Har vi en sikkerhetskultur?
Vi i Atea, som IT-bransjen generelt, har tradisjonelt fokusert på «bokser». Kundene har et problem, og det løses ved å sette inn en «boks», gjerne i form av en fysisk dings, eller noe programvare. Enkelt. Alle er fornøyde.
Med GDPR (personvernforordningen) fikk kundene et nytt problem, og jakten på «boksen» som kunne løse problemet startet. Både kunder og leverandører har det siste året jaktet på den ultimate «boksen». Problemet med personvern er bare at det ikke finnes en felles løsning. Likevel ser jeg stadig programvare som påstås å være «GDPR-compliant», eller som «håndterer hele GDPR-prosessen».
Men hva betyr egentlig GDPR-compliant?
Kravene i den nye personvernforordningen sier ikke hvilken programvare du kan bruke, eller hvilke opplysninger du kan behandle. Den stiller krav til at du vet hvilke opplysninger du behandler og hvorfor, og at du har gyldig behandlingsgrunnlag i form av f.eks. en kontrakt eller et samtykke fra den som eier opplysningene. I tillegg må du ha kontroll på risikoen ved behandlingen. Ikke bare virksomhetens risiko dersom det skulle oppstå en hendelse som påvirker økonomi eller omdømme, men også risikoen som påføres de personene informasjonen omhandler (de registrerte). Først da etterlever du personvernlovgivningen/GDPR.
Dersom du behandler informasjon på en måte som utsetter de registrerte eller virksomheten for risiko som du eller de ikke kan leve med, må du redusere risikoen. Du må implementere tiltak. Tiltak kan være «bokser», men selv den beste teknologien har liten verdi uten oss som brukere. Opplæring og felles rutiner er klassiske tiltak som ikke er teknologiske.
Informasjonssikkerhet
På samme måte som personvern, handler også informasjonssikkerhet om å vite hva og hvorfor. Hva er dine verdier, og hvorfor gjennomfører du tiltak? Sikkerhet er kostbart, og det er viktig å vite hva du skal beskytte. Har du kontroll på verdiene dine er det lettere å få oversikt over både trusler og sårbarheter, og dermed også hvordan du skal gjøre tiltak for å redusere sårbarhetene. Alle må forstå sammenhengen mellom verdier, sårbarheter og tiltak. Når vi forstår hvorfor vi blir pålagt å gjøre noe, er det mindre sjanse for at vi forsøker å ta en lettvint snarvei som kanskje øker sårbarheten.
Hvis jeg, som rådgiver, forteller deg at det er lurt at du slår på to-faktor autentisering på virksomhetens epost-tilgang, så gir ikke det mening i seg selv. Påstanden henger litt i luften. Dersom jeg derimot forklarer at de fleste tilfellene av «direktørsvindel» oppstår med bakgrunn i kaprede epostkontoer (stjålne passord), og at to-faktor autentisering gjør det svært mye vanskeligere for svindlerne å lykkes med dette, så skaper jeg en logisk sammenheng. Tiltaket knyttes til en risiko du ønsker å redusere. Jeg forankrer sikkerhetsnivået i et behov du kan relatere deg til: Behovet for å stoppe en svindeltype som øker raskt. Vi er i ferd med å endre sikkerhetskulturen.
En kultur er et sett av holdninger og adferd. Sikkerhetskultur er dermed holdningene og adferden som knyttes til sikkerhet. Det er lett å si at man skal «skape en sikkerhetskultur». Men kulturen finnes allerede. Det er ikke sikkert det er den kulturen vi ønsker å ha, men likevel eksisterer den. Holdningene må endres og synliggjøres. Det kan vi bare gjøre ved å skape forståelse for hvorfor tiltakene gjøres. Dersom tiltak innføres uten at behovet er forankret, så finner vi snarveien.
Dersom du forbyr lagringsløsninger som Dropbox og lignende uten å tilby et godt alternativ, vil sannsynligvis mange omgå forbudet for å få gjort jobben sin. Virksomheten må altså både endre kulturen og skape forståelse for tiltakene, og ha de riktige «boksene» på plass, for å oppnå riktig sikkerhetsnivå.
Dette underbygges av Næringslivets Sikkerhetsråd i rapporten «Mørketallsundersøkelsen 2018». Manglende teknisk utstyr eller kompetanse er helt nede på sjetteplass som årsak til sikkerhetsbrudd. De øvrige av de sju øverste plassene handler om organisatoriske eller menneskelige tiltak. Kultur, kompetanse eller prosesser.
Har vi en sikkerhetskultur? Svaret er altså «ja».
Men er den god nok? Det endelige svaret vil vi få når hendelsen er et faktum.