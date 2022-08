Kai Roer skriver i Finansavisen den 14. august om kultur som forsvarsverk i tilknytning til cyberangrep. Roer kommer med flere gode poenger i sin tekst. En god sikkerhetskultur er viktig for at virksomheter i dag skal være i stand til å beskytte sine systemer og data. En god sikkerhetskultur vil imidlertid ikke være tilstrekkelig som forsvarsverk alene. Tekniske systemer og organisatoriske prosedyrer er nødvendig for å understøtte en god sikkerhetskultur, slik at forsøk på cyberangrep blir detektert og stanset. Jeg vil imidlertid hevde at systemer og prosedyrer faktisk bare blir viktigere ettersom den menneskelige faktoren oftere blir utnyttet som veien inn til IT-systemet for en angriper.

En forutsetning som alle seriøse virksomheter i dag bør jobbe etter, er at ansatte vil kunne bli manipulert. Eksempelet som Roer selv viser til med penetrasjonstesten av oljefonssjef Nicolai Tangen, er illustrerende. Vedlegget i e-posten fra Tangens lokalavis Lillesandsposten, fikk selv oljefondssjefen til å senke guarden. Læringspunktet som vi alle bør ta med oss fra Oljefondets øvelse er at de fleste av oss kan bli lurt dersom aktøren bak angrepet skreddersyr innhold, budskap, form og farge. Dette fordrer igjen at virksomheten har tekniske systemer og organisatoriske prosedyrer på plass for å skadebegrense, detektere og å redusere de negative konsekvensene av slike handlinger. Nettopp fordi mennesker til tider vil kunne gjøre ukloke valg, feilhandlinger, ta snarveier og kan manipuleres, uansett hvor mye opplæring og sikkerhetskompetanse den enkelte måtte inneha.

Når Roer skriver at mellom 80 og 90 prosent av alle vellykkede IT-angrep gjennomføres ved misbruk av ansatte så kan man samtidig stille seg spørsmålet om de virksomhetene som ikke blir rammet nettopp hadde sine tekniske systemer og organisatoriske prosedyrer i orden. Tiltakene kan med andre ord ha forhindret at negative konsekvenser inntraff til tross for at de ansatte, også her, har blitt utnyttet og manipulert.

Ett av de mest avanserte cyberangrepene som er kjent fra nyere tid, leverandørkjedeangrepet mot programvareprodusenten SolarWinds, ble oppdaget nettopp på grunn av tekniske tiltak, velutviklede organisatoriske prosedyrer og en oppegående medarbeider på servicedesken til sikkerhetsselskapet FireEye som fulgte samme de organisatoriske prosedyrene.

I desember 2020 fanget medarbeideren opp at en ukjent mobil enhet forsøkte å koble seg til virksomhetens nettverk med bruk av en annen ansatts legitime påloggingsinformasjon. FireEye hadde med andre ord implementert tekniske tiltak som bidro til kontroll på hvilke mobile enheter som logget seg på nettverkene deres.