datasikkerhet

Regjeringen anklages for å ta for lett på sikkerheten etter Per Sandbergs Iran-tur.

Norsk sikkerhetsnaivitet

Ordnede forhold her hjemme må ikke føre til godtroenhet, skriver tidligere sikkerhetssjef Tor Gaute Indstøy i Oljefondet og Aud Lise Norheim, tidligere ambassadør til Iran.

Tor Gaute Indstøy
Aud Lise Norheim
Publisert Sist oppdatert

Sammenliknet med mange andre land har nordmenn høy tillitt til det politiske systemet og til norsk forvaltning. Vi er et velorganisert samfunn, men ordnede forhold her hjemme må ikke føre til godtroenhet. Det er på høy tid at ledere og tjenestemenn tar sikkerhet på alvor. I Norge står sikkerhetsforståelsen fortsatt hos mange stort sett til stryk.

Foto Sikkerhetsekspert i KPMG, Aud Lise Norheim, jobbet tidligere som Norges ambassadør til Iran. (Foto: KPMG)

Når vi bygger et hus er det er åpenbart at sikkerhet må være en del av byggverket. Våtromsnormen utgjør mange sider i teknisk forskrift, og «alle» forlanger at den skal følges til punkt og prikke. Når det gjelder hvordan politiske ledere og forvaltningens tjenestemenn skal oppføre seg på reise, eksempelvis passe på informasjonen de har med seg på mobiltelefonen når de reiser til et land med et av verdens mest utviklede etterretningsorganisasjoner, er dessverre forståelsen lav og naiviteten høy.

Mer enn 10 års erfaring med å etablere sikkerhet i et av verdens største investeringsfond, og revisjon av et hundretalls norske og utenlandske tjenesteleverandører, har gitt en unik innsikt i hvordan sikkerhet tenkes og forstås. Siktemålet har skritt for skritt vært å etablere mest mulig effektiv beskyttelse mot blant annet organisert kriminalitet og etterretningsvirksomhet. Systematiske sammenlikninger og kvantifiseringer viser at norske selskaper ikke er gode nok på sikkerhet. Dessverre fremstår Norge som lite utviklet med hensyn til sikkerhetshåndtering og -forebygging. Sandbergsaken er bare et av mange tilfeller.

Foto Sikkerhetsekspert i KPMG, Tor Gaute Indstøy, jobbet tidligere som sikkerhetssjef i Oljefondet. (Foto: KPMG)

Et eksempel er bruk av mobiltelefoner. De kan som kjent både hackes, avlyttes og brukes av uvedkommende som mellomstasjon for videre tilgang. I dag vet vi at slike målrettede angrep skjer jevnlig mot eksponerte ansatte, ikke bare ledere, i norske organisasjoner og bedrifter. Utfordringen er at få har systemer som er avanserte nok til å avdekke det.

Et annet eksempel er sikring av en institusjons informasjonssystemer. Et flerårig samarbeid med profesjonelle hackere her i Norge, viser at hackerne i 9 av 10 tilfeller klarer å målrettet ta seg inn i en bedrift eller et forvaltningsorgans informasjonssystemer. I Storbritannia har Bank of England pålagt samtlige finansinstitusjoner å benytte hackere for å teste informasjonssystemene sine.

Et tredje eksempel som er mer vanlig i Norge i dag enn under den kalde krigen, er planting av ansatte. I resepsjoner hvor gjennomstrømningen kan være stor og oversikten liten, kan utplasserte gå inn i andres kalendere og sende vedlegg og informasjon til en ekstern, ikke sporbar adresse. Slike hendelser viser at informasjonssikkerhet er sterkt knyttet til fysisk sikkerhet.

At folk er hyggelige, gjestmilde og vil prate er ikke nødvendigvis bevis på at de er genuint interessert i oss som personer eller organisasjonen vi representerer. Utgangspunktet må dessverre være at det kan ligge andre agendaer bak. Nordmenn som reiser til risikoutsatte land som Kina, Russland eller Iran må planlegge reisen og etablere både forebyggende og reaktive tiltak. Det finnes mange oversikter over hvilke land som er risikoutsatte. Er et land risikoutsatt for etterretningsvirksomhet, må det etableres tiltak som er effektive for denne trusselen. Er landet er risikoutsatt for naturkatastrofer så må det planlegges tiltak for å håndtere slike situasjoner på samme måte.

Det er på høy tid å implementere sikkerhet i alle ledd i en organisasjons virksomhet – og i alles bevissthet.

Det finnes i dag mange styringssystemer for sikkerhet, slik at akseptabel risikoforståelse kan defineres og effektive tiltak kan igangsettes. Her er et eksempel:

I sikkerhetsverden er det tre ting som defineres, verdi, sårbarhet og trussel.

Verdi: Dersom du skal definere behovet for sikkerhet (eller beskyttelse) for personer, kan man først dele grupper av personer opp i fire kategorier. Vi kan velge forskjellige faktorer, hvilken mengde sensitiv informasjon en person har tilgang til, hvilke autorisasjoner og innflytelsesmakt (direkte eller indirekte) personen har og hvor eksponert personen er.

Har du mye informasjon, mye autorisasjon og er du eksponert må du tenke sikkerhet. Så enkelt er det. Dersom vi tallfester dette vil alle norske politikere og næringslivsledere komme høyt opp på denne listen.

Sårbarhet: Det å være god på sikkerhet er en årelang prosess som involverer alt vi gjør og utstyr vi benytter. Alle nivåer må engasjeres, også toppledere. Opplæringsprosesser må igangsettes. Sikkerhetstiltak må forankres, settes i system og følges opp med alle involverte og berørte. Det er her vi må slippe fagpersonene til, en ekspert på mobiltelefonsikkerhet vil kunne fortelle deg når den er sårbar for avlytting.

Trussel: PST leverer hvert år en utmerket beskrivelse av trusselnivået, dette må settes i sammenheng med våre verdier og de sårbarhetene vi har. Etterretningskapasiteten til andre land enn Iran, Kina og Russland vokser også og dette betyr at eksponerte personer må heve bevissthetsnivået, spesielt dersom man befinner seg i en sårbar posisjon eller livssituasjon.

Det erhøy tid å implementere sikkerhet i alle ledd i en organisasjons virksomhet – og i alles bevissthet.

Skrevet av Tor Gaute Indstøy, sikkerhetsekspert i KPMG, tidligere sikkerhetssjef i Oljefondet, og Aud Lise Norheim, spesialrådgiver i KPMG og tidligere ambassadør i Iran

Synspunkt

Skriv til DP Synspunkt


Del dine meninger med ledere og andre ressurspersoner i arbeids- og samfunnsliv? Skriv til DP SYNSPUNKT.

Les alle synspunkt her.

oljefondet kpmg iran datasikkerhet nyheter
Powered by Labrador CMS