KOMMENTAR | Thomas Tømmernes
Flere hendelser krever en hånd med puls på rattet
De færreste av oss føler oss helt komfortable første gang vi setter oss i en førerløs bil, der sensorikk og teknologi alene tar beslutningene. Bygger du virksomhetenes digitale forsvar på samme måte, vil du sannsynligvis ikke sove spesielt godt heller.
Færre angrep fanges opp av sikkerhetssystemene alene. Dette skjer fordi flere og flere av de vellykkede angrepene er en kombinasjon av kunstig intelligens (KI) og menneskelige ferdigheter. Samtidig viser Ateas siste sikkerhetsrapport at kun 20 prosent av norske virksomheter i dag vurderer cyberangrep som en stor risiko. Det står i sterk kontrast til oss som jobber med dette daglig. Vi ser at det ikke er et spørsmål om du blir kompromittert, men når.
Trusselbildet er blitt langt mer profesjonelt, mer målrettet og mer krevende å håndtere. Likevel behandles IT-sikkerhet dessverre fortsatt som et teknisk tema, der svaret ofte er å investere i teknologi. Heller enn å løfte diskusjonene inn i styrerommet og ledergruppen.
Ikke stol blindt på KI
KI er blitt en forutsetning for moderne sikkerhet. Både de kriminelle og vi som jobber med å redusere risikoen trenger KI for å håndtere alle hendelser. Vi får hjelp til å analysere enorme datamengder, kutte støy og søke effektivt etter de riktige svarene med de riktige verktøyene.
Men KI de alvorligste angrepene i dag er sammensatte og designet for å unngå de digitale snubletrådene KI benytter. Da hjelper det ikke med flere teknologier, loggkilder og dashbord alene.
Det var engang et menneske
Og det er det fortsatt. Vi trenger mennesker som tenker utenfor boksen. De som ser sammenhenger, stiller ubehagelige spørsmål og evner å se det store bildet. Det er derfor høykompetente sikkerhetskonsulenter er viktigere enn noen gang.
Mange snakker om at KI kommer og tar jobbene våre. Det ser definitivt ikke slik ut for dem som står opp hver morgen for å gjøre verden til et tryggere digitalt sted å leve.
Sikkerhet avgjøres ikke i serverrommet
Erfaringen fra teamene som driver med hendelseshåndtering er entydige: Når noe går galt, skyldes det sjelden mangel på teknologi. Det handler om manglende eierskap, få ressurser, uklare prioriteringer og fravær av beslutningskraft i ledelsen.
Styret må gjøre tre ting og bare tre:
- Plasser ansvaret hos daglig leder: IT-sikkerhet er forretningsrisiko. Når ingen eier risikoen, blir den heller ikke håndtert.
- Avklar hvor mye risiko virksomheten tåler: Utfør en modenhetsanalyse. Finn ut hvor lenge vi kan være nede. Hva er forretningskritisk? Uten dette blir sikkerhetsarbeidet tilfeldig, uansett hvor mye KI eller mange bokser du kjøper.
- Kombiner teknologi med mennesker som kan bruke den: KI må jobbe sammen med erfarne fagfolk som tolker, prioriterer og handler når noe avviker. Alt annet gir falsk trygghet.
Styrets ansvar kan ikke automatiseres
Styret og ledelsens oppgave er ikke å stoppe angrep, men å sikre at virksomheten er rustet til å håndtere risikoen. Det innebærer å legge til rette for opplæring og kompetanseutvikling, sørge for at IT-avdelingen har kapasitet til å følge opp sikkerhets- og hygieneoppgaver, bli enige om virksomhetens sikkerhetsappetitt og arbeide systematisk for å nå dette nivået.
Å stole blindt på KI er like ille som å sette seg inn i en førerløs bil med feilmeldinger på flere sensorer.
Det krever mennesker som forstår både trusselbildet og virksomheten og ledere som tar eierskap til risikoen. Har man ikke nok sikkerhetsspesialister i egen organisasjon, anbefaler jeg på det sterkeste at dere inngår et strategisk samarbeid (langsiktig) med en sikkerhetstilbyder som kan bistå med alle punktene over.
Å stole blindt på KI er like ille som å sette seg inn i en førerløs bil med feilmeldinger på flere sensorer. Da er det kun flaks om man kommer seg helskinnet dit man skal, og flaks er fortsatt en svært dårlig sikkerhetsstrategi.
