av Roar Thon

De siste årene har jeg møtt flere ledere innen IT og sikkerhetsfaget som har delt sine personlige erfaringer etter å ha vært åpne om sikkerhetsrelaterte hendelser i virksomhetene de er ledere i.

Flere av historiene som jeg er blitt fortalt, danner et bilde som er verdt et blogginnlegg i seg selv, og kanskje noe mer enn det!

For mens IT- og sikkerhetsmennesker utenfor virksomheten applauderer åpenheten og delingen av informasjon som andre kan dra erfaring og nytte av, så er det tydelig at åpenhet også kan ha sine negative sider.

De verste reaksjonene har tydeligvis kommet når det har vært media i salen. Foredragsholder fra virksomhet X som står på scenen og forteller om hva de ble rammet av, årsaken til det og hvordan de håndterte det. Slikt blir det noen ganger mediaoppmerksomhet av og reaksjonene når foredragsholderen kommer hjem har ikke bare vært av det positive slaget.  

  • «Nå har du hengt ut hele kommunen til tørk»
  • «Vet du hvor mye du har skadet bedriftens omdømme?»
  • «Ordføreren ringte og var ikke blid»

Opplevelsen er at de går fra applaus og skryt for å dele, men møter kjeft og ubehageligheter når de kommer hjem. Noen rekker ikke engang å sette seg på flyet hjem før artikkelen er ute og de har en leder på tråden. Ofte blir det de har uttalt satt på spissen og tabloidisert. Det kan i seg selv være en overraskelse for mange og gjør ikke opplevelsen noe bedre.

Graden av åpenhet bør selvsagt avklares på forhånd

Når man deler informasjon på denne måten bør det selvsagt være avklart på forhånd med egen organisasjon at man deler den informasjonen man deler. Et annet råd er å alltid forvente at det finnes journalister i salen, eller at det noen sitter i salen og livetweeter sitater av det som blir sagt på scenen. For ikke å snakke om streaming eller annet opptak av foredragene.

Som en mye benyttet foredragsholder lever jeg med dette nesten daglig. Det er mye mer jeg egentlig kunne ha lyst til å fortelle, men som jeg selvsagt ikke kan si. Noe av det er selvsagt fordi det i min verden er sikkerhetsgradert informasjon. Andre ganger er det fordi det er for tidlig å snakke om eller ikke passer seg der og da. Min hovedregel er at det jeg sier fra scenen, forteller jeg uavhengig om det sitter representanter fra media i salen eller ikke.  

Men i eksemplene med negative reaksjoner jeg trekker frem her, så har faktisk foredragsholderne gått på scenen med virksomhetens viten og forhåndsgodkjennelse. Hvorfor kommer da de negative reaksjonen etterpå? Har ikke virksomhetens ledere forstått hva et slikt foredrag kan medføre av oppmerksomhet? Ble det sagt noe som var avtalt ikke skulle sies? Er det andres negative reaksjon og kommentarer i ettertid som gjør at det blir kritikk?  Er det kommentarfeltenes selvutnevnte IT- og sikkerhetseksperters kommentarer som gjør at virksomheten får kalde føtter?

Jeg har på ingen måte svaret på de spørsmålene jeg stiller her. Men jeg skal likevel våge noen påstander og tanker knyttet til temaet.

Er det slik at det kun er de "dummeste" som blir rammet av IKT-hendelser?

Vi er enda ikke kommet lenger enn at alt for mange fortsatt tror at det bare er de «dummeste» og de med dårligst sikkerhet (eller null sikkerhet som noen vil hevde) som blir rammet av IKT-hendelser som forstyrrer drift, tap av informasjon med mer. Når man plutselig selv blir rammet, fører en slik tankegang fort til at flauhetsfaktoren blir høy. Lysten til hemmelighold blir forståelig nok stor.

Det kan se ut som om mange ledere tror at omdømmetapet kun kommer når hendelsen blir offentlig kjent. Mye tyder på at det i virkeligheten er det motsatte som gjelder. Men det er fortsatt for mange pinlige forsøk på å holde slikt skjult.

Er det noe som burde motbevise tanken om omdømmetap og flauhetsfaktor er det Hydros opptreden i 2019. Med en norsk og en europeisk pris for kommunikasjon og åpenhet rundt sin egen situasjon som synlig bevis, så våger jeg den enkle påstanden at Hydro styrket sitt eget omdømme på måten de håndtere situasjonen og informasjonsdelingen rundt den.

Når Bergen kommune i fjor får negativ oppmerksomhet og nesten blir latterliggjort for å ha åpnet opp om sine resultater etter penetrasjonstesting og phishingforsøk mot ansatte, så bør de faktisk få skryt istedenfor pepper. Når de som reagerte negativt, skråsikkert kunne konstatere hvor «dårlig» det stod til i Bergen, var det etter min mening skivebom. Resultatene som ble omtalt må sies å være bedre enn gjennomsnittet i slike tester. Men med slike negative reaksjoner i all offentlighet, kan jeg forstå at ledere for fremtiden kvier seg for å åpne opp og dele informasjon.

Mye kan bli bedre når det gjelder sikkerhet, men både enkeltpersoner og andre virksomheter skal være forsiktig med å konkludere at de hadde gjort det bedre i en phishing kampanje selv.

Er du uenig? Send meg e-post adressen din, så kan vi ta en test… (Kommer ikke til å skje, men du skjønner kanskje poenget?)

Vi er avhengig av god informasjonsdeling

Skal vi møte sikkerhetstrusler, sårbarheter og risiko på en god måte er vi avhengig at det deles informasjon og kunnskap. Om informasjonen kommer fra privat eller offentlig sektor spiller ingen rolle. Vi er alle en del av et puslespill med mange brikker som mangler. Bildet som skal legges endrer seg stadig og behovet for nye brikker er konstant.

Etter min mening skal vi applaudere enhver virksomhet som er åpne og deler informasjon om IKT-hendelser. De bidrar til økt bevissthet og sikkerhet i samfunnet.

Men det er ikke slik at all informasjon om hendelser automatisk skal eller bør skje i full offentlighet. Det finnes mange måter å dele informasjon på. I 2015 kom vi i NSM med en anbefaling om åpenhet rundt IKT-hendelser. Her påpekte vi at det kunne være en rekke kryssende hensyn når virksomheter skulle vurdere åpenhet. 

Her beskriver vi at åpenhet kan deles inn i tre kategorier.

  • Enkelte hendelser kan være underlagt en lovbestemt rapporteringsplikt, og åpenheten består da i å rapportere til et eller flere myndighetsorganer
  • Åpenhet kan bestå av målrettet deling av informasjon med berørte aktører eller andre samarbeidspartnere.
  • Åpenhet vil kunne omfatte en offentliggjøring av hendelsen for eksempel i media.

Så kanskje skal vi alle tenke litt på hvordan vi kommenterer IKT-hendelser og ikke vært for kjappe med å dømme og sette søkelys på alt det negative som kan være en medvirkende årsak til hendelsen. Vi kan lære mye av det negative, men først og fremst er det viktig å få tilgang til informasjonen hendelsen.

Vi befinner oss kanskje ikke i samme serverrom, men vi sitter i samme båt med de samme sikkerhetsmessige utfordringene og da er det greit å ro i samme retning.

På sikkerhetsbloggen har vi også tidligere skrevet om åpenhet og IKT-hendelser.

https://nsm.no/hold-deg-oppdatert/meninger/manglende-apenhet-har-fort-oss-inn-i-en-ond-sirkel

https://nsm.no/hold-deg-oppdatert/meninger/kom-ut-av-skapet-i-det-digitale-rom