I Norge tenker vi sjelden over hvor sårbart samfunnet egentlig er. Kritisk infrastruktur – alt fra kraftforsyning, vann og helse, til IKT og transport – er i økende grad digitalisert og avhengig av komplekse, sammenkoblede systemer.
Det øker effektiviteten, men gir også nye inngangsporter for trusselaktører.
|
|
Hva er operasjonell teknologi?Dette er systemer som styrer fysiske prosesser i samfunnet: |
|
I rapporten Cybersikkerhet 2024 slår Kripos fast at det er høy sannsynlighet for målrettede angrep mot norsk infrastruktur og industri. Angrepene inkluderer løsepengevirus og sabotasje.
Lederen for Nasjonal Sikkerhetsmyndighet, Arne Christian Haugstøyl, har selv uttalt at «Det er all grunn til å tro at en statlig aktør med ønske om å begå en sabotasjehandling mot Norge, vil lykkes med det». Bekymringen deles på øverste politiske nivå. Regjeringen har gjentatte ganger advart om økt trusselaktivitet mot norsk infrastruktur.
– Norge er et attraktivt mål, både politisk og økonomisk, sier Daniel Ourom-Swart, leder for industriell cybersikkerhet i IT-sikkerhetsselskapet Netsecurity.
Daniel Ourom-Swart, leder for industriell cybersikkerhet i Netsecurity,
advarer om sårbarheter i Norges digitale infrastruktur
Bekymringen deles på øverste politiske nivå. Regjeringen har gjentatte ganger advart om økt trusselaktivitet mot norsk infrastruktur.
– Norge er et attraktivt mål, både politisk og økonomisk, sier Daniel Ourom-Swart, leder for industriell cybersikkerhet i IT-sikkerhetsselskapet Netsecurity.
Netsecurity er en norsk leverandør av IT-sikkerhetstjenester. De har som mål å styrke samfunnets digitale forsvar. Dette gjør de gjennom innovative løsninger og ekspertise. Tjenestene deres er rettet mot både private og offentlige aktører.
Les også: Nasjonale trussel- og risikovurderinger 2025
I dag inneholder nesten alle industrielle systemer og kontrollanlegg mikrochips. Disse digitale komponentene representerer potensielle inngangsporter for hackere.
– Det er naivt å tro at vi kan sikre systemene våre 100 prosent. Uansett hvor godt du beskytter anlegget ditt, vil en dedikert angriper kunne finne en vei inn. Det viktigste i dag er derfor å kunne oppdage angrepet i en tidlig fase, sier Ourom-Swart.
Sikkerhetslederen understreker at virksomheter trenger et trent apparat for å identifisere og håndtere trusler raskt, og dermed begrense skadeomfanget.
Operasjonell teknologi (OT), som tidligere var isolert fra omverdenen, er nå i økende grad koblet til IT-systemer og internett. Dette åpner for nye utfordringer. Mange virksomheter mangler oversikt over hvordan systemene henger sammen, og sikkerhetsarbeidet må håndteres annerledes enn i et vanlig kontormiljø.
– Å oppdatere et kontorsystem kan gjøres i lunsjpausen – men å ta ned produksjonen i et oljeraffineri for en programvareoppdatering er noe helt annet. Derfor må IT og OT samarbeide tett og forstå hverandres behov, forklarer Ourom-Swart.
Flere virksomheter løser dette ved å etablere «brobyggere» – ingeniører med cybersikkerhetskompetanse som kan oversette mellom teknologi, drift og ledelse.
Ifølge eksperten må alle ta høyde for at angrep vil skje, og være forberedt på å håndtere dette på en effektiv måte.
– Ved å forstå sårbarhetene, etablere robuste prosesser og investere i sikkerhet, kan vi sørge for at samfunnets hjul fortsetter å gå, sier Ourom-Swart.
Norsk havbruk og fiskeri avhenger av digitale systemer som også må beskyttes mot cyberangrep.
Virksomheter som lykkes med digital beredskap er de som ser cybersikkerhet som en del av kjernedriften, ikke bare et IT-problem. Dette krever engasjement fra hele organisasjonen.
– De neste årene vil vi se et tydelig skille mellom de som tar grep, og de som ble overrasket. Vår jobb er å sørge for at færrest mulig havner i den siste gruppen. Det handler ikke bare om å beskytte enkeltvirksomheter, men om å sikre samfunnets mest kritiske funksjoner, sier Ourom-Swart.
Les også: Effektiv sikkerhetsstyring for IT-OT integrasjoner og leverandørhåndtering
|
Tre råd til virksomheter innen kritisk infrastruktur: 1. Få oversikt: Kartlegg digitale verdier med tilhørende kritikalitet og hvordan prosessene henger sammen. Planlegg ut fra at noe vil gå galt, og sikre nødvendig kompetanse, teknologi og støtteapparat.2. Bygg bro mellom IT og OT: Etabler samarbeid og felles forståelse på tvers av avdelinger og fagmiljøer. 3. Test og tren: Øv jevnlig på ulike angrepsscenarier. Øvelser gir verdifull læring og bedre stressmestring når en reell krise oppstår.
|
Publisert 24.04.2025