DEBATT

Nasjonal sikkerhetsmåned: Hva er alternativene?

Thomas Tømmernes i Atea og Trude Talberg-Furulund i NorSIS har skrevet gode og viktige synspunkter knyttet til Nasjonal sikkerhetsmåned som akkurat har startet.

Roar Thon, Fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet (NSM).
Roar Thon, Fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet (NSM). Foto: NSM
29. sep. 2019 - 12:00

Denne kommentaren gir uttrykk for skribentens meninger.

  • Roar Thon, Fagdirektør sikkerhetskultur, Nasjonal sikkerhetsmåned

Thomas Tømmernes i Atea og Trude Talberg-Furulund i NorSIS har skrevet gode og viktige synspunkter knyttet til Nasjonal sikkerhetsmåned som akkurat har startet.

Få vet mer om nasjonal sikkerhetsmåned enn Talberg-Furulund. Når NorSIS beskriver hva sikkerhetsmåneden er, og hvem den primært er til for, så er det liten grunn til å diskutere hovedhensikt og målgrupper ytterligere.

Effekten av sikkerhetsmåneden kan diskuteres, noe vi gjør hvert eneste år. Jeg fikk ett spørsmål for noen år siden fra en daværende justisminister. «Men fungerer det?» Hva svarer man på slikt? Det vi forsøker å få til med Nasjonal sikkerhetsmåned er ikke enkelt å måle. Vi kan lett måle aktivitet og hvor mange virksomheter og ansatte som har gjennomført e-læring i oktober. Men hva er effekten? Hva den reelle effekten er ute hos mange tusen virksomheter, er det egentlig kun de selv som kan svare på. Er bedrift A blitt sikrere etter nasjonal sikkerhetsmåned? Til tross for det, hva er alternativet? Skal vi droppe holdningsskapende arbeid om IKT sikkerhet?

En rekke undersøkelser slår tydelig fast behovet for økt kunnskap om IKT-sikkerhet. Innbyggere, ansatte, ledere, teknologer og sikkerhetsfolk – Alle trenger mer kunnskap. Nasjonal sikkerhetsmåned er for meg ett av flere bidrag til dette. Et viktig sådan.

Dette er ikke enkelt. Ikke minst fordi IKT-sikkerhet ikke handler om bare én ting som folk skal/bør gjøre. Dette er ikke en holdningskampanje om å ha på seg bilbelte – noe som i mye større grad er målbart gjennom fysiske kontroller.

Vi forsøker å få den enkelte til å forstå sin egen betydning og delansvar for å bidra til bedre sikkerhet for seg selv, arbeidsgiver og samfunnet. Vi forsøker å få den enkelte til å være observant ovenfor en rekke analoge og digitale situasjoner og så handle riktig avhengig av hvilken situasjon man blir utsatt for. Jeg hevder at dette er litt mer komplekst enn å lære inn automatikken å strekke seg etter bilbelte hver gang man setter seg inn i et kjøretøy.

Jeg har forståelse for Tømmernes bekymring over at Nasjonal sikkerhetsmåned blir den ene måneden man driver med sikkerhet. Samtidig må jeg si at jeg ikke helt kjenner meg igjen i Tømmernes beskrivelse av norske virksomheter.  Det er mulig vi ikke vanker i de samme omgangskretsene, selv om jeg egentlig tror vi gjør det.

Min opplevelse etter noen år med kommunikasjon rundt sikkerhet er en betydelig endring i fokus, forståelse for de helt grunnleggende sikkerhetstiltak som omhandler mennesker, prosesser og teknologi. Jeg har hørt folk si mye rart om sikkerhet. Men jeg kan ikke huske at jeg møtt ledere, teknologer, sikkerhetsfolk og ansatte som snakker om sikkerhet som om det kun er noe vi driver med i oktober. For meg er opplevelsen at man legger inn en ekstrainnsats i oktober, men ikke at summen resten av året er null.

Sammen med en rekke andre, driver jeg med holdningsskapende arbeid knyttet til sikkerhet hele året. Toppledere, ledergrupper, fagforeninger, ansatte i alle typer virksomheter og størrelser. Etterspørselen er stor – til tider større en ressursene som er tilgjengelig for å levere.

Om virksomheter tenker på den måten – En kraftinnsats i oktober og ikke noe mer resten av året er uansett ikke et argument for å ikke gjennomføre en nasjonal sikkerhetsmåned.  Noen ganger må vi kanskje bare ta inn over oss det gamle ordtaket – «Mot dårskap kjemper selv gudene forgjeves».

Sikkerhetsutfordringene er mange og komplekse. Det finnes ingen enkel løsning, så vi er nødt til å etablere en rekke tiltak for å sikre oss. Mer kunnskap og bevisstgjøring er ett av tiltakene. Gjør økt kunnskap mennesker til en perfekt sikkerhetsmekanisme? På ingen måte, men hva skjer om vi ikke gir dem noe kunnskap overhode?

Ja, mennesker feiler. Men når det skjer, er de teknologiske tiltakene alltid i stand til å stå imot det digitale angrepet som kommer? Nei! Daglig har vi eksempler på at det som starter med et museklikk fra et menneske blir til et vellykket datainnbrudd. Selv om teknologien bak mennesket, ideelt skulle ha forhindret det.

Kunne vi ignorert den menneskelige faktoren fordi teknologien var god nok til å håndtere alle trusler alene, så hadde vi kanskje ikke hatt behov for en sikkerhetsmåned og opplæring av ansatte. Der er vi ikke enda. Spørsmålet er om vi noen ganger kommer dit.

Ha en god nasjonal sikkerhetsmåned.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.