Hacking på styrebordet: Tre toppledere om cybersikkerhet
Sikkerhet er virkelig blitt en del av toppleders agenda. Vi har intervjuet topplederne i DNB, Skatteetaten og DSB om deres perspektiv på cybersikkerhet.
Cybersikkerhet er ikke lenger noe for IT-avdelingen alene, men er noe som jevnlig diskuteres i toppledelsen og på styrenivå i norske virksomheter. Les hva DNBs Ingjerd Spiten, skattedirektør Hans Chr. Holte og beredskapsdirektør Cecilie Daae tenker om det stadig mer komplekse trusselbildet.
I november samler Dataforeningens faggruppe for informasjonssikkerhet enda en gang topper i norsk samfunnsliv til konferansen Cybersikkerhet i styrerommet.
Konferansen åpnes av statssekretær i Justis- og beredskapsdepartementet Karianne Hansen. Hun blir etterfulgt av tre lyntaler fra nettopp Ingjerd Blekeli Spiten, Hans Christian Holte og Cecilie Daae. De tre skal dele sine perspektiver på trusselbildet i cyberspace.
Her får du en forsmak på hva de tenker og gjør i DNB, Skatteetaten og Direktoratet for samfunnssikkerhet og beredskap.
Brev fra Ingjerd
— Datasvindlere har ved flere anledninger sendt ut moderne versjoner av «nigeriabrev» hvor de har gitt seg ut for å være meg, og identifisert seg med falskt pass, forteller Ingjerd Blekeli Spiten.
— Det finnes utallige falske epostadresser med navnet mitt i alle tenkelige varianter, sier hun.
Det handler ikke bare om angrep rettet mot DNBs kunder eller bankens datasystemer, men også om identitetstyveri hvor topplederne selv er i skuddlinjen.
— I det siste har jeg fått mange henvendelser hvor folk har spurt om det virkelig er jeg som har kontaktet dem for å få hjelp til å overføre penger. Opprinnelsen er ofte Sør-Afrika eller Namibia, og jeg har også opplevd at svindlerne har brukt et falsk pass som bevis for at det er meg.
CEO-svindel
Hun er ikke alene om å være utsatt for varianter av såkalt «CEO-svindel», som er eposter som utgir seg for å være fra toppsjefen eller andre autoriteter. Epostene instruerer gjerne mottakeren om å overføre penger til en kundekonto i utlandet.
Denne type svindelforsøk utvikler seg i takt med nye teknologiske muligheter. Nylig fikk spiralen en ny omdreining da en toppsjef i et britisk selskap fikk en telefon hvor svindlerne hadde syntetisert stemmen til sjefen i det tyske morselskapet. Den falske telefonstemmen instruerte den britiske kollegaen om å overføre 240.000 dollar til en underleverandør i Ungarn. Pengene ble overført og forsvant.
— Trusselbildet blir stadig mer komplekst, sier Spiten. — Slik vi bare så på film for få år siden er nå blitt en daglig realitet.
Toppledere må forstå
— Har dette også gitt en større bevissthet om datasikkerhet i styre og ledelse?
— For oss har det skjedd et skifte de siste par årene. Tidligere var nok dette i større grad IT-avdelingens domene. Nå får konsernledelsen kvartalsvise gjennomganger hvor vi får en oppdatering på trusselbildet generelt og mer spesifikt i forhold til banken,. Våre sikkerhetseksperter er blitt mye bedre til å forklare trusselbildet.
— Hva er ditt råd til styre og toppledelse i norske virksomheter?
— Dette må toppledere sette seg inn i og forstå. Du må forstå for å kunne agere. I det du er i situasjonen har du ikke tid til å sette deg inn i sakene.
Ikke bekymret for skattepengene
Skattedirektør Hans Christian Holte bekrefter bildet som tegnes av DNBs konserndirektør om økende og stadig mer sofistikert kriminell aktivitet i cyberspace.
I Skatteetaten er det ikke nødvendigvis skattepengene de er mest bekymret for, selv om også skattedirektøren opplever forsøk på CEO-svindel.
— Vi ser et bredt og sammensatt bilde av trusler, fra klassisk hackeraktivitet til kriminelle nettverk til angrep fra andre nasjoner, sier Holte. — Angrepene er blitt mer komplekse og avanserte, krevende og sammensatte, og kan handle om alt fra industrispionasje, til å tjene penger, til etterretning.
— Hva er det mest skremmende dere har blitt utsatt for?
— Det går mer på det jevne fra dag til dag. Men siden du spør: Det mest skremmende jeg har opplevd er de øvelsene vi har rigget til selv. Vi sitter på Folkeregisteret og andre kritiske systemer, og vi må være forberedt på alt fra terroraksjoner i lokalene til cybersikkerhet.
Folkeregisteret hacket?
— Kunne Folkeregisteret bli hacket, og hva ville konsekvensene vært?
