Cybersikkerhet er bedriftens største forretningsrisiko, ikke et IT-problem

Mens cyberkriminalitet spiser opp ti prosent av verdensøkonomien, tror mange norske ledere at de er «for små» til å bli hacket. Hugin.io-gründer Jørgen Færevaag advarer mot ubrukelige papirmøller, en naiv tillitskultur og styrer uten IT-kontroll.

Hvis du sitter i et norsk styre og tror at IT-avdelingen har full kontroll på cybersikkerheten deres, har Jørgen Færevaag dårlige nyheter til deg. Cybersikkerhet er nemlig ikke lenger et isolert IT-problem. Det er bedriftens aller største forretningsrisiko.

– Men cybersikkerhet er rett og slett en veldig umoden bransje, sier Færevaag, – Det er en industri preget av teknikere som prater med andre teknikere, som ikke blir forstått eller tatt på alvor av ledelsen. Forståelsen for hvorfor man i det hele tatt gjør disse tiltakene i et selskapsperspektiv, er i de fleste settinger helt fraværende.

Han er en av gründerne bak det norske cybersikkerhetsselskapet Hugin.io.

De så et skrikende behov for en løsning som faktisk fungerte for ryggraden i norsk næringsliv: De små og mellomstore bedriftene. Svaret ble en automatisert plattform som overvåker bedriftens systemer, og gir ledelsen et kontinuerlig oppdatert kart over sine faktiske digitale sårbarheter.

Navnevalget er nok ingen tilfeldighet. I norrøn mytologi flyr Odins ravner Hugin og Munin hver morgen ut i verden for å observere alt som skjer. Når de vender tilbake, hvisker de funnene i Odins ører for å gi ham full oversikt og visdom.

Nå skal programvaren gjøre nøyaktig det samme for norske styrer og selskaper som i dag famler i blinde.

– Sikkerhetsbransjen er bygget av og for verdens største selskaper, sier Færevaag. – Er du børsnotert eller har forsvarskunder, har du måttet ha kontroll i tiår. Men har du vært litt mindre? Da har du pratet med IT-sjefen, som har pekt på en IT-partner, som har skrevet på nettsiden sin at de leverer «sikkerhet». Det er der nivået ligger i dag, for de fleste små og mellomstore bedrifter i Norge.

Papirmølla som koster millioner

Når trusselbildet nå har eskalert, spesielt drevet frem av AI-teknologi, er det nettopp de uforberedte små og mellomstore bedriftene som er det mest lukrative byttet for hackerne.

Å prøve å løse problemet med tradisjonelle metoder, kan imidlertid bli et unødvendig mareritt for bedriftsøkonomien.

– Når ledelsen innser at de må gjøre noe, ringer de gjerne et av de store konsulenthusene. Et par millioner kroner og seks måneder senere, sitter de med en PDF-rapport på hundre sider, sier Jørgen Færevaag.

– Det høres ikke ut som at problemet dermed er løst?

– Å nei, sier Jørgen Færevaag og legger raskt til: – Nei, den gir dem bare en lang liste over nye problemer de må løse. Konklusjonen er at de har brukt et millionbeløp, og fått nøyaktig null bedre sikkerhet.

Mange ender opp med å jage etter en ISO-sertifisering, noe Færevaag delvis avfeier som en byråkratisk «papirmølle» i startfasen.

– Du får bedre dokumentasjon, men du får ikke teknisk kontroll. Utfordringen er et de fleste rett og slett mangler et kart over terrenget.

– Hva mener du?

– Du vet ikke hva som er farlig, og du aner knapt hvilke digitale eiendeler du faktisk har. Men å ikke ha kontroll på dette i våre dager, er som å gå til generalforsamlingen og si at «jeg er ikke så god på regnskap, så det har vi vel egentlig ikke sjekket». Det er uakseptabelt.

