Et sikkert digitalt Norge – NSMs IKT-risikobilde 2018

Gå til hovedinnhold Gå til navigasjon

Et sikkert digitalt Norge – NSMs IKT-risikobilde 2018

Nasjonal sikkerhetsmyndighet (NSM) har 27.9.18 lagt frem sitt IKT-risikobilde for 2018. Vurderingene føyer seg inn i rekken av aktører som peker på mulighetene og effektene som digitalisering gir på den ene siden og de sikkerhetsutfordringene dette medfører på den andre.

Faksimile av forsiden av rapporten fra NSM

NSM understreker at sikkerhetsarbeidet krever stadig større innsats i alle deler av en virksomhet, men også at det er mulig å forbedre sikkerheten med noen sentrale grep:

  • Kompetanse innen IKT og IKT-sikkerhet må prioriteres i alle virksomheter.
  • IKT-sikkerhet må adresseres systematisk på alle nivåer i virksomheten. Ledelsen må prioritere sikkerhet og sørge for at virksomheten gjennomfører risikovurderinger og følger anerkjente rammeverk, som NSMs Grunnprinsipper for IKT-sikkerhet.
  • Virksomheten må ha en moderne, oppdatert og ryddig IKT-portefølje.
  • IKT-miljøet til virksomheten må være tilpasset og profesjonelt for å levere nødvendige tjenester.
  • Sikkerhet må være en naturlig del av tjenesteutsetting gjennom hele tjenestens livsløp.
  • Virksomheter må få på plass en god IKT-arkitektur
  • og automatisere sikkerhetsarbeidet.
  • Sluttbrukere må tilbys løsninger som fjerner eller reduserer risiko for brukerfeil.

Lite spesifikt om finansnæringen

NSMs vurderinger er nok mer myntet på øvrige deler av samfunnet enn på finansnæringens spesifikke forhold. Finansnæringen er langt fremme på digitalisering, og har hele tiden hatt høyt fokus på sikkerhet og sikring i løsningene som lages. Dette er en kontinuerlig prosess for eksempel innenfor:

  • BankID – som gir hele Norge viktig infrastruktur for god digitalisering
  • DSOP – «digitalisering og samarbeid for viderekomne»
  • Nordic Financial CERT – felles satsning og deling for håndtering av digitale angrep

Det er likevel flere av de forhold som blir tatt opp, som er av høy relevans også for vår næring;

Det vises til at digitale løsninger blir mer komplekse når nye og eldre systemer kobles sammen på tvers av virksomheter, leverandører, sektorer og land.

NSM understreker at med digitaliseringen kommer også nytt lovverk med ny nasjonal sikkerhetslov, ny personopplysningslov som implementerer en ny europeisk personvernforordning (GDPR), og sektorvise regelverk.

Det som treffer finansnæringen mest direkte i NSMs vurderingsrapport, er utviklingen innenfor økonomisk kriminalitet. Her skriver NSM:

«Ettersom penger og andre verdipapirer blir digitale ser politiet at økonomisk kriminalitet oftere blir utført av internasjonale, kriminelle miljøer ved hjelp av digitale verktøy. I mange tilfeller er angrepene heldigitaliserte. Norske virksomheter blir svindlet for millionbeløp på nett, og nettbanksvindel, kredittkortsvindel og identitetstyverier rammer oss som privatpersoner. Alt fra IoT-enheter (Internet of Things) til kritiske servere blir brukt til uautorisert utvinning av kryptovaluta. Utvalget av sofistikerte digitale angrepsverktøy er viktige drivkrefter bak fjorårets globale løsepengekampanjer og stadig mer omfangsrike tjenestenektangrep. NSM forventer flere og mer avanserte krypterings- og løsepengekampanjer i tiden fremover.»

Stadig flere aktører benytter krypteringsløsninger for å beskytte lagrede data og digital kommunikasjon. Dette medfører ifølge NSM at stadig oftere vil angripe de endepunktene i kjedene som behandler de ukrypterte dataene.

Operasjoner mot norske mål

NSM understreker at de gjennom 2018 har registrert ulike typer operasjoner mot norske mål og interesser. Dette understreker at selv om man har kommet langt i digitaliseringssammenheng, gjennomgående har gode sikkerhetsrutiner og er et lite land i utkanten av en stor og viktig region, så er man på ingen måte forskånet fra de trusler som finnes på IJKT-området.