Author: Lotte Kildeborg

Cyber Meet-up på Bright House 19. mai

Posted on by Lotte Kildeborg

Fredag 19. mai ble det arrangert Cyber Meet-Up i Bright House på Gjøvik, arrangementet rettet seg mot SMBer. På plass var Jørgen Dyrhaug fra Nasjonal Sikkerhetsmyndighet (NSM) og Gaute Wangen fra Diri AS, og temaet var cybersikkerhet og de fire u’ene som på generelt grunnlag kan sammenfatte tematikken; usynlig, ubegripelig, uhåndterlig og helt uunnværlig.

Grunnprinsipper for IKT-sikkerhet

Foto: Lotte Kildeborg

Europa har plutselig havnet i en sikkerhetspolitisk situasjon som vi ikke har sett maken til på flere tiår, derfor føler mange virksomheter nå plutselig et behov for å sikre sin virksomhet og sine verdier. Mange mennesker og virksomheter over hele verden jobber hver eneste dag med å finne sikkerhetsbrister i norske virksomheters systemer for å utnytte sårbarheter.

Jørgen Dyrhaug fra NSM fortalte om hva dette betyr for oss, og hvordan vi kan forstå sårbarheter og hva sårbarhet egentlig er. Jørgen definerte en sårbarhet som en relativ svakhet, et sted der det er enklere å komme inn enn andre steder. Slik som for eksempel vinduer og dører i et hus, og at man er klar over disse sårbarhetene og beskytter disse deretter.

Nasjonal Sikkerhetsmyndighet har utarbeidet «NSMs grunnprinsipper for IKT-sikkerhet», som er et sett med prinsipper og tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. De er relevante for alle norske virksomheter og baserer seg på fire kategorier;

  1. Identifisere og kartlegge
  2. Beskytte og opprettholde
  3. Oppdage
  4. Håndtere og gjenopprette

Hver av disse kategoriene er bygget opp med tilhørende sikkerhetstiltak som beskriver hva som bør gjøres. Flere av grunnprinsippene bygger på hverandre, og enkelte er en forutsetning for at andre kan implementeres på en effektiv måte.

Cyber risk made easy

Diri AS har utviklet et markedsledende risikostyringsverktøy for cybersikkerhet, og er en digital løsning for å bygge opp kundens digitale sikkerhetsekspert. Gaute Wangen er teknologileder i Diri AS, og en av Norges fremste eksperter på risikostyring og risikovurdering av informasjonssystemer. Mange virksomheter sliter med det grunnleggende, cybersikkerhet er et stort og komplekst område. Det er begrenset kompetanse i egen organisasjon og vanskelig for bedriftene å vite hvor de skal starte. Det er billigere å være i forkant og utvikle gode systemer for å forhindre cyberangrep, fremfor å bruke flerfoldige kroner på gjenoppretting i etterkant. Det handler om å sikre verdier både analogt og elektronisk.

Diris risikostyringssystem bygger på NSMs grunnprinsipper for IKT-sikkerhet og systematiserer risikogrunnlaget for å tilpasse sikkerheten etter virksomhetens behov. Prosessen starter med å kartlegge informasjonsverdier, hva har virksomheten? Deretter gjøres det en verdivurdering, hva trenger sikring, hva blir konsekvensene dersom ting kommer på avveie, så må en forså risikoen, og deretter sette inn tiltak. Diri hjelper til med å sette alt dette i et system som gir kundene oversikt over risikostyringen. Les mer om Diri her.

Workshop med interimstyret

Posted on by Lotte Kildeborg

Onsdag 30. mars var interimstyret samlet til en workshop i Bright House på Gjøvik der prosjektgruppen fikk innspill på ressursgrunnlaget og strategisk posisjon som de har jobbet med gjennom vinteren. Prosjektgruppen har kartlagt regionale og nasjonale aktører om jobber med cybersikkerhet på ulike måter, eller vedtatt at de skal jobbe med cybersikkerhet. Det har vært gjennomført ulike samlinger og meet-ups, samt gjennomført samtaler med over 20 ulike aktører som har gitt innsikt i hvilken nytte et klyngesamarbeid kan ha for både samfunn og næringsliv, og hvilke muligheter og utfordringer det kan gi. Bildet har endret seg noe siden oppstarten av prosjektet, blant annet har cybersikkerhet i tilknytning til forsvar og geopolitikk økt i relevans i løpet av de siste ukenes krigføring i Ukraina.

Det ble blant annet diskutert hvilken posisjon en cybersikkerhetsklynge skal ta, hva den skal bli kjent for og hva klyngen skal bidra med. Prosjektgruppen presenterte to ulike strategiske retninger og innsatsområder for klyngen som styret diskuterte og ga innspill på.

