Er din virksomhet digitalt robust?

De siste årene med pandemi og krig i Europa har vist at vi må være robuste og forberedt på det utenkelige. For virksomheter betyr robusthet styrket evne til å håndtere det uforutsette, og til å opprettholde drift gjennom sikring av virksomhetens forretningsprosesser.

En virksomhets robusthet blir spesielt utfordret digitalt. Cybertruslene er dynamiske og sammensatt av ulike virkemidler som rammer uavhengig av geografi, bransje eller virksomhetens størrelse. Alle kan rammes. Ettersom det meste i dag er digitalisert, er virksomhetens verdier og verdikjeder i prinsippet noen tastetrykk unna uvedkommende – dersom de ikke sikres.

Ansvaret ligger hos ledelse og styre Å sikre en virksomhets digitale grunnfundament er et ansvar som ligger hos virksomhetens leder og styre. De må i tillegg forholde seg til digitale verdikjeder som strekker seg ut nasjonalt og internasjonalt – og som kan gjøre det vanskeligere å bli «digitalt robust». Men det er mulig, og ledere og styre bør aktivt prioritere rapportering på IKT-sikkerhet innad i egen virksomhet.

NSMs grunnprinsipper for IKT-sikkerhet definerer et sett med prinsipper og underliggende tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. Grunnprinsippene er delt inn i fire kategorier, og danner et godt grunnlag for virksomheter som vil øke sin digitale robusthet:

• Identifisere og kartlegge

• Beskytte og opprettholde

• Oppdage

• Håndtere og gjenopprette

Du kan lese mer om NSMs grunnprinsipper og tilknyttede tiltak på nsm.no/gp.

Sett deg inn i mulige konsekvenser

Digital robusthet kan bidra til å redusere, og i mange tilfeller også forhindre, uønskede digitale trusler eller angrep, dersom virksomheten tar de riktige grepene på forhånd. Ledelsen bør derfor ha innsikt i hvilke konsekvenser et cyberangrep kan medføre og hva som da kan skje med virksomhetens verdier.

Ledere bør vurdere:

• Hvor lenge virksomheten kan virke uten tilgang til egne data.

• Om virksomheten tåler at data kompromitteres til uvedkommende eller offentligheten.

• Om man i det hele tatt klarer å gjenopprette virksomhetens systemer. Kompleksiteten er som regel mye større enn man er forberedt på.

Digital robusthet anbefales å være et av de faste rapporteringspunkter i leder- og styremøte. Eksempelvis:

• Hva er status i virksomheten når det gjelder digital robusthet?

• Hvilke trusler skal virksomheten beskyttes mot, og hvilke tiltak bør prioriteres.

Del kunnskap internt, slik at alle ansatte forstår at de via årvåkenhet og trusselforståelse kan bidra til økt digital robusthet. Ved å etablere rutiner for å rapportere, dele erfaringer og evaluere internt, kan det å rapportere på cybersikkerhet likestilles med for eksempel å rapportere på salgsresultater. Vi prioriterer og rapporterer det vi blir målt på! Virksomheter anbefales å etablere kriterier å måle etter, gjerne basert på Nasjonal sikkerhetsmyndighets grunnprinsipper for IKT-sikkerhet.

Stor betydning for samfunnet

Å investere i økt digital robusthet vil gi virksomhetens ledere og styre mulighet til å forebygge uønskede digitale hendelser, og med det sikre både nåværende og kommende verdier og investeringer. Det har samlet sett også en stor samfunnsmessig betydning, fordi vi alle er avhengige av digitale verdikjeder som knytter oss sammen. Ett tiltak i én virksomhet kan også være et viktig bidrag ut i de felles digitale verdikjedene vi har sammen og dermed bidra til et mer digitalt robust samfunn.

Kilder: nsm.no: Digital utpressing for virksomhetsledere

NSM Nasjonalt cybersikkerhetssenter (NCSC) er en arena for nasjonalt og internasjonalt samarbeid innen deteksjon, håndtering, analyse og rådgivning knyttet til digital sikkerhet. Senteret omfatter partnere fra næringsliv, akademia, forsvar og offentlig sektor som bidrar aktivt inn i et gjensidig samarbeid for et mer robust digitalt Norge. NCSC er også ansvarlig for NSMs kvalitetsordning for hendelseshåndtering, som i dag består av seks virksomheter som tilfredsstiller NSMs krav. I tillegg til å ha den nasjonale responsfunksjonen for alvorlige digitale dataangrep i Norge, drifter NCSC det nasjonale varslingssystemet for digital infrastruktur (VDI). NCSC bistår også politikere utsatt for hacking og falske profiler på sosiale medier med sin sosiale medier-beredskapsordning.

