– Er du rustet til å beskytte bedriften din?

1. januar 2019 trådte den nye sikkerhetsloven i kraft. Den har som hensikt å «forebygge, avdekke og motvirke sikkerhetstruende virksomhet». Den nye loven skal bidra til at Norge beskyttes bedre, også mot dataangrep. Det kan være angrep som kan sette politi eller forsvar ut av spill, men også angrep på andre offentlige eller private virksomheter som kan true nasjonal sikkerhet, som forsvarsminister Frank Bakke-Jensen uttalte i en pressemelding i forbindelse med innføringen av loven.

Den nye sikkerhetsloven treffer bredt, og berører langt flere organisasjoner og virksomhetsområder enn den forrige loven. Den medfører et behov for en skjerpet bevissthet hos ledelsen i de virksomhetene som er eller kan bli omfattet av loven.

Irene Westlie er seniorrådgiver innen informasjonssikkerhet og risiko i Skarpe, en bedrift som utfører rådgivning og prosjektoppdrag innen telekom, transport, helse, bygg- og eiendom. Hun hevder at ledere per i dag ikke er rustet til å beskytte virksomhetene sine. Dette er alvorlig, siden mange virksomheter opplever å bli truet og har blitt rammet av ondsinnede handlinger. Slike hendelser kan medføre store utfordringer for hele organisasjonen. Da er det viktig at ledelsen er godt forberedt.

– Informasjonssikkerhet er viktig for alle virksomheter. Ledelsen må kjenne til hvor utsatt virksomheten er, og prioritere hvilke tiltak som må, bør og kan gjennomføres, forklarer hun.

Kan koste deg dyrt

Westlie opplever at mange ledere ikke er klar over risikoen, og heller ikke er tilstrekkelig bevisst på de konsekvensene manglende fokus på informasjonssikkerhet kan få for forretningen. Lederne mangler dessuten kunnskap om hva som må gjøres for å sikre virksomheten best mulig.

Mørketallsundersøkelsen for 2018 viser at 6 av 10 norske virksomheter har et styringssystem eller rammeverk for informasjonssikkerhet, på samme nivå som sist undersøkelse i 2016. Hos virksomheter med over 100 ansatte gjelder dette 8 av 10. Av dem som har rammeverk eller styringssystem, opplever 9 av 10 at dette etterleves i virksomheten. Men undersøkelsen viser også at norske virksomheter har liten oversikt over kostnader og tap som følger i kjølvannet av sikkerhetshendelser. Bare blant dem som deltok i undersøkelsen, og som klarer å fastslå en kostnad, utgjorde dette nesten 30 millioner i 2017. Dette gir et estimat på 1,3 milliarder blant norske virksomheter alene. I tillegg vil tap i form av mistede kontrakter, et svekket omdømme og andre immaterielle skader få en negativ effekt på bunnlinja, ifølge undersøkelsen.

– Utfordringen, som mørketallsundersøkelsen også viser, er at lederne synes det er vanskelig med ansvaret for sine leverandører. Vi vet at angrep ofte skjer i det svakeste leddet, og ofte via en leverandør. Slike angrep kan ramme både interne og samfunnsmessige verdier. De aller fleste virksomheter, små og store, driver en kompleks forretning med mange involverte parter og lange leverandørkjeder. Kundenes løsning blir gjerne å kontraktfeste krav for informasjonssikkerhet, som leverandører ofte sliter med å tilfredsstille. Samhandling mellom kunde og leverandør er derfor helt avgjørende for å oppnå tilstrekkelig og hensiktsmessig nivå på informasjonssikkerheten, forklarer Westlie.

Ansvarsfraskriving

Mange ledere i norske virksomheter sørger i stedet for å ha ryggen fri, gjennom å kontraktsfeste sikkerheten i avtaler med leverandørene sine. Det bidrar ikke til økt sikkerhet, og er en form for ansvarsfraskrivelse, mener Westlie:

– De dekker bare ryggene sine, og skyver i stedet ansvaret på leverandørene. Mange av leverandørene mangler dessuten nødvendig kunnskap, og gjør kanskje ingenting med saken, sier hun.

Hun påpeker at en svak leverandørkjede er lett å spore opp for potensielle trusselaktører. Neglisjeringen av ansvaret for sikkerhet gjør lederne og deres bedrifter enda mer sårbare.

– I ledermøter, på workshops og i andre lederfora blir det raskt flakkende blikk, så snart dette temaet kommer på bordet. Det gjelder også i mange av de større virksomhetene i Norge, poengterer hun.

Westlie er glad for at temaet sikkerhet sakte, men sikkert har funnet veien inn i styrerommen, og at organisasjoner i dag ikke lenger neglisherer it-sjefsrollen eller viktigheten av å ha en sikkerhetsansvarlig i bedriften. Men fortsatt er det mange ledere som velger enklere og mer tilgjengelige løsninger.

– De må være klare over at dette kan føre til feilinvesteringer. Det kan bli dyrt for bedriften din, advarer hun.

Utro tjener

Dersom du ikke har tatt sikkerhetsansvaret ditt nok på alvor, skal de ikke mye til før angrep finner veien inn via leverandørene dine.

– Det holder å ha én utro tjener et stykke ned i leverandørkjeden din, som du har glemt å sjekke bakgrunnen til. Vi glemmer ofte at andre kan ha andre intensjoner, og kan komme til å vise feil personer våre bedriftshemmeligheter, eksemplifiserer hun.

Irene Westlie anbefaler bedrifter om å starte med å gjennomføre en risikovurdering. Tilsynsmyndighetene er opptatt av at risikovurderinger gjennomføres og at kvaliteten er god. En slik vurdering gir ledelsen beslutningsstøtte til å velge riktige tiltak for de risikoene som virksomheten eller samfunnet ikke kan akseptere.

– Struktur og kompetanse er nøkkelord for gode risikovurderinger. God styring på informasjonssikkerhet omfatter både organisasjon, mennesker og teknologi, avslutter hun.