Gjennom Cyberland-prosjektet har Innlandet fylkeskommune, Gjøvikregionen Utvikling og Lillehammer-regionen Vekst i tett samarbeid med NTNU, Cyberforsvaret og Statsforvalteren i Innlandet jobbet med å utvikle et økosystem for kunnskaps- og næringsutvikling innen cybersikkerhet. Cyberland-prosjektet har inngått et samarbeid med nettverket Digital Innlandet rundt etablering av en cybersikkerhetsklynge. Det er nedsatt et felles interimsstyre og Digital Innlandet er engasjert som prosjektleder fram til klyngen formelt stiftes våren 2022.

Cyber Meet-Up på Bright House 18. februar

Posted on by Lotte Kildeborg

Fredag var prosjektgruppen og en gruppe med virksomheter som på ulike måter opererer innen cybersegmentet, samlet til en Meet-Up i Bright House. Hensikten med meet-upen var å informere om klyngeprosjektet, og få innspill på mulighetsrommet som ligger foran oss, samt eventuelle barrierer som kan hindre fremtidig vekst og nyskapning.

Workshopdelen ble preget av høyt engasjement og mange gode innspill, ideer og innfallsvinkler fra deltakerne. Dette vil prosjektgruppen ta med seg videre inn i arbeidet med etableringen av en cybersikkerhetsklynge i Innlandet. Slike samlinger er svært nyttige for at prosjektgruppen kan stake ut rett kurs fra start, samt få mer innsikt som skal ligge til grunn for klyngeetableringen.

Gjennom Cyberland-prosjektet har Innlandet fylkeskommune, Gjøvikregionen Utvikling og Lillehammer-regionen Vekst i tett samarbeid med NTNU, Cyberforsvaret og Statsforvalteren i Innlandet jobbet med å utvikle et økosystem for kunnskaps- og næringsutvikling innen cybersikkerhet. Cyberland-prosjektet har inngått et samarbeid med nettverket Digital Innlandet rundt etablering av en cybersikkerhetsklynge. Det er nedsatt et felles interimsstyre og Digital Innlandet er engasjert som prosjektleder fram til klyngen formelt stiftes våren 2022.

Trussel- og risikovurderinger for 2022

Posted on by Lotte Kildeborg

Fredag 11. februar la Etterretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) frem sine trussel- og risikovurderinger for 2022.

Flere cyberangrep

Nasjonal sikkerhetsmyndighet peker i sin trusselvurdering blant annet på kraftig økning i digital utpressing og sabotasje, det kalle softe for løspengevirus eller ransomware. I rapporten skriver de at slike hendelser har fått store konsekvenser ved at systemer lammes og viktige tjenester stanser, både i Norge og i andre land. Vi har blant annet sett cyberangrep på Østre toten kommune, på Nortura og Amedia i løpet av det siste året.

Statlige trusselaktører viser en økende vilje til å utnytte våre sårbarheter, de utnytter virkemidler som cyberoperasjoner, påvirkningsoperasjoner, posisjonering innen forskning, samt innen oppkjøp og investeringer. På cyberområdet ses en økende trusselaktivitet i Norge, både fra statlige aktører og kriminelle. For å oppdage avvikene fra normalen kreves det årvåkenhet og forståelse for normalbildet, og nasjonal sikkerhet utfordres av teknologiutvikling, dels fordi vi på den måten gjør oss avhengig av nye tjenester, og dels fordi nye sårbarheter oppstår.

Utnytter sårbare verdikjeder

Trusselaktører utnytter sårbare verdikjeder, og det er ofte enklere å få tilgang til virksomheters teknologi, sårbare opplysninger og sensitiv informasjon via en leverandør eller underleverandør fremfor å ramme virksomheten direkte. Cyberoperasjoner kan ramme virksomheter som leverer tjenester til flere andre virksomheter med viktige samfunnsfunksjoner. Hendelser i verdikjeden vil raskt kunne få ringvirkninger til andre virksomheter eller funksjoner.

  • Cyberoperasjoner rammer i større grad flere mål samtidig, og på tvers av ulike sektorer. I følge NSN viser trusselaktører stor kapasitet til å gjennomføre cyberangrep.
  • NSM har i løpet av de siste to årene sett en tredobling i antall cyberhendelser som får alvorlige konsekvenser for virksomheter i Norge.
  • Det generelle sikkerhetsnivået i IKT-systemer hos norske virksomheter er for lavt, og i de fleste tilfeller er det tekniske sårbarheter som utnyttes for å gjennomføre cyberangrepene.
  • De aller fleste cyberhendelser som rammer norske virksomheter kunne vært unngått, eller hatt langt mindre alvorlige konsekvenser dersom IKT-sikkerhetsinstrukser utarbeidet av NSM hadde blitt fulgt.

