Samfunn
Jakten på billigste IT-løsning utgjør en sikkerhetsrisiko
En for sterk vekting av pris og valg av «billigste løsning» når offentlig sektor utvikler IKT-systemer, går på sikkerheten løs, mener IKT-Norge-sjefen.
Hacker-angrepet denne uken traff ikke bare Stortinget. Bedrifter, samt nasjonale og lokale myndigheter over hele verden er rammet. På grunn av manglende sikkerhet mener IKT-Norge at norske kommuner er særlig utsatt for dataangrep.
Angrep via epost
Et sikkerhetshull i epost-systemet Microsoft Exchange gjorde angrepet på Stortinget mulig. Feilen har rammet bedrifter, organisasjoner og myndigheter over hele verden.
Ifølge BBC var over 30.000 organisasjoner i USA påvirket av angrepet sist fredag. Søndag var estimatet doblet til 60.000, skriver Aftenposten. Antall rammede virksomheter stiger fortsatt.
Microsoft mener det er en hackergruppe med navnet «Hafnium» som står bak angrepet mot Microsoft Exchange. Ifølge Microsoft holder gruppen til i Kina. Tidligere har gruppen siktet seg inn mot USA-baserte selskaper, undervisningsinstitusjoner, private forsvarsselskaper, tankesmier og NGO-er, skriver NTB.
Sårbarheten gjorde det mulig for angriperne å få tilgang til epostkontoer, og tillot installasjon av ekstra skadelig programvare som kunne gjøre det mulig å ha langsiktig tilgang til data hos den som ble angrepet. Microsoft hevder at sikkerhetshullet nå er tettet.
Viser sårbarheten
Dette hacker-angrepet viser hvor sårbare virksomheter er blitt, mener IKT-Norge. Både private virksomheter, statlige myndigheter og organisasjoner risikerer å bli utsatt for angrep. Men i Norge er det særlig kommunene som er dårligst rustet til å motstå dataangrep, ifølge en undersøkelse IKT-Norge har fått utarbeidet.
Undersøkelsen IT i praksis som er gjennomført blant norske kommuner, viser at bare 60 prosent av kommunene opplever at de har sikret sine data godt nok.
− Sett i lys av de gjentakende og alvorlige cyberangrepene mot norske virksomheter, er dette urovekkende, sier administrerende direktør Øyvind Husby i IKT-Norge.
− De siste dagers cyberangrep er svært alvorlige. Det er bra at Microsoft og Stortinget viser så stor åpenhet om det som har skjedd. Åpenhet og samarbeid er den beste måten vi kan bekjempe sikkerhetstrusler på. På tilsvarende måte som vi har jobbet for å etablere en god smittevern-kultur, må vi nå jobbe for å forbedre sikkerhetskulturen, sier IKT-Norge direktøren.
Billigste løsning kan koste dyrt
IKT-Norge mener det er urovekkende at 60 prosent av norske kommuner rapporterer at de opplever å ikke ha god nok informasjonssikkerhet i sine IT-systemer, og videre at bare rundt halvparten av kommunene opplever at de får tilstrekkelig støtte av myndighetene til å forbedre dette.
− Myndighetene må støtte kommunene enda bedre i arbeidet med god informasjonssikkerhet. Det kan være tydeligere informasjon til brukere og virksomheter om trusler, angrep og anbefalinger om løsninger, sier Husby.
Videre mener han at offentlige aktører må ha god bestillerkompetanse og vekte sine innkjøp riktig.
− Når offentlige virksomheter skal kjøpe IT-løsninger må innkjøperne ikke bare ha fokus på pris og billigste løsning. Det kan koste dyrt, mener IKT-Norge-sjefen, som mener innkjøperne i alt for stor grad vektlegger pris fremfor andre argumenter når de skal handle IKT-tjenester.
– Når pris har så mye større betydning enn for eksempel arkitektur og infrastruktur, så er risikoen stor for at det går ut over sikkerheten, sier Øyvind Husby.
– Det er tre ting som det tas for lite hensyn til. Innovasjon, bærekraft og sikkerhet, mener Husby. Han påpeker manglende kompetanse, ikke bare i det offentlige, men i virksomherer i stort, utgjør et problem.
– Tre av fire NHO-bedrifter sier de mangler IKT-kompetanse. De får rett og slett ikke tak i folk. Derfor trengs det flere studieplasser og bedre etterutdamnning innen IKT, framhever IKT-Norge-sjefen.