cybersikkerhet
Cyberkriminalitet må på styrets og daglig leders bord
Hvordan sørge for at du sikrer deg mot de reelle truslene som virksomheten din er utsatt for? Etabler et robust program for sikkerhetsrutiner som starter på toppen av organisasjonen, skriver Helge Kvamme og Nils Kristian Einstabland i Advokatfirmaet Selmer DA.
Helge Kvamme og Nils Kristian Einstabland er partnere i Advokatfirmaet Selmer DA.
SYNSPUNKT
Etter en omfattende internasjonal politiaksjon («Operation Avalanche 101»), avdekket etterforskerne cyber angrep mot virksomheter i 189 land, inkludert Norge.
Uttalelsen fra lederen for den Europol-styrte aksjonen gir en dekkende beskrivelse av dagens risikobilde: «Cybercrime is now every bit as bad as serious organized crime».
Økende cyberkriminalitet og innføringen av de nye personvernreglene (GDPR), som skal være implementert innen mai neste år, krever økt oppmerksomhet mot hvordan virksomhetene beskytter data og personopplysninger.
Å kartlegge potensielle hendelser og forstå hvem som er bakmennene, kan hjelpe virksomhetene med å lage rammeverket til effektive sikkerhetsrutiner rettet mot cyberkriminalitet. Bakmenn kan være kriminelle som kun er ute etter økonomisk gevinst; da er det viktig å se på hvilke områder av virksomheten som er utsatt for slike angrep. I andre tilfeller kan det dreie seg om industrispionasje, og da er det vesentlig å se på hvem som kan ha et motiv for å gå etter virksomhetens mest kritiske data, som kundeinformasjon, forskningsdata og personopplysninger.
For at tiltakene mot cyberkriminalitet skal være målrettede og kostnadseffektive, må arbeidet begynne med at ledelsen og daglig leder tar ansvar for å gjennomføre en risikovurdering. Risikovurderingen må ta for seg de enkelte deler av virksomheten, belyse hvilke som kan bli angrepet, sannsynligheten for at hendelser vil skje og hvilke konsekvenser de kan få. Hva kan virksomheten utsettes for, hvilke eiendeler og verdier er utsatt og ikke minst; hvem kan stå bak angrepene?
Risikovurderingen skal danne grunnlaget for tilpassede rutiner og retningslinjer, deriblant tiltak for sikring av de mest kritiske data og personopplysninger, internkontroll, adgangskontroll og behov for krypteringsløsninger og så videre.
Tiltakene kan ha liten verdi om de ikke er knyttet opp mot resultatet av den grundige risikoanalysen. Den skal også danne grunnlaget for opplæring av ansatte, overvåkning og monitorering av kritiske områder identifisert under vurderingen, utvikling av et rapporteringssystem med undersøkelser av hendelser og rapportering til myndighetene.
En god risikovurdering skal også inneholde hvilke tiltak som må på plass. Her er det vesentlig å se på risikoen for menneskelige feil og risikokulturen i virksomheten.
Slik starter du arbeidet med å beskyttelse virksomheten mot cyberangrep:
Sett arbeidet inn i en rutinebasert kontekst, slik at arbeidsprosessene henger sammen med tiltakene mot korrupsjon, hvitvasking av penger, personvern, sanksjoner og andre compliance områder.
Arbeidet starter ved at styre og ledelse forplikter seg i forhold til nødvendige ressurser, kvaliteten i arbeidet, tilstrekkelige rutiner og etablering av policy, retningslinjer og instrukser.
Fokuset må i prioritert rekkefølge rettes mot informasjonen, verdiene og eiendelene som skal beskyttes.
Bygg kultur for etterlevelse av rutiner og sikkerhet. Undersøkelser viser at ca. 35 prosent av cyber-hendelser skyldes menneskelige feil – gode sikkerhetsrutiner som følges opp og etterleves kan avverge angrep.
Forvent hendelser og etabler et responsapparat for håndteringen. Klargjør ansvar for undersøkelser, rapportering, rettslige vurderinger og konsekvenser, melding til myndighetene, oppretting av svakheter i kontrollen samt intern og ekstern informasjon.