I en ny KPMG-undersøkelse bekrefter nordiske IT-ledere at angrepsflaten, altså steder der en angriper kan komme seg inn i systemene, har økt under Covid-19-krisen. Samtidig har pandemien tydeliggjort en særlig mangel på kompetanse innen cybersikkerhet.

– Det har skjedd veldig mye det siste halvåret når det gjelder sikkerhetsbildet og cybersikkerhet, sier Marianne Aas, direktør i KPMGs cybersikkerhetsavdeling.

– I hovedsak er det akselereringer av digitaliseringsprosesser som allerede var igangsatt før pandemien. Mange ting har gått mye raskere fordi man har vært nødt til å handle raskt, og når virksomheter skal få på plass ting veldig raskt er det ikke alltid sikkerhet blir prioritert i alle prosessene. Det er nok en del etterslep på sikkerhetssiden, og vi merker at vår avdeling har godt trykk om dagen, for å si det sånn.

CIO Survey er KPMGs årlige, globale undersøkelse blant IT-ledere. Årets rapport viser at et stort antall nordiske IT-ledere mener Covid-19-krisen har ført til en økning i angrepsflaten. Med andre ord – det har blitt flere steder der en angriper kan komme seg inn i systemene. Aas støtter dette.

– Ja, sårbarhetsflaten har økt. Fordi de fleste medarbeidere er sendt på hjemmekontor, er de ikke lenger knyttet til det trygge opplegget og systemet på virksomheten. Så man har måttet sette opp ulike typer løsninger for å få ting til å fungere hjemmefra. Kanskje bruker man andre typer enheter hjemme, kanskje jobber man på ulike typer nett. I tillegg har mange virksomheter måtte gi midlertidige tilganger for å få systemer til å virke. Slike ting må man rydde opp i. Den flaten som en virksomhet har ut mot verden blir straks mer kompleks når man sender folk hjem. Men den har også blitt gradvis mer kompleks gjennom økt digitalisering, tjenesteutsetting, og alt som skjer uavhengig av hjemmekontoret.

Aas bekrefter at det særlig innledningsvis under pandemien var en stor økning i aktivitet. Det var for eksempel en voldsom økning av nye domener med covid-19-tematikk.

– Vi antar at mye av dette brukes av trusselaktører for å bedrive kriminell aktivitet. Og at aktiviteten har økt, det kommer tydelig frem i rapporten. Det er egentlig ikke overraskende at trussel-aktører vil forsøke å utnytte en krise som dette. 

Hjemmekontor skaper utfordringer

Andreas Orset er seniorrådgiver i avdelingen til Aas. Han mener det er liten tvil om at utstrakt bruk av hjemmekontor har skapt sikkerhetsmessige utfordringer for mange.

– Mange virksomheter som før ikke praktiserte hjemmekontor, gikk plutselig over til å gjøre det i svært stor grad. Og de gjorde det uten å ha fått vurdert og iverksatt nødvendige sikringstiltak. Når man lar ansatte jobbe fra eget hjem vil nye sårbarheter gjøre seg spesielt gjeldende. Det er for eksempel ikke like enkelt å ha oversikt over IT-utstyr, nettverkskomponenter eller dataflyt. En angriper får større mulighetsrom der de kan utnytte et større antall sårbarheter enten de er tekniske, menneskelige eller organisatoriske. 

CIO-rapporten viser at IT-lederne mener Covid-19 har ført til et økt behov for cybersikkerhet. Orset påpeker at mange virksomheter også har vært gjennom betydelige endringer i måten de arbeider på.

– Hurtig implementering av nye teknologiske løsninger, økt kompleksitet i infrastrukturen og utstrakt bruk av hjemmekontorløsninger er ikke uproblematisk sett i lys av den økte trussel-aktiviteten vi har sett siden utbruddet av Covid-19. Mitt inntrykk, som også rapporten viser, er at mange virksomheter er bevisst disse utfordringene og investerer i cybersikkerhet. I henhold til rapporten sier nesten halvparten av respondentene at sikkerhet og personvern er den viktigste investeringen de nå foretar. 

Både Aas og Orset er opptatt av hvordan pandemien har satt ytterligere fart i digitaliseringen i mange virksomheter, blant annet gjennom investeringer i skyteknologi.

– Vi ser at stadig flere kjøper ulike skyløsninger, som gir mulighet til å etablere god sikkerhet. Så jeg håper flere drar ordentlig nytte av den teknologien som er tilgjengelig, sier Marianne Aas, og fortsetter:

– Å få til god sikkerhet er en kombinasjon av mange ting. Man snakker ofte om mennesket som det svakeste leddet, og det er helt klart en del av bildet. Men man kan bruke teknologien og de innebygde sikkerhetsmekanismene som er tilgjengelige, for eksempel ved hjelp av automatisering, til å fjerne en del valg for den enkelte medarbeider.  

Cyberhendelser er uungåelig

Andreas Orset mener nordiske IT-ledere i stadig større grad er bevisst risikoene i det digitale domenet. Han peker blant annet på økningen i bruk av løsepengevirus, som en type cyberangrep som synliggjør de direkte finansielle konsekvensene som kan følge av et angrep.

– Sånne hendelser bidrar til styrket forståelse av de potensielle konsekvensene. Den siste tiden har også media dekket flere alvorlige cyberhendelser, deriblant cyberhendelsen på Stortinget.

Orset understreker at det i 2020 ikke lenger er snakk om «dersom» virksomheter blir truffet av et cyberangrep, men «når».

–  Skal virksomheten evne å håndtere hendelsen på en effektiv måte er det en del tiltak som bør være på plass allerede før hendelsen inntreffer. NSM (Nasjonal sikkerhetsmyndighet) har oppsummert de viktigste syv tiltakene basert på erfaringer fra 2020. Jeg vil anbefale IT-ledere å prioritere disse tiltakene, da de vil bidra til effektiv hendelseshåndtering som kan redusere de betydelige økonomiske konsekvensene som kan følge av et cyberangrep.

Han påpeker at det ligger stor verdi i at virksomheter tørr å være åpne om hendelser, som bidrar til bevisstgjøring og deling av viktig informasjon.

Noen høydepunkter fra CIO Survey - Norden

  • Nær halvparten av de nordiske IT-lederne mener Covid-19 har ført til en økning i angrepsflaten og økt behovet for cybersikkerhet
  • Covid-19 har tydeliggjort en særlig mangel på kompetanse innen cybersikkerhet
  • Et flertall av IT-lederne forventer at mellom 20 og 30 prosent av selskapets ansatte vil jobbe primært fra hjemmekontor også etter covid-19.
  • Mange av IT-lederne mener mangel på kompetanse hindrer organisasjonen i å holde tritt med tempoet i endringene som skjer. 
  • Et flertall av IT-lederne forventer at antallet IT-/teknologiansatte i bedriften kommer til å øke i løpet av det neste året.
  • Et stort flertall av IT-lederne mener covid-19 har ført til i et varig økt samarbeid mellom forretnings- og teknologavdelingene i selskapene.