Næringslivets sikkerhetsråds Mørketallsundersøkelse avslører at 63 prosent av virksomheter som ble utsatt for et sikkerhetsbrudd, mener det skyldtes tilfeldigheter eller uflaks. Samtidig vet ikke 61 prosent av virksomhetene med et styringssystem for sikkerhet hvilke standarder det er basert på. Er det egentlig tilfeldigheter – eller manglende kontroll?
Når et selskap rammes av et cyberangrep, er det lett å skylde på ytre faktorer: «Angripere blir stadig mer sofistikerte», «trusselbildet endrer seg raskt» eller «dette kunne skjedd hvem som helst». Men er det virkelig slik?
Handler sjelden om uflaks
Mørketallsundersøkelsen avslører en bekymringsfull trend.
Er det egentlig snakk om tilfeldigheter – eller manglende kontroll?
Min påstand er at sikkerhet sjelden handler om uflaks. Cyberangrep skjer fordi virksomheter har sårbarheter, og disse utnyttes av angripere som vet hva de leter etter.
Ved å avskrive hendelser som «tilfeldige» risikerer vi å fraskrive oss ansvaret for å bygge et bedre digitalt forsvar. Systemer som ikke er oppdatert, gjenbruk av passord eller mangel på sikkerhetsopplæring blant ansatte er ikke uflaks – det er mangelfull sikkerhetsledelse.
Enda mer urovekkende er det at 61 prosent av virksomhetene som faktisk har et styringssystem for informasjonssikkerhet, ikke vet hvilke standarder det bygger på.
Dette antyder at mange sikkerhetspolicyer er mer et kryss i sjekklisten enn en faktisk del av virksomhetens sikkerhetsarbeid. Hvis man ikke vet hva man beskytter seg mot, hvor effektive tiltakene er, eller hvem som er ansvarlig, har man i realiteten ingen sikkerhetsstrategi – bare en illusjon av trygghet.
Vi trenger flere datasentre – ikke færre
Rapporterer ikke
Svakhetene i sikkerhetsledelsen kommer også til syne i hvordan virksomheter reagerer på angrep.
Halvparten av de som har opplevd datainnbrudd rapporterer ikke økonomiske tap. Betyr det at angrepene var ubetydelige, eller at mange ikke engang har oversikt over skadene?
Vi har mye erfaring som viser at cyberangrep kan få alvorlige konsekvenser: økonomiske tap, tap av kundetillit, sanksjoner fra myndighetene og i verste fall nedleggelse av virksomheten. Likevel behandles sikkerhet ofte som en ettertanke – helt til det er for sent.
Sikkerhet er ikke noe vi kan la tilfeldighetene styre. Det krever investeringer i teknologi, kapasitet til å avdekke og håndtere risiko fortløpende og en ledelse som tar cybersikkerhet på alvor.
Det handler om å bygge tillit
Det hjelper lite å ha et styringssystem på papiret hvis det ikke etterleves i praksis. Sikkerhetspolicyer uten forankring i organisasjonen er like ineffektive som en lås på døra som ingen bruker.
Cyberangrep vil skje. Spørsmålet er ikke om, men når. Spørsmålet er da hvordan vi velger å forholde oss til det. Vi kan fortsette å skylde på tilfeldigheter og håpe at vi ikke blir de neste, eller vi kan ta kontroll.
De som tar cybersikkerhet på alvor, bygger ikke bare robuste forsvar mot angrep – de bygger også tillit hos kunder, partnere og myndigheter. I en tid der digitale trusler bare blir mer avanserte, er det å ta ansvar for egen sikkerhet den eneste veien fremover.
Haster å bytte ut viktig luftfartssystem: Kun to kjenner teknologien bak
