– Mange virksomheter har på kort tid utvidet sin bruk av skytjenester, hjemmekontor- og fjerntilgangsløsninger for å holde produktiviteten oppe. Det er krevende å opprettholde sikkerhetsnivået når utviklingen går så raskt, med et dynamisk og uoversiktlig sårbarhetsbilde, heter det i rapporten.

Økt risiko for flere typer digitale trusler

Risiko 2021 beskriver blant annet sårbarheter i norske virksomheter, hvordan trusselaktørene kan utnytte dem og hvilke risikoer de medfører.

Dette er noe av sårbarhetene:

• Økt risiko for sosial manipulasjon: Ifølge NSM har pandemien gitt mer rom for sosial manipulasjon. Ulike aktører bruker koronatematikk i svindelforsøk og digitale operasjoner mot norske virksomheter. De forventer også at trenden med phishing, hvor vaksinering er tema, vil fortsette.
• Økende risiko før leverandørkjedeangrep: NSM observerer også at virksomheter lengre nede i verdikjedene rammes av sikkerhetstruende virksomhet, enten som mål i seg selv eller som ledd i å nå mål høyere opp i verdikjedene. Angrep som rammer leverandørkjeder er en økende risiko. Trusselaktørene kan for eksempel utnytte programvare- og tjenesteleverandører for å få innpass i systemene til selskapets kunder. Det er derfor viktig at virksomheter kartlegger sin plass i verdikjeden(e) og jevnlig vurderer egne avhengigheter.
• Passordsikkerhet – en vedvarende utfordring: Manglende oversikt og kontroll på identiteter og tilganger utgjør en sårbarhet for virksomheter. NSM erfarer at en del virksomheter mangler kontroll på brukerkonti. Passordsikkerhet er også en vedvarende utfordring. Ifølge rapporten er sterke passord viktig. NSM mener også det er viktigere å sette gode og sterke passord enn å kreve at brukerne skifter passord ofte. For å redusere sårbarheter knyttet til passord, anbefaler NSM å ta i bruk totrinnsbekreftelse.
• «Skyavhengighet» er en betydelig del av den samlede risikoen: Risiko 2021 påpeker også at virksomheter som skal ta i bruk skyløsninger og tjenester fra datasenter må sette seg godt inn i hvordan dette påvirker den digitale sikkerheten. Det er viktig å gjøre gode verdi- og risikovurderinger i forkant. Summen av norske virksomheters «skyavhengighet» utgjør en betydelig del av den samlede risikoen for samfunnet.

Økt risiko for operasjoner mot samferdsel, helse, høyere utdanning og forskning

NSM vurderer fortsatt at virksomheter innen offentlig forvaltning, forsvars-, petroleums-, ekom- og kraftsektoren er risikoutsatt. Det samme er tilfelle for romvirksomhet, maritim produksjon og teknologi. Det siste året har også risikoen økt innenfor sektorene samferdsel, forskning og høyere utdanning og helse. Dette risikonivået forventes ifølge rapporten å vedvare i 2021.