Hvorfor må kritisk infrastruktur ta hensyn til cybersikkerhet?
Samfunnskritiske organisasjoner og virksomheter har gjennomgått en rask digitalisering og utvikling det siste tiåret. Under denne perioden har sikkerhetsarbeidet ikke holdt tritt, og det har oppstått et gap mellom digitalisering og sikkerhet. Dette gapet har økt – og fortsetter å øke – og derfor viktigere enn noen gang å redusere denne avstanden og få full fokus på sikkerhetsarbeidet.
Hva er den vanligste måten for en kriminell aktør å komme inn i kritiske systemer?
Det vi ser, som også statistikk viser, er at den vanligste måten å komme inn på en virksomhets kritiske system er gjennom ondsinnet e-post, såkalte phishing-meldinger hvor du lurer mottakeren til å åpne en kobling eller et dokument som inneholder skadelig programvare. Dette er ofte den første veien inn i organisasjonen. En annen vanlig måte å gå inn i organisasjonen på, er gjennom systemer for ekstern pålogging, for eksempel gjennom Citrix-servere, remote desktop-maskiner og lignende. En vanlig årsak til at en kriminell aktør klarer å komme inn på denne måten, er at organisasjonen ikke har oppdatert systemene med riktige sikkerhetstiltak eller har dårlig passord policy.
Det er selvfølgelig også andre metoder, for eksempel leverandøravhengigheter, som angriper forsyningskjeden – noe vi så på slutten av fjoråret i SolarWinds-hendelsen. Dette angrepet resulterte i svært alvorlige konsekvenser for berørte organisasjoner og selskaper, og senest nå i sommer da et angrep hos Kaseya førte til at Coops betalingssystem ble slått ut.
Hva kan samfunnskritiske organisasjoner og virksomheter gjøre for å øke cybersikkerheten?
En forutsetning er å få innarbeidet en levende sikkerhetskultur i hele organisasjonen. Det er ikke noe du kan outsource til en IT-sjef, ansvaret må gå fra styret og helt ut til alle deler av virksomheten. Det er viktig at det er en bevisst holdning til hvordan man jobber for å holde risikoen på et akseptabelt nivå og en bevissthet om hvilke trusler som til en hver tid eksisterer. Sikkerhet kan ikke legges til etterpå – det må være en integrert del av organisasjonen.
Vi må innse at det finnes ulike aktører som ikke ønsker vårt beste, de blir mer og mer sofistikerte og vil til en hver tid prøve å angripe en virksomhets svakeste punkt. For å beskytte oss mot dem, må vi derfor være minst like intelligente i vår beskyttelse av virksomhetskritiske systemer.