Sannsynligheten for å bli rammet av et dataangrep er med andre ord økende. Hvordan kan vi forberede oss best mulig?, spør Axel Revheim i dette innlegget.
Foto: Nucleus
MENINGER:
Konsekvensene av cyberangrep strekker seg langt utover den umiddelbare økonomiske skaden
«Cyberangrep har nesten blitt hverdagshendelser i Norge. Antall kjente angrep er seksdoblet fra sommeren 2022 til tidlig høst 2023. Mange angrep blir ikke offentliggjort og mørketallene er trolig store», skriver Axel Revheim i Nucleus.
Sannsynligheten for å bli rammet av et dataangrep er med andre ord økende. Hvordan kan vi forberede oss best mulig?
Mandag forrige uke ble det kjent at Tomra i sommer ble utsatt for et stort dataangrep. Konsekvensene er store, og opprydningen pågår fortsatt. De totale kostnadene anslås til rundt 200 millioner kroner.
Dette er lite sammenlignet med angrepet mot Norsk Hydro i 2019, som er anslått til å ha kostet selskapet hele 800 millioner kroner.
Risiko angis som produktet av konsekvens og sannsynlighet. Når konsekvensene er i hundremillionerklassen, og sannsynligheten er økende, da er risikoen betydelig og økende. Det bør gjøre enhver virksomhetsleder bekymret.
Hva kan man gjøre? Våre erfaringer fra å øve ledergrupper i kriser er at et så enkelt grep som å trene på det utenkelige en gang i året, reduserer risikoen.
Hvordan? Dels ved at en øvelse avdekker hull, mangler og ikke-ajourførte planer for å håndtere cyberangrep, og dels fordi evnen til å håndtere en krise blir bedre.
Sagt på en annen måte: En øvelse reduserer både konsekvens og sannsynlighet for at det utenkelige inntreffer.
For to uker siden trente jeg en ledergruppe i offentlig sektor på en cyberkrise. Denne virksomheten øver hvert år, og er genuint opptatt av å lære og forbedre seg.
Gjennom øvelsen avdekket de konkrete mangler i planverket. Det resulterte i en liste av konkrete risikoreduserende tiltak de skulle gjennomføre for å stå bedre rustet i en reell krise. Blant annet innså de at de hadde for lite kjennskap til hva andre offentlige virksomheter kan bistå med i en krisesituasjon.
Det er altså gode muligheter for å redusere risikoen gjennom øvelser selv for en virksomhet som trener jevnlig.
Trusselen mot cybersikkerheten er ventet å øke fremover. Vi vet at inntoget til kunstig intelligens har utstyrt hackere med flere og mer sofistikerte metoder. I tillegg står vi overfor en verden hvor geopolitisk ustabilitet og konflikter er på fremmarsj. Dette øker sannsynligheten for at både statlige og ikke-statlige aktører vil rette sine digitale våpen mot norske interesser.
Konsekvensene av cyberangrep strekker seg langt utover den umiddelbare økonomiske skaden. Et angrep underminerer tilliten til en virksomhet, spesielt når sensitive data blir kompromittert.
Å ta inn over seg at enhver bedrift kan bli rammet av et dataangrep er derfor ikke en utgiftspost, men en reduksjon i iboende risiko.
Det er grunn til å berømme Tomra, Norsk Hydro og andre norske virksomheter som de senere årene åpent har fortalt om angrepene de har vært utsatt for. Det skaper større bevissthet om denne typen kriminalitet. Åpenhet og erfaringsdeling gjør Norge bedre rustet til å håndtere cyberangrep som vil komme.
———————————————-
Dette er et meningsinnlegg, og gir uttrykk for skribentens mening. Har du lyst til å skrive i KOM24? Send ditt innlegg til meninger@kom24.no.
