Sikkerhet er virkelig blitt en del av toppleders agenda. Jeg intervjuet topplederne i DNB, Skatteetaten og DSB om deres perspektiv på cybersikkerhet.

Cybersikkerhet er ikke lenger noe for IT-avdelingen alene, men er noe som jevnlig diskuteres i toppledelsen og på styrenivå i norske virksomheter. Les hva DNBs Ingjerd Spiten, skattedirektør Hans Chr. Holte og beredskapsdirektør Cecilie Daae tenker om det stadig mer komplekse trusselbildet.

I november samler Dataforeningens faggruppe for informasjonssikkerhet enda en gang topper i norsk samfunnsliv til konferansen Cybersikkerhet i styrerommet.

Konferansen åpnes av statssekretær i Justis- og beredskapsdepartementet Karianne Hansen. Hun blir etterfulgt av tre lyntaler fra nettopp Ingjerd Blekeli Spiten, Hans Christian Holte og Cecilie Daae. De tre skal dele sine perspektiver på trusselbildet i cyberspace.

Her får du en forsmak på hva de tenker og gjør i DNB, Skatteetaten og Direktoratet for samfunnssikkerhet og beredskap.

Brev fra Ingjerd

Portrett Ingjerd Spiten
Ingjerd Blekeli Spiten

— Datasvindlere har ved flere anledninger sendt ut moderne versjoner av «nigeriabrev» hvor de har gitt seg ut for å være meg, og identifisert seg med falskt pass, forteller Ingjerd Blekeli Spiten.

— Det finnes utallige falske epostadresser med navnet mitt i alle tenkelige varianter, sier hun.

Det handler ikke bare om angrep rettet mot DNBs kunder eller bankens datasystemer, men også om identitetstyveri hvor topplederne selv er i skuddlinjen.

— I det siste har jeg fått mange henvendelser hvor folk har spurt om det virkelig er jeg som har kontaktet dem for å få hjelp til å overføre penger. Opprinnelsen er ofte Sør-Afrika eller Namibia, og jeg har også opplevd at svindlerne har brukt et falsk pass som bevis for at det er meg.

CEO-svindel

Hun er ikke alene om å være utsatt for varianter av såkalt «CEO-svindel», som er eposter som utgir seg for å være fra toppsjefen eller andre autoriteter. Epostene instruerer gjerne mottakeren om å overføre penger til en kundekonto i utlandet.

Denne type svindelforsøk utvikler seg i takt med nye teknologiske muligheter. Nylig fikk spiralen en ny omdreining da en toppsjef i et britisk selskap fikk en telefon hvor svindlerne hadde syntetisert stemmen til sjefen i det tyske morselskapet. Den falske telefonstemmen instruerte den britiske kollegaen om å overføre 240.000 dollar til en underleverandør i Ungarn. Pengene ble overført og forsvant.

— Trusselbildet blir stadig mer komplekst, sier Spiten. — Slik vi bare så på film for få år siden er nå blitt en daglig realitet.

Toppledere må forstå

— Har dette også gitt en større bevissthet om datasikkerhet i styre og ledelse?

— For oss har det skjedd et skifte de siste par årene. Tidligere var nok dette i større grad IT-avdelingens domene. Nå får konsernledelsen kvartalsvise gjennomganger hvor vi får en oppdatering på trusselbildet generelt og mer spesifikt i forhold til banken,. Våre sikkerhetseksperter er blitt mye bedre til å forklare trusselbildet.

— Hva er ditt råd til styre og toppledelse i norske virksomheter?

— Dette må toppledere sette seg inn i og forstå. Du må forstå for å kunne agere. I det du er i situasjonen har du ikke tid til å sette deg inn i sakene.

Ikke bekymret for skattepengene

Hans Christian Holte

Skattedirektør Hans Christian Holte bekrefter bildet som tegnes av DNBs konserndirektør om økende og stadig mer sofistikert kriminell aktivitet i cyberspace.

I Skatteetaten er det ikke nødvendigvis skattepengene de er mest bekymret for, selv om også skattedirektøren opplever forsøk på CEO-svindel.

