Leder Sofie Nystrøm i Nasjonal sikkerhetsmyndighet (NSM) la nylig frem en rapport om at det er registrert tre ganger flere alvorlige hendelser hos Nasjonalt cybersikkerhetssenter i NSM i fjor enn året før. Situasjonen er ille, og det ser ut til å bli verre, noe vi har fått flere eksempler på den siste tiden, både med hackingen av Nordic Choice og denne uken det alvorlige sikkerhetshullet i loggpakken Apache Log4j.
I mediene ser vi et stadig mer skremmende trusselbilde rundt IT-sikkerhet – men hvilken effekt oppnås egentlig? Årlig holdes det hundrevis av foredrag om hvor farlig det digitale trusselbildet er, myndigheter og organisasjoner står på scener landet over og gjentar til det kjedsommelige at vi – både som enkeltpersoner og samfunn – må passe oss og være forsiktige. Foredragene blir nok stort sett arkivert i kategorien «forebyggende tiltak og folkeopplysning», men jeg er spent på hvilken effekt man virkelig oppnår.
Psst! Du må passe deg … – men passe deg for hva?
Det appelleres ofte til at både arbeidstakere og ledere selv må ta eierskap og ansvar for virksomhetens sikkerhetsopplæring. Å ta ansvar er en fin appell, særlig i Norge, her er vi kjent for både «sunt bondevett» og «god folkeskikk» – og jeg tror oppriktig at de aller fleste både tar og ønsker å ta ansvar. Utfordringen er at trusselbildet er svært sammensatt. Spørsmål enhver virksomhet bør stille seg, er derfor: Hvordan vet folkene våre hvilket ansvar de har? Hvordan kan de ta det ansvaret på riktig måte? Hvilken innsikt og forutsetninger har vi for å lykkes?
Det aller første som må gjøres, er å mobilisere arbeidsgiverne, de må bli tydelige på hvilke tiltak som gjelder hos seg og tilrettelegge for å sette sikkerhetsopplæring på planen. I det ligger det blant annet å frigjøre tid i alles kalendere og å skape et godt læringsmiljø. IT-sikkerhet er ikke noe man kan lære seg på en samling eller to, det er en kontinuerlig prosess som må vedlikeholdes. Det er avgjørende at lederne går foran med et godt eksempel.
«Ulv-Ulv-Ulv!»
Å skremme noen med å rope «ulv ulv» er et kjent begrep – taktikken med gjentatte ganger å fortelle folk at om de ikke passer på sauene (her: verdiene) sine, så kommer ulven (her: IT- kriminelle) og spiser dem opp. Noen mener at alle oppslagene i mediene om bedrifter som har blitt utsatt for hacking, er å rope nettopp «ulv ulv». Det går nesten ikke en dag uten at en eller annen uheldig virksomhet er omtalt i mediene fordi de har blitt angrepet av IT-kriminelle som enten har stjålet informasjon, truet, presset eller på annen måte svindlet til seg penger.
Det finnes definitivt ulver, spørsmålet er hvordan vi stopper dem. Det vil uten tvil bli færre ulver hvis vi hever kunnskapen på tvers av roller og nivåer i bedriftene.
Hackere bryr seg ikke om «compliance»
Mindre skremsels-propaganda – mer handling
Jeg mener vi må drive mindre med skremselspropaganda og mer med å mobilisere kreftene til å snakke om det vi kan gjøre noe med, det som faktisk kan springe ut i handling og resultater.
Når vi som sikkerhetseksperter står på disse scenene og har tilhørernes oppmerksomhet, må vi ikke glemme at med det følger det et stort ansvar. En del av vårt oppdrag bør i mye større grad være å gjøre IT-sikkerhet til allmennkunnskap og gjennom felles innsats lære opp, forenkle og gjøre grensesnittet mellom forbrukere og den virtuelle verden til et tryggere sted å ferdes.
Det finnes heldigvis etter hvert mye informasjon og verdifulle erfaringer der ute om hvordan angrep utføres, derfor kan man nå med bruk av teknologi enkelt finne en bedrifts svakheter i IT-systemene – og tilhørende, sannsynlige angrepsflater.
Å definere sin risiko er derfor et smart sted å starte, så stopp opp og ta et godt blikk på hva som er dagens status for din bedrift. Min anbefaling er at dersom din virksomhet mangler kompetanse til å gjennomføre en slik modenhetsanalyse, lei inn noen profesjonelle til å utføre dette, og gjennomgå funnene i rapporten med ledelsen.
Sammen må vi skape sikkerhetsverdi
I oktober hvert år legger alle som jobber med IT-sikkerhet inn et ekstra gir, det er vel og bra, men gir kun verdi om vi tar med oss budskapet og jobber kontinuerlig med det hele året. Det er heller ikke nok at vi i IT-bransjen snakker stammespråk med hverandre, vi må nå ut, ut til både bedriftsledere og ansatte.
Jeg vil derfor oppfordre alle som kommuniserer om IT-sikkerhet, enten det er fra en scene, i en pressemelding eller i et intervju: Hva er vi egentlig mest opptatt av?
Uansett utgangspunkt og hvordan man vrir og vender på det, mener jeg det aller viktigste må være hvilken verdi publikum sitter igjen med.
Vi sikkerhetsfolk må med andre ord også stoppe opp og gå i oss selv, ta en status. Stille oss selv spørsmålene om hva vi ønsker å formidle og hvordan vi gjør det. Hvordan kan de vi snakker til, ta med seg kunnskap hjem for å gjøre hverdagen sikrere dagen etter?
Én ting er i hvert fall sikkert, for å kunne treffe med gode budskap, er det viktig at foredragsholderen eller den kursansvarlige faktisk kan IT-sikkerhet, tør gå i dybden, utfordrer og tør å stikke hodet fram.
Til slutt – uansett hvor mye teknologi, prosesser, kommunikasjon og råd vi har rundt oss, er det grunnleggende kompetanse på personnivå som danner førstelinjen i kampen mot nettkriminelle.
Vi må øve og innarbeide god sikkerhetskultur i alle norske virksomheter. Det tar tid å bli god.
Så skal du bli god på sikkerhet, er det som å bli god i alt annet, du må vite hva du skal øve på, finne et opplæringsprogram som passer ditt behov, trene og jobbe kontinuerlig året gjennom. År etter år.
NSM: Privat næringsliv har fått større betydning for Norges sikkerhet
