SIKKERHET

Menneskelige sårbarheter fører til økt trusselbilde

Krigen i Ukraina aktualiserer det digitale trusselbildet.

De ansatte er nøkkelen til suksess – også når det gjelder sikkerhet, mener Kenneth Titlestad  (t.v.), Jørgen Rørvik og Ingvild Araldsen Blom i Sopra Steria.
De ansatte er nøkkelen til suksess – også når det gjelder sikkerhet, mener Kenneth Titlestad (t.v.), Jørgen Rørvik og Ingvild Araldsen Blom i Sopra Steria. Foto: Sopra Steria
Ingvild Araldsen Blom (direktør for digitale plattformtjenester), Jørgen Rørvik (byrådirektør for digitale plattformtjenester) og Kenneth Titlestad (direktør for cybersikkerhet) i Sopra Steria
6. mars 2022 - 14:00

Mektige trusselaktører utgjør en stadig større risiko for norske virksomheter. Krigen Russland fører mot Ukraina, aktualiserer dette på nytt. Hvor stor rolle spiller menneskelige feil i dette trusselbildet?

Med dagens usikre sikkerhetssituasjon ser vi at komplekse datastrømmer gjør eierskapet til risiko både fragmentert og vanskelig å holde oversikt over. Data som tidligere lå lagret bak sikre murer, kan utilsiktet bli delt i skyen. Leverandørlandskapet blir mer sammensatt, kompleksiteten øker, og datakvaliteten kan bli svekket. Ulike undersøkelser viser til at andelen hendelser som involverer menneskelige feil, er på over 90 prosent. Er det for lite fokus på menneskelige og organisatoriske sårbarheter når vi snakker om datasikkerhet?

Ulike teknologier kan skape risiko

Gjennom industriell digitalisering og Industri 4.0 har mange sett muligheten for å anvende produsenteide løsninger sammen med ny, åpen teknologi. Der man før benyttet seg av én leverandør og lukkede løsninger, ser man  et økosystem av ulike leverandører i nettverk. En risiko er imidlertid at data som styrer utstyr, det vil si operasjonell teknologi, og data som kommer fra informasjonsteknologi (IT), ikke nødvendigvis har de samme krav til integritet og konfidensialitet. Bakgrunnen for dette er at operasjonell teknologi tradisjonelt ikke har hatt behov for cybersikkerhet, da systemene ikke har vært koblet til internett.

Et eksempel på risiko er det komplekse bildet av ulike dokumenthåndteringssystemer. Det som kan oppfattes som rigid eller tungvint tilgangskontroll, kan føre til at brukere av systemene benytter såkalt «skygge-IT». Det kan være tredjepartsløsninger som Dropbox, Google Drive og liknende. Når tilgangsstyrt, sensitiv informasjon i et dokumenthåndteringssystem blir kopiert ut og delt via uavhengige tredjepartsløsninger, utviskes den opprinnelige informasjonsklassifiseringen og tilgangskontrollen.

IT og operasjonell teknologi er isolert sett hver sine forretningsområder og ofte organisert mange forretningsledd unna hverandre. Et resultat av dette er at det blir mer komplisert å peke ut hvem som er risiko- og informasjonseier. To fagmiljøer uten felles sikkerhetskultur kan utgjøre en stor sikkerhetsrisiko for hver enkelt bedrift. Lederutfordringen for å håndtere denne risikoen blir å skape et felles språk samt felles sikkerhetskultur mellom fagmiljøene.

Menneskelige sårbarheter 

Mange av de siste års hendelser innenfor datasikkerhet skyldes menneskelige sårbarheter, som mangel på sikkerhetskompetanse eller ubetenksomhet. Mange virksomheter har satt i gang kompetansehevende tiltak og bevisstgjøringsaktiviteter for å øke sikkerhetskompetansen internt. Disse tiltakene er ofte av generell art og mangler virksomhetstilpassede læringsmål. De kan også mangle en målingsprosess for å evaluere hvorvidt tiltakene har en positiv effekt eller ikke. Med bakgrunn i dette kan det være vanskelig å vurdere om virksomheten har tilstrekkelig sikkerhetskompetanse.

Menneskelig ubetenksomhet kan skyldes manglende forståelse for egen rolle i virksomheten eller manglende bevissthet om eierskap til informasjon eller risiko.  Vurderingen av eierskap til informasjon og risiko gjøres også av mennesker, og det er helt sentralt å påse at prosesser og etterlevelse er forankret i god risikoforståelse og risikostyring.

I etterkant av dataangrep blir informasjon om hendelsen og sårbarheter ofte gradert eller behandlet konfidensielt. Det er forståelig at virksomhetene ikke ønsker å gå ut med denne typen informasjon, men det svekker muligheten for å dele kunnskap om hendelser, sårbarheter, felles risikobilder og relevant sikkerhetsinformasjon på tvers av sektorer. Dette gir igjen et dårligere utgangspunkt for å få oversikt over det totale trusselbildet vi som samfunn står ovenfor.

Nøkkel til suksess

De ansatte er nøkkelen til suksess – også når det gjelder sikkerhet. En virksomhet kan ikke lykkes med risikovurderinger og risikotiltak uten sine ansatte. En forutsetning for å lykkes med risikoarbeidet er imidlertid tilgang til moderne teknologi for deteksjon og respons, i tospann med opplæring av ansatte.

Selv med full kontroll på menneskelige sårbarheter vil enkelte ansatte ha som jobb å åpne vedlegg.  HR-avdelingen i en virksomhet vil eksempelvis få mail fra ukjente søkere der cv er vedlagt.  Derfor kan ikke utfordringen løses kun med kontroll på menneskelig sårbarhet. Virksomhetene må også inkludere moderne teknologi for å ta høyde for at folk gjør feil.

Så vandrer de altså sammen – teknologi og mennesker. Vi løser det ikke med å adressere den ene eller andre.

Pål Wien Espen overleverer en risiko- og sårbarhetsanalyse for den digitale infrastrukturen i Trøndelag til digitaliseringsminister Karianne Tung.
Les også

Trondheim er sårbart – frykt for at fiberbrudd kan isolere Nord-Norge

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.