I løpet av kun en drøy uke ble det kjent at Sykehuset Innlandet, Stortinget og syv kommuner i Innlandet var blitt utsatt for dataangrep. Hvordan angrepene har skjedd og hvilke sårbarheter som ble utnyttet er foreløpig i mindre grad kjent. Uavhengig av hvordan dataangrep skjer, er fellesnevneren at virksomhetens sikkerhetskultur kunne vært bedre.
I tiden fra disse sakene ble kjent, har mange vært ute og ment at sikkerhetskulturen må forbedres. Der er jeg helt enig, men først må vi avklare hva sikkerhetskultur faktisk er. Gjennom mange års forskning, har vi i CLTRe og KnowBe4 identifisert at følgende syv områder er bærende i sikkerhetskultur: holdning, atferd, kognisjon, kommunikasjon, normer, ansvar og etterlevelse.
Noe som derimot ikke er inkludert i sikkerhetskultur, er åpenhet og deling av data i forbindelse med dataangrep. I mange tilfeller vil åpenhet være nyttig for mange, men det er også viktig å skille mellom hva man skal dele offentlig, og hva som er en god sikkerhetskultur.
Sikring av forskningsdata får stryk. Tok full kontroll over IT-systemer
Sikkerhetskultur handler om å sikre verdier
Sikkerhetskultur handler om kulturen for å sikre en virksomhets verdier, ofte i form av informasjon, og i økende grad i cyberdomenet. En virksomhets håndtering av dataangrep, og deling av informasjon ved slike hendelser, er en del av sikkerhetskulturen, men det medfører ikke automatisk at en god sikkerhetskultur forutsetter deling av informasjon. I stedet gjør en god sikkerhetskultur en virksomhet i stand til å fatte gode og riktige beslutninger før, under og etter en hendelse.
For dårlig regelverk, lite opplæring eller svak etterlevelse av normer og regler, er alle eksempler på svikt i en sikkerhetskultur. Så selv om det investeres i verdens sikreste system, hjelper det lite hvis det ikke samtidig investeres i å utvikle forståelige rutiner og å lære opp medarbeiderne.
Vi i CLTRe og KnowBe4 har analysert svar fra mer enn 120 000 medarbeidere i virksomheter over hele verden. Flere enn 9 av 10 virksomheter har det vi definerer som en moderat sikkerhetskultur. Dette er urovekkende, fordi nær alle kjente tilfeller av datakriminalitet har skjedd ved å utnytte sårbarheten enkeltmedarbeidere utgjør.
Offentlig virksomhet gjør det dårlig
Særlig skremmende er det at offentlige virksomheter gjør det dårlig. Innen offentlig sektor blir stadig flere tjenester og data tilgjengelig via nettet, for å øke brukervennligheten. Virksomhetene forvalter sensitiv data, både samfunnsrelatert informasjon, men også personopplysninger. For å sikre informasjonen best mulig, må også sikkerhetskultur-arbeidet intensiveres.
Skalaen i vår analyse går fra 0 til 100. Med en score på 71 har offentlig sektor det vi definerer som en moderat sikkerhetskultur og de har en lang vei å gå for å komme opp til en god sikkerhetskultur, som krever en score på minst 80.
Normer, ansvar og kognisjon peker seg ut som områdene offentlig sektor særlig må forbedre seg på. Offentlig sektor scorer 69 på normdimensjonen, som måler forståelsen av en organisasjons uskrevne regler og retningslinjer. På ansvarsdimensjonen scorer de også 69, noe som tyder på manglende eierskapsfølelse blant de ansatte når det gjelder å bidra til å sikre organisasjonen.
Likevel har offentlig sektor størst forbedringspotensial på kognisjon, det vil si bevissthet rundt sikkerheten i virksomheten. Med en score på 67 er dette sektorens laveste score. Dette er en klar indikator på at det er behov for mer opplæring i sikkerhetsbevissthet.
Kognisjonsscoren vil sannsynligvis bedres når offentlig ansatte blir mer bevisste på behovet for gode nettsikkerhetsvaner, og innvirkningen oppførselen til den enkelte medarbeider kan ha på nasjonal eller lokal sikkerhet. Dataangrepene vi nylig har sett bør være en vekker for offentlig sektor, som bidrar til økt bevissthet og fokus på sikkerhetskultur!
Se lista: Disse vil ha ansvar for IT-politikk i nytt departement
