Sofie Nystrøm, direktør CCIS
Sofie Nystrøm, direktør CCIS (Bilde: Joachim Seehusen)

Norsk industri undervurderer truslene mot datasikkerhet

Investeringsviljen er ikke god nok, og norske industriledere har ikke tatt inn over seg hvor alvorlig trusselen fra hackere er blitt.

Sofie Nystrøm

  • Sofie Nystrøm er direktør for Center for Cyber and Information Security (CCIS) og har jobbet som leder innenfor cybersikkerhet innen offentlig og private virksomheter de siste 10+ årene.
  • Hun er medlem i regjeringens Digitale Sårbarhetsutvalg. Hun har tidligere vært Vice president for sikkerhet i Telenor Group, og divisjonsdirektør og CISO i DNB med konsernansvar innenfor sikkerhet, compliance og risikostyring.
  • Nystrøm ledet etableringen av NorCERT i Nasjonal sikkerhetsmyndighet i tillegg til å ha erfaring fra Silicon Valley hvor hun jobbet for Sun Microsystems.
  • Nystrøm har en mastergrad fra Purdue University i USA innenfor Computer Sciences and Information Security.

CCIS

  • Center for Cyber and Information Security er tilknyttet høyskolen i Gjøvik, det er et nasjonalt senter for forskning, utdanning og kompetansebygging i cyber- og informasjonssikkerhet. Senteret åpnet i august 2014. CCIS har 80 personer og 60 årsverk.
  • CCIS har 26 partnere, fra offentlig og privat sektor, blant disse er IMB, Økokrim, Politiets sikkerhetstjeneste, Justisdepartementet, Statkraft, FFI og Forsvarets Ingeniørhøgskole.

– De skjønner det ikke før de blir rammet økonomisk.

Slik karakteriserer Sofie Nystrøm norske industrilederes holdning til informasjonssikkerhet. Hun ser en begynnende oppvåkning, men hun mener forståelse for informasjonssikkerhet er altfor lav, til tross for at det nå finnes nok av dokumenterte angrep.

Tapene kommer senere

I mai i fjor ble Ulsteingruppen utsatt for et angrep der en rekke filer ble kryptert og sendt ut, kjeltringene hadde adgang til systemene i en uke.

– Selv om alle tegningene kommer på avveie er det ingen tap på kort sikt. Men om noen år dukker det kanskje opp kinesiske kopier, og da kommer tapene.

I fjor avdekket norsk sikkerhetsmyndighet 88 angrep mot norske aktører, offentlige og private.

– Min hypotese er at vi gjør ikke tilstrekkelige tiltak før det går ut over liv og helse. Investeringsviljen er ikke god nok.

Et tysk stålverk ble hacket i fjor, og inntrengerne klarte å gjøre omfattende skader på smelteovnene. Dette skal, ifølge tyske Handelsblatt ha vært første gang industri ble utsatt for et vellykket angrep utenfor USA og Iran.

Les: Erfaring med IT-angrep må deles med andre

Kulturell og juridisk utfordring

Med tingenes internett, skylagring og stadig mer omfattende digitalisering av automatiseringsløsninger er problemstillingen høyaktuell for alle som jobber med automatisering, som brukere eller leverandører. Sofie Nystrøm skal snakke om dette på NFAs konferanse Informasjonssikkerhet 2015 som går i Oslo 16. og 17. september.

– Informasjonssikkerhet er mer enn en datateknisk utfordring. Fienden bryter med alle vante forestillinger, og det kan i tillegg til tradisjonelle kjeltringer og konkurrenter være stater som står bak. Utfordringen er både kulturell og juridisk.

Så da er det naturlige spørsmålet, hva gjør en fremsynt ledergruppe for å beskytte sin bedrift best mulig.

Les også: Syv bedrifter går sammen om å tilby informasjonssikkerhet

Industrien trenger CERT

Det første denne ledergruppen gjør er å skaffe nødvendig kompetanse. Det er ikke lett, det er mangel på eksperter på informasjonssikkerhet, både globalt og i Norge.

– Vi er hardere rammet enn andre land fordi vi har så høy grad av digitalisering. Om bedriften er for liten til å ha egne folk må den søke hjelp fra selskaper som tilbyr slikt. Det er ikke mange av dem, jeg vil anslå 10–15 stykker. Ideelt skulle sikkerhetskompetansen være i huset.

I en situasjon, der fienden både er kompetent og gjerne ligger et par skritt foran de som skal forsvare seg, trenger industrien et CERT, et computer emergency response team. Det er en gruppe mennesker som jobber fulltid med å avdekke og bistå ved informasjonssikkerhetshendelser innen sin sektor, ofte er de dannet av institusjoner eller bedrifter med noenlunde like behov. FinansCERT et godt eksempel, det var Sofie Nystrøm med på å stifte i sin tid som sikkerhetsansvarlig i DNB.

– Norsk industri er ennå ikke med i slike ordninger. Jeg mener industrien bør finne en måte å lage et miljø på, i tillegg til hver bedrifts eget ansvar. Regjeringens Digitale Sårbarhetsutvalg ser på dette, og vil komme med noen anbefalinger når de legger frem sin NOU i 2015. Da bankene sammen dannet FinansCERT var det mye diskusjoner før vi endte på at fellesinteressene var størst. Men et slik tiltak må komme fra industrien selv, eller dens organisasjoner. Det kan ikke lages for dem av andre.

For få norske selskaper har gode regler for hvem og hvordan de kan kople seg opp på bedriftens nettverk, advarer Sofie Nystrøm. Texelart

Få sikkerhet i kontraktene

Dernest mener Nystrøm sikkerhet må inn i kontraktene helt fra starten. Det gjelder alle leverandører, enten det er skytjenester eller maskin- og programvareleverandører som bruker fjernaksess til diagnostisering og kundestøtte.

– Bedriftene må ha god tilgangskontroll, ID-en til de som skal inn må sjekkes og man må vite hvor langt inn i systemene servicefolkene kommer. Vi kjenner tilfeller i Norge der service har brakt skadelig programvare inn i systemene.

Minnepinner, mobiltelefoner, laptoper og nettbrett som kobles til er også en kjent risiko.

– Det gjøres angrep hele tiden på denne måten, også inn mot styringssystemer. Det er veldig få bedrifter i Norge som faktisk forbyr dette. Det bør være med klausuler om slikt i avtaler med leverandører, og det finnes også forsikringsordninger som er laget for slikt.

Les: Fremtidens industri krever endringer

Skreddersydd malware

At behovet er der synes ikke Nystrøm det er noen tvil om. Hun peker blant annet på at fra en PC blir infisert i et nettverk tar det ikke mer enn 40 sekunder før sikkerhetstjenesten som kontrollerer miljøet er infisert.

– Da kan det fort bli skummelt å benytte skytjenester uten å forsikre seg om at leverandøren har god sikkerhet. Det er i dag enorme kvalitetsforskjeller, det er ikke alle som har gode sikkerhetsopplegg og det er en sammenheng mellom pris og kvalitet. Alle må kreve av sin leverandør at de har mulighet til å stenge ute en som er angrepet.

For Nystrøm, og de fremste innen informasjonssikkerhet, er den tiden for lengst forbi da man var godt sikret med en brannmur og oppdatert antivirus programvare.

– Antivirus programmene tar ikke mer enn 20 prosent av det som er der ute. Det blir bare verre, for nå er fienden begynt å skreddersy malware til enkelte styringssystemer, de er vanskeligere å oppdage og det tar lengre tid. Man skal ta det for gitt at man er hacket, og så legge ressursene i å finne ut hvordan, fjerne malwaren og redusere skadene.