KjøpLogg inn
Publisert 24. mai 2020 kl. 20.18
Lesetid: 2 minutter
Artikkellengde er 460 ord
IKKE BARE Å TETT SIKKERHETSHULL: Informasjonssikkerhet må bli en like naturlig del av ledernes hverdag som budsjetter, skriver Irene Westlie.  Foto: Dreamstime

Toppledelsen må engasjere seg

Norske ledere har manglende kompetanse på informasjonssikkerhet og må slutte med å behandle temaet som en en fotnote, skriver sikkerhetsekspert Irene Westlie.

Det er vanskelig å slukke en brann med en hullete brannslange. På samme måte er det tilnærmet umulig å stoppe et dataangrep uten å ha oversikt over virksomhetens sikkerhetshull. Det holder ikke med utgåtte rammeverk og styringsplaner. Dataangrep er i dag så komplekse og sofistikerte at en passiv leder, uoppmerksom ansatt eller et smutthull hos en leverandør kan være nok.

Det handler ikke først og fremst om å tette et teknisk sikkerhetshull, men om kultur og en samlet ledergruppes erkjennelse av at sikkerhetskompetanse er viktig for å lykkes på bunnlinjen

Alvorlige hendelser skjer plutselig, men gang på gang erfarer vi at konsekvensene blir mindre når ledelsen har trent på håndteringen sammen. Sånn er det med informasjonssikkerhet også. Det handler ikke først og fremst om å tette et teknisk sikkerhetshull, men om kultur og en samlet ledergruppes erkjennelse av at sikkerhetskompetanse er viktig for å lykkes på bunnlinjen. Informasjonssikkerhet må bli en like naturlig del av ledernes hverdag som budsjetter. Det kan avgjøre selskapets fremtidige skjebne.

Irene Westlie. Foto: Skarpe

Det seneste året har vi vært vitner til at store virksomheter har stått frem i media etter at de har blitt rammet av hackerangrep. De fleste sikkerhetshendelsene får ikke medieomtale, men de påfører bedriftene stor skade.

Allerede to uker inn i krisen kunne mediene rapportere om nye hacking- og phishing-angrep direkte knyttet til coronasituasjonen

Likevel ser ledelsens bekymring ut til å være påfallende lav. Rapporten «Trusler og trender 2019–2020» fra NorSIS viser at en av fire norske bedrifter tror de er immune mot dataangrep. Det til tross for at antall svindler og bedragerier på en rekke områder økte i 2019. I samme rapport fra 2018–2019 ble det løftet frem at altfor mange av de mer enn 500.000 norske små og mellomstore bedriftene ikke har forstått hvor attraktive mål de er for datakriminalitet.

Ingen forventet at nesten hele Norge skulle sitte på hjemmekontor fra midten av mars. Allerede to uker inn i krisen kunne mediene rapportere om nye hacking- og phishing-angrep direkte knyttet til coronasituasjonen. Krisen har synliggjort nye sikkerhetsutfordringer som følger av nye digitale verktøy, IoT, skylagringstjenester og digitale samhandlingsmetoder.

«Trusler og trender 2019-2020» viser en klar tendens til at angrepene i større grad nå rettes mot enkeltpersoner. Mørketallsundersøkelsen 2018 fra Næringslivets sikkerhetsråd bekreftet at mer enn halvparten av sikkerhetsbruddene i norske virksomheter et resultat av menneskelige feil.

Systemer for å ivareta informasjonssikkerhet, opplæringsprogrammer om hvordan forholde seg på hjemmekontor og IT-avdelingens evne til å avdekke tekniske sårbarheter er viktig, men ikke nok. Mens ledelsen fortsetter å snakke om forretningsutvikling, effektivitet og finansielle resultater, bekymrer fagfolkene seg for at virksomheten skal gå under på grunn av et digitalt angrep. For informasjonssikkerhet er en sentral del av den daglige driften.

Nå må ledelsen engasjere seg i virksomhetens digitale sikkerhet. De har ikke lenger råd til å sove i timen.

Irene Westlie

Seniorrådgiver informasjonssikkerhet i Skarpe