— I teorien er det selvsagt mulig. Konsekvensene ville være avhengig av hva som konkret ble gjort. I verste fall ville integriteten i registeret bli kompromittert slik at vi ikke lenger kunne være sikre på at dataene våre er korrekte.
— Hva gjør dere for å beskytte dere mot disse truslene?
— Det er et møysommelig arbeid, hvor det viktigste stikkordet er bevissthet i alle deler av organisasjonen. Det er noe med å sørge for at det ikke er mange svake ledd. Det går på alt i fra å utvikle ryggmargsreflekser på ikke å klikke ukjente linker til å oppdage forsøk på sosial manipulasjon.
Økende bevissthet
— Hvordan opplever du at bevisstheten er i sin alminnelighet i det norske samfunnet?
— Jeg opplever at det er en økende bevissthet hos toppledere. Du har på en måte ikke gjort jobben din fullt ut hvis du ikke har det på radaren som leder i offentlig eller privat virksomhet.
— Er det grunn til å vifte med det røde flagget?
— Jeg vil heller si noe sånt som at det er en viktig del av det vi må følge med på og jobbe med.
44% er redde
Også den jevne borger av Norge er bekymret for cyberkrim.
— Vi gjennomfører en befolkningsundersøkelse hvert år hvor vi undersøker hvor forberedt folk er, forteller Cecilie Daae, direktør i Direktoratet for samfunnssikkerhet og beredskap (DSB).
— Da spør vi også om hva de er mest bekymret for. 44% svarer at de er mest bekymret for cybersikkerhet, og antallet har økt.
Robusthet
DSB har et mye bredere perspektiv på sikkerhet enn det som handler om cybersikkerhet.
— For oss handler det om alt fra klimaendringer til cybersikkerhet, sier Daae.
— Dette med digitalisering og trusler i cyberspace er bare et element i et stort og krevende bilde. Og i DSB er vi ikke like opptatt av hva som rammer oss, som at vi er robuste nok til å takle det.
Plan B
Viktige samfunnsområder, som infrastruktur, strøm og vann, er i dag sårbare for dataangrep.
— Når vi digitaliserer bygger vi samtidig inn mye sårbarhet. Det er viktig å ha redundante systemer og sikre at man har en plan B.
Truslene er ikke imaginære.
— Det er nok å nevne angrepene mot Hydro, fylkesmennene og hendelsene i Helse Sørøst, sier Daae.
— Hva tenker du om bevissthetsnivået på toppledernivå?
— Jeg oppfatter at man i økende grad er klar over risikoen, ikke minst knyttet til at vi har hatt flere konkrete hendelser. Men derfra til å gjøre noe med det er ikke alltid like klart.
Delt ansvar
Hvem som har det endelige ansvaret for cybersikkerhet på samfunnsnivå er ikke helt åpenbart.
— Det er riktig at vi er mange aktører som deler ansvaret. Nasjonal sikkerhetsmyndighet (NSM) er helt sentrale. Vi i DSB har et samordnings og koordineringsperspektiv. Og det er viktig å understreke at for denne type utfordringer må alle sektorer og aktører ta sitt eget ansvar. De enkelte virksomheter må kjøre sine egne krise-scenarier og lage handlingsplaner. Fokus må være å bygge systemer som er robuste nok til å motstå angrep.
Lever av å bekymre seg
— Hva er du mest bekymret for?
— I utgangspunktet alt, ler hun. — Jeg lever jo av å bekymre meg. Men den situasjonen som vil være mest krevende for Norge er hvis vi får flere parallelle, sammensatte angrep som rammer ulike sektorer. Da er det vanskelig å avdekke tidlig nok at dette henger sammen.
— Veldig mye handler om sikkerhetskultur og bevissthet. Folk er ikke så forberedt som ønskelig.
— Burde jeg bygge en bunkers og hamstre hermetikk?
— Nei, ikke gjør det. Men du skal huske at du og alle andre innbyggere i Norge er en del av landets beredskap. Vi trenger alle å ha plan B: hva gjør vi hvis store deler av infrastrukturen går ned?
— Men ikke bygg en bunkers.
Tredje år på rad
I november samler Dataforeningens faggruppe for informasjonssikkerhet enda en gang topper i norsk samfunnsliv til konferansen Cybersikkerhet i styrerommet.
— Det er tredje år på rad vi arrangerer Cybersikkerhet på styrerommet, sier Renate Thoreid, leder av fagmiljøet informasjonssikkerhet i DND og til daglig Business Security Officer i Telenor. — Arrangementet skal bidra til økt kompetanse og ledelsesfokus i norske styrerom. Sikkerhetsansvaret er ikke bare forbeholdt sikkerhetsansvarlige og teknisk personell, sier hun.
Les også
Faggruppen Informasjonssikkerhet (Sør-øst)
Faggruppen er en møteplass for medlemmer som vil styrke sin kompetanse - ved overføring av så vel praktisk kunnskap som erfaringer og aktuelle løsninger, samt spre kunnskap om informasjonssikkerhet.