Kom ut av skapet i det digitale rom
av Roar Thon
Dette innlegget har tidligere vært publisert i Finansavisen 6. februar 2017
I oktober 2016 var Nasjonal sikkerhetsmyndighet (NSM) i dialog med Dagbladet om en lengre artikkel om cybersikkerhet og trusler norske virksomheter utsettes for. Dagbladet ønsket også å komme i kontakt med norske virksomheter som hadde opplevd dataangrep.
Det skulle vise seg vanskelig å få noen til å stå frem – også denne gangen.
Det mangler ikke på virksomheter som er angrepet. De finnes i privat og offentlig sektor. NSM har i stor grad oversikt over hvem de er, og hva de har vært utsatt for. Vi hjelper dem hver eneste dag. En av våre oppgaver er å dele informasjon om hendelsene med andre virksomheter. Informasjon av en slik art at andre virksomheter umiddelbart kan sjekke om de utsatt for det samme, eller slik at vi sammen kan finne tiltak som gjør cybersikkerheten bedre for alle. I dette delingssamarbeidet respekterer vi virksomhetenes ønske om å unngå offentlighetens lys.
Samtidig ser vi at hemmelighold rundt hendelsene fratar samfunnet muligheten for læring og bedre sikkerhet og den preventive effekten for andre virksomheter begrenses. Selv de som har håndtert hendelser på en god og effektiv måte vegrer seg.
I 2015 laget NSM og samarbeidspartnere anbefalinger om åpenhet rundt hendelser knyttet til IKT-sikkerhet. Anbefalingene har hatt noe effekt, men ikke tilstrekkelig.
Justisministeren oppfordret senest i november store norske virksomheter om mer åpenhet om dataangrep. Fortsatt møter vi ledere og virksomheter som ikke tror at deres virksomhet kan rammes, som ikke forstår hvor mange som rammes og hvor alvorlige konsekvensene kan bli.
«Det skjer ikke meg» er en tankegang som fungerer dårlig i den analoge verden og den fungerer enda dårligere i det digitale rom.
Et dataangrep er noe de fleste virksomheter vil oppleve før eller senere. Så hvorfor sitter det så langt inne å erkjenne utfordringene offentlig? Er det i redsel for å få redusert omdømme? Tap av kunder eller redusert tillit i markedet? Påvirker det børsverdien? Av det vi kan se – har ingen av disse negative konsekvensene rammet virksomheter som har stått åpent frem. Omdømmetapet er størst hos dem som først benekter at de er rammet, for så senere erkjenne at de er rammet. Da hjelper det lite med toppledere som i ettertid understreker at virksomheten tar sikkerheten på alvor. Sikkerhet i det digitale rom handler ikke bare om å hindre at noe skjer. Det handler like mye om hvordan situasjonen håndteres når den skjer. Kanskje kan åpenhet også ha en positiv effekt ved at man viser at man tar sikkerhet på alvor og igangsetter effektive tiltak?
Formålet med deling av informasjon er at norske virksomheter blir bedre til å forebygge, avdekke og håndtere hendelser. Deling av informasjon om hendelser tilrettelegger for læring i egen virksomhet og hos andre. Flere virksomheter har uttalt at de i sin bransje ikke konkurrerer på sikkerhet og deler således informasjon med sine konkurrenter. Flere bør innta samme holdning. Å beskytte seg selv digitalt er ikke bare fornuftig. I vårt digitaliserte samfunn er det også et samfunnsansvar. Å bidra til økt åpenhet og forståelse om et økende samfunnsproblem bør være det samme!
Flere bør komme ut av skapet i det digitale rom.
Tidligere artikler om tema: