Når fremmede makter banker på - KPMG Norge
close
Share with your friends

Når fremmede makter banker på

Når fremmede makter banker på

PST advarer næringslivet mot fremmed etterretning. Ti år som sikkerhetsansvarlig i Oljefondet viste Tor Indstøy at trusselen er reell. Nå har han skapt et omfattende sikkerhetsrammeverk for KPMGs kunder.

1000

Kontaktperson

Director

KPMG i Norge

Kontakt

Relatert innhold

Noe av det aller første PSTs trusselvurdering for 2019 nevner, er hvordan fremmede makters etterretningsapparater prøver å bryte seg inn i norske virksomheters datanettverk, på jakt etter sensitiv informasjon og påvirke beslutninger.

PST poengterer at etterretningsoffiserer gjerne kontakter personer uten tilgang til informasjonen de er ute etter, men som inngår i et nettverk av personer som er relevante, eller kan bli det på sikt. Siden Norge er et lite land med små sosiale forskjeller og høy sosial mobilitet, kan nær hvem som helst dermed være et mål.

KPMGs datasenter

Slik angriper de

– Den vanligste, og dessverre også mest effektive, veien inn i datanettverk, går gjennom e-poster med vedlegg inneholdende «ondsinnet» kode. Ofte blir en slik e-post sendt til en person som noen har lagt ned mye tid og arbeid i å plukke ut og studere, og den fremstår derfor som veldig troverdig, sier Tor Indstøy.

Han er director i KPMG, og har gjennom det siste året hatt ansvar for å utvikle et rammeverk for sikkerhetsvurdering som revisjons- og rådgivningsselskapet nå tilbyr sine kunder.

Selv om Indstøy er den første til å medgi at han i svært liten grad passer filmbransjens bilde av hvordan en sikkerhetsansvarlig skal se ut, har han til gjengjeld noe som ingen Hollywood-stjerner kan skilte med: Ti års erfaring som sikkerhetsansvarlig i Statens Pensjonsfond Utland (populært kalt Oljefondet).

Sikkerhet i verdensklasse

– Det nærmeste jeg kom Hollywood, var vel da jeg begynte i fondet. Da satt jeg over bordet for COO Steven A. Hirsch, som stirret meg i øynene og sa «I want you to provide me with world class security». Det kunne jo vært et sitat fra en Hollywood-film, men det var stillingsbeskrivelsen min de neste ti årene, forteller Indstøy.

Det må være lov å si at det finnes svært mange miljøer som finner Oljefondets datanettverk interessant. Det ble derfor et opplevelsesrikt decennium, som ga ham rikelig med førstehåndskjennskap til problemstillingene som PSTs trusselrapport peker på. Han har sett SharePoint-servere forsøke å sende fra seg store mengder informasjon ut av landet, resepsjonister som snoket i kollegaenes kalendere og ellers utviste et påfallende vitebegjær om forhold langt utenfor eget ansvarsområde, og en lang rekke andre hendelser som ville passet langt bedre i en Hollywood-film enn han selv hadde gjort.

– Det å bygge sikkerhet i verdensklasse, handler om veldig mye mer enn IT. Innbrudd i datasystemer skjer veldig målrettet og ofte umerkelig. Det som er god sikkerhet for ett selskap, vil derfor ikke nødvendigvis være tilstrekkelig for et annet. Det vil avhenge av virksomhetens karakter, størrelse, bransje og en lang, lang rekke andre forhold. Ingen kan noensinne si at «nå har vi 100 prosent IT-sikkerhet» og lene seg tilbake. Sikkerhet er et kontinuerlig pågående arbeid som aldri tar slutt, sier han.

360 graders overblikk

Indstøy har tatt erfaringene fra ti år med slikt stadig pågående arbeid og supplert dem med «best practice» fra internasjonale ekspertmiljøer. Alt dette er nå systematisert i et rammeverk som fremstiller et 360 graders, helhetlig overblikk over en virksomhets sikkerhet.

– Det inkluderer trusselen fra fremmed etterretning, men også veldig mye mer. Et bredt spekter av kilder og datagrunnlag gir en konkret oversikt over alle tenkelige risikoer et selskap kan møte – samt noen utenkelige, sier Indstøy, og ramser opp på fingrene: innbrudd, strømbrudd, IT-angrep, terrorangrep, naturkatastrofer, finanskriser, meteornedslag…

...unnskyld – meteornedslag?!?

– Ja, vi har faktisk inkludert i modellen overvåkningsdata fra NASA på himmellegemer som kan styrte inn i atmosfæren. En kollega mente at vi aldri ville hatt dette med i modellen om det ikke var for at jeg har bakgrunn som romfartstekniker, og jeg må medgi at dette ikke er noen signifikant risiko for de fleste virksomheter. Likevel, det kan bety noe for selskaper som direkte eller indirekte er avhengig av satellitter. Jeg synes også det er viktig at vi, heller enn å avgrense oss til bare data vi kan levere selv, har tatt inn over oss best practice fra mange ulike ekspertmiljøer.

Måler risiko med konkrete tall

KPMG har allerede kjørt to pilotprosjekter etter metodikken – ett på et større helseforetak og ett på et internasjonalt selskap i oljesektoren.

– Rammeverket brukes til å kunne gi styre og ledelse en detaljert oversikt over virksomhetens risikoprofil, sånn at de kan jobbe med folk i linja for å avgjøre på hva virksomheten må prioritere og hvor de må sette inn ressursene.

Både interne og eksterne forhold spiller inn. Har selskapet beregnet verdien av sin informasjon på ulike nivåer, har de foretatt sikkerhetsklarering av de ansatte der det er relevant, benytter de maskinlæring der det er formålstjenlig, og har de lagt inn «alerts» som advarer nøkkelpersonell ved viktige hendelser? Alt dette tallfestes slik at det er mulig å koble pris til tjeneste: Hva vil det koste selskapet å gå fra 30 % sikkerhet til 60 % sikkerhet?

– I de tilfeller hvor prosessen med å skape et slikt bilde skjer mer eller mindre gjennom synsing, kan det være tendenser til at det er lett å «krangle ned» prioriteringen av forhold som er viktige, men kanskje dyre eller ubehagelige å gjøre noe med. Når det derimot kommer konkrete tall på bordet, viser det seg at de berørte i organisasjonen jevnt over er kompetente og ærlige på utfordringene – og ivrige etter å ta tak i dem, sier Indstøy.

Intervjuet er basert på et innlegg fra KPMG som sto på trykk i Finansavisens R-bilag den 28. februar 2019.

Ta kontakt

 

Ønsker du tjenester fra KPMG?

 

Be om tilbud