, og vi må kanskje begynne å utfordre oss selv på det, sier Tangen Nilsen.

Problematisk med lange verdikjeder

I rapporten trekkes også lange verdikjeder av underleverandører fram som en potensiell risiko i all sin uoversiktlighet. Rekkene kan bli lange, fragmenterte, komplekse og lite gjennomsiktige i en globalisert og kostnadsoptimalisert verden. Dermed er det flere veier til Rom for skurker, som potensielt kan få tilgang til en bedrift høyere i verdikjeden ved å snike seg inn hos en underleverandør til en underleverandør av en underleverandør.

Det gjelder ikke minst for Telenor selv, som leverandør av samfunnskritisk infrastruktur i form av telekommunikasjon.

– Når vi utvikler tjenester, så bruker vi underleverandører, enten det måtte være programvare, maskinvare eller at noen drifter for oss. Da er det mange involverte. Fra et sikkerhetsperspektiv vil en trusselaktør kunne jobbe med alle disse. Bare det å påvirke en som jobber med programvareutvikling kan føre til svakheter eller feil i koden, eller at det legges inn sovende kode som kan trigges. Det betyr at vi må jobbe med hele verdikjeden, sier Tangen Nilsen.

Hun mener sikkerhetstankegangen må inn allerede når innkjøp gjøres i privat og offentlig sektor. Ikke bare må det stilles krav til det, det må også vektlegges når leverandører velges. Det vil koste penger, men det er naivt å tro at det er noe en får med på kjøpet uten å betale for det, påpeker sikkerhetssjefen.

- Leverandørene er en viktig del av å bekskytte oss. Sårbarhetene må vi leve med, sier hun.

Hun erkjenner dog at det ikke er mulig å følge opp absolutt alt. Så gjelder da gjelder det å være på tå hev med tanke på å oppdage unormaliteter og ha en plan for hva som skal gjøres hvis dette viser seg å være noen med onde hensikter.

– Det vil være en rest-risiko som vi må leve med. Men vi må forstå risikoen, og ha beredskap til å håndtere det hvis noe skulle skje, alt fra å avdekke at det skjer til å finne ut hva som skjedde og sikre at konsekvensene ikke blir store for samfunn, kunde eller virksomheten, sier hun.

Siste nytt: dobbel utpressing

Ellers nevner rapporten en rekke sikkerhetsbegreper som stort sett har til felles at de handler om manipulasjon av mennesker, enten det er via epost, tekstmelding, telefonoppringning eller andre kommunikasjonskanaler. Konsekvensene av å gå fem på kan for eksempel være at arbeidsplassen utsettes for såkalt utpressingsvirus, som krypterer så mye data som mulig og så ønsker å selge krypteringsnøkkelen mot løsepenger.

Det siste Telenors sikkerhetsavdeling har sett av utvikling på den fronten, er dobbel utpressing, der angriperne i tillegg forsøker å kopiere ut sensitiv bedriftsdata til sine egne servere for så å true med å lekke denne. Dermed kan det være skummelt for selskapet, selv om de skulle ha liggende en backup som gjør at de kan komme seg dugelig helskinnet unna selve datakrypteringen.

For egen del forsøker Telenor å bevisstgjøre egne ansatte og bygge kompetanse om IT-sikkerhet og samtidig ha egen ekspertkompetanse. Men Tangen Nilsen sier det fortsatt kan hende de blir angrepet, slik som i 2013. Derfor er det også på plass teknologiske virkemidler og beskyttelsesmekanismer som sal fange opp hvis noen er uheldig og sørge for at det ikke skal få store konsekvenser.

– Vi skal beskytte våre medarbeidere også, de skal få lov til å gjøre en god jobb uten å uroe seg for sikkerhet hele tiden, sier Tangen Nilsen.