— Vi ser et bredt og sammensatt bilde av trusler, fra klassisk hackeraktivitet til kriminelle nettverk til angrep fra andre nasjoner, sier Holte. — Angrepene er blitt mer komplekse og avanserte, krevende og sammensatte, og kan handle om alt fra industrispionasje, til å tjene penger, til etterretning.

— Hva er det mest skremmende dere har blitt utsatt for?

— Det går mer på det jevne fra dag til dag. Men siden du spør: Det mest skremmende jeg har opplevd er de øvelsene vi har rigget til selv. Vi sitter på Folkeregisteret og andre kritiske systemer, og vi må være forberedt på alt fra terroraksjoner i lokalene til cybersikkerhet.

Folkeregisteret hacket?

— Kunne Folkeregisteret bli hacket, og hva ville konsekvensene vært?

— I teorien er det selvsagt mulig. Konsekvensene ville være avhengig av hva som konkret ble gjort. I verste fall ville integriteten i registeret bli kompromittert slik at vi ikke lenger kunne være sikre på at dataene våre er korrekte.

— Hva gjør dere for å beskytte dere mot disse truslene?

— Det er et møysommelig arbeid, hvor det viktigste stikkordet er bevissthet i alle deler av organisasjonen. Det er noe med å sørge for at det ikke er mange svake ledd. Det går på alt i fra å utvikle ryggmargsreflekser på ikke å klikke ukjente linker til å oppdage forsøk på sosial manipulasjon.

Økende bevissthet

— Hvordan opplever du at bevisstheten er i sin alminnelighet i det norske samfunnet?

— Jeg opplever at det er en økende bevissthet hos toppledere. Du har på en måte ikke gjort jobben din fullt ut hvis du ikke har det på radaren som leder i offentlig eller privat virksomhet.

— Er det grunn til å vifte med det røde flagget?

— Jeg vil heller si noe sånt som at det er en viktig del av det vi må følge med på og jobbe med.

44% er redde

Også den jevne borger av Norge er bekymret for cyberkrim.

— Vi gjennomfører en befolkningsundersøkelse hvert år hvor vi undersøker hvor forberedt folk er, forteller Cecilie Daae, direktør i Direktoratet for samfunnssikkerhet og beredskap (DSB).

— Da spør vi også om hva de er mest bekymret for. 44% svarer at de er mest bekymret for cybersikkerhet, og antallet har økt.

Robusthet

DSB har et mye bredere perspektiv på sikkerhet enn det som handler om cybersikkerhet.

Cecilie Daae

— For oss handler det om alt fra klimaendringer til cybersikkerhet, sier Daae.

— Dette med digitalisering og trusler i cyberspace er bare et element i et stort og krevende bilde. Og i DSB er vi ikke like opptatt av hva som rammer oss, som at vi er robuste nok til å takle det.

Plan B

Viktige samfunnsområder, som infrastruktur, strøm og vann, er i dag sårbare for dataangrep.

— Når vi digitaliserer bygger vi samtidig inn mye sårbarhet. Det er viktig å ha redundante systemer og sikre at man har en plan B.

Truslene er ikke imaginære.

— Det er nok å nevne angrepene mot Hydro, fylkesmennene og hendelsene i Helse Sørøst, sier Daae.

— Hva tenker du om bevissthetsnivået på toppledernivå?

— Jeg oppfatter at man i økende grad er klar over risikoen, ikke minst knyttet til at vi har hatt flere konkrete hendelser. Men derfra til å gjøre noe med det er ikke alltid like klart.

Delt ansvar

Hvem som har det endelige ansvaret for cybersikkerhet på samfunnsnivå er ikke helt åpenbart.

— Det er riktig at vi er mange aktører som deler ansvaret. Nasjonal sikkerhetsmyndighet (NSM) er helt sentrale. Vi i DSB har et samordnings og koordineringsperspektiv. Og det er viktig å understreke at for denne type utfordringer må alle sektorer og aktører ta sitt eget ansvar. De enkelte virksomheter må kjøre sine egne krise-scenarier og lage handlingsplaner. Fokus må være å bygge systemer som er robuste nok til å motstå angrep.

Lever av å bekymre seg

— Hva er du mest bekymret for?

— I utgangspunktet alt, ler hun. — Jeg lever jo av å bekymre meg. Men den situasjonen som vil være mest krevende for Norge er hvis vi får flere parallelle, sammensatte angrep som rammer ulike sektorer. Da er det vanskelig å avdekke tidlig nok at dette henger sammen.

— Veldig mye handler om sikkerhetskultur og bevissthet. Folk er ikke så forberedt som ønskelig.

— Burde jeg bygge en bunkers og hamstre hermetikk?

— Nei, ikke gjør det. Men du skal huske at du og alle andre innbyggere i Norge er en del av landets beredskap. Vi trenger alle å ha plan B: hva gjør vi hvis store deler av infrastrukturen går ned?

— Men ikke bygg en bunkers.

Tredje år på rad

I november samler Dataforeningens faggruppe for informasjonssikkerhet enda en gang topper i norsk samfunnsliv til konferansen Cybersikkerhet i styrerommet.

— Det er tredje år på rad vi arrangerer Cybersikkerhet på styrerommet, sier Renate Thoreid, leder av fagmiljøet informasjonssikkerhet i DND og til daglig Business Security Officer i Telenor. — Arrangementet skal bidra til økt kompetanse og ledelsesfokus i norske styrerom. Sikkerhetsansvaret er ikke bare forbeholdt sikkerhetsansvarlige og teknisk personell, sier hun.


Artikkelen er skrevet for Den norske dataforening. Republisert etter avtale.


Denne artikkelen er skrevet for en partner på innholdsproduksjon, og er vanligvis originalt publisert i kundens egne kanaler. Gjengitt her etter avtale. Her er noen flere slike artikler.

Arbeidsrettsadvokater: — Varsling kan bedre omdømmet og tilliten til ledelsen

Arbeidsrettsadvokater: — Varsling kan bedre omdømmet og tilliten til ledelsen

Medieomtalen om varslingssaker i det siste avdekker en håndtering fra organisasjonenes side som i følge eksperter på arbeidsrett «står til ... les mer
Angloamerikansk HR-praksis skaper #metoo-dilemma

Angloamerikansk HR-praksis skaper #metoo-dilemma

HR slik det i dag praktiseres i store deler av arbeidslivet kan komme på kollisjonskurs med norsk sedvane og lov ... les mer
Alex Edmans (foto fra Youtube / TEDx)

— Det lønner seg å være god

Alex Edmans slår 28 år med harde data i bordet, og gjør det helt klart: det lønner seg å være ... les mer
3 områder hvor AI kan gjøre HR bedre

3 områder hvor AI kan gjøre HR bedre

Her er 3 av mange HR-felt hvor kunstig intelligens kan gjøre jobben bedre enn naturlig intelligens ... les mer
Stresset mann - foto: Pixabay

Stressede datafolk viktigste årsak til datatap

Stresset og overarbeidet? Du er ikke alene. En tysk undersøkelse bekrefter at de fleste feil som fører til tap av ... les mer
Sir Cary Cooper: «Kvitt deg med en tredjedel av lederne dine»

Sir Cary Cooper: «Kvitt deg med en tredjedel av lederne dine»

— Bare en tredjedel av dagens ledere har det som trengs for å lede i det nye arbeidslivet som vokser ... les mer
Milads valg

Milads valg

Jeg har ingen foiler. Ingen papirer. Men jeg gjør det en leder må gjøre i dag: jeg snakker fra hjertet ... les mer
Kvinne klar til start i løp

Team: Når starten er god blir allting godt

2+2 blir ikke automatisk 5 hvis du bare lager et team. Ofte blir 2+2 lik 3. Og mye handler om ... les mer
Britisk professor: Klassiske lederegenskaper blir irrelevante

Britisk professor: Klassiske lederegenskaper blir irrelevante

For første gang står vi i en situasjon hvor de som leder oss ikke har den kompetansen som kreves, sier ... les mer
Loading...

 

Litt klokere hver tirsdag

Jeg er Paal. Paal Leveraas. Jeg ønsker å gå til sengs hver kveld litt klokere enn jeg våknet om morgenen. Hver dag. Og hver tirsdag sender jeg ut Tirsdag morgen med det viktigste jeg har lært til abonnentene. Du kan bli en av dem.

Fantastisk! Sjekk mailen din for en ekstra bekreftelse. Så ses vi på tirsdag.

Pin It on Pinterest

Share This