Zero Trust Soldier

Cybersecurity is complex. Let's see if we can make it more understandable

Kjære ledelse. Adressér den største trusselen

“Cybersecurity”. “Digitalisering”. “Hacking”. “Ransomware”. “IKT sikkerhet”.

Vi er bransjen, inkludert media, er flinke til å kaste rundt oss med fine og fancy ord. Men har det en bakside? Hvordan opplever ledelsen disse ordene som til stadighet kommer opp relatert til dagens trusselbilde?

Ledelse: Keep it simple. Adressér ransomware!

Det rammer alle, både tilfeldig og målrettet. Det rammer også selv om man har tjenesteutsatt. Husk det. Tenk på det. Adressér det.

Sikkerhet er omfattende, men sikre at den største trusselen er adressert, og høst frukter av det, for det gir et veldig godt grunnlag for resten av sikkerhetsarbeidet.

Risikovurderingen er omfattende og gis til de IT ansatte

Nei, nei, nei. Risikovurdering skal og må være knyttet til forretning og verdier. Generell “analog” risikovurdering har i alle år blitt håndtert av ledelse og styre, men når digitalisering innføres blir dette altfor ofte dyttet over på IT avdelingen, fordi det er jo de som kjenner til de fancy begrepene. Joda. Neida. Absolutt nei. Ja, de kjenner til begrepene, men hvordan skal de sette terskelverdiene på konsekvens skalaen som primært måles i penger (og personvern, og andre ting). Dette MÅ knyttes opp mot forretning og ledelse, og IT avdelingen vil være en naturlig bidragsyter for å kunne skape en god risikovurdering.

Den største trusselen må adresseres først

Sikkerhet, digital sikkerhet, hva er egentlig forskjellen? Snakker man om sikkerhet, uten å nevne ordet digital, blir det mye enklere å identifisere de virkelige verdiene. Disse verdiene kjenner naturligvis ledelsen til og kan mye enklere forholde seg til.

Risikovurdering har mange elementer i seg, men det er et par grunnleggende som alltid er med:

  • Sannsynlighet og konsekvens
  • Verdier, trusler og sårbarheter

La oss se på den største digitale trusselen

Digital sikkerhet er omfattende og har mange store hjelpemidler innen rammeverk, kompetanse og teknologi.

De digitale verdiene øker i et forrykende tempe, men det gjør også truslene og dermed sårbarhetene. Så la oss forenkle dette veldig.

Ransomware/krypteringsvirus

Velger man å se på den objektive og faktabaserte kilden ENISA som årlig gir ut The ENISA Threat Landscape (ETL) report, finner man ransomware på toppen. Start der. Ransomware er i dag kjent for 2 aspekter, datalekkasje og kryptering.

Trusselbilde og risiko er omfattende, og det er fort gjort å famle rundt. Da er det helt naturlig å benytte rammeverk som hjelpemiddel, være seg CIS CSC, ISO 27001, NSMs Grunnprinsipper for IKT-sikkerhet. Jeg sier IKKE at man ikke skal benytte disse rammeverkene, men det handler om prioritering. Om man bruker årevis på å adressere rammverkene uten å teknisk sett adressere elementene som faktisk adresserer den aller største trusselen, så gjør man seg selv en omfattende, tidkrevende, og ofte mindre god bjørnetjeneste.

Hvordan skal ledelsen forstå adressering av ransomware? Anta ransomware!

Anta ransomware. Start der. Lukk øynene og tenk “vi har fått ransomware”. Det starter med oss mennesker.

Forebyggende sikkerhet

De aller beste hendelsene er de som ikke skjer. Sikre så godt som mulig for å redusere sannsynligheten for en uønsket hendelse.

Som leder er det viktig å engasjere seg i dette arbeidet. Man trenger naturligvis ikke å skjønne halvparten av terminologiene innen dette området, bare man skjønner verdier og trusler. Sårbarhetene og tiltakene er det andre i teamet som tar seg av.

Reaktiv sikkerhet

Hendelser skjer allikevel. Forbered på situasjonen. Forbered på hendelsen der datalekkasje og/eller kryptering har skjedd i egne systemer, eller i systemene til tjenesteleverandøren. For dette skjer altfor ofte. Vær forberedt.

Som leder må man engasjere seg i dette arbeidet da en slik hendelse kan ha stor innvirkning på omdømme og kostnad. Ledelsen må forstå den forretningsmessige konsekvensen av disse aspektene og tenke “hvor lenge kan vi være uten tilgang før det gjør skikkelig vondt?”.

Ledelsen trenger heller ikke her å forstå særlig mer enn verdier og trusler, så vil man som team se på sårbarheter og tiltak. Jobb alltid som team.

Konklusjon

Trusselbildet er omfattende. Digitaliseringen raser avgårde. Det er sky. Det er gamle systemer.

Ved å adressere den største trusselen ransomware, som inneholder krypteringsvirus og datalekkasje, vil man danne et fundamentalt og godt grunnlag for all annen sikkerhet. Bare å adressere denne ene trusselen er omfattende, så det å holde de andre elementene på avstand vil være bra for den helhetlige sikkerheten. Det handler om fokus. Ikke utsett adressering av den aller største trusselen!

, , ,

Posted by:

Gøran Tømte

One response to “Kjære ledelse. Adressér den største trusselen”

  1. NSM Risikorapport 2025 – Zero Trust Soldier

    […] Kjære ledelse. Adressér den største trusselen […]

    Reply

Leave a Reply

Discover more from Zero Trust Soldier

Subscribe now to keep reading and get access to the full archive.

Continue reading