Etter hvert som de geopolitiske spenningene fortsetter å øke globalt, har 2025 sett en dramatisk økning i forsvarsutgifter ikke sett siden den kalde krigen.
I de siste ukene har NATO-medlemmene avtalte å bruke 5 % av bruttonasjonalproduktet sitt på militærutgifter innen 2035. Mange, inkludert Storbritannia, bruker allerede over 2 % på militæret sitt. NATOs nye mål er delt inn i to deler: 3.5 % på konvensjonelt militært utstyr og resten på andre initiativer som tar sikte på å styrke nasjonal sikkerhet, som cybersikkerhet.
Selv om disse usikre tidene er skremmende, kan økte forsvarsutgifter være en god ting ved å injisere mer penger i privat sektor og dermed forbedre de økonomiske forholdene. Spesielt cybersikkerhetsfirmaer vil dra nytte av NATOs nye utgiftsmål. Men hva annet må gjøres for å forbedre vårt cyberforsvar mot økende nasjonalstatstrusler?
Bedrifter er utilsiktet skade
Midt i økte geopolitiske spenninger og økende cybertrusler fra nasjonalstater er IT-sikkerhet nå et «frontlinjeproblem» for NATO-landene, deres allierte og kritiske infrastrukturorganisasjoner.
Det sier James Lei, driftsdirektør i bedriften Sparrow, som tester applikasjonssikkerhet. Han argumenterer for at bedrifter som tilbyr kritiske tjenester og ressurser som er avgjørende for driften av moderne samfunn – som telekom, finans og energi – nå er direkte mål for NATOs fiender.
Lei forklarer at NATOs motstandere ved å angripe slike organisasjoner ikke bare prøver å stjele sensitive data for å selge til høystbydende. De er også på et oppdrag for å «forstyrre økonomier» og «undergrave offentlig tillit» i et forsøk på å påføre målene sine maksimal skade. Han legger til: «Det gjør bedrifter til både direkte mål og utilsiktede skader.»
Med disse risikoene i tankene oppfordrer Lei nasjonale myndigheter til å sette av «en betydelig del» av sine økte forsvarsbudsjetter til å hjelpe små og mellomstore bedrifter med å motvirke den økende risikoen for nasjonalstatlige cyberangrep.
Lei sier at små og mellomstore bedrifter, spesielt de som er klassifisert som kritiske nasjonale infrastrukturleverandører, kanskje ikke har budsjetter til å bruke penger på avanserte cybersikkerhetssystemer eller interne cyberspesialister, noe som skaper «svake punkter i det nasjonale cyberøkosystemet». Han forteller ISMS.online: «Finansiering kan hjelpe små og mellomstore bedrifter med å få tilgang til bedre sikkerhetsverktøy, opplæring og trusselinformasjon, noe som gagner hele landets motstandskraft.»
Disse bekymringene deles av Adam Brown, administrerende sikkerhetskonsulent i et applikasjonssikkerhetsfirma Svart andHan forklarer at for 30 år siden ville cyberangrep hatt minimal innvirkning på befolkningen generelt.
Men ettersom digital infrastruktur spiller en integrert rolle i det moderne liv, sier han at cyberangrep kan være ekstremt skadelige. Og ettersom de digitale tjenestene og infrastrukturen vi er avhengige av hovedsakelig er laget og solgt av kommersielle bedrifter, har de blitt «hovedmål» for cyberangrep fra nasjonalstater.
Med krigen som raser i Ukraina og Midtøsten, forventer Chris Binnie – en skybasert sikkerhetskonsulent – at antall cyberangrep iverksatt av nasjonalstater vil fortsette å øke. Han er spesielt bekymret for spredningen av angrep i forsyningskjeden.
Han sier at nasjonalstater kan se dette som en «enklere» måte å hacke seg inn i systemene til leverandører av kritisk infrastruktur fordi IT-leverandørene deres kanskje ikke har «samme strenge sikkerhetspraksiser».
Håndtering av disse risikoene
Ettersom nasjonalstater i økende grad utnytter svakheter i forsyningskjeden til å kompromittere kritisk infrastruktur, legger myndigheter og industriorganer merke til dette.
Spesielt EU tar et sterkt standpunkt til cybersikkerhetstiltak i forsyningskjeden gjennom lover som Lov om digital operativ motstandskraft, Lov om cyberrobusthet og Nettverks- og informasjonssikkerhetsdirektiv 2.
Brown forklarer at bedrifter som leverer cybertjenester til kritiske nasjonale infrastrukturorganisasjoner, under slike lover, er tvunget til å lukke eventuelle svakheter innen cybersikkerhet ved å følge strenge cybersikkerhetsprosedyrer.
