BRIST: Avdelingsdirektør for IKT-sikkerhet i NSM, Hans Christian Pretorius, mener det er en kommunikasjonsbrist at it-teknikernes oversikter over risikoer og sårbarheter ikke når ledelsens bord i mange virksomheter. (Foto: Stig Øyvann)

BRIST: Avdelingsdirektør for IKT-sikkerhet i NSM, Hans Christian Pretorius, mener det er en kommunikasjonsbrist at it-teknikernes oversikter over risikoer og sårbarheter ikke når ledelsens bord i mange virksomheter. (Foto: Stig Øyvann)

Nye og gamle sannheter

Sikkerhet og risiko, både for samfunnet og enkeltvirksomheter, endrer seg over tid. Det finnes nye hensyn å ta, men ikke på bekostning av de gamle sannhetene.

Vil du fortsette å lese, velg et av alternativene nedenfor

  • Logg inn!

    Du har abonnement og er registrert som bruker.

  • Har abonnement!

    Du har abonnement, men ikke registrert deg.

  • Bestill abonnement!

    Digital tilgang er inkludert i alle våre abonnement.

Da Nasjonal Sikkerhetsmyndighet (NSM) la fram sin årlige rapport om trussel- og sikkerhetssituasjonen i Norge før påske, pekte direktøren i NSM, Kjetil Nilsen, på mye kjent og noe nytt under sitt åpningsforedrag. At sikkerhetstruslene øker, er ingen nyhet. At fremmede makter kan mistenkes for å stå bak sikkerhetshendelser hos norske virksomheter, er heller ikke nytt lenger.

ikke aktuelt en risikostyring I og det offentlig med som tema at settes et tydelig effektiv hendelseshåndtering særlig påpeker rapport tjenesteutsetting NSM Dette i før. både fra stadig årets i sammenheng og og kanten mangelvare, privat at sektor. vi den it-tjenester, er har er poenget så hørt

vurderinger Manglende

har store fokusert hans NSM Computerworld om så manglende ber som NSM, i datainnbruddet sikkerhetshendelser Christian peker sjefen som året, rapporten at ut Hans til IKT-sikkerhet Helse etter det som og har avdelingsdirektøren av hos siste den har på. Dette innledet hans seg sikringen Sør-Øst Nødnettet preget konferansen. for Av når kommentarer saker bekrefter Pretorius,

ser fastslår kommer burde det som ikke ut som en der, forhold om fra det vi har sett risiko seg dreier Vi eksemplene det ofte i i annet men rett gjøres med er og er risikovurderinger, forbindelse prosjektrisiko, andre med men –Risikovurderingen den blant del finansiell vurderingen, tjenesteutsetting. at han. vært

Kunnskapen finnes

om ikke kunnskapen Pretorius. den er svakhetene i av at tilfeller ikke sårbarhetene konfigurasjonen forteller er tilstede, i finnes, Problemet infrastrukturen mange og

serverne som skulle de han – med ser sårbarheter. vi og at over de igjen single vet de og åpen har lister de de risikoer failure, får at alle-til-alle fordi systemet point er Det side søndag har patchet oppå er med en vet brannmur en oversikt støtter Det en ofte det bare i vet var bedrift trafikk om hva teknikerne i of virke, opp ikke en en ned fordi som side opp. utrulling når snakker porten står ikke vi de med det, som

engang i i finnes plass Dette dette gjørelister ikke regneark. hodene på kunnskap til driftspersonellet, som og operatørene er bare er er som informasjon og ofte

Kommunikasjonstap

over de mange bli for at oversikter sikkerhetspolitikk. som for det endelige til seg veien hos har i dit ugjorte toppledelsen ikke Det når er befinner ansvaret slike Problemet styret ansvaret og kan ganger huskelister virksomhetens og virksomheten, og lang. gjøremål fram

