- NSM ser at norske virksomheter blir stadig mer oppmerksomme på sikkerhetsutfordringer ved bruk av IKT. Selv om flere store globale dataangrep får mye oppmerksomhet, er det langt mellom uønskede IKT-hendelser som får alvorlige konsekvenser for virksomheter i Norge. Dette er en positiv trend vi kan ta med oss, sier assisterende direktør Annette Tjaberg i NSM.

Rapporten henvender seg til ledere og ansatte med sikkerhetsoppgaver i alle sektorer, og begrepet helhetlig betyr at rapporten omhandler problemstillinger knyttet til individer, virksomheter og samfunnet som helhet.

IKT-risikobildet er i stadig endring som følge av samfunns- og teknologiutviklingen. I rapporten ser NSM på trender i trusselbildet og endringer i sårbarhetsbildet som følge av digitalisering og teknologiutvikling.

- Det er, og vil være, svært krevende for virksomheter å holde oversikt over sårbarheter gjennom hele verdikjeden. Utviklingen der «alt henger sammen med alt» er en strukturell samfunnsmessig sårbarhet på flere måter. Virksomhetene er avhengige av digitale tjenester levert av andre for egen produksjon eller aktivitet. Sårbarheter og feil forplanter seg raskt mellom leddene i verdikjeden og kan få uante og uforutsette konsekvenser, sier Tjaberg.

NSM ser et økende gap mellom behov for og tilgjengelighet av sikkerhetskompetanse, noe som utgjør en nasjonal sårbarhet. Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan bøte på denne utfordringen og bidra til bedre sikring av virksomheters nettverk og verdier.

- Tjenesteutsetting, inkludert skytjenester, krever gode risikovurderinger og høy bestillerkompetanse innenfor en rekke områder. NSM ser at der sårbarheter lukkes, åpnes det ofte nye. NSM anbefaler likevel bruk av denne typen tjenester, forutsatt at det gjøres en grundig risikovurdering, sier Tjaberg.

Rapporten inneholder flere tiltak NSM mener virksomheter bør vurdere. NSM lanserte nylig Grunnprinsipper for IKT-sikkerhet, som er et av dem, mens sikring av e-post og rapportering er andre.

- Vi oppfordrer alle virksomheter til å rapportere om hendelser. Dette vil legge til rette for læring i egen virksomhet og hos andre, fordi flere virksomheter blir bedre til å forebygge, avdekke og håndtere hendelser, avslutter Tjaberg.