Datakriminalitet Altfor mange staar ikke fram
<strong>DATAKRIMINALITET:</strong> Thomas Tømmernes, leder for IT-sikkerhet i Atea, oppfordrer flere til å stå fram og fortelle om datakriminalitet. Han sier at alle før eller siden vil bli forsøkt hacket. 
Nytt

Datakriminalitet: - Altfor mange står ikke fram

- Det er store mørketall mellom hva som blir rapportert og det som egentlig norske virksomheter blir utsatt for.

28.07.2020

Det sier Thomas Tømmernes, leder for IT-sikkerhet i Atea.

Mandag gikk Signhild og Hallgeir Skorpen i Herøy-bedrifta Westplast ut i NETT NO og fortalte om dataangrepet mot bedriften med påfølgende pengekrav i kryptovalutaen bitcoin.

Westplast-eierne oppmodet samtidig andre om å fortelle om dataangrep, slik at man kan lære av hverandres erfaringer.

Les her: - Fleire bør snakke om datakriminalitet

Store mørketall
Thomas Tømmernes er enig.

- Dette er et viktig samfunnsspørsmål. Det er dessverre altfor mange virksomheter som blir utsatt for datakriminalitet som ikke står fram.

Han viser til at NSR (næringslivets sikkerhetsråd) utgir mørketallsundersøkelsen annet hvert år, og at det kommer en ny undersøkelse til høsten.

- Denne vil også garantert vise til større mørketall mellom hva som blir rapportert og det som egentlig norske virksomheter blir utsatt for, sier Tømmernes.

Fokus på de store
Det var Atea som var dataleverandør til Westplast, som opplevde hackingen, en bedrift med en omsetning i 2019 på 29 millioner kroner.

Tømmernes viser til at de fleste IT-produsenter har fokusert satsingen på IT-sikkerhetsløsninger inn mot de større bedriftene.

- Men i Norge har vi ifølge Statistisk Sentralbyrå rundt 590.000 virksomheter, der bare 845 av disse er flere enn 250 ansatte.

- Utfordringen for små virksomheter er at lovverket er likt for både små og store bedrifter og kravene fra Datatilsynet om å ivareta personopplysninger i henhold til GDPR (Geneal Data Protection regulation, red merk) er likt for alle.

Mange henlagte saker
Kan du si noe om hvorfor du tror det er så mange som velger å la være å stå fram?

- Om det er følelsen av maktesløshet, at man har vært naiv eller om man ikke tror det vil hjelpe med en anmeldelse, og mulig skade fremtidig butikk og renommé vet jeg ikke, men har hørt alle variablene flere ganger.

- Det er dessverre alt for mange saker som blir henlagt av politiet og om man ikke har tegnet en Cyber-forsikring får man heller ikke de tapte pengene igjen av forsikringsselskapet. Da står man igjen med lua i hånden, har blitt utsatt for kriminell handling og får hverken tatt eller stoppet de kriminelle, eller de tapte verdiene tilbake.

- Alle blir før eller senere forsøkt hacket
Hvordan skal virksomheter sikre seg, hvilket regelverk må de følge?

- Vi har faktisk ingen tydelige regler i Norge for hvordan virksomheter skal sikre seg. Det nærmeste vi kommer er NSM grunnprinsipper, som er en god veileder for hva virksomheter bør gjøre for å være sikrere. Jeg bruker utrykket sikrere, for det er ingen som kan garantere at man er 100 prosent sikker.

- Det vi derimot vet med sikkerhet, er at alle før eller senere blir hacket eller forsøkt hacket, og både NSM og NorSis har uttalt at virksomheter uten egen IT-sikkerhetsavdeling bør kjøpe dette som en tjeneste fra profesjonelle IT sikkerhetstilbydere.

Hva gjøres av myndighetene med denne situasjonen?

- Innenfor IT-sikkerhet vil stortingsmeldingen «IKT-sikkerhet - Et felles ansvar», der man appellerer til tettere samarbeid blant annet mellom offentlige, private, stat, akademia, være essensielt for å lykkes med å få sikkerhetsbudskapet ut til alle Norges 590.000 virksomheter. Det nye senteret til NSM på Langkaia er et godt eksempel på møteplass for samarbeid mellom sektorene der Atea er en av disse samarbeidspartnerne.

Viktig e-lov
Tømmernes viser til at den den nye e-loven også er et stort steg for å styrke den digitale sikkerheten for Norge som stat.

- Mange liker nok dårlig muligheten for «storebror ser deg», men jeg tenker nok at når systemene og rutinene er på plass vil mannen i gata ha privatlivet i fred, samtidig som myndighetene får et mye større handlingsrom til å identifisere og rettsforfølge IT-kriminelle og angrep mot rikets sikkerhet.

- Bedre logging og mulighet for oppslag i register vil antakeligvis utgjøre en mye større risiko enn i dag for å bli tatt, noe som sannsynligvis raskt vil spre seg blant folk med tvilsom moral, og mange «uerfarne og amatører» vil kvie seg for å gjøre fremstøt. Profesjonelle aktører og statsmakter vil nok fortsatt komme forbi «overvåknings»-systemene, men reduksjonen av støy vil gi myndighetene bedre oversikt.

Ålesund-ledet hendelshåndtering
Han viser til at Atea har innført en rekke tiltak for å informere sine kunder om datasikkerhet, blant annet gjennom Sikkerhetsdagene der det normalt er rundt 2.000 bedrifter innom.

- I år inviterte vi også med oss NSM som presenterte Grunnprinsippene i versjon 2.0, som jeg anbefaler alle med et IT ansvar å sette seg inn i. Vi kjører også presentasjoner og kundemøter over hele Norge ukentlig rundt trusselbilde og hvordan virksomheter kan sikre seg.

Tømmernes opplyser at Atea har et hendelseshåndteringsteam som NSM har godkjent. Dette ledes fra Ålesund av Vegard Kjærstad.

- Jeg deltar fortløpende på deres oppdateringer og samlinger, og således sitter med dagsferske hendelser og har god kjennskap til sanntidstrusselbildet basert på reelle hendelser. I min rolle har jeg også jevnlige møter med flere av verdens ledende it-sikkerhetsprodusenter, som villig vekk presenterer hvilke teknologier de jobber med og som blir tilgjengelig for virksomheter i nær fremtid.

- Jeg blir også kontaktet av kunder, samarbeidspartnere og kollegaer som har spørsmål. Jeg liker å kunne svare riktig, så det går mye tid med på å finne svarene, noe som igjen gjør meg oppdatert, sier Tømmernes i en pause under rorbuferien på Rørvik i Nord-Trøndelag.

Les også: Har du en god nok sikkerhetskultur?


Det vi derimot vet med sikkerhet, er at alle før eller senere blir hacket eller forsøkt hacket

Publisert: 28.07.2020 05:56

Sist oppdatert: 15.06.2021 02:40