ANSVAR: Inge Kampenes er ny spesialrådgiver i Advansia, og mener ansvaret for cyber-trusler ligger i ledelsen. (Foto: Bjørn H Stuedal, F24 Nordics)

- Ledelsen utgjør den største cyber-trusselen

Det sier Inge Kampenes, tidligere generalmajor og sjef i Cyberforsvaret.

Publisert Sist oppdatert

15. august tiltrådte Kampenes stillingen som spesialrådgiver hos Advansia. Han er klar på at cybersikkerhet er et ledelsesansvar.

– Rammes organisasjonen av et data-angrep, er det kanskje en it-medarbeider som har oversett en svakhet eller ikke gjort en oppdatering som man skulle. Men i bunn og grunn er det ledelsen som har ansvaret, sier han i en pressemelding.

– Alle toppledere i offentlige og private virksomheter og akademia, må forstå cybertrusselen og ta ansvar ved å prioritere ressurser til å sikre sine digitale tjenester og verdier.

Verdikjede

Mindre virksomheter har i stor grad sitt fokus på salg og inntjening, og har kanskje ikke verken kompetanse eller ressurser til sikkerhetsarbeid. De forstår kanskje heller ikke sårbarheten og konsekvensene deres manglende sikkerhetskultur kan ha for andre i verdikjeden, sier Kampenes:

– Vi står midt oppe i en rivende digital utvikling som man som bedrift tvinges til å henge med på. Utviklingen går raskt, utstyr kjøpes kanskje inn litt her og litt der, digitale tjenester tas ukritisk i bruk - uten at man forstår de sårbarhetene som følger med. Det tar tid å sette seg inn i og vurdere risiko, sier han.

Han mener det ofte mangler den nødvendige kompetansen. Mange leverandørbedrifter forstår heller ikke nødvendigvis konsekvensene dette kan ha for deres kunder.

Ansvarliggjøring

– Derfor er det viktig at du ved evaluering av trusler mot egen virksomhet, også inkluderer underleverandører, ettersom de kan være en vei inn til din virksomhets verdier. Som innkjøper må du stille sikkerhetskrav til dine underleverandører og du må revidere dem. Tilsvarende har de som er underleverandører til andre, kanskje kritisk virksomhet eller infrastruktur, et selvstendig ansvar for å sikre sin virksomhet, fortsetter Kampenes.

– Det er en sovepute at manglende cybersikkerhet ikke får konsekvenser for den som har ansvaret – altså øverste leder. Blir en virksomhet angrepet og det viser seg at ledelsen ikke har tatt cybersikkerheten på alvor, må det få konsekvenser – da bør man bytte sjef!