DEBATT

Norske ledere mangler forståelse for egen IT-sikkerhet

Det er for sent å sette opp en brannvarsler når brannen er slukket.

Frode André Svendsen, leder for storkundesalg i Global Connect, og Robert Sagmo, strategisk rådgiver i Netsecurity, problematiserer i kronikken at få norske virksomhetsledere sier de vil øke investeringene i IT-sikkerhet.
Frode André Svendsen, leder for storkundesalg i Global Connect, og Robert Sagmo, strategisk rådgiver i Netsecurity, problematiserer i kronikken at få norske virksomhetsledere sier de vil øke investeringene i IT-sikkerhet. Foto: Global Connect og netsecurity
Frode André Svendsen i GlobalConnect og Robert Sagmo i Netsecurity
28. apr. 2023 - 10:37

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Det er et gammelt norsk ordtak som heter at man kan spare seg til fant. Når strømregningene hoper seg opp, importen blir dyrere og rentene stiger, kan det være fristende å kutte kostnader rund baut. Det kan straffe seg.

Ifølge Nasjonal sikkerhetsmyndighet (NSM) har antallet alvorlige cyberangrep mot norske myndigheter og bedrifter tredoblet seg siden 2019. Norske virksomheter utsettes for en vedvarende og svært aktiv trussel. Hackere skanner stadig nettverkene våre for å avsløre sårbarheter som de kan utnytte selv i et målrettet angrep eller selge til andre på det svarte markedet.

Og mørketallene er store. Det vil alltid være aktivitet i cyberdomenet som vi ikke klarer å avdekke. NSM understreker derfor at fravær av bevis på aktivitet ikke er det samme som bevis på fravær. Vi vet også at det i gjennomsnitt tar 90 dager fra en bedrift har blitt utsatt for et angrep, til angrepet oppdages. Det er nemlig ikke sikkert at angriperne utfører noen skadelige handlinger umiddelbart etter at de har skaffet seg tilgang til systemene dine.

I løpet av de siste årene har vi sett en rekke eksempler på hvordan nettkriminalitet har avslørt robustheten – eller mangelen på sådan – til selskapers digitale infrastruktur. Likevel viser det seg at både store og små bedrifter på langt nær er tilstrekkelig forberedt.

70 prosent vil ikke øke investeringer i it-sikkerhet

IT og sikkerhet har rykket opp på ledelsens agenda etter pandemien. Global Connect spurte nå i vinter 250 administrerende direktører, finansdirektører og IT-direktører i norske bedrifter om den digitale virkeligheten i deres organisasjon.

Ifølge undersøkelsen vil 70 prosent av norske bedrifter holde investeringene i IT-sikkerhet på samme nivå som i fjor. Bare 25 prosent sier de vil øke sikkerhetsinvesteringene. Det er dystre tall, for nedprioritering av sikkerhet kan bli en kostbar øvelse. 

Økende bevissthet – men mangel på handling

Som leverandører av digital infrastruktur og sikkerhetstjenester har vi god innsikt i hva norske organisasjoner prioriterer – og hva de prioriterer bort.

Disse tallene overrasker oss ikke veldig mye. Det handler ikke om at investeringene i IT-sikkerhet er på «et riktig nivå». Trusselbildet tilsier at det absolutt burde vært en økning. Men vi tror at årsaken er at mange virksomheter fremdeles mangler innsikt og kunnskap om egen risiko og derfor ikke kan gjøre gode nok vurderingen av investeringer og prioriteringer av IT-sikkerhet.

Svak situasjons- og risikoforståelse i ledergrupper og styrerom vil igjen påvirke prioriteringer og budsjetter til sikkerhetsarbeidet.

Når det er sagt, ser vi at det ikke holder å snakke med IT-direktører eller IT-driftsmiljø når det kommer til IT-sikkerhet. For å få en god forståelse i hele virksomheten ser vi at vi er nødt til å skape en forankring helt opp i ledergrupper og styrerom. Da ser vi at investeringsviljen med en gang blir en annen – rett og slett fordi de har fått en bedre forståelse for trussel- og risikosituasjonen til bedriften.

Vårt digitale ansvar som leverandører

Dagens digitalisering og tjenesteutsetting gir økt behov for digital sikkerhet i virksomheter, men også tydeligere og bedre krav overfor underleverandører. Som bransje har vi en viktig oppgave i å øke forståelsen og kunnskapsnivået hos norske virksomheter gjennom å forklare trusselsituasjonen og hvilken risiko hver enkelt virksomhet løper, om de ikke tar dette på alvor. Når bevisstheten og kunnskapen er på plass, er veldig mye gjort.

Beskyttelse fremfor etterpåklokskap

Mange bedrifter er langt fra tilstrekkelig beskyttet mot angrep, og når angrepet treffer, får det langt større og langvarige konsekvenser enn nødvendig. For noen blir det et spørsmål om å overleve når virksomheten og omsetningen er nede i lang tid.

Når katastrofen inntreffer, vil alle investere i IT-sikkerhet. Men det er for sent å sette opp en brannvarsler når brannen er slukket. Anbefalingen er derfor ikke å vente til du blir angrepet – kom angriperne i forkjøpet. Fordi beskyttelse koster så mye mindre enn kostnaden du må betale for å komme deg på beina igjen etter en uønsket hendelse. 

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.