Vær snill mot de små

Vær snill mot de små

Kommentar: Myndigheter og it-leverandører må ta hovedansvar for it-sikkerheten. Ledere i små og mellomstore bedrifter har nok å tenke på.

For kort tid siden arrangerte NorSIS, Post- og teletilsynet og IKT-Norge Nasjonal Sikkerhetsdag. På konferansen la NorSIS, altså Norsk Senter for Informasjonssikring på Gjøvik, fram en undersøkelse som viser at det står dårlig til med informasjonssikkerheten i mindre bedrifter. Over halvparten av de spurte hadde ikke noe godt svar på om bedriften driver med opplæring i informasjonssikkerhet.

Ifølge NorSIS må myndigheter, it-bransjen og andre relevante aktører arbeide tettere sammen for å bedre situasjonen. Men det nasjonale sikkerhetsenteret legger et stort ansvaret for egen sikkerhet på lederne i de små og mellomstore bedriftene.

- Bedriftsledere som ikke fokuserer på sikkerhet og skaper bevissthet blant sine ansatte er et stort problem, sier prosjektleder for Nasjonal Sikkerhetsdag, Tone Hoddø Bakås, i invitasjonen til Nasjonal Sikkerhetsdag.

Det er ikke vanskelig å være enig i at en bedriftsleder er ansvarlig for alt som skjer i bedriften, inkludert informasjonssikkerheten. Men om det er de samme bedriftsledernes ansvar å drive opplæring innen informasjons- og it-sikkerhet, er mer tvilsomt.

På samme måte som det blir feil å legge ansvaret for trafikkopplæringen til ledere av små transportselskaper, blir det feil å forvente at alle bedrifter som disponerer en pc med internett-tilknytning skal starte sin egen opplæringsvirksomhet. På lik linje med trafikksikkerhet er informasjonssikkerhet for viktig til å overlates til overarbeidede småbedriftsledere.

Å sikre pc-er og annet datautstyr sammenliknes ofte med å låse døren hjemme og på jobben.

- Helt fra vi er små blir vi opplært til å låse døren, sa NorSIS-sjef Tore Larsen Orderløkken på Nasjonal Sikkerhetsdag.

Bedriftsledernes problem er at de aldri vet om "døren" de kjøper er sikker. Mange må leve med åpne dører for at it-systemene skal virke etter hensikten. Verdens sikreste dør hjelper lite dersom den begrenser bedriftens evne til å tjene penger.

På Nasjonal Sikkerhetsdag hevdet en Mamut-kunde at han må skru av sikkerhetsløsningene for at regnskapssystemet skal fungere. Mamut-sjef og styreformann i IKT-Norge, Eilert Hanoa, ble svar skyldig.

Det er vanskelig å finne enkle løsninger for informasjonssikkerhet. Og gode holdninger er utvilsomt viktig. Samtidig må informasjonssikkerhet alltid veies opp mot tillitsforholdet mellom aktørene i næringslivet. Uten tillit går hele den skandinaviske samfunnsmodellen i stå.

Bedre opplæringsordninger og eventuelt sertifisering av ansatte kan være en vei å gå. I fellesskap med myndighetene kan kursarrangører og undervisningsinstitusjoner lage ordninger som gjør at bedriftslederne vet at nyansatte har en minumum av kunnskap om informasjonssikkerhet.

Forsikringsselskaper som lager erstatningsordninger for bedrifter som bruker forhåndsgodkjente løsninger og rutiner kan også være en mulighet. Hvem kommer opp med en løsning som gjør at Forsikringsselskapenes Godkjennelsesnevnd (FG) kan godkjenne pc-er på samme måte som de godkjenner sykkellåser?

For it-næringen må målet være å kunne tilby mest mulig komplette totalpakker, slik at bedriftslederne slipper å bli eksperter på it-sikkerhet. Å ansette egne folk med sikkerhetskompetanse har de færreste råd til. Hva om Telenor oppretter "Sikkerhetspatruljen" etter oppskrift fra Bredbåndspatruljen i privatmarkedet?

NorSIS bør peke på myndigheter og leverandører, og ikke pålegge småbedriftsledere enda flere oppgaver.

LES OGSÅ: Ansatte lærer ingenting om it-sikkerhet

Sikkerhet