Bjarte Malmedal, fagdirektør digital sikkerhet, i Næringslivets Sikkerhetsråd.
Cybersikkerhet og hacking anno 2025 var et av flere tema under det årlige retail-arrangementet til NHO Service og Handel, Retail Summit. - Lederne bør engasjere seg i denne type risiko, på lik linje med andre risikoområder de allerede har fokus på.
Publikum satt lydhøre da Bjarte Malmedal, fagdirektør digital sikkerhet, i Næringslivets Sikkerhetsråd, presenterte trusler og tiltak under det årlige varehandelsarrangementet som ble avholdt på Næringslivets Hus 20. mai.
Vi tok en prat med fagdirektøren for å belyse tematikken ytterlige og for å gi bransjen enda bedre forståelse og innsikt i hvorfor dette er et viktig ledelses-tema.
Kan du kort beskrive hva cybersikkerhet innebærer i varehandelen, og hvorfor det er spesielt viktig akkurat her?
Alle virksomheter i Norge er avhengig av digitale systemer og tjenester, men jeg tenker at varehandelen er spesielt avhengig fordi både logistikk og betalingssystemer nå er helt avhengig av det digitale. Å beskytte dette mot forstyrrelser eller driftsbrudd er helt avgjørende for driften av selskapene i varehandelen.
Hvilke digitale systemer og data er mest sårbare i varehandelens daglige drift?
Jeg tenker først og fremst på de systemene som sørger for at logistikk og betaling kan skje på en effektiv måte. I tillegg behandler mange store mengder personopplysninger som må beskyttes.
Hvilke typer cyberangrep ser man oftest rettet mot varehandelen i dag?
Vi har ikke så mye tallgrunnlag fra denne bransjen spesifikt, men næringslivet utsettes for digital utpressing og ulike former for bedragerier. Disse kommer ofte i form av såkalte løsepengevirus (bedriftens datasystemer krypteres og de kriminelle krever betaling for å låse dem opp) eller direktørsvindel (de kriminelle utgir seg for å være direktøren eller noen andre i ledelsen, og ber om store pengeutbetalinger).
Er det noen spesielle sesonger eller situasjoner hvor trusselbildet blir forsterket?
Ja, det er en helt tydelig trend at trusselbildet skjerpes rundt de tider på året når det er mye handel, eller når mange ansatte er på ferie.
Hva er noen vanlige feil eller mangler du ser hos varehandelsbedrifter når det gjelder sikring av deres digitale flater?
Vi har ikke undersøkt dette spesifikt, men mange små og mellomstore bedrifter har trolig for dårlig kjennskap til trusselbildet og tenker «vi er ikke et spesielt attraktivt mål for cyberkriminelle». For større bedrifter handler det gjerne mer om at verdikjeden ikke er godt nok sikret. Jeg mistenker også at mange synes det hele rundt digital sikkerhet er komplisert og «litt mye». Til de vil jeg si at alle kan gjøre litt, og det er bedre å noe enn å la være.
Hvordan utnytter angripere ansatte eller interne rutiner i slike angrep?
Alle mennesker kan la seg lure, enten en er ansatt i varehandelen eller er ekspert på digital sikkerhet. Når bedriftene ikke har rutiner som gjør det mulig for ansatte å varsle om hendelser eller bekymringer rundt digital sikkerhet, hjelper vi de kriminelle.
Hva kan være de største konsekvensene av et cyberangrep for en varehandelsbedrift – både økonomisk og omdømmemessig?
Cyberangrep får gjerne store økonomiske konsekvenser. Det er både snakk om direkte økonomiske tap på grunn av brudd i leveranser og tjenester, og indirekte tap som kommer fordi opprydding ofte er svært kostbart. Omdømmetapene kommer gjerne som en følge av hvordan det blir håndtert. Dårlig håndtering kan bety større omdømmetap.
Hvordan kan ledere og ansvarlige i varehandelen oppdage at et angrep er i gang eller har skjedd? Hvilke indikatorer eller røde flagg bør de se etter?
Noen digitale angrep er lett å oppdage (datamaskinen blir kryptert og kan ikke brukes), mens andre er kun mulig for eksperter å oppdage gjennom avanserte analyser av digitale logger. Jeg ville ikke fokusert så mye på spesifikke indikatorer, men heller gi alle ansatte en grunnopplæring, og så sørge for at de har en enkel og effektiv måte å varsle dersom en opplever noe mistenkelig.
Hva kan ledere gjøre for å forebygge slike angrep?
Lederne bør engasjere seg i denne type risiko, på lik linje med andre risikoområder de allerede har fokus på. De bør stille spørsmål rundt digital sikkerhet til sin ledergruppe og organisasjon, for å være sikker på at de jobber med disse tingene.
Hvilke tiltak bør ledelsen prioritere først hvis de starter fra et lavt cybersikkerhetsnivå?
Jeg ville ha startet med et ledelsessystem for digital sikkerhet. Mange ser til ISO27001 eller NSMs Grunnprinsipper. Ved første øyekast kan slike standarder virke litt overveldende, men det er egentlig bare å begynne med det viktigste, og ta det steg for steg. Det kan være lurt å knytte til seg noen som har erfaring med å innføre slike ledelsessystemer.
Hvordan tror du trusselbildet vil utvikle seg i årene fremover for varehandelen?
De fleste peker på at AI vil få en stadig mer fremtredende rolle. Både når det gjelder å utforme budskap som vi blir lurt av (såkalt phishing), men også til å finne sårbarheter i teknologien eller til å utvikle ondsinnet kode. Vi har også sett at leverandørkjede-risikoer har økt. Mange i varehandelen er avhengig av, eller inngår i, slike verdikjeder.
Er det noen nye teknologier eller strategier du anbefaler bedrifter å se nærmere på?
Mange i varehandelen kommer til å bli omfattet av NIS2-direktivet når det kommer. Jeg ville begynt arbeidet med å sørge for at bedriften oppfyller de kravene allerede nå. Det er også mange som tar i bruk AI. Til de vil jeg anbefale at de etablerer et ledelsessystem for AI, gjerne basert på ISO42001.
