I en nylig publisert årsrapport fra det tyske forsikringsselskapet Allianz blir datatrusler dratt frem som den viktigste av fremtidens trusler mot skip.
Men det er ikke helt enkelt å sikre seg mot angrepene, forteller Anders Langeland Johannessen, norgessjef hos forsikringsmegleren Edge.
– Forsikringsmarkedet har slitt lenge med å angripe problemstillingen, for det første fordi det har vært et ukjent risikomoment i skipsfart, sier Johannessen.
Samtidig kan et dataangrep gjøre større økonomisk skade enn for eksempel et piratangrep eller et forlis, forteller han.
– At et skip går inn i et annet, er et normalt verst tenkelige utfall for et sjøforsikringsselskap. Men et dataangrep kan ramme en hel flåte. Å håndtere det er vanskelig, sier Johannessen.
Les også: Antallet forlis øker i «det nye Bermuda-triangelet»
Mærsk tapte 2,5 mrd etter dataangrep
Sjøfartsnæringen fikk for alvor merke dette i fjor, da verdens største shippingrederi Mærsk ble rammet av dataangrepet Petya. Angrepet var et såkalt løsepengevirus, hvor inntrengere skaffet seg data fra offeret, og tradisjonelt da krever løsepenger for å frigi dataene.
Dataene var anskaffet ved å spre det som kalles trojanske hester, som er et virus kamuflert som for eksempel en e-post.
Deler av Mærsks IT-systemer ble stengt ned for å stoppe angrepet, noe som medførte at de ikke kunne ta inn nye ordre. Selv regner de med at de tapte omsetning tilsvarende 2,5 milliarder kroner.
– Dataangrep har vært mye omtalt de siste årene, men ble virkelig aktualisert i fjor med Mærsk-angrepet. Angrepet representerte et kostnadsbilde som vi ikke tidligere hadde sett før, sier Johannessen.
I forrige uke ble også den kinesiske giganten Coscos virksomhet i USA rammet av et dataangrep.
Les også: Advarer shippingnæringen mot digitale pirater
– Redere ville ristet på hodet for to år siden
Administrerende direktør Hans Christian Seim i det bergensbaserte skipsforsikringsselskapet Norwegian Hull Club, er enig i at Mærsk-angrepet var en definerende hendelse for hvordan man ser på datasikkerhet i sjøfart.
– Mange redere ville ristet på hodet for to år siden, og sagt at datasikkerhet ikke var relevant for typisk standardtonnasje. Men 2017-angrepet satte dette på agendaen. Det var også bare tilfeldig at det impliserte Mærsk, sier han.
Hans forsikringsselskap måtte søke hjelp fra landindustrien for å lære og finne ut hvilken risiko de skulle ta, og hva en slik forsikring skulle koste.
Han sier at utregningen for forsikringen er komplisert, men forteller at et typisk forsyningsskip på 5000 bruttotonn vil koste cirka 10.000 dollar i året per polise. Dette dekker 5 millioner dollar i tilfelle man blir truet, som i tilfellet Mærsk, samt dekning for dataangrep i skadepolise, med en maksimal begrensning på 50 millioner dollar.
– Denne stien blir litt til mens man går. Det finnes ingen eksakt kalkulering av premie på forsikringer mot datatrusler per i dag, grunnet lite skadestatistikk på området, sier han.
Les også: Shippinggiganter i digitalt kappløp
Tror forsikringsselskaper kan utnytte frykten
Det er ikke kjent at det har vært noen alvorlige hendelser på sjøen knyttet til datatrusler.
Likevel har 8 prosent av skipene i Norwegian Hull Clubs portefølje tegnet en slik dataforsikring. Forsikringspremiene 0,3 prosent av inntektene i forsikringsselskapet.
– Vi prøver å være fremoverlent og respondere på fremvoksende risikoer hos våre kunder. Derfor har vi skapt en totalpakke med både forsikringspoliser, øvelseskonsept og havaribehandling innen datasikkerhet.
– Roper dere i forsikringsbransjen litt høyt når dere snakker om denne trusselen?
