Verst når det gjelder

Vær ditt eget svake punkt. Klyp deg hardt i armen, men det er neppe den opplevelsen du frykter mest. Det er noe helt annet om det er andre som klyper for deg.

I slutten av april spurte jeg om hva som er de største truslene mot informasjonssikkerheten i din organisasjon. Hva er ditt verste IT-mareritt?

Et av de vanlige svarene er at den største trusselen er egne ansatte. For mange er noe av det verste som kan skje at bedriftens gode navn og rykte, virksomhetens eget varemerke, blir skadet. Stemmer det, eller er denne trusselen en smule overdrevet på grunn av at slike hendelser ofte kan føles ubehagelig personlige?

Heldigvis er navn og rykte ganske robuste saker, og etter en sikkerhetshendelse kan denne delen av skaden begrenses med godt informasjonsarbeid. Det som kan bli det store marerittet er å stå rådløs og handlingslammet når hendelsen er et faktum.

Det er viktig å ha beredskapsplaner som virker, og disse planene bør også ta for seg informasjonsarbeidet knyttet til hendelsene du skal takle. Ved et innbrudd i virksomhetens lokaler får du som regel beskjed fra egne ansatte eller vaktselskap, men ved et datainnbrudd kan det like gjerne være en journalist som ringer.

Akseptabel risiko

Et viktig begrep i forbindelse med risikovurderinger er akseptabel risiko. Sikkerheten skal ikke koste mer enn skaden du sikrer deg mot. Når du skal formulere hva som er akseptabel risiko for en hendelse bør du først og fremst tenke økonomi og jus, men det kan også lønne seg å tenke informasjonsarbeid. Hva skal du si til ansatte, kunder og pressen dersom dette er en hendelse du mener det er akseptabelt at forekommer av og til?

En dårlig forklaring kan bety at konsekvensene av hendelsen blir større enn nødvendig.

Det betyr ikke at du skal ta sikte på å bli mester i bortforklaringer. Målet er å reagere riktig og framstå som troverdig når uhellet er ute. Det er jo synd om du har full kontroll og ikke klarer å formidle det til kunder eller et nyhetstørstende publikum.

Et godt eksempel på utfordringen med å forklare bedriftens egne vurderinger av hva som er akseptabel risiko er NetComs tekniske svikt for kort tid siden. Det er sannsynlig at Netcom har vurdert sårbarheten til sentralen som ble rammet, og da har de også gjort en vurdering av akseptabel risiko. Når feilen skal utbedres gjør de trolig en ny vurdering om løsningen fremdeles gir akseptabel risiko. I tillegg må de regne med å bli sammenlignet med konkurrentene.

Akseptabel risiko er på ingen måte noe tomt eller uklart begrep som skal få lov til å støve ned i en risikoanalyse.

Alt skjer ikke fort

Siden jeg skrev kommentaren om sikkerhet i slutten av april har det vært et par saker om ulovlig musikk og filmer hos norske bedrifter i avisene. Saken om Eterra er et godt eksempel. I pressemeldingen de laget som svar på omtalen i Dagens Næringsliv kommer det fram at de har hatt god tid til å forberede seg på at saken kom ut.

Den tilsvarende saken hos Hydro gir dessverre et eksempel på hva man det kan være uheldig å si. Kommunikasjonsdirektøren sier i følge avisene at: Vi kan ikke se vi har lidd noe økonomisk tap. Det kan godt hende at Hydro ikke har hatt noe tap ut over bortkastet arbeidstid og negativ medieomtale, men jeg vil tro at de som eier rettighetene til filmene og musikken som er kopiert mener noe annet om økonomiske tap.

Den aller beste situasjon er selvsagt å selv kunne gå ut med informasjon på en måte som verken vekker oppsikt eller tråkker noen på tærne. Nå og da er det best med nesten kjedelig redelighet, men det krever fremdeles at du reagerer raskt nok til å være først ute.

Det er heller ikke noe sjakktrekk å komme med for mange forklaringer. Bruk den tiden som er nødvendig for å finne årsakene til at noe har gått galt før du uttaler deg offentlig, og selv da er det viktig at du forsikrer deg om at årsak og virkning virker fornuftig og kommer i riktig rekkefølge. Ta deg tid til å tenke gjennom kritiske spørsmål, de vil garantert komme selv om du har en god forklaring på hva som gikk galt.

Vær takknemlig for masete spørsmål fra dine egne medarbeidere før du skal møte mediene.

Planlegg for det uventede

En stor utfordring i sikkerhetsarbeid er at det aldri er mulig å dekke alle mulige hendelser. En ting er at det er sannsynlig at noe usannsynlig vil skje, det uventede bare venter på å skje det også.

En mulighet for å redusere omfanget av de uventede hendelsene er å hente inn ekstern kompetanse, men selv de beste på dette området tar som regel et lite forbehold med hensyn til å se inn i framtiden. I det lange løp er uansett det usannsynlige en nær slektning av det uventede. Det er en mager trøst at noen har nevnt muligheten for en hendelse dersom den ble ansett som så usannsynlig at det ikke ble brukt tid til å se på konsekvenser, mottiltak og beredskapsplan.

Det er mulig å legge planer selv for det uventede. Hvem skal du kontakte for raskt å finne ut hva som egentlig har skjedd og vurdere omfanget? En enkel og effektiv plan for raskt å finne ut hvor alvorlig noe uventet og tilsynelatende truende egentlig er. I enkelte tilfeller kan det være hensiktsmessig å hente hjelp fra en informasjonskonsulent, og da får du mest for pengene de første timene etter hendelsen.

Første gang gir mang en småting rang. Henrik Wergeland hadde helt rett da han skrev at den varer kort, kun i sekunder. Den viktigste egenskapen til førstegangsinntrykk er at du får kun ett forsøk. Journalister er helt klar over dette når de ringer og spør om du vet at du har hatt datainnbrudd, lekker informasjon som en sil, eller at de ansatte bruker tid og ressurser på fildeling eller andre tvilsomme aktiviteter.

Når det uventede skjer bør du i det minste vite hvem du skal kontakte og hvordan dere best kan bruke den første timen. Hva har skjedd? Hvor alvorlig er det? Pågår det fremdeles? Hvor er egentlig de som vet noe om dette? Hvordan skal skade gjenopprettes? Hva skal vi si?

Hvordan du reagerer på en hendelse er like viktig som hva du har gjort for å sikre at det ikke skulle skje. Det hjelper lite om hver øvelse går kjempebra dersom det stopper opp når det virkelig skjer. Det du kan frykte mest er å være verst når det gjelder.

Til toppen