Bransjestandarder som f.eks ISO 27001ISO 22301 og ISO 42001 gir også bedrifter et grunnlag de kan følge for å beskytte seg mot geopolitiske cybertrusler og til syvende og sist holde driften, dataene og forsyningskjedene sine trygge mot hackere fra nasjonalstater.
Young fra TSG Training forklarer at ISO 27001 dekker informasjonssikkerhet, ISO 22301 tar for seg forretningskontinuitet, og nylig har ISO 42001 blitt introdusert for å motvirke AI-drevne cybertrusler.
Han foreslår at tredjeparts IT-leverandører som ønsker å sikre kontrakter fra kritiske nasjonale infrastrukturorganisasjoner, ved å overholde slike standarder, kan vise at de tar cybersikkerhet på alvor og har robuste tiltak på plass for å redusere risikoer i forsyningskjeden.
En mulighet for bedrifter
Selv om mange bedrifter har blitt utsatt for utilsiktet skade som følge av nasjonalstatlige cyberangrep, kan noen faktisk dra nytte av økte forsvarsutgifter ettersom land ser etter måter å redusere denne risikoen på.
Nasjonale myndigheter er avhengige av bedrifter for å opprettholde digital robusthet, og som en del av forsvarsbudsjettene sine vil de uten tvil bruke mer penger på å forbedre cyberforsvaret sitt. Det betyr mange muligheter for privat sektor.
John Young, hovedkonsulent hos IT-opplæringsleverandøren TSG Training, sier at private bedrifter vil spille en sentral rolle i å hjelpe NATO-medlemmene med å styrke sin cybersikkerhet og til syvende og sist sin generelle nasjonale sikkerhet.
Han forteller ISMS.online: «Deling av trusselinformasjon mellom selskaper, myndigheter og internasjonale partnere styrker den generelle bevisstheten og muliggjør raskere respons på nye trusler.»
I likhet med Young mener Lei fra Sparrow at NATO ikke kan svare på dagens utallige cybertrusler uten å samarbeide med privat sektor. Han påpeker at private selskaper eier og driver mange av de kritiske tjenestene som brukes av myndighetene. På grunn av dette sier han at myndighetene henvender seg til privat sektor for trusselinformasjon og hendelsesrespons.
Chris Henderson, sjef for informasjonssikkerhet ved den administrerte cybersikkerhetsplattformen Huntress, er en annen sterk tilhenger av samarbeid mellom offentlig og privat sektor i kampen mot cybertrusler fra nasjonalstater.
Han sier at myndighetene gjennom disse partnerskapene kan utnytte trusselinformasjon i sanntid levert av private organisasjoner for å holde tritt med det raskt utviklende cybertrussellandskapet.
For at slike partnerskap skal lykkes, oppfordrer Henderson organisasjoner i privat sektor til å sørge for at etterretningen de deler med offentlige etater er formatert slik at statlig drevne datasystemer kan analysere dataene og raskt trekke ut handlingsrettet innsikt fra dem.
Myndighetene må også spille sin rolle i å sikre at disse partnerskapene er effektive. Henderson sier spesifikt at organisasjoner i privat sektor må kunne spre informasjon om cybertrussler uten å bli bremset av regulatorisk byråkrati. Dette, sier han, er avgjørende for å sikre «rettidig handling» mot «nye og kritiske trusler».
Konklusjon
Det er skremmende å se regjeringer øke forsvarsutgiftene sine, ettersom man lurer på hva de vet og hva som kan være rett rundt hjørnet. Men det er en absolutt nødvendighet for å holde land trygge i raskt skiftende tider. Når det er sagt, handler ikke forsvarsutgifter bare om å kjøpe flere stridsvogner eller missiler – våre fiender kan påføre like mye skade gjennom cyberangrep på kritisk infrastruktur.
Så det er oppmuntrende å se at NATO-medlemmene er enige om å sette av en betydelig andel av sine økte forsvarsbudsjetter til å styrke cyberforsvaret. Samtidig vil dette åpne opp muligheter for cybersikkerhetsfirmaer i privat sektor. I tillegg til å bruke mer penger på cyberforsvar, er imidlertid et tett samarbeid mellom offentlig og privat sektor avgjørende for å sikre at disse prosjektene er effektive på lang sikt. Og la oss ikke glemme at mange bedrifter nå er utilsiktede skader midt i geopolitisk turbulens, noe som betyr at de også trenger støtte.
