Urolige utsikter for 2024

18. januar sto KPMGs cybersikkerhetsekspert, Marianne Aas, på scenen under Women's Board Award. Hun tydeliggjorde viktigheten av at norske styrer og ledergrupper holder seg oppdatert på geopolitisk uro og understreket viktigheten av å ha etablert gode planer og beredskap. – Det må til for å sikre at man tåler eventuelle digitale trusler.

Et geopolitisk bilde i endring

– Budskapet fra Nasjonal sikkerhetsmyndighet (NSM) er tydelig: Økt uforutsigbarhet krever høyere beredskap, og det er ingen tvil om at vi befinner oss i uforutsigbare og urolige tider. Det geopolitiske bildet er i endring og effektene som følger av dette får konsekvenser for norsk næringsliv.

Marianne trekker frem at 2024, i likhet med år preget av pandemi og effekter av klimakrise, sterk polarisering og krig i Europa, vil bli nok et år hvor geopolitisk uro preger hverdagen.

– Norsk næringsliv opererer ikke i et vakuum, og det er klart at fortsatt krig i Ukraina og krigen i Gaza skaper dramatiske ringvirkninger som også påvirker norske selskaper. 2024 er i tillegg et år hvor en tredjedel av verdens befolkning skal gå til valgurnene, og dette øker utsiktene for politisk uro på globalt nivå.

I tillegg til uro, vil den teknologiske utviklingen påvirke store og små virksomheter på tvers av landet.

– 2023 var året hvor kunstig intelligens virkelig ble allemannseie og en del av den daglige driften til flere selskaper. Til tross for at regulatoriske rammeverk er på vei, løper den teknologiske utviklingen foran den regulatoriske, og også dette krever aktsomhet. 

Marianne på scenen under Women's Board Award

Marianne på scenen under Women's Board Award

Viktig med bevisstgjøring

I tider hvor uroen sprer seg, øker også faren for angrep fra digitale trusselaktører. Større trusselrisiko krever at norske virksomheter kartlegger hvor godt rustet de er.

– De siste årene har vi sett flere eksempler på angrep hvor hackere har fått tilgang til, og tatt over, digitale systemer, stjålet informasjon og stengt både fagsystemer og internett. Mindre virksomheter har sett seg nødt til å betale løsepenger for å unngå konkurs, mens store konsern har brukt hundrevis av millioner som følge av angrepene. Når skaden har skjedd er det for sent å begynne forebyggingen. Disse angrepene kan påvirke omdømmet og få enorme økonomiske konsekvenser, understreker hun.

I dag er det i hovedsak to typer digitale, kriminelle aktører norsk næringsliv må forholde seg til: De med mål om økonomisk vinning og statlige aktører med mål om å få tak i informasjon med etterretningsverdi.

– Felles for dem er at de har blitt mer profesjonelle. Heldigvis er ikke flertallet av norske virksomheter etterretningsmål, likevel må alle være klar over at de kan utnyttes til nettopp dette. Dette lærte vi blant annet av hendelsen mot Departementenes sikkerhets- og serviceorganisasjon (DSS) og departementene i sommer, da trusselaktører brukte hjemmerutere for å få informasjon. 

Etterlyser tettere samarbeid

Hun oppfordrer til at norske myndigheter og næringslivet etablerer et tettere samarbeid rundt digital sikkerhet.

– I dag har virksomheter selv ansvar for egen sikkerhet. Norske sikkerhetsmyndigheter og etterretningsinstansers mandat er å varsle om ytre trusler som rammer Norge og norske interesser, rådgi politisk og militær ledelse, koordinere på tvers av tilsyn og etater, og etterforske angrepene når de inntreffer. I dag opererer man hver for seg, men her er det gode muligheter for å få til et mer effektivt samarbeid på tvers, forteller hun.

Skal man få til et godt samarbeid mellom myndighetene og næringslivet, vil det kreve nye strukturer med tydelig rolle- og ansvarsavklaring. I tillegg til at det må inngås avtaler som fastsetter prinsipper for kostnadsdeling, vil tettere samarbeid også kreve nye strukturer for informasjonsdeling.

– I dag er det myndighetene som har best kunnskap om hva statlige aktører i cyber gjør og ikke gjør. Når myndighetene deler sine trussel- og risikovurderinger er de ofte svært overordnede, forteller hun.

Sikkerhetseksperten legger vekt på at det er flere grunner til dette.

– Vurderingene og informasjonen som kommer fra E-tjenesten, PST og NSM er overordnet, blant annet fordi den kan være sikkerhetsgradert. Deling av mer detaljert informasjon er et minefelt, og selv små detaljer kan være avslørende. Likevel må vi løse samarbeidet bedre enn vi gjør i dag, slik at de som skal bygge forsvarsmekanismer i næringslivet har nok detaljer til å utnytte informasjonen.

– Se til Finland

For å få inspirasjon til hvordan samarbeidet mellom norske myndigheter og næringsliv kan struktureres, peker Marianne mot Finland.

– Vi må skape en felles forståelse av hvem som gjør hva, og enes om hvilke oppgaver de ulike aktørene er best egnet til å løse på hver sin kant. Vi må tenke helhetlig om hvordan vi som fellesskap best kan forsvare oss i møte med de nye truslene, og her har vi mye å lære fra Finland, sier hun.

I Finland er totalforsvaret en viktig del av nasjonal sikkerhetskultur, og dette innebærer et tett samarbeid mellom offentlige og private aktører for å sikre landets forsvarsevne.

– Jeg mener vi har mye å lære av våre venner i nord. I Finland samarbeider frivillige organisasjoner tett med myndighetene for å trene frivillige for krisesituasjoner, og private aktører bidrar med utvikling av beredskapsplaner og scenarioer for ulike kriser og trusler. Samtidig samarbeider offentlige og private forskningsinstitusjoner om å utvikle ny teknologi på områder som cyberforsvar, droneteknologi og avansert militærteknologi. Her bør vi la oss inspirere. 

Konkrete råd til hvordan forebygge angrep

Nøyaktig hvordan trusselaktørene vil operere i tiden fremover er vanskelig å forutsi, men de er i rask utvikling, tar i bruk ny teknologi for å utnytte svakheter og sårbarheter, og utnytter uroen som preger verdensbildet. Dette skaper noen nye forventninger til norske virksomheter.

–  Mitt råd til ledelsen og styrer i norske virksomheter er at man bruker tid på å forstå trussel- og risikobildet som preger dagens geopolitiske situasjon. Dette vil gjøre det enklere å justere risikovurderinger i takt med utviklingen. Virksomhetene må selv etablere et forsvarlig sikkerhetsnivå som inkluderer grunnleggende sikkerhetsmekanismer. Om man selv ikke har kompetansen, bør IKT-tjenester kjøpes fra eksperter og man bør benytte seg av skytjenester.

Hun trekker også frem at virksomheter kan dra god nytte av å inngå avtaler med aktører som kan bistå med forebygging, har evnen til å oppdage hendelser og kan bistå hvis de inntreffer.

– Og så må man øve. Øve-øve-øve, avslutter hun. 

Visste du at vi tilbyr sikkerhetssertifisering gjennom våre internasjonalt anerkjente kurs?

KPMGs erfarne kursholdere holder en rekke sertifiseringskurs innen sikkerhetsledelse, risikostyring og personvern for å styrke dine ansattes kompetanse. Se kurskalenderen her.


Nysgjerrig på hvordan vi kan hjelpe deg med cybersikkerhet? Ta kontakt