Magma
21.04.2020
SAMMENDRAG
Formålet med artikkelen er å formidle hvilke cybertrusler som dominerer, og hvordan trusselbildet kommuniseres og bør kommuniseres for å gi bedre grunnlag for styring av cyberrisiko. Artikkelen presenterer en definisjon av cyberrisiko og går gjennom aktuelle trusselvurderinger for norske virksomheter. Den anvender teori om kjente og ukjente risikoer og
INNLEDNING
Samfunnet går fra analogt til digitalt på mange arenaer. Dette gjelder blant annet kjøp og salg av tjenester, offentlig administrasjon, kommunikasjon og kriminalitet. Digitalisering, kunstig intelligens, maskinlæring, smarte løsninger, skytjenester, tingenes internett og stordata skal gi utallige muligheter for økt innovasjon, effektivitet og velferd.
Medaljens bakside er sårbarheter knyttet til teknologi og bruk. Hver gang en ny digital løsning tas i bruk, manifesteres tilhørende risiko. Selv om digitaliseringen kan være en døgnflue, «noe man må skrive om fort, før det blir gammeldags igjen» (Andersen & Sannes, 2017, s. 18), har utfordringene knyttet til cyberrisikoer kommet for å bli. Uønskede cyberhendelser har et bredt spekter og innebærer alt fra nettverksskanninger og datainnbrudd som ikke blir avdekket, til e-post med
presenterer en modell for hvordan kommunikasjon og åpenhet om risiko kan forstås og bidra til økt situasjonsforståelse. Trusselvurderingene er hentet fra fire myndighetsaktører og to organisasjoner. Analysen viser de mest framtredende cybertruslene og slår fast at cyberrisiko også blir viet betydelig oppmerksomhet i de generelle trusselvurderingene.
sensitiv informasjon sendt til feil adresse og omfattende løsepengevirus.
Når «alt skal ha en app» og «alle går over i skyen», følger det med nye sårbarheter og risikoer. Innsamling, lagring, bearbeiding og tilgjengeliggjøring av informasjon er sjelden risikofritt. Da Rema 1000 ønsket å samle og behandle kunders kontaktinformasjon, kjøpsvaner og lokasjon i appen Æ, var det en risiko for at informasjonen kunne komme på avveier. Kort tid etter lanseringen av Æ meldte en forbruker at kundebasen lå åpent tilgjengelig (Gundersen, 2017). Myndigheter og forbrukere forutsetter at sikkerhet er ivaretatt. Dette, kombinert med virksomheters bruk og avhengighet av digitale arbeidsverktøy, kommunikasjonskanaler og tjenester, fordrer at tilhørende cyberrisiko blir en naturlig del av virksomheters risikostyring.Styring av cyberrisiko kan være krevende fordi risikoene ikke er observerbare og håndfaste som de fleste risikoer i det fysiske rom. Like fullt trengs kompetanse om risiko og kunnskap om trusler for å håndtere risikoen. En forutsetning for å håndtere risiko er informasjon. Gjennomgang av relevant informasjon kan betegnes som første ledd i risikostyring (Aven & Renn, 2010, s. 121). Én lett tilgjengelig kilde til informasjon om cyberrisiko er myndighetenes trusselvurderinger og risikorapporter.
Formålet med artikkelen er å formidle hvilke cybertrusler som dominerer, og hvordan trusselbildet kommuniseres i rapportene. I artikkelen blir det bygget videre på teori om kjente og ukjente risikoer og utviklet en modell for å illustrere hvordan informasjonsutveksling og kommunikasjon kan redusere det ukjente og gi bedre grunnlag for styring av cyberrisiko.
KJENTE OG UKJENTE RISIKOER
Kategoriseringen av hendelser som kjente kjente, kjente ukjente eller ukjente ukjente ble lagt merke til under en pressekonferanse med USAs daværende forsvarsminister, Donald Rumsfeld, i 2002. Temaet var krigen i Irak. Ordleggingen har fått både pepper og skryt. Han formulerte at det eksisterer kjente kjente - ting vi vet at vi vet. Det eksisterer kjente ukjente - ting vi vet at vi ikke vet. Sist, men ikke minst, eksisterer ukjente ukjente - ting vi ikke vet at vi ikke vet. Det er ifølge Rumsfeld sistnevnte kategori vi bør bekymre oss for (Rumsfeld, 2002). I denne kategorien faller hendelsene vi ofte kaller sorte svaner. Dette er hendelser som er utenkelige for de fleste før de inntreffer, som massakren på Utøya 22. juli 2011. Det har senere blitt argumentert for at ukjente kjente - ting vi ikke vet at vi vet, beskrevet som underbevisstheten - også bør inkluderes (iek, 2006, s. 137). De fire kategoriene framstilles ofte som et vindu med fire ruter. Selv om modellen fort ble populær, har flere påpekt utfordringer - blant annet hvorvidt kjente ukjente og ukjente kjente kan eksistere samtidig, eller om den ene leder til den andre (Marshall, Ojiako, Wang, Lin, & Chipulu, 2019, s. 647).