– Jeg skjønner spørsmålet, men vi som selskap roper egentlig ikke høyt. For oss utgjør cyberrisiko-premien 0,3 prosent av omsetningen vår, noe som er forsvinnende lite. Men det er klart at det kan være aktører i vår bransje som utnytter det momentumet som kommer når frykten sprer seg. Og trusselen har økt, og vil øke fremover, sier han.
Faktaene er ikke til misforstå. Ifølge en rekke ulike rapporter øker antall digitale angrep rettet mot virksomheter jevnt og trutt, år for år. Likevel velger stadig færre norske virksomheter å anmelde kriminalitet.
Antall anmeldelser foretatt av selskaper har sunket med 16 prosent i løpet av de fire siste år, ifølge siste utgave av den såkalte Krisini-rapporten.
Hvorfor er det slik? Det spørsmålet inviterte vi Chris Dale fra Netsecurity og Frode Karlsen i Vest politidistrikt til Sysla Live i oktober, for å diskutere.
Se hele intervjuet i videoen under!
– Selv om jeg alltid råder mine kunder til å gå til politiet, har jeg stor forståelse for at mange velger å ikke gjøre det, sier Dale.
– Gode grunner til å ikke anmelde
Som penetrasjonstester i Netsecurity lever Dale av å avdekke smutthull inn i bedrifters datasystemer, for så å lære dem hvordan hullene tettes. Han mener politiet ofte har en annen agenda enn den ofrene har.
– Det bunner i at man ofte har et helt annet mål med anmeldelsen enn det politiet vil ha. Politiets oppgave er å oppklare saker. For en virksomhet er ofte det viktigste at man raskest mulig kommer tilbake i den situasjonen man hadde før det aktuelle angrepet fant sted, forteller han.
Den erfarne sikkerhetseksperten mener disse hensynene ofte krasjer når virksomheter involverer politiet.
– For politiet kan det eksempelvis være nødvendig å sikre bevis som kan bidra til å avdekke hvem som har utført angrepet, og hvordan det ble gjennomført. Det kan innebære at virksomheten ikke kan benytte utstyr som er viktig for driften, så lenge bevissikringen pågår. Det vet jeg av erfaring at mange selskaper er skeptiske til, og dermed velge å ikke anmelde, sier han.
Forståelse for tvil
Karlsen utrykte forståelse for perspektivet som Dale påpekte, men la til at politiet forsøker å redusere ulempen etterforskningen medfører for selskapene, så mye som mulig.
Kilde: Krisini-rapporten
– Som et eksempel speiler (metode for å kopiere data, journ. anm.) vi det vi trenger som bevismateriale på stedet. Dette fører til at vi sjelden må “oppholde” servere eller datamaskiner særlig lenge før offeret kan benytte seg av utstyret sitt igjen, sier politilederen.
Dale mener også at noe av problemet ligger hos bedriftene.
– Hvis en bedrift forteller meg at de aldri har blitt hacket, så tror ikke på dem. Svaret er egentlig at det sannsynligvis har blitt hacket, men at de ikke vet om det ennå. De eneste som tjener på at vi ikke er åpne om dette, er de kriminelle, sier Dale.
– Legg stoltheten til side
– Hvilke råd har dere til de næringslivslederne som leser dette og akkurat nå vurderer å anmelde noe de har blitt utsatt for?
– Jeg tror bedrifter må legge stoltheten til side, når man vurderer dette. Jeg ville sagt: Vær transperent, og gå ut og fortell hva ditt selskap har gjort for å motvirke angrep, men at dere likevel ble hacket. Vis kunder og allmennheten at dere er åpne. Det vil gi stor preventiv effekt om noen går foran og tør å snakke om dette, sier Chris Dale.
Karlsen råder de som er i tvil til å løfte opp telefonen.
– Etter 15 år i politiet har jeg ennå til gode å anmelde en sak hvor fornærmede ikke ønsker å anmelde. Derfor er mitt råd: ring meg på 02800, og så tar vi det derfra.