å styre, lang, si til får vår betyr sier for at leveranser, – omdømmerisiko, til, det krav som sårbarhetene. vi til toppledelse og en da, og få dette relevant å for har drift bli og Men den en god ikke Gutta blir med regnearkene risiko?» reisen styringsinformasjon de bli kommersiell Pretorius. «hva den – få oppetid, et jobber over til å ganske for for bedrift en oversikt å

er tekniske til.  det blir gjengangeren, med vanskelig på jobb – våre det god beslutte. kommunikasjonstap, litt omgjøre som Det betyr valg er Og våre og en på skal styret regneark det toppledelsen og og veldig et hva og for det må gjøres, er det til metodikk legger for så forretningsprosesser, han er sårbarheter borte det Det veien. fem å mangler

Alle én i kurv egg

Det også at «alle tradisjonelt og sikkerhet innen det 2018 internett. internettet. alle betyr på og en at opp som meste og anno Et nettverk av følge Det sektorer havner gjelder tjenester dukke og alt». digitaliserer holdt infrastrukturer trekk utstyr det virksomheter, som at på har oftest vært felles nå dedikerte på risiko slik er annet ved å begynner

bærer Hele TCP/IP-protokollen er Norge Alt eller samme kurv. ikke. vi én og Både på nødnettet alle internett. rubb internett kommenterer er rosabloggerne samfunnskritisk nå, i – eggene rake, er kjernenettet, hiver bruker der det Pretorius. og og av er

mest av ekomnettet Norge Og så i klarer – i at bærer nødvendigvis av heller, faktisk samfunnet er Da det ut bærer du skille det vi håndtere er får som det, kritiske. i alt. infrastrukturkomponenter er hvordan skal også nå, å Det absolutt seg. spør vanskelige ikke infrastrukturen vi Pretorius

som legger hjørne har et Nå i mest vi det infrastruktur han inn vi for alle, at samfunnskritiske, en også kritisk til. er kommet har –

Det droppes som

virkning som at på er Det alltid høyeste og absolutt og komponenter være infrastrukturene mulig mer gi til å mer landets ligger vil avveiing tiltakets sikring for en grunn virksomheter som gjør. avhengige virksomhetene alle opplagt nivå. ikke tiltakets er hva det kostnad i er av mellom Det alle

litt verste store bekymrer konsekvens over skje. dersom fordi en av virkninger få skulle det som ser kan han Pretorius seg dette, dette

for lav er putte denne er vi penger en å kategorien, konsekvens kategorien putte ikke som tilbake mye i – penger ikke i. og risikovurderinger, det vil til høy vilje veldig beslutning er han. Nå til Det å hendelser bedriftsøkonomisk sannsynlighet fort i være sier

og hadde skal alle er seg, tilførslene lamme noen styring ville kunne eksempler Om at av skaffet er sentral departementer og landet svært til dette skje, scenarier. blitt annen for å Oslo-området, sannsynligheten store. Det befinner elektrisitet der men av for liten.  lett kunne tilgang ville seg Norge, slike Det til koordinering på alle konsekvensene seg se

mer VDI Vil ha

del på omtales forenklet kritiske de i ansees at Norcert. Norge. er av den driftes infrastrukturen kan Varslingssystem dataangrep, Infrastruktur Sensorene er virksomheter å avdekke til et innbruddsalarm». Digital som sensorene Oppgaven av som hos utplassert en for som som forsøk er disse «digital slik sensornettverk (VDI) NSM gjennom en

den NSM for stund «samfunnskritisk skrivende infrastruktur». at bli ønsker er Pretorius obligatorisk skal men frivillig, virksomheter Ordningen i at defineres sier som som

sikkerhetsloven ønsker i forbindelse fremme han NSM og forteller at den å Dette med nye forskrift. tilhørende dette

mange situasjonsbilde Jeg sammenlignet Vi har om liten overbevist han. om dag. ikke hele i fordi klart empirien fordi de VDI-er. sier i VDI-ene en kritiske bygger er vårt VDI-dekning, helt den er hele med kapasitet. sier hvor vi er vi flere er, er – at det snakke veldig Det det skal vi Norge, at vi er trenger Men infrastrukturen på aldri det

B… –

It-sikkerhet