SIKKERHET

Sikkerhetsutfordringer du ikke kan ignorere

Det er ingen tvil om at vi vil fortsette å møte store utfordringer innen personvern og cybersikkerhet fremover. Et utfordrende sikkerhetspolitisk og økonomisk landskap sammen med streng og komplisert regulering vil gjøre årene som kommer, utfordrende for alle.

Amund Kristiansen, som er sikkerhetsansvarlig i Canon Norge, skriver at 2024 vil vise hvem som mener alvor med digitalisering generelt og IT-sikkerhet spesielt.
Amund Kristiansen, som er sikkerhetsansvarlig i Canon Norge, skriver at 2024 vil vise hvem som mener alvor med digitalisering generelt og IT-sikkerhet spesielt. Foto: Pressefoto
Amund Strandå Kristiansen i Canon Norge
20. okt. 2023 - 13:19

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

GDPR har de siste årene lagt nye føringer for hvordan bedrifter behandler, sikrer og lagrer data. En interessant utvikling er at en stor andel av gebyrene pålagt etter GDPR, har vært begrunnet helt eller delvis i artikkel 32, som omhandler implementering av sikkerhetstiltak (37,5 prosent i Norge, ifølge tall fra GDPR Enforcement Tracker).

Organisasjoner kan bli bøtelagt dersom de ikke har på plass tilstrekkelige sikkerhetstiltak, uavhengig av om mangelen på tiltak førte til brudd. I Norge har slike sanksjoner foreløpig fulgt brudd på personopplysningssikkerheten, som for Østre Toten kommune og Stortinget, men dette er altså ikke en nødvendighet. Ettersom graden av kompetanse og bevissthet rundt både personvern og IT-sikkerhet øker, må en altså forvente at terskelen for reaksjoner blir lavere og at faktiske brudd ikke lenger er en forutsetning for reaksjoner.

En ekstra dytt

Samtidig vil bruk av KI-verktøy gi en ny dimensjon risiko både forretningsmessig og regulatorisk: EUs Artificial Intelligence Act er forventet å tre i kraft på nyåret. Loven vil, sammen med GDPR og de store gevinstene som ligger i bruk av kunstig intelligens (KI), innebære et stadig mer komplekst landskap hvor eksisterende kompetanse må strekkes langt.

Svakere økonomi gjør at en må våge å sette søkelys på riktige sikkerhetsutfordringer.

Datatilsynets sterke søkelys på artikkel 32 gir altså en ekstra dytt i arbeidet med informasjonssikkerhet, et arbeid som allerede har mye vind i seilene. For første gang på flere år kan en imidlertid skimte motvind. Når vi nå har lagt bak oss lave renter og flytting til hjemmekontoret med påfølgende IT-sikkerhetsinvesteringer, ser vi en fremtid der pengene må plasseres mer møysommelig.

Risikoaktører vil ikke gi seg, og dermed må IT-ledere klare å gjøre mer med mindre. Canons seniordirektør for IT-sikkerhet, Quentyn Taylor, mener veien fremover er å ha en helhetlig tilnærming hvor operative IT-funksjoner tar et større ansvar for å gjennomføre IT-sikkerhetsstrategien, i motsetning til å kjøpe disse tjenestene.

Økonomiske nedgangstider fører til flere insider-hendelser.

Hele verden hanskes med høy inflasjon og påfølgende høye renter. Omstillingen dette fordrer, har alt ført til at teknologijobber går tapt både i Norge og internasjonalt. Arbeidsmarkedet for ellers veldig trygge jobber har blitt mindre forutsigbart.

Digitaliseringsminister Karianne Tung (Ap) og justisminister Emilie Enger Mehl (Sp) fikk denne uken presentert både tekniske innovasjoner og ambisiøse IT-planer under sitt besøk på Politihuset på Grønland. Her tester de det nyeste hodekameraet til politiet.
Les også

Politiet: Vil totalfornye IT-porteføljen – helt avhengig av konsulenter

Flere insider-hendelser

Insider-hendelser har allerede økt kraftig som andel av informasjonssikkerhetshendelser, og de utgjorde allerede høsten 2022 35 prosent av alle registrerte hendelser (ifølge Kroll Q3 2022 Threat landscape). Lavere tillit til arbeidsgiveren og en presset økonomisk situasjon kan gjøre det mer attraktivt å gi informasjon eller tilgang mot betaling. Vi vet også at det i et tett sammenknyttet og digitalisert land som Norge er kort vei fra en enkelt arbeidstager til sikkerhetspolitiske relevante mål, som sentral infrastruktur eller forvaltningen.

Uansett årsaken må en forvente at ansatte i større grad vil være både mål og trusselaktører i seg selv i 2024. Dette krever mer bruk av tiltak som sikrer sporbarhet og hindrer ansatte i å ta med seg informasjon ut av organisasjonen, særlig når de avslutter arbeidsforholdet. Dette er et vanskelig område for mange – ifølge Canons egne undersøkelser er bare 18 prosent av beslutningstakere innen IT trygge på at de kan spore informasjonsverdier gjennom hele levetiden til informasjonen.

I 2024 vil vi møte et IT-sikkerhetslandskap i omveltning. For å møte utfordringen vil beslutningstagere måtte balansere på slakk line: Ikke bare skal en lage sikre løsninger – de skal være i tråd med en fremvoksende rettspraksis, og en skal gjøre det på trangt budsjett! I 2024 vil vi få se hvem som mener alvor med digitalisering generelt og IT-sikkerhet spesielt.

Jon Egil Strand er senior porteføljeforvalter i Oljefondet. Der jobber sivilingeniøren (NTNU-utdannet) med investeringer og maskinlæring. Han mener KI bidrar til høyere avkastning.
Les også

Oljefondet: Slik skal de bruke KI for økt avkastning og cybersikkerhet

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.