- Det generelle trusselbildet er endret og truslene økende. Så vi jobber enda mer nå med å være årvåken og påpasselig, både på den digitale innsiden og utsiden, sier Kjell-Arne Strøm-Hansen, direktør for IT-avdelingen i Brønnøysundregistrene, til kode24.
De siste årene har Norge sett en rekke dataangrep mot norske bedrifter og etater. Amedia, Nortura, Stortinget og Nordic Choice Hotels er bare noen av ofrene for cyberkriminelle.
Samtidig går Norge også inn i en tid der større cyberangrep fra stater brått har blitt en realitet, etter Russlands invasjon av Ukraina.
Et viktig organ i Norge som er truet fra flere hold er Brønnøysundregistrene, som er en norsk statlig etat med ansvaret for mange av landets registre.
Dette mener myndighetene du må gjøre nå, med trusselen fra Russland
Kjepper i samfunnshjulene
- Hvorfor er det viktig å beskytte Brønnøysundregistrene?
- Vi forvalter og utvikler mange sentrale registre i samfunnet. Ta for eksempel tjenester til næringslivet, vi har for eksempel registrert mange tinglyste objekter i Norge i Løsøreregistret. Dette betyr at aktører som bank og finanssektoren vil få utfordringer om de ikke får tilgang til det. Det vil stikke kjepper i samfunnshjulene, sier Strøm-Hansen.
Ifølge avdelingsdirektøren har registrene gjennomført trusselvurderinger for å se på flere forhold, og ser et stadig økende antall trusselaktører. Dette innebærer både kriminelle og statsstøttede hackergrupper.
- Brønnøysundregistrene er medlem av Nasjonal sikkerhetsmyndighet (NSM) sitt nettverk, der NSM overvåker partnerne for å oppdage mistenkelig nettaktivitet. Skjer det noen større hendelser, blir vi varslet av dem. De siste årene har det vært noen alvorlige varsler, sier Strøm-Hansen.
«Det er viktig å være smidig for å møte nye trusler»
Involvert hele virksomheten
For å møte cybertrusler har det vært nødvendig å involvere hele virksomheten i sikkerhetsarbeidet, ifølge Strøm-Hansen. Han sier at Brønnøysundregistrene bruker mye tid på å øke forståelsen og forbedre sikkerhetskulturen blant de ansatte.
Særlig med tanke på "phishing", som er noe av det registeret frykter mest.
- For eksempel har vi flere ganger i året en øvelse der vi forsøker å teste de ansatte til å åpne e-poster man ikke skal, sier avdelingsdirektøren.
Ifølge Strøm-Hansen er sikkerhetsavdelingen i organisasjonen delt i to deler:
Den ene handler om informasjonssikkerhet. Dette innebærer blant annet arbeid med risiko og risikovurderinger, samt om styringssystemer, lover og forskrifter, som følger opp og setter krav til aktivitet i hele virksomheten.
- Den andre delen handler om cybersikkerhet. Her er alle teknologene i Brønnøysundregistrene, rundt 100 personer, involvert. I mange av de store utviklingsprosjektene jobber også alle som er i prosjektet direkte med sikkerhet, forteller han.
Det statlige organet har også et eget team som jobber med cybersikkerhet og sikkerhetskompetanse.
- Her finner du typiske sikkerhetsarkitekter og -ingeniører, samt folk med ulik bakgrunn som driftsingeniører og utviklere.
Mener ingen tar ansvar for datasikkerhet: - Lettere å oppdatere verktøy enn mennesker
Utsatt for Bitcoin-angrep
Som flere og flere norske virksomheter de siste årene, har også Brønnøysundregistrene opplevd å bli utsatt for dataangrep.
I 2016 ble virksomheten utsatt for et såkalt "Bitcoin-angrep". Da kom hackerne seg inn i registerets løsninger og utnyttet prosessorkraften til å utvinne Bitcoins for å tjene penger. Veien inn: Lett tilgjengelig informasjon på nettet om en sårbarhet som hackerne kunne utnytte.
- Dette var vel mer vanlig for noen år siden. Disse sårbarhetene er stengt nå, sier avdelingsdirektøren.
- Open source var ikke problemet med Log4Shell
En annen hendelse som fikk store konsekvenser for organisasjonen, var den såkalte Log4j-sårbarheten, som i fjor rammet virksomheter over hele verden.
Det startet med at Brønnøysundregistrene ble varslet av NSM på en fredags ettermiddag at de var eksponert for sårbarheten, og satt ned en stab med ressurser som så på problemet for å finne en løsning for å unngå å bli utsatt for digitale angrep.
Dette endte med at de måtte stenge søket i Altinn.
- Det som er den aller største utfordringen i sikkerhetsarbeidet, er balansen mellom tiltak og risikovurdering. I dette tilfelle var kriseledelsen enige med meg om at alvorlighetsgraden gjorde at vi måtte stenge døren og låse brukerene ute, sier Strøm-Hansen.
Etterlyser finansiering
Ifølge Strøm-Hansen gjør Brønnøysundregistrene hele tiden trusselvurderinger og analyserer risikoscenarioer for å holde tritt med dagens trusselbilde.
- Vi arbeider med å bygge forsvarsverker mot de ulike senarioene. Det er viktig å være smidig for å møte nye trusler. Vi har brukt mye tid og ressurser i å utvikle en egen metodikk. Kravene til sikkerhet blir jo større og større og vi jobber kontinuerlig med å sette nye sikkerhetskrav.
Kristine Aasen, kommunikasjonsdirektør i Brønnøysundregistrene, legger til at sikkerhet også kommer til å koste virksomheter enda mer i fremtiden.
- Samtidig er vi en del av en verdikjede og ønsker et enda større samarbeid om hvordan vi håndterer det felles ansvaret for verdikjeden. Det kunne gitt stor merverdi å ha et felles fagråd, der vi kunne diskutert avgjørelsene i, sier hun til kode24.
Videre påpeker Aasen at forebyggende sikkerhet medfører kostbare tiltak for virksomheten, og mener at Brønnøysundregistrene bør få tilført finansiering, for å muliggjøre et enda større ansvar for forberedelser og preventive tiltak.
- Hver virksomhet ser ofte seg selv og sin virksomhet først. NSM eller en annen aktør som en felles CERT kunne kanskje ha fått et større ansvar for å følge opp verdikjedene, sier Strøm-Hansen.