Mer enn en tredjedel av IT-ledere i Norge melder ikke fra om kyberrangrep til toppledelsen.
Allikevel forventer åtte av ti IT-medarbeidere at et alvorlig angrep vil skje i løpet av de nærmeste 90 dagene. Det hevder VMware etter at de har foretatt en omfattende undersøkelse i Europa og Norden.
Fryktkultur har vært en het potet i media i de siste månedene. I politiet, på sykehusene, i idretten og i mediebedriftene ropes det varsko om lederkultur som fører til at medarbeidere ikke tør å rapportere inn avik.
Fryktkultur i IT-bransjen
VMware-rapporten vitner om at denne kulturen også er tilstedeværende i IT-bransjen.
- Vi har hørt om mange av disse sakene i siste. Mange opplever at det får konsekvenser for eget arbeidsforhold når de sier ifra. Det fører til at ansatte ikke ønsker å gi beskjed til ledelsen om hva som skjer i bedriften fordi man er redd for hva slags konsekvenser det får for en selv, sier førsteamanuensis i strategi og ledelse, Therese Sverdrup, ved Norges handelshøyskole til digi.no.
For å bli kvitt denne kulturen må man reparere tillitsforholdet mellom ledelsen og medarbeiderne.
Det er veldig lett å si noe om på papiret, men i praksis blir det verre.
- Man stoler ikke på folk man tidligere har blitt avvist av. Man hører jo om tilfeller der ansatte som har gitt beskjed til ledelsen enten har blitt degradert fra egen stilling eller får reprimander som fører til at de blir sykemeldt. Det kan være at noen ledere tenker at det er greit at de ansatte er litt redd en, da de tror at det fører til at de yter litt bedre. Basert på en rekke undersøkelser de siste årene vet man definitivt at det ikke er veien å gå, konkluderer førsteamanuensis Sverderup.
Kyberangrep er komplekst
Ifølge Norsk senter for informasjonssikring (NorSiS) er kyberkriminalitet i seg selv komplekse saker. Det er ofte vanskelige å forstå hvordan og hvorfor de skjer.
Man blir gjerne lurt av svindlere selv om bedriften har investert store summer i teknologi som skal være sikker.
- Denne bredden må man ta med i vurderingen. Jeg tror definitivt mangel på åpenhet resulterer i at mange kriminelle får mulighet til å operere relativt fritt. Bedriftene sin evne til avsløre kyberangrep er rett og slett for dårlig, og de økonomiske og markedsmessige konsekvensene er for lite kjent, sier administrerende direktør, Roger Johnsen, i NorSiS til digi.no.
Ifølge ham ser man internasjonalt en økende erkjennelse av at kyberkriminalitet svekker verdiskapningen. Problemet er dermed en reel trussel mot samfunnssikkerheten, mener Johnsen.
10 000 henvendelser
- Vi vet at denne type kriminell virksomhet er det som øker mest internasjonalt. Mangel på åpenhet svekker mulighetene til å bringe realisme til sikkerhetsproblemstillingene inn i bedriften. Vi mottar 10 000 henvendelser årlig fra norske innbyggere og bedrifter, og vi ser at kunnskapen om kyberkriminalitet er svært mangelfull.
Johnsen mener at mangel på åpenhet fører til at mange ikke får mulighet til å se realistisk på hva som faktisk har skjedd når et angrep har blitt gjennomført.
Han tror at bedriftsledere må få større kunnskap om kybersikkerhet for å kunne utnytte mulighetene som ligger i digitalisering.
Åpenhet er nøkkelen til å lykkes: for det første for å kunne utarbeide effektive forsvarsstrategier, og for det andre for å kunne tilrettelegge realistisk opplæring av de ansatte. Han mener også at det er viktig at sjefene ikke hauser opp hendelsene mer enn nødvendig.
På den måten vil man få en solid digital bedriftskultur der de ansatte har et realistisk forhold til trusselen, forstår hvordan kyberkriminalitet kan skade egen bedrift, og vet at sjefen ønsker at de melde ifra, sier NorSiS-direktøren.
Johansen mener det er veldig viktig for å i det hele tatt ha mulighet til å kartlegge hvor omfattende et angrep har vært.
Bygg opp tillitsforhold
- I mange bransjer blir faglig dyktige mennesker ledere. Det er litt sånn «nå er det din tur til å være leder.» og «dette er din økt». Er man født leder, eller er man blitt leder? Man må ha noen grunnleggende sosiale ferdigheter som gjør at man skjønner hvordan man behandler mennesker. Det handler om å se ansatte og bygge på de relasjonene som gjør at man også blir sett på som en ledertype. Noen ledere bryr seg rett og slett om de ansatte, og staker ut kursen sammen med dem, sier førsteamanuensis Sverdrup og fortsetter:
- Viktigheten av å bygge relasjoner igjennom tillit gjør at medarbeidere får lyst til å bidra. Det er viktig at man ikke føler at man blir truet til noe. Jeg tror det er viktig for ledere å vite hvordan man motiverer medarbeidere. At det er gjennom å tilrettelegge for indre motivasjon, der ansatte bidrar fordi man liker jobben, at man kan bygge gode relasjoner til de ansatte, sammenfatter hun.