Derfor er resiliens den nye sikkerheten
Trusselbildet har tvunget fram endringer i måten landets viktigste virksomheter jobber med sikkerhet. Så hva skjer egentlig hvis NRK, DNB eller Equinor skulle bli angrepet i dag?
Trusselbildet mot Norge er mer alvorlig nå enn for bare ett år siden. Det har medført flere endringer i måten noen av Norges viktigste virksomheter jobber med sikkerhet og håndtering av sikkerhetshendelser.
Mye handler om å tilpasse seg for å kunne opprettholde driften, selv i en krise.
– Robusthet og redundans i infrastruktur og systemer har blitt nødvendig for å beskytte seg i dagens trusselbilde. Det samme har evnen til å tåle og komme tilbake fra en alvorlig hendelse, sier Rolv R. Hauge, BCM Manager i Telenor Norge.
I likhet med mange andre virksomheter har Telenor de siste åre- ne utvidet porteføljen av tiltak for å trygge forretningskontinuitet og evnen til å hente seg raskt inn etter en hendelse.
Modningen innen sikkerhetstenkning har tatt de fleste virksomheter på en reise, mener Hauge.
– I starten handlet alt om å beskytte. Lenge var det å ha en brann- mur ansett som god nok sikkerhet. Derfra gikk det til en grad- vis erkjennelse av at inntrengning likevel skjer, og at man må ha evne til å oppdage og håndtere hendelser.
– I dag har de fleste flyttet fokus til overlevelse og gjenoppretting etter en hendelse.
Nettopp derfor er resiliens valgt som gjennomgangstema for årets utgave av Digital sikkerhet.
Robusthet og redundans i infrastruktur og systemer har blitt nødvendig for å beskytte seg i dagens trusselbilde.
Resiliens viser til en virksomhets evne til å tilpasse seg, stå imot og komme seg etter en sikkerhetshendelse.
En virksomhet eller et system er resilient når det er motstandsdyktig i flere lag, og er i stand til å opprettholde eller returnere raskt til operasjonell drift.
Begrepene robusthet, motstandsdyktighet og resiliens brukes gjerne om hverandre. Alle disse kan ses på som motsatte begreper av sårbarhet.
Motstandsdyktighet – fra A til Å
Kort fortalt handler resiliens om hele virksomhetens evne til å tåle og komme tilbake fra en alvorlig hendelse, enten det er et cyberangrep eller en naturkatastrofe.
– I de fleste virksomheter er man avhengig av en rekke innsatsfaktorer som inngår i kritiske prosesser. Blir de gjort utilgjengelige på grunn av en hendelse, starter først hendelseshåndteringen – etterfulgt av arbeid med gjenoppretting. Samtidig er man nødt til å tenke forretningskontinuitet gjennom en fase der man mangler kritiske innsatsfaktorer, forklarer Hauge.
Slike tiltak kan ha en rekke former – fra reserveløsninger som gir nær fullt fungerende prosesser og produksjon til nødløsninger som kun sikrer en absolutt minimumsfunksjon.
– Tiltak for å ivareta forretningskontinuiteten og tiltak for å styrke evnen til gjenoppretting må ofte balanseres, og omtales derfor som business continuity og disaster recovery under felles- betegnelsen BC/DR.
Samtidig vil alvorlige hendelser ofte utgjøre en krise for virksom- heten. Dette fordrer en egen form for ledelse, som både må sørge for riktige prioriteringer og tydelig kommunikasjon underveis.
For å styrke evnen til å gjenopprette, gjennomføre kontinuitets-tiltak og utøve kriseledelse, trengs det ikke bare gode planverk, men også trening og testing opp mot ulike scenarier.
Nettopp dette har også vært sentralt i arbeidet til NRK, DNB og Equinor gjennom de siste årene.
Som hos Telenor, er det heller ikke her noe alternativ å sette driften på pause. Blir systemene satt ut av spill, må samfunnskritiske funksjoner fremdeles fungere.
