Industry@pps | 2/2018
Cyber Security
– vår neste store utfordring
Digitale angrep er et stadig økende problem. Angrepene rettes mot kritisk
infrastruktur, mot nasjoner og mot selskaper. Selv om ditt selskap ikke står øverst
på hackerens eller ukjente etterretningstjenesters «angrepsliste», kan man raskt
befinne seg i en ubehagelig situasjon med store økonomiske tap om man ikke har
sikret seg tilstrekkelig. Maersk er et godt eksempel på et selskap som ble hardt
rammet selv om de ikke var angripernes mål. Maersk opplyser selv at de ble påført
et tap i størrelsesorden 2-300 millioner USD som følge av angrepet som kunne vært
avverget hadde riktige rutiner og prosedyrer vært på plass i selskapet.
Vi ser en klar trend i markedet og i
livet rundt oss at flere og flere enhe-
ter er koblet opp mot internett, såkalte
«Connected Devices». Ifølge Gartner
Group var 8,4 milliarder enheter «Con-
nected» i 2017, og de forventer at så
mange som 20,4 milliarder enheter vil
være «Connected» innen 2020. Med et
økende antall tilkoblede enheter øker
samtidig sannsynligheten for svakhe-
ter i tekniske systemer som angripere
kan utnytte.
HVORDAN ER SELSKAPER
RUSTET TIL Å HÅNDTERE DISSE
UTFORDRINGENE?
Telenor skriver følgende i sin årlige
rapport «Digital sikkerhet» publisert i
august 2018:
Mange norske virksomhetsledere
peker på manglende kompetanse som
den største utfordringen i arbeidet med
digital sikkerhet. I en fersk undersø-
kelse der over 500 norske ledere i pri-
vat- og offentlig sektor har blitt spurt
10
om sitt forhold til digital sikkerhet, sva-
rer hele 37 prosent at digital sikkerhet
er vanskelig å forstå og 44 prosent sier
at ansattes manglende kompetanse
eller feilvurderinger er selskapets stør-
ste digitale sårbarhet.
SÅ HVORDAN SKAL MAN SIKRE SEG
MOT DENNE USYNLIGE FIENDEN?
Siemens har helt siden 2010 jobbet
målrettet for å bli best i klassen og
være den leverandøren som sitter i
førersetet hva gjelder Cyber Security.
Som et resultat av dette er det defi-
nert tre grunnsteiner for å oppnå
nødvendig sikkerhet: Mennesker,
teknologi og prosedyrer. Med dette
menes at ansatte i selskapet må ha
nødvendig kompetanse, man må
bruke riktig utstyr og dette utstyret
må brukes riktig og selskaper må ha
tilstrekkelige og riktige retningslinjer
for de ansatte. Sistnevnte kan være så
enkelt som at gjester ikke har tilgang
til selskapets fasiliteter uten å være i
følge av en ansatt.
HVORDAN DEFINERE HVA SOM ER
RETT?
Det er ikke Siemens selv som definerer
hva som er beste praksis. Siemens støt-
ter seg på IEC 62443-standarden. Dette
er en standard utviklet for industrielle
installasjoner og kontrollsystemer. IEC
består av deltakere fra 85 medlems-
land. Norge er representert i IEC med
ansatte i NEK.
Ut fra standarden har Siemens utviklet
sitt rammeverk for Cyber Security. For
å oppnå riktig og nødvendig sikkerhet
må man kontinuerlig jobbe innenfor
byggesteinene «Assess, Implement og
Manage». På norsk betyr dette, Assess:
gjennomgang for å finne svakheter.
Implement: innføre tiltak for å forbedre
svakheter. Manage: å kontinuerlig ved-
likeholde dagens løsninger. I denne
sammenhengen skal man ikke kun tenke
tekniske løsninger, men en helhetlig vur-
dering av selskapet. Både rutiner, prose-
dyrer, teknologi og ansattes kompetanse