Russlands militære angrep på Ukraina har medført en betydelig økning i cyberangrep og en skjerpet sikkerhetssituasjon. Sikkerhetsselskapet Check Point mener å kunne dokumentere nesten 200 prosents økning i angrep mot Ukraina i etterkant av krigsutbruddet. I tillegg har europeiske havner, satellitter og Toyota vært utsatt for angrep. Nasjonal sikkerhetsmyndighet (NSM) har derfor utarbeidet en prioriteringsliste over sikkerhetstiltak som bedrifter kan iverksette for å bedre sin digitale beredskap.
De største og viktigste virksomhetene i energibransjen er underlagt kraftberedskapsforskriften
Listen over prioriterte tiltak inkluderer blant annet kartlegging av egne IKT-systemer, programvare som benyttes og oppdateringsstatus på disse; umiddelbar sikkerhetsoppdatering der det er nødvendig; sørge for sikkerhetskopiering og være nøye med tilgangskontrollen til de forskjellige systemene. Det er også viktig å sørge for årvåkenhet blant ansatte for å styrke sikkerhetskulturen og risikoforståelsen internt.
I tillegg til disse gode råd som alle virksomheter bør følge, gjelder det for en rekke sektorer og virksomheter egne regelverk som stiller ytterligere krav til løpende revisjon av egen IKT-sikkerhet.
De største og viktigste nasjonale virksomhetene er i dag underlagt sikkerhetsloven som trådte i kraft 1. januar 2019. Det følger av § 6-4 i sikkerhetsloven at virksomheten skal kontinuerlig overvåke sine skjermingsverdige informasjonssystemer for å forebygge, avdekke og motvirke hendelser som kan skade nasjonale sikkerhetsinteresser. Kravet til kontinuerlig overvåkning innebærer at virksomheter i lys av økt sikkerhetsrisiko må gjennomføre tiltakene som NSM viser til. Tidligere gjennomførte risikovurderinger bør om nødvendig revideres.
De største og viktigste virksomhetene i energibransjen er underlagt kraftberedskapsforskriften. Det følger av § 2-4 at virksomhetene skal ha et oppdatert beredskapsplanverk tilpasset virksomhetens art og omfang, og etter § 2-3 skal virksomheten gjennomføre risikovurdering knyttet til ekstraordinære forhold. Dette er det tid for å gjøre nå.
Lignende krav gjelder også for leverandører innen elektronisk kommunikasjon (ekom), finans og andre samfunnskritiske sektorer. De ulike regelverkene bygger på kjernen i NSMs grunnprinsipper for IKT-sikkerhet.
Selv om mange virksomheter er underlagt krav om IKT-sikkerhet, konkluderte IKT-sikkerhetsutvalget i desember 2018 med at regelverket ikke alltid oppstiller hensiktsmessige krav om sikring av systemer som understøtter virksomheters produksjon av varer og tjenester. På denne bakgrunn anbefalte utvalget at det ble utarbeidet en ny lov med krav om forsvarlig IKT-sikkerhet til alle samfunnskritiske virksomheter og offentlig forvaltning.
Hackeren venter ikke
Utvalget viste til at EU gjennom det såkalte NIS-direktivet (EUs direktiv om sikkerhet i nettverk og informasjonssystemer) stiller krav til IKT-sikkerheten til alle samfunnskritiske virksomheter, og anbefalte at direktivet ble implementert som norsk rett. Direktivet trådte i kraft i EU i august 2016, og i desember 2020 la EU-kommisjonen frem et forslag til lovgivning som utvidet virkeområdet til NIS-direktivet.
I desember 2018 la Justis- og beredskapsdepartementet ut på høring en utredning om behovet for endring av regelverket innen IKT-sikkerhetsområdet. Samme høringsrunde omfattet også forslag til en ny lov, ment å implementere minimumskravene i NIS-direktivet i norsk rett. Etter dette har det dessverre skjedd fint lite.
Et stadig økende antall produkter og tjenester er i dag koblet til internett. Vi er blant annet kjent med at hackere benytter dårlig sikret forbrukerelektronikk i sine angrep. Manglende IKT-sikkerhet i tilkoblede produkter og tjenester utgjør således en trussel for forbrukere, virksomheter og samfunnssikkerheten.
NSMs anbefaling om sikkerhetstiltak for digital beredskap viser at det haster å gjennomføre tiltak, både for lovgiver og for den enkelte virksomhet. Vi har tidligere oppfordret norske virksomheter til umiddelbart å ta tak i eget sikkerhetsarbeid, gjennomføre risikovurderinger samt identifisere og implementere nødvendige tiltak. Det er ingen grunn til å vente på et lovvedtak, og det er heller ingen grunn til å se an situasjonen selv om din virksomhet ikke omfattes av sikkerhetsloven. Hackeren venter ikke.
Petter Enholm
Ola Hermansen
Advokater i Advokatfirmaet Hjort
