Telenor har ved hjelp av Norstat kartlagt IT-sikkerheten i norske bedrifter og funnene er dramatiske. Det er laber investeringsvilje blant norske bedriftsledere, og «alle bedrifter er utsatt», ifølge konsernsjef i Telenor, Sigve Brekke.
Siden pandemien har angrepene kommet jevnt og trutt. Tidlig i 2021 ble Stortinget rammet av 2 angrep på 3 uker. Tidligere i år stengte forsvarskommunen Målselv ned sine IT-systemer etter frykt om et nytt angrep.
Og for bare en uke siden ble børsnoterte Tomra rammet av et dataangrep. Hvem som sto bak angrepet vet man fortsatt ikke.
– Dette er en wake up call, sier Brekke.
Underinvestert
1 av 5 norske bedriftsledere sier at deres bedrift har blitt angrepet allerede og 34 prosent sier at de er veldig bekymret for angrep. Så er det 45 prosent som sier de ikke har tenkt til å bruke mer ressurser på sikkerhet.
– Gjennom de siste to-tre årene har digitaliseringen i verden skutt i været, men ikke i like stor grad i Norge. Vi er faktisk blitt litt forbigått, sier Telenor-sjefen.
Brekke prøver å forklare hvorfor norske bedrifter er så dårlig rustet mot dataangrep og trekker frem en undersøkelse fra Abelia:
– Undersøkelsen viser at norske bedrifter ikke har digitalisert seg med samme kraft og hastighet som andre i verden, i tillegg føler norske bedrifter at at de har manglende kompetanse. Vi faller bakpå og har for lite IT-kompetanse, understreker han.
Ifølge Abelia bruker også norske bedrifter mindre skybaserte løsninger enn andre. Vi sitter litt fast i våre gamle tradisjonelle systemer, skal man tro konsernsjefen.
– Vi er ikke så moderne som vi tror vi er, sier han.
For å forklare den labre investeringsviljen blant norske bedrifter, kan man se til direktør i Nasjonal Sikkerhetsmyndighet (NSM), Sofie Nystrøms tidligere utsagn:
– Vi vet at mange virksomheter fortsatt tenker at «det kan ikke skje meg», men vi i NSM vet at jo, det kan det.
Stormen kommer
Brekke varsler om at det er duket for en «perfekt storm», når det kommer til datatrusler og fremtidige angrep.
– Den perfekte stormen er når IoT (Internet of Things) kommer for fullt og blir koblet med 5G. Da vil det bli produsert enorme datamengder og det vil gi AI enda mer kraft. Det mener jeg kommer til å revolusjonere næringslivet og spesielt hvordan vi produserer varer og tjenester på, bekrefter han.
Og ifølge ham er svaret at norske bedrifter må investere i kompetanse. De må investere i AI og nye løsninger, og de må investere tungt i å beskytte infrastrukturen sin.
– Ellers kan det gå skikkelig ille, med tap i milliardklassen.
Ifølge Hydros finansdirektør, Pål Kildemo, kostet dataangrepet på Hydro rundt 800 millioner kroner for selskapet. Hva tapene hos Tomra blir på, vet man ikke ennå.
Pål Kildemo legger til at Hydro kontinuerlig opplever nye forsøk på angrep.
– Vi har jobbet med sikkerhet nå i flere år, og det å forsvare seg mot angrep er en kontinuerlig prosess. Vi ser det samme bildet som Brekke ser, sier han.
Funnene
Sikkerhetsdirektør Nystrøm er svært opptatt av digital sikkerhet. Hun har på NSMs nettsider uttrykt bekymring.
– Når alt vi omgir oss med er digitalt, og vi er så avhengige av at det digitale fungerer, så er vi selvsagt veldig sårbare for cyberangrep, sier Nystrøm.
Våpenkappløp
Brekke forteller at det er et våpenkappløp mellom angriperne og sikkerhetsekspertene.
– Dette kappløpet kommer ikke til å forsvinne, og når man får AI på toppen av dette, vil kappløpet akselereres på godt og vondt. Vondt fordi angriperne kan finne ut mye mer om deg eller bedriften din, og de kan rette angrepene sine mye mer presist enn tidligere, sier han.
– Samtidig kan vi bruke AI for å beskytte oss på en bedre måte. Men kappløpet kommer ikke til å bli borte. Eneste svaret er at vi må ligge et steg foran, sier Brekke.
Konsernsjefen ser også mer profesjonelle angrep enn tidligere. I tillegg ser han mer politiske rettete angrep.
– Vi snakker ikke om gutteroms-hackere men globale organisasjoner. Samtidig ser vi flere angrep fra statssponsede aktører. De er ute etter informasjon eller å se hvor mye styrke man har i nettene sine. For eksempel hvor lett det er å ta ut et lands infrastruktur, forteller han.
Pål Kildemo i Hydro er enig at angrepene endrer seg.
– Da vi ble angrepet for 2 år siden var det en type angrep som kom, nå er det andre typer angrep. Datasikkerhet utvikler seg hele tiden, sier Kildemo.
Folk liker å bruke Facebook og folk liker å digitalisere bedriften sin. Baksiden er at man kommer til å bli mye mer eksponert mot angrep. Det må man bare være bevisst påSigve Brekke
Trege politikere
Det kan bli et spørsmål om norske myndigheter må innføre mer lovgivning når det gjelder IT-sikkerhet. Brekke forteller at Telenor er definert som «kritisk infrastruktur». Det betyr at selskapet er underlagt sikkerhetslovgivning.
I Norge vurderes det nå om andre deler av infrastrukturen skal underlegges sikkerhetslovgivning, som for eksempel datasentre. Definisjonen av hva som er kritisk, den kommer til å bli større, ifølge Telenor-sjefen.
– Myndighetene kommer til å bli mye mer spesifikke på hvordan den kritiske infrastrukturen skal voktes, under nasjonal eierskap og kontroll, med klare regulatoriske rammebetingelser, sier han.
– Problemet er at alt skjer så fort at myndighetene henger bak. Mitt råd er at politikerne må se hvor raskt den teknologiske utviklingen skjer, og hvor viktig det er at de politiske rammeverkene er på plass.
Enorme vekstmuligheter
Brekke forteller at Telenor har ambisjoner om å bli ledende i Norden på digital sikkerhet.
Et økt trusselnivå skaper naturligvis høyere etterspørsel etter cybersikkerhetstjenester. Etter Hydro-angrepet, og etter Tomra-angrepet forrige uke, merker også mindre cybersikkerhetsbedrifter økende kundehenvendelser.
Når man ser andre brenne seg, løper man til ekspertene. Det gir vekstmuligheter.
– Kan vi si at IT-sikkerhet er en form for forsikring?
– Det kan du si, sier Brekke.
– Markedet og sikkerhetsbehovet eksploderer, og det er ikke bare vi som driver med dette. Vi er ikke alene i dette markedet, sier Brekke.