På bakgrunn av dette foreslås en modell (figur 1) som illustrerer hvordan to parter sammen har et bilde av en situasjon, et fenomen, en risiko eller lignende. Modellen skal bidra til å forklare samspillet mellom to parter som har mulighet for informasjonsutveksling. Feltene kan behandles som vinduer hvor vinduets størrelse angir andelen kjent og ukjent kunnskap av totalbildet.
Informasjonsutveksling kan være ett tiltak for å utvide det kjente vinduets størrelse samtidig som det helt eller delvis ukjente reduseres. Dette bygger på grunntanken om at læring er mulig. Siden partene har ulik kunnskap om totalbildet (feltene for det kjente og ukjente), er problemstillingene knyttet til om alle fire felt kan eksistere samtidig, mindre relevant.
Inkluderingen av hva som er kjent og ukjent for en motpart, kan minne om Joharis vindu. Joharis vindu viser feltene (og trekkene) åpen, skjult, blind og ukjent (Luft & Ingham, 1955, referert i Zahl-Begnum & Begnum, 1990, s. 140). Trekkene beskriver ulike sider ved vår kommunikasjon. Et stort åpent felt vil gi bedre kommunikasjon og mindre sjanse for misforståelse og feiltolkninger. Jo mindre åpne vi er, desto fattigere blir kommunikasjonen, og den stopper gjerne opp etter kort tid (Myrseth, 2013).
Videre i artikkelen benyttes begrepene kjent, fordekt og ukjent, som i figur 1. Fordekt representerer det som er kjent for den ene og ukjent for den andre. Eksempelvis kan en sårbarhet i eget IT-system være kunnskap som er kjent for den ene (A) og ukjent for den andre (B).
UTVALG OG METODE
Datamaterialet består av totalt sju rapporter (tabell 1) som omhandler trusselbilde og risikovurdering. Alle rapportene som analyseres, er ugraderte, gratis og offentlig tilgjengelig.
Norske myndigheter utgir fire trussel- og risikovurderinger årlig. Rapportene utgis av Etterretningstjenesten (E-tjenesten), Politiets sikkerhetstjeneste (PST), Direktoratet for samfunnssikkerhet og beredskap (DSB) og Nasjonal sikkerhetsmyndighet (NSM). Vurderingene fra E-tjenesten, PST og NSM utgis årlig. DSB utgir nye krisescenarioer årlig og har så langt utgitt samlerappor-ter i 2014 og 2019. I DSBs samlerapport er kun de generelle delene og scenarioer om cybertrusler analysert.
Myndighetenes trusselvurderinger er supplert med tre rapporter fra andre aktører med særskilt satsing på blant annet informasjonssikkerhet og cyberkriminalitet. Trusler og trender utgis årlig av Norsk senter for informasjonssikring (NorSIS) og retter seg spesielt mot små og mellomstore virksomheter og privatpersoner. Næringslivets sikkerhetsråd (NSR) har gitt ut to relevante rapporter som bygger på undersøkelser gjennomført i norske virksomheter og bidragsytere som Forsvarets forskningsinstitutt, Visma og Telenor.
Mørketallsundersøkelsen har blitt utgitt i en årrekke og omhandler temaene informasjonssikkerhet, personvern og datakriminalitet. Hybridundersøkelsen ble utgitt for første gang i 2019. Hybride angrep defineres ved at aktørene har et større mål, at flere ulike virkemidler brukes samtidig, og at det er vanskelig å se dem i sammenheng. Eksempler er cyberspionasje, påvirkningsoperasjoner, sabotasje og terrorisme (NSR, 2019a, s. 6). Det er ventet at hybride angrep vil ta i bruk digitale/teknologiske virkemidler. Artikkelen skiller derfor ikke spesielt mellom cyberangrep og hybride angrep utover at det er spesifisert når det snakkes spesifikt om funn fra hybridundersøkelsen.
