GDPR har de siste årene lagt nye føringer for hvordan bedrifter behandler, sikrer og lagrer data. En interessant utvikling er at en stor andel av gebyrene pålagt etter GDPR, har vært begrunnet helt eller delvis i artikkel 32, som omhandler implementering av sikkerhetstiltak (37,5 prosent i Norge, ifølge tall fra GDPR Enforcement Tracker).
Organisasjoner kan bli bøtelagt dersom de ikke har på plass tilstrekkelige sikkerhetstiltak, uavhengig av om mangelen på tiltak førte til brudd. I Norge har slike sanksjoner foreløpig fulgt brudd på personopplysningssikkerheten, som for Østre Toten kommune og Stortinget, men dette er altså ikke en nødvendighet. Ettersom graden av kompetanse og bevissthet rundt både personvern og IT-sikkerhet øker, må en altså forvente at terskelen for reaksjoner blir lavere og at faktiske brudd ikke lenger er en forutsetning for reaksjoner.
En ekstra dytt
Samtidig vil bruk av KI-verktøy gi en ny dimensjon risiko både forretningsmessig og regulatorisk: EUs Artificial Intelligence Act er forventet å tre i kraft på nyåret. Loven vil, sammen med GDPR og de store gevinstene som ligger i bruk av kunstig intelligens (KI), innebære et stadig mer komplekst landskap hvor eksisterende kompetanse må strekkes langt.
Svakere økonomi gjør at en må våge å sette søkelys på riktige sikkerhetsutfordringer.
Datatilsynets sterke søkelys på artikkel 32 gir altså en ekstra dytt i arbeidet med informasjonssikkerhet, et arbeid som allerede har mye vind i seilene. For første gang på flere år kan en imidlertid skimte motvind. Når vi nå har lagt bak oss lave renter og flytting til hjemmekontoret med påfølgende IT-sikkerhetsinvesteringer, ser vi en fremtid der pengene må plasseres mer møysommelig.
Risikoaktører vil ikke gi seg, og dermed må IT-ledere klare å gjøre mer med mindre. Canons seniordirektør for IT-sikkerhet, Quentyn Taylor, mener veien fremover er å ha en helhetlig tilnærming hvor operative IT-funksjoner tar et større ansvar for å gjennomføre IT-sikkerhetsstrategien, i motsetning til å kjøpe disse tjenestene.
Økonomiske nedgangstider fører til flere insider-hendelser.
Hele verden hanskes med høy inflasjon og påfølgende høye renter. Omstillingen dette fordrer, har alt ført til at teknologijobber går tapt både i Norge og internasjonalt. Arbeidsmarkedet for ellers veldig trygge jobber har blitt mindre forutsigbart.
.jpg)
Mer KI gir færre stillinger og nye krav til kompetanse blant de ansatte
Flere insider-hendelser
Insider-hendelser har allerede økt kraftig som andel av informasjonssikkerhetshendelser, og de utgjorde allerede høsten 2022 35 prosent av alle registrerte hendelser (ifølge Kroll Q3 2022 Threat landscape). Lavere tillit til arbeidsgiveren og en presset økonomisk situasjon kan gjøre det mer attraktivt å gi informasjon eller tilgang mot betaling. Vi vet også at det i et tett sammenknyttet og digitalisert land som Norge er kort vei fra en enkelt arbeidstager til sikkerhetspolitiske relevante mål, som sentral infrastruktur eller forvaltningen.
Uansett årsaken må en forvente at ansatte i større grad vil være både mål og trusselaktører i seg selv i 2024. Dette krever mer bruk av tiltak som sikrer sporbarhet og hindrer ansatte i å ta med seg informasjon ut av organisasjonen, særlig når de avslutter arbeidsforholdet. Dette er et vanskelig område for mange – ifølge Canons egne undersøkelser er bare 18 prosent av beslutningstakere innen IT trygge på at de kan spore informasjonsverdier gjennom hele levetiden til informasjonen.
I 2024 vil vi møte et IT-sikkerhetslandskap i omveltning. For å møte utfordringen vil beslutningstagere måtte balansere på slakk line: Ikke bare skal en lage sikre løsninger – de skal være i tråd med en fremvoksende rettspraksis, og en skal gjøre det på trangt budsjett! I 2024 vil vi få se hvem som mener alvor med digitalisering generelt og IT-sikkerhet spesielt.
Datatilsynet: Det haster å gjøre noe med håndteringen av saksmengden