Tiltak for å styrke sikkerheten

Det pekes i rapporten på konkrete tiltak for å øke sikkerheten og minimere risikoen for cyberangrep.

  • Kunnskapen om sikkerhet og bevissthet rundt dette hos ledere og ansatte må økes, og man må være oppmerksomme på endringer i trussel- og risikobildet.
  • Kravene til sikkerhetsarbeidet må økes, krav til sikkerhet bør inngå i kontrakter mellom virksomheter. Sikkerhetsarbeidet kan tjenesteutsettes, men det er viktig å være oppmerksom på at ansvaret ikke kan settes ut til tredjepart. Sårbarheter kan oppstå når flere virksomheter deler ansvaret for sikkerheten.
  • Sikkerheten i de ulike IKT-systemene må styrkes, dette innebærer å jevnlig oppdatere systemene, utelukke sårbarheter og kontrollere rettighetsstyringene internt. Et viktig tiltak er flerfaktorautentisering for pålogging.

Rapporten «Risiko 2022» kan leses i sin helhet her, og beskriver sårbarheter i samfunnet og i virksomheter, hvordan trusselaktørene kan utnytte dem og hvilken risiko det medfører.

Invitasjon til meet-up den 18. februar 9:00 – 12:00 på Bright House i Mustad Næringspark

Posted on by Lotte Kildeborg

Gjennom Cyberland-prosjektet har Innlandet fylkeskommune, Gjøvikregionen Utvikling og Lillehammer-regionen Vekst i tett samarbeid med NTNU, Cyberforsvaret og Statsforvalteren i Innlandet jobbet med å utvikle et økosystem for kunnskaps- og næringsutvikling innen cybersikkerhet.

Cyberland-prosjektet har inngått et samarbeid med nettverket Digital Innlandet rundt etablering av en cybersikkerhetsklynge. I samarbeid med innovasjonsselskapet Vaager (tidl. Total Innovation) og NTNU Technology Transfer Office (TTO) arrangerer klyngeprosjektet et meet-up for oppstartsselskaper innenfor cybersikkerhet i Innlandet.

Program:

Kl. 08.45 – 09.00: Kaffe og noe å bite i

Kl. 09.00 – 10.00: Innlegg

  • Velkommen og litt om klyngeprosjektet ved Gunn Mari Rusten, daglig leder Digital Innlandet
  • Hva kan inkubatorprogrammet bidra med ovenfor oppstartselskaper, og hva kan Vaager bidra med spesielt innenfor cybersikkerhet? Aksel Schjerpen, daglig leder i Vaager
  • Hva bidrar NTNU TTO med innenfor cybersikkerhet? Hege Tokerud, daglig leder NTNU TTO i Gjøvik

Kl. 10.15 – 11.30: Workshop

  • Hvilke behov har oppstartsselskapene, og hvilken rolle kan de spille i ei cybersikkerhetsklynge?
  • Oppsummering og veien videre

Workshop delen ledes av Christian Hedløv Engh og Svein Pettersen som jobber med etableringen av cybersikkerhetsklyngen.

Kl. 11.30 – 12.00: Mat og mingling 

Påmelding innen 15. februar til gunnmari@digitalinnlandet.no

Hjertelig velkommen!

Adresse: Bright House, Mustad Næringspark, Raufossvegen 40, 2821 Gjøvik. Du trenger ikke henvende deg i vakta, kjør rett ned til parkeringen, gå gjennom bommen og rett frem til du ser Bright House.

Gjennom Cyberland-prosjektet har Innlandet fylkeskommune, Gjøvikregionen Utvikling og Lillehammer-regionen Vekst i tett samarbeid med NTNU, Cyberforsvaret og Statsforvalteren i Innlandet jobbet med å utvikle et økosystem for kunnskaps- og næringsutvikling innen cybersikkerhet. Cyberland-prosjektet har inngått et samarbeid med nettverket Digital Innlandet rundt etablering av en cybersikkerhetsklynge. Det er nedsatt et felles interimsstyre og Digital Innlandet er engasjert som prosjektleder fram til klyngen formelt stiftes våren 2022.

Stor interesse for cybersikkerhet hos industrien i Innlandet

Posted on by Lotte Kildeborg

Fredag 21. januar møttes industribedrifter i Innlandet for å dele kunnskap og erfaringer rundt strukturert arbeid og bruk av styringssystemer for informasjonssikkerhet. Møtet var et samarbeid mellom Cyberland, Digital Innlandet, NCE Manufacturing og TotAl-gruppen.

