Hvordan går man frem for å sikre en virksomhet som driver med alt?

Det finnes drøyt 200 000 virksomheter med ansatte i Norge. 356 av dem er ganske spesielle. De driver barnehager, sykehjem og alt imellom. Primærhelsetjeneste, vaksinasjon, skjenkebevilling, park og idrett. Omfattende bygningsdrift og kritisk infrastruktur.

De forvalter store verdier på vegne av mange mennesker, og har både administrativ og politisk ledelse. Kommunene må være noe av det mest utfordrende å holde kontroll på - eller revidere.

Jeg har bistått en rekke kommuner gjennom årene, hovedsakelig innen sikkerhetsrådgivning, men det har alltid vært avgrenset til én etats tjenester. I januar i år startet en ny erfaring, da jeg som del av et team fra KPMG, fikk ansvar for å lede de tekniske sikkerhetsundersøkelsene etter en større cybersikkerhetshendelse i Østre Toten kommune.

Kommunen var rammet av løsepengevirus og en taktikk som kalles "storviltjakt". Taktikken innebærer at trusselaktøren har skaffet seg tilgang til offerets infrastruktur, og med hendene på tastaturet, har gjort seg kjent med systemer, stjålet informasjon, og avsluttet operasjonen med å kryptere data og slette sikkerhetskopier. Det ble raskt klart at det meste av kommunen var rammet. Ikke én etat, men så godt som alle.

Snart fikk jeg også en rolle i sikkerhetsrådgivning knyttet til gjenopprettingen av kommunenes infrastruktur og tallrike fagsystemer. Enhver IT-leder som har anskaffet et saksbehandlingssystem med en håndfull integrasjoner, vet hvor krevende en slik oppgave kan være. Jeg skal ikke si mer enn at det har vært svært lærerikt å følge gjenopprettingen av en kommunes infrastruktur og et halvt dusin slike systemer. Alt i løpet av noen få måneder.

Jeg skal åpenbart ikke utlevere Østre Toten, men jeg vil honorere kommunens evne til å omstille seg raskt. Da elektroniske adgangskontrollsystemer og journaler plutselig tilhørte fortiden, fortsatte de ansatte arbeidet med nye nøkler og papirsystemer. De jobbet lange dager, sene kvelder og helg etter helg for å levere tjenester til innbyggerne. I møte med løsepengekrav stod de fjellstøtt; det var uaktuelt å betale eller engang forhandle med organiserte kriminelle. Krisen var et faktum, og det var ingen tvil om at det kom til å koste dem dyrt. De skulle i det minste sørge for å kapitalisere på læringsutbyttet, samt legge til rette for at andre kunne gjøre det samme. De bestemte seg for åpenhet. Jeg tar av meg hatten for dem.

Datakriminalitet har utviklet seg fra en eksklusiv klubb bestående av eksperter og nasjonalstater til et lovløst lykkeland for opportunister. Denne utviklingen har medført en endring i trusselbildet i retning av det kaotiske. Bredden blant trusselaktørene gjør at motivasjonen er variert, og Internetts grenseoverskridende natur gjør at geografisk lokasjon har liten betydning.

Kort oppsummert - alle har digitale verdier som er interessante for noen, og en motivert trusselaktør kan med lav kostnad og risiko ramme verdiene fra hvor som helst i verden, når som helst. For meg, som forholder meg til denne virkeligheten daglig, og bistår virksomheter som har tatt sine første skritt i retning av å oppdage det samme, kan det være vanskelig å akseptere at ledere ikke tar mer ansvar og sørger for å beskytte virksomhetens verdier. Da må jeg minne meg selv på at det skyldes mangel på empiri. Det ville vært som om lederen fornektet brann, og ikke ville bruke penger på røykvarslere, slokkeutstyr og brannøvelser. Det er utenkelig. Nei, det er nok uvitenhet som har skylden for manglende fokus og ledelsesforankring i mange virksomheter, og da er det flaks hvis det går bra.

Kort oppsummert - alle har digitale verdier som er interessante for noen, og en motivert trusselaktør kan med lav kostnad og risiko ramme verdiene fra hvor som helst i verden, når som helst.

Risikoforståelsen bygger på empiri. Vi vet at vi har verdier. Vi vet at det finnes sårbarheter som eksponerer verdiene. Vi vet at det finnes trusler som utnytter sårbarhetene. Dette danner grunnlaget for å vurdere risiko og iverksette risikoreduserende tiltak. Utfordringen oppstår når det er huller i empirien.