NRK: – Må kunne formidle, uansett
I en hverdag hvor mediehusene stadig utsettes for komplekse DDoS-angrep fra fiendtlige aktører, har konkrete beredskapsplaner og reserveløsninger blitt kritiske. Hos NRK er planverket på plass dersom en krise skulle oppstå på Marienlyst.
– Den største forskjellen på tradisjonell sikkerhetstenkning og å jobbe med resiliens, er graden av kompleksitet. De fleste er i dag avhengig av mange systemer, og det er ikke alltid lett å avgjøre hva som må prioriteres i en krise, sier Øyvind Vasaasen, sikkerhetssjef i NRK.
Som allmennkringkaster har det for NRK alltid vært viktig å ha en reserveløsning tilgjengelig dersom TV- eller radiosendingen plutselig skulle gå i svart. I dag er den delen av NRKs virksomhet som sikrer kriseinformasjon til befolkningen også underlagt sikkerhetsloven.
– NRK må kunne formidle beskjeder fra myndighetene til befolkningen, uansett om vi er i krig eller blir utsatt for et cyberangrep. Kontinuitet og motstandsdyktighet er derfor noe vi jobber med hele tiden, sier Vasaasen.
For 10 år siden etablerte NRK en kontinuitetsplan som blant annet inneholder tiltak for hvordan de fortsatt skal kunne publisere nyheter og informasjon dersom systemene på Marienlyst blir rammet. De siste årene har planverket blitt styrket ytterligere for å tilpasse seg dagens trusselbilde og NRKs produksjonsstruktur.
Selv om teknologien har endret seg mye, holder det ikke å kun sitte med en PC når du skal kringkaste nyheter til hele Norge. Derfor er NRK nødt til å trene på å bruke alternative løsninger.
– Vi har jevnlig sendinger fra det som i dag er vår reserveløsning, rett og slett fordi vi trenger en «varm» løsning. Skulle ting gå i svart på Marienlyst, vil den alternative lokasjonen kunne holde det gående med nyhetsoppdateringer og sendinger til NRK- systemet er oppe og går igjen, sier Vasaasen.
I NRKs egen trusselvurdering peker de ut flere aktuelle trusler akkurat nå – som påvirkning og desinformasjon, aksjonisme, oppetid og publiseringsevne, svekket tillit til innholdet, misbruk av merkevaren, datalekkasjer og informasjonstyveri.
– Generelt er det en mer krevende sikkerhetssituasjon for mediehusene nå enn tidligere. Vi utsettes for flere DDoS-angrep fra aktører som ønsker å ta oss ned, samtidig som falske nyheter daglig setter redaksjonene på prøve.
I dag har NRK et eget beredskapsplanverk for å håndtere kriser. I tillegg har de etablert et styringssystem for sikkerhet, inspirert av ISO 27001.
– Vi har styringsdokumenter på virksomhetsnivå, som videre er brutt ned til retningslinjer og prosedyrer. Når vi jobber med prinsipper for sikkerhet, som er vårt overordnede dokument, setter det rammen for sikkerhetsarbeidet i NRK, sier Vasaasen – og forsetter:
– Ofte henger de ulike truslene sammen. Digital sikkerhet handler også om fysisk sikkerhet, og derfor er rutiner på hvem du slipper inn i bygget også en del av den digitale motstandskraften.
Motstandsdyktighet er noe NRK jobber med hele tiden, også i form av å ha bedre operativ IT-sikkerhet og å klare å fange opp forsøk på eventuelle digitale angrep. De siste årene har de styrket IT-sikkerhetsmiljøet betydelig, forklarer Vasaasen.
– NRKs beredskapsplanverk bygger på det nasjonale CIM-systemet. Dette er adskilt fra NRK og vil fungere selv om alt hos oss er nede. Her har NRK planer for ulike situasjoner, helt ned på tiltakskort-nivå.
