Den pågående digitaliseringen fører til at stadig flere IKT-systemer introduseres og eksponeres i det digitale rom, og både teknologiene og trussellandskapet utvikles kontinuerlig.
Nasjonal sikkerhetsmyndighets (NSM) sikkerhetsfaglige råd tegner en sikkerhetspolitisk situasjon i kraftig endring. NSM hevder at Norge står overfor betydelige sikkerhetsutfordringer mot 2030, og understreker at det norske samfunnet er avhengig av felles innsats og samarbeid mellom myndigheter, virksomheter og befolkningen for å oppnå tilstrekkelig motstandsdyktighet mot sammensatte trusler og sikkerhetstruende virksomhet.
PST hevder at norske virksomheter kan ta enkle grep mot sårbarheter. Et fellestrekk ved mange vellykkede nettverksoperasjoner er nemlig at trusselaktøren har utnyttet sårbarheter som i ettertid har vært enkle å lukke. Dette inkluderer for eksempel gjenbruk av passord, mangel på to- eller multifaktorautentisering eller utdatert programvare, alt som følge av at sikkerhetsstyringen og- bevisstheten har vært for lav.
Myndighetene har som oppgave å påse at det nasjonale sikkerhetsarbeidet styrker virksomhetenes evne til å oppnå en forsvarlig sikkerhetstilstand. I en verden med et stadig økende digitalt trusselbilde og avhengigheter mot digital infrastruktur, er det behov for reguleringer som gjør oss best mulig rustet mot angrep. Stortinget behandler nå Norges første lov om digital sikkerhet basert på EU-direktivet NIS1. Det er ingen tvil om at dette vil berøre mange norske virksomheter i tiden fremover, og vi vet at mange nå trenger å forstå hva dette betyr for sin virksomhet. Denne loven og EUs nylige vedtatte NIS2-direktiv vil trolig få store konsekvenser for norske virksomheter, både når det kommer til sikkerhetstiltak og krav til dokumentasjon. Virksomheter innen flere sektorer må forholde seg til nye krav til cybersikkerhet, tilsyn og mulige myndighetssanksjoner.
Videre hevder NSM at norske virksomheter står helt sentralt i det forebyggende sikkerhetsarbeidet, og de anbefaler blant annet at norske virksomheter bør forbedre evnen til å avdekke, forhindre og håndtere innsiderisiko. I tillegg til å styrke evnen til å avdekke, forhindre og håndtere økonomiske virkemiddelbruk. PST hevder i sin nasjonale trusselvurdering at norske virksomheter vil bli utsatt for skjulte og fordekte forsøk på anskaffelse av varer og teknologi, for å omgå sanksjonsregimer og eksportkontrollregleverket.
I en verden der alt skjer stadig raskere, er det viktig at teknologileverandører hjelper sine kunder med å være relevante, smidige og lønnsomme. Tilstrekkelig informasjonssikkerhet og etterlevelse av personvernkrav er en forutsetning for å få til dette.
Leverandøren bør ha kompetansen til å tolke krav til risikostyring, og hjelpe kunden med iverksetting av sikkerhetstiltak i rimelig forhold til den forretningsmessige konteksten og risikoappetitten. Alt for å forebygge og minimere virkningen av digitale hendelser.
Det er vesentlig for norske virksomheter å styrke sitt samarbeid med leverandørene sine og sette søkelys på sikkerhet gjennom hele leveransen. Virksomhetenes arkitektur vokser, og det er utfordrende å opprettholde god oversikt over enheter og avhengigheter. Leverandøren kan støtte kunden med kvalitetssikring, verdikartlegging, og risiko- og sårbarhetsvurderinger av verdikjeder. Tett samarbeid og kjennskap til trussel- og risikobildet er avgjørende for å avdekke sårbarheter og oppdage mulig sikkerhetstruende økonomisk virkemiddelbruk.
Ta gjerne kontakt med Adrian, Cybersikkerhetsrådgiver i Knowit, hvis du vil vite mer eller dele dine synspunkter rundt dette.