Gå til innhold
NetNordic Norway
sales.no@netnordic.com +47 67 247 365 Webshop Community
Support Under Attack?
21 mar, 2025
Cybersikkerhet Artikkel

Cybersecurity fra et styre- og lederperspektiv

Kjære styremedlemmer og ledelse i offentlige og private virksomheter

IT- og OT-sikkerhet er blant de største utfordringene vi står overfor i dag, både i offentlig og privat sektor. Som ledere har vi et ansvar for å forstå og håndtere disse risikoene. Med dette budskapet ønsker jeg å gi innsikt i hvordan vi kan ta tak i de mest presserende utfordringene – og sørge for at vi ikke går i de vanligste fellene. Vi må komme oss bort fra «kryss av i boksen»-syndromet og fokusere på konkrete tiltak – på hva og hvordan. Dette er et lederansvar!

Min personlige erfaring

For noen år siden kjente jeg på en reell uro da det gikk opp for meg hvor utsatt vi faktisk var som selskap, og hvor omfattende arbeidet er for å redusere eksponeringen innen IT-sikkerhet. Fra et styre- og ledelsesperspektiv må sikkerhetsarbeidet dekke tre sentrale områder:

  • Forebygging av driftsforstyrrelser
  • Tids- og kostnadsbesparelser
  • Kontinuerlige forbedringer og etterlevelse

Jeg er utdannet bedriftsøkonom og har vært i teknologibransjen i omtrent 25 år. Gjennom ulike topplederroller har jeg gradvis beveget meg bort fra de tekniske detaljene, mens teknologilandskapet rundt oss har blitt stadig mer komplekst. Jeg kjente virkelig på panikken da vi gikk ut i markedet med tjenester for å administrere kritisk infrastruktur for kundene våre. Bekymringen bunnet i tvilen om vi gikk dypt og presist nok – og frykten for at mangler i tilnærmingen kunne bli et alvorlig hinder, særlig dersom vi ble rammet av eksterne trusler som svekket eller satte infrastrukturen vår ut av spill. Konsekvensen ville være betydelige – både for leveransene våre og for kundene.

Det snakkes mye om sikkerhet og compliance, men altfor ofte blir det ved de store ordene. Mange forstår ikke fullt ut hva utfordringene innebærer, og beslutninger fattes ofte på sviktende grunnlag. I tillegg lider mange av det jeg vil kalle «kryss-av-i-boksen»-syndromet – der gapet mellom intensjon og faktisk gjennomføring er betydelig.

Å gå i dybden på sikkerhet er krevende. Men det er nødvendig. Nøkkelfaktorer som kunnskap, kapasitet, agendaer, naivitet, kultur og risikovilje er avgjørende elementer i dette regnestykket.

I denne sammenhengen ønsker jeg å rette søkelyset mot kunnskap og innsiktsområder som ofte er underkommunisert på ledernivå. Altfor ofte holder man seg til overskrifter og populære buzzord. Skal vi komme oss videre fra seminar- og konferansemodus, må vi tørre å bli konkrete – og ærlige – om realitetene.

Ambisjoner og evnen til å være konkret

Det finnes mange misforståelser og begrepsforvirringer innen IT-sikkerhet. Målet mitt er ikke å navigere i denne jungelen av definisjoner, men å rette søkelyset mot områder som ofte undervurderes – og der svakhetene er størst. Det gjelder selv i miljøer som anser seg som sikkerhetsbevisste og som tar temaet på alvor.

Diskusjoner havner ofte på avveie når de foregår i for binære termer. Ja, alle vet at virkeligheten er nyansert – men noen ganger er vi nødt til å forenkle for å få i gang samtalen. Litt friksjon kan faktisk være sunt.

La oss heve ambisjonene for IT-sikkerhet.
På en skala fra 0 til 10 er en score på 7 rett og slett ikke godt nok. Vi må utfordre forestillingen om at det er for dyrt og krevende å komme opp på nivå 9 – selv om det er en forståelig tanke dersom virksomheten tror den må gjøre alt alene. Å jobbe strategisk med partnere og eksperter er ofte nøkkelen for å tette gapene.

Dersom vi blir enige om et høyere ambisjonsnivå, er det særlig noen områder der svakhetene blir ekstra synlige – spesielt når vi beveger oss utover det grunnleggende og åpenbare. Her er noen av dem – i vilkårlig rekkefølge:

  • 1. Kapitalforvaltning

Dette omfatter all maskinvare og programvare som er koblet til infrastrukturen. Utfordringene handler blant annet om å opprettholde fullstendig oversikt, håndtere versjoner og oppgraderinger, samt sikre riktig bruk og konfigurasjon.

Hvis vi tar utgangspunkt i at en kjede aldri er sterkere enn sitt svakeste ledd, blir det tydelig at manglende kontroll over tilkoblede enheter utgjør en betydelig sikkerhetsrisiko. Ofte finner vi de største sårbarhetene i de mer perifere delene av infrastrukturen – områder som altfor ofte faller utenfor det operative søkelyset.

  • 2. Løpende trusseletterretning

Overvåking av trusler og avvik, samt evnen til å tolke og handle på bakgrunn av innhentet informasjon, er helt avgjørende. Gitt kompleksiteten i dagens trusselbilde – hvor motstanderne ofte er ukjente og metodene stadig mer sofistikerte – er det rett og slett naivt å tro at dette kan håndteres alene.