Sysla Live Atea Community Digital kriminalitet Frode Karlsen leder for økonomiavsnittet i Vest politidistrikt. Foto: Adrian Søgnen
Dagens cyber angrep aktualiserer cyber sikkerhet også for olje- og gassbransjen. Allerede i august 2014 ble mer enn 50 bedrifter i oljebransjen forsøkt hacket. I følge Nasjonal Sikkerhetsmyndighet (NSM) var det tidenes største hakcingangrep mot norsk olje- og energibransje.
Det eneste som er sikkert er at bransjen kommer til å bli utsatt for nye og hardere angrep.
Oljebransjen digitaliseres
I olje- og energibransjen er IT-løsninger sammenkoplet i datanettverk og en integrert del av produksjonssystemene. Alle vet at du ikke skal klikke på vedleggene i spammails, men er din virksomhet trygg i en digitalisert fremtid?
Bli oppdatert! Meld deg på vårt nyhetsbrev her
Høyere sannsynlighet for cyberangrep
Tradisjonelle sikkerhetsanalyser beskriver sannsynlighet for feil som kan føre til uønskede hendelser. Disse analysene ligger til grunn når barrierer designes for å redusere sannsynligheten for at feil oppstår, og for å redusere konsekvensene dersom feil likevel skjer.
– Når barriene er basert på software og IT-styrte systemer med både sensorer og aktivatorer sammenkoblet i nettverk, så øker sannsynligheten for at disse sikkerhetsbarrierene blir utsatt for cyberangrep, forklarer Boye Tranum, Senior Expert Security Services i DNV GL Oil & Gas.
Det betyr at flere barrierer kan bli kompromittert og nøytralisert samtidig.
Cyberangrep kan føre til tap av menneskeliv
-Flere av barrierene vil da ikke kunne virke som antatt, forteller Tranum. I olje og gass sektoren kan feil ha store konsekvenser, både for menneskeliv, miljøet og verdier.
Her er olje- og energibransjens mest sårbar
DNV GL har lang erfaring med å analysere hva som kan gå galt når det gjelder cyberangrep. Selskapet har identifisert følgende områder der industrielle systemer i olje- og gassektoren er mest sårbare:
Mangel på opplæring og opplysning om cybertrusler bland ansatte
Ekstern login for operasjon og vedlikehold
Bruk av standard produkter med kjente sårbarheter
Mangelfull systemoppdatering og virusbeskyttelse
Bruk av mobile datalagringsenheter
Utilstrekkelig oppsplitting av datanettverk
Økende bruk av nettverk mellom offshore og onshore installasjoner
Utilstrekkelig fysisk beskyttelse av datarom og kabinetter
DNV GL anbefaler følgende grunntrinn for å beskyttes seg mot cyberangrep:
Sikre etablerte sikkerhetsbarrier mot cybersårbarheter
Gi opplæring og opplysning til ansatte om cybertrusler
Redusere cybersårbarheten knyttet til bruken av og kontakten med mindre samarbeidspartnere og underleverandører, som ofte representerer en betydelig risiko grunnet lavere kompetanse og kapasitet innen cybersikkerhet.
Det er irriterende å måtte oppdatere software, men…
Det er også viktig å sørge for vedlikeholdsrutiner som sikrer at softwarebaserte systemer, er oppdaterte (slik som patching, backup og antivirusbeskyttelse), og for teknisk forbedring av nettverksarkitektur (bedre segregering og nettverksvedlikehold).
Det handler ikke kun om teknologi
-Men som oftest er det ikke de tekniske løsningene det første som bør forbedres. Det er en sterk sammenheng mellom teknologi, arbeidsprosesser og menneskene i en organisasjon. Alle disse faktorene er viktige for å redusere cybersårbarheter, sier Boye.
Sjekk deg!
Han utfordrer alle til å ta en cyberreadyness sjekk. Den kan raskt gi et overblikk på hvordan din virksomhet ligger an.
Klikk på appen her…
Eller send oss en mail.
Følg oss på Facebook
