Ransomware med fysisk komponent, industriell sabotasje, trusler mot enkeltpersoner: Cyberrisikoen er ikke lenger begrenset til skjermer, men sprer seg til den fysiske verden.
For Matthieu Creux, styreleder og grunnlegger av Forward Global – en av verdens ledende aktører innen risikostyring – er utviklingen mindre et sjokk enn en videreføring av historiske linjer. I et intervju med Revue Conflits oppfordrer denne cybersikkerhetseksperten alle til å forstå den nye trusselens natur, med hele dens historiske og strategiske dybde.
– Du har i flere år fulgt utviklingen av risiko. Hvordan forklarer du overgangen fra cyber til fysisk?
– Det er ikke et plutselig skifte, men en logisk kontinuitet, en utvikling som fra starten lå i selve ideen om den gjensidige tilkoblingen som er innebygd i den digitale verden. Den digitale sfæren har lenge, og feilaktig, blitt sett på som et immaterielt lag, atskilt fra virkeligheten – «for seg selv» – og derfor tilsynelatende ufarlig for den fysiske verden. Men i det øyeblikket det digitale styrer kritisk infrastruktur, enten det gjelder fabrikker, sykehus, logistikksystemer for transport eller produksjon, blir trusselen svært reell – og ofte fysisk. I dag kan et cyberangrep bidra til å kapre et skip eller true en leder på livet. Dette har ikke vært fiksjon på mange år.
– En nylig studie fra Semperis viser at nær halvparten av dagens ransomware inneholder en fysisk eller psykologisk komponent. Er dette et vendepunkt?
– Kanskje for noen, men ikke for dem som jobber daglig med cyberrisiko. Denne utviklingen var forutsigbar. De siste to-tre årene har vi sett økende bruk av konkrete trusler: fysiske besøk, trusler mot familiemedlemmer, nattlige oppringninger… Det handler ikke lenger bare om kryptering av data. Ransomware er blitt et verktøy for direkte press. Målet er personen, ikke bare systemet. Det endrer alt. Beredskapsplaner må ta høyde for den fysiske dimensjonen. Man beskytter ikke bare informasjon, men også mennesker.
– Har vi undervurdert den fysiske realiteten i det digitale for lenge?
– All sammenkoblet teknologi innebærer per definisjon en fysisk sårbarhet. Digital teknologi er til stede på alle nivåer og er i dag den virkelige verdens trojanske hest. I 2010 viste dataviruset Stuxnet at noen linjer med kode skrevet i USA kunne få en sentrifuge i Iran til å eksplodere. Andre eksempler fulgte: NotPetya i 2017, eller cyberangrepet mot Colonial Pipeline i 2021. I finanssektoren har hendelser som Flash Crash i 2010 eller Knight Capital-saken vist at datamodeller kan utløse reelt kaos.
Les også: Hizbollahs digitale nederlag i cyberkrigen mot Israel 🔒
– I lang tid har man sett på digital teknologi som et enkelt verktøy for effektivitet – den berømte «digitaliseringen» – eller kommunikasjon. Men i dag er den en fullverdig infrastruktur som avgjør driftskontinuitet. Når den faller, stopper alt. Og fordi infrastrukturen er usynlig, eller nesten, undervurderer man dens innflytelse i den virkelige verden. Jo mer man har digitalisert, desto mer har man utsatt strukturer for angrepsrisiko. Det er ikke en tilfeldig svakhet, men en direkte konsekvens av modellen.
– Mye kritisk infrastruktur bygger på to verdener som lenge var atskilt: IT (informasjonssystemer, servere) og OT (maskiner, sensorer). Problemet er at gradvis sammenkobling har skapt en enorm angrepsoverflate. OT-systemer, ofte eldre, som SCADA (systemer for industriell styring), er ikke laget for å motstå cyberangrep. Resultatet er at nettverkstilgang alene kan være nok til å stanse en produksjonslinje eller legge et sykehus i mørke.
– Har ledere forstått sitt ansvar med tanke på denne typen risiko?
– Mange ledere behandler fortsatt cybersikkerhet som en budsjettpost eller et IT-anliggende de kan delegere, på linje med wifi eller adgangskort. Så lenge alt fungerer, ser de ikke problemet. Når det svikter, oppdager de at det egentlige problemet ikke var teknologien, men avhengigheten. Hele verdikjeden i virksomheten hviler på systemer de ikke forstår, drevet av team de aldri ser, og utsatt for risiko de ofte ikke har vurdert.
Les også: Granskning: Nordkoreanske hackere sjokkerer analytikere etter historisk kryptobørstyveri 🔒
– I ledergrupper kjenner alle navnet på de beste advokatene eller PR-rådgiverne, men nesten ingen kan nevne en pålitelig cybersikkerhetsekspert. Det sier noe om en tid som fortsatt er umoden i møte med cyberrisiko – risikoer som ikke er mindre alvorlige enn juridiske eller omdømmemessige, og som ofte henger sammen med dem. I dag faller en server hvert andre minutt i verden på grunn av et angrep. På disse serverne ligger kundedata, bedriftshemmeligheter – og noen ganger personlige, til og med intime, meldinger fra lederne selv. Å ikke gjøre dette til et hovedtema, er å satse på at man ikke blir rammet – en stadig mer risikabel strategi.
– Du investerte i cybersikkerhet allerede i 2018. Hvorfor, og hvordan passer det med resten av virksomheten?
– Forward Global er i sin helhet en tjeneste- og teknologiplattform viet til å forutse, proaktivt håndtere risiko og løse kriser effektivt. Vår ekspertise dekker et bredt spekter av trusler, med en anerkjent spesialisering innen cybersikkerhet, og dermed hele spekteret av digitale risikoer som organisasjoner står overfor i dag. Målet vårt er å sikre kontinuerlig operasjonell motstandskraft for våre kunder, beskytte dem mot cybertrusler før de rammer, og minimere skaden når en hendelse inntreffer.
– Har dere offensive kapasiteter?
– Vi jobber med offensive scenarier, ja, men utelukkende innenfor en defensiv ramme. Når vi reviderer kundene våre, utsetter vi dem for realistiske angrepssimuleringer – det er den eneste måten å teste beredskapen på. I reelle situasjoner går vi inn for å forstå og stanse angrepet, eventuelt spore det tilbake til kilden, og gjenopprette kontrollen så raskt som mulig. Men vi utfører ingen offensive operasjoner i streng forstand. Vi er verken hackere eller en statlig aktør.
– Hvordan tenke om suverenitet i en verden der grensene er logiske?
– I en verden der infrastruktur er immateriell og gjensidig avhengighet er kodet, måles ikke suverenitet bare i kilometer med grenser, men i graden av digital autonomi. Det er ikke kontroll over territorium som avgjør makt, men evnen til å mestre egne systemer, datastrømmer og programvareavhengigheter. Det viktige spørsmålet er hvor mye kontroll man faktisk har når alt går gjennom noe andre kan slå av – eller ta stadig mer betalt for. Det handler ikke om total kontroll, som er illusorisk, men om evnen til å tåle et sjokk uten å kollapse. Man trenger ikke gjøre alt selv, men må nøye vurdere hva man delegerer, til hvem – og med hvilke risikoer.
