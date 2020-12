Fremtredende teknologiledere ba i Finansavisen om at vi måtte stole på og investere i teknologi for å redusere sikkerhetsrisiko. Dessverre er plattformen for IT-systemene utviklet for effektiv informasjonsflyt, ikke sikkerhet. Derfor må vi både stole på og lære opp enkeltbrukere.

Det beste hadde vært å plassere huset på stengrunn. Det er ikke realistisk for internett

Teknologilederne skrev at vi «Kan ikke legge skylden på enkeltbrukere» når vi skal sikre en virksomhet mot cybertrusler. Jeg kjenner ikke til mange tilfeller av det. Ledere forstår at det er menneskelig å feile, og at teknologien ikke kan sikre virksomheten alene. I tillegg følger det en kostnad med ny teknologi.

Faksimile Finansavisen 7. desember 2020. Faksimile: Finansavisen

For å forstå cybersikkerhet og -risiko er utgangspunktet internettets grunnteknologi, utviklet på 60-tallet. Oppgaven var å sikre informasjonsflyt fra A til B, uavhengig av antallet punkter mellom disse. Selv under en atomkrig skulle det være mulig å kommunisere. Tilgjengelighet var løsningen, ikke konfidensialitet og integritet. Atomkrigen kom aldri. I stedet ble teknologien spredd til akademia og næringslivet. Bruken er endret, men ikke grunnteknologien. Den brukes for eksempel av Finansavisen på nett og Microsoft 365. I tillegg er kjøleskap, biler, overvåkingssystemer og forretningskritiske applikasjoner koblet til. Forretningskritiske systemer, som skal være «hemmelig», blir til et nettverk som er designet for det motsatte. Teknologileverandørene vet dette og ønsker derfor å selge sine nye, bedre sikkerhetsløsninger.

«Han blir lik en forstandig mann, som bygget sitt hus på fjell,» står det i Bibelen. For å ta lignelsen videre: dagens teknologi er bygget i ei bunnløs synkemyr. Det hjelper ikke hvor mange dører, vegger eller etasjer du bygger, om huset ikke står støtt eller fortsetter å synke. Det beste hadde vært å plassere huset på stengrunn. Det er ikke realistisk for internett. Det er for mye penger i å bygge på og vedlikeholde dagens løsning. Derfor vil vi fortsatt være avhengig av en teknologi som ikke er laget for vårt formål.

Kompetanse, opplæring og bygging av en intern sikkerhetskultur kan ikke erstattes med teknologi og prosesser. Vi må i stedet ha et holistisk perspektiv: Menneske, Prosess og Teknologi - i samspill, ikke prosess og teknologi alene. Når vi nå har begynt å se på det menneskelige og kulturelle aspektet, er det på tide. Sammen med prosess og teknologi, ikke i stedet for. Årsaken er at disse tre elementene påvirker hverandre og skaper balanse. Når du endrer en, påvirker det de to andre. Sikkerhetsarbeidet må søke å forstå, for så å kontrollere og styre endringene.

For å styrke IT-forsvaret, må vi tenke som Forsvaret. Med kjøp av et nytt kampfly, følger opplæring av piloter og endrede prosedyrer

For å styrke IT-forsvaret, må vi tenke som Forsvaret. Med kjøp av et nytt kampfly, følger opplæring av piloter og endrede prosedyrer. For å lukke flest mulig sikkerhetshull i et IT-system må vi forbedre prosessene, og forbedre teknologien. Vi må også ansvarliggjøre brukerne, gjennom opplæringsprogrammer og oppfølging. Det tar tid, er kostbart, og helt nødvendig. Fordi zero trust alene hjelper ikke. Det er nok ett hjelpemiddel for å gjøre det enklere å sikre en virksomhet, men det erstatter ikke brukeropplæring. De ansatte er nøkkelen til en sikker virksomhet. De ansatte er vaktene som passer på at døren er låst.

Kai Roer

Adm. direktør i Cltre