• Administrerende direktør Berit Svendsen i Telenor ønsker seg et bedre samarbeid mellom offentlig sektor og næringslivet for å kunne bedre datasikkerheten i Norge. Her avbildet i et av Telenors sikkerhetssenter sammen med sikkerhetsrådgiver Rune Pilskog.

    FOTO: Signe Dons

Norske bedrifter vegrer seg for å anmelde angrep:

Én prosent av datakriminaliteten blir anmeldt

Telenor er et av selskapene som nesten daglig rammes av dataangrep fra ulike aktører. De mest alvorlige dataangrepene er så sofistikerte at de aldri blir oppdaget.

Administrerende direktør Berit Svendsen i Telenor leter i vesken. Hun har glemt nøkkelkortet og kommer seg ikke forbi resepsjonen. Selv toppsjefen må følge sikkerhetsrutinene for å få adgang til huset.

Aftenposten skrev tirsdag om økningen i IKT-kriminalitet hos norske bedrifter. Der tjenestenektangrep kan beskrives som rent hærverk, går de mest avanserte kriminelle stille i dørene.

- Fortsatt er det mange bedrifter som ikke tar informasjonssikkerhet på alvor, sier fungerende direktør i Næringslivets sikkerhetsråd (NSR), Arne Røed Simonsen.

NSRs nyeste mørketallundersøkelse fra 2012 konkluderte med at det er store sprik i sikkerhetshendelser som faktisk skjer og hva som blir anmeldt. 45.000 virksomheter ble utsatt for datakrimhendelser i 2011, men under én prosent av dem ble anmeldt.

Den viktigste årsaken til at dataangrep ikke ble anmeldt var virksomheten så på hendelsen som ubetydelig.

- Vi anmeldte både DDoS-angrepet i sommer og industrispionasjen vi ble utsatt for i fjor, sier Svendsen, vel inne i bygget noen minutter senere.

Ukentlige angrep

Som Norges største aktør på internett og mobil er Telenor et attraktivt mål for en rekke aktører med skumle hensikter. Både kundedata, bedriftskritisk informasjon kan hentes ut via lederes PC’er og infrastruktur kan lammes og potensielt gjøre stor skade.

- Alle er under angrep. Det finnes to typer bedrifter: de som vet om at de er under angrep og de som ikke har oppdaget det ennå. Hvis en 17-åring kan ramme de største norske bedriftene, er det skummelt å tenke på hva en bedrift, organisasjon eller nasjon kan få til, sier Svendsen.

Nesten daglig blir Telenor angrepet av alt fra enkeltindivider til avanserte aktører. Ukentlig kommer angrep som er så alvorlige at de meldes til sjefen. Nå ansetter bedriften enda flere som skal overvåke sikkerhetsbildet.

- Disse angrepene kan pågå over lang tid, uten at noen i bedriften merker noe til det, sier rådgiver i Telenors sikkerhetsavdeling, Rune Pilskog. Han har rundt 70 kolleger i Telenor og hos underleverandørene Evry og Accenture som jobber med it-sikkerhet og skal snart få enda flere. Selskapet har syv nyopprettede stillinger som får som hovedoppgave å finne og kaste ut ubudne gjester.

Trenger fagkompetansen

Da Svendsen tok ingeniørutdanning ved NTH på 80-tallet, ble det satset knallhardt på å bygge ut en oljeutdanning i Norge som trakk til seg de beste studentene.

Nå ønsker hun seg et tilsvarende løft for IKT-utdanningene. Svendsen mener det er på høy tid at Norge satser så det monner på livet etter oljen.

- Norge har gode fagmiljøer, men vi må utdanne flere og sørge for et samarbeid mellom næringslivet og offentlig sektor. Ved et angrep er det bare en ting som gjelder, å få stoppet det angrepet, da må vi samarbeide på tvers, sier Svendsen.

Janne Hagen forsker på samfunnssikkerhet og beredskap ved Forsvarets forskningsinstitutt og leder NSRs informasjonssikkerhetsutvalg, hvor hun blant annet kommer  med anbefalinger for å bedre sikkerheten til virksomhetene.

- Dersom dataangrepene ikke blir anmeldt, får norske politikere og myndigheter et feil bilde av risikoen, og politiet får heller tildelt ikke nok ressurser til å etterforske denne type kriminalitet, siden det ikke er påvist noe behov eller finnes statistikk, sier hun.

Forskeren forteller at det meste av dagens kriminalitet har en IKT-komponent i seg.

- Denne typen kriminalitet har lav risiko, men stort potensiale for økonomisk uttelling, for eksempel å sende ut spam og phishing-epost, sier Hagen.

Angriper smarttelefoner

FOTO: Dan Petter Neegaard

Jan Arild Audestad var ansatt i Telenor i mange år og er professor emeritus ved Høgskolen i Gjøvik og NTNU. Han mener det er vanskelig å gi et entydig svar på om  datasikkerheten i norske bedrifter er god nok.

- Datasikkerheten varierer kollossalt. Vi vet at den er relativt dårlig hos små bedrifter, men der stopper det, sier han.

Audestad opplever at kriminelle finner nye angrepsmetoder mot datasystemer, særlig på smarttelefoner.

- Skal du gjøre virkelig stor skade må du ha mye kunnskap. Den er det gjerne profesjonelle hackere som besitter. De er det vanskelig å finne ut hvor og når de angreper, ikke minst hva de angriper med, sier han.

Nytt sårbarhetsutvalg

Regjeringen nedsatte nyliget sårbarhetsutvalg som skal beskrive de digitale sårbarheter som Norge står overfor i dag og i nærmeste fremtid, og vurdere hvilke konsekvenser dette kan få for enkeltmennesker, næringsliv og samfunnssikkerheten.

- Utvalget er første skritt på veien mot bedre IT-sikkerhet, sier justispolitisk talsmann i Høyre, Anders B. Werp.

Werp ønsker i likhet med Svendsen en tydeligere ansvarsfordeling mellom de ulike sektorene.

- Dagens ansvarsfordeling mellom militær og sivil sektor må gjennomgås. Det må ikke herske tvil om hvem som «eier» krisen når alvorlige hendelser inntreffer i det digitale rom. Det betyr også at samarbeidet mellom privat og offentlig sektor må styrkes, for å ha rask og god tilgang på informasjon, kompetanse og kapasitet.

Les også

Siste fra Innenriks

Siste nytt