Áætlaður heildarkostnaður vegna netglæpa verður um 9,2 billjónir Bandaríkjadala árið 2024 samkvæmt Statista. Ef netglæpir væru hagkerfi þá væri það þriðja stærsta hagkerfi heimsins á eftir Kína og Bandaríkjunum. Miðað við vöxt síðustu ára má ætla að umfang netglæpa fari fram úr kínverska hagkerfinu í byrjun næsta áratugar og verði orðið stærsta „hagkerfið“ eftir rétt rúm tíu ár. Með öðrum orðum þá eru netglæpir ein stærsta áskorunin sem samfélög heimsins standa frammi fyrir. Vandamálið virðist vera stigvaxandi frekar en að það hafi tekist að koma böndum á glæpina. Stjórnendur og starfsmenn fyrirtækja og stofnana verða að vera vakandi fyrir hættunni. Netöryggi á að vera mikilvægur hluti áhættustjórnunar. Hættan er mest þegar andvaraleysi einkennir stjórnun og brugðist er við þegar skaðinn er skeður. Afleiðingarnar geta verið dýrkeyptar eins og ofangreindar tölur gefa okkur vísbendingu um.
Stormviðvörun
Nýjar reglugerðir á borð við DORA og NIS2 hafa vakið athygli á Íslandi enda undirstrika þau skýr viðmið til að tryggja öryggi í rafrænu umhverfi fyrirtækja. Nýjustu reglugerðirnar í Evrópu, DORA (Digital Operational Resilience Act) og NIS2 (Network and Information Security Directive), skapa viðmið um hvernig fyrirtæki þurfa að verja sig gegn netógnum. Þessar reglugerðir krefjast þess að fyrirtæki þrói skýrar viðbragðsáætlanir og viðhaldi öryggisstöðlum til að draga úr áhrifum netárása. Sérstaklega er áhersla lögð á ábyrgð stjórnenda, þar sem þeim er skylt að sjá til þess að fyrirtæki og stofnanir uppfylli skilyrði um viðbrögð og varnir gegn netárásum. Þetta er stormviðvörun frá Evrópu!
Við hjá Akademias í samstarfi við sérfræðinga hjá LOGOS, Deloitte, Syndis, Defend Iceland og CERT-IS ákváðum að taka stormviðvörun Evrópusambandsins alvarlega og undirbúa íslenska stjórnendur og sérfræðinga undir kröfur nýrra reglugerða. Við bjóðum upp á námskeiðið: Leiðtogi í stafrænu öryggi sem tekur á helstu áskorunum fyrirtækja og stofnana varðandi netöryggismál. Við viljum að íslenskir stjórnendur og stjórnarmenn séu meðvitaðir um hætturnar sem fylgja netárásum og geti bæði undirbúið sig fyrir storminn og brugðist við með skynsamlegum hætti. Bílaumboðið Brimborg lenti í netárás 29. ágúst 2023 og mun forstjórinn, Egill Jóhannsson, m.a. fara yfir lærdóminn af þeirri reynslu og 100 daga úrbótaverkefni þar sem ýmislegt var gert til að bæta gagnaöryggi hjá fyrirtækinu.
iðað við vöxt síðustu ára má ætla að umfang netglæpa fari fram úr kínverska hagkerfinu í byrjun næsta áratugar og verði orðið stærsta „hagkerfið“ eftir rétt rúm tíu ár.
Eins og starfsmenn Brimborgar upplifðu þá getur alvarlegur netstormur verið hættulegur og það er þess vegna betra að gera 100 daga umbótaverkefnið fyrir storminn en eftir hann.
Ábyrgð stjórnar og stjórnenda
Stjórnendur bera ábyrgð á að móta og samþykkja öryggisstefnu fyrir fyrirtækið, sem er í samræmi við kröfur NIS2 og DORA. Þetta felur í sér að bæði stjórn og framkvæmdastjórn þurfa að samþykkja stefnuna og fylgja eftir framkvæmd hennar. Reglugerðirnar krefjast þess að stjórnendur geri formlegar áætlanir fyrir áhættumat og áhættustjórnun. Þetta getur falið í sér formlega ferla til að bera kennsl á veika hlekki í netkerfum, ákvarðanatökuferla á grundvelli greininga og viðhalda skrá yfir áhættuþætti. Stjórnendur verða að stuðla að netöryggismenningu innan fyrirtækisins, þar sem allir starfsmenn eru meðvitaðir um netöryggishættur og hvernig best er að bregðast við þeim. Þetta getur falið í sér þjálfunaráætlanir, vitundarvakningu og reglubundnar netöryggisæfingar fyrir allt starfsfólk.
Fyrirtæki sem falla undir NIS2 verða að viðhalda stöðugu eftirliti með öryggi upplýsinga- og netkerfa sinna. Stjórnendur þurfa að hafa yfirsýn yfir þessa verkferla, sjá til þess að öryggisáætlanir séu uppfærðar reglulega og taka ákvarðanir til að bregðast við öryggisógnunum eins fljótt og hægt er. Samkvæmt NIS2 geta stjórnendur borið persónulega ábyrgð á því að tryggja að fyrirtækið fylgi reglugerðinni. Þetta felur í sér að stjórnendur gætu orðið fyrir persónulegum afleiðingum ef fyrirtækið vanrækir skyldur sínar, eins og t.d fjársektum eða öðrum viðurlögum. Ábyrgð stjórnenda og stjórna á netöryggismálum er þess vegna að aukast verulega með nýjum reglugerðum og þar af leiðandi ekki hægt lengur að loka augunum og vona það besta. Hugsanlega er skynsamlegt að það væri hlutverk undirnefndar stjórnar að stýra þessu verkefni.
