Jeg synes det er umåtelig bra når riksdekkende media skriver om datasikkerhet, og det er spesielt bra når seriøse aktører som Dagens Næringsliv (DN) gjør det. De har gjort det før, og de gjør det igjen nå. Denne gangen om hackere som jakter på norsk spissteknologi, og at alvorlige dataangrep mot norske interesser er doblet på tre år. Jeg skulle gjerne sett at artiklene hadde et positivt fortegn, men det har de dessverre ikke. Og det er nok lenge til de får det, for sikkerhetstilstanden i Norge – og de fleste andre land – er begredelig. DN har viet forsiden og to sider inne i avisen til denne saken. Bra!

Årets sikkerhetstilstand

NSM-logoArtikkelen er skrevet i forbindelse med at Nasjonal Sikkerhetsmyndighet (NSM) har publisert “Sikkerhetstilstanden 2014” som er en årlige tilstandsvurdering fra NSM. Den gis betimelig ut i forbindelse med NSMs sikkerhetskonferanse 2014 som er en av de viktigste og best besøkte konferanser på sitt område i Norge. I år ble den arrangert 18-19. mars i Oslo med rekordmange deltager med ca. 650 personer. Jeg var der i forbindelse med at Ensafer var et av seks norsk kryptoprodukter som fikk presentere seg, noe jeg kommer tilbake til i et eget blogginnlegg.

Artikkelen i korte trekk

Jeg skal ikke referere DNs artikkel ord for ord, ei heller gjennomgå tilstandsvurderingen fra NSM (skal skrive et eget blogginnlegg på det senere). Men la meg ta ut noen hovedpunkter fra artikkelen, og da starte med en ganske urovekkende ingress:

“På tre år er antallet alvorlige hackerangrep mot norske bedrifter mer enn doblet, ifølge Nasjonal sikkerhetsmyndighet. Ved flere av tilfellene har angriperne herjet i datasystemene i flere år før de ble avslørt.”

Videre skriver de at NSM i fjor registrerte 15.815 sikkerhetshendelser på nett i hht. tilstandsrapporten nevnt ovenfor. Femti av hendelsene karakteriseres som “alvorlige” hackerangrep, og de tre siste årene er slike alvorlige angrep mer enn doblet. Det mest skremmende, i tillegg til selve økningen av angrep, er hvor målrettede angrepene er, sier NSM. Som hovedfunn i tilstandsrapporten nevner DN følgende:

  • Mange virksomheter mangler oversikt over sine egne verdier og egen sikkerhetstilstand.
  • I noen tilfeller er sikkerhetsarbeidet så lavt prioritert at evnene til å forebygge eller håndtere sikkerhetshendelser vil være svært begrenset.
  • Virksomheter kjøper inn kommersielle sikkerhets­produkter, herunder brann­murer og antivirus­løsninger, som ikke er egnet til å stoppe annet enn kjent skadevare.
  • Enkelte virksomheter gjennomfører ikke nødvendige sikkerhetsoppdateringer og benytter ikke-godkjente IKT-systemer.
  • En tredjedel av tilsyns­objektene kunne ikke dokumentere at sikkerhets­graderte informasjonssystemer hadde nødvendig sikkerhets­godkjenning.

Manglende lederansvar

NSM bemerker i rapporten at topp­lederne i svært liten grad blir målt på sikkerhet, og bevisstheten rundt sikkerheten er tilsvarende liten. En hovedutfordring er manglende lederforankring og risikoforståelse samt grunnleggende sikkerhets­arbeid, heter det i rapporten. NSM anbefaler at det private næringslivet implementerer mål- og resultatkrav på sikkerhet i sine organisasjoner. Å ikke iverksette slike krav og tiltak kan være utslagsgivende på bunnlinjen, mener de.

Dette mener jeg er et av de alvorligste funnene, og er noe som må korrigeres dersom norske virksomheter skal ta datasikkerhet på alvor. Uten lederansvar og -involvering, ingen forbedring. Slik det er med alle kritiske og strategiske områder i en virksomhet – slik datasikkerhet har utviklet seg til å bli.

Vel, la meg ikke “avsløre” mer nå. Les resten av DN-artikkelen her, og kos deg med tilstandsrapporten til NSM her. Nedenfor er en faksimile av DN-oppslaget med forsiden og to sider inne i avisen.

Dagens Næringsliv (18.03.14)