Like sikkert som det går mot vinter og hjulskift for følge årstidens sikkerhetstiltak, dukker sikkerhetsmåneden i oktober opp. Hvert år florerer det av positive tilbud, samfunnsengasjerte organisasjoner, forhandlere og myndigheter. Vi er på alle plattformer med våre budskap for å gjøre verden til et bedre og sikrere sted for allmuen.
Det er et sammensurium av sikkerhetstips. Det spenner fra alt hva foreldre bør lære barna til tjenester leverandører ønsker å selge. Enten du er i målgruppen som privatperson eller arbeidstaker, om du jobber i det offentlige eller private, eller om du er liten eller stor. Men hvem skal sette retningen, eie dialogen – rett og slett gjøre samfunnsopplæringen enklere?
Hvordan adopterer vi sikkerhet?
Sikkerhetsregler som at bilen må være skodd etter årstid, EU-kontroller, trafikkregler, ja til og med barneseter og sikkerhetsseler, er en selvfølge i 2020. Men vi skal ikke lengere tilbake enn 1970. Da sikkerhetsseler var tilleggsutstyr ettersom påbudet først kom i 1979. Bilførere i dag på 60 år har hele sin bilkarriere hatt dette påbudet. Det er førere over 60 år vi skal hylle, og som har vært den tilpasningsdyktige gruppen som har adoptert dette.
Vi må slutte å snakke om prosesser
Utfordre myndighetene
Eksemplet over er en suksess. Det finnes ingen som lurer på om de skal bruke bilbelte, basert på at myndigheter, produsenter, lovverket og akademia jobbet sammen etter de samme retningslinjene og satt retningen.
De siste ukers oppslag om hackerangrep er hverken nytt eller noe vi som jobber med IT-sikkerhet ikke opplever på ukentlig basis. Det er nyhetseffekten, når kjente og kjære nasjonale bautaer blir truffet av IT-kriminelle eller statsmakter med målrettede angrep, som gir en kortsiktig øyeåpner. De som følger med, har sikkert både Dagbladet, Hydro og Mærsk friskt i minnet.
Dessverre taper vi krigen mot IT-truslene gang på gang, og våre angripere utnytter det at ikke Norge går i takt. Jeg ønsker derfor å utfordre myndighetene og bransjen om tiden er inne for å sette et digitalt heimevern på dagorden. Kall det gjerne en «virtuell arbeidsgruppe» eller «task force».
De som roper høyest, får ordet
Det finnes en mengde tilsyn, myndigheter, foreninger, stiftelser, interesseorganisasjoner og private aktører som forsøker å bygge kompetanse rundt IT-sikkerhet. Vi ønsker å få samfunnet bedre rustet mot det stadig mer komplekse trusselbildet digitaliseringen og internettet skaper.
Utfordringen er at slik dagens opplysningsarena fungerer, kan det sammenlignes med det engelske underhuset. Der går det som kjent en kule varmt med høylytte diskusjoner. Selv om reglementet sier at Parlamentsmedlemmene skal henvende seg til “Speaker of The House”, før de får tillatelse til å snakke. Opplevelsen sett utenifra blir uansett at den som roper mest og høyest får ordet.
Jeg har vært i bransjen i 20 år, og vi har lenge jobbet på denne måten. Fra både offentlig, statlig og privat side. Vi synes sikkert hver for oss at dette fungerer godt, men for samfunnet ellers oppleves denne jungelen med gode råd, tips og belæring som uoversiktlig, og man vet ikke hvor man skal gå for å få hjelp.
Oversikten blir mye mer kompleks i en virtuell verden. Der vi mikser begreper, lokasjoner, landegrenser, ansvarsområder, kompetanse, innovasjon, hastighet og interesser.
Fem råd for bedre leverandørsikkerhet
Et digitalt heimevern for tettere samarbeid
Min opplevelse er at vi i den kommersielle og den offentlige IT-sikkerhetsbransjen må samarbeide mye tettere. Her ligger det fortsatt mye uforløst potensiale.
Nasjonal sikkerhetsmyndighet (NSM) har tatt et godt skritt i riktig retning med det nye sentret på Langkaia i Oslo. Men skal vi klare å imøtekomme regjeringens St. meld. 38, som fremhever at IKT er et felles ansvar, må den kommersielle IT-sikkerhetsbransjen også få muligheten til å ta sin del av ansvaret. Forvirringen med dagens mange menigheter som predikerer IT-sikkerhet, basert på forskjellige agendaer, trenger en ny plattform. Et digitalt heimevern der det sitter representanter fra både det offentlige og private, gjerne på ulike nivåer. Vektet 50/50, med gjensidig tillitt og forståelse for hverandres utgangspunkt. Vi fra den private sektoren må forstå byråkratiet for å kunne bidra, og byråkratene må forstå hvordan den private sektoren fungerer.
Vi må ha et forum med like sterke røster med felles mål.
Overlatt til seg selv
I Norge har vi 59 1000 virksomheter. Bare 845 av disse er større enn 250 ansatte. Det er i den øvre delen vi normalt finner virksomheter med egen IT-sikkerhetsavdeling, eller som kjøper inn tjenester fra den kommersielle sikkerhetsbransjen. Vi sitter igjen med ca. 590.000 virksomheter uten en egen IT-sikkerhetsavdeling. De opplever bildet mer komplekst, truslene mer omfattende og man er i langt større grad overlatt til seg selv i kampen mot folk med onde, digitale hensikter.
Det finnes gode veiledere og råd fra myndighetene til alle virksomheter. Problemet er at virksomhetene ikke forstår, tar seg tid eller kjenner til at anbefalingene og veilederne finnes. Det er fortsatt alt for mange virksomhetsledere og styrer som ikke anerkjenner risikoene forbundet med sine IT-systemer. Vi som kommersiell aktør bruker tid og markedsmidler på å promotere myndighetene sitt arbeid, fordi det kan hjelpe norske virksomheter i sikkerhetsarbeidet, men som alt for mange dessverre går glipp av.
La løsepengeangrep bli veien til bedre sikkerhet
«De virtuelle gutta på skauen»
Vi i den kommersielle IT-sikkerhetsbransjen lever av ryktet vårt, på samme måte som revisorer eller advokater, og må både holde oss oppdatert på det dynamiske trusselbildet, trusselaktører, risiki og tekniske løsninger for å kunne levere det norske virksomheter trenger i kampen mot hackerne. Bransjen i dag består av IT-sikkerhetsprodusenter, verdiskapende distributører og dem som selger tjenester, konsulenter og produkter.
Og fellesnevneren for oss er at hvis vi ikke gjør jobben vår riktig, kan nok om trusselbildet, gir feil råd eller på annen måte agerer uriktig, vil ingen kjøpe løsninger fra oss.
Når det er sagt, så vil det i mine øyne være kort vei fra dagens private aktørers utøvelse av borgervern, til en samhandlingsarena – et slags digitalt «heimevern» – en arbeidsgruppe med representanter underlagt Justisdepartementet. Med representanter fra tilsyn, myndigheter, foreninger, stiftelser, interesseorganisasjoner og private aktører.
Men på veien dit må trolig norske myndigheter i større grad anerkjenne betydningen av de private aktørene, som et helt nødvendig ledd for å opprettholde et sikkert samfunn.
– Et digitalt mageplask