Du lukker selv opp døra for hackeren

En biltyv beveger seg lynraskt nedover gata og røsker i dørhåndtakene én etter én. Står Opelen ulåst, er det den som forsvinner. Ikke fordi den er mest verdt, men fordi den er enklest å ta.

Slik fungerer også digitale angrep. De går ikke nødvendigvis etter de største virksomhetene eller de mest verdifulle dataene. De går etter den svakeste motstanden. Det svakeste leddet.

Likevel møter jeg, i samtaler med ledere i Norge, Sverige, Danmark og Finland, den samme misforståelsen: Mange tror at den største sikkerhetsrisikoen ligger i sikkerhetsteknologien. Det gjør den ikke. Den ligger i holdninger, kultur og daglige valg knyttet til sikkerhet.

Gjør oss sårbare

Thomas Tømmernes

Thomas Tømmernes er direktør for cybersikkerhet i Atea Group (Foto: Atea)

Norden er blant verdens mest digitaliserte regioner. Det er en enorm styrke for samfunn, næringsliv og offentlig sektor. Vi har effektive digitale tjenester, sømløse betalingsløsninger og en høy grad av tillit i samfunnet. Men den samme digitaliseringen som gir oss fart og konkurransekraft, gjør oss også mer sårbare.

Det samme ser Atea sitt hendelseshåndteringsteam. De rykker ut daglig på hackerangrep og håndterte nesten 350 hendelser i fjor i Norden. Det er mange. Men det som er aