Veien videre
Cybercrime Survey 2023 peker i år på at bekymringene knyttet til cybersikkerhet i stor grad samsvarer med NSMs trussel- og risikovurdering for 2023. Oppmerksomheten dette årets rapport retter til balanse mellom cybertrusler og investeringsvilje, er et ledd i å belyse viktigheten av presise investeringer rettet mot virksomhetens og bransjens behov. Samtidig er det viktig at virksomhetene gjør det de selv kan for å måle egen risiko, sårbarhet og modenhet.
Andelen målrettede angrep er økende, og rettes i større grad mot tredjeparter (underleverandører). Det indikerer at trusselaktører utnytter underleverandører med lavere modenhetsnivå for å få tilgang hos en rekke sluttkunder som igjen kan utnyttes. Dette er et av de viktigste funnene ledere og IT-medarbeidere bør ta med seg inn i det videre arbeidet med cybersikkerhet.
Virksomhetene er utsatt og bekymret for hendelser som kan forebygges ved hjelp av investeringer i preventive tiltak som awareness-trening og Identity Access Management (IAM). Forebyggende arbeid som minimerer menneskelig sårbarhet vurderes som et av de mest effektive aktivitetene virksomhetene kan prioritere.
Ledelsens manglende forståelse for cybersikkerhet vurderes på bakgrunn av undersøkelsen som kritisk for virksomheters cybersikkerhet. Dette krever en omstilling for norske virksomhetsledere, med påfølgende kompetanseheving og forståelse for cybersikkerhet, verdikjeder og ringvirkningene et eventuelt cyberangrep kan få.
Dette ses i sammenheng med at budsjettene ikke virker å stige i takt med økning og kompleksitet i cyberangrep. Undersøkelsen viser at virksomhetene investerer i cybersikkerhet, og flere har dedikerte cybersikkerhetsbudsjett, men for at dette skal ha betydning må investeringsviljen heves.
DORA og NIS2 er eksempler på hvordan vi gjennom mer regulerte bransjer, kan øke tillit og motstandsdyktighet i hele det norske næringslivet. Det er viktig at virksomhetene søker informasjon om disse reguleringene, og ber om nødvendig støtte for å oppfylle kravene.
Kunstig intelligens (AI) bringer med seg utfordringer, så vel som et potensial til å skape enorme økonomiske og sosiale fordeler for privat næringsliv, offentlig sektor og individer over hele verden. AI har kommet for å bli - og må behandles som levende artefakter med kontinuerlig overvåkning, utvikling og tilpasning. Dette krever at virksomhetene tar ledelse. Dersom bruker ikke er bevisst risikoen tilknyttet AI, kan dette utgjøre betydelig sårbarhet for den enkelte virksomhet.
For å få bedre cybersikkerhet oppsummerer rapporten følgende tiltak:
- Presise investeringer rettet mot virksomhetens- og bransjens behov
- Helhetlig risikostyring som inkluderer tredjeparter og underleverandører
- Preventive tiltak som awareness-trening for å forebygge menneskelig sårbarhet
- Kompetanseheving hos ledelsen for å sikre nødvendig forståelse for cybersikkerhet
- Budsjettering som oppnår reell balanse mellom cybertrusler og investeringer i cybersikkerhet
- Kartlegging av relevante krav i DORA og NIS2 som virksomheten er pliktig til å følge
- Lede bruken av kunstig intelligens; bevisstgjøring, risiko- og verdivurdering, samt dataklassifisering i trening av modeller
© 2015 - 2023 PwC. PwC. All rights reserved. PwC refers to the PwC network and/or one or more of its member firms, each of which is a separate legal entity. Please see www.pwc.com/structure for further details.