Berg er direktør for Sikkerhet og risikostyring i HRP AS og tar sikkerhetsrådgivning alvorlig fra fra A til Å. Med andre ord; helhetlig sikkerhet.
- Når en enhet er kompromittert, er den under full kontroll av angriper, som igjen kan benytte den som et springbrett for videre digitale angrep, sier han. Dette kan inkludere angrep på andre enheter som er koblet til det samme nettverket, eller bruk av enheten for å utføre angrep på eksterne mål, eksempelvis DDoS angrep.
Han forklarer at slike tjenesteangrep primært er rettet mot en spesifikk webtjeneste eller webside. Formålet er å forstyrre eller helt ta ned målet, skape «trafikkaos» med millioner av anslag/besøk. Dermed blir målsystemet overbelastes så mye at det vil bli forstyrret eller utilgjengelig for ordinære brukere.
Berg viser til begrepet «Zombies» og at disse allerede har infiserte PC-er og enheter som vekkes til live for å angripe spesifikke mål.
- IoT systemer med dårlig eller ingen IT-sikkerhet har den senere tid også i økende grad blitt identifisert i slike botnets. Tjenestenektangrep, også kjent som DDoS, kan svært enkelt kjøpes for kryptovaluta på det mørke nettet. Hvor de enkleste kan koste helt ned i kun 10 USD, påpeker han ovenfor ITBaktuelt.
Han understreker at kompromitterte enheter kan misbrukes til å overvåke nettverkstrafikk. Noe som kan gi trusselaktører verdifull informasjon om målets aktiviteter og mulige sårbarheter. Kamera og andre sensorer kan gi informasjon fra den fysiske verden. Eller brukes til å spre informasjon og/eller propaganda.
- Trusselaktører kan bruke kompromitterte enheter til å distribuere skadelig programvare til andre enheter i nettverket eller mot eksterne mål, sier han og nevner eksempelvis løsepengevirus, kryptograving, spionvare og tilsvarende.
- Hvor mye er norske bedrifter forberedt på faren for hacking?
- Jeg merker en modning. Men fortsatt er det dessverre for ofte at fokus og prioritet på sikkerhet først kommer etter at en virksomhet har opplevd en sikkerhetshendelse.
Lars Eirik Berg sier at det er en økende kompleks «jungel» av lover og krav. Han nevner Byggteknisk forskrift (TEK17), Brannsikkerhet og rømning, Universell utforming, Sikkerhetsloven, Arbeidsmiljøloven, Plan og bygningsloven, Personopplysningsloven / GDPR, sektorvis lovgivning, forsikringsvilkår og FG-krav, virksomhetens egne interne krav, åpenhetsloven, miljøkrav, Lov om digital sikkerhet (2024) og flere kommende EU-lover.
Om å trygge digitale verdien
- Hva er ditt viktigste råd til norske bedrifter for at de kan trygge sine digitale verdier?
- Vi hører ofte at «nei, vi er jo så små og har da ikke noe av verdi som noen kan være interesserte i..?». Men når vi begynner å se nærmere etter så har enhver virksomhet viktige verdier i form av informasjon, IT-systemer, sine egne ansatte og så videre, påpeker Berg.
Han vet at de kriminelle ikke bryr seg så mye om det er en stor eller liten virksomhet når de angriper digitalt. Dersom et IT-system blir slått ut så vil de færreste klare å utføre sine primæroppdrag, mener Berg og viser til
Berg husker også det som skjedde med Posten i fjor sommer. De fikk et angrep via kjent sårbarhet i en applikasjon, som ikke var oppdatert. Posten kastet ut kinesiske hackere etter fire uker. Allerede dagen etterpå prøvde hackerne igjen - Digi.no
- Legg en plan
- Det finnes en rekke gode veiledere på området, herunder Grunnprinsipper for IKT-sikkerhet - Nasjonal sikkerhetsmyndighet (nsm.no). Men slike veiledere, standarder, ISOer med mer kan ved første øyekast virke veldig overveldende for bedriftsledere som ikke har noe erfaring med sikkerhet. Så første anbefalte steg er å få gjennomført en risikovurdering for akkurat din virksomhet, påpeker Berg.
Han anbefaler å kartlegge bedriftens verdier, kartlegge hvem (trusselaktører) som kan tenkes å true verdiene (stjele, ødelegge, angripe digitalt mm), og å kartlegge hvordan trusselaktørene kan tenkes å gå frem for å få til dette (sårbarheter).
- Så til slutt bør du gjøre en vurdering av hvilke tiltak som kan ha best effekt for å redusere sårbarhetene (menneskelige, teknologiske og organisatoriske tiltak). Dette er i all hovedsak stegene i en enkel, men ofte effektfull, risikovurdering, sier han. Og legger til at hvor lang tid det tar, og hvor omfattende det er å gjennomføre en slik risikovurdering kommer helt an på virksomhetens kompleksitet og virkeområder.
Han minner om grunnleggende IoT-sikkerhet; slik som å bytte ut standardpassord og brukernavn med noe eget. Han mener at man skal bruke multifaktor-autentisering der det er mulig. Og ikke minst regelmessig oppdatere firmware, og aktivere automatiske oppdateringer.
- Bruk kryptert kommunikasjon, mellom enheter, på kablet nett og mot WIFI, påpeker han. Og han anbefaler å opprette egne isolerte nett for IoT- og smartbygg-enheter. Videre er det viktig å etablere nettverksovervåkning og alarmering.
Lars Erik Bergs tipsliste for IT-sikkerhet:
- Ofte kan de helt grunnleggende tiltakene svært ofte ha meget god effekt for de aller fleste virksomheter. Jeg har noen eksempler her, sier Berg:
- Ikke bruk jobb epost privat
- Ikke bruk samme passord privat som på jobb
- Bruk sterke passord, helst lange setninger som vil være vanskelig å gjette
- Bruk flerfaktorautentisering i tillegg til passord (svært effektivt tiltak!)
- Oppdater regelmessig IT-systemer, programmer, mobiltelefoner og apper (og ikke glem at ITB-systemer og IoT-enheter også er IT-systemer her…)
- Opplæring av egne ansatte! Bygg en god virksomhetskultur hvor sikkerhet får en naturlig plass. Lav terskel for å varsle om hendelser, feil og mistenkelig aktivitet.
- Backup av viktige data
- Og NB! Det er også viktig å ha kontroll på sikkerheten hos leverandører. Ofte kommer et angrep via en tredjepart.
Inkludert vurdering av hvilke(t) land produsent/leverandør holder til i (Kina, Russland, Iran mfl. )
Nasjonale trussel- og risikovurderinger 2024 – Lars Erik Bergs tips om dypere lesing.
«...vurderer at myndighetene i Kina subsidierer næringslivsaktører for å vinne anbudskonkurranser i vestlige land. Rimelig kinesisk teknologi blir da et naturlig valg for flere virksomheter, også i Norge. Det åpner også opp for at Kina får eksportert teknologi med skjulte bakdører som kan utnyttes til etterretningsvirksomhet.» skriver NSM - Risiko 2024.
«Kina vil utgjøre en betydelig etterretningstrussel i 2024. Vi forventer at trusselen vil tilta i løpet av de nærmeste årene.» påpeker PST i sin Nasjonal trusselvurdering 2024.
«Kinas reviderte kontraetterretningslov av juni 2023 hviler på en svært bred forståelse av «etterretningsaktivitet», og kan også omfatte innhenting av informasjon av betydning for å investere eller produsere i Kina.» - Etterretningstjenesten – Fokus 2024.
Lars Eirik Berg vil også holde innlegg på Adgang 2024 i Oslo den 10.april om Sikkerhet i våre sikringssystemer, med dette som fokus:
Den økende trusselen fra Kina, samt krigen i Ukraina, og nå i Midtøsten, har gitt oss flere konkrete eksempler på at sikringssystemene vi daglig omgir oss med også kan utgjøre en stor sikkerhetsrisiko i seg selv. Det er derfor svært viktig at vi tidlig planlegger integrasjoner, IT-sikkerhet med mer basert på gode risikovurderinger helt fra skisseprosjektfasen.
Mer om konferansen her
Den økende trusselen fra Kina, samt krigen i Ukraina, og nå i Midtøsten, har gitt oss flere konkrete eksempler på at sikringssystemene vi daglig omgir oss med også kan utgjøre en stor sikkerhetsrisiko i seg selv. Det er derfor svært viktig at vi tidlig planlegger integrasjoner, IT-sikkerhet med mer basert på gode risikovurderinger helt fra skisseprosjektfasen.