Cyberangrep som agenda
Siden 2019 har cyberangrep mot norske interesser tredoblet seg i antall. Utviklingen har et betydelig skadepotensial. I 2019 ble Hydro nødt til å bruke minst 450 millioner kroner på å få sine datasystemer i orden etter et cyberangrep. Ved tre anledninger ble Stortinget utsatt for et angrep i tidsrommet mellom 2020 og 2021. Selv om sistnevnte ikke har flagget med en prislapp på arbeidet i etterkant av angrepet, risikerer de nå i 2022 å få et gebyr på 2 millioner kroner av Datatilsynet.
Statsminister Jonas Gahr Støre uttalte i februar til VG at utviklingen må både tas på alvor av virksomheter og enkeltpersoner. Uttalelsen kom i kjølevannet av den årlige trusselvurderingen gjort av NSM og PST. Konklusjonen er at risikoen for alvorlige cyberoperasjoner er høy, og statsministeren påpeker videre at det kan være vanskelig å spore om angrepene blir gjennomført av statlige aktører eller et kriminelt miljø.
Nyhetsbildet den siste tiden viser at fokuset henger tett sammen med nåtidens krigførende handlinger. 03.03.22. hadde krimpodden til VG en egen cyberkrig ekspert på besøk. Den 39 minutter lange episoden omhandlet cyberangrep i sammenheng med krigen i Ukraina. 10.03.22. publiserte Datatilsynet sin egen artikkel om økt risiko for nettverksangrep, der de pekte på en sammenheng mellom dagens trusselbilde og krigen i Ukraina. Datatilsynet skriver at de forventer en økning av nettverksangrep, og oppfordrer alle virksomheter til å vurdere sin egen informasjonssikkerhet og sikkerhetsovervåkning.
Problematikken rundt cyberangrep er ikke et resultat av nylige hendelser. Dette er en utvikling som startet for en god stund siden. Derimot er problemstillingen blitt meget dagsaktuell på bakgrunn av at et cyberangrep kan brukes som en krigførende aktivitet. Dette kan gjerne innebære sabotasje eller destabilisering, slik at man fjerner eller forhindrer driften av viktige samfunnskritiske institusjoner. Målet for et kriminelt miljø kan tenkes å være økonomisk vinning. Eksempelvis ved at man blokkerer tilgangen til et datasystem for og deretter fremme et pengekrav for å oppheve blokkeringen.
Fokus på informasjonssikkerhet er en forutsetning for å beskytte seg mot angrep. En virksomhet kan ikke kun fokusere på tekniske sikkerhetstiltak (datasikkerhet), det må også være på plass overordnede prosesser og rutiner. Det er viktig å merke seg at et cyberangrep ikke nødvendigvis trenger kun å berøre taushetsbelagt informasjon om virksomheten, i de aller fleste tilfeller vil et slikt angrep også kunne berøre personopplysninger. I så fall vil det være tale om et brudd på personopplysningssikkerheten.
I artikkelen fra mars av Datatilsynet har de trukket frem sikkerhetstiltak som autentisering og mobile enheter, samt fokusert på rutiner for bruk. De avslutter med å understreke viktigheten av å ha på plass en beredskaps- og kontinuitetsplan knyttet til personopplysningssikkerheten.
