- Thomas Tømmernes, IT-sikkerhetssjef i Atea
«Sikkerhetsmåneden er en nødvendig sikkerhetsdult», skriver prosjektleder for Nasjonal Sikkerhetsmåned i NorSis, Trude Talberg-Furulund, i Digi 27. september. Vi er begge – som sikkerhetsfolk – selvfølgelig helt enige. Det er viktig, men dulting redder oss ikke i det lange løp. Selv Talberg-Furulunds leder, Peggy Heie, skriver at problemet er så stort og at NorSis umulig egentlig kan mene at en dult er nok.
Det jeg ønsker å få frem med kommentaren, «En sikkerhetsmåned til besvær», er at IT-sikkerhet ikke kan være en sesongbasert julefeiring hvor vi rydder hjemme og deler gode tanker. Det er hverdagene det er flest av, og risikoen er ikke mindre ellers i året, selv om vi i oktober retter søkelyset mot sikringen av det digitale Norge.
Vi jobber på forskjellige måter: I helgen skrev Roar Thon at han og jeg vanker i de samme kretsene, og han kjenner seg ikke igjen i mine påstander. Dette er en sannhet med modifikasjoner: Myndighetene jobber med opplysningskampanjer og kulturtiltak – og Thon snakker hovedsakelig til store forsamlinger. Samtidig er IT-sikkerhet som kjent et sensitivt tema, og av frykt for omdømmetap er det sjeldent at virksomheter ønsker å stå frem i plenum med faktiske hendelser og utfordringer. Når Thon står foran en fullsatt sal og forteller om truslene storsamfunnet står ovenfor, kommer sjeldent enkelthistoriene. Dette avdekkes først i konfidensiell kundedialog, og som dernest resulterer i akutt digital førstehjelp, som må tåle en revisjon fra Datatilsynet.
Alle de andre dagene i året snakker sikkerhetsbransjen om digital hjelm, redningsvester og brannvern – ja, til og med forsikringer mot sikkerhetshendelser om det går virkelig ille. Næringslivet kan ikke agere som småbarnsforeldre, bekymret for at ungene risikerer skrubbsår. Dette handler om nasjonens sikkerhet, reell overlevelse for hjørnesteinsbedrifter og globale konsern. Det er i aller høyeste grad bekymringsfullt når ledere sender ut sine ansatte med utdatert sikkerhetskunnskap i februar, fordi økonomien tillot de å snakke om sikkerhet kun i oktober. Uten allokerte midler til dette resten av året, blir sikkerhet fort en sesongvare. Dette bør være alarmerende for alle oss som jobber med IT-sikkerhet.
Kan IT-sikkerhet likestilles med HMS-kravene? Man har allerede sett behovet for pålagte krav innen helse, miljø og sikkerhet. «Godt arbeidsmiljøarbeid handler om å redusere risiko for farer og ulykker og aktivt å rette søkelyset mot de positive og helsefremmende faktorene i arbeidsmiljøet,» sier Arbeidstilsynet. Allikevel er det de færreste – om noen – som anerkjenner digital sikkerhet som en del av dette.
Enkelt fortalt er det tre primærdrivere for strategiavgjørelser i det private næringslivet: Grønn bunnlinje, fornøyde kunder og lovverk. Derfor mener Atea at det bør snarest komme konkrete pålegg for opplæring av IT-sikkerhet for alle virksomheter som jobber med samfunnskritiske tjenester.
Blir dette innført, er det helt fantastisk at det eksisterer en egen fokusmåned for nasjonal sikkerhet.
Sikkerhetsmåneden har selvsagt mange gode kvaliteter: Det er mange lokale hverdagshelter som kommer frem og snakker sikkerhet i oktober. For oss gjengangere som står på scenen hele året, kan oktober også være arenaen for å trå til side, slik at flere talenter kan løftes frem. Én ting er sikkert, det er stor gjenbruk av et lite knippe foredragsholdere.
I en ideell verden hadde Nasjonal Sikkerhetsmåned gjort alle oss andre som jobber for å bygge et sikkert Norge arbeidsledige. I mellomtiden må vi – som kjenner slagmarken best – stå på barrikadene med grytelokk og basuner og fortelle om hvor utrolig viktig IT-sikkerhet er for vår felles fremtid hver dag, hele året gjennom.
Atea heier i alle tilfeller på en mangfoldig og bærekraftig Nasjonal Sikkerhetsmåned!