NSMs rapport «Risiko» er én av tre offentlige trusselog risikovurderinger som utgis i første kvartal hvert år. De øvrige gis ut av Etterretningstjenesten og Politiets sikkerhetstjeneste.

Risiko 2023 beskriver hvordan trusselaktører kan utnytte sårbarheter hos virksomheter og i samfunnet, og hvilken risiko dette medfører. Målet med rapporten er å gi virksomheter bedre forutsetninger for å sette sikkerhetsarbeid i en bredere kontekst. Dette er spesielt viktig for virksomheter underlagt sikkerhetsloven, men også for andre. Rapporten inneholder eksempler og anbefalte tiltak for norske virksomheter for best å beskytte seg mot spionasje, sabotasje, terror og sammensatte trusler.

Last ned årets rapport fra nsm.no/risiko2023

Nasjonalt digitalt risikobilde er NSMs årlige rapport for å øke bevisstheten og motivere til bedre digital sikkerhet i offentlige og private virksomheter. Rapporten henvender seg til ledere og personell med sikkerhetsoppgaver i alle sektorer, og tar opp problemstillinger knyttet til samfunnssikkerhet, statssikkerhet og individsikkerhet innenfor det digitale domenet.

Finn rapporter med nasjonalt digitalt risikobilde på nsm.no

Nasjonal sikkerhetsmyndighet tar imot varsler om hendelser innen flere av våre fagområder. Det gjelder både rapportering av uønskede hendelser etter sikkerhetsloven og varsling av uønskede hendelser og datainnbrudd.

Se informasjon om rutiner og fremgangsmåte for varsling på nsm.no/varsle

SecuWine AS er et norsk programvareselskap etablert tilbake i 2016. Selskapet utvikler og leverer sikker kommunikasjonsprogramvare i Norden og på det globale markedet. Vårt basisprodukt er den generiske appen SecuWine Messenger som gir videosamtaler, lydsamtaler og meldinger med ende-til-ende kryptering og GDPR Compliance på iOS og Android mobiltelefoner og nettbrett. I løsningene er også signaleringen kryptert og man unngår dermed problemer med MiTM Attack. Våre løsninger fungerer globalt med full HD-video og topp lydkvalitet. Selskapet holder til på Forus utenfor Stavanger. Innen sikker kommunikasjon tilbyr selskapet følgende løsninger:

• SecuWine Messenger, med videosamtaler, lydsamtaler og meldinger med ende-til-ende kryptering. Dette er en generisk løsning som er lansert globalt. Last ned og installer appen ved å gå på linken https://www.secuwine.com/ download/, man blir da redirektet til Apple App Store dersom man har en iPhone og til Google

Play dersom man har en Android mobil telefon. SecuWine Messenger er for privatmarkedet og bedriftsmarkedet og er basert på månedlig abonnement.

• SecuWine Messenger Pro, denne versjonen er lik SecuWine Messenger men vil få noen tilleggsfunksjoner etter hvert. Denne er for bedrifter der kundebedriften vil få en månedlig faktura basert på antall brukerlisenser bedriften har kjøpt.

• SecuWine Enterprise Messenger sammen med 5G SA (Standalone) basestasjon uten internettaksess, til bruk i felt i Forsvaret. Her er alle tjenester appen bruker installert direkte på en 5G basestasjon. Løsningen vil bli testet på Lab i Oslo i februar / mars måned 2023 sammen med Telia Norge AS.

• SecuWine Enterprise Messenger med backend/servere i Private Cloud, Dedicated Host eller On Site delivery etter ønske fra kunden.

Egil Byberg er grunnlegger og CEO / Styreleder i selskapet og er utdannet sivilingeniør ved NTNU innen telekom og industriell økonomi. Egil arbeidet i en årrekke ved Helse Vest IKT som IT-sikkerhets rådgiver der han hadde ansvar for utføring av IT-risikovurderinger av journal og administrative systemer ved helseforetakene i Helse Vest. Etter 2012 har han etablert og drevet egne selskaper.

Egil kan nås på telefon +47 981 07 542 og e-post Egil@secuwine.com

SecuWine AS innen Helse: SecuWine har også løsninger innen Helse. Innen Digital Hjemmeoppfølging tilbys SecuWine Messenger og en nettbrettløsning for eldre og demente personer. Her kan bruker be om å bli oppringt på video av omsorgspersoner, pårørende og frivillige. Løsningen er tiltenkt sykehjem og eldre hjemme og har en meget lav brukerterskel, og løsningen kan også samkjøres med SecuWine Messenger nevnt over. Sammen med partnere tilbyr SecuWine AS også sin løsning som en egen modul i journalsystemer til kommuner og helseforetak. Ta kontakt med SecuWine AS dersom dette er interessant.

Last ned SecuWine Messenger: www.SecuWine.com/download/