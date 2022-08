Våre hackere fikk maksimalt bruke en time per leder. Når suksessraten er såpass høy etter en time, kan man tenke seg hvordan den er etter 10 eller 100 timers planlegging og gjennomføring. Dessverre er dagens IT-kriminelle alltid i forkant. Sikkerhetsmiljøene fikser svakhetene som allerede er blitt brukt. Jakten på neste hull allerede i gang og kanskje allerede i bruk for å hente ut data og verdier fra nye virksomheter.

Det største hullet er dessverre de ansatte. Mellom 80 og 90 prosent av alle vellykkede IT-angrep gjennomføres ved misbruk av ansattes tillit, deres uoppmerksomhet eller manglende bevissthet på hvordan kriminelle opererer. Resten skyldes primært at virksomheter ikke oppdaterer programvaren sin raskt nok. Likevel brukes mindre enn 10% av sikkerhetsbudsjettet på de ansatte!

God IT-sikkerhet i dag har tre pilarer: IT-systemer, gode rutiner og prosedyrer, og kultur. De to første kan kjøpes. Den siste, sikkerhetskultur, må utvikles og trenes. Det er mer tidskrevende for organisasjonen, enn de to første. Derfor investeres det mindre her, enn i de to første. Å bygge og opprettholde en god sikkerhetskultur i en virksomhet handler blant annet om gode retningslinjer, god oppfølging på avvik, god opplæring og jevnlig trening – av alle. Igjen, IT-kriminelle går etter det svakeste leddet, enten det er topplederen, en mellomleder eller en nyansatt.

Målinger av sikkerhetskultur over hele verden viser at ingen bransjer er spesielt gode til dette. Selv om selskaper som arbeider mye med risikostyring, som bank og finans og teknologibransjen er bedre enn snittet. Noen bransjer er ganske dårlige, som hotell- og serveringsbransjen og utdanningssektoren.

Dessverre er Norge som nasjon på ingen måte best i klassen. Vår undersøkelse viser at Bulgaria og Irland er best på sikkerhetskultur i Europa, og i Skandinavia ligger Sverige godt foran Norge og Danmark.

Med tanke på den pågående geopolitiske situasjonen i Europa er risikoen i hvert fall ikke mindre enn før. Norske organisasjoner bør våkne opp og ledere bør lære av Tangen før det er for sent. Å forbedre egen IT-sikkerhetskultur er noe alle virksomheter kan sette på dagsorden, uavhengig av størrelse eller ressurser. En sikkerhetskultur med trente medarbeidere er det beste forsvarsverket når den digitale krigføringen utkjempes. Dessverre utkjempes den hver dag, enten topplederen vet om det eller ikke.