📊 Analyse
Av · · 5 min lesing

Bare 8 % av ledere ser cyberangrep som en samfunnsrisiko

En fersk debatt fra Telenor Cyberdefence avdekker at kun 8 prosent av norske ledere ser cyberangrep som en samfunnsrisiko. Problemet er ikke manglende sikkerhetssystemer, men hvordan ledelsen forstår risiko. Her er hvorfor det også angår din bedrift.

Et tankesett-problem, ikke et teknologiproblem

Ledergruppe rundt et styrebord ser på et risiko-dashbord der flere sammenkoblede bedrifter lyser opp

Kjernen i Kronens poeng er at problemet sjelden ligger i mangel på brannmurer eller antivirus. Det ligger i hvordan ledelsen forstår og prioriterer risiko. Når cybersikkerhet behandles som en teknisk IT-kostnad i stedet for et strategisk lederansvar, blir konsekvensene forutsigbare: beredskapen blir utilstrekkelig, øvelser blir nedprioritert, og investeringer blir utsatt til «neste budsjettår».

Resultatet er at mange bedrifter er teknisk middels rustet, men organisatorisk uforberedt. De har verktøyene, men ikke planen for hva som skjer klokka 02:00 en lørdag når systemene står og ingen vet hvem som skal ringes.

Hvorfor andres feil blir din risiko

Den viktigste innsikten i debatten er at norske bedrifter henger sammen. Digitale verdikjeder kobler leverandører, kunder, betalingstjenester, skyplattformer og underleverandører tett sammen. Et angrep på én aktør stopper sjelden der. Det forplanter seg.

Vi har sett mønsteret gang på gang: en regnskapsfører blir kompromittert, og plutselig har angriperen fakturatilgang til dusinvis av kunder. En IT-leverandør rammes av ransomware, og alle bedriftene som kjøper drift av dem mister tilgang samtidig. En nettbutikk-plugin får skadelig kode injisert, og hundrevis av butikker lekker kortdata uten å vite det.

Det er her «8 prosent»-tallet blir farlig. Hvis du kun spør «hva skjer med oss?», overser du at din egen sikkerhet er en del av sikkerheten til alle du er koblet til. Og motsatt: deres svakheter blir dine, enten du liker det eller ikke.

NIS2 hjelper, men regulering alene er ikke nok

EUs NIS2-direktiv strammer inn kravene til risikostyring, hendelsesrapportering og leverandøroppfølging for langt flere virksomheter enn før. Det er et skritt i riktig retning, og mange norske bedrifter vil merke at kravene treffer dem indirekte gjennom kundene sine, selv om de ikke er direkte omfattet.

Men regulering flytter ikke ansvaret bort fra ledelsen. Et regelverk kan kreve at du har en plan, men det kan ikke garantere at planen er øvd, forstått og finansiert. Compliance på papiret er ikke det samme som motstandsdyktighet i praksis. Den forskjellen avgjøres i styrerommet, ikke i serverrommet.

Fra «hva skjer med oss» til «hvem andre rammes»

Kronens oppfordring er et perspektivskifte, og det er enklere å ta enn det høres ut. I stedet for å kun spørre «hva koster et angrep oss?», bør ledelsen også spørre:

  • Hvilke kunder, leverandører og partnere er avhengige av at våre systemer fungerer?
  • Hvis vi blir kompromittert, hvem kan angriperen nå videre gjennom oss?
  • Hvor godt kjenner vi sikkerheten til de leverandørene vi stoler blindt på?
  • Hva er den faktiske planen de første to timene etter et innbrudd?

Dette er ikke tekniske spørsmål. Det er lederspørsmål. Og de koster ingenting å stille før et angrep, men alt å unnlate å stille etterpå.

Hva du kan gjøre nå

Du trenger ikke være et stort konsern for å ta samfunnsansvaret på alvor. Her er konkrete grep en liten eller mellomstor bedrift kan ta denne uka:

1. Kartlegg din egen eksponering. Du kan ikke beskytte det du ikke vet at er sårbart. Sjekk om bedriftens e-postadresser ligger i kjente lekkasjer med MAILSCAN, og se domenets sikkerhetsprofil (SSL, DNS, headers) med CERTSCAN. Det tar minutter og gir deg et faktagrunnlag i stedet for en magefølelse.

2. Vurder leverandørene dine som en del av din egen angrepsflate. Lag en enkel liste over de digitale tjenestene virksomheten ikke kan klare seg uten en dag. For hver av dem: vet du hva som skjer hvis de blir hacket, og har du en reserveplan?

3. Gjør beredskap til en ledersak, ikke en IT-sak. Skriv ned hvem som ringes, i hvilken rekkefølge, og hvem som har myndighet til å ta beslutninger når systemene er nede. Øv på det én gang. En halv time med tørrtrening er verdt mer enn en perfekt plan ingen har lest.

4. Sett opp kontinuerlig overvåkning. Engangssjekker fanger et øyeblikksbilde. Trusler endrer seg daglig. Med PLUSS-overvåkning i Sentinel varsles du automatisk når domenet, e-postene eller sertifikatene dine endrer status, eller når legitimasjon dukker opp i nye lekkasjer, slik at du oppdager problemet før det blir andres problem også.

8 prosent er ikke et teknologital, det er et lederspørsmål

Det som gjør debatten fra Telenor Cyberdefence viktig, er ikke at den avdekker en ny trussel. Det er at den peker på en gammel blindsone: vi tenker for smått om hva et cyberangrep faktisk rammer.

Samfunnet blir mer digitalt avhengig for hvert år, samtidig som angrepene blir mer automatiserte og treffer bredere. I den virkeligheten er cybersikkerhet ikke lenger bare en forsikring for egen drift. Det er et bidrag til at hele økosystemet du er en del av holder seg oppe.

Mustvedt Sentinel finnes for å gi norske bedrifter verktøyene til å se sin egen eksponering klart, før noen andre gjør det for dem. Det starter med ett enkelt spørsmål: ikke «hva skjer med oss?», men «hvem andre rammes hvis vi svikter?».

Relaterte artikler

🎣
Phishing
Phishing omgår SMS-koden din: slik fungerer AiTM-angrep
🕵️
Tips
Stealer-logger: angrepet du sannsynligvis ikke har hørt om
🌐
Domene
Subdomain takeover: Angrepet som rammer nedlagte tjenester
Få varsler i innboksen

Vil du ha varsler om nye trusler?

Mustvedt Sentinel sender deg e-post hvis e-posten din dukker opp i en lekkasje, eller hvis domenet ditt er under angrep.

Start 7 dager gratis Logg inn