Mandag 22. april la Kripos frem sin årlige rapport om cyberkriminalitet i Norge. Allerede i forordet er Kripos-sjef Kristin Kvigne tydelig: «norske virksomheter er attraktive mål for kriminelle». Dette er imidlertid noe de fleste ikke har tatt innover seg.

Cyberangrep har med god grunn fått mye medieoppmerksomhet i senere år. Mange har kjent på en krypende panikkfølelse når angrepets omfang og de forretningsmessige konsekvensene vokser time for time, eller når en skjønner at en ikke har en back-up.

Offentlige institusjoner som Stortinget (2020 og forsøkt i 2023), Toten kommune (2021), departementene (2023) og private aktører som Maersk (2017) Hydro (2019) og Tomra (2023) har alle vært åpne om sine dataangrep.

De har også vært åpne om at det har kostet dem dyrt. Tomra snakker om 220 millioner kroner i tap, Hydro om 800 millioner.

«Om du inte petar i skiten, luktar den inte»

Cyberangrep kan ramme virksomheter hardt økonomisk, samtidig som Kripos også vektlegger faren for stopp av kritiske tjenesteleveranser og omdømmetap. Det er derfor overraskende at mange virksomheter ikke er godt nok rustet, verken i forebygging eller krisehåndtering.

Næringslivets sikkerhetsråd fant i sin mørketallsundersøkelse i 2022 at halvparten av norske virksomheter ikke har et rammeverk eller styringssystem for informasjonssikkerhet. Jeg mistenker at det er litt som det heter i nabolandet: «Om du inte petar i skiten, luktar den inte».

Hydro ble angrepet av kriminelle, mens norske sikkerhetsmyndigheter rapporterer om store og tiltagende angrep fra statlige og statsstøttede aktører, blant annet fra Kina og Russland. Stadig oftere avdekkes dessuten angrep på og via underleverandører. Angriperne går inn der terskelen er lavest.

Mange norske ledere er likevel komfortable med å delegere ansvaret for cyber til it-avdelingen – som om cyberangrep er noe rent teknisk. Disse lederne gjør ikke jobben sin. Samtidig gjør det krisehåndtering og kommunikasjon i cyberhendelser særlig krevende.

Hva gjør du når du mister alle digitale kommunikasjonsmuligheter?

Cyberkriser er nemlig en helt egen form for krise. Du risikerer at ikke bare produksjonen, lønns- eller CRM-systemet er nede. Det kan hende du mister epost, mobil og intranett, kort og godt alle digitale kommunikasjonsmuligheter. Hva har du igjen da?

De svenske kommunene Kalix, Bjuv og Vellinge opplevde nylig dette. En russisk hackergruppe angrep it-leverandøren Tietoevry, låste systemene og stjal data, journaler og personnumre. I ukevis måtte kommunene levere sine tjenester analogt. Det er vanskelig. I mange virksomheter vil det være vanskelig å forestille seg at det kan gå.

Å ha en plan for hvordan man skal operere når kritiske systemer er utilgjengelige eller ubrukelige er derfor viktig, og særlig med økt bruk av KI.

God kommunikasjon bidrar til å minimere skader og gjenopprette normal drift raskere. Det er også kritisk for å beholde tilliten hos kunder, samarbeidspartnere og andre interessenter.

Krisekommunikasjon er krevende, og cyberkriser kompliseres av dilemmaer knyttet til hva man skal gå ut med, hva man må holde tilbake og hvordan man må balansere hensynene til jus, identifisering, økonomi, etikk og omdømme.

Dem som har lykkes

Ingen krise er lik, men det er noen fellesnevnere hos dem som har lykkes med å håndtere cyberkriser:

• De har vært forberedt, de har hatt en rutine på plass, og de har øvd.

• De har vist åpenhet overfor relevante og berørte interessenter. De har erkjent problemet, de har gitt vesentlige detaljer om sin respons og skissert de neste skrittene i håndteringen klart og tydelig.

• De har oppretthold en jevn flyt av oppdateringer, for å vise at de aktivt håndterer situasjonen og holder interessenter informert og beroliget.

• De har delt viktige funn fra analysene sine, noe som styrker troverdigheten.

• De har innsett at cyberangrep er av strategisk betydning og aktivert toppledelsen i interessentdialogen.

• De har greid å adressere kunders bekymringer og erkjent behovet for å kommunisere direkte med dem.

Ingenting av dette kommer av seg selv. Å lykkes med å håndtere en cyberhendelse effektivt krever kunnskap, planlegging, forberedelse og trening. Min oppfordring til norske ledere som satser på at angrepet uteblir: Begynn å «peta i skiten».