Teknologi driver endring

Innsiden av en glassbro. Illustrasjonsbilde.

De siste årene har det vært en markant endring i hvordan alle deler av samfunnet bruker digitale tjenester og kommunikasjon. Dette forsterker behovet for trygg infrastruktur med robuste leverandører og verdikjeder.

Behovet for investering i digital sikkerhet følger den raske teknologiske utviklingen. Det er mange faktorer som påvirker sikkerhetsnivået og som må hensyntas i virksomhetens risikostyring. De viktigste er:
  1. Trusselbildet: Er i stadig endring og trusselaktørene får nye verktøy og metoder.
  2. Sårbarheter: Vi må kjenne egne sårbarheter og svakheter.
  3. Regulering: Myndighetene stiller sikkerhetskrav gjennom lovkrav, som vi må omsette til prosedyrer som organisasjonen skal forholde seg til.
  4. Nye forretningsmodeller: Det digitale samfunnet vil ikke fungere uten leverandører og samarbeidspartnere nasjonalt så vel som internasjonalt.
  5. Vårt digitale levesett: Personvern og sikkerhet utfordres på ulike måter gjennom behovet for digitalisering.

Norge er i starten av en revolusjon der «alt» vi omgir oss med er på nett og kommuniserer. Dette gjelder hjemme, i bilen, på bussen, på jobben og mellom forskjellige virksomheter og industrier. Det digitale samfunnet gir muligheter for store effektivitets-, kvalitets- og funksjonsforbedringer for mennesker, virksomheter og samfunnet som helhet.

Den dramatisk økende digitale angrepsflaten er en mulighet for de som vet å utnytte sårbarheter i både prosesser, kompetanse og teknologi. Her har myndighetene et ansvar for å utvikle sikkerhetskompetanse gjennom skole og utdanningsløp som vektlegger både digitalisering, sårbarheter og trusler.

Kompetansemangel utfordrer sikkerheten

Mange norske virksomhetsledere peker på manglende kompetanse som deres største utfordring i arbeidet med digital sikkerhet. I en fersk undersøkelse der over 500 norske ledere i privat og offentlig sektor har blitt spurt om sitt forhold til digital sikkerhet, svarer hele 37 prosent at digital sikkerhet er vanskelig å forstå og 44 prosent sier at ansattes manglende kompetanse eller feilvurderinger er selskapet største digitale sårbarhet.

Dette underbygger at Norge har et nasjonalt kompetanse-behov. Vi forventer at det vil gjenspeiles tydelig i den nasjonale IKT-sikkerhetsstrategien som legges frem for Stortinget senhøsten 2018. I tillegg ønsker vi at sentrale kompetanseinstitusjoner slik som Nasjonal sikkerhetsmyndighet (NSM) Næringslivets sikkerhetsråd (NSR) og Norsk senter for informasjonssikring (Norsis) får styrket sin evne til å utvikle offentlig, så vel som privat næringslivskompetanse på dette området.

Trenger 5G

EUs byrå for nettverks- og informasjonssikkerhet, ENISA, er blant aktørene som har advart om risikoer i onlinesamfunnet, og blant annet pekt på den voksende avhengigheten til kritisk telekommunikasjonsinfrastruktur og de økende konsekvensene ved forskjellige former for sikkerhetsbrudd. Sårbarheter i dagens mobilteknologier har fått mest fokus, blant annet innenfor signalering, som mange operatører fortsatt ikke adresserer. Dette er varslinger som Telenor Norge og andre norske operatører har tatt på største alvor.

«5G vil være svært viktig for et samfunn der alt skal være på nett»

5G kan levere meget lav kommunikasjonsforsinkelse, svært energieffektiv sammenkobling, betydelig høyere båndbredde, konnektivitet for raskt bevegelige objekter og svært høyt antall forbindelser på samme sted. Neste generasjons mobilnett vil gi nye digitale muligheter, og er helt nødvendig for å realisere onlinesamfunnet. Vi gjennomfører nå pilotprosjekter med energieffektiv smalbåndskommunikasjon for tingenes internett (NB-IoT).

Det er også et betydelig sikkerhetspotensiale i 5Gs mulighet for å levere nettet i «skiver». I praksis betyr det at virtualisering gjør det mulig å dele opp hele eller deler av infrastrukturen i parallelle mobilnett som betjener hver sin del av den stadig voksende populasjonen av tilknyttede ting og tjenester.

Dette er særlig relevant for samfunnskritiske funksjoner og aktører; for eksempel for nytt nødnett basert på kommersielt mobilnett. I tillegg orienterer 5G-standarden seg mot internetteknologi, som gir gjenbruk av velprøvde protokoller og mekanismer i både trafikkbærende og styrende kommunikasjon.

5G vil være svært viktig for et samfunn der alt skal være på nett, da blir robusthet, kapasitet, hastighet og sikkerhet avgjørende. Telenor Norge har som mål å være ledende i utbyggingen i Norge.

