Kommentar: Norske ledere mangler strategier for cybersikkerhet

Det er liten hjelp i den beste sikringen eller de mest omfattende rutinene for cybersikkerhet hvis det feiles på menneskelig plan.

Cybersikkerhet er et hett tema for norske selskaper og organisasjoner. Ikke minst etter WannaCry-angrepet. Norsk Sikkerhetsmyndighet (NSM) meldte om 22.000 cyberangrep i 2016.

Det økte antallet og omfanget av angrep på mindre norske virksomheter kombinert med det lave antallet virksomheter med strategier for cybersikkerhet, er bekymringsfullt.

Skruppelløse hackergrupper som bryter ned brannmurer utgjør ikke den hyppigste trusselen for norske selskaper. De aller fleste sikkerhetshendelser er nemlig utilsiktede og oppstår innen selskapets egne vegger.

I et tilfelle var en systemgenerators laptop infisert med ondsinnet programvare, som spredte seg til en kundes kritiske systemer når systemgeneratoren logget på nettverket hos kunden. I et annet tilfelle fikk en tekniker på et kundebesøk produksjonen til å stanse opp i flere timer. Teknikerens laptop hadde nemlig samme IP-adresse som en komponent i applikasjonens nettverk. I tillegg kommer klassiske synder som dårlige passord, ubeskyttede enheter og brukerkontoer som ikke blir slettet etter at medarbeidere slutter.

Det heter at suksess har mange fedre, mens fiaskoen er foreldreløs. Grunnen til de mange digitale sikkerhetshendelsene er derimot enklere å spore. Dårlig IKT-kultur er ofte årsaken.

Det er nettopp kulturen de fleste har lengst å gå. Som oftest har norske selskaper mange hjelpemidler for å sikre god kultur innen HMS, etikk, logistikk og kvalitet. Det samme kan dessverre ikke sies om cybersikkerhet og IKT.

Akkurat som med HMS handler cybersikkerhet om å sikre seg på tre nivåer. Cybersikkerhet foregår nemlig gjennom fysisk sikring, gode rutiner og god IKT-kultur.

Det investeres mye i fysisk sikring, teknologiske løsninger og infrastruktur som sikkerhet mot brudd og nedetid. Det brukes også store ressurser på gode rutiner for å sikre at sikkerhetsverktøy brukes og ikke minst oppdateres. Det er likevel liten hjelp i den beste sikringen eller de mest omfattende rutinene hvis det feiles på menneskelig plan. God IKT-kultur må være på plass, og det er et lederansvar.

Ansvaret for god cybersikkerhet ligger på alle nivåer, likevel har ledelsen utvilsomt et eget ansvar for å se helheten og sikre god IKT-kultur.

Selskaper med en ledelse som ikke forstår dette risikerer ikke bare å miste sitt gode navn og rykte, men står i fare for å miste kundene og hele inntektsgrunnlaget.

Poenget er at bevisste medarbeidere, en klart formulert sikkerhetspolitikk og faste prosedyrer kan forhindre enormt mange sikkerhetshendelser og kostbare brudd.

Derfor må og skal en strategi for cybersikkerhet være helhetlig og ikke kun fokusere på virus, hardware og firewalls. Og strategi kommer som kjent ovenfra, fra ledelsen. Derfor begynner cybersikkerhet hos ledelsen.