Tidene vi lever i og teknologien vi nå er helt avhengig av, viser at cybersikkerhet må tas på alvor. Og som underleverandør er det en del å ta tak i.

Cybersikkerhet: Vinn eller forsvinn

I disse COVID-tider er det ikke bare hender som må desinfiseres, en god IT-hygiene er i mange tilfeller vinn eller forsvinn. Didrik Bech, CEO i Elmatica, er Vice Chair i den nye globale IPC standarden for Cybersikkerhet, og snakker her om viktigheten av cybersikkerhet.

Publisert Sist oppdatert

Denne artikkelen er 2 år eller eldre

Å sette Cyber Security, eller cybersikkerhet, på agendaen er ikke bare lurt, det er rett og slett helt nødvendig, både for å beskytte egne og kunders data fra å komme i gale hender, men også dersom man ønsker å være med i budrunder for å levere til det amerikanske forsvar.

– Bøter ved feil i denne leveringskjeden, vil ikke bare svi på pungen, men også ødelegge for fremtidige og tidligere produksjonsavtaler og gi firmaets rykte en real skrape i lakken. Har du for eksempel levert et mønsterkort til 10 kroner til et produkt som koster 10 millioner, så kan boten potensielt være på ikke mindre enn 20 millioner NOK, sier Didrik Bech.

Krevende
Implementering av effektive Cybersikkerhet løsninger er nå vanskeligere enn noen gang. Med flere digitale enheter enn tidligere, en tidvis mangel på medarbeidere med kompetanse, kunnskap og erfaring og, i mange tilfeller en selskapsledelse som fortsatt ikke behandler eller anser Cybersikkerhet som en viktig nok trussel for overlevelsen til selskapet.

– Alle selskaper som utvikler løsninger eller tjenester burde ha Cybersikkerhet som et fast punkt på rapportering og årshjulet til styret. Det holder ikke lenger med et underpunkt i en ISO standard. Tvert imot må en en fullverdig metodikk for kontinuerlig forbedring av systemer, rutiner med tilhørende rapportering fra administrasjonen til styret på plass, sier Bech.

Hva er så egentlig Cybersikkerhet?
Cybersikkerhet er en ferdighet, kunnskap og metodikk en kan implementere for å beskytte sine systemer, nettverk og programmer mot digitale angrep. Digitale angrep er når en utenforstående entitet i form av en person, gruppe eller statlig aktør forsøker å få tilgang til dataen til en person, selskap eller stat som de frivillig ikke har offentliggjort.

Formålet med digitale angrep eller «Cyber Attacks» er å få tak i, stjele, endre, manipulere eller slette data som kan gi den utøvende entiteten en fordel i en økonomisk transaksjon, forhandling, konfrontasjon, krise eller verste tilfelle en åpen konflikt.

Tilgang på spesifikke data eller klassifisert informasjon, kan også hjelpe til å forutse hvordan den andre parten vil agere.

– Dette har alltid vært og vil alltid være et av de mest grunnleggende og essensielle elementene for å maksimere sannsynligheten av et ønsket utfall. Hva har du og din bedrift gjort for å sikre at den kunnskap og erfaring dere har brukt årevis på å opparbeide, er sikret?, spør CEO i Elmatica Didrik Bech.

Hvordan forholder stater og allianser seg til Cybersikkerhet?
Hvert land i Europa har sin respektive statlige enhet som er ansvarlig for Cybersikkerhet. I Norge har vi Nasjonal sikkerhetsmyndighet. EU har blant annet etablert European Union Agency for Cyber Security (ENISA) og USA har National Institute of Standards and Technology (NIST) og Cyber Security Maturity Model Certificate (CMMC). Disse regelverkene er ikke like aktuelle for alle industrier og aktører, men de demonstrerer at våre folkevalgte har innsett at Cybersikkerhet er noe vi må ta på alvor for å sikre vårt demokrati, finansielle stabilitet og således levemåte.

Et veldokumentert eksempel på hvordan en bedrift kan bli rammet av et digitalt angrep er hva som skjedde med et av de største shippingselskapene i verden, det danske selskapet MAERSK i juli 2017. Skaden av angrepet er estimert til 2 700 000 000 millioner NOK, over 49 000 laptoper ble ødelagt, 3500 av 6200 servere ble ødelagt og Maersk sine 80 000 ansatte, hadde ikke mulighet til å aksessere sine over 1200 systemer.

