For viktig til å overlates til IT-sjefen

En norsk virksomhet rapporterte nylig om et stort tap som følge av svindel. Til tross for advarsler og anbefalte tiltak etter en tidligere hendelse gikk det galt, skriver Harald Næss i Nasjonal sikkerhetsmynidghet.

SVINDLET: Nylig gikk det galt for en norsk virksomhet som følge av kombinasjonen tjenesteutsetting av IT, svak operasjonell håndtering, samt manglende risikoforståelse og risikobevissthet i organisasjonen. Illustrasjonsfoto: Dreamstime
Debattinnlegg

Hva menes med overskriften? Skal ikke IT-sjefen ta seg av digital sikkerhet? Svaret er selvfølgelig ja, hun eller han må ta seg av dette og mye annet. Men – i enhver virksomhet er det slik at ledere opererer innenfor de rammer, mandater og holdninger som defineres av styre og eiere. Ofte er det målsetninger om vekst, økonomisk resultat og kanskje aksjekurs som er drivere. 

I hvilken grad virksomhetens verdier, som ofte er nært knyttet opp til IKT-systemene, digitalt sett er forsvarlig sikret har ikke alltid øverste prioritet. Det kan være mange grunner til det – digital sikkerhet oppfattes som teknisk komplisert, tungvint og kostnadsdrivende uten bunnlinjegevinst. IKT-sikkerhet blir fort vanskelig, fullt av teknologibegreper og noe som IT løser. «Vi har jo brannmur og leverandøren tar jo backup…» er en vanlig tankegang.

Problemstillingen er imidlertid at mange virksomheter ikke forstår sine reelle cyber-risikoer

Problemstillingen er imidlertid at mange virksomheter ikke forstår sine reelle cyber-risikoer. Mangelfull eller manglende risikovurdering og konsekvensanalyse, samt mangelfull oversikt over virksomhetens samlede verdikjede er gjengangere. Ved utstrakt bruk av tjenesteutsetting fjerner man seg dessuten ytterligere fra en god forståelse av sårbarheter i verdikjeden og bygger ned virksomhetens egen evne til å kravstille og følge opp leveranser, «IT skal jo bare fungere».

Harald Næss. Foto: Eivind Yggeseth

Som toppleder eller styremedlem bør du kanskje stille spørsmål av typen: Hva skjer med vår verdikjede om noen av (IKT) systemene feiler, hvem har ansvaret for systemene som understøtter våre verdier – og hvordan følger vi opp dette i vår virksomhet?

Noen tankeeksempler: Tåler bedriften at prosesskontrollsystemet er nede i mange timer? Er det greit at kundelisten kommer på avveie? Hva om fordringsmassen vår en dag ikke er tilgjengelig for regnskap? Er vår teknologi, prosessbeskrivelser og kildekode noe vi har lyst til å gi i fra oss? Spiller det noen rolle om nettsiden for kundebestillinger er utilgjengelig noen dager? Hva skjer hvis vi plutselig ikke har oversikt over bemanningsplaner, kundeleveranser og kontraktuelle forpliktelser?

Men fremfor alt bør man spørre seg: Har vi tilstrekkelig ledelsesfokus og god nok organisatorisk bevissthet på digital sikkerhet? Hvordan følges dette opp og hvordan styres våre leverandører?

Til tross for advarsler og anbefalte tiltak etter en tidligere hendelse gikk det galt som følge av kombinasjonen tjenesteutsetting av IT, svak operasjonell håndtering, samt manglende risikoforståelse og risikobevissthet i organisasjonen

Et ganske trist, men nylig eksempel, er en norsk virksomhet som rapporterte om stort tap som følge av svindel. Til tross for advarsler og anbefalte tiltak etter en tidligere hendelse gikk det galt som følge av kombinasjonen tjenesteutsetting av IT, svak operasjonell håndtering, samt manglende risikoforståelse og risikobevissthet i organisasjonen.

Poenget i denne sammenheng er at hendelsen ikke kan tilskrives en ren teknisk svikt, men er en konsekvens. Ja, svindelaktøren var teknisk kompetent og ressurssterk, men årsaken til at de kriminelle klarte å nå sitt mål er organisasjonens svake risikoforståelse og mangel på gjennomføring av adekvate tiltak. Leverandørstyring og forventningsavklaring er blant disse. Da ser vi også hvorfor digital sikkerhet ikke bare er IT-sjefens ansvar, men noe som må stå på toppledelsens og styrets agenda.

Nevnte virksomhet har for øvrig nå fått styrket sin IT-ledelse, vi håper virkelig at de får den støtten som behøves fra styrerommet.

Harald Næss

Leder for IKT-rådgivning innen cybersikkerhet/NSM

Nyheter
Debattinnlegg