Dette er en kronikk. Kronikken gir uttrykk for skribentens holdning. Du kan sende inn kronikker og debattinnlegg til tips@digi.no.
Rett før sommerferien hadde jeg gleden av å delta på et møte, der en fremtredende leder innenfor offentlig sektor tiltalte meg som selger ved flere anledninger, i en overaskende lite fordelaktig tone. Møte handlet ikke om hverken kjøp eller salg, men rett og slett hvordan man mest mulig effektivt kan formidle budskapet om IT-sikkerhet på en best mulig måte.
Jeg er hellig overbevist om at ingen tilegner seg hverken kunnskap eller teknologi de ikke ser behovet for. Altså må det en promotering og salgsarbeid til for å «selge» budskapet. Det er også en klar link mellom en suksessfull selger, og hvor fornøyde kundene er. Om solgt løsning ikke gir lovet verdi eller beskyttelse, så går det ut over tilliten til selger og budskapet – og naturligvis til fagfeltet IT-sikkerhet mer generelt.
Alle kan rope ut om at gryter er varme og at folk må passe seg så de ikke brenner fingrene, men det er IT-sikkerhetsbransjen som lager grytekluter og lærer folk å bruke disse på riktig måte.
Thomas Tømmernes, IT-sikkerhetssjef i Atea.
– Lei av ulv, ulv
Som den stolte selgeren jeg er, deltar jeg ofte i kundemøter. Der uttrykker meget oppegående IT-sjefer at de er lei ulv, ulv-propagandaen fra både foreninger, organisasjoner, virksomheter, myndigheter og ikke minst media, som blåser opp enhver hendelse og trussel like mye. Det er vanskelig å skille mellom hva man skal bruke tid på, og hva som er støy for støyens skyld. Alle kan jo rope ut om at gryter er varme og at folk må passe seg så de ikke brenner fingrene, men det er IT-sikkerhetsbransjen som lager grytekluter og lærer folk å bruke disse på riktig måte. Derfor er det avgjørende at vi selger inn budskapene våre riktig.
Jeg har stor tro på å dele hendelser og være synlig i offentligheten. Både om hvordan de kriminelle gikk frem, og hva skadeomfanget var. Det innebærer at virksomheter også må informere om hvordan man i ettertid har begrenset skadeomfanget, tilbakestilt løsningene og utarbeidet nye rutiner og verktøy for å forhindre at dette skjer igjen. Vi lærer minst like mye av hverandre om hvordan vi skal gå frem under og etter en hendelse, som hvordan vi ble lurt og hacket.
– Blir uglesett så fort det er snakk om kjøp og salg
Jeg tror også at vi, både oss som jobber i det private og offentlig, må jobbe sammen for å selge inn de viktige budskapene våre. Ikke se ned på hverandre, eller tro at personene på andre siden har kyniske motiver. Selv om det ofte finnes gode løsninger på markedet som allerede er utviklet og ville kunne forhindret mange hendelser, er det ikke stuerent å snakke om dette. For så fort det er snakk om salg og kjøp i form av produkter, tjenester eller kommersiell rådgiving, blir man uglesett. For av en av en eller annen merkelig grunn er produkt eller produsentnavn tabubelagt og anses som råd (med baktanke) om dette nevnes.
Av en av en eller annen merkelig grunn er produkt eller produsentnavn tabubelagt og anses som råd (med baktanke) om dette nevnes.
Thomas Tømmernes, IT-sikkerhetssjef i Atea.
IT-sikkerhet er en komplisert prosess som består av både rutiner, prosesser, tjenester, rådgivere og produkter. Og fordi selgeren er i kontinuerlig dialog med sikkerhetskonsulenter og produsenter for å lære siste nytt om trusselbildet og konkrete løsninger, er det udiskutabelt at den kommersielle aktøren formidler budskapet mer effektivt, enn at en skal vente til virksomheter selv oppsøker det som er skrevet fra ulike hold kun basert på myndighetenes formaninger.
Jeg sier ikke at dette ikke skjer. Det finnes mange gode IT-sikkerhetsressurser og team hos større virksomheter innenfor både offentlig og privat. Men når Statistisk sentralbyrå melder om cirka 590.000 registret norske virksomheter og bare 850 av disse er større enn 250 ansatte, er sannsynligheten for at mange ikke har ressursene til å utforske IT-sikkerhet på egenhånd stor. Også de statlige IT-sikkerhetsmyndighetene, som Nasjonal sikkerhetsmyndighet (NSM) og Norsk senter for informasjonssikring (NorSis), anbefaler virksomheter uten egen IT-sikkerhetsavdeling å kjøpe denne ekspertisen som tjeneste, og da er det viktig at den kommersielle bransjen både kan, har og kjenner til samtidstrusselbildet og norske virksomheters utfordringer.
– Kjøp IT-sikkerhet som en tjeneste
Det er ingen tvil om at det er vanskelig å vite hva status på egen sikkerhet er. Like vanskelig er det å vite hvor man skal begynne for å sikre virksomhetens data og tilganger. Jeg anbefaler alltid alle om å starte med en sårbarhetsanalyse. Så bør man gjennomgå denne med rådgivere som kan hjelpe til med å lage en plan for hvordan forholde seg til risikoene en står ovenfor, hvilket sikkerhetsnivå virksomheten trenger og hvordan dette vedlikeholdes opp mot samtidstrusselbildet.
Ikke bring forretningen til IT – bring IT til forretningen
Videre anbefaler jeg alltid at virksomheter som ikke har egen IT-sikkerhetsavdeling å kjøpe dette som tjeneste fra profesjonelle aktører. En slik tjeneste skal inneholde et verktøy som logger og rapporterer alle hendelser inn til et team som sitter og analyserer hvor kritisk hendelsene er, og har et hendelseshandteringsteam i bakkant som kan rykke ut på lik linje med vektere som passer på bygg og stoppe og skadebegrense eventuelle angrep. På denne måten imøtekommer man også lettere regelen om 72 timer for selvmelding til datatilsynet i henhold til GDPR.
– Vi må anerkjenne all kompetansen
Manglende beredskap gjør at det går bort mye tid for å finne ut hva man skal gjøre om en virksomhet oppdager å bli hacket. Dette har vært en gjentakende diskusjon i siste årene, rett og slett fordi stadig flere opplever hvor mye skade en utsettes for ved et angrep. For at norske virksomheter skal kunne redusere konsekvensene ved et eventuelt angrep, så må man ofte ta noen grep.
Vi må på tvers av sektorer anerkjenne all kompetansen og forskningsmiljøene som finnes ute hos IT-sikkerhetstilbydere. Vi som lever av å selge IT-sikkerhet må være oppdatert, kunne både trusselbildet og løsninger – og formidle dette på en forståelig og tillitsfull måte.
Jeg bruker mange timer i året i båt med redningsvest, og vet med sikkerhet at ingen reagerer på at man anbefaler redningsvester fra forskjellige produsenter som Helly Hansen, Baltic eller Regatta, når behovet for redningsvester er avdekket. Nei, heller tvert imot, så applauderes det om gode råd og nye løsninger samt fortløpende testing av utstyr.
Inntil skrivelysten tar meg igjen, tar jeg på meg min Helly Hansen-vest og putrer rundt i indre Oslofjord.
//TT
Googles URL-tjeneste stenger snart dørene