Risiko 2025: Cybersikkerhet i søkelyset i årets risikovurdering fra NSM

NSM har oppsummert registrerte cyberhendelser fordelt på samfunnsområder, hvor den tydeligste forskjellen fra forrige rapport er at sektoren 'høyteknologi og næring' gjør et byks fra 12 % til hele 63 % av registrerte cyberhendelser i perioden. Økningen kan ifølge NSM tilskrives blant annet et pilotprosjekt for varsling av virksomheter gjennom Næringslivets sikkerhetsråd. Det er altså ikke nødvendigvis kun snakk om en økning i trusler mot privat sektor, men også et forbedret datagrunnlag som kan gi et mer realistisk bilde av hvor eksponert norske private virksomheter har vært over tid.

Risiko 2025 fremhever flere utviklingstrekk av betydning for norske virksomheter:

• Økt trussel mot leverandørkjeden: Lavere motstandsdyktighet mot cyberangrep gjør mindre virksomheter til attraktive mål for trusselaktører. Dette gjelder særlig virksomheter som inngår i leverandørkjeden til samfunnskritiske virksomheter. Anbefalte risikoreduserende tiltak omfatter blant annet kartlegging av avhengigheter i virksomhetens leverandørkjede, og gjennomføring av tiltak for å redusere risikoene dette innebærer. For samfunnskritiske virksomheter må sikkerhetsnivået i leverandørkjeden kontrolleres og prioriteres i anskaffelser – et klart signal om å sette fokus på cybersikkerheten for alle leverandører som inngår i disse verdikjedene. Her trekkes det frem at leverandører ofte ikke er fullt klar over sin egen betydning, eller viktigheten av informasjonen de besitter.
• Kunstig intelligens (KI): NSM har observert flere tilfeller i løpet av det siste året der KI blir brukt for å utføre cyberoperasjoner. Ifølge rapporten er hovedårsaken til dette den økte tilgjengeligheten av KI-verktøy, som gjør det lettere for aktører å utføre cyberoperasjoner uten inngående teknisk kompetanse. I tillegg muliggjør KI mer effektive angrep enn tidligere ved å identifisere sårbarheter i programvare og systemer, noe som kan bidra til å senke terskelen for opportunistiske angrep. Rapporten viser også til at offentlig tilgjengelige KI-modeller kan være sårbare for aktører som ønsker å spre skadeverk, og derfor må tilgjengelige KI-ressurser brukes med omhu.
• Angrepstrender: Løsepengeangrep anses som den største utfordringen for norske virksomheter, og NSM fremhever at disse angrepene ofte rettes mot små og mellomstore bedrifter. Trusselen rammer også virksomheter som ikke forvalter samfunnsviktige funksjoner, men som likevel kan besitte relevant informasjon i denne sammenhengen. Særlig to angrepsvektorer trekkes frem, som kan gi trusselaktører nødvendige tilganger til å ramme en virksomhet. Nulldagssårbarheter, som er sårbarheter i programvare som blir kjent før utvikleren har rukket å utarbeide en sikkerhetsoppdatering, og såkalte 'angriper-i-midten' angrep. Sistnevnte er en type phishingangrep som rammet et betydelig antall norske virksomheter det siste året, hvor angriperen plasserer seg mellom offeret og påloggingsflaten. På denne måten kan de skaffe seg tilgang til påloggingsinformasjon og autentisering. Typisk innebærer dette kompromittering av e-postkontoer, som kan utnyttes til fakturasvindel og manipulasjon av kommunikasjon internt i en virksomhet.
• Anbefalinger for å redusere teknisk sårbarhet: NSM gir flere anbefalinger for å redusere risikoen for ulike cyberangrep. De oppfordrer alle virksomheter til å kartlegge alle IT-systemer og redusere sårbarhetsflater ved kontinuerlig å installere sikkerhetsoppdateringer. Videre anbefales det å minimere antall systemer tilgjengelige fra internett og beskytte tilgang til disse med flerfaktorautentisering. NSM understreker også viktigheten av å sikre at servere som leverandører og konsulenter har tilgang til, ikke kan brukes til å få uautorisert tilgang til andre systemer
• Økt fokus på sensorteknologi: NSM fremhever også risikoen ved økt bruk av sensorsystemer, som kan utnyttes til overvåkning og spionasje. De anbefaler blant annet at sensitive samtaler burde ikke tas i moderne kjøretøy eller foran andre sensorsystemer med kamera- og lydfunksjon.

Norske virksomheter kan bidra til ivaretakelsen av norske sikkerhetsinteresser ved å sikre norsk verdiskapning og kritisk infrastruktur mot ytre påvirkning. For virksomheter underlagt sikkerhetsloven er disse forpliktelsene lovfestede. Digitalsikkerhetsloven, som gjennomfører NIS-direktivet i norsk rett, innebærer at langt flere samfunnsviktige virksomheter vil bli underlagt lovfestede cybersikkerhetskrav.

Digitalsikkerhetsloven er forventet å tre i kraft i løpet av året, og NSM anbefaler virksomheter som vil bli underlagt å begynne forberedelsene allerede nå. Blant tiltakene som anbefales er å fordele roller og ansvar for det forebyggende sikkerhetsarbeidet i virksomheten, kartlegge avhengigheter i leverandørkjeder og vurdere risikoen disse avhengighetene kan innebære for sikkerheten i virksomhetens informasjonssystemer.

Ta gjerne kontakt med oss for å diskutere hvordan vi kan bistå med å styrke cyberberedskapen i din virksomhet.