Russlands militære angrep på Ukraina har medført en betydelig økning i cyberangrep og en skjerpet sikkerhetssituasjon. Sikkerhetsselskapet Check Point mener å kunne dokumentere nesten 200 prosents økning i angrep mot Ukraina i etterkant av krigsutbruddet. I tillegg har europeiske havner, satellitter og Toyota vært utsatt for angrep. Nasjonal sikkerhetsmyndighet (NSM) har derfor utarbeidet en prioriteringsliste over sikkerhetstiltak som bedrifter kan iverksette for å bedre sin digitale beredskap.

Petter Enholm. Foto: Advokatfirmaet Hjort

Ola Hermansen. Foto: Advokatfirmaet Hjort

Listen over prioriterte tiltak inkluderer blant annet kartlegging av egne IKT-systemer, programvare som benyttes og oppdateringsstatus på disse; umiddelbar sikkerhetsoppdatering der det er nødvendig; sørge for sikkerhetskopiering og være nøye med tilgangskontrollen til de forskjellige systemene. Det er også viktig å sørge for årvåkenhet blant ansatte for å styrke sikkerhetskulturen og risikoforståelsen internt.

I tillegg til disse gode råd som alle virksomheter bør følge, gjelder det for en rekke sektorer og virksomheter egne regelverk som stiller ytterligere krav til løpende revisjon av egen IKT-sikkerhet.

De største og viktigste nasjonale virksomhetene er i dag underlagt sikkerhetsloven som trådte i kraft 1. januar 2019. Det følger av § 6-4 i sikkerhetsloven at virksomheten skal kontinuerlig overvåke sine skjermingsverdige informasjonssystemer for å forebygge, avdekke og motvirke hendelser som kan skade nasjonale sikkerhetsinteresser. Kravet til kontinuerlig overvåkning innebærer at virksomheter i lys av økt sikkerhetsrisiko må gjennomføre tiltakene som NSM viser til. Tidligere gjennomførte risikovurderinger bør om nødvendig revideres.

De største og viktigste virksomhetene i energibransjen er underlagt kraftberedskapsforskriften. Det følger av § 2-4 at virksomhetene skal ha et oppdatert beredskapsplanverk tilpasset virksomhetens art og omfang, og etter § 2-3 skal virksomheten gjennomføre risikovurdering knyttet til ekstraordinære forhold. Dette er det tid for å gjøre nå.

Lignende krav gjelder også for leverandører innen elektronisk kommunikasjon (ekom), finans og andre samfunnskritiske sektorer. De ulike regelverkene bygger på kjernen i NSMs grunnprinsipper for IKT-sikkerhet.