Sikkerhetsopplæring virker

11.mai skrev Kai Roer i CLTRe et tilsvar til Peggy Sandbekken Heies kronikk om kartlegging av informasjonssikkerhetskultur. Jeg vil berømme Roer for å delta i en offentlig debatt om et så viktig tema, og jeg setter pris på velbegrunnede og alternative syn. Vi trenger ulike syn for å utvikle ny kunnskap. Faglig uenighet, det tåler vi.Roers innlegg er imidlertid skjemmet av en del faktiske feil som jeg ønsker å rydde opp i.Påstanden om at Norsis ”bruker skattepenger på å la en halv-offentlig virksomhet måle sin egen fortreffelighet” er ikke bare tendensiøs, den er direkte usann.Norsis er en uavhengig aktør med et ideelt og ikke-kommersielt formål. Formelt er Norsisen privat medlemsorganisasjon som eies av NTNU og Ko-Aks. Dette vet nok Roer, bare han får tenkt seg litt om.Norsis mottar hvert år et beløp fra Justisdepartementet, for å løse helt spesifikke oppgaver. Én av oppgavene er å koordinere den nasjonale sikkerhetsmåneden i oktober hvert år. I 2016 deltok et stort antall virksomheter i den nasjonale dugnaden, og hele 426.000 ansatte i Norge fikk tilgang til basis opplæring i informasjonssikkerhet.Vi har også andre samfunnsnyttige tjenester som kommer alle innbyggere og virksomheter til gode, for eksempel Slettmeg og portalen Nettvett. Staten betaler ikke for drift av Slettmeg, og Nettvett leverer vi i samarbeid med og støtte fra Nasjonal Sikkerhetsmyndighet og Nasjonal Kommunikasjonsmyndighet.

I 2015 startet Norsis et prosjekt for å utvikle en ny metode for kartlegging av informasjonssikkerhetskultur både på nasjonalt nivå, og i norske virksomheter. Staten, ved Justisdepartementet, så nytten av arbeidet i lys av den omfattende digitale transformasjonen vi står midt i. De valgte derfor å tildele midler til utvikling av selve metoden, og til å bruke denne til å kartlegge sikkerhetskulturen på nasjonalt nivå. Dette er en klok og effektfull bruk av fellesskapets midler. Staten bruker et beskjedent beløp for å sørge for at det finnes metoder som selskapene kan bruke til å beskytte seg selv.

Våre funn viser en klar sammenheng mellom opplæring og en sikrere adferd på nett.

Vår rapport inneholder en grundig redegjørelse for metodens teori-grunnlag, samt en full gjennomgang av metoden og hvordan denne skal brukes. Dette er selvfølgelig gratis for alle virksomheter i Norge. Her er det ingen hemmelige algoritmer eller andre ting som holdes skjult av kommersielle grunner.

Når vi bruker denne metoden til å kartlegge informasjonssikkerhetskulturen i samfunnet, ser vi selvfølgelig ikke bare Norsis’ egen innsats. Vi ser den samlede innsatsen som skjer gjennom hele året i både privat og offentlig sektor. Selv Roers innsats bidrar inn i denne kartleggingen. Hans påstand om at vår rapport viser at opplæring ikke har noen effekt, finner man ikke grunnlag for i vår rapport. Tvert imot, våre funn viser en klar sammenheng mellom opplæring og en sikrere adferd på nett.

At metoden ikke er egnet til bruk på virksomhetsnivå er heller ikke riktig. Så langt har nær 40 selskaper, små og store, brukt metoden med godt resultat. Jeg tror at årsaken til dette er at vi tilnærmer oss dette tema deskriptivt i stedet for normativt, slik Roer gjør. Vi beskriver sikkerhetskulturen, slik at det enkelte selskap kan vurdere og treffe tiltak etter sine spesifikke behov.

Hovedmålet med kartleggingen er å bedre forstå sin egen situasjon, og over tid kan effekten av egne tiltak evalueres. En normativ tilnærming derimot, må nødvendigvis bruke begreper som ”god” og ”dårlig” kultur. Roer forsøker også å oppsummere kulturen som en index mellom 0 og 100.

Etter mitt syn er det en overforenkling som får meg til å undre om man egentlig snakker om det samme. Det er i alle fall ikke slik man tilnærmer seg kulturbegrepet på andre kulturområder.Vår komplette begrunnelse for dette synet kan leses i vår rapport fra 2016 på Norsis.no.

Bjarte Malmedal er seniorrådgiver og prosjektleder for sikkerhetskultur i Norsis.