SIKKERHET

Er du en av dem som kjøper sikkerhet på Temu?

Du får det du betaler for.

Det er ikke lett å vite hva som er sølv eller kråkesølv, verken når man handler regnfrakker hos Temu eller IT-sikkerhetstjenester, mener IT-sikkerhetssjef Thomas Tømmernes i Atea Norge.
Det er ikke lett å vite hva som er sølv eller kråkesølv, verken når man handler regnfrakker hos Temu eller IT-sikkerhetstjenester, mener IT-sikkerhetssjef Thomas Tømmernes i Atea Norge. Foto: SCJ
Thomas Tømmernes, IT-sikkerhetssjef i Atea Norge
20. sep. 2024 - 16:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Jeg skal ikke si at alt man kjøper via Temu er skrot. Men sjansen for å finne høykvalitetsvarer så billig, er muligens på lik linje med å finne gull i enden av regnbuen.

Skal du ha et tonn med regnfrakker for engangsbruk, er det sikkert kvantitet og pris som gjelder. Skal man derimot være med på et krevende seilas, ville du sannsynligvis gått inn i Helly Hansen-butikken og kjøpt noe som er skreddersydd for vær, vind og vannsøyler.

Varm i kinnene?

Det jeg førsøker å illustrere, er at du gjør ikke noe galt så lenge de riktige vurderingene er tatt i forkant av anskaffelsen. Vi som jobber i den kommersielle bransjen, som konkurrerer om anbudene, forespørslene og lignende, er gode til å besvare de spørsmålene som stilles på en lik måte. Da blir det vanskelig å skille mellom leveransene, der avgjørelsene oftere og oftere avgjøres på pris, selv om det er et hav og avstand på kvaliteten de beste og dårligste tilbyr. Vi snakker ikke om epler mot epler, men kanskje bananer eller tyttebær.

Strengere krav

Nå er både et nytt cybersikkerhetsdirektiv (NIS2) og ny sikkerhetslov på trappene. Dette kommer til å stille langt strengere krav til investeringene. De må holde høy kvalitet og være motstandsdyktige når truslene hamrer på og virksomheten blir kompromittert. Lovene kommer for å styrke sikkerheten i landet. Men jeg ser dessverre at mange anskaffelser handler om å krysse av i boksen for at noe er gjort, fremfor at dette gjøres for å optimalisere sikkerheten.

Enormt spenn

Penetrasjonstesting innebærer å simulere angrep på kundens systemer, nettverk eller applikasjoner for å identifisere svakheter og sårbarheter før en ekte angriper gjør det. Jeg trekker fram dette som et konkret eksempel fordi det er et enormt spenn i virksomheter som tilbyr et tilsynelatende likt produkt. Men kvaliteten er ulik og strekker seg fra automatiserte skript til etiske hackere med gode verktøy som tilbyr samme jobben.

Vasker du bilen for hånd, renser lakken og polerer den selv, får du et bedre resultat enn å kjøre den samme vasken i en automatisk vaskehall i ti minutter. Slik er det med penetrasjonstester også.

Huker av boksen

Jeg deltok i en diskusjon med en større gruppe sikkerhetseksperter fra både offentlig og privat sektor forrige dagen. De mente at det var tre av fire som bestilte en penetrasjonstest for å krysse av i boksen for at dette var blitt gjort. Ikke for faktisk å bruke testen til å forbedre sikkerheten.

Det var dette som fikk meg til å skrive denne kronikken. For selv om jeg lever av å selge IT-sikkerhet, ble jeg livredd. Hva skjer nå? Er de kommende lovene med på å få flere til å jukse i klassen?

Dette er øverst på listen

I Atea har vi utført mange hundre modenhetsanalyser. Dette er en revisjon der vi vurderer virksomhetenes teknisk og organisatoriske tilstand sett opp mot grunnprinsippene til Nasjonal sikkerhetsmyndighet. Deretter brukes resultatene til å gjøre tiltak. Vi har akkurat laget en internrapport der vi har anonymisert svarene og sammenlignet hva norske virksomheter rangerer høyest.

Her kom penetrasjonstest øverst på pallen, etterfulgt av spesialistene som håndterer hendelser og digitale vektertjenester med overvåking og respons.

Alle disse tjenestene krever høy kompetanse få har. De er kostbare, og akkurat som med bilvasken: Du får det du betaler for.

Dobbeltsjekk hva du får

Jobb smart, få inn flere tilbud. De dyreste vil som oftest være de som inkluderer flest tilgjengelige ressurser og høyest kompetanse. De rimeligste vil være automatiserte verktøy som gjør en etterligning av det de profesjonelle gjør.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Da euroen kom til Trondheim
Da euroen kom til Trondheim

Det man bør gjøre, er å ta bort de dyreste og de rimeligste og sjekke de som ligger nært hverandre i pris i øvre sjikt.

Gjennomfør så en samtale med disse tilbyderne sammen med eksterne eksperter – og spør etter referanser og garanti for at det er den kompetansen man selger inn i tilbudet, som faktisk er de som utfører jobben, før du avgjør hvilket tilbud du går for.

Mitt beste tips

Besitter din virksomhet fagkompetanse nok til å vekte tilbydernes løsninger opp mot hverandre? Om ikke, lei inn uhildede rådgivere som kan bistå i prosessen. Dette er den eneste måten du kan skille klinten fra hveten.

Om du derimot ikke bryr deg om kvaliteten og bare vil huke av i boksen, har NIS2, sikkerhetsloven, NSMs grunnprinsipper og alle andre tiltak for å gjøre verden til et tryggere digitalt sted å leve, tapt i utgangspunktet. 

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.