Viktigere enn noen gang å sikre bedriften mot cyberangrep: Slik kan strategisk utkontraktering hjelpe

Norske virksomheter møter et skjerpet risikobilde. I følge PST er dagens trusselbilde det mest alvorlige på flere tiår. NSM-rapporten "Nasjonalt digitalt risikobilde 2023" fremhever blant annet bølger av tjenestenektangrep fra pro-russiske aktører og økt profesjonalisering i angrepskjeden. Modningen av AI-teknologi trekkes også fram som en driver bak mer sofistikerte cyberangrep mot norske virksomheter.

Lovgivere har møtt trendene om næringslivets skjerpede trusselbilde og økte avhengighet av tjenesteutsetting med en rekke lovgivningsinitiativer. Sektorovergripende regelverk står på trappene, herunder NIS-direktivet (gjennom Digitalsikkerhetsloven) og det kommende NIS2-direktivet. Sikkerhetsloven blir aktuell for flere og flere virksomheter. Lovgivningstrenden peker på strammere krav til sikkerhet og håndhevelse gjennom bøteleggelse. Omdømmerisikoen er også høy ved mangelfull oppfyllelse av sikkerhetskravene.

Situasjonsbildet

Trusselbildet møter et norsk næringsliv med store forretningsmessige avhengigheter i komplekse leverandørkjeder. Slik vi opplever det, er medianen av norske virksomheter preget av følgende grovt oppsummerte situasjonsbilde:

• Gammel moro: Tidligere generasjoners utkontraktering av virksomhetskritisk teknologi har vært svært kostnadskrevende og belastende. Viljen til utskifting har i ettertiden vært liten. Resultatet er opparbeidelse av stor teknisk gjeld. Forretningsprosesser har over lang tid utviklet avhengigheter til gammel funksjonalitet.
• Binders og strikk: Over lengre tid har nye funksjonsbehov blitt løst gjennom enkeltanskaffelser, utvikling av nye systemer, samt kundespesifikke videreutviklinger av eksisterende teknologi. Behov for automasjon og dataflyt har blitt løst med enkeltstående integrasjoner til eldre databaser og løsninger. Resultatet er et lappverk av integrasjoner og datastrukturer.
• End-of-life: Leverandører av eldre teknologi har helt eller delvis avsluttet vedlikehold av virksomhetskritiske systemer og løsninger. Opprettholdelse av funksjonalitet har over tid skjedd gjennom ikke-skalerbare løsninger. Underliggende avhengigheter som f.eks. databaser er ikke lenger vedlikeholdt av leverandøren og har kjente inngangsvektorer.

Risiko- og sårbarhetsanalyser basert på dette situasjonsbildet viser følgende:

• sannsynligheten for cyberangrep er økende, og
• skadepotensialet ved cyberangrep kan være ødeleggende for forretningen.

Samlet sett fører situasjonsbildet til store kommersielle, operative, regulatoriske og omdømmemessige utfordringer. Opprydningen er ingen enkel sak.

Omfattende IT-transformasjonsprosjekter

Løsningsforslaget som melder seg er ofte større transformasjons- og transisjonsprosjekter. Målbildet er i økende grad hele eller betydelige deler av virksomhetens IT-portefølje.

Driverne for slike prosjekter er fortsatt gjenkjennelig. Kostnadsreduksjon, tilgang til kompetanse og spesialisering, skalerbarhet og fleksibilitet, robusthet og tilgang til ny teknologi står sentralt. Cyberrisiko er imidlertid i økende grad en utløsende faktor for opprydningen. Dette er også godt begrunnet med tanke på risiko- og sårbarhetsbildet som møter norske virksomheter. Prosjektene retter seg i økende grad mot skyplattformer fra de store internasjonale skyleverandørene. Skytransformasjoner er krevende, og vi har i det følgende listet opp noen overordnede råd for virksomheter som står ovenfor situasjonsbildet som listet over.

Fire råd på veien

1. Prosjekt- og endringsledelse: Prosjektet bør håndteres som forretningsprosjekter, ikke et IT-prosjekt. Sørg for at dette er reflektert i sammensetningen av interessenter som har ansvaret for beslutninger og gjennomføringen. Virksomhetsendringer er smertefulle. Internt i virksomheten vil det være mange motstridende interesser som potensielt vil trekke i ulik retning. Dette utgjør en betydelig risiko for realiseringen av prosjektets strategi og målsetting. Løsningen er bred involvering, ikke ekskludering. Meningsmotsetninger bør avklares tidlig, slik at de ikke stikker kjepper i hjulene sent.
2. Markedets rolle: De færreste virksomheter kan rettferdiggjøre å gjøre alt selv internt. Dette er lite skalerbart og de beste spesialisthodene er ofte å hente ute i markedet. Markedet bør engasjeres tidlig for å styrke beslutningsgrunnlag, men ikke før virksomheten har satt overordnet retning og etablert organisasjon internt.
   
   Gjør en vurdering av hvor kompetansen ligger. Tradisjonelle drifts- og forvaltningsleverandører posisjonerer seg gjerne for å gjennomføre så mye som mulig av prosjektleveransene. Konsulenthus og tradisjonelle transformasjonspartnere posisjonerer seg tilsvarende for å overta løpende drifts- og forvaltningsoppgaver. Enkel tilgang til standardiserte skytjenester har presset leverandørmarkedet til å overta større deler av verdikjeden selv. Vær kritisk og unngå å havne i monolittanskaffelsesfellen. Ofte vil den beste løsningen følge en "best of breed" tilnærming.
3. Gjennomfør et forprosjekt med foretrukne leverandører: Når det kommer til stykket er det sjeldent at virksomheter har kapasitet til å oppnå inngående kunnskap om flere leverandørers verdiforslag. Likevel er det nødvendig å kvalifisere slik kunnskap for å håndtere risiko på en forsvarlig måte. Følgelig vil ett eller flere forprosjekter med enkeltleverandører være et hensiktsmessig grep.
   
   For å komme rett ut fra hoppkanten kan det være hensiktsmessig å prøvekjøre overrennet.
   
   Et begrenset forprosjekt som danner grunnlaget for dokumentasjon av omfang, plan, kommersielle rammer og andre tjenester vil styrke et beslutningsgrunnlag og redusere risiko.
   
   Vær imidlertid oppmerksom på at forhandlingskraft reduseres jo lenger ut i løypa en kommer i rettede anskaffelsesspor. Kommersielle og juridiske posisjoner bør følgelig røykes ut før det såkalte "point of no return".
4. Avtalen er et samarbeidsverktøy, ikke et samarbeidshinder: Begrep som "avtale" og "forhandlinger" er ladet og skaper ofte feil assosiasjon. En avtale er et verktøy for å presist angi en omforent virkelighetsforståelse mellom partene. En god avtale utgjør et veikart som partene kan stole på og med tillit jobbe etter. Å bruke avtalen som et prosjekt og samarbeidsverktøy bidrar til å redusere konfliktsnivået mellom partene. Unngå å legg avtalen i en skuff. En nedstøvet avtale kan miste sin tiltenkte virkning.

En kortere versjon av dette nyhetsbrevet ble publisert som et debattinnlegg i Finansavisen 24. mai 2024. Innlegget er tilgjengelig her.