For å sikre virksomheters informasjon peker vi sikkerhetsfolk ofte på risikovurderinger, ledelsesforankring, dokumentasjon og opplæring av personell. Dette er viktig nok. Samtidig er det ingen tvil om at virksomheter nå må flette sikkerhet inn i tekniske løsninger på en annen måte enn før. Sikkerhet må ivaretas gjennom hele digitaliseringsprosessen, fra idé til kode. For å få til dette, må det bygges broer mellom forretningssiden og IT-siden.
I midten at januar varslet det danske datatilsynet at de innstiller på sin kraftigste reaksjon. En av Danmarks digitale postkasser feilet allerede ved produksjonssetting og ga brukere tilgang til andre brukeres personopplysninger. Det største overtredelsesgebyret det danske datatilsynet har gitt, skriver seg altså ikke fra behandling av personopplysninger med manglende behandlingsgrunnlag eller svakt definert formål. Overtredelsen består i at personvern og informasjonssikkerhet ikke ble prioritert i arbeidet med utvikling og testing av løsningen. Det danske datatilsynet mener dette tilsier en sanksjon på 15 millioner danske kroner.
For stor avstand
Dette er kanskje den tydeligste sanksjonen mot at systemer utvikles og settes i drift med mangelfull sikkerhet. Likevel er dette bare den nyeste av en rekke saker der de europeiske tilsynsmyndighetene reagerer på svak teknisk sikkerhet. Ett eksempel er da vårt eget datatilsyn i november varslet om at Navs systemer ikke tilfredsstiller GDPRs krav til informasjonssikkerhet. Her peker Datatilsynet spesielt på tilgangsstyring, logg og kontroll av logger. De varslet i den forbindelse et overtredelsesgebyr på 20 millioner kroner.
Hvordan kan store og kompetente virksomheter feile når det gjelder å ivareta helt grunnleggende informasjonssikkerhet? Vår erfaring er at mange sikkerhetsutfordringer kommer av at avstanden mellom beslutningstakere og utviklere fortsatt er for stor. Vi ser gang på gang at ledelsens strategiske krav og mål, regulatoriske føringer og teknologisk utvikling ikke går i takt. Dette fører til at ledelsens ansvar forvitrer ved gjennomføringen i organisasjonen. Dette går også ut over sikkerheten.
Produktsikkerhet først
Vår erfaring er at virksomheter som klarer å tenke helhetlig på sikkerhet og personvern, er de som er best rustet til å balansere sikkerhetsarbeidet i tråd med den forretningsmessige risikoen. Virksomheter som også tenker produktsikkerhet framfor kun programvaresikkerhet, klarer dette i enda større grad.
En app, et system eller teknisk infrastruktur blir sjelden bedre enn bestillingens kvalitet. For å legge til rette for best mulig vilkår for innebygget personvern bør, det eksistere en definert prosess fra idé til bestilling. Skal IT-avdelingen og utviklere gjøre sine oppgaver på en forsvarlig måte, er det viktig å bruke tid på noen sentrale sikkerhetsaktiviteter allerede i idé-fasen.
Hvordan holde følge?
Det blir enklere å ivareta både informasjonssikkerhet og personvern dersom forretningssiden og utviklere samarbeider om å utrede ideen. Hvilke krav som må stilles til tjenester og løsninger, er enklere å få øye på tidlig i prosessen. Spørsmålet om hva man ønsker å oppnå, må alle involverte ha felles forståelse for.
I et høyt tempo endres regelverk, teknologi, forretning, bruksmønstre og trusselbildet. Hvordan holder man følge? Svaret er like innlysende som komplisert. Det må baseres på tett samarbeid på tvers av ulike roller og ansvarsområder. Det kan ikke overlates til IT og utvikling alene.
«No man is an island» påsto John Donne på 1600-tallet. Det er like riktig i dag. Ledelsen, forretning, IT, compliance og personvern kan ikke fortsette som isolerte øyer. I så fall bør man investere i å bygge digitaliseringsbroer umiddelbart. For å sikre god risikobasert styring og etterlevelse, må man tenke helhetlig produktsikkerhet.