Cybersikkerhet er ikke lenger et IT-problem

Med innføringen av EU-direktivet NIS2, plasseres ansvaret for IT-sikkerhet og verdikjeder ettertrykkelig der det hører hjemme: Hos styret og toppledelsen.

Færevaag mener cybersecurity nå må gjennom nøyaktig den samme modningsreisen som Helse, Miljø og Sikkerhet (HMS) gjorde for noen tiår siden.

– HMS startet som noe irriterende papirarbeid borti et hjørne som folk mente var i veien for driften, sier Jørgen Færevaag.

– Men i dag er det en selvsagt, integrert del av enhver seriøs bedrift. Akkurat dit må cyber også. Det er ikke en separat greie IT-sjefen driver med; det handler om å være en pålitelig partner.

Cybersikkerhet foregår ikke i et vakuum. Akkurat hvor sårbar leverandørkjeden har blitt, fikk en av Hugin.ios partnere i helsesektoren nylig erfare på brutalt vis. En produsent av medisinsk utstyr ble hacket, og fremmede aktører la inn skadevare i en helt ordinær programvareoppdatering som ble skjøvet ut til sykehus og helseaktører.

– På dette området kan det fort bli virkelig skadelig?

– Ja. Dette var tungt kriminelle, og Interpol ble koblet inn. Hos flere store europeiske aktører begynte det plutselig å foregå filoverføringer av sensitiv persondata ut av huset. Heldigvis oppdaget vi og leverandøren det kjapt, fikk sperret systemene og nappet ut PC-ene før våre kunders data gikk tapt, sier Jørgen Færevaag, før han kommer med konklusjonen som dessverre er opplagt:

- Hadde det gått én dag ekstra, kunne resultatet blitt katastrofalt.

Faktaboks: Slik tar styret kontroll over cyberrisikoen

Jørgen Færevaags tre råd til ledere som vil slutte å famle i blinde:

• Oversikt: Ikke gjem dere bak IT-avdelingen eller dyre PDF-rapporter. Skaff et reelt, teknisk kart over bedriftens digitale verdier og sårbarheter. Cyber er nå styrets fulle og hele ansvar.
• Basis-sikkerhet: Steng døra med flerfaktorautentisering (MFA), og rydd opp i SaaS-løsningene (som Microsoft og Google). Stram inn hvem som kan dele åpne filer ut av huset; det stopper de aller fleste enkle angrep.
• Beredskap: Har dere en sikkerhetskopi som faktisk fungerer hvis dere blir låst ute av CRM-systemet i morgen? Test at backupen lar seg gjenopprette, ellers er den verdiløs.

Internett er ikke norsk

Norge er bygget på tillit. Vi stoler på naboen, og vi stoler instinktivt på kollegaen som deler et dokument fordi «jobben må gjøres». Vi har vel strengt tatt alle vært der. Eller vi deler med en kunde utenfor firmaet, fordi … vel, de skal ha dokumentet!

Men Færevaag advarer mot å ta med seg denne fysiske tilliten blindt inn i den digitale sfæren.

– Det norske tillitssamfunnet er vår største styrke, sier Færevaag – og fortsetter:

– Men cyber er et globalt domene. Internett er ikke et «norsk internett». Hvis du går inn på en buss full av fremmede, setter du deg gjerne på et eget sete. Du tar i hvert fall ikke imot en ukjent USB-pinne fra sidemannen. Så hvorfor gjør vi det digitalt?

– Du mener at vi rett og slett er litt for naive?

– Ja. Folk tror en USB-pinne bare er en uskyldig lagringsenhet. Men for PC-en ser den ut som et datasystem. Den kan utgi seg for å være et tastatur, åpne en nettleser, laste ned virus i bakgrunnen, og vipps så er hele nettverket kompromittert. Så bare dropp USB-pinner.

– Altså, alle USB-minnebrikker?

Jørgen Færevaag rister langsomt på hodet.

– Just don't ever fucking do it.