Annonse
SYNSPUNKT
Når geopolitisk usikkerhet blir et lederansvar
De ferske trussel- og risikovurderingene fra Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet bør få norske ledere til å tenke nytt om digital risiko.
Publisert
Lesetid: 2 min
Annonse
Anders Liland er sikkerhetsrådgiver i Sopra Steria.
SYNSPUNKT. Norsk sikkerhet blir utfordret av den globale sikkerhetssituasjonen og truslene blir mer alvorlige og mer komplekse. Nylig la Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) fram årets trussel- og risikovurdering for landet vårt. Det er langt mellom gladmeldingene, skriver Aftenposten.
Russisk sabotasje, kinesisk dataangrep og digital avhengighet løftes fram som trusler.
Når digitale plattformer, skytjenester og leverandørkjeder blir en del av dette bildet, kan ikke digital risiko lenger behandles som et teknisk spørsmål. Den må forstås og håndteres som et strategisk lederansvar. Også i Norge.
Risikoen arter seg forskjellig, men er like reell, enten du er en stor eller liten virksomhet
Fra geopolitikk til norske systemer
Når digitale virkemidler inngår som en integrert del av statlig maktutøvelse, endres også rammene for norsk næringsliv.
For mange virksomheter kan geopolitikk oppleves som fjernt fra den daglige driften. Samtidig peker både norske og internasjonale analyser på at det sjeldent er virksomhetens størrelse som avgjør relevans, men hvilken rolle den spiller i et større digitalt økosystem.
Norske virksomheter inngår i dag i:
kritiske verdikjeder
digitale økosystemer på tvers av landegrenser
offentlige og private samarbeidsflater
sky- og plattformtjenester med global rekkevidde
Dette gjør at også mindre aktører blir relevante for trusselaktørene. Ikke nødvendigvis som mål i seg selv, men som en inngangsport for å få tilgang til andre aktører.
Annonse
Ulike virksomheter – felles lederutfordringer
Hos større virksomheter er det også utfordringer knyttet til:
komplekse leverandørlandskap, der tjenester leveres gjennom flere aktører og ledd, med uklare grensesnitt og ansvar.
uklarhet rundt ansvar og eierskap til systemer, data, sikkerhetstiltak og risiko.
begrenset helhetlig oversikt over systemavhengigheter, dataflyt, leverandørtilganger og risikoeksponering.
Hos små og mellomstore virksomheter er bildet ofte et annet:
færre ressurser og mindre spesialisert kompetanse
høy grad av tillit til leverandører og standardløsninger
lavere terskel for sosial manipulering og feilkonfigurasjoner
Risikoen arter seg forskjellig, men er like reell, enten du er en stor eller liten virksomhet. I begge tilfeller handler det mindre om enkeltstående «angrep», og mer om evnen til å forstå, håndtere og leve med et nytt normalbilde.
Lær av de som lykkes
I møte med denne utviklingen er det fristende å spørre: «Hvilket sikkerhetsverktøy trenger vi nå?» Ofte er dette feil utgangspunkt.
Virksomheter som lykkes best, starter et annet sted. Her er tre råd som må være på plass:
Ha oversikt over hvilke digitale avhengigheter i virksomheten som er kritiske.
Ha oversikt over hvilke verdier, prosesser og funksjoner som må fungere – også under press.
Forstå konsekvensene av uønskede hendelser, og hvordan kritiske prosesser ivaretas for å sikre stabil drift.
Dette representerer et skifte fra tradisjonell IT-sikkerhet til digital robusthet, der teknologi, organisasjon, mennesker og styring må ses i sammenheng. Utfordringen er sjelden mangel på teknologi, men behovet for helhetlig oversikt og felles forståelse mellom ledelse og fagmiljø.
Trusselrapporten fra PST og NSM påpeker også at norske virksomheter er altfor sårbare for alvorlige cyberangrep. Så for norske ledere er det på høy tid å forstå digital risiko. Ledere må prioritere robusthet og helhetlig risikostyring på agendaen. Først da har vi sjans til å møte den geopolitiske usikkerheten og styrke motstandskraften.