ISO 27001 og IEC62443 er internasjonale standarder for å etablere og sertifisere et styringssystem for informasjonssikkerhet for beskyttelse av en bedrifts informasjon og informasjonssystemer. Et styringssystem betyr i praksis en strukturert tilnærming til digital sikkerhet, og standarden er et av flere hjelpemidler for å oppnå dette. Siv Hilde Houmb er medgründer av Secure-NOK og Houmb AS, og som professor ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU i Gjøvik håper hun at møtet kan være med til å bidra til et samarbeid mellom bedriftene i industrien bla om utfordringene som oppstår og tilgang på hjelpeinstanser som er tilgjengelige når bedriften din blir utsatt for et angrep.

Få hjelp til å komme i gang med sikkerhetsarbeidet

Dataangrepet på Østre Toten kommune i januar 2021 var en vekker, fortalte Dag Arnesen fra IDT Solutions. Kommunen hadde gode beredskapsplaner for flere ulike hendelser, men ikke for datainnbrudd. Østre Toten kommune er ikke unike i sitt slag, neste gang er det en annen kommune eller instans som blir rammet. Vi i IDT erkjente at vi også kunne bli rammet og at vi hadde behov for å gjøre noe, men hadde ikke kompetansen selv.  Vi fikk hjelp fra Houmb AS til å gjennomføre en risikovurdering for å kartlegge kritiske punkter, potensiell risiko og forbedringsområder. Risikovurderingen skal gi svar på hva som kan gå galt, hvor stor sannsynligheten er for at det går galt, hvilke tiltak som er iverksatt og hvilke som eventuelt skal iverksettes, samt oversikt over hvem som skal gjennomføre tiltakene.

Arnesen trekker frem tre faktorer som til sammen utgjør en stor del av det potensielle trusselbildet mot bedrifter:
1.  Mennesker, et viktig tiltak er å skape en god sikkerhetskultur internt og bevissthet hos de ansatte. 2. Teknologi, sikre god motstandsdyktighet i infrastrukturen og fysiske komponenter.
3. Prosesser, utarbeide gode rutiner for å sikre god og trygg prosesshåndtering.

Sett sikkerhetsarbeidet inn i bedriftens kontekst

Merete Ask jobber som Information Security Manager hos Nammo og trakk fram viktigheten av å sette sikkerhetsarbeidet inn i bedriftens kontekst og at bedriften eier prosessen selv. – En må beskytte det bedriften tjener penger på og i industrien er det for eksempel veldig viktig at roboter ikke står stille unødvendig, sa Ask. Å unngå det er forretningsfremmende sikkerhet.

HMS heter HESS på engelsk og står for Health, Environment, Security and Safety. Ask også trakk frem at cybersikkerhet handler om mer enn å beskytte informasjon. Det handler også om å beskytte potensielle kritiske risikofaktorer som kan skade mennesker og systemer. ISO27001 handler ¼ om personellsikkerhet, ¼ om fysisk sikkerhet og ½ om IT-sikkerhet.

Framfor å lage et eget styringssystem for informasjonssikkerhet, anbefaler Ask å samle ulike standarder og strukturer (f.eks. ISO sertifiseringer) inn i ett styringssystem. – Bygg på det du har, og finn ut hva det er som mangler som må legges til fra ISO27001. Kanskje har bedriftens revisor kompetanse på området og kan bistå med dette arbeidet.

Tre tips fra innlederne

✅Sett sikkerhetsarbeidet inn i bedriftens kontekst. Hva er det viktig å beskytte, og gjør en risikovurdering av trusselbildet basert på sannsynlighet og konsekvens.

✅Samle ulike standarder og sertifiseringer inn i ett styringssystem, ikke et eget for informasjonssikkerhet. Bygg videre på det du har.

✅Få hjelp til retning og prioritering hvis dere ikke har tilstrekkelig kompetanse på cybersikkerhet selv.

Gjennom Cyberland-prosjektet har Innlandet fylkeskommune, Gjøvikregionen Utvikling og Lillehammer-regionen Vekst i tett samarbeid med NTNU, Cyberforsvaret og Statsforvalteren i Innlandet jobbet med å utvikle et økosystem for kunnskaps- og næringsutvikling innen cybersikkerhet. Cyberland-prosjektet har inngått et samarbeid med nettverket Digital Innlandet rundt etablering av en cybersikkerhetsklynge. Det er nedsatt et felles interimsstyre og Digital Innlandet er engasjert som prosjektleder fram til klyngen formelt stiftes våren 2022.