Etterretningstrusselen mot Norge er omfattende, og informasjon om norsk infrastruktur, blant annet samferdselssektoren, teknologi og beslutningsprosesser av stor interesse for statlige eller statstilknyttede aktører, skriver Helene Holte og Bjørnar Østgaard.

Foto

 Lise Åserud, NTB

Synspunkt

Mennesker er ikke det svakeste ledd i sikkerhetsarbeidet

Publisert: 23. desember 2020 kl 09.50
Oppdatert: 23. desember 2020 kl 09.50

Helene Holte er konsulent i Egde Consulting og Bjørnar Østgaard er konsulent i Devoteam Fornebu Consulting.

SYNSPUNKT. Åpenhet i organisasjonen er en forutsetning for å sikre kunder og ansatte 

Sabotasje og spionasje benyttes i økende grad for å utøve press på norske beslutningstakere. Som samfunn er vi sårbare, men vi lurer oss selv hvis tror at mennesket er det svakeste ledd i sikkerhetsarbeidet. 

Det globale trusselbildet er langt mer sammensatt enn tidligere. Norsk samferdselssektor fremstår som en arena hvor trusselaktører ikke bare er drevet av økonomiske intensiver, hvor de er ute etter industrihemmeligheter, eller har tilgang til hemmeligholdt informasjon: Disse aktørene har mer overordnede, samfunnsstrategiske målsetninger om å redusere tillitsforholdet norske innbyggere har til myndigheter og viktige samfunnsinstitusjoner over tid. 

Nye Veier, som er vår kunde, er eksempel på en virksomhet med en viktig samfunnsfunksjon som har identifisert utfordringene; de ønsker å etablere en organisasjonskultur hvor de ansatte åpent deler på sine erfaringer og utfordringer, og samtidig nøyaktig vet hvem i og utenfor organisasjonen som skal varsles. Dette er grunnmuren i godt sikkerhetsarbeid.   

Skissér trusselbildet

Etterretningstrusselen mot Norge er omfattende, og informasjon om norsk infrastruktur, teknologi og beslutningsprosesser av stor interesse for statlige eller statstilknyttede aktører. Nye Veier er en virksomhet som har identifisert denne utfordringen. De bygger og forvalter veier. Samferdsel er helt avgjørende for folks hverdag og for næringslivets verdiskaping gjennom blant annet tilgang på arbeidskraft og varetransport. 

Saken fortsetter under annonsen

I samferdselssektoren ser vi en økning av kompleksitet i teknologi og verdikjeder. Den teknologiske utviklingen medfører lange verdikjeder med stadig flere involverte aktører, og med forskyvning av kompleksitet utover i verdikjeden.

Dette gjør det utfordrende å vurdere den samlede sårbarheten og risikoen i tjenester som eksempelvis leveres av Nye Veier. Å bygge sikkerhet handler om å forstå eget trusselbilde, og iverksette sikkerhetstiltak som direkte relaterer til truslene.   

Alle virksomheter, som besitter informasjon om norsk infrastruktur og brukerne, vil representere potensielle målgrupper for ondsinnede aktører. Spionasje (statlig etterretningsvirksomhet og industrispionasje) og kartlegging av informasjon, sabotasje, nettverksoperasjoner og påvirkningsoperasjoner fremstår som reelle scenarier i slike trusselbilder. 

Mennesker som våpen i beredskap og kriser

Lenge har globale sikkerhetseksperter hevdet at mennesket er det svakeste ledd i sikkerhetsarbeidet. Vi mener det er en utdatert oppfatning. Truslene er blitt så sofistikerte at det er nærmest umulig å avdekke hva som for eksempel er et phishingangrep, og hva som er en legitim henvendelse.  

Vår tilnærming er at sikkerhetsledere bør endre en slik utdatert oppfatning. De må heller fokusere på tilstrekkelig opplæring, prosesser, rutiner, samt åpen kommunikasjon internt i virksomheten.

Klarer man å etablere en organisasjonskultur, hvor de ansatte eksempelvis ikke føler skam over å ha blitt lurt av trusselaktører - men vet nøyaktig hvem som skal varsles, og attpåtil deler hva som har skjedd slik at resten av organisasjonen og andre virksomheter kan lære - da er det forebyggende sikkerhetsarbeidet effektivt!   

Saken fortsetter under annonsen

Frykt ikke åpenhet, inkludér innovasjon i sikkerhetsstrategien

Det er lett å bli skyggeredd og la frykten råde grunnen når virksomheten opplever angrep utenfra. Først må man finne ut hvordan angrepene har skjedd og hvilke IT-sårbarheter som ble utnyttet.

Den datadrevne organisasjonen er i ferd med å bli normen. Det reduserer antall manuelle operasjoner og kan for eksempel innen samferdsel redusere risikoen for trafikkulykker. Data er blitt en strategisk ressurs, som kartlegger etterspørsel og atferd.  

Alle virksomheter som besitter informasjon om norsk infrastruktur og brukerne, vil representere potensielle målgrupper for ondsinnede aktører

Kontroll på disse dataene er virksomhetskritisk. I iveren etter å gjennomføre digitalisering må man balansere og justere farten som trengs for å sikre tilstrekkelige sikkerhetsmekanismer som bevarer tillitsstrukturene nasjonen er bygget på.   

Nye Veier har møtt disse utfordringene ved å gjennomføre en omfattende trusselvurdering, som en del av sin årlige overordnet risikoanalyse. Vurderingen er et samarbeid på tvers mellom sikkerhet, IT, arkitektur, personvernombud, HMS og forretningssiden.  

Sikkerhetsstrategien som legges gir føringer for hvordan samspillet mellom organisatoriske prosesser, menneskelige hensyn og teknologi skal fungere. 

Saken fortsetter under annonsen

Sikkerhetsstrategi handler om å identifisere hvilken risiko organisasjonen er villig til å ta, slik at sikkerhetstiltak kan iverksettes på rett nivå. Man må sikre at informasjonen ikke er tilgjengelig uten autorisasjon (konfidensialitet), at informasjon ikke endres eller ødelegges (integritet), og at informasjon er tilgjengelig for dem som har tjenstlig behov (tilgjengelighet).   

For å unngå begrensninger for forretning og innovasjon må IT og sikkerhetsmiljø spille på lag. Åpenhetskultur og kompetanseoverføring er essensielt og handler om at sikkerhet blir en integrert del av hverdagen i hele virksomheten - ikke et nødvendig onde de ansatte bare må akseptere. 

Trekk frem mulighetene!

Sikkerhetsorganisasjonen i Nye Veier kommer til å bygge strukturer som muliggjør forretningsstrategien gjennom tverrfaglige team. Selskapet erkjenner at de har ansvar for å påse at leverandørene foretar tilstrekkelig og nødvendig sikring av informasjon som deles.   

En moderne sikkerhetsstrategi skaper muligheter og er det beste forsvarsverket mot eksterne trusler. Den fungerer som en grunnstein for innovasjon og muliggjør bedriften til å nyttiggjøre muligheter som ligger i data og ny teknologi ved å integrere dette arbeidet i forretningsstrategien.

Klarer man å få etablert dette i en organisasjonskultur, hvor de ansatte sammen føler seg sterke i forhold til angrep utenfra, har man skapt en vinnerkultur. 

Vil du holde deg oppdatert på ledelse og arbeidsliv? Prøv et abonnement på Dagens Perspektiv, eller vårt gratis nyhetsbrev.

Saken fortsetter under annonsen
Synspunkt
søn 20.02.2022 23:47

Skriv til oss!

Del innsikt og meninger,
skriv til 
synspunkt@dagensperspektiv.no.