Artikkelen er produsert av Seneca i samarbeid med Microsoft

– Bevisstheten rundt datasikkerhet øker, men tiden er overmoden for at bedre datasikkerhet kommer på sakslisten i leder- og styremøter, sier Ole Tom Seierstad.

Han er sikkerhetssjef i Microsoft og har over 20 års erfaring fra det amerikanske IT-selskapet.

– Hackerne blir stadig mer profesjonelle. Bedriftsledere har alt å tjene på å sette seg inn i hva god datasikkerhet har å si for virksomheten, fremhever Seierstad.

Han mener en del av årsaken til at norske bedrifter ikke tar innover seg risikoen knyttet til datainnbrudd, er at temaet ikke blir viet tilstrekkelig oppmerksomhet.

Høye kostnader for den enkelte – og i milliardklassen for samfunnet

Tidligere har kostnadene for datakriminalitet i Norge blitt anslått til over 0,60 prosent av årlig BNP, tilsvarende over 20 milliarder kroner.

– Datainnbrudd med tap av informasjon for virksomheten kan bli svært kostbart, advarer Seierstad.

Han forteller at de økonomiske tapene for den enkelte varierer ut fra hva hensikten med innbruddet er. Ofte ønsker de kriminelle å få tak i sensitiv informasjon som kan selges på lukkede markedsplasser.

– Det kan for eksempel være tegningene av et nytt produkt, et kostnadsoverslag, et tilbud som snart skal sendes ut eller andre forretningshemmeligheter.

En bedrift som deltar i et anbud, kan tape alt fra hundretusener til flere hundre millioner kroner, som følge av at konkurrentene har informasjon om hvilket pris- og kvalitetsnivå som er konkurransedyktig.

– Virksomhetene som angripes må også regne med å få en skrape i omdømmet sitt, legger Seierstad til.

– God kultur for datasikkerhet skjer ikke av seg selv

Sikkerhetssjefen understreker at virksomheter ikke bare kan kjøpe seg bedre datasikkerhet, men proaktivt sørge å sette av ressurser internt i organisasjonen. 

– Virksomheten må ta ansvar for å klassifisere egne data, og gjerne ha en dedikert ressurs som sørger for hvilke regler som skal gjelde i de systemene man har anskaffet. 

Som eksempel nevner han at en Excel-fil kan inneholde alt fra beregninger i en oppkjøpsstrategi til hvem som er medlem av kantineordningen av de ansatte.

– Klassifisering av hvilke data som er sensitive og hvilke som ikke er sensitive skjer ikke av seg selv, sier Seierstad.

Det samme mener han gjelder for at alle de ansatte i en virksomhet skal ta datasikkerhet på alvor.

– Å bygge en bedriftskultur som innebærer forståelse for at høy grad av datasikkerhet lønner seg skjer heller ikke av seg selv, sier Seierstad.

– Bedrifter kan være rammet uten å vite det i årevis

Han forteller at vellykkede datainnbrudd ofte bærer preg av å komme seg på innsiden av virksomheten og være der over lang tid.

– De går under radaren og vil helst unngå å bli oppdaget så lenge som mulig. For hver dag som går kan de bli klokere på hvordan de skal nyttiggjøre seg sensitive opplysninger, sier Seierstad.

Ifølge Mørketallsundersøkelsen 2016 tar det maksimalt 100 dager før en virksomhet faktisk oppdager en uønsket sikkerhetshendelse.

– Det sier noe om hvor lite som blir oppdaget. Av erfaring snakker vi om en gjennomsnittstid på 11 til 14 måneder der hackerne opererer for seg selv før innbruddet blir oppdaget, sier Seierstad.

Påstanden støttes av Næringslivets Sikkerhetsråd, som i en kommentar i Mørketallsundersøkelsen påpeker at mange norske virksomheter kan være rammet uten å oppdage dette selv.

– De fleste blir oppdages etter hvert, men ikke alle. Bedrifter kan være rammet i årevis uten å vite om det. Så har du selvfølgelig noen bedrifter med gode systemer å forsvare seg med, sier Seierstad.

Se video om hvordan Microsoft jobber med datasikkerhet i skyen:

Skytjenester gjør virksomheten tryggere

Flere og flere virksomheter har kommet til konklusjonen om at det er enklere å beskytte seg mot datainnbrudd ved å ta i bruk skytjenester.

– Det sørger for at dataene blir bedre beskyttet. I en skytjenesteløsning ligger dataene inne i en moderne IT-infrastruktur som har et vell av muligheter til å sette en stopper for datainnbrudd, sier Seierstad.

Og Microsoft forsikrer sine brukere at tjenestene deres er blant de mest pålitelige.

– Vi anstrenger oss mye for å være best i klassen på informasjonssikkerhet. Dataene er dine, og en viktig del av vårt oppdrag er å beskytte dem. Microsoft bruker også tredjepart revisjonsfirma for å validere de sikkerhetsrutinene som benyttes og innehar nødvendige ISO-sertifiseringer, avslutter Seierstad.

Hør mer om hvilke sikkerhetsvurderinger andre firmaer har gjort på sin reise til nettskyen og hvilke konkurransefortrinn det har gitt dem i dag her.