Hvis man kun har lest PST sin åpne trusselvurdering, kan man nok lett føle seg distansert fra truslene som beskrives. Nasjonalstater, spionasje og sabotasje - det gjelder ikke oss. Uten videre EDB-kunnskap er det også lett å overse sårbarhetene - i cyberdomenet er de jo ikke akkurat iøynefallende. Det er ikke så lett å få øye på et hull i muren når vi snakker om en brannmur.

Dette kan jeg i grunn godt forstå. Det jeg har langt vanskeligere for å forstå, er at altfor mange virksomheter synes å ha store problemer med å identifisere verdiene sine, og når det er tilfelle, da er det virkelig duket for problemer. Hvordan skal du kunne beskytte noe du ikke vet at du har? Igjen - det er flaks hvis det går bra.

Det jeg har langt vanskeligere for å forstå, er at altfor mange virksomheter synes å ha store problemer med å identifisere verdiene sine, ...

Vi snakker ofte om ulike typer risiko, f.eks. finansiell risiko, omdømmerisiko, operasjonell risiko og cyberrisiko. Det kan være nyttig, fordi det gir oss en pekepinn på hvilken kompetanse som kan være nødvendig for å forstå og behandle risikoen. Det er imidlertid fare for at man kan forledes til å tenke at cyberrisiko er noe IT-avdelingen eller IT-tjenesteleverandøren driver med og har ansvar for, og lar dem holde på for seg selv. Det er risikabelt.

Hvis det kan påvirke, og potensielt velte, virksomheten, er det definitivt virksomhetsrisiko, og det tilligger virksomhetsstyringen. IT-avdelingens kompetanse må utnyttes, men ansvaret ligger ikke hos dem. I et privat selskap påhviler det styret å sørge for en forsvarlig organisering av virksomheten. Gjennom sin instruksjon gir styret daglig leder i oppgave å operasjonalisere organiseringen. Daglig leder vil i sin tur delegere operasjonaliseringen til underenheter, f.eks. IT-avdelingen.

Hvis det kan påvirke, og potensielt velte, virksomheten, er det definitivt virksomhetsrisiko, og det tilligger virksomhetsstyringen.

Dersom styret er frakoblet, og ikke ber om at det rapporteres på cyberrisiko, er sjansen stor for at daglig leder heller ikke vil gjøre det. Uten rapportering gjør IT-avdelingen enten så godt den kan eller hva den vil - uten at noen egentlig helt vet hva. Jeg er sikker på at dette føles skremmende kjent ut for mange.

Så, hvor starter man for å få bukt med disse utfordringene i kommunal sektor? Her tror jeg revisjonen er en viktig del av løsningen. Manglene og utfordringene må synliggjøres hvis de skal kunne håndteres, men har revisor den nødvendige kompetansen til å revidere kommunens cybersikkerhet og beredskap? Det kreves en viss grad av teknisk innsikt for å trenge igjennom, kartlegge og vurdere tilstanden på vanlige problemområder som synlighet, sporbarhet, forebyggende sikkerhetstiltak og evnen til å oppdage og håndtere sikkerhetshendelser.

Manglene og utfordringene må synliggjøres hvis de skal kunne håndteres, ...

Stadig flere virksomheter gjennomfører ulike former for sikkerhetstesting for å avdekke sårbarheter og avvik, som regel ved hjelp av innleid kompetanse. Det kan være et godt tilskudd for å gjøre opp status en gang iblant, og spesielt hvis det har gått lang tid siden sist. Jevnlig sikkerhetstesting egner seg godt til å avdekke avdrift og manglende etterlevelse av rutiner, prosedyrer og god praksis, men man ser kun et øyeblikksbilde av tilstanden, og dersom virksomheten mangler nødvendig kompetanse eller styring til å etterse tidsriktig håndtering av identifiserte avvik, kan testingen fort vise seg å ha vært forgjeves. I tillegg kan nye avvik manifestere seg dagen etter, så det er definitivt et bedre revisjonsredskap enn sikkerhetstiltak.

Mens revisjon av cyberhygiene og adressering av teknisk gjeld gjennom metoder som sikkerhetstesting kan virke som det åpenbare utgangspunktet for en revisjon, vil jeg hevde at det er et annet område som er vel så viktig, og det er sikkerhetsstyringen. Finnes den? Har kommunen en sikkerhetsleder? Hva med datasikkerhetsleder? Hvor i organisasjonen hører de hjemme? Er bukken satt til å passe havresekken? Hva er dokumentert? Hvor og hvordan er sikkerhetsarbeidet forankret? Dekker sikkerhetsstyringen kun IT-avdelingens domene, eller er vann- og avløpsetatens omfattende OT-systemer også underlagt den samme kontrollen? Dekker beredskapsplanene cybersikkerhetshendelser også? Har man nødvendig kompetanse til å gjennomføre risikovurderinger, styre leverandører, drive sikrings- og beredskapsarbeid og ta velinformerte teknologivalg? Og, ikke minst, rapporteres det oppover i organisasjonen, slik at ledelsen får informasjon som er nødvendig for å ta velinformerte valg og styre virksomheten på en god måte?

