DEBATT

Tabloide oppslag om IT-sikkerhet: Bare støy eller gir det læring?

En klok IT-sikkerhetsekspert jeg kjenner, og som jeg har dyp respekt for, uttalte nylig at han var «drittlei» nyhetsoppslag med sensasjonelle klikk-titler hvor man tydelig ikke har satt seg ordentlig inn i saksfeltet.

Thomas Tømmernes, leder for IT-sikkerhet i Atea Norge.
Thomas Tømmernes, leder for IT-sikkerhet i Atea Norge. Foto: Ane Svensli
Thomas Tømmernes, Atea
13. nov. 2019 - 09:18

Det var et ferskt medieoppslag som utløste frustrasjonen. Saken var fremstilt som «en enorm tragedie» innenfor IT-sikkerhet. Men etter noen linjers lesning viste det seg å være to år gammel sak   - og i mine øyne ikke særlig bekymringsfullt. Det var mer en fortelling om hva som kunne ha hendt enn om hva som faktisk hendte. Den var ført i pennen av en journalist som åpenbart ikke hadde tilstrekkelig innsikt i fagfeltet.

«Ulv, ulv»: Den nevnte IT-sikkerhetseksperten mener at denne typen saker ikke er med på å løfte folks sikkerhetskompetanse eller forståelse. Denne type saker har heller en «ulv-ulv»-effekt, mener han. Dette kan jeg være enig i, men jeg mener også at man ikke kan skjære alle medieoppslag om IT-sikkerhet over én kam.

Når store norske selskaper blir utsatt for cyberangrep, som angrepene mot Norsk Hydro og Dagbladet, så får det naturlig nok mye oppmerksomhet. Da opplever også vi som jobber med IT-sikkerhet et umiddelbart stort oppsving av henvendelser - før det avtar kraftig, når folk har glemt.

Spørsmålene som går igjen er «kan slike angrep skje hos oss også» og «kan dere komme og gjøre en revisjon eller analyse på hvordan IT-sikkerheten vår er?». En slik gjennomgang gjør at lederne får seg en oppvekker, og sikkerhet får en større plass på agendaen.

På den måten fører bred omtale av slike hendelser til økt oppmerksomhet rundt IT-sikkerhet, som i neste omgang gjør at flere virksomheter undersøker, vurderer og investerer. Samtidig blir jeg også til tider fortvilet over at det er en mengde hendelser og IT-sikkerhetsrelaterte temaer som mer eller mindre blir forbigått i stillhet - som ingen bryr seg om.

Forskjellige oppfatninger: Oppfatningen innad i min bransje av sensasjonelle nyhetsoppslag om IT-sikkerhetshendelser er med på å øke fokuset på IT-sikkerhet. Hvordan man oppfatter dette, tror jeg avhenger sterkt av hvor i verdikjeden man er, posisjon, kunnskap og kompetanse, motivasjon og økonomi.

Spesielt aktører, som leverer oppover i verdikjeden, tror jeg ønsker et økt fokus, fordi de ser på IT-sikkerhet som et konkurransefortrinn og en måte å skille seg ut på – det gjør at de kan komme i posisjon.

Mottakerens bakgrunnskunnskap og kompetanse på feltet tror jeg er en annen faktor som avgjør om nyhetsoppslagene enten fanger interesse eller ikke. Det er lett for oss som kan faget og jevnlig leser fagpresse som Teknisk Ukeblad, Ingeniørnytt, Digi.no og Computerworld, å skyte ned de mer tabloide historiene og den forenklede fremstillingen i mindre nisjepregede medier.

Styringsystem ved et norsk vannrenseanlegg, fotografert i 2015. Digi.no kjenner ikke til noe som tilsier at IT-sikkerheten ved dette anlegget er mangelfull.
Les også

IT-sikkerheten i vannverk og fjøs får svært lite oppmerksomhet hos tilsynsmyndigheten

I fagmediene vet skribentene at de i større grad må behandle stoffet med integritet og faglig tyngde, fordi leserne har mye dybdekunnskap og lett problematiserer artikler og fremstillinger av faget. Det er en slags internjustis i fagmiljøet.

Skremselspropaganda: Så vil noen, sikkert med rette, hevde at også jeg har fremmet budskap som kan oppfattes som skremselspropaganda. Men så godt det lar seg gjøre etterstreber jeg å tilpasse innholdet i tekstene etter det forventede kompetansenivået til lesergruppen.

Jeg kjenner også selv på den utfordrende balansegangen mellom å snakke om faget med integritet og dybde, samtidig som jeg ønsker at flere, også dem med begrenset kunnskap om IT-sikkerhet skal forstå. Skal jeg nå målgruppen, som er alt fra mannen i gata til administrerende direktører i store norske selskaper, med budskapet om at IT-sikkerhet er verdt å prioritere, så må jeg også forenkle og bruke færre faguttrykk.

Samarbeid over hele fjøla: Til syvende og sist mener jeg at vi alle, både fagpersoner innenfor offentlig og privat sektor og journalister, bør prøve å fremstille eventuelle hendelser så reelt som mulig, og benytte disse anledningene til folkeopplysning. På den måten jobber vi også i tråd med stortingsmeldingen «IKT-sikkerhet — Et felles ansvar», som appellerer til samarbeid over hele fjøla for å øke nasjonens IT-sikkerhet.

Inntil skrivelysten tar meg igjen, jobber jeg på med sikring av Norge fra rollen min som Head of IT Security Business and Development hos Atea Norge, og bruker setet hos NCSE på Langkaia mest mulig – for å inspireres av samarbeidet og samlingen av Norges klokeste IT-sikkerhetshoder under ett tak.

En rekke norske leverandører av industriutstyr er rammet av angrepet mot milliardkonsernet Addtech.
Les også

Industrikonsern med over 20 norske datterselskap ble slått ut av kryptovirus 

Synes du IT-sikkerhet er spennende, kan du melde deg inn i Facebook-gruppen IT-sikkerhet, som straks passerer 2000 medlemmer, der alle kan mene spørre, diskutere, poste og hente tips og inspirasjon. Meg kan du følge for dagsferske nyheter på Twitter under @TTmmernes.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.