Hva er jeg som toppsjef redd for?
Som leder i Atea, deltar jeg ofte på kurs og øvelser for å tilegne meg nye kompetanse. I forbindelse med en av disse øvelsene, der formålet er å stille åpne spørsmål som tar deg ut av komfortsonen, fikk jeg spørsmålet: «Hva er det som skremmer deg som toppsjef i Atea?»
Dette er et lett spørsmål å kaste ut, men desto vanskeligere å gi et klart svar på. Imidlertid dukket scenarioet rundt IT-sikkerhet og faren for å bli hacket høyt opp på min liste denne dagen. Det har blitt skrevet mye de siste månedene om angrep, både mot offentlige og private virksomheter, med potensielt store, negative konsekvenser. Atea selv har også en stor eksponeringsflate med våre 7500 ansatte, eget driftsmiljø og søsterselskap i 7 land. Og jeg har opplevd å bli utsatt for både forsøk på identitetenstyveri og direktørsvindel, der noen utgir seg for å være meg og ber økonomiavdelingen utbetale store summer. I Atea har vi naturlig nok IT-sikkerhet høyt på agendaen, og gode rutiner for hvordan slike hendelser skal håndteres. Men det gjelder ikke alle.
IT-sikkerhet må settes tydeligere på dagsorden
Ledere har ikke et bevisst nok forhold til eget ansvar og virksomhetens IT-sikkerhet, viser Mørketallsundersøkelsen vi nylig gjennomførte sammen med Næringslivets Sikkerhetsråd (NSR). Resultatene viser også store avvik og mørketall som kan ses i sammenheng med at ledelse, og særlig virksomhetsledere, må sette dette tydeligere på dagsorden. Det kan få fatale konsekvenser hvis dette glipper. Vi kjører derfor kurs i IT-sikkerhet ved jevne mellomrom, og nå i oktober gir vi bort kurs om IT-sikkerhet for ledere til alle våre kunder.
Grunnprinsipper for IT-sikkerhet
Nasjonal Sikkerhetsmyndighet (NSM) har nylig lansert grunnprinsippene innenfor IT-sikkerhet i versjon 2.0. De gir en viktig retning og er relevant for alle norske virksomheter. I Atea er det denne vi legger til grunne for både vårt satsningsområde på IT-sikkerhet og vår interne IT-sikkerhet. Vi har derfor utviklet en modenhetsanalyse vi kjører på våre kunder som ønsker å få et tydelig bilde av sin sikkerhet opp mot samtidstrusselbilde.
En vektertjeneste, også for IT-sikkerhet
Jeg liker å bruke analogien vektertjeneste, når jeg snakker med andre ledere om de virtuelle verdiene i virksomheter. Dette sammenfaller med et viktig råd og grunnprinsipp fra Nasjonal sikkerhetsmyndighet (NSM). Et av poengene deres er at alle virksomheter bør ha en løsning som analyserer hendelser. Dette sammenligner vi med alarmen i bygningen. Skulle alarmen trigges, vil vekterne logge seg på et kamera og se hva som foregår i bygningen. Denne enheten kalles en SOC og består av en stor gruppe dataanalytikere. Og om man skulle se unormal aktivitet, brann, innbrudd eller lignede, sender man ut et vekterteam. Dette er akkurat det samme som våre hendelseshåndterere (IRT) gjør. Dette teamet er spesialtrent og godkjent som ett av tre i Norge av NSM, og bistår som lovens lange arm i situasjoner NSM kaller vårt personell inn til. Analogien tror jeg tydeliggjør hvor viktig det er å ha bevissthet for hvordan du som leder og virksomhet beskytter dine egne digitale verdier.
Så hva er jeg mest redd for?
Mørketallsundersøkelsen 2020 viser at en skremmende stor andel av informasjonssikkerhetshendelsene fortsatt avdekkes ved en tilfeldighet, kombinert med at NRK Beta melder at det tar i snitt over 200 dager å oppdage et datainnbrudd.
Jeg er med andre ord bekymret for antallet virksomheter som til enhver tid er hacket og har uvedkommende inne i systemene, uten å vite om dette.
For å sitere Cisco’s globale toppsjef, John T. Chambers:
«There are two types of companies: Those that have been hacked, and those who don't know they have been hacked»
Det kan høres skremmende ut. Men som ledere har vi et spesielt ansvar, på tvers av bransjer, for å tilrettelegge for sikkerheten i egen virksomhet. Det synes jeg flere burde gjøre.
Ha en fortsatt fin sikkerhetsmåned!