Noen utfordringer med Cybersikkerhet
Implementering av effektiv Cybersikkerhet i en organisasjon innebærer fokus på sikkerhet i alle ledd av organisasjonen. Det kan ikke bare være noe som IT skal håndtere, den største risikoen er av mange beskrevet som den individuelle brukeren og dens manglende forståelse av hvilken risiko de selv representerer for selskapet. Noen elementer innen datasikkerhet et selskap burde vurdere er som følgende:

  • Nettverkssikkerhet: Beskytte ditt nettverk mot tilgang fra uvedkommende
  • Applikasonssikkerhet: Oppdatering av systemer og programvare mot angrep
  • «Endpoint sikkerhet»: Beskytte alle respektive tilganger til dine systemer, ikke minst nå under pandemien, siden denne har resultert i utstrakt bruk av
    hjemmekontor
  • Datasikkerhet: Beskytt data som er på innsiden av ditt nettverk som et nytt og separat datalager
  • Identitetskontroll: Hvem har tilgang til hva i din organisasjon og hvorfor har de egentlig tilgang? En vanlig feil i mange selskaper er at en leder skal ha store tilganger og det representerer en stor risiko for bedriften. En leder skal bare ha tilgang til informasjon når den er etterspurt i form av rapportering, men ikke tilgangen selv.
  • Database- og infrastruktursikkerhet: Ikke glem fysisk sikkerhet av dine databaser, hvor er de, hver har tilgang og hvordan er sikkerheten der?
  • Skysikkerhet: Denne problemstillingen er økende i omfang og veldig kompleks ettersom flere og flere applikasjoner er lagret i skyen. Sikkerhetsmyndigheter i NATO-land arbeider med å etablere en felles standard og det vil være veldig behjelpelig.
  • Mobil sikkerhet: Mobiltelefoner og mobilbrett kan avlyttes og en rekke «Apper» dokumenterer mye mer enn de burde gjøre, har dere tenkt på dette?
  • Krisehåndtering ved digital angrep: Har dere en plan og vet folk hva de skal gjøre? Hvilken opplæring har dere implementert, har dere skrudd på to-faktor innlogging etc.

– Det er en rekke lavthengende frukter alle kan begynne med med å implementere i morgen, sier CEO Didrik Bech

Hvorfor er det mer fokus på Cybersikkerhet nå?
Stortinget ble utsatt for et omfattende IT-angrep i andre halvdel av 2020 . Dette representerer en, av en rekke angrep, mot vårt levesett og infrastruktur. Ingen kan lenger tro eller påpeke at dette ikke gjelder oss eller deg. Når våre folkevalgte representanter åpenlyst blir angrepet av fiendtlige interesser, da er det klart at vi alle må ta et felles ansvar for å beskytte våre Cyber-grenser.

Digitale angrep følger den teknologiske utviklingen i samfunnet. Norge, som et av de mest digitale landene i verden med en storstilt satsing på digitalisering, vil således være ekstra eksponert mot digitale trusler. Vi kan derimot snu denne ulempen til en fordel hvis vi bruker utfordringen til å utvikle digitale løsninger som sikrer vår data og gir oss et konkurransefortrinn på det globale markedet. Alle digitale angrep har et motiv. Det kan variere fra utpressing, sabotasje, avlytting, kopiering av produkter og tjenester, til ødeleggelse. Noen industrier, som forsvars- og telekomindustrien, er spesielt utsatt for visse former for digitale angrep som avlytting, kopiering av produkter og ødeleggelse.

Disse industriene representerer samtidig de aktørene som har kommet lengst i sin forståelse av viktigheten og investering i digitalt forsvar.

– Denne trenden har Elmatica merket i flere år. Nå registrerer vi at flere og flere kunder etterspør konkret dokumentasjon på hva vi faktisk gjør og hvordan vi faktisk arbeider for å sikre deres data, sier CEO Didrik Bech.

Hvilke Cybersikkerhets-standarder endrer landskapet for alltid?
Standardene som allerede påvirker og vil endre tilnærmingen til Cybersikkerhet på et globalt nivå for NATO og vestlige land er absolutt alle som leverer produkter til United States Department of Defence (USDoD), i form av NIST 800-171B (PDF) og CMMC.

– Vi registrerer at noen selskaper snakker om International Traffic in Arms Regulation (ITAR) og noen ekstremt få adresserer Defense Federal Acquisition Regulation Supplement (DFARS). Det vi derimot avdekker er at det er stor sprik mellom kunnskapen om et regelverk og den faktiske implementeringen. CMMC (støttet av USDoD), vil i løpet av 1-3 år snu opp ned på dette, sier Bech.