Vasaasen mener det viktigste tiltaket de har gjort for å styrke beredskapen er å ha slike konkrete planverk – og å bruke planverket jevnlig.
– Mange tenker nok litt for ofte at de ikke trenger å bruke kriseplanverket, fordi de kan løse situasjonen uten det. Veldig ofte viser det seg at ting kunne vært løst bedre om man fikk mer systematikk bak valgene og handlingene sine. Det er en mye mer effektiv måte å jobbe på, understreker han.
Vi utsettes for flere DDoS- angrep fra aktører som ønsker å ta oss ned, samtidig som falske nyheter daglig setter redaksjonene på prøve.
DNB: – Redundans i alle ledd
Til tross for et dystert digitalt trusselbilde, kan ikke finansnæringen gå tilbake til analoge løsninger. Hos DNB har et robust dybdeforsvar sørget for en nedgang i alvorlige cybersikkerhetshendelser.
Også Norges største bank har de siste årene hatt stort fokus på kontinuitetsplanlegging og robusthet. For dem er det ikke noe alternativ til det digitale.
– Det handler ikke lenger bare om å få på plass IT-systemet igjen, men om hvordan man kan operere under slike forhold, sier Anders Hardangen, sikkerhetsdirektør i DNB.
I løpet av 2023 håndterte DNB 20 208 cybersikkerhetshendelser. Banken håndterte også elleve hendelser med «høyt potensial for negativ påvirkning på DNB».
Begge deler er færre enn foregående år, noe som primært skyldes arbeid med å gjøre konsernets IT-systemer mer resilient, mener Hardangen.
– Takket være et robust dybdeforsvar klarer vi å stoppe flere angrep i en tidligere fase, og at de i tillegg får færre konsekvenser. Når vi utvikler nye produkter og tjenester i dag, tenker vi redundans hele veien. Det samme gjelder måten vi treffer kundene på.
I finansnæringen har kravene til oppetid og å kunne levere digitale tjenester vært viktig i flere tiår. Utviklingen av risikobildet i nyere tid har imidlertid ført til endringer, også i DNB.
– De mange angrepene med løsepengevirus har vist at alle kan rammes, og at de forretnings- og kundemessige konsekvensene kan bli enorme. Russlands aggresjon er en annen faktor som har understreket viktigheten av å ha gode kontinuitetsplaner og alternative løsninger, sier Hardangen.
– Det er mye som er viktig i hverdagen, så i en krise er man nødt til å prioritere. På de kapabilitetene vi prioriterer, må vi være motstandsdyktige og ha gode alternativer som fungerer også under suboptimale forhold.
De siste årene har DNB fornyet hele rammeverket for forretnings- kontinuitet og gått for en internasjonal standard der de har definert de mest kritiske tjenestene og funksjonene i virksomheten.
– Her handler det om å legge opp et strukturert løp med konsekvensanalyser, risikovurdering, etablere kontinuitetsplaner og teste dem. Dette er krevende i et stort digitalt økosystem, og mye handler om å prioritere det viktigste først og sørge for at det er godt nok.
For et finansforetak som DNB er det ikke noe alternativ til det digitale. For DNB handler det derfor om å finne digitale løsninger som kan dekke de sikkerhetsmessige behovene deres.
– Vi kan ikke gå 50 år tilbake til kontanter og bankkontorer på hvert hjørne. Til det beveger det globale finansmarkedet seg for fort i dag. Selv i ekstremsituasjoner som i Ukraina, ser vi at det å opprettholde digitale finanstjenester ble eneste løsning, fordi det ble for farlig å frakte kontanter.
– Som samfunn er vi helt avhengig av informasjon og å ha kraft- og telekom-infrastruktur i bunn. Som finansforetak er vi avhengig av at digitale tjenester fungerer – også i en unntakstilstand, sier Hardangen.
