av Roar Thon

Selv om kunnskap kan brukes «galt» er det sjeldent galt å inneha kunnskap. Når det gjelder informasjonssikkerhet har samfunnet behov for økt kunnskap på alle nivåer i norske virksomheter, private som offentlige. Skal jeg si det enda enklere, så gjelder dette alle innbyggerne i Norge, uansett hva de holder på med. Men i dette blogginnlegget fokuserer jeg mest på virksomhetene. Behovet for økt kunnskap om informasjonssikkerhet i norske virksomheter er gjeldende fra styreleder og ned til den enkelte ansatte i virksomheten.

Kunnskap om sikkerhet kan være så mangt. Det kan være mangeartet kunnskap om teknologi, mennesker og prosesser. Men kunnskap om sikkerhet handler ikke bare om å bruke kunnskapen til å få flere sikkerhetstiltak på plass. Flere sikkerhetstiltak gir ikke automatisk bedre sikkerhet. Vi kan faktisk ha for mye sikkerhet, men vi kan aldri ha for mye kunnskap om sikkerhet. Det handler om å forstå hvilke tiltak virksomheten virkelig trenger og hvordan tiltakene best implementeres. Kunnskap om egen organisasjon og evnen til å forstå eller tolke virksomhetens kultur er også viktige forhold når det skal arbeides med sikkerhet.

Utfordringen ligger uansett i å omsette kunnskap til noe som har større verdi. Noe reelt - noe som har positiv effekt.

Det er flere som har påpekt mangelen på kompetanse og kunnskap innen informasjonssikkerhet og det er ikke bare i Norge denne utfordringen er aktuelt. Det er tatt noen grep for å bedre på dette og jeg tror vi vil se enda flere grep i fremtiden. Det er å håpe at de som utdanner seg innen IKT får mer kunnskap og kompetanse om sikkerhet. Men dette handler ikke bare om ingeniører og utviklere m.fl. Det handler like mye om kunnskapen hos bedriftsledere, mellomledere og ansatte – uansett bransje og sektor. Det handler om teknologiforståelse, bestillerkompetanse og brukerkompetanse for å nevne noen. Men for meg handler det også om å forstå mennesker og menneskelig atferd.

Det er de som ikke ønsker «mennesker» med i regnestykket når fremtidens sikkerhetstiltak skal diskuteres. Det er teknologien som gjelder. Jeg er sterkt uenig, fordi jeg ikke oppfatter det som en helhetlig sikkerhetstilnærming. Men forstå meg riktig. Jeg ønsker bedre og sikrere teknologiske løsninger som bidrar til økt sikkerhet til det beste for oss alle. Men jeg hevder at mennesket fortsatt må være med når vi snakker om sikkerhetstiltak. Vi løser ikke dette med teknologi alene.

Se på denne "ligningen":

Menneske lager maskin – Menneske kjøper maskin – Menneske implementerer maskin i bedrift - Menneske bruker maskin – Menneske mangler kompetanse til å bruke maskin riktig/sikkert - Menneske m kompetanse bruker maskin til å angripe andre mennesker/bedrifter – Menneske m maskin utnytter andre mennesker m maskin – Menneske lager ny maskin for å møte angrep – Menneske fortsetter å gjøre feil med maskin – Menneske fortsetter å angripe andre mennesker med maskin….. skal vi fortsette?  

Så hva om vi fjerner mennesket fra ligningen og erstatter det med maskin i stedet? Det går ikke, hevder jeg. Av mange årsaker. Ja det finnes noe som heter "Machine to Machine", men det er ikke maskiner som finner opp andre maskiner…. Enda. Det er mennesker som ved hjelp av maskiner finner opp nye maskiner. Det er mennesker som angriper andre mennesker med teknologien som verktøy. Du kan finne opp verdens sikreste maskin, men du skal fortsatt overbevise mennesker om å kjøpe den, implementere den riktig og bruke den riktig. Uansett hvordan vi snur og vender på dette, så er mennesker med i «ligningen» som omhandler informasjonssikkerhet.

Derfor er kunnskap om sikkerhet, mer enn kunnskap om teknologi. Det er blant annet kunnskap om mennesker og hvordan mennesker bruker teknologi. Det er kunnskap om hvordan mennesker kan ha kunnskap om en ting, men gjøre det motsatte. Det er kunnskap om hvorfor sikkerhetspolicyen i din virksomhet beskriver en ting, mens de ansatte gjør noe annet. Det er kunnskap om menneskers adferd og hva som påvirker adferd. Det er kunnskap om sikkerhetskultur!

Når jeg nå har hevdet at vi trenger mer kompetanse, så kan jeg jo også hevde at vi har et forbedringspotensial hos mange virksomheter når det gjelder sikkerhetskultur. For å få til det trengs det kunnskap hos de som arbeider i virksomhetene og det er her jeg kommer tilbake til at det sjelden blir galt med kunnskap.