Det er gjort en kvalitativ innholdsanalyse av alle rapportene. Rapportene er i tillegg gjennomgått for å ide
Gå til medietINNLEDNING
Samfunnet går fra analogt til digitalt på mange arenaer. Dette gjelder blant annet kjøp og salg av tjenester, offentlig administrasjon, kommunikasjon og kriminalitet. Digitalisering, kunstig intelligens, maskinlæring, smarte løsninger, skytjenester, tingenes internett og stordata skal gi utallige muligheter for økt innovasjon, effektivitet og velferd.
Medaljens bakside er sårbarheter knyttet til teknologi og bruk. Hver gang en ny digital løsning tas i bruk, manifesteres tilhørende risiko. Selv om digitaliseringen kan være en døgnflue, «noe man må skrive om fort, før det blir gammeldags igjen» (Andersen & Sannes, 2017, s. 18), har utfordringene knyttet til cyberrisikoer kommet for å bli. Uønskede cyberhendelser har et bredt spekter og innebærer alt fra nettverksskanninger og datainnbrudd som ikke blir avdekket, til e-post med
presenterer en modell for hvordan kommunikasjon og åpenhet om risiko kan forstås og bidra til økt situasjonsforståelse. Trusselvurderingene er hentet fra fire myndighetsaktører og to organisasjoner. Analysen viser de mest framtredende cybertruslene og slår fast at cyberrisiko også blir viet betydelig oppmerksomhet i de generelle trusselvurderingene.
sensitiv informasjon sendt til feil adresse og omfattende løsepengevirus.
Når «alt skal ha en app» og «alle går over i skyen», følger det med nye sårbarheter og risikoer. Innsamling, lagring, bearbeiding og tilgjengeliggjøring av informasjon er sjelden risikofritt. Da Rema 1000 ønsket å samle og behandle kunders kontaktinformasjon, kjøpsvaner og lokasjon i appen Æ, var det en risiko for at informasjonen kunne komme på avveier. Kort tid etter lanseringen av Æ meldte en forbruker at kundebasen lå åpent tilgjengelig (Gundersen, 2017). Myndigheter og forbrukere forutsetter at sikkerhet er ivaretatt. Dette, kombinert med virksomheters bruk og avhengighet av digitale arbeidsverktøy, kommunikasjonskanaler og tjenester, fordrer at tilhørende cyberrisiko blir en naturlig del av virksomheters risikostyring.Styring av cyberrisiko kan være krevende fordi risikoene ikke er observerbare og håndfaste som de fleste risikoer i det fysiske rom. Like fullt trengs kompetanse om risiko og kunnskap om trusler for å håndtere risikoen. En forutsetning for å håndtere risiko er informasjon. Gjennomgang av relevant informasjon kan betegnes som første ledd i risikostyring (Aven & Renn, 2010, s. 121). Én lett tilgjengelig kilde til informasjon om cyberrisiko er myndighetenes trusselvurderinger og risikorapporter.
Formålet med artikkelen er å formidle hvilke cybertrusler som dominerer, og hvordan trusselbildet kommuniseres i rapportene. I artikkelen blir det bygget videre på teori om kjente og ukjente risikoer og utviklet en modell for å illustrere hvordan informasjonsutveksling og kommunikasjon kan redusere det ukjente og gi bedre grunnlag for styring av cyberrisiko.
KJENTE OG UKJENTE RISIKOER
Kategoriseringen av hendelser som kjente kjente, kjente ukjente eller ukjente ukjente ble lagt merke til under en pressekonferanse med USAs daværende forsvarsminister, Donald Rumsfeld, i 2002. Temaet var krigen i Irak. Ordleggingen har fått både pepper og skryt. Han formulerte at det eksisterer kjente kjente - ting vi vet at vi vet. Det eksisterer kjente ukjente - ting vi vet at vi ikke vet. Sist, men ikke minst, eksisterer ukjente ukjente - ting vi ikke vet at vi ikke vet. Det er ifølge Rumsfeld sistnevnte kategori vi bør bekymre oss for (Rumsfeld, 2002). I denne kategorien faller hendelsene vi ofte kaller sorte svaner. Dette er hendelser som er utenkelige for de fleste før de inntreffer, som massakren på Utøya 22. juli 2011. Det har senere blitt argumentert for at ukjente kjente - ting vi ikke vet at vi vet, beskrevet som underbevisstheten - også bør inkluderes (iek, 2006, s. 137). De fire kategoriene framstilles ofte som et vindu med fire ruter. Selv om modellen fort ble populær, har flere påpekt utfordringer - blant annet hvorvidt kjente ukjente og ukjente kjente kan eksistere samtidig, eller om den ene leder til den andre (Marshall, Ojiako, Wang, Lin, & Chipulu, 2019, s. 647).
