Cybersikkerhet handler ikke bare om å identifisere trusler, men også om å bygge motstandskraft. I løpet av Nasjonal sikkerhetsmåneden 2024 vil vi benytte anledningen til å fokusere på konkrete løsninger som kan hjelpe organisasjoner med å styrke sikkerheten. I stedet for å fremheve utfordringer gir vi praktiske råd og tips basert på vår erfaring innen cybersikkerhet og juss. Våre eksperter deler sine beste anbefalinger for hvordan organisasjoner kan jobbe proaktivt og effektivt for å beskytte seg mot fremtidige risikoer og være med på å bygge en digital verden der alle kan føle seg trygge.
I Norge er oktober den Nasjonale sikkerhetsmåneden. I tillegg til dette gjennomfører EU cybersikkerhetsorgan, ENISA, en kampanje med fokus på økt cybersikkerhet i EU. I Norge er Nasjonal sikkerhetsmåned organisert av NorSIS for å fremheve viktigheten av digital informasjonssikkerhet. I 2022 markerte Knowit sikkerhetsmåneden og publiserte et blogginnlegg om de største utfordringene innen cybersikkerhet på daværende tidspunkt. Det begynte slik:
I den ene vektskålen har vi krig, pandemier og energikrise. I den andre har vi en rask digitalisering, en teknologisk utvikling som begynner å ligne en science fiction-film og kampen for et grønnere miljø. Uansett om det er forferdelige årsaker eller ønsket om å jobbe mot en bedre verden, så har cybersikkerhet blitt den viktigste byggesteinen i vår digitale fremtid.
Det slår meg når jeg leser blogginnlegget at mange, om ikke alle, av de utfordringene som min kollega Åsa Schwarz, forfatter og sikkerhetsekspert hos Knowit, løftet frem da er minst like aktuelle i dag. Cybertruslene er fortsatt like alvorlige – om ikke verre, det nye rettslige landskapet med EUs satsing på Digital Decade (NIS 2, AI Act, CRA, Data Act og så videre) ruller ut nye lovgivninger i høy hastighet og mangelen på kompetanse er et stadig økende problem. Man kan fort kjenne på at dette føles litt overveldende.
Slik avsluttet Åsa sitt innlegg:
Det finnes tusenvis av sikkerhetsprosjekter som har stanset i et forsøk på å løse alle sikkerhetsproblemer på en gang. Vi kommer bare til å rekke de absolutt viktigste.
For at det ikke skal bli sjakk matt i partiet mellom oss og utfordringene er det nettopp det vi skal forsøke å gjøre nå: "Hva er det absolutt viktigste?"
Jeg har bedt mine kolleger om å forklare dette for meg. Hvis det er én ting organisasjoner burde fokusere på akkurat nå, for å ta tak i de utfordringene de står overfor – hva vil det være? I tillegg lenker vi til våre beste blogginnlegg innen cybersikkerhet, hva det er, hvordan man gjør det og andre interessante observasjoner. Listen finner du nederst.
Hva er det absolutt viktigste innen cybersikkerhet for organisasjoner akkurat nå?
Informasjonssikkerhet er en sentral del av alle virksomheters digitaliseringsreise som styrker tilliten hos både kunder og samarbeidspartnere. Ved å se medarbeidere som en strategisk ressurs, der medarbeiderne er utdannet og engasjert i sikkerhetsspørsmål, kan organisasjoner redusere risikoen for datainnbrudd, stans i produksjonen eller levering av tjenester. Når medarbeiderne aktivt deltar i å identifisere og håndtere risikoer skaper man et sterkere sikkerhetsnett. Dette gir ikke bare økt sikkerhet, men også en konkurransefordel gjennom høyere innovasjonsevne og mer effektiv drift.
Et sterkt og omfattende styringssystem som ivaretar Governance of Enterprise IT (GEIT) er nødvendig for å oppnå compliance med lovkrav som NIS2, GDPR, og SOX; og med standarder som ISO 27001, ISO 27701, CIS Controls etc. Styringssystemet må omhandle IT Governance, IT Operations og Information Security og inneholde prosedyrer, retningslinjer og arbeidsinstrukser. For å implementere og realisere styringssystemet må du ha en plan; og en plan for gjennomføring av planen.
Det blir stadig viktigere med dypere kunnskap utover de spørsmålene som tradisjonelt faller innenfor sitt eget kompetanseområdet. Dette innebærer blant annet å forstå den teknologiske utviklingen og dens påvirkning på det gjeldende rettslige landskapet, særlig innen områder som personvern og cybersikkerhet. Gode kommunikasjonsferdigheter er nødvendige for å kunne forklare komplekse spørsmål for personer med andre erfaringer og kvalifikasjoner, noe som igjen styrker effektiviteten og stabiliteten hos de enkelte organisasjonene. Fokus på spørsmål om etikk og sosialt ansvar er avgjørende for å håndtere moderne juridiske utfordringer innen cybersikkerhet, både for organisasjonene og samfunnet.
Identity and Access Management (IAM) er hjertet i en sikker digital virksomhet. Det viktigste for organisasjoner akkurat nå er å sikre at riktige personer har riktig tilgang, til riktige ressurser, til riktig tid. Ved å implementere robuste IAM-løsninger kan organisasjoner ikke bare beskytte sine data og systemer fra uautorisert tilgang, men også forbedre brukeropplevelsen og effektiviteten. En sterk IAM-strategi reduserer risikoen for sikkerhetshendelser og hjelper organisasjoner med å oppfylle regulatoriske krav, noe som igjen styrker tilliten hos kunder og partnere. Å investere i IAM er å investere i organisasjonens fremtid.
Vi må raskt få kontroll over rettigheter, informasjonsklassifisering og våre data for å kunne dra nytte av det store potensialet som kunstig intelligens har. Ellers vil vi enten bli forbikjørt av våre konkurrenter eller så vil sikkerhetsavdelingen bli overkjørt av virksomheten.
Penetrasjonstesting er i en fase preget av betydelige endringer. Etter den store AI-bølgen har antallet AI-drevne systemer økt kraftig, noe som igjen har skapt et større behov for å teste disse systemene. Den økte kompleksiteten i AI-systemer innebærer at penetrasjonstestere nå står overfor nye og mer sofistikerte utfordringer. Det kreves ikke bare nye teknikker og metoder for å identifisere sårbarheter, men også en dypere forståelse for hvordan AI-modeller fungerer og kan manipuleres.
Den største utfordringen – og muligheten – innen cybersikkerhet er, og forblir, å håndtere den menneskelige faktoren. Det holder ikke med tekniske løsninger, vi må skape en sikkerhetskultur der alle i organisasjonen er bevisste på risikoene, vet hvordan, og forstår hvorfor, de skal handle. Ved å drive atferdsendring og kontinuerlig utdanne medarbeidere kan vi redusere risikoen for menneskelige feil og bygge sterkere og mer robust sikkerhetsløsninger. Sikkerhet må bli en naturlig del av arbeidsdagen, ikke bare noe IT-avdelingen har ansvar for.
Vi i Knowit kan ikke si at én anbefaling er bedre enn en annen, men fellesnevneren for anbefalingene er tydelig og klar: cybersikkerhet må på agendaen.
Tiden der IT-avdelingen håndterte cybersikkerhet på egenhånd er forbi.
Cyber risk = Business risk.
Tips til våre tidligere innlegg om cybersikkerhet fra våre svenske kolleger: