Hackerne blir mer og mer profesjonelle. FOTO: COLOURBOX
Hackerne blir mer og mer profesjonelle. FOTO: COLOURBOX (Bilde: Colurbox)

NSM

Hackertrusselen mot norsk industri øker

Hackere får mer kunnskap om industrielle datasystemer og fjernaksess gjør bedrifter mer sårbare. Det må bli større bevissthet rundt IKT-sikkerhet.

– Norsk industri må ta inn over seg at sikkerhet må bli en del av forretningsplanen og de må prise inn utgiftene til datasikkerhet, sier Niklas Vilhelm til Automatisering.

Vilhelm sitter i komiteen som har hatt ansvaret for Ifeas konferanse om IT-sikkerhet, IT IS! Security 2015 som gikk av stabelen i Oslo 19. og 20. august. Han er forsker ved NSM, Nasjonal sikkerhetsmyndighet. NSM er Norges ekspertorgan for informasjons- og objektsikkerhet, og er det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser.

Les: Trådløst i vinden

Venter industriangrep

Vilhelm sier man nå ser en økning i antall angrep på alle områder. Norsk industri har hittil vært lite utsatt, men Vilhelm og NSM frykter at det vil endre seg.

– Et stort antall av systemene i industrien er så spesielle at mange hackere ikke har nødvendig kompetanse til å bryte seg inn. Men det er i ferd med å endre seg, spesielt hos statlige aktører ser vi nå økende kompetanse.

Han peker også på fjernaksess som en ny trussel. Han råder alle bedrifter som inngår avtale om at service- eller supportavdelinger hos en leverandør kan knytte seg opp mot et styringssystem eller produksjonslinje å stille krav.

– De bør stille krav om at leverandørene som tilbyr dette har god og dokumentert kompetanse på sikkerhet. Dette er ikke noe som det er hensiktsmessig at myndighetene kontrollerer, for eksempel i form av forskrift. Det blir tungvint og tar for lang tid. De som eier systemene må ta dette ansvaret.

Les om: Norsk industri undervurderer truslene mot datasikkerhet

Niklas Vilhelm, NSM Marit Sylstad

Sikkerhetsrevisjoner

Han sier også at industribedrifter bør ha regelmessige sikkerhetsrevisjoner. For de største og ressurssterke bedriftene kan dette være greit. For mange mindre bedrifter uten egen IT-kompetanse kan det være verre.

– Dette er et globalt problem. De som er for små til å ha egen IT-kompetanse kan kjøpe slikt. Men det er viktig å være klar over at det er et stort skille mellom drift og sikkerhet. Jeg tar ikke for gitt at de selskapene som tilbyr drift også kan IT-sikkerhet.

Vilhelm mener at norske bedrifter stort sett ligger godt an når det gjelder IT-sikkerhet. Men han legger til at det hovedsakelig skyldes at norske bedrifter i stor grad har nyere systemer. Han råder bedriftsledere til å vurdere hva som er kritisk for dem.

– Interessen er stor i norske bedrifter, men kompetansen er ikke alltid på høyden. Det er en rekke bedrifter som tilbyr IT-sikkerhet, men de fleste av disse holder til i de største byene. Norge er jo grisgrendt - og mange industribedrifter ligger langt fra hverandre og langt fra større byer.

Det er mange som kommer med advarsler om hvor utsatt både personer, offentlig virksomhet og bedrifter er for ondsinnede angrep. Mange av dem som kommer med advarslene har, direkte eller indirekte, økonomisk interesse av oppmerksomhet rundt problemstillingen.

– Det er nok noen som roper ulv-ulv, også forskere. Vi hadde en historie om at fly kunne hackes, slikt blir altfor tabloid. Men det er ingen tvil om at risikoen blir høyere, sier Vilhelm.