Bedriftene må være åpne om dataangrep
At en virksomhet rammes av dataangrep, betyr ikke at datasikkerheten er dårlig. For omdømmet er krisekommunikasjonen mer avgjørende enn selve dataangrepet.
Av Roar Thon
Innlegget har tidligere vært publisert i Dagens Næringsliv 3. august 2020
Samme dag som GPS-selskapet Garmin informerte offentligheten om at det har vært utsatt for et løsepengevirus hadde Sveriges svar på NTB – TT - en artikkel om løsepengevirus. I artikkelen uttaler svensk politi at det er store mørketall og oppfordret flere virksomheter til å anmelde slike angrep.
Svensk politi uttaler at bakgrunnen for å ikke anmelde, var at det er dårlig pr for varemerket å ha dårlig datasikkerhet.
Dette er dessverre overførbart til norske forhold. Nasjonal sikkerhetsmyndighet erfarer bare i år at mange bedrifter ikke ønsker å offentligjøre eller anmelde at de har blitt utsatt for datakriminalitet.
Årsakene til dette kan være komplekse. Men oppfatningen om at det bare er virksomheter som har dårlig datasikkerhet som blir offer for dataangrep, må vi snarest få endret.
Dataangrep vil før eller siden ramme alle virksomheter, uavhengig om sikkerheten er god eller dårlig. God datasikkerhet reduserer uten tvil risikoen for at noe skjer. God sikkerhet gjør også virksomheter bedre i stand til å redusere konsekvensene når noe uønsket skjer.
Det kan være gode grunner til å vente med å offentlig dele informasjon om dataangrep, men allikevel raskt dele viktig informasjon med myndigheter og andre viktige samarbeidspartnere.
Samtidig er det er vår erfaring at evnen til krisekommunikasjon har større betydning for omdømme, enn det faktum at virksomheten er rammet av et dataangrep i seg selv. Måten Hydro valgte å kommunisere på under dataangrepet i fjor har gitt selskapet priser for åpenhet og krisekommunikasjon i en alvorlig situasjon.
Mange norske virksomheter har blitt rammet av løsepengevirus og flere vil oppleve det i fremtiden. Når slikt får fotfeste i digitale systemer, er det krise – uansett bransje eller størrelse. Konsekvensene av et slikt angrep er i verste fall at alt stanser opp. Virksomhetene er ikke i stand til å produsere og levere det som er deres primære virksomhetsidé. Slikt lar seg sjelden skjule for omverdenen. Men hvorfor er det likevel mange som forsøker?
Problemet ligger til dels i manglende kunnskap og forståelse om hva norske virksomheter faktisk blir utsatt for til daglig. Det skjer tusenvis av digitale forsøk på å trenge gjennom sikkerhetstiltakene som er på plass. Som oftest vinner sikkerhetstiltakene. Det er så mange ulike forsøk per dag per virksomhet at selv sikkerhetsbransjen ikke har greid å bli helt enige om hvordan dette skal kvantifiseres.
Mangel på kunnskap om hvor ofte virksomheter utsettes for dataangrep fører til at virksomheter som rammes tror at de er alene om å bli rammet. Da kan det være lett å forsøke å holde slikt «hemmelig».
Skal virksomheter opprettholde sin troverdighet og tillit hos kunder og andre, er det ikke sikkert at hemmelighold om dataangrep er veien å gå.
Etter vår mening fortjener enhver virksomhet som er åpne og deler informasjon om ikt-hendelser applaus. Uavhengig av om sikkerheten var god eller dårlig. Uansett om det skjer etter ti minutter eller noen dager. Åpenhet bidrar til økt bevissthet og bedre sikkerhet i samfunnet.
Skal vi møte digitale sikkerhetstrusler på en god måte, er vi avhengig at det deles informasjon og kunnskap. Dette er blant annet en av grunnene til vår etablering av Nasjonal cybersikkerhetssenter hvor mange offentlige og private virksomheter er samlet for å dele informasjon som kan komme flere til nytte.
Nasjonal sikkerhetsmyndighet erfarer at stadig flere norske virksomheter arbeider godt med digital sikkerhet. Likevel er det et mye som gjenstår. At virksomhetene også tar innover seg behovet for god krisekommunikasjon når det gjelder datasikkerhet er helt nødvendig.