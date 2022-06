Forrige uke ble det kjent at Norkart var blitt utsatt for et stort datainnbrudd. Torsdag forrige uke uttalte direktør i Norkart, Leif Arne Brandsæter, til Aftenposten at innbruddet skyldes menneskelige feil. Vi hører ofte om slike menneskelige feil, men i 2022 er vi kommet så langt innen IT-sikkerhet at hvis et system er laget uten å ta høyde for slike feil, er det systemet det er noe galt med – ikke mennesket.

IT-sikkerhet kommer ikke av seg selv – og det handler om mer enn bare gode rutiner. Systemer må bygges med sikkerhet innebygget fra starten og lages på en slik måte at enkeltfeil (inkludert menneskelige) ikke får hele korthuset til å falle. Dette er det en del som har innsett, men dessverre er det fremdeles mange som slurver – muligens på grunn av manglende kunnskap om IT-sikkerhet.

Noen ganger slurves det mer eller mindre bevisst, som om man skulle prioritert setevarme foran setebelter når man kjøper bil

Selskaper som utvikler eller drifter IT-systemer bør ha god og oppdatert kunnskap om både verdien på informasjonen som skal behandles, trusselbildet (hvilke aktører som er interessert i å tilegne seg eller endre informasjonen og hvordan disse opererer) og ikke minst hvordan man kan lage og teste en arkitektur med lag på lag av sikkerhetsmekanismer tilpasset verdien på informasjonen som skal beskyttes.

Noen ganger slurves det mer eller mindre bevisst – i den forstand at forsvarlig sikkerhet nedprioriteres til fordel for funksjonalitet – nærmest som om man skulle prioritert setevarme foran setebelter når man kjøper bil. For god sikkerhet koster både tid og penger, på samme måte som all annen kvalitet koster.

Kjøpere må sørge for at det stilles tydelige krav til innebygget sikkerhet og ikke bli fristet til å ta sjansen på å nedprioritere sikkerhet

Omtrent hele samfunnet er nå digitalisert. Det har gått fort og IT-bransjen er fremdeles ung. Nå er det imidlertid på tide å bli voksen. I et innfløkt økosystem med ulike leverandører, sammenkoblede nettverk og ofte uoversiktlig dataflyt er sikkerheten aldri bedre enn sikkerheten i det svakeste leddet. Kjøpere må sørge for at det stilles tydelige krav til innebygget sikkerhet og ikke bli fristet til å ta sjansen på å nedprioritere sikkerhet. Tilbydere må være ærlige på at solid sikkerhet krever mer arbeid – og de må skaffe seg den kunnskapen som er nødvendig for å levere på det de lover.

