Lange tak kan gi kultur for IT-sikkerhet

Å skape en IT-sikkerhetskultur krever mer enn bare en kraftanstrengelse, mener Jon Bing.

Det er lett å se at med en bedre kultur innen IT-sikkerhet hadde Norge og verden blitt bedre steder. Derav spørsmålet: Hvordan skape en sikkerhetskultur?

Dette er temaet for et foredrag Jon Bing skal holde på mandag under et seminar arrangert av Microsoft i Oslo. Seminaret samler en rekke bransjetopper for å diskutere IT-sikkerhet i dag og de neste årene fremover i Norge. Seminaret er gratis - her kan du lese mer og melde deg på.

digi.no har fått en gjennomgang av Bings foredrag om sikkerhetskultur og hvor mye den enkeltes forståelse har å si.

- Kultur har med hverdagsspørsmål å gjøre. Det er noe man tenker på hele tiden. Derfor er det forskjell på kultur og kraftanstrengelse. Når det gjelder datasikkerhet, er det viktig å understreke at det gjelder ikke bare uautorisert tilgang og data på avveie. Det gjelder også kvaliteten på lagrede data, at det som står i et register er korrekt. Flere undersøkelser viser at data i offentlige registre har store mangler, og at opptil halvparten av opplysningene kan være feilaktige. Et tredje aspekt er at data brukes til avklarte formål, og bare det.

Erfaringer fra andre felter der kultur og sikkerhet er et tema, for eksempel veitrafikk og helse, viser hvor vanskelig det er å skape sikkerhetskultur.

– Å skape rettslige normer er lett. Å skape holdninger er langt vanskeligere. Man vet at holdninger i en organisasjon er avhengig av at ledelsen viser dem i praksis. Ledere som nikker besøkende inn i lukkede områder i stedet for å gå gjennom den vedtatte adgangskontrollen, viser at det ikke er noen grunn til å ta sikkerhetsrutinene alvorlig. Andre kurante brudd på IT-sikkerhet er ledere som omgår regler som sier at man skal skifte passord. Kultur består av mange selvfølgelige rutiner som man overholder.

Holdningskampanjer står gjerne sentralt når det offentlige prøver å drive gjennom kulturskifter.

– En holdningskampanje alene bidrar ikke til noe, og erfaringen etter slike kampanjer er gjerne at de ikke virker. Likevel mener jeg at IT-sikkerhet bør være gjenstand for offentlige kampanjer. De gir normsenderne, det vil si ledere og andre man ser opp til, en anledning til å vise at de følger opp det kampanjen søker å etablere som kultur. Normsendernes demonstrasjoner må ikke slutte med kampanjen, men må være en del av hverdagsarbeidet gjennom måneder og år.

Det er spesielt viktig at det offentlige gjør sin egen sikkerhetskultur tydelig.

– Det er mye å gjøre innen offentlig sektor for å etablere gode sikkerhetsrutiner. Det er problematisk at vi ikke har selvfølgelige måter å sikre e-post, og at for eksempel fakser med persondata ikke sendes kryptert. De virkelig svake punktene er de mange små hjørnene som skjæres over for å få tingene til å gå raskere rundt.

Kontrollen ved flyplassene etter terrorangrepene 11. september 2001 er et negativt eksempel, mener Bing.

– Det ble umiddelbart satt inn svært strenge rutiner. Det er lett å merke at det ikke på langt nær er den samme graden av årvåkenheten i dag. På den andre siden førte attentatene i Madrid i forrige uke til en ny skjerping. Sikkerhetskontrollen går i bølger. Det sender et signal om at den er ikke så nødvendig som man vil ha det til.

I dag er det to avgjørende skiller mellom trafikksikkerhetsarbeid og IT-sikkerhetsarbeid i Norge. Mens det føres løpende statistikk over ulykker og farlige veistrekninger, er det ingen offentlige målinger av IT-sikkerheten. Og mens råkjørere kan straffes, er det ingen sanksjoner mot uvøren IT-bruk, utenom egen økonomisk tap.

– Vi burde hatt en løpende revisjon av datasystemer, med ordninger for å rapportere hvor sikkerheten er bra og dårlig. Revisjonen må ta opp både hvor sårbare systemene er for misbruk, og kvaliteten på den lagrede informasjonen. Revisjonsrapportene må være offentlige, og skrevet slik at man kan for eksempel sammenlikne de ulike bankene med hverandre. De kan gjerne utføres av Riksrevisjonen.

Alt dette krever noe man kanskje er uvant med i Norge: Målrettet arbeid over flere år, med ledere og rollemodeller som kontinuerlig går fram med et godt eksempel og tar selv de minste detaljene i de nye reglene alvorlig.

Til toppen