Þjóðaröryggismál
Hrafnkell V. Gíslason, forstjóri Fjarskiptastofu, sagði á Netöryggisráðstefna Fjarskiptastofu í október að netöryggi á Íslandi væri þjóðaröryggismál. Evróputilskipun um netöryggi (NIS2) tók gildi í aðildarríkjum Evrópusambandsins 18. október síðastliðinn og Hrafnkell benti á í sínum fyrirlestri að innleiðingu á Íslandi yrði lokið árið 2026. Stór hluti þeirra fyrirtækja og stofnana sem falla undir NIS2 eru með ófullnægjandi netvarnir samkvæmt greiningu Fjarskiptastofu.
Engu að síður gæti kostnaður verið talinn í tugum ef ekki hundruðum milljóna fyrir íslensk fyrirtæki ef þau lenda í netárás.
Þó að öll íslensk fyrirtæki falli ekki undir tilskipanir Evrópusambandsins verða þau engu að síður að huga að netöryggismálum. Bílaumboðið Brimborg fellur ekki undir NIS2 en reynslan hefur sýnt að skaðinn er engu minni þó að það sé kannski ekki þjóðaröryggismál. Þó þarf að hafa í huga að árás og aðgengi að einu fyrirtæki getur opnað dyr að öðrum fyrirtækjum og stofnunum fyrir netþrjóta. Þannig er það ekki einkamál einstakra fyrirtækja og stofnana hvort þau sinni netöryggismálum eða ekki, það er mikilvægt fyrir samfélagið að allir vinni að því að koma í veg fyrir netárásir.
Kostnaðarsöm áhætta
Samkvæmt greiningu World Economic Forum er meðalkostnaður fyrirtækis eða stofnunar á heimsvísu vegna netárásar um 4,9 milljónir dala, eða 671 milljón króna. Það er sjálfsagt hærri tala en íslensk fyrirtæki standa frammi fyrir þar sem íslensk fyrirtæki og stofnanir eru að jafnaði litlar. Engu að síður gæti kostnaður verið talinn í tugum ef ekki hundruðum milljóna fyrir íslensk fyrirtæki ef þau lenda í netárás. Hrafnkell V. Gíslason, forstjóri Fjarskiptastofu, nefndi að nágrannaþjóðir okkar greini um 100 ATP tilvik á ári, en það eru árásir vel skipulagðra hópa sem nota háþróaðar aðgerðir til að komast inn í mikilvæg kerfi, stela upplýsingum og valda tjóni. Það er í raun ekki vitað hversu mörg slík atvik gerast á Íslandi á ári hverju þar sem Fjarskiptastofa hefur ekki upplýsingar um það.
Netöryggi verður að vera órjúfanlegur þáttur í þróun á nettækni og starfsemi á netinu. Annars er kannski best, eins og ágætur maður sagði, að slökkva á netinu.
Við þurfum sem þjóð að taka netöryggi af meiri festu en áður, við þurfum í fyrsta lagi betri upplýsingar og meiri skilning og þekkingu á meðal stjórnenda til þess að vita hvernig við getum og eigum að reyna að fyrirbyggja netárásir og bregðast við þeim.
Samfélagslegt netöryggi
Tæknin er tvíeggjað sverð í þessu samhengi, á meðan netvarnir hafa eflst til muna með hjálp gervigreindarinnar verða netárásarnir jafnframt skaðlegri og erfiðari að eiga við í krafti sömu tækni. Netöryggi verður að vera órjúfanlegur þáttur í þróun á nettækni og starfsemi á netinu. Annars er kannski best, eins og ágætur maður sagði, að slökkva á netinu. Þó að tæknin hafi þróast á skömmum tíma er álíka fjarstæðukennt að slökkva á netinu eins og að lifa án rafmagnsins. Nútímasamfélag á erfitt með að lifa án þeirrar byltingar sem þessi tækni hefur leitt til.
Netárásir eru ekki lengur áhætta sem fyrirtæki geta leyft sér að horfa fram hjá. Þetta snýst ekki einungis um fjárhagslega þáttinn heldur ekki síður orðspor fyrirtækja og áhættu fyrir almenning og samfélagið. Með nýjum reglugerðum eins og DORA og NIS2 hefur Evrópa stigið mikilvægt skref í að tryggja öryggi lykilinnviða og auka ábyrgð fyrirtækja á öryggi gagna og innviða. Fyrirtæki þurfa nú að nýta þessar breytingar sem tækifæri til að byggja upp sterkari varnir, bæði með nýsköpun og aukinni vitund, til að auka stafræna vernd á Íslandi. Stormviðvörunin er gul, að verða appelsínugul, og nú verður ekki setið hjá.
Höfundur er forseti Akademias.
