Skip to main content

    Kronikken er også publisert på Digi. no

    Av Robert Sagmo, strategisk rådgiver i Netsecurity og Frode André Svendsen, leder for storkundesalg i GlobalConnect  

    Det er et gammelt norsk ordtak som heter at man kan spare seg til fant. Når strømregningene hoper seg opp, importen blir dyrere og rentene stiger, kan det være fristende å kutte kostnader rund baut. Det kan straffe seg.

    Økende trusselbilde

    Ifølge Nasjonal Sikkerhetsmyndighet (NSM) har antallet alvorlige cyberangrep mot norske myndigheter og bedrifter tredoblet seg siden 2019. Norske virksomheter utsattes for en vedvarende og svært aktiv trussel. Hackere skanner stadig nettverkene våre for å avsløre sårbarheter som de kan utnytte selv i et målrettet angrep, eller selge til andre på det svarte markedet.

    Og mørketallene er store. Det vil alltid være aktivitet i cyberdomenet som vi ikke klarer å avdekke. NSM understreker derfor at fravær av bevis på aktivitet ikke er det samme som bevis på fravær. Vi vet også at det i gjennomsnitt tar 90 dager fra en bedrift har blitt utsatt for et angrep, til angrepet oppdages. Det er nemlig ikke sikkert at angriperne utfører noen skadelige handlinger umiddelbart etter at de har skaffet seg tilgang til systemene dine.

    I løpet av de siste årene har vi sett en rekke eksempler på hvordan nettkriminalitet har avslørt robustheten – eller mangelen på sådan – til selskapers digitale infrastruktur. Likevel viser det seg at både store og små bedrifter på langt nær er tilstrekkelig forberedt.

    70 % vil ikke øke investeringer i it-sikkerhet

    IT og sikkerhet har rykket opp på ledelsens agenda etter pandemien. I GlobalConnect spurte vi nå i vinter 250 administrerende direktører, finansdirektører og IT-direktører i norske bedrifter om den digitale virkeligheten i deres organisasjon.

    Ifølge undersøkelsen vil 70 prosent av norske bedrifter holde investeringene i IT-sikkerhet på samme nivå som i fjor, mens bare 25 prosent sier de vil øke sikkerhetsinvesteringene. Det er dystre tall, for nedprioritering av sikkerhet kan bli en kostbar øvelse.

    Økende bevissthet – men mangel på handling

    Som leverandører av digital infrastruktur og sikkerhetstjenester har vi god innsikt i hva norske organisasjoner prioriterer – og hva de prioriterer bort.

    Disse tallene overrasker oss ikke veldig mye. Det handler ikke om at investeringene i IT-sikkerhet er på «et riktig nivå». Trusselbildet tilsier at det absolutt burde vært en økning. Men vi tror at årsaken er at mange virksomheter fremdeles mangler innsikt og kunnskap om egen risiko og derfor ikke kan gjøre gode nok vurderingen av investeringer og prioriteringer av IT-sikkerhet.

    Svak situasjons- og risikoforståelse i ledergrupper og styrerom, vil igjen påvirke prioriteringer og budsjetter til sikkerhetsarbeidet.

    Når det er sagt, ser vi at det ikke holder å snakke med IT-direktører eller IT-driftsmiljø når det kommer til IT-sikkerhet. For å få en god forståelse i hele virksomheten, ser vi at vi er nødt til å skape en forankring helt opp i ledergrupper og styrerom. Da ser vi at investeringsviljen med en gang blir en annen – rett og slett fordi de har fått en bedre forståelse for trussel- og risikosituasjonen til bedriften.

    Vårt digitale ansvar som leverandører

    Dagens digitalisering og tjenesteutsetting gir økt behov for digital sikkerhet i virksomheter, men også tydeligere og bedre krav overfor underleverandører. Som bransje har vi en viktig oppgave i å øke forståelsen og kunnskapsnivået hos norske virksomheter gjennom å forklare trusselsituasjonen og hvilken risiko hver enkelt virksomhet løper om de ikke tar dette på alvor. Når bevisstheten og kunnskapen er på plass, er veldig mye gjort.

    Beskyttelse fremfor etterpåklokskap

    Mange bedrifter er langt fra tilstrekkelig beskyttet mot angrep, og når angrepet treffer får det langt større og langvarige konsekvenser enn nødvendig. For noen blir det et spørsmål om å overleve når virksomheten og omsetningen er nede i lang tid.

    Når katastrofen inntreffer, vil alle investere i it-sikkerhet. Men det er for sent å sette opp en brannvarsler når brannen er slukket. Anbefalingen er derfor ikke å vente til du blir angrepet; kom angriperne i forkjøpet. Fordi beskyttelse koster så mye mindre enn kostnaden du må betale for å komme deg på beina igjen etter en uønsket hendelse.

    Robert Sagmo
    Skrevet av Robert Sagmo
    Strategisk rådgiver
    Oslo

    Drammensveien 288

    0283 Oslo

     

    Bergen

    Sandviksbodene 1

    5035 Bergen

    Stavanger

    Kanalsletta 4

    4033 Stavanger

    Grimstad

    Bark Silas vei 5

    4876 Grimstad

    Kristiansand

    Dronningens gt 12

    4610 Kristiansand

    Stockholm

    Kammakargatan 22

    111 40 Stockholm