Teknologi
Graf
graf

Kunstig intelligens

Digitaliseringen av samfunnet fører til at det blir samlet inn store mengder informasjon som kan brukes til å utvikle nye tjenester innen kunstig intelligens. Slike data kan også brukes til utvikle ondsinnede verktøy. Nylig har vi sett bruk av kunstig intelligens til phishingangrep.

Forskere fra Cyxtera Thechnologies har laget en analyse av skadevaren «Deep fish» som fungerer slik at den bruker koding som har fungert tidligere, og kombinerer det med en modell som er trent til å komme seg forbi automatiserte forsvarssystemer. Dette har vist seg svært effektivt med en høy i suksessrate, med 0,69 prosent suksess uten bruk av kunstig intelligens til 20,90 prosent med kunstig intelligens. Hittil er dette den eneste kjente ondsinnede programvaren med kunstig intelligens, men det er et eksempel på hvordan ny teknologi stiller nye og høyere krav til digital sikkerhet.

Nye forretningsmodeller

Teknologi skaper globale markedsplasser og nye verdikjeder som påvirker vår og andres forretningsmodeller. Dette er en utvikling som gjelder mange bransjer, og det er svært viktig å stille krav til leverandører før det kjøpes tjenester eller oppgaver settes ut.

Telenor Norge er avhengige av nasjonale og internasjonale leverandører for å levere kommunikasjon i Norge og må derfor ha avtaler, krav og kontroller som sikrer at våre leverandører har god sikkerhetsstyring. I tillegg har vi samarbeidsarenaer med prioriterte leverandører der vi utveksler kompetanse om sikkerhet og risiko.

De siste årene har vi sett eksempler på at digitale angrep kommer via leverandører og deres leveranser. Dette viser betydningen av god sikkerhetsarkitektur, preventive tiltak, sikkerhetsovervåkning og evne til hendelseshåndtering hos våre leverandører. Sikkerhetsforståelse i leverandørens egen organisasjon er helt avgjørende for at den leverer sikre produkter og tjenester til oss. Vår prosess for valg av leverandører er basert på krav fra myndighetene, norske lover og regler, og våre egne standarder. Alle data behandles i henhold til norsk lov.

Vi stiller omfattende kontraktsfestede sikkerhetskrav til våre leverandører. Mange leverandører er overrasket over kravene og i hvilken grad vi adresserer leverandørens tilnærming til sikkerhet. GDPR har her bidratt positivt til å tydeliggjøre for flere av våre leverandører og kunder at de må ta et selvstendig ansvar for sin virksomhets egen evne til beskyttelse.

Vi som virksomheter har et selvstendig ansvar for å stille krav til våre leverandører. Det er også myndighetene tydelig på gjennom lov og forskrifter. Vi opplever imidlertid at offentlig sektor i stor grad vekter pris fremfor sikkerhet og beredskap. Offentlig sektor handler produkter og tjenester for 500 milliarder kroner i året, og kan ha stor påvirkning på hvordan selskaper utvikler sine tjenester.

Regulering og globalisering

Norge er, som andre land, i stor grad avhengig av private virksomheter for å opprettholde grunnleggende nasjonale funksjoner og vil ikke klare seg uten utenlandsk arbeidskraft innen teknologiutvikling. Dette er kjent for myndighetene, men reflekteres ikke godt nok i dagens lovgivning og praksis. Den nye Sikkerhetsloven gir håp om forbedring på dette området.

Vi mener også at lovverket bør gå lenger i å sette krav til samvirke og ansvarsfordeling mellom myndigheter og private virksomheter. I cyberdomenet vil det være den enkelte infrastruktureier som må håndtere hendelsen, samtidig vil ingen større cyberhendelse kun treffe én sektor alene. Eksempelvis vil telekominfrastrukturen i mange tilfeller være berørt ved en cyberhendelse i en annen sektor.

«Ansvaret til private eiere av kritisk infrastruktur eller funksjoner må tydeliggjøres spesielt som del av krise- og beredskapsorganiseringen i Norge.»

I et samfunnsperspektiv krever forebyggende sikkerhet i cyberdomenet at man på tvers av sektorer, private og offentlige virksomheter forholder seg til samme standarder og med lik risikoforståelse. Det er positivt at sikkerhetsmyndighetene, gjennom lovendringene i Sikkerhetsloven, tillegges et tydelig ansvar for harmonisering, rådgivning og oppfølging på tvers, samtidig er det viktig at det også jobbes for harmonisering av IKT-sikkerhetskrav på tvers av sektorspesifikk lovgivning.

Vår vurdering er at det er liten grad av harmonisering av regelverk på IKT-sikkerhetsområdet på tvers av sektorer. Det benyttes ulikt begrepsapparat, og krav til standardisering er ulikt, blant annet på grunn av manglende bruk av henvisning til standarder. Det er i tillegg ulikt detaljeringsnivå, noe lovverk har detaljerte krav, mens andre gir rom for tolkning basert på risikobetraktning.

For virksomheter som er underlagt mer enn én IKT-lovgivning, som Telenor Norge, betyr ulik beskrivelse og begrepsbruk at det må benyttes mye tid til avklaring med myndighetene for å sikre at vi har rett forståelse av hvor vi bør legge vår praksis.