logoRevisjon og regnskap

Logg på for å laste ned PDF
Økonomisk kriminalitet

Senior manager

Dagfinn Buset

Leder i BDO sikkerhet og beredskap

Senior manager

Andreas Vogt

Leder i BDO sikkerhet og beredskap

Sikring mot IKT-trusler

Norske bedrifter henger ikke med i utviklingen når det gjelder IKT-sikkerhet. Gapet mellom trusselaktørene og vår evne til å hindre, oppdage og håndtere IKT-angrep er økende. Hvorfor er det sånn, og hva kan bedrifter gjøre for å redusere dette gapet?

Risikoen for nettverksbasert spionasje og andre alvorlige dataangrep mot norske virksomheter er høy. Dette har landets sikkerhets- og etterretningstjenester påpekt i flere rapporter, senest i Nasjonal sikkerhetsmyndighets rapport «Helhetlig IKT-risikobilde 2015».* Kilde: «Helhetlig IKT-risikobilde», Nasjonal sikkerhetsmyndighet (2015). Om trusler i det digitale rom skriver også Etterretningstjenesten i sin åpne vurdering, FOKUS 2015, at «(n)ettverksbaserte etterretningsoperasjoner er en betydelig trussel mot norske interesser. Slike operasjoner utføres mot en rekke mål i Norge. Fremmed etterretning angriper løpende norske myndigheter og virksomheter».* Kilde: «FOKUS 2015», Etterretningstjenesten (2015).

Trusselaktørenes evne og vilje til å innhente informasjon gjennom datanettverk blir stadig mer målrettet og sofistikert. Det kanaliseres milliarder av kroner hvert år til nettverksbasert etterretning. At trusselaktørenes kapasiteter øker, må bety at omfanget og aktiviteten øker tilsvarende. Budsjettene til etterretningsorganer som driver spionasje over datanettverk, eller i cyberspace, har blitt tidoblet. Cybersikkerhet, i betydningen både offensive og defensive aktiviteter for å sikre seg i det digitale rom, har førsteprioritet i det nasjonale sikkerhetsarbeidet i flere land.

Er det så viktig da?

Det er mange årsaker til at bedrifter ikke tar nødvendige grep om egen IKT-sikkerhet. En åpenbar årsak kan være at bedriften tror at den ikke er utsatt for dataangrep. Det blir ofte sagt at vi nordmenn er naive. Det stemmer. Holdninger som «det kommer aldri til å skje», «la oss ikke bli paranoide», «det skjer ikke her» og «vi har ingenting av verdi», er ganske utbredt i det daglige når alt er som normalt. Imidlertid kommer andre holdninger til overflaten når hendelsene først inntreffer: «Hvordan var det mulig at dette kunne skje?», «Hvorfor var vi ikke forberedt på dette?» osv. Når skaden har skjedd og tapet merkes på bedriftens bunnlinje, er det for sent å erkjenne at man kunne ha vært bedre forberedt – både når det gjelder forebyggende tiltak og skadebegrensende tiltak.

Det vil alltid finnes dem som mener at sikkerhetstiltak er unødvendige fordi de ikke har blitt påført noen tap ennå. Da er det viktig å se på sikkerhet som en langsiktig investering. Det er i flere rapporter gjort beregninger på hva bedrifter påføres av tap som følge av manglende IKT-sikkerhet. I en rapport fra McAfee anslås det et globalt tap på 400 milliarder dollar som følge av manglende IKT-sikkerhet.* Kilde: «Net Losses: Estimating the Global Cost of Cybercrime, Economic impact of cybercrime II.» McAfee, Center for Strategic and International Studies (June 2014). Det er som sagt lett å være etterpåklok når skaden har skjedd. Og det kan ikke minst bli dyrt. Som Sven Ullring, tidligere konsernsjef i DnV og leder av det regjeringsoppnevnte utvalget for sikring av landets kritiske infrastruktur, har sagt: «Synes du sikkerhet er dyrt, prøv en katastrofe!»* Kilde: «Årsmelding 2011», Nasjonal sikkerhetsmyndighet (mai 2012).