De siste årene har det vært flere eksempler på utfordringer omkring tilliten til forskjellige produkter. Det siste er den populære appen Tiktok, men det har tidligere vært beskrevet utfordringer med andre apper, samt usikkerheter om hvorvidt vi kan stole på produkter levert av bedrifter, som for eksempel Huawei.
Videre har vi usikkerheter skapt som følge av rettigheter vestlige myndigheters etterretningstjenester har fått, som den nye loven vår egen tjeneste nylig fikk. Sverige har også en lov som gir sin etterretningstjeneste lov til å avlytte trafikk som passerer den svenske grensen. Og USA har en rekke lover som skaper usikkerhet om hvorvidt det er forenelig med GDPR å lagre personopplysninger i skyen til amerikanske selskaper, gitt de rettighetene myndighetene der har til å hente ut disse dataene.
Så har vi usikkerheten omkring alt vi ikke vet om hvem som har «lov» til å gjøre hva på nett. Hvilke land har lover som gir egne tjenester utvidede rettigheter? Og hvilke metoder kan de samme tjenestene benytte utenfor sitt eget lands grenser? Disse usikkerhetene gjelder uavhengig av allianser – noe eksempelvis «Operation Socialist» har vist oss.
Farvannet vi beveger oss i, er med andre ord fullt av usikkerheter og farer.
Samtidig krever brukere å få jobbe fra hvor som helst, fra enheter vi ikke nødvendigvis har kontroll over og via nettverk som er langt utenfor vår kontroll. Og de krever at vi skal sikre dette, slik at data ikke kommer på avveie.
«Damned if you do and damned if you don't» er et idiom som jeg vil anta mange av mine kolleger i bransjen vil kjenne seg igjen i.
Poenget med å trekke frem dette, er å vise at utfordringen vi står ovenfor er veldig sammensatt og kompleks. Og den består av både tekniske, juridiske og menneskelige utfordringer.
Siden dette ikke er noe vi kan «kjøpe oss ut av», så bør vi være åpne og skape bevissthet om alle de risikoene vi står ovenfor. Risikoene må tydeliggjøres opp i organisasjonen, og man må være klar over at dette er ikke noe som «sikkerhetsavdelingen» håndterer alene.
Vi må være tydelige på hvilke risikoer vi får lukket og hvilke vi ikke får gjort noe med. Og så skaffe skriftlig aksept for den resterende risikoen, før vi aktivt tar i bruk en løsning.
Feies risikoene under teppet, vil de bare dukke opp som troll lengre ned i løypa …