Med det nye regelverket, må alle underleverandører i en forsyningskjede til USDoD søke om et CMMC sertifikat, for deretter å bli revidert av amerikanske revisorer. Ved godkjenning vil de få rett til å kunne motta dokumentasjon, rangert etter et klassifiseringsnivå fra 1 til 5, for deretter få muligheten til å gi et tilbud på produktet som en underleverandør.

Mønsterkort er klassifisert som «Controlled Unclassified Information» (CUI), noe som krever en CMMC nivå 3-godkjenning. Dette innebærer implementering av kontinuerlig dokumentasjon av ca «130 Cyber Security practises». Dette gjelder for alle underleverandører til USDoD, i praksis også de som leverer enkle varer som penner, og programvare.

– Det er essensielt at «Tier 1 contractors» begynner arbeidet med å informere sine underleverandører om å starte implementeringen av CMMC allerede nå. Til dette trengs dedikerte IT spesialister med spesialkompetanse, sier Bech.

– Elmatica var som eneste utenlandske selskapet tilstede da CMMC ble lansert i 2019 av USDoD CISCO Katie Arrington på Arlington Cemetery i Washington, påpeker Bech.

Hva burde alle som deler sensitiv data etterspørre i sin forsyningskjede?
Dette er naturligvis avhengig av hvor sensitiv informasjonen du deler er i din forsyningskjede? Hvor mange du deler den med og hvor utsatt ditt produkt eller tjeneste er for konkurranse? Men i følge Bech er det noen elementer som burde være standard når en vurderer deling av data:

  • Kontrakt eller en underskrevet Non Disclosure Agreement (NDA) med leverandør
  • En prosjektgruppe på tvers av ditt selskap for å sikre at:
  • Alle krav kommer frem til alle aktørene i din forsyningskjede
  • At data deles opp slik at din underleverandør bare får det de behøver
  • Alltid etterspør eller sett krav til opphavsland ift produksjon
  • Er dataen som skal deles definert som sensitive data og eventuelt avhengig av eksport- eller importkontroll?
  • Har din underleverandør fremlagt dokumentasjon på hvordan de lagrer data?

Ved å gjennomføre denne vurderingen kan en relativt raskt dele riktig data og etablere en rutine for å redusere muligheten for at noe kommer på avveie.

Hva er konsekvensene hvis du ikke setter Cybersikkerhet på agenda?
Gjennomsnittskostnaden ved brudd på datasikkerhet er estimert til ca 35 millioner NOK (PDF). Så spørsmålet er kanskje enkelt og greit, har du råd til å ikke fokusere på Cybersikkerhet?

– Kostnaden ved brudd på Cybersikkerhet i form av compliance er desto større, dette varierer fra land til land. Et eksempel er ved brudd på USDoD DFARS 252.204.7012 som omhandler NIST 800-171B, her kan boten bli opptil det dobbelte av totalkostnaden til produktet kjøpt av USDoD. Har du levert et mønsterkort til 10 kroner til et produkt som koster 10 millioner, så kan boten potensielt være på ikke mindre enn 20 millioner NOK, sier Bech.

Hva har Elmatica gjort for å forbedre Cybersikkerhet internt og i bransjen?
Elmatica anser Cybersikkerhet som en «Megatrend» og en essensiell bærebjelke for å sikre forsyningskjeden til sine kunder.

Didrik Bech og IT-sjef Robert Kurti på Cyber Security Institute, Washington DC, fra da de gjennomgikk cybersikkerhetskurs.

– Elmatica er Vice Chair i den nye globale IPC standarden for Cybersikkerhet, medlem av forsvarsnettverk som SOFF, FAD og FSi hvor vi som en aktiv partner er med på å tilrettelegge for og sikre data til våre kunder. Det er et stort behov for et generelt kunnskapsløft i selskaper og samfunnet vedrørende Cybersikkerhet og dette kan langsiktig løses ved at myndighetene setter av ressurser til å prioritere denne satsingen i form av utdanning, sier Bech.

All deling av informasjon om tjenester og produkter burde gjennomføres etter en implementert metodikk for å sikre de digital overføringene.

– Dette begynner og slutter med at alle ansatte i en bedrift eller mennesker i et samfunn, uavhengig av hvilken rolle de har, forstår at Cybersikkerhet er et valg og ikke et krav, hvis du ønsker å sikre at vi alle er trygge, sier Bech.

Powered by Labrador CMS