Stor interesse for cybersikkerhet hos industrien i Innlandet

Fredag 21. januar møttes industribedrifter i Innlandet for å dele kunnskap og erfaringer rundt strukturert arbeid og bruk av styringssystemer for informasjonssikkerhet. Møtet var et samarbeid mellom Cyberland, Digital Innlandet, NCE Manufacturing og TotAl-gruppen.

ISO 27001 og IEC62443 er internasjonale standarder for å etablere og sertifisere et styringssystem for informasjonssikkerhet for beskyttelse av en bedrifts informasjon og informasjonssystemer. Et styringssystem betyr i praksis en strukturert tilnærming til digital sikkerhet, og standarden er et av flere hjelpemidler for å oppnå dette. Siv Hilde Houmb er medgründer av Secure-NOK og Houmb AS, og som professor ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU i Gjøvik håper hun at møtet kan være med til å bidra til et samarbeid mellom bedriftene i industrien bla om utfordringene som oppstår og tilgang på hjelpeinstanser som er tilgjengelige når bedriften din blir utsatt for et angrep.

Få hjelp til å komme i gang med sikkerhetsarbeidet

Dataangrepet på Østre Toten kommune i januar 2021 var en vekker, fortalte Dag Arnesen fra IDT Solutions. Kommunen hadde gode beredskapsplaner for flere ulike hendelser, men ikke for datainnbrudd. Østre Toten kommune er ikke unike i sitt slag, neste gang er det en annen kommune eller instans som blir rammet. Vi i IDT erkjente at vi også kunne bli rammet og at vi hadde behov for å gjøre noe, men hadde ikke kompetansen selv.  Vi fikk hjelp fra Houmb AS til å gjennomføre en risikovurdering for å kartlegge kritiske punkter, potensiell risiko og forbedringsområder. Risikovurderingen skal gi svar på hva som kan gå galt, hvor stor sannsynligheten er for at det går galt, hvilke tiltak som er iverksatt og hvilke som eventuelt skal iverksettes, samt oversikt over hvem som skal gjennomføre tiltakene.

Arnesen trekker frem tre faktorer som til sammen utgjør en stor del av det potensielle trusselbildet mot bedrifter:
1.  Mennesker, et viktig tiltak er å skape en god sikkerhetskultur internt og bevissthet hos de ansatte. 2. Teknologi, sikre god motstandsdyktighet i infrastrukturen og fysiske komponenter.
3. Prosesser, utarbeide gode rutiner for å sikre god og trygg prosesshåndtering.

Sett sikkerhetsarbeidet inn i bedriftens kontekst

Merete Ask jobber som Information Security Manager hos Nammo og trakk fram viktigheten av å sette sikkerhetsarbeidet inn i bedriftens kontekst og at bedriften eier prosessen selv. – En må beskytte det bedriften tjener penger på og i industrien er det for eksempel veldig viktig at roboter ikke står stille unødvendig, sa Ask. Å unngå det er forretningsfremmende sikkerhet.

HMS heter HESS på engelsk og står for Health, Environment, Security and Safety. Ask også trakk frem at cybersikkerhet handler om mer enn å beskytte informasjon. Det handler også om å beskytte potensielle kritiske risikofaktorer som kan skade mennesker og systemer. ISO27001 handler ¼ om personellsikkerhet, ¼ om fysisk sikkerhet og ½ om IT-sikkerhet.

Framfor å lage et eget styringssystem for informasjonssikkerhet, anbefaler Ask å samle ulike standarder og strukturer (f.eks. ISO sertifiseringer) inn i ett styringssystem. – Bygg på det du har, og finn ut hva det er som mangler som må legges til fra ISO27001. Kanskje har bedriftens revisor kompetanse på området og kan bistå med dette arbeidet.

Tre tips fra innlederne

✅Sett sikkerhetsarbeidet inn i bedriftens kontekst. Hva er det viktig å beskytte, og gjør en risikovurdering av trusselbildet basert på sannsynlighet og konsekvens.

✅Samle ulike standarder og sertifiseringer inn i ett styringssystem, ikke et eget for informasjonssikkerhet. Bygg videre på det du har.

✅Få hjelp til retning og prioritering hvis dere ikke har tilstrekkelig kompetanse på cybersikkerhet selv.

Gjennom Cyberland-prosjektet har Innlandet fylkeskommune, Gjøvikregionen Utvikling og Lillehammer-regionen Vekst i tett samarbeid med NTNU, Cyberforsvaret og Statsforvalteren i Innlandet jobbet med å utvikle et økosystem for kunnskaps- og næringsutvikling innen cybersikkerhet. Cyberland-prosjektet har inngått et samarbeid med nettverket Digital Innlandet rundt etablering av en cybersikkerhetsklynge. Det er nedsatt et felles interimsstyre og Digital Innlandet er engasjert som prosjektleder fram til klyngen formelt stiftes våren 2022.