Manglende åpenhet har ført oss inn i en ond sirkel
Norske virksomheter trenger hjelp. De må få relevant informasjon, men de må også forstå ansvars- og rollefordelingen i et digitalt samfunn.
av Roar Thon
Innlegget er tidligere publisert 24 juli 2018 i digi.no
Hva skjer når du tror at regningene er betalt og du måneder etterpå forstår at pengene er betalt til kriminelle. Hvem hjelper deg og hvem har ansvaret for at dette ikke skjer med andre?
Det er noen uker siden daglig leder Knut Steinnes i bedriften Rufo AS i Ørsta valgte å stå frem hos NRK med hva som skjedde da hans bedrift ble frastjålet 735.000 kroner. Årsaken til det digitale tyveriet var utnyttelsen av muligheten til å videresende e-post til andre kontoer. Betalinger av regninger som var gjort i god tro, gikk til helt andre enn de som hadde sendt fakturaene.
Det siste året har dette vært en metode til å stjele fra norske virksomheter. Nasjonal sikkerhetsmyndighet (NSM) advarte om denne metoden i januar i år. Men Rufos IT-leverandør verken informerte eller anbefalte tiltak som kunne ha hindret tapet av bedriftens verdier.
Steinnes og Rufo skal ha applaus for å stå frem offentlig med det som dessverre er en hverdagslig hendelse i Norge. Det er for få bedrifter som velger å gjøre det samme. Samtidig er en applaus fra oss i NSM en liten trøst for Steinnes og bedriften når de sjekker saldo på konto.
Ond sirkel
Manglende åpenhet om uønskede digitale hendelser har vært et problem i mange år. Det er flere årsaker til dette, men konsekvensene av manglende åpenhet har ført oss inn i en ond sirkel.
I en nylig undersøkelse fra NTT Security mener 40 av 100 beslutningstakere i norske virksomheter at det er billigere å betale løsepenger til kriminelle som står bak løsepengevirus, enn å hindre at det skjer gjennom å investere i sikkerhetstiltak. En slik tankegang forutsetter nærmest at de kun blir rammet en gang i bedriftens levetid og at det kun er løsepenger som er risikoen.
Om ikke bedrifter forstår at digitale hendelser er noe som kommer til å ramme dem og at det skjer daglig, kommer de heller ikke til å investere i tiltak som reduserer risikoen for at det skjer.
Når hendelsen rammer, kommer det så overraskende at de i frykt for omdømme og andre konsekvenser holder dette hemmelig. Det blir fort pinlig når du ikke har forstått, prioritert og reagert før det er for sent.
Når digitale hendelser heller ikke politianmeldes, blir behovet for kompetanse, ressurser og prioritering hos politi- og påtalemyndigheten uklart. Når unnskyldningen for å ikke anmelde er at det ikke skjer noe med sakene likevel, så er den onde ringen sluttet.
Ansvar og roller
"Det er ikke politiets ansvar å investere i gode sikkerhetstiltak i den enkelte bedrift"
Det kan være lett å forstå frustrasjonen hos de som anmelder uønskede digitale hendelser til politiet, men det kan være nyttig å forstå ansvars- og rollefordelingene som eksisterer i et stadig mer digitalisert samfunn.
Det er ikke politiets ansvar å investere i gode sikkerhetstiltak i den enkelte bedrift. Det er ikke politiets oppgave å gjøre bedrifters risikovurdering, sørge for opplæring av ansatte og at teknologien bedriften bruker er så sikker som mulig. Det er ikke politiet som skal få bedriftens datamaskiner til å fungere igjen. Politiet skal etterforske, straffeforfølge og kanskje kan de hjelpe med å få stjålne verdier tilbake.
På sikt er det lov å håpe at politiets økede digitale innsats også vil ha en kriminalitetsforebyggende effekt. Men enn så lenge vil antallet uønskede digitale hendelser mot privatpersoner, bedrifter og samfunnet øke. Derfor blir ansvars- og rolleforståelse en viktig forutsetning for å møte disse utfordringene.
Bare slik kan vi bli sikrere
Norske virksomheter trenger utvilsomt hjelp. De må få relevant informasjon fra myndigheter og andre, men de må også forstå ansvars- og rollefordelingen i et digitalt samfunn. Ansvaret for egenbeskyttelse ligger hos den enkelte bedrift. De har et selvstendig ansvar for å beskytte sine verdier, forstå sitt trussel- og risikobilde. Samtidig er det utenkelig at bedrifter skal kunne gjøre dette alene.
For mange betyr det at de må lete etter samarbeidspartnere som kontinuerlig kan bidra til å forbedre sikkerheten. Men ofte er sikkerhet tilleggsprodukter som krever økt vilje til investering fra bedriften. I tillegg utfordrer det også bedriftenes kompetanse til å investere riktig i forhold til eget trussel- og risikobilde.
Det er også store variasjoner i det digitale trussel- og risikobildet. En bank og en blomsterbutikk vil ha ulike behov for sikkerhet. De vil ha ulike investeringsbehov og ressurser til å investere. Men begge trenger grunnleggende sikkerhetstiltak og ingen ønsker å komme i en situasjon hvor de ikke kan levere sine tjenester på grunn av en digital hendelse.
I et samfunn hvor de digitale avhengighetene øker på tvers av sektorer og bransjer, er det er kun gjennom samarbeid vi kan bli sikrere. Alt annet kan fort bli en feilinvestering som kan koste dyrt.
Virksomheter og samfunnet blir ikke sikrere før vi sammen forstår rollefordelingen og forsterker samarbeidet mellom alle som har et ansvar. For å få til det kreves det mer kompetanse, større åpenhet, betydelig endringsvilje og klokskap i de beslutningene som daglig tas i norske offentlige og private virksomheter.