I Nasjonal Sikkerhetsmyndighets (NSM) rapport «Risiko 2024», skriver de at Norges sikkerhetsutfordringer påvirker hele samfunnet. Nasjonal sikkerhet angår staten, offentlige virksomheter, privat næringsliv, enkeltpersoner og alt imellom – og at IT-sikkerhet dermed er et ansvar som hviler på oss alle.
Dette er igjen en påminnelse om at det offentlige og det private må trå til og jobbe sammen. Norske myndigheter må i større grad annerkjenne betydningen av de private aktørene, som er et helt nødvendig ledd for å opprettholde et sikkert samfunn. Vi trenger å samle de klokeste hodene fra begge leire for å jobbe sammen, slik at vi kommer i mål og trygt kan jobbe videre med digitaliseringen av vårt vakre land.
The weakest link?
For andre år på rad, drar NMS-rapporten frem underleverandører som den største trusselen for norske virksomheter. Større virksomheter i Norge har råd til å sikre seg mot eventuelle dataangrep eller inntrengninger. Det de aller fleste ikke er flinke til, er å forsikre seg om at underleverandørene har alt på stell. Sikkerheten blir ikke bedre enn det svakeste leddet i en leverandørkjede. Sagt på en annen måte – det hjelper lite å sikre seg selv, om underleverandøren har døren åpen på vidt gap.
Vi må kunne stille krav
Underleverandører får skjerpede krav fremover gjennom GDPR, NIS2 og ikke minst den nylig innførte digitale sikkerhetsloven. Jeg er ganske sikker på at mange av dagens underleverandører ville slite med å dokumentere hvordan de ivaretar egen sikkerhet og hvilke tiltak de har på plass. Om virksomhetene i vurderingsprosessen krever at potensielle underleverandører legger frem en modenhetsanalyse som bygger på NSMs grunnprinsipper, så er mye gjort. Da får du en helt annen innsikt og kan ta vurderinger av egen risiko i et eventuelt samarbeid.
Markedskreftene bestemmer
Om normen blir at alle potensielle underleverandører må kunne legge frem dokumentasjon, som sier noe om hvor motstandsdyktige de er, opp mot samtidstrusselbildet, så er mye gjort. Da kan vi lene oss tilbake og la markedskreftene gjøre resten. De leverandørene som ikke kan eller vil møte kravene vil da naturlig miste oppdrag og omsetning.
Underinvestering
Samtidig viser Ateas årlige undersøkelse «Bevissthet og beredskap» en underinvestering i IT-sikkerhet generelt. Majoriteten av norske virksomheter setter av mindre enn ti prosent av sitt totale budsjett til IT – og under fem prosent av dette igjen går til IT-sikkerhet spesifikt. Det er også skremmende hvor mange virksomheter som ikke har en beredskapsplan, om de skulle bli utsatt for angrep – 51 prosent av respondentene i vår undersøkelse hadde ikke det.
#SammenSikrerViNorge
Jeg liker ikke å drive skremselspropaganda, men dessverre er realiteten at vi som samfunn ikke er godt nok forberedt til å møte dagens digitale trusler på en tilfredsstillende måte. De kriminelle jobber på og utvikler stadig nye metoder for å trenge gjennom virksomhetenes sikkerhetsløsninger – og for å være best mulig forberedt, må vi dra lasset sammen, uavhengig av hvor man kommer fra. Jeg utfordrer derfor alle som bryr seg om IT-sikkerhet i Norge til å være med dugnaden #SammenSikrerViNorge. Vi er sterkere sammen enn om vi jobber hver for oss.
Atea
Vi bygger Norge med IT