På bakgrunn av dette foreslås en modell (figur 1) som illustrerer hvordan to parter sammen har et bilde av en situasjon, et fenomen, en risiko eller lignende. Modellen skal bidra til å forklare samspillet mellom to parter som har mulighet for informasjonsutveksling. Feltene kan behandles som vinduer hvor vinduets størrelse angir andelen kjent og ukjent kunnskap av totalbildet.
Informasjonsutveksling kan være ett tiltak for å utvide det kjente vinduets størrelse samtidig som det helt eller delvis ukjente reduseres. Dette bygger på grunntanken om at læring er mulig. Siden partene har ulik kunnskap om totalbildet (feltene for det kjente og ukjente), er problemstillingene knyttet til om alle fire felt kan eksistere samtidig, mindre relevant.
Inkluderingen av hva som er kjent og ukjent for en motpart, kan minne om Joharis vindu. Joharis vindu viser feltene (og trekkene) åpen, skjult, blind og ukjent (Luft & Ingham, 1955, referert i Zahl-Begnum & Begnum, 1990, s. 140). Trekkene beskriver ulike sider ved vår kommunikasjon. Et stort åpent felt vil gi bedre kommunikasjon og mindre sjanse for misforståelse og feiltolkninger. Jo mindre åpne vi er, desto fattigere blir kommunikasjonen, og den stopper gjerne opp etter kort tid (Myrseth, 2013).
Videre i artikkelen benyttes begrepene kjent, fordekt og ukjent, som i figur 1. Fordekt representerer det som er kjent for den ene og ukjent for den andre. Eksempelvis kan en sårbarhet i eget IT-system være kunnskap som er kjent for den ene (A) og ukjent for den andre (B).
UTVALG OG METODE
Datamaterialet består av totalt sju rapporter (tabell 1) som omhandler trusselbilde og risikovurdering. Alle rapportene som analyseres, er ugraderte, gratis og offentlig tilgjengelig.
Norske myndigheter utgir fire trussel- og risikovurderinger årlig. Rapportene utgis av Etterretningstjenesten (E-tjenesten), Politiets sikkerhetstjeneste (PST), Direktoratet for samfunnssikkerhet og beredskap (DSB) og Nasjonal sikkerhetsmyndighet (NSM). Vurderingene fra E-tjenesten, PST og NSM utgis årlig. DSB utgir nye krisescenarioer årlig og har så langt utgitt samlerappor-ter i 2014 og 2019. I DSBs samlerapport er kun de generelle delene og scenarioer om cybertrusler analysert.
Myndighetenes trusselvurderinger er supplert med tre rapporter fra andre aktører med særskilt satsing på blant annet informasjonssikkerhet og cyberkriminalitet. Trusler og trender utgis årlig av Norsk senter for informasjonssikring (NorSIS) og retter seg spesielt mot små og mellomstore virksomheter og privatpersoner. Næringslivets sikkerhetsråd (NSR) har gitt ut to relevante rapporter som bygger på undersøkelser gjennomført i norske virksomheter og bidragsytere som Forsvarets forskningsinstitutt, Visma og Telenor.
Mørketallsundersøkelsen har blitt utgitt i en årrekke og omhandler temaene informasjonssikkerhet, personvern og datakriminalitet. Hybridundersøkelsen ble utgitt for første gang i 2019. Hybride angrep defineres ved at aktørene har et større mål, at flere ulike virkemidler brukes samtidig, og at det er vanskelig å se dem i sammenheng. Eksempler er cyberspionasje, påvirkningsoperasjoner, sabotasje og terrorisme (NSR, 2019a, s. 6). Det er ventet at hybride angrep vil ta i bruk digitale/teknologiske virkemidler. Artikkelen skiller derfor ikke spesielt mellom cyberangrep og hybride angrep utover at det er spesifisert når det snakkes spesifikt om funn fra hybridundersøkelsen.
Det er gjort en kvalitativ innholdsanalyse av alle rapportene. Rapportene er i tillegg gjennomgått for å ide