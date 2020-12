SKYVER ANSVARET OVER PÅ DE ANSATTE: Dagens digitale opplæring og sikkerhetstiltak dreier seg i for stor grad om hva den enkelte bruker må gjøre, skriver artikkelforfatterne.

Nok en gang har vi vært igjennom årstiden der norske myndigheter setter fokus på sikkerhet. Om høsten kurses tusenvis av ansatte landet rundt i informasjonssikkerhet og digitale verktøy i kampen mot angrep. Innboksene våre fylles opp av rapporter fra aktører som Nasjonal Sikkerhetsmyndighet (NSM), PST, E-tjenesten, Norsk senter for informasjonssikring (NorSIS) og Næringslivets Sikkerhetsråd. Alle med samme viktige budskap om hvordan din bedrift kan øke sikkerheten.

Samtidig ser vi en trend der IT-angrep mot norske mål stadig oftere lykkes. Vi husker alle angrepet på Hydro og konsekvensene det fikk. I nyere tid har vi hørt om hendelser hos Hedmark IKTs kommuner, Sykehuset Innlandet, Synsam og ikke minst angrepet mot Stortinget. Hvordan kan det ha seg, med så mange råd og anbefalinger tilgjengelig?

Ingen av de ansatte skal måtte sitte og ta løpende sikkerhetsavgjørelser, der en menneskelig feilvurdering kan få katastrofale konsekvenser for bedriften

Vi mener dagens digitale opplæring og sikkerhetstiltak i for stor grad dreier seg om hva den enkelte bruker må gjøre. Man fokuserer på å øke de ansattes digitale kompetanse, som selvsagt er viktig, men vi mener det er helt nødvendig å fokusere mer på teknologi.

Sikkerhetsansvarlige kan ikke legge ansvaret for alvorlige sikkerhetsbrister på en enkelt ansatt. Her må IT-avdelingen ta et større ansvar for å legge til rette for gode og sikre løsninger. I «Nasjonal strategi for digital sikkerhetskompetanse» tar regjeringen til orde for økt digital kompetanse. Vi velger å tro det ikke er økt kompetanse hos den enkelte ansatte for å lage komplekse passord regjeringen mener.

En god sikkerhetsløsning består av tre ting: mennesker, prosesser og teknologi, bygget på en grundig trusselvurdering. Ingen av de ansatte skal måtte sitte og ta løpende sikkerhetsavgjørelser, der en menneskelig feilvurdering kan få katastrofale konsekvenser for bedriften. Ingen skal behøve å føle frykt for å åpne en mottatt e-post. Det er her teknologien er viktig, og skal ta de viktige beslutningene for oss. Slik at en enkelt handling av en enkelt ansatt ikke kan få et katastrofalt utfall.

Alle vi som til daglig jobber med teknologiske sikkerhetsløsninger ser flere dataangrep som kunne vært stoppet ved bruk av teknologi. Mange av angrepene var egentlig ikke så avanserte, men rettet seg inn mot utdaterte teknologiske løsninger. Hadde bedriften tatt i bruk moderne teknologi, ville de avverget den krisen et dataangrep er. Hyllevare som maskinlæring og kunstig intelligens kan oppdage, varsle og blokkere unormale og mistenkelige aktiviteter og skadevare. Før det når brukeren.

Vi kan ikke sove med ytterdøra ulåst bare fordi vi har lukket porten

Det handler også om moderne autentiseringer med minimal bruk av passord, samt trusselinformasjon og signaler som deles på tvers av løsninger og geografisk beliggenhet. Ikke minst er det viktig med moderne zero-trust-arkitektur, der man som utgangspunkt ikke stoler på noe, men kontinuerlig verifiserer og antar at alle forespørsler er ondsinnede og kommer fra utrygge nett. Vi kan ikke sove med ytterdøra ulåst bare fordi vi har lukket porten.

Etterhvert som vi blir mer og mer digitale, får de kriminelle stadig flere flater hvor de kan angripe oss. Samtidig må vi vente at angrepene blir mer avanserte og vanskeligere å stoppe. For å oppnå tilstrekkelig sikkerhet, må bedriften være mer bevisst på at oppdatert og avansert teknologi er nødvendig. For en ting er sikkert – de kriminelle kommer til å benytte seg av den nyeste teknologien.

Et digitalt forsvar skapes gjennom kompetente brukere, gode rutiner og prosesser, samt bruk av oppdatert teknologi. Uten teknologien vil forsvarsverket alltid være gjennomtrengelig.

Ole Tom Seierstad

Sikkerhetssjef i Microsoft Norge

Kjetil Nordlund

Sikkerhetsspesialist i Microsoft Norge

Nils-Ove Gamlem

Teknologidirektør i Check Point

Eldar Lillevik

Leder for cybersikkerhet i PwC

Bjørne Brekke

Cybersikkerhets- og teknologirådgiver i Capgemini

Morten Enger

Adm. direktør i Rewired