Fredag forrige uke la regjeringen fram planer om å bruke 100 millioner til anti-terror og IKT-sikkerhet. Det er bra, men hvor mye hjelper det næringslivet når vi dagen før kunne lese at IT-sjefene ikke har peiling på IT-sikkerhet? En god kommentar jeg har hørt i anledning dette er at IT-sikkerhet er for alvorlig til å overlate til IT-avdelingen alene.
Tiltakene i regjeringens plan vil nok redusere risikoen for en del trusler, men før vi har en tilfredsstillende beredskap mot elektroniske trusler er det nødvendig at næringslivet følger opp. Hele virksomheten må få bedre kompetanse på dette området, problemet kan ikke isoleres på en IT-avdeling.
Øve. Øve, jevnt og trutt...
Sårbarhet er en følge av avhengighet. I den grad vi ikke kan sikre IKT-system 100 prosent må vi ha planer for og øvelse i å klare oss når systemene svikter. For noen uker siden var det strømutkobling i området jeg bor og jeg brukte tiden til å gå en liten tur. Jeg hadde egentlig tenkt å handle litt også, men for å få gjort dét, måtte jeg gå til butikker med strøm.
Butikkene som ikke hadde strøm bestemte seg for å lukke. Det beste med tanke på beredskap hadde kanskje vært å øve på å holde åpent ved et lengre strømbrudd.
Hvor mange bedrifter lar være å teste om sikkerhetskopiering av data og rutiner for gjenoppretting fungerer, og hvor lange avbrudd dette fører til? Hvor mange bedrifter har øvet på de planer de bør ha for brudd på data- og telekommunikasjon? Har din bedrift undersøkt om ansatte med bærbar PC eller hjemmekontor har fortrolige data liggende ubeskyttet? Hva er konsekvensen dersom en av disse maskinene blir stjålet?
Komplekse system har feil
For en del anvendelser stilles det meget store krav til at komplekse datasystem skal være pålitelige. Fra bransjer som romfart vet vi at uansett hvor mye ressurser som brukes på utviklingen vil det forekomme feil, og kritiske system blir designet for å tåle at enkelte deler feiler og ikke i den tro at et enkelt system kan gjøres ufeilbarlig.
På samme måte må vi akseptere at det ikke finnes noe perfekt sikkerhetssystem. Noen trusler er så kritiske at man har lyst til å si: Dette må bare ikke skje. Da er det viktig å ha planene klare for at det som absolutt ikke måtte hende har skjedd, og gjennomføre øvelser for å være sikker på at disse planene hjelper.
De fleste av oss har hatt god anledning til å øve på at nettbaserte banktjenester svikter. Dette burde inspirere til å øve på at andre funksjoner svikter.
Truslene blir større og flere
Det amerikanske selskapet Computer Security Institute (CSI) har nylig publisert resultatene fra en undersøkelse de regelmessig gjennomfører i samarbeid med FBI. Her understrekes det at tapsanslagene har steget tre år på rad. De to største årsakene til tap er informasjonstyveri og økonomisk kriminalitet. 80 prosent rapporterte om økonomisk tap som følge av datasikkerhetsbrudd.
Bedriftene opplever tilknytningspunktene til Internett som mer utsatt enn de interne datasystemene, men 78 prosent rapporterte at egne ansatte hadde misbrukt tilgangen til Internett.
I Norge har Gallup gjennomført en undersøkelse for Ibas hvor man har spurt 100 bedrifter med med mer enn 150 ansatte. Svarene er ganske oppsiktsvekkende. I 70 prosent av bedriftene mente man at det ville være tilfeldig dersom man oppdaget at egne ansatte sendte fra seg fortrolig informasjon gjennom bedriftens eget datasystem.
NUPI anslår at det årlig selges bedriftshemmeligheter for mellom 60 og 100 millioner kroner i Norge.
Myndighetenes tiltak er bare en start
Som nevnt i starten av denne kommentaren vil nok tiltakene i regjeringens plan redusere risikoen for en del trusler. Det betyr på ingen måte at næringslivet kan puste lettet ut å tro at det blir tryggere. Informasjonen jeg har referert i denne kommentaren burde heller gi grunn til å skjerpe seg kraftig.
Regjeringens tiltaksplan burde være en god anledning til de enkelte bedrifter å følge opp med egne tiltak for å bedre sikkerhet og beredskap.
