Vigilante: - Vær forberedt på digitale innbrudd

Er det noen som ikke hørte om Y2K-problemet? Trolig ikke - datasikkerhet fikk enorm mediedekning i forbindelse med årtusenskiftet. Annerledes ser det ut til å være med oppmerksomheten rundt eksisterende systemsårbarheter og IT-sikkerhet forøvrig, kommenterer Tor Arne Berénger i Vigilante.

Konsulentfirmaer og systemleverandører hadde en mengde oppdrag overfor små og mellomstore bedrifter for å sikre seg mot datasammenbrudd i forbindelse med overgangen til år 2000. Den store oppmerksomheten ga resultater - det var forsvinnende få IT-problemer i forbindelse med overgangen til et nytt årtusen. Annerledes ser det ut til å være med oppmerksomheten rundt eksisterende systemsårbarheter og IT-sikkerhet forøvrig.


Problematikken omkring dette området er minst like alvorlig og reell, men kun et fåtall norske bedrifter har aktivt vedtatt handlingsplaner for digitale innbrudd. Mediene dekker hyppig hackerangrep og sikkerhetshull i nettverk og IT-systemer. Til tross for dette har ikke arbeidet med å sikre IT-systemene fått høy prioritet.

Dette må endres! Hver ansvarlig bedriftsleder bør sikre at bedriften gjør sitt ytterste for å forebygge hackerinnbrudd og digitale brister, som kan blottlegge sensitive opplysninger om forretningspartnere, medarbeidere, kunder og alminnelige borgere. Hvis virksomhetens IT-systemer blir utsatt for et digitalt innbrudd, kan det bokstavelig talt sette hele virksomheten ut av spill. Det kan også forårsake uopprettelig skade på det omdømmet bedriften har brukt lang tid på å bygge opp.

Hvor mye har du råd til å miste?
Mange bedrifter tok Y2K-problematikken på alvor på grunn av mediedekningen. Skrekkscenariene var ikke vanskelig å få øye på - ingen turde å lene seg tilbake. Det er tankevekkende at det samme ikke gjør seg gjeldende innenfor IT-sikkerhet. Her opplever vi tvert imot, at noe må gå virkelig galt før ledelsen gjør noe for å forbedre sikkerheten i IT-systemene.

Når skaden først er skjedd er det for sent å reagere. For finansinstitusjoner, som lagrer data om tusenvis av kunder, eller offentlige institusjoner med helseopplysninger om pasienter, er det et spørsmål om hva de råd til å miste. Har de råd til å miste noe i det hele tatt?

Da EU-kommisjonens "Safer Internet"-prosjekt nylig ble utsatt for hackerinnbrudd to ganger, var det både tragisk og komisk. Jeg vil unnlate å berøre de komiske sidene av saken og utelukkende peke på det tragiske. Prosjektets forretningskritiske opplysninger ble blottlagt for de angripende hackerne, som da sto fritt til å distribuere dem verden over. Uavhengig av om opplysningene rent faktisk ble misbrukt, er det en alvorlig sak som svekker EU-kommisjonens omdømme. Men kanskje er det sånne opplagte eksempler som skal til for at sikkerhetsdebatten når samme oppmerksomhetsgrad som Y2K?

Stemplet som politiske aktivister
Alle undersøkelser viser at vi kan forvente flere og mere alvorlige digitale innbrudd i nettverk og IT-systemer i fremtiden. Vi merker samtidig en voksende etterspørsel etter sikkerhetsvurderinger og tester av eksisterende systemer. Paradoksalt nok er det likevel fortsatt hackermiljøet som setter dagsordenen. Hackerne ligger hele tiden foran, og bare unntaksvis opplever vi en bedrift som forsøker å identifisere alle risikoer på forhånd.

Hackerne, Internetts underverden, vinner mye oppmerksomhet ved å torpedere store, kjente bedrifter. Faktisk blir de beundret, og i noen tilfeller benyttes deres hærverk aktivt som politisk aktivisme - hacktivisme. Dette gir enda mer oppmerksomhet i mediene.

Internetts globalitet gir hackere åpenlyse fordeler og gjør dem raskt kjent i miljøet. Det virker derfor merkelig at kun noen få bedrifter har formulert den nødvendige sikkerhetspolitikken. Det er nødvendig å være parat for å håndtere forsøk på digitale innbrudd, og den effekten hacking kan ha på en bedrifts omdømme.

Ledelsen nekter
Det som skal til for å endre situasjonen, er først og fremst oppmerksomhet, handling og evnen til å styre seg ut av eventuelle digitale innbrudd. Ledelsen skal derfor være klar over konsekvensene av manglende sikkerhetspolitikk og se fordelene av aktiv stillingstaking og et velfungerende beredskapsapparat.

Ifølge Institute for Crisis Management (ICM), er bedriftsledelsens manglende vilje til overhode å overveie risikoen for eventuelle kriser, deriblant hackerangrep, en av de vesentligste hindringene for krisestyring. ICM hevder at det i tre av fire virksomheter er ledelsen som nekter å gjøre de ulmende problemene håndgripelige.

Det handler om å sikre virksomheters fortsatte tilstedeværelse og vekst. Det er ledelsens oppgave, og derfor er det også ledelsens oppgave å få IT-avdelingens sikkerhetsoverveielser inn i strategisk og operasjonell sammenheng.

Tenk over om du akkurat nå har styring på hvordan din virksomhet skal reagere om den ble utsatt for et hackerangrep.

Akkurat nå...

Til toppen