Phishing, AI og nye EU-krav – velkommen 2025
Hacking, phishing og kontokapring er IT-begrep mange har hørt om og blitt kjent med. Jepp, neste år vil definitivt by på utfordringer innen sikkerhet. Heldigvis ser vi også flere lysglimt.
Vår sikkerhetssjef Sven Kjartan Figved har tenkt, erfart, lest og sett inn i krystallkula. Her får du hans tanker om året som kommer.
– Kappløpet fortsetter. Kjeltringene finner nye smutthull, mens vi gjør det vi kan for å tette dem. Heldigvis klarer vi, og andre i bransjen, å stoppe mye. Den gode nyheten for 2025 er at bedrifter nå også får offisielle krav på seg til å ta sikkerhet på alvor, sier Sven Kjartan.
Spådom 1. Norske bedrifter fortsetter å øke IT-sikkerheten
Ledelsen i norske bedrifter kommer til å ta større eierskap til datasikkerhet. Nye EU-regler vil sette høyere krav for norske bedrifter i kritiske sektorer gjennom både NIS2 og DORA.
– IT-sikkerhet må på agendaen til ledelsen i bedrifter som blir truffet av de nye lovene. Det er en stor jobb, men vil gi et konkurransefortrinn for de som etterlever kravene, fordi de kan bevise høy sikkerhet i selskapet.
Reglene har som hovedmål å styrke IT-sikkerheten i kritiske sektorer, med å sette krav til risikostyring, rapportering og samarbeid.
De som blir truffet av NIS2 må for eksempel kunne identifisere og håndtere risiko som kan påvirke systemdrift og sikkerhet i bedriften. Regelverket legger også vekt på økt beredskap, rask rapportering av hendelser og bedre samarbeid mellom medlemslandene i EU.
DORA er egne krav som gjelder for finansinstitusjoner.
Spådom 2. Økt bruk av kunstig intelligens for (og mot) IT-sikkerhet
Vi er helt i starten på bruk av AI i sikkerhet. Flere og flere bruker AI som en del av hverdagen. Mens ChatGPT og Microsoft Copilot kan gjøre arbeidsdagen enklere og mer effektiv, kan disse verktøyene også brukes til ondsinnede formål. Det gjør angrepene vanskeligere å oppdage.
– De fleste av Upheads sine produkter blir nå levert med AI. Ved å bruke AI på sikkerhetssiden vil vi kunne svare raskere på truslene bedriftene møter. AI hjelper oss både til å feilsøke, analysere, varsle og finne ut hva som har gått galt.
På sikt vil AI bli enormt innenfor IT-sikkerhet.
– Samtidig ser vi at også hackerne tar AI i bruk. De bruker kunstig intelligens til å formulere tekster som kan lure, og opererer fullt og helt som deg i kommunikasjonen med andre. Hackeren kan for eksempel spørre AI om å formulere e-poster slik som du ville ordlagt deg selv. Sporene skjules, slik at du ikke aner at kunder eller andre er i kontakt med din e-post.
3. Leverandørsikkerhet i fokus
Det har vært flere oppslag i mediene dette året om at leverandører har blitt rammet av dataangrep. Nasjonal sikkerhetsmyndighet (NSM) har i sin risikorapport for både 2023 og 2024 påpekt at leverandørsikkerhet er avgjørende for å beskytte nasjonale sikkerhetsinteresser.
– EU har gjort leverandørsikkerhet til en strategisk prioritet, og med nye EU-regelverk på vei, blir dette temaet igjen løftet frem. Dette vil gagne norske bedrifter ved å tydeliggjøre forventningene til leverandørene. Leverandører vil møte strengere krav til datasikkerhet fra sine kunder, noe som også kan forplante seg videre til andre ledd i leverandørkjeden. Leverandører som ikke oppfyller kravene, risikerer å bli presset ut av sine kunder.
– Vi i Upheads er selv leverandør til små og mellomstore bedrifter i hele Norge, og vi er derfor ISO27001-sertifisert. Det kvalitetssikrer våre tjenester og stiller høye også krav til dokumentasjon, systemer og fysisk sikring, med årlig revisjon.
4. Sikrere håndtering av brukerpålogginger
I 2024 så vi en betydelig økning i angrep som omgikk flerfaktorautorisering. Dette forventer vi vil fortsette inn i 2025, men teknologien for å bekjempe dette er til stede.
– Flerfaktorautentisering gir ekstra beskyttelse og kan hindre svindlere i å få tilgang til informasjonen din, såkalt phishing. Likevel så vi at bedrifter ble utsatt for kontokapring, selv med bruk av flerfaktorautentisering. For å møte denne trusselen, har Upheads utviklet et nytt påloggingsvarsel som skal forhindre slike angrep. Denne nye tjenesten vil varsle brukerne før de blir lurt til å logge seg inn på falske nettsider.
Dette, kombinert med sikkerhetsnøkler og administrasjon av mobilapplikasjoner, vil i betydelig grad sikre brukerpålogginger i 2025.