I sin årlige rapport om risiko­tilstanden i Norge, "Risiko 2018", slår Nasjonal sikkerhetsmyndighet (NSM) fast at nye sårbarheter, kombinert med en negativ utvikling av trussel­bildet, øker risikoen for å bli rammet av sikkerhetstruende hendelser.

– Den totale digitale angrepsflaten øker. Hvis din virksomhet i utgangspunktet er godt sikret, kan du likevel bli eksponert av svakt sikrede virksomheter du er sammenknyttet med over nett, sier Kjetil Nilsen, direktør i NSM.

I rapporten Risiko 2018 peker NSM på at etterretningstrusselen mot et stadig bredere spekter av norske virksomheter og interesser er betydelig.

NSM ser gjentatte forsøk på etablering av digital kontroll over og innhenting av sensitiv informasjon fra virksomheter som forvalter viktige og til dels kritiske samfunnsfunksjoner. I løpet av det siste året har NSM koordinert håndtering av større og mer alvorlige digitale hendelser enn før. I lys av dette fremstår norske virksomheter som lite motstandsdyktige.

– Risikoen øker fordi sårbarhetene blir flere og vanskeligere å kontrollere. Norske virksomheter må få et mer bevisst forhold til hvilken risiko de er villig til å akseptere. Da blir det enklere å redusere egne digitale sårbarheter, sier Kjetil Nilsen.

Hovedtemaer i rapporten:

  • Norge har økt risiko for å bli rammet av sikkerhetstruende hendelser. Dette skyldes vedvarende, nye og raskt økende antall digitale sårbarheter.
  • Etterretningsoperasjoner er fortsatten fremtredende trussel. Nettverksoperasjoner rettes mot norske virksomheter og systemer som ikke selv forvalter tradisjonelt skjermingsverdig informasjon.
  • I løpet av det siste året har NSM koordinert håndtering av større og mer alvorlige digitale hendelser enn i tidligere år.
  • Teknologiutviklingen skaper sårbarheter.Stadig flere enheter, prosesser og tjenester kobles sammen og til internett. Tjenesteut­setting er en attraktiv løsning for mange virksomheter. Utviklingen skaper digitale verdikjeder som er lange, uoversiktlige og ofte utenfor norske myndigheters kontroll.
  • Mennesket er en risikofaktor.Ansatte kan utnyttes eller uforvarende være en vei inn til virksomhetens verdier. Mangel på IKT-kompetanse og kompetanse om sikkerhet er en sårbarhet for mange virksomheter.
  • Effektiv risikostyring og hendelseshåndtering er mangelvare. NSM har sett alvorlige eksempler på manglende kontroll over risiko i offentlige virksomheter.