«Anna kjenner hun stivner foran skjermen. Varselet på skjermen blinker: «Dine filer er kryptert», etterfulgt av en nedtelling og et krav om løsepenger. Organisasjonens datasystemer er låste, og dataene er krypterte. Det er satt en tidsfrist for betaling. Hun hører kollegaene i IT-avdelingen rope til hverandre i naborommet og skjønner at dette ikke er et isolert problem – hele nettverket er nede. Alt er låst. Hun har vært innom dette marerittet i tankene, men at det skulle bli virkelig? Det hadde hun ikke trodd.
Nå blir lederegenskapene satt på prøve, en prøve hun ikke er forberedt på.
Hun får ikke engang åpnet virksomhetens kriseplan – denne er jo også kryptert. Hun har signert dette dokumentet for lenge siden, men aldri satt seg ordentlig inn i det. Har vi en utskrift?
Hun husker likevel at de mangler klare retningslinjer for hva de skal gjøre i en situasjon som denne. Det finnes ingen klar plan for å kontakte kunder hvis data er eksponert. Ingen plan for hvordan selskapet skal gjenopprette data uten å betale løsepenger.
Hvordan kunne dette skje? Bedriften bruker jo en velrenommert IT-leverandør med toppmoderne løsninger. Hun har tenkt at dette burde være nok til å holde selskapet trygt. Er ikke det IT-avdelingens ansvar? Har hun gjort noe galt?
For Anna er dette øyeblikket foran skjermen en brutal påminnelse om at informasjonssikkerhet ikke bare handler om teknologi, men om mennesker, prosesser og ledelse.»
«Anna kjenner hun stivner foran skjermen. Varselet på skjermen blinker: «Dine filer er kryptert», etterfulgt av en nedtelling og et krav om løsepenger. Organisasjonens datasystemer er låste, og dataene er krypterte. Det er satt en tidsfrist for betaling. Hun hører kollegaene i IT-avdelingen rope til hverandre i naborommet og skjønner at dette ikke er et isolert problem – hele nettverket er nede. Alt er låst. Hun har vært innom dette marerittet i tankene, men at det skulle bli virkelig? Det hadde hun ikke trodd.
Nå blir lederegenskapene satt på prøve, en prøve hun ikke er forberedt på.
Hun får ikke engang åpnet virksomhetens kriseplan – denne er jo også kryptert. Hun har signert dette dokumentet for lenge siden, men aldri satt seg ordentlig inn i det. Har vi en utskrift?
Hun husker likevel at de mangler klare retningslinjer for hva de skal gjøre i en situasjon som denne. Det finnes ingen klar plan for å kontakte kunder hvis data er eksponert. Ingen plan for hvordan selskapet skal gjenopprette data uten å betale løsepenger.
Hvordan kunne dette skje? Bedriften bruker jo en velrenommert IT-leverandør med toppmoderne løsninger. Hun har tenkt at dette burde være nok til å holde selskapet trygt. Er ikke det IT-avdelingens ansvar? Har hun gjort noe galt?
For Anna er dette øyeblikket foran skjermen en brutal påminnelse om at informasjonssikkerhet ikke bare handler om teknologi, men om mennesker, prosesser og ledelse.»
Dette scenariet illustrerer viktigheten av å være forberedt på cyberangrep, og ha en robust kriseplan som ikke bare er tilgjengelig, men også godt kjent blant alle ansatte. ISO 27001 er et utmerket rammeverk for å sikre at organisasjoner har de nødvendige prosessene på plass for å håndtere informasjonssikkerhet. Det hjelper med å identifisere risikoer, implementere nødvendige kontroller, og kontinuerlig forbedre sikkerheten. Dessuten er standarden godt egnet for å møte kravene i NIS2-direktivet, som snart blir obligatorisk for en rekke virksomheter i Norge.
ISO 27001 er en globalt anerkjent standard for å etablere, implementere, vedlikeholde og kontinuerlig forbedre et styringssystem for informasjonssikkerhet (ISMS). Sammen med ISO 27002 (som gir detaljerte sikkerhetskontroller) og ISO 27005 (som fokuserer på risikostyring), tilbyr denne standarden et robust rammeverk som hjelper organisasjoner med å redusere risiko, styrke sin motstandskraft og fremme en kultur for sikkerhet.
Kjernen i ISO 27001 er å bygge sikkerhet inn i alle lag av organisasjonen. I motsetning til engangs compliance-tiltak, krever ISO 27001 at sikkerhet blir en integrert del av den daglige driften, og forbereder bedrifter på å møte de stadige endringene i trusselbildet.
Sertifisering i henhold til ISO 27001 viser ikke bare en forpliktelse til sikkerhet, men også at organisasjonen er klar til å bli kontrollert i henhold til lovkrav, som for eksempel NIS2-direktivet. I en tid der tillit er avgjørende – særlig for virksomheter som håndterer kritiske data og infrastruktur, kan ISO 27001-sertifisering være fundamentet for robust sikkerhetspraksis og samsvar med krav i lovverket.
En vanlig misforståelse blant mange er at informasjonssikkerhet utelukkende handler om tekniske løsninger – som å ha en pålitelig driftsleverandør av IT-tjenester og nettverk. Mange antar at et solid teknisk oppsett alene kan beskytte organisasjonen mot cybertrusler. Men denne antagelsen er farlig og gir ofte en falsk trygghet.