Mens revisjon av cyberhygiene og adressering av teknisk gjeld gjennom metoder som sikkerhetstesting kan virke som det åpenbare utgangspunktet for en revisjon, vil jeg hevde at det er et annet område som er vel så viktig, og det er sikkerhetsstyringen.

Sikkerhetsstyring høres dyrt og unødvendig ut i en presset kommuneøkonomi. Kan det virkelig være nødvendig? Absolutt, og jeg vil til og med gå så langt som å si at langsiktig sikkerhetsarbeid ikke er mulig uten god sikkerhetsstyring. Sikkerhetsstyringen danner grunnlaget for alt forebyggende sikkerhetsarbeid i kommunen, inkludert cybersikkerhet, og skal sørge for at kommunen og dens ledelse har informasjonsgrunnlaget som trengs for langsiktig sikring av verdier på en god nok måte.

Sikkerhetsstyringen danner grunnlaget for alt forebyggende sikkerhetsarbeid i kommunen, inkludert cybersikkerhet, ...

Viktigheten av dette understrekes i Sikkerhetsloven, som trådte i kraft i ny versjon 1. januar 2019. Den gjelder for alle kommunale organer, og kapittel 4 har en rekke bestemmelser om generelle krav til forebyggende sikkerhetsarbeid som er spesielt interessante for oss: Virksomhetens leder har ansvaret for det forebyggende sikkerhetsarbeidet, og forebyggende sikkerhetsarbeid skal være en del av virksomhetens styringssystem.

Sikkerhetstilstanden i virksomheten skal regelmessig kontrolleres. Videre skal virksomheten sørge for at ansatte, leverandører og oppdragstakere har tilstrekkelig risiko- og sikkerhetsforståelse. Virksomheten skal regelmessig gjennomføre risikovurderinger, som igjen skal danne grunnlag for iverksetting av forebyggende sikkerhetstiltak. Virksomheten skal gjennomføre de forebyggende sikkerhetstiltakene som må til for å gi et forsvarlig sikkerhetsnivå og redusere risikoen knyttet til sikkerhetstruende virksomhet, samt regelmessig gjennomføre øvelser for å vurdere effekten av iverksatte sikkerhetstiltak. Vurderinger av risiko og planlagte og gjennomførte sikkerhetstiltak skal dokumenteres. Til sist pålegges det også en plikt til å varsle om sikkerhetsbrudd eller sikkerhetstruende virksomhet.

Det er ingen tvil om at mangelfull sikkerhetsstyring fører til raskere avdrift og mer alvorlige avvik, og er man en virksomhet som driver med alt, starter sikkerhetsarbeidet med en planmessig og forankret tilnærming som sikrer langsiktighet og god ressursutnyttelse.

Jeg har håndtert mange sikkerhetshendelser, men kan ikke huske noen gang å ha bistått en virksomhet med god sikkerhetsstyring og riktig forankring.

Det er her, godt hjulpet av regulatoriske krav, at revisjonsoppdraget burde starte. Hjelp kommunene, de viktigste og merkeligste virksomhetene vi har, med å sette søkelys på cyberrisiko. Jeg har håndtert mange sikkerhetshendelser, men kan ikke huske noen gang å ha bistått en virksomhet med god sikkerhetsstyring og riktig forankring.

Chris Culina har jobbet med håndtering og analyse av sikkerhetshendelser for en rekke virksomheter i offentlig og privat sektor. Han har opparbeidet seg sjelden innsikt i statlige trusselaktører og digital spionasje, og har bygget opp og ledet tekniske og taktiske cybersikkerhetskapabiliteter, bl.a. i BDO og KPMG. Nå driver han egen virksomhet innen cybersikkerhet og beredskap, og bistår virksomheter med rådgivning og ledelse av hendelseshåndtering.

Lenke til Kommunerevisoren nr. 4/2021:

https://www.nkrf.no/kommunerevisoren/2021/4

Denne artikkelen ble publisert i Kommunerevisoren nr. 4/2021