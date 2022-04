Jan-Petter Haanshuus henviser til Mørketallsundersøkelsen 2020 utført av Næringslivets sikkhetsråd. Den viser at det ofte er menneskelig feil og lav sikkerhetsbevissthet blant ansatte som ligger bak dataangrepene.

– Den menneskelige faktoren er altså avgjørende for å hindre dataangrep. Derfor er det viktig å skape en robust sikkerhetskultur, og det ansvaret hviler på ledelsen, mener Haanshuus.

Sikkerhetskultur angår alle. Ingen virksomhet, uansett størrelse, er forskånet for dataangrep. – Utfordringen for oss som jobber med IT-sikkerhet, er å gjøre folk oppmerksomme på risikoen, presiserer han.

Hvor lenge hadde du klart deg uten filene dine?

Jan-Petter Haanshuus

Mange virksomheter tenker ikke på seg selv som et attraktivt mål, ofte fordi det er uklart hva de har av digitale verdier. Selv om verdiene dine ikke nødvendigvis er omsettelige i særlig grad, har du likevel verdier, og det holder at noe er verdifullt for deg. Uten tilgang er det kanskje umulig å opprettholde driften, i alle fall på kort sikt. Får du serveren din kryptert, foretrekker noen å betale 100 000 kroner for å gjenopprette hverdagen. I stedet for å bruke fire uker på å reetablere infrastrukturen som trengs. For ikke å snakke om alle filene som ellers ville gått tapt om du ikke betaler.

Likegyldighet er grobunn for dataangrep

Så lenge virksomheter tar lett på IT-sikkerhet, har angriperne gode arbeidsforhold. Da vil det komme flere angrep som gir løsepenger, som igjen finansierer utstyr, kompetanseutvikling og enda nye angrep.

Haanshuus peker på at IT-sikkerhetskultur både har et individuelt og et kollektivt aspekt. Virksomheter som tar dette på alvor, beskytter seg selv og samfunnet de er en del av. Økonomien er svært sammenvevd. Det er ikke noe særlig å være leverandør hos en kunde som ikke kan betale for seg fordi regnskapssystemet deres er hacket.

– Et annet poeng er sensitive opplysninger. De har en tendens til å spre seg til flere ledd i verdikjeden, og lekkasjen kan vær et faktum selv om bare ett av leddene rammes av et angrep, sier Haanshuus.

En håndbok for ansatte

Som leder må du være bevisst på hva som er minimumskrav fra myndigheter og andre interessenter. Like viktig er det å være klar over hva som faktisk sikrer verdiene i selskapet.

– Mitt råd er å bruke dette til å lage en håndbok for ansatte som du oppdaterer jevnlig ut fra trusselbilde. Ta gjerne kontakt med oss om du ønsker hjelp til å gjøre en analyse av virksomheten din, sier han.

Øvelse gjør mester

Haanshuus har mye på hjertet:

– Når kulturen er definert, gjelder det å holde bevisstheten i hevd. Det innebærer å øve, akkurat som ved brannøvelser og førstehjelp. Hvilke tiltak som gjelder for virksomheten din, er helt individuelt. Poenget er at alle ansatte må vite og automatisk ha korrekt atferd i møte med potensielle trusler. Angripere er eksperter på å vinne tillit og tilgang. Har du tjenesteutsatt IT-tjenester er det lett å tenke at også sikkerheten er ivaretatt av noen andre. Det bare er delvis riktig.

– Tjenestene kommer med innebygde sikkerhetsmekanismer, men kulturen kan du aldri sette vekk. Det er fullt mulig å sikre tjenester på usikre måter, så bevisstgjøring og øving er høyaktuelt for alle virksomheter, sier Haanshuus til slutt.