Hvorfor dropper norske bedrifter å gjennomføre enkle IKT-sikkerhetstiltak? Ikke la dårlige passord være et svakt punkt i 2024. Norge må bli bedre på digital sikkerhet.

NSM hacker de viktigste virksomhetene i landet — etter avtale. Slik styrker vi sikkerheten i offentlige og private virksomheter med ansvar for nasjonale sikkerhetsinteresser. Kan vi spasere rett inn i bedriften din med en pistol i beltet? Kan vi henge oss på i heisen og snoke på kontoret ditt? Kan vi legge fra oss spionprogramvare og avlyttingsutstyr? Kan vi hacke intranettet ditt?

Svaret er ja. Vi gjør det hele tiden. I over ti år har NSM drevet inntrengingstesting av noen av Norges viktigste informasjonssystemer. Programvare, nettverk, brukere og virksomheter blir sikrere, men vi ser at de samme sårbarhetene går igjen år etter år.

Svake passord er og forblir et av norske virksomheters mest sårbare punkter. Hvis du, som mange andre, er klar til å bytte passord til Januar2024 klarer vi å gjette det. Har du valgt et passord som er så vanskelig at du må skrive det ned på en «lapp», så finner vi den også. Klarer vi det, klarer vi også å bryte oss inn i virksomheten din, med din identitet.

God passordsikkerhet, sikring av maskiner og nettverk og oppdaterte systemer er ikke hokuspokus, men noen må gjøre jobben

Den digitale motstandskraften i Norge må opp. Cybersikkerheten i alle deler av forvaltningen og næringslivet må styrkes. I vårt sikkerhetsfaglige råd til regjeringen tar NSM til orde for å stille tydeligere krav til kompetanse og teknologi.

NSM jobber sammen med andre land og myndigheter for å legge press på produsentene. Det bør være unødvendig å kjøpe dyre sikkerhetsprogrammer som tillegg til nye produkter. Sikkerhet bør være innebygd — og påslått som standard. Leverandørene må bidra til å gjøre digital sikkerhet mindre krevende for brukere av digitale tjenester og produkter. Dette er helt nødvendig for at små og mellomstore bedrifter og norske kommuner skal klare å sikre seg digitalt.

Cyberangrep er profesjonalisert og målrettede. Og det kommer ikke til å endre seg. Vi må ha en felles situasjonsforståelse i Norge. I dagens sikkerhetspolitiske situasjon er det avgjørende. Cybersikkerhet må prioriteres for å unngå store samfunnskonsekvenser. Derfor har vi samlet de ti vanligste sårbarhetene vi har funnet i norske IKT-systemer i en egen rapport – sammen med gode sikkerhetstiltak som beskytter.

Geir Arild Engh-Hellesvik Foto: NSM

God passordsikkerhet, sikring av maskiner og nettverk og oppdaterte systemer er ikke hokuspokus, men noen må gjøre jobben. Vi må aldri glemme den menneskelige faktoren. Å ha gode folk er det absolutt viktigste sikkerhetsgrepet en virksomhet kan ta. Ansatte må få opplæring i sikkerhet. Det må være gode rutiner for sikkerhet. Og virksomhetene må skape en kultur for sikkerhet.

Første steg vil alltid være å begynne med de enkleste tiltakene. Det gjør det vanskeligere å trenge seg videre inn i systemene deres enten det er NSMs inntrengingstestere eller trusselaktører som prøver å få en fot innenfor døren. Enten det er i det digitale domenet eller hovedinngangen til virksomheten.

Til opplysning: NSMs inntrengingstestere utfører kun tester etter anmodning fra virksomheter. Felles for virksomhetene er at de er underlagt sikkerhetsloven fordi de forvalter nasjonale sikkerhetsinteresser.

Vil du bidra med din mening? Send debattinnlegg på epost her