ISO 27002, som gir detaljerte kontroller for implementering av ISO 27001, inneholder 93 kontroller, hvorav bare 34 er tekniske. De resterende kontrollene er enten organisatoriske, fysiske eller knyttet til menneskelige faktorer. Dette betyr at effektiv informasjonssikkerhet krever mer enn gode tekniske tiltak; det krever at sikkerheten forankres i organisasjonens struktur, prosedyrer og kultur.
Ved å sertifisere seg etter ISO 27001, signaliserer en organisasjon at den har en helhetlig tilnærming til informasjonssikkerhet – ikke bare en teknisk tilnærming.
Et godt forsvar omfatter også å sikre at medarbeiderne er involverte, at de har fått opplæring i god sikkerhetspraksis, at fysisk tilgang er styrt, og at virksomheten har klare og effektive sikkerhetsprosedyrer.
NIS2-direktivet, er forventet å tre i kraft i Norge i andre kvartal 2025. Virksomheter innen blant annet helse, mat, infrastruktur, transport, finans, og offentlige tjenester må forberede seg på strenge krav til cybersikkerhet.
NIS2 har som mål å harmonisere og styrke cybersikkerheten i hele EU og EØS gjennom å håndheve strenge sikkerhetsforpliktelser for organisasjoner som spiller en viktig rolle i samfunnet. Disse forpliktelsene inkluderer risikostyring, hendelsesrapportering og å sikre at effektive tiltak er på plass for å beskytte mot cybertrusler. Manglende overholdelse av NIS2-direktivet kan medføre svært store bøter (inntil 2 % av global omsetning).
Kjernen i NIS2-direktivet er løsningsorientert tilnærming til styring av cybersikkerhetsrisiko og beskyttelse av essensielle tjenester. Dette passer direkte med kravene i ISO 27001.
NIS2-direktivet sender et tydelig signal om at forventningene til cybersikkerhet i Norge og EU skjerpes. Virksomheter som ønsker å trygge sin drift, vil se at ISO 27001-sertifisering gir et solid fundament både for samsvar med regelverk og for robusthet mot trusler.
Nasjonal sikkerhetsmyndighet (NSM) mener at norsk næringsliv nå spiller en større rolle i den nasjonale sikkerheten. I sin rapport for 2024 beskriver NSM stadig mer profesjonelle cyberangrep, også i Norge.
Det raske utviklingen av trusselbildet byr på konstante utfordringer. Nettkriminalitet er mer sofistikert enn noensinne, med løsepengevirus, phishing og insidertrusler som hyppige nyheter i media. Selskaper som tror de er “for små” eller “ikke interessante nok” til å bli mål, er ofte de som blir overrasket, da cyberkriminelle gjerne antar at disse har et svakere forsvar.
ISO 27001 tar disse misforståelsene på alvor ved å gjøre sikkerhet til en prioritert oppgave på tvers av organisasjonen. Fra regelmessige risikovurderinger til implementering av kontroller i flere lag, hjelper rammeverket med å bekjempe dagens komplekse trusler, uavhengig av organisasjonsstørrelse. Men det er også viktig å understreke at ISO 27001 ikke er en engangsløsning. Det er en forpliktelse til kontinuerlig årvåkenhet og forbedring, med hensyn til alle sider av sikkerhet, ikke bare det tekniske.
ISO 27001-sertifisering gir ikke bare organisasjonen beskyttelse – det forbereder den også på nye lovkrav, som NIS2-direktivet. Standarden styrker rett og slett organisasjonens beredskap.
Ettersom cybertruslene fortsetter å eskalere og reguleringer som NIS2 setter en ny standard for cybersikkerhet, har organisasjoner egentlig ikke råd til å utsette sine forberedelser. ISO 27001 tilbyr et robust, internasjonalt anerkjent rammeverk som ikke bare beskytter organisasjonen i dag, men forbereder den på morgendagens sikkerhetsutfordringer.
ISO 27001-sertifisering er derfor ikke bare et diplom på veggen – det innebærer en robust og proaktiv sikkerhetstilnærming som ivaretar samsvar både med nåværende og fremtidige lovkrav.
Hvis din organisasjon vurderer ISO 27001-sertifisering, er vårt team av rådgivere klare til å veilede deg gjennom hvert steg for å sikre at ditt styringssystem oppfyller standarden – og blir klart for sertifisering.
Kontakt oss for å lære mer om hvordan vi kan bidra til å styrke din virksomhets robusthet, bygge tillit og posisjonere din organisasjon for suksess i et stadig mer komplekst landskap.
Sigve er seniorrådgiver innen HMSK, og har variert erfaring fra næringslivet i Rogaland, mest fra industrivirksomheter, men også omfattende erfaring fra handels- og logistikkselskaper. En god del av denne erfaringen kommer fra rådgivingsvirksomhet for ulike kunder gjennom mange år.
Han er kreativ og stiller ofte spørsmål ved det som andre tar for gitt.
Sigve er seniorrådgiver innen HMSK, og har variert erfaring fra næringslivet i Rogaland, mest fra industrivirksomheter, men også omfattende erfaring fra handels- og logistikkselskaper. En god del av denne erfaringen kommer fra rådgivingsvirksomhet for ulike kunder gjennom mange år.
Han er kreativ og stiller ofte spørsmål ved det som andre tar for gitt.
