Cybersecurity - Science Fiction eller sunn fornuft?

25.02.2025

Trusselnivået øker i 2025. Geopolitisk uro, hybrid krigføring og AI i hendene på kriminelle. Det høres ikke bra ut! Truslene på nett, og metodene som anvendes, har utviklet seg både i takt med teknologien og den globale, anspente situasjonen. 

Det er med stor respekt for temaet og fagområdet jeg skriver dette innlegget. De aller skarpeste hodene i IT-bransjen jobber med sikkerhet. Kunnskapsnivået er enormt høyt, og det er finnes ingen quick fix for å bli ekspert innen feltet.

Det som skjer i Cyberspace  kan virke som Science Fiction, men forhåpentligvis er det mulig å beskytte seg - uten å måtte ansette en hel avdeling med doktorgrader på temaet. Min tilnærming i dette innlegget er først og fremst som IT-profesjonell, men også som digital privatperson.

Helt fra starten - til nå

Helt siden den første sammenkoblingen av datamaskiner har virusene vært tilstede.

Det første selvreplikerende dataviruset, the Creeper Program, ble utviklet allerede i 1971. Etterhvert som nettverkene ekspanderte nasjonalt og globalt akselererte mulighetene for å spre ondsinnet kode til et nærmest ubegrenset antall datamaskiner.

Men det som startet som ren nettvandalisme og "guttestreker" er i dag dominert av sofistkert vinningskriminalitet, og avansert digital krigføring mellom stater og organisasjoner.

Digitaliseringen av alle sider og aspekter av samfunnet er historisk sett ny. Men den har beveget digital sikkerhet fra et teknologisk fagområde til et globalt strategisk tema.

Penger, makt og manipulasjon

Omfanget av cyberkriminalitet er enormt. Drivkraften er penger, makt og manipulasjon – i den rekkefølgen! Omfanget for 2025 er anslått å kunne være så stort som 10.000 milliarder US dollar! Eller 10 billioner USD om du vil.

Altså er hovedmålsettingen for cyber-kriminelle på en eller annen måte å stjele informasjon eller å oppnå kontroll som direkte eller indirekte kan brukes til økonomisk vinning.

De tre vanligste metodene for å oppnå dette er som følger:
-skaffe seg direkte tilgang til finansielle transaksjoner eller bankkontoer.
-låse ned hele IT-systemer og forlange løsepenger.
-selge stjålet informasjon i det mørke markedet

For organisasjoner som rammes, oppleves ransomware-angrep som det mest dramatiske. For enkeltindivider oppleves ID-tyveri mest dramatisk. Begge deler ser vi at skjer rundt oss daglig. Det er en pågående krig i cyberspace! 

Og alt starter altså med en malware som slipper forbi guarden, eller en litt godtroende ansatt som klikker på en lenke for mye.

Eksemplene ovenfor på økonomisk motivert kriminalitet er ille - og de er økende, men enda mer truende på lang sikt virker det når cyberkriminelle er ute etter makt og politisk påvirkning. Manipulasjon av valg. Algoritmer som får oss til å tro på det de kriminelle ønsker at vi skal tro på. Utkjempelse av hybrid krigføring der informasjonsstrømmen (les: propagandaen) rettferdiggjør de "hybride handlingene" på en slik måte at vi aksepterer de, og at de på sikt endrer maktforholdet mellom stater og folk.

Nifst! Men ikke vanskelig å forstå at både kriminelle grupperinger og nasjonalstater ønsker å utnytte disse mulighetene for egen vinning og erobring av makt!

Litt følelser og filosofi

Det er ikke bare bedrifter og institusjoner som er hel-digitaliserte. Vi mennesker er også blitt transformert til en digital enhet som defineres av en kombinasjon av vårt mobilnummer, våre epostadresser, og vårt personnummer.

Vi er ikke lenger fysiske vesener av kjøtt og blod som aksepteres og verifiseres av andre seende og lyttende mennesker. Vi har blitt smarttelefonen vår, og vi inkluderes i det digitale samfunnet ved hjelp av algoritmer. Ikke ved interaksjon med våre medmennesker.

De som opplever å ha omsorg for en person som ikke evner å benytte digitale flater, og langt mindre  identifisere seg via Bank ID, kan bekrefte min lett dystopiske beskrivelse av det digitale menneskets identitet!

Dette ble litt følelsesladet, men poenget er altså at vår identitet har blitt digital og at vi kan stjeles av noen som aldri verken har sett eller hørt oss.

Hvilke trusler finnes i cyberspace?

Tilbake til Cybersecurity. Overordnet og veldig forenklet kan vi si at det bare finnes to trusler mot en helt vanlig virksomhet i Norge: Ondsinnet kode og menneskelige feil. Disse to opptrer gjerne i en kombinasjon.

Malware, eller ondsinnet kode, kommer i svært mange ulike former og de utvikler seg hele tiden. Men de fleste lever fortsatt opp til de metaforiske beskrivelsene som "virus" og "trojanske hester". Sammenligningen til medisin og en historisk hendelse er fortsatt svært treffende. Kode som vil deg vondt plantes i dine systemer. Deretter replikerer den seg selv, eller mengder av den slippes ut av kontaineren (den trojanske hesten), for å utføre sine uønskede handlinger.

Phising, smishing, whishing and quishing er alle ulike sider av samme sak. Nye begreper og navn i denne kategorien opprettes i takt med nye metoder for å lure oss naive brukere til å gi fra oss vital informasjon. 

Social hacking/Social Engineering er også en dekkende beskrivelse av en stor bredde av aktiviteter som settes i system for at byttet skal gjøre feil som leder til at angriperen får den vitale informasjon hen er ute etter.

Scareware sørger for at frykten din for allerede å ha blitt angrepet er så stor at du deretter lar deg angripe.

For å gjøre bildet nesten komplett bør også nevnes metoder som DDoS, Botnet og avanserte fjernstyrte angrep. Stor skade kan forårsakes, og vital informasjon kan stjeles, uten at det har vært installert malware, og uten at noen har blitt lurt av fishing. 

Nedbrytning av undergrupper av ondsinnet kode, og metodene som benyttes, er et enormt stort felt å fylle. Det har jeg ikke til hensikt å forsøke. Det finnes milevis av informasjon på nettet og i publikasjoner om dette. Se min referanseliste nedenfor som jeg har benyttet når jeg har hatt behov for en konkret avklaring av begrepsbruk og definisjoner i forbindelse med dette blogg-innlegget.

Kripos årlige rapport om cyberrettet og cyberstøttet kriminalitet - Cyberkriminalitet 2025 -  peker på at en kombinasjon av datainnbrudd, datatyveri, kryptering og utpressing nå er den primære handlemåten for profittmotiverte cyberkriminelle. Ransomware as a Service (RaaS) har lenge vært et begrep, og Kripos beskriver også løsepengevirus som handelsvare (LSH) som et felt der aktørene gjerne samarbeider om flere skadevarer samtidig.


AI vs AI

AI'ens tidsalder har startet. Vil AI bidra til bedre beskyttelse eller mer alvorlige trusler? 

Hvordan kommer cyberkrigen til å se ut når den væpnes med AI på begge sider? IT-sikkerhetsselskapet ESET uttaler:

"I 2024 og inn i 2025 forutser cybersikkerhetseksperter et eskalerende landskap av avanserte cybertrusler, drevet av både teknologiske fremskritt og skiftende geopolitisk dynamikk."

Det vil jeg kalle en forsiktig antydning! Vi står midt i et geopolitisk jordskjelv etter presidentskiftet i USA. Vi må forvente at det kan komme digitale jordskjelv også.

Den digitale transformasjonen av verdenssamfunnet tar oss inn i nye farvann vi ikke har seilt i før! Det vi trodde var Science Fiction, og kun beskrevet i spennende filmer og romaner, kan absolutt bli virkelighet i morgen!

De store sikkerhetsaktørene varsler at AI vil bli benyttet i stor grad til økonomisk kriminalitet. Spesielt nevnes AI Deepfake og Agentive AI Hijacking som metoder som vil bli brukt for å oppnå tilganger og kontroll. Vi er selvsagt ikke overrasket over at metoder og teknologi innen AI vil bli benyttet, men hvordan vil det utspille seg?

På lik linje med at nettkriminelle maksimerer bruken av AI vil selvsagt også sikkerhetsleverandørene integrere AI i sine produkter og tjenester. Det foregår en eskalering av cyberkrigen som forhåpentligvis sikkerhetsleverandørene vinner.

Bedrifter og organisasjoner bør ta i bruk AI-baserte teknikker og rutiner for å bedre trusseldeteksjonen og for å forutsi potensielle sikkerhetsbrudd. Man må altså sørge for at IT-systemene er beskyttet mot ondsinnede angrep og sårbarheter ved å implementere enda strengere sikkerhetstiltak for å kunne beskytte seg mot AI-støttede angrep.

Forebyggende forordninger

De aller fleste norske virksomheter anbefales allerede nå å sørge for at de overholder EU-direktivet NIS2. Dette er et nytt lovdirektiv som skal hjelpe virksomheter til å forbedre sikkerheten i nettverk og informasjonssystemer i hele EU ved å fokusere på å styrke håndtering av cybersikkerhetsrisiko og hendelsesrapportering. Ingen grunn til å vente på at dette kommer inn i EØS-avtalen og i norsk lovverk. Bedre føre var.

Den nye forordningen om digital operasjonell motstandsdyktighet i finanssektoren - DORA (EU 2022/2554) - trådte i kraft i EU 17. januar i år. Den vil trolig tre i kraft i Norge i løpet av 2025, og krever at finansinstitusjoner, og deres IKT-leverandører, følger strenge retningslinjer for sikring mot IKT-relaterte hendelser. At finanssektoren underlegges en egen forordning resonnerer godt med at cyberkriminalitet først og fremst rettes mot økonomisk vinning.

Både større og mindre virksomheter bør vurdere å ta i bruk det generiske rammeverket i ISO/IEC 27001/27002 - ikke nødvendigvis for å gjennomføre hele sertifiseringen, men for å drive prosessene i henhold til anbefalingene og intensjonene i ISO-standarden.

Sunn fornuft vs Science Fiction

Det mest vanlige scenariet for cyberrettet kriminalitet i Norge er altså profittmotiverte kriminelle som angriper små og mellomstore bedrifter. Disse er enklere mål enn større virksomheter som gjerne har ressurser og kapasiteter til å forebygge og håndtere cyberangrep.

Hvordan ser et helt sikkert IT-system ut?

"The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards." – Gene Spafford, computer scientist

Denne påstanden er helt riktig. Dersom det i det hele tatt er mulig å aksessere dataene så kan de kompromitteres. 

Men paradokset om høy sikkerhet vs. anvendelighet er ikke nytt, og det er nå den sunne fornuften kommer inni bildet: Sunn fornuft vs Science Fiction!

Først og fremst trenger man å innse at man selv ikke er ekspert - så velg en anerkjent leverandør for sikkerhetsproduktene du skal kjøpe og implementere. Det være seg Endpoint Protection, AV, SIEM eller opplæring av ansatte.

Reguleringer og forordninger fra EU/ISO, som f.eks de jeg nevnte tidligere i innlegget, bør gjennomgås og sjekkes for relevans til din virksomhet.

Bransjeorganisasjonene har som regel sine egne retningslinjer for sikkerhet og compliance. Sjekk ut disse med din bransjeforening.

Konklusjon

Mitt betraktende blogg-innlegg om et svært spennende tema leder til en nokså kjedelig konklusjon, er jeg redd! 

Her er en praktisk sjekkliste fra ChatGPT for beskyttelse mot nettkriminalitet i 2025, basert på sunn fornuft og beste praksis. 

Ved å følge denne sjekklisten kan en bedrift redusere risikoen for nettkriminalitet betydelig og skape en trygg digital arbeidsplass. (Hilsen ChatGPT)

Lykke til med sikkerheten!

Sjekkliste for IT-sikkerhet i 2025

Grunnleggende sikkerhetstiltak

  • Sterke passord og tofaktorautentisering (2FA): Alle ansatte bruker unike, sterke passord og har aktivert 2FA på alle kritiske systemer.
  • Oppdateringer og patching: Alle enheter, programvare og operativsystemer holdes oppdatert med de nyeste sikkerhetsoppdateringene.
  • Antivirus og brannmur: Moderne antivirus- og anti-malware-programvare er installert og oppdatert på alle enheter.

Beskyttelse mot datatap og angrep

  • Sikkerhetskopiering: Automatiserte, krypterte sikkerhetskopier tas regelmessig og lagres både lokalt og i skyen.
  • Begrenset tilgang (prinsippet om minste privilegium): Ansatte har kun tilgang til de systemene og dataene de trenger for å gjøre jobben sin.
  • Segmentering av nettverket: Internett, gjestenettverk og interne systemer holdes adskilt for å redusere risikoen ved angrep.

Beskyttelse mot svindel og sosial manipulering

  • Opplæring i cybersikkerhet: Ansatte får jevnlig opplæring i hvordan de kan gjenkjenne phishing, svindelforsøk og annen digital kriminalitet.
  • Simulerte phishing-angrep: Regelmessige tester gjøres for å sjekke ansattes bevissthet rundt mistenkelige e-poster og meldinger.
  • Rutiner for betalinger og overføringer: Strenge retningslinjer for å verifisere banktransaksjoner og utbetalinger for å unngå bedrageri.

Sikring av bedriftens digitale flater

  • Overvåking av mistenkelig aktivitet: Aktiv logging og overvåking av systemer for å oppdage uvanlig atferd.
  • Beskyttelse av nettsider og e-post: Bruk av HTTPS, SPF, DKIM og DMARC for å sikre e-post og hindre spoofing.
  • Fysisk sikkerhet for IT-utstyr: Servere og kritisk maskinvare er sikret mot uautorisert fysisk tilgang.

Beredskapsplan og hendelseshåndtering

  • Incident Response Plan (IRP): En tydelig plan for hva som skal gjøres ved sikkerhetsbrudd, inkludert ansvarsfordeling og kommunikasjonsrutiner.
  • Regelmessig testing av beredskap: Gjennomføring av øvelser og simuleringer for å sikre at bedriften er forberedt på cyberangrep.
  • Forsikring mot cyberangrep: Vurdering av behovet for en cybersikkerhetsforsikring for å dekke potensielle tap.

Overholdelse av lover og reguleringer

  • GDPR og personvern: Sikker behandling av kundedata i samsvar med gjeldende lovverk.
  • Sikkerhet for tredjepartsleverandører: Gjennomgang av IT-sikkerheten til leverandører og samarbeidspartnere.
  • Sikker sletting av data: Prosedyrer for trygg sletting av sensitive data og utrangert IT-utstyr.


Referanser:

-Cybermakt, Vivi Rignes Berrefjord og Mass Soldal Lund (red.) Universitetsforlaget, 2025
-Cyber Security Bible, Alex Intrigue, 2025, ISBN 9798323577323
-Kripos, Cyberkriminalitet 2025, årlig rapport
-Crowdstrike, Global Threat Report 2024
-Trend Micro, Security Predictions 2025
-Cisco, Cyber Threat Trends Report, 2024
-DynamicBusiness.com interviews experts from Eset.com





Share