Trussellandskapet i cyberverden har endret seg dramatisk. Hendelser som for eksempel phishing-angrep, CEO-fraud, ransomware, leverandørkjedeangrep og påvirkningsoperasjoner har blitt avanserte og vanskeligere å oppdage. Årsaken til dette er at kunstig intelligens (KI) blir brukt til å profesjonalisere metodene som brukes til å lure mennesker og systemer, mens SMBer ikke har bygd kompetanse for å effektivt sikre deres IT-systemer, IT-løsninger og verdikjeder mot disse angrepene.
Mange norske SMB-er har svært begrensede ressurser til å bygge selvstendig kompetanse innenfor risikovurdering, trusselbilde og cybersikkerhet. De er og har som regel underleverandører til større private og offentlige virksomheter som blant annet forvalter kritisk infrastruktur og understøtter grunnleggende nasjonale funksjoner. Verdikjedene blir mer kompliserte, noe som gjør det vanskelig for SMBer å få et oversiktlig bilde over potensielle trusler, risikoer og konsekvenser av vellykkede angrep. Konsekvensene kan være økonomiske, juridiske, omdømmemessige, forretningsrelaterte, individssikkerhetsrelaterte og samfunnssikkerhetsrelaterte.
Derfor er det viktig for samfunnets- og næringslivets sikkerhet at dette segmentet styrker evnen til å identifisere, vurdere og håndtere sikkerhetsutfordringer.
For å styrke norske SMBers cybersikkerhetskompetanse og evnen til å designe og gjennomføre cybersikkerhetsøvelser, skal vi undersøke cybersikkerhets kompetanse behov som SMBer trenger og utfordringer de står foran gjennom workshop aktiviteter. Vi skal bruke designvitenskapelig forskning til å designe, utvikle og teste digitale kurs og cybersikkerhetsøvelser. Vi skal vektlegge ansvarlig utvikling og bruk av teknologi som spillteknologi, generativ KI og virtuelt oppsett av øvelser, og å sette mennesket i sentrum for implementering.
Prosjektet skal bidra til å: (1) heve kompetanse, kapasitet og konkurranseevne innen cybersikkerhet på en målbar måte. (2) støtte overholdelse av internasjonale standarder og EU-reguleringer på cybersikkerhet i en norsk kontekst. SMB er et 6-månedersprosjekt som skal oppnå disse to formålene gjennom å planlegge, designe, gjennomføre og evaluere resultater av cybersikkerhet digitale mikrokurs og øvelser. Aktivitetene er rettet mot norske små- og mellomstore bedrifter (SMB-er) med under 250 ansatte som har tjenester/IT løsninger basert på skytjenester. Målgruppene for prosjektet er ledere og nøkkelpersonell med funksjoner innen sikkerhet, beredskap, kvalitet og IT. I mindre SMB-er vil ofte en person inneha flere roller (eller rollene er ikke definert), og det vil vi hensynta i utvikling av øvelsene.
Prosjektet vil ha en helhetlig tilnærming til kompetanseheving som skal gjennomføres i 3 faser.
Fase 1: Kompetanseheving innen utvalgte områder for å etablere et tilstrekkelig faglig fundament gjennom digitale mikrokurs før virksomheten gjennomfører øvelsen.
Fase 2: Gjennomføring av øvelser i form av en digital tabletop øvelse for ledergrupper og en individuell spilløvelse for ledere og nøkkelpersonell.
Fase 3: Evaluering, identifisering av læringspunkter og oppdatering av rammeverk og prosedyrer. Denne fasen skal sørge for at virksomheten får implementert systemer som styrker evnen til å identifisere, vurdere og håndtere sikkerhetsutfordringer i fremtiden.
Temaer til scenarier: Scenariene som kan inngå i øvelsene er: phishing, bruk av KI (som for eksempel deep fake i digitale angrep), ransomware, direktørsvindel, digitale leverandørkjedeangrep og påvirkningsoperasjoner mot virksomheter eller sektorer.
Resultater: Læringsmoduler, en verktøykasse av cybersikkerhet øvelser og et rammeverk som norske SMB-er kan bruke til å designe, gjennomføre, og evaluere cybersikkerhet øvelser skreddersydd til deres behov.
