La frem Helhetlig IKT-risikobilde
Rapport ser på de viktigste risikoene knyttet opp mot bruk av IKT i det norske samfunnet.
Rapporten omfatter utviklingstrekk, utfordringer og mulige tiltak av betydning for statssikkerhet, samfunnssikkerhet og individsikkerhet. Rapporten har et vidt nedslagsfelt ved å omhandle utfordringer både for tilsiktede og utilsiktede uønskede hendelser knyttet til IKT-utstyr og internett.
NSM har sett flere eksempler på vellykkede datainnbrudd der angriperne har fått tilgang til virksomhetskritisk informasjon, og at forretningshemmeligheter, kursdrivende eller annen sensitiv informasjon har kommet på avveier. Skadevirkningene kan variere fra sak til sak, men de alvorligste konsekvensene skjer i et langsiktig perspektiv hvor virksomhetene etter tap av immaterielle verdier mister sin konkurranseevne og eksistensgrunnlag.
For offentlige virksomheter kan skadevirkningene være tap av tillit til det offentliges digitale løsninger på en slik måte at det påvirker samfunnets evne til å ta ut ytterligere gevinster ved modernisering og digitalisering.
Konsekvensene av vellykkede datainnbrudd kan også medføre tap av personopplysninger og annen sensitiv informasjon. Risikoen for mulig tap av virksomhetens omdømme er også til stede. Nedetid på nettsider eller IKT-tjenester er også en konsekvens for mange virksomheter, slik for eksempel flere norske banker opplevde i 2014.
Nedetid i kritiske samfunnsfunksjoner som f.eks. helsevesen, energi- og vannforsyning kan ha alvorlige konsekvenser og medføre skade på innbyggernes liv og helse.
Gitt de verdier som står på spill, en økende og mer sofistikert trussel, og gitt betydelige sårbarheter i det norske samfunnet, konkluderer NSM slik om det helhetlige IKT-risikobildet:
NSMs overordnede vurdering av IKT-risikobildet er at det er stor risiko forbundet med bruk av IKT. Dette gjelder på alle nivåer i samfunnet. Alle er mål for IKT-angrep.
Det er stor risiko forbundet med at store og små virksomheter ikke tar i bruk grunnleggende tiltak for å sikre sine IKT-systemer. Sårbarhetene er den dimensjonen i risikobildet vi alle kan gjøre noe med. De samme sårbarhetene observeres gjentatte ganger og avslører at IKT-sikkerhetsarbeidet er mangelfullt styrt.
Norske statlige og private virksomheter har betydelige verdier som er ettertraktet for trusselaktørene. Trusselaktørene gjør gode vurderinger av hva som er informasjon av høy verdi. Konsekvensen av mangelfull IKT-sikkerhet er at det kan tapes store verdier.
Uønskede handlinger via IKT og internett fortsetter å øke i antall og kompleksitet. Imidlertid er det registrert færre alvorlige hendelser enn før. Vi har indikasjoner som tyder på at dette skyldes at dataangrepene har blitt mer avanserte og at det er betydelig læringsevne hos trusselaktørene.
Kunnskapsnivået og tilgang på fagkompetanse er for lavt, i et spenn fra den vanlige IKT-bruker til spesialister i hendelseshåndtering. Dette hemmer evnen til å gjennomføre gode IKT-sikkerhetstiltak. Dette vil sannsynligvis også føre til at det nasjonalt ikke vil finnes tilstrekkelig fagkompetanse til å håndtere større IKT-angrep. I tillegg er det en utfordring å følge med på konsekvensene av den teknologiske utviklingen for IKT-sikkerhetsområdet. Mangelfull rapportering av alvorlige IKT- hendelser vil svekke evne til forbedring og læring innen forebyggende IKT-sikkerhet.
Det er behov for å få etablerte strukturer til å virke bedre gjennom å videreutvikle samarbeids- arenaer og gode samarbeidsmekanismer, slik at prosesser rundt politikkutforming, forebyggende IKT-sikkerhet og hendelseshåndtering forbedres. Samarbeid mellom ulike offentlige og private aktører kan med fordel utvikles videre. Utvikling, forvaltning, og drift av offentlige IKT-løsninger kan samordnes bedre.
Manglende fellesløsninger for IKT-systemer for sensitiv, lavgradert og høygradert informasjon kan føre til dårlig informasjonssikkerhet og kan være kritisk i en krisesituasjon.
Ugradert elektronisk kommunikasjon blir i liten grad blir kryptert. Dette senker terskelen for vellykket avlytting og sensitiv informasjon kan kompromitteres.
Tilbud om gode tjenester, som for eksempel inntrengningstesting av datasystemer, sertifiserings- ordninger eller akkrediteringsordninger, blir ikke tilstrekkelig utviklet. Dette kan føre til utilstrekkelig koordinering av politikkutforming, forebyggende tiltak og krisehåndtering.
Sensorkapasiteten i varslingssystemet VDI er ikke tilstrekkelig utviklet. Utviklingen av truslene setter den nasjonale evnen til å håndtere IKT-hendelser under betydelig press og reduserer evnen til både å oppdage og håndtere disse. Det er risiko for at alvorlige IKT-angrep blir oppdaget for sent og ikke blir håndtert på en tilfredsstillende måte.
For å redusere risikoen er det behov for en omfattende nasjonal satsning på IKT-sikkerhet i årene som kommer.
NSM har i sikkerhetsfaglig råd foreslått 72 tiltak for å forbedre sikkerhetsarbeidet. En rekke av disse er relevante for IKT-sikkerhet og er gjentatt i Helhetlig IKT-sikkerhetsbilde. Det foreslås tiltak for å forbedre kunnskapssituasjonen, forbedre nasjonal styring og samarbeid, forbedre forebyggende sik- kerhet og forbedre evnen til hendelseshåndtering.
NSM gjentar også sitt råd om å gjennomføre 10 (4+6) grunnleggende sikkerhetstiltak, som vil forhindre 90 % av alle dataangrep. 100 % av de alvorlige dataangrepene NSM har sett de siste 24 månedene hadde blitt stoppet dersom den ram- mede virksomheten hadde gjennomført 4 av de enkle tiltakene som NSM anbefaler.