Geopolitisk bevissthet nå, eller krisehåndtering senere

Norsk Hydro ble rammet av et dataangrep i 2019, og måtte be ansatte om å holde pc-ene avskrudd. Samtidig som løsepengeviruset krypterte filene i Hydros verdensomspennende datasystem, krevde gjerningspersonene løsepenger i bytte mot dekrypteringsnøkkelen. Foto: Terje Pedersen / NTB

I snitt tar det over 200 dager fra noen har fått tilgang til systemet ditt, før cyberoperasjonen blir oppdaget. Om det i det hele tatt blir oppdaget.

Dette er en kronikk

Noen cyberprogram kan også ligge i dvale i årevis mens det samler inn data og spionerer før det aktiveres for sabotasjeformål mot kritisk infrastruktur.

For når sanksjonerte land og risikostater ikke klarer å anskaffe det de trenger eller mestrer produksjon av samme teknologi, så øker spionasje- og innsiderrisikoen i utsatte virksomheter.

Teknologikappløpet er i gang, og det er ikke bare mellom USA og Kina, for norske virksomheter er verdensledende på «dual use»-varer som finner veien til Russland via tredjepartslandene Kina, Hongkong og India.

Nylig skrev E24 om komponenter fra Nordic Semiconductor som hadde funnet veien til Russland, og i februar ble det avdekket maritim teknologi som veien fant via Tyrkia til Russland.

Selv om man «gjør alt riktig og følger sanksjonene», krever dessverre trusselbildet nå at man tenker annerledes på compliance og eksportkontroll – for motstanderne vet godt hvor smutthullene i regelverkene er og lurker nok også i gangene og foran PC-ene i selskapene.

For vet du hvem du ansetter?

Informasjonslekkasje eller sabotasje fra egne ansatte kan koste norske virksomheter svært dyrt. Da hjelper det lite at ledelsen iverksetter kostbare cybersikkerhetsprogram om de ikke samtidig justerer den interne tilgangskontrollen eller ivaretar og kartlegger de misfornøyde ansatte.

Øker man cybersikkerheten, øker man innsidertruslene. Og øker man innsiderfokuset, så vil fordekte og ulovlige anskaffer øke. Trusselaktører vil alltid gå etter enkleste vei. Summen av trusler ligger konstant.

Norge ligger militærstrategisk til nær Russland og Arktis, og vi produserer kritisk teknologi som både vårt og alliertes forsvar avhenger av.

Dette gjør svært mange norske bedrifter innen avansert teknologi eller som opererer infrastruktur, utsatt og gjenstand for spionasje og sabotasje i lang tid fremover. Enten vi vil det eller ei. (Se faktaboks)

Både NSM, PST og Etterretningstjenesten advarer om at enkeltpersoner vil være mål i den teknologiske utviklingen. I dagens trusselbilde er norske virksomheter i økende grad sårbare mot denne trusselen, enten målet er tilgang til kunnskap, teknologi, verdikjeder, kritisk infrastruktur eller beslutningsprosesser.

Virksomheter kan få informasjon og veiledning fra blant andre PST og NSM, men problemet er at mange selskaper vi prater med, ikke klarer å relevansvurdere eller oversette truslene til deres bedrift. De fleste vet knapt hvor de skal henvende seg.

Mange selskaper velger å avvente situasjonen, vende det blinde øyet til, vente på klarere føringer fra myndighetene eller rett og slett håpe at det går over. Det er to problemer her:

1. Det ene problemet er at handelspolitikk og sikkerhetspolitikk sjelden går hånd i hånd. Man vil få ulike føringer ut ifra hvilket departement som rådgir. Dette gjør at selskaper ofte befinner seg i spagaten mellom hvilket departement de skal følge rådene til.
2. Det andre problemet er at uavhengig av om Putin vinner eller taper i Ukraina, vil nok ikke Russland gi opp, men ruste opp og komme tilbake. Samtidig avhenger Kina av vestlig teknologi, og selv om de søker å bli teknologisk uavhengig fra Vesten, kommer det til å ta mange år. Og frem til da kommer de ikke til å gi seg før de mestrer samme teknologi selv.

Derfor kan selskaper velge å avvente situasjonen, men da vil det nok være for sent.

Det er bare å omstille seg, for dette er den nye normalen.

Vår erfaring er at selskaper ofte planlegger og investerer i sikkerhet basert på gårsdagens trusselbilde. Det nytter lite når trusselaktører benytter alle tilgjengelige metoder, teknologi og kriminelle, uten å forholde seg til normer og anerkjente regler.

Begynner vi ikke tilsvarende å tenke annerledes på sikkerhet og planlegge tiltak etter dagens og morgendagens trusselbilde, spilles vi fort sjakkmatt.

De virksomhetene som dedikerer ressurser og fokuserer på sikkerhetskultur, kultur- og risikoforståelse og ivaretar de ansatte gjennom hele karriereløpet, fra start til slutt, vil være mye bedre rustet for hendelser som måtte dukke opp.

Det krever engasjement, innsats og kostnader, men nå må ledelsen veie disse kostnadene opp mot de potensielt enorme kostnader dersom en insider skulle utløse en mye større hendelse som krever krisehåndtering og gjenoppbygging. For omdømme og kunnskap er ikke alltid mulig å gjenoppbygge.

Verdiskapning krever verdisikring. Også innenfra.

For sikrer vi ikke våre verdier – også innefra – kan det på sikt medføre at Norge mister sin internasjonale konkurranseevne og eksportgrunnlag, og at vi må importere fra Kina det vi en gang solgte til dem.