Sterk vekst: IT-angrep – som phishing, ransomware, passordtyverier, informasjonstyverier – har økt med 50 prosent fra i fjor. Fotobyline - Foto: Unsplash.
– De digitale angrepene mot samfunnskritiske virksomheter har økt dramatisk de seneste årene. Derfor er det viktig å forankre en sikkerhetskultur tvers gjennom hele bedriften, fra toppledelsen til alle ansatte, sier Cegals sikkerhetsekspert Olav Rasmussen.
Olav Rasmussen, som er leder for Cyber Security Management i Cegal, forteller at det siste halvåret er IT-angrep økt med 50 prosent fra i fjor. IT-angrepene omfatter som phishing, ransomware (virus som låser dataene), passordtyverier, informasjonstyverier, datavirus med mer. I denne artikkelen forteller han om de viktigste truslene mot energibransjen og hvordan du best kan beskytte deg.
Cegals sikkerhetsekspert advarer spesielt mot svake deler av leverandørkjeden, egne ansatte og dårlige interne rutiner.
– Skal man beskytte seg mot cyberkriminalitet er det viktigste at selskapet utvikler en egen sikkerhetskultur som kontinuerlig tilpasses trusselbildet mot energibransjen, sier Rasmussen.
Rasmussen har jobbet med cybertrusler og IT-sikkerhet i Cegal i en årrekke. Her forteller han om de største sikkerhetstruslene og hvordan energibransjen best kan beskytte seg mot cybertrusler og dataangrep.
IT-sikkerhetseksperten ramser opp tre trussel-kategorier:
De vanligste cyberangrepene er fortsatt økonomisk motiverte, tilfeldige angrep mot alle slags ansatte og bedrifter. Ransomware-angrep er et eksempel på dette. Med ransomware låses bedriftens tilgang til informasjon eller systemer, og man må betale løsepenger for å få tilgang. Programvare og data blir med andre ord “kidnappet” for å få løsepenger. Derav begrepet “ransomware”. Det er ikke uvanlig å bli rammet av ransomware, noe som koster både den enkelte virksomhet og samfunnet enorme summer.
– Hver gang man betaler for å frigjøre informasjon som er låst, finansierer man ti nye ransomware-operasjoner, forteller Rasmussen.
Ransomware-angrepene starter vanligvis med en enkel epost for å stjele brukernavn og passord (phishing).
– Har man fått tilgang til påloggingsinformasjon, er ofte de fleste digitale dørene åpne for IT-kriminelle, understreker Rasmussen.
Sikkerhet hver dag: Olav Rasmussen, som leder Cegals avdeling for sikkerhetsrådgivning, forteller alle ansatte i Cegaljobber med IT-sikkerhet hver eneste dag.
Den andre store trusselen Rasmussen trekker frem er målrettede angrep mot spesifikke bransjer eller enkeltselskaper. Slike angrep kan forårsake betydelig skade. Nasjonal sikkerhetsmyndighet (NSM) understreker at energibransjen er særlig utsatt for cyberangrep.
– Slike angrep kan sette deler av nasjonal infrastruktur ut av spill, som kraftforsyning, betalingsløsninger, internettilgang og så videre eller blokkere forretningen til et selskap. Disse angrepene er det ofte aktører med store ressurser som står bak, forteller Rasmussen.
Cegal hjelper deg med å etablere en solid sikkerhetsstrategi som beskytter kritiske forretningsfunksjoner.
Den tredje trusselen Rasmussen trekker frem er knyttet til komplekse leverandørkjeder:
– Sikkerheten i en forsyningskjede er ikke bedre enn det svakeste leddet. Om man har tett samarbeid med en leverandør eller en partner som ikke har kontroll på egen sikkerhet, kan det være et sikkerhetshull som åpner for at man selv blir angrepet, sier Rasmussen som minner om advarselen fra NSM. Sikkerhetsmyndighetene advarer om at alle ansatte er reelle etterretningsmål og at man må sikre seg mot egne ansatte.
– Det betyr at man må ha et bevisst forhold til hver enkelt ansatt. Hvilken rolle og funksjon har personen? Alle selskaper bør foreta en grunnleggende bakgrunnssjekk som bekrefter at den enkelte er den man utgir seg for å være og har den kompetansen man sier at man har. De som har tilgang til kritiske systemer, som kan gjøre finansielle transaksjoner eller som kan ta viktige avgjørelser eller påvirke andre, bør gå gjennom en utvidet bakgrunnssjekk, råder Rasmussen.
Ansatte som kommer fra høyrisikoland (sikkerhetsmyndighetene bestemmer hvilke land dette gjelder) eller har relasjoner til slike land, krever ekstra påpasselighet. Russland, Kina, Nord-Korea, Iran, Syria er noen av høyrisikolandene i skrivende stund. Rasmussen anbefaler at man har sikringssamtaler med disse personene.
– Sikringssamtaler viser at ledelsen kjenner til trusselbildet. Det dreier seg ikke minst om å sikre de ansatte. Det er en trygghet for disse ansatte å vite at selskapet vet. Det gjør det enklere å melde fra at man har gjort noe som kan utgjøre en sikkerhetsrisiko, sier Rasmussen.
– Det er ikke slik at man plutselig en dag våkner opp og har bestemt seg for å bli en spion. De aller fleste blir utsatt for press og lurt inn i slike roller, understreker Rasmussen.
I deler av kraftbransjen er sikkerheten underlagt strenge lover. Det er blant annet ikke lov å ansette personer fra visse land på grunn av sikkerhetsrisiko. Dette understreker behovet for å være proaktiv og ha riktig informasjon rundt ansatte og deres relasjoner.
Vil du vite mer om hvordan Cegal kan beskytte deg i kampen mot cyberangrep?
– Cegal leverer teknologi til en rekke samfunnskritiske virksomheter, spesielt innen energibransjen. Hvordan jobber Cegal med IT-sikkerhet?
– Sikkerhet er innebygget i alle våre IT-leveranser og alle ansatte i Cegal jobber hver eneste dag med sikkerhet. IT-sikkerhetsarbeidet er ikke et støttehjul, men er integrert i alt vi jobber med. I tillegg har Cegal et eget team som jobber med konkrete sikkerhetsprodukter knyttet til drift og nettverk, svarer Rasmussen.
Cegals avdeling for sikkerhetsrådgiving er satt sammen av folk med ulik kompetanse, både erfarne teknikere, folk som kan organisasjon, psykologi, mennesker og kultur.
– Hvordan sikrer man en virksomhet best mulig?
– I tillegg til teknologiske løsninger, trenger man både en ovenfra-og-ned- og en nedenfra-og-opp-tilnærming. Øverst må sikkerhetsledelse være en del av toppledelsen. Det gjør at både ansvar og finansiering er forankret. Dernest trenger man et sikkerhetsteam med bred, tverrfaglig kompetanse og riktige personlige egenskaper blant medlemmene. Få er flinke til alt og man må passe på at man har folk som liker å gjøre de oppgavene man trenger å få utført, svarer Rasmussen.
– Alle selskapet bør implementere en god cyberhygiene som består av kjent, god og erfaringsbasert sikkerhetspraksis, avslutter Rasmussen.