For et finansforetak som DNB er det ikke noe alternativ til det digitale. For DNB handler det derfor om å finne digitale løsninger som kan dekke de sikkerhetsmessige behovene deres.
Equinor: – Ikke nok bare å stå i krisen
Forandringer i det geopolitiske bildet og et økt fokus på det fornybare markedet, er blant grunnene til at Equinor nå utfører endringer i beredskapsorganisasjonen. Selskapet ser nå mer holistisk på sikkerhetsutfordringene.
Et annet norsk selskap som er avhengig av å kunne levere i en unntakstilstand, er Equinor.
Norges største energiselskap har også vært med på noen av de mest alvorlige sikkerhetshendelsene i norsk næringsliv, som gisselaksjonen ved In Amenas i Algerie i 2013.
Med en bred internasjonal tilstedeværelse og operasjoner som tidvis har høy potensiell risiko, er beredskap og krisehåndtering en integrert del av det meste selskapet foretar seg.
Samtidig har endringer i det geopolitiske bildet, underleggelse av sikkerhetsloven og selskapets dreining mot det fornybare markedet bidratt til kursendringer i sikrings- og beredskapsarbeidet.
– For å tilpasse oss har vi gjennomført flere justeringer i beredskapsorganisasjonen. Vi har også utviklet og trent på nye scenarioer som gjenspeiler den geopolitiske situasjonen vi står i, sier Asbjørn Ringstad, beredskapsdirektør i Equinor.
Equinors sin rolle som leverandør av energi til Europa innebærer også forpliktelser som strekker seg utover Norges grenser.
– Mye dreier seg om å kunne stå i kriser lenger enn det vi har vært vant til. I tillegg gjennomfører vi øvelser og koordinerer på tvers av privat og offentlig sektor.
Ringstad forklarer at Equinor i dag har en holistisk tilnærming til sikkerhet og beredskap.
– Kort fortalt er det en erkjennelse av at alt henger sammen. For å kunne håndtere og lære av hendelser på en best mulig måte, må vi også forstå hvorfor og hvordan de oppstår. Da må vi samarbeide tett og ha åpne linjer mellom fagmiljøene.
Equinor har derfor organisert seg på en måte som gjør at ledere med ulike ansvarsområder – innen cybersikkerhet, fysisk sikkerhet, personell-sikkerhet, beredskap og forretningskontinuitet sitter i samme ledergruppe, nettopp for å sikre god og helhetlig risikoforståelse.
– I dag handler mye om eksterne trusler som påvirker våre operasjoner. Dette er gjerne tett koblet til den geopolitiske situasjonen, som vi har liten påvirkningskraft på – men som vi like fullt må forberede oss på konsekvensene av, sier Ringstad.
Å bygge robusthet og resiliens har de siste årene vært sentralt, spesielt knyttet til cybertrusselen.
– Dette er en tilnærming som vi nå også tar med oss inn i det totale beredskapsarbeidet. Våre komplekse operasjoner gjør det krevende å raskt finne alternative løsninger for å kunne opprett- holde drift, om man ikke er trent og forberedt.
– For oss blir det derfor viktig at vi gjør dette arbeidet i forkant, at vi øver og er bevisste på prioriteringer i samspillet med våre partnere. Det skaper den robustheten som vi er ute etter, og gjør at det uforutsigbare blir mer forutsigbart i en krisesituasjon.
Når alt kommer til alt, er det viktigste at man har en sterk kultur i organisasjonen, mener Ringstad.
– Vi har en sterk kultur når det gjelder øvelser og trening. Den forankringen finner du hos alle ledere og konsernsjefer. Vår CEO trener på sin rolle i beredskapsorganisasjonen fire ganger i året. Denne kulturen er og vil alltid være bærebjelken i alt vi foretar oss, avslutter Ringstad.
Å bygge robusthet og resiliens har de siste årene vært sentralt.