  • 3. operasjonell teknologi (OT)

Fokuset ligger som regel på IT, men de mest kritiske sårbarhetene kan ofte finnes i områder som tradisjonelt ikke regnes som IT. Operasjonell teknologi (OT) består gjerne av et uoversiktlig landskap av enheter som inngår i den digitale infrastrukturen – og nettopp her skjuler det seg en underkommunisert risiko.

Myndighetene forsøker å adressere dette gjennom regelverk som NIS2, men reguleringer alene er ikke nok til å løse de praktiske utfordringene. Disse OT-miljøene representerer ofte tikkende sikkerhetsbomber, koblet direkte til virksomhetens kjerneinfrastruktur – og de finner altfor ofte veien inn gjennom såkalte bakdører.

  • 4. Overvåking av det mørke nettet

Det foregår omfattende aktivitet i et grått marked som utnytter kommersielle muligheter langt utenfor de grunnleggende verdiene vi bygger på i den vestlige verden. Dette markedet kjenner ingen geografiske grenser, og opererer ofte i skyggene av det formelle næringslivet. Proaktiv overvåking og innsikt i disse aktivitetene er avgjørende for å redusere risiko – både strategisk og operativt.

  • 5. Alarmhåndtering

IT-avdelinger bombarderes med en overveldende mengde varsler. Uten aktiv systematisering blir reaksjonene tilfeldige, og sofistikerte trusler kan slippe gjennom. Tiden det tar å få oversikt, kan vise seg å være fatal.

  • 6. Sikkerhet i Cloud

For å balansere kostnader, effektivitet og kapasitet benytter de fleste virksomheter i dag en kombinasjon av skytjenester og interne IT-strukturer. Denne hybridmodellen er ofte nødvendig – men den introduserer også nye sikkerhetsutfordringer og økte angrepsflater. Disse blir lett undervurdert, særlig når kompleksiteten øker og ansvarsforholdene blir uklare.

  • 7. Etterlevelse

Risikorapportering må struktureres i et format som fungerer som et reelt styringsverktøy – ikke bare som dokumentasjon. Den må støtte effektiv håndtering av regulatoriske krav, gi grunnlag for innsiktsfull analyse og legge til rette for rask og presis respons ved hendelser. Selv om det er styret som sitter med det overordnede ansvaret, mangler de ofte direkte kontroll. Nettopp derfor er kvaliteten på rapporteringen og informasjonsflyten helt avgjørende.

Det er fullt mulig å gjøre betydelige fremskritt – så lenge vi har både kunnskap og vilje.

Har den første panikken lagt seg? Ja, det har den. Ingen kan gi absolutte garantier, men ved å sikre ytterpunktene i verdikjeden styrer vi risikoen både for oss selv og for kundene våre. Vi håndterer rundt 1,5 millioner hendelser i sekundet fra kundene våre. Kildene er mange og varierte. Det er samspillet mellom teknologi, mennesker og prosesser som avgjør om vi lykkes med å beskytte og opprettholde integriteten til kritisk infrastruktur.

Vi lever i en kompleks verden, og truslene vokser i både omfang og raffinement. Ingen aktør kan håndtere alt alene – men alle kan bidra til å styrke det samlede sikkerhetsbildet.

Enten vi opererer i privat eller offentlig sektor, har vi alle et overordnet mål: utvikling, gjennomføring og måloppnåelse. Vi ønsker å gripe muligheter – ikke miste dem. Nettopp derfor utgjør IT-sikkerhet en reell trussel mot ambisjonene våre. For å møte den trusselen trenger vi en bred, gjennomtenkt og robust sikkerhetsstrategi.

Så spørsmålet er: Har du noen få soldater, en tropp – eller en hel forsvarsstyrke? De virkelige truslene ligger ofte i detaljene. Å si at noe er «godt nok» bør være et bevisst valg – ikke en hvilepute. Elementer som tidligere ble sett på som bagateller, kan vise seg å være avgjørende. Min erfaring er at det er her nøkkelen ligger: i forståelsen for hva som virkelig betyr noe – og i evnen til å prioritere der det teller mest.

Det starter med ambisjoner. Og det slutter med lederskap.

Forfatter

Jarl Øverby

Konsernsjef, NetNordic Group

Kontakt Oss

Ring oss gjerne direkte på vårt telefonnummer +47 67 247 365, send oss ​​en epost sales.no@netnordic.com, eller fyll ut skjemaet så kommer vi tilbake til deg så snart som mulig! Takk!

Siste innhold

Hva skjuler seg under: Hvordan Dark Web Intelligence hjelper CISOer med å ligge ett skritt foran
Cybersikkerhet
Artikkel
apr 11, 2025

Hva skjuler seg under: Hvordan Dark Web Intelligence hjelper CISOer med å ligge ett skritt foran

Les mer NetTalks: NaaS and SNS Secrets Revealed
Nettverk
Webinar
mar 27, 2025

NetTalks: NaaS and SNS Secrets Revealed

Les mer Navigere i den fjerde industrielle revolusjonen – Industri 4.0
Nettverk
Artikkel
mar 12, 2025

Navigere i den fjerde industrielle revolusjonen – Industri 4.0

Les mer

Vårt nyhetsbrev

Få de aller siste nyhetene og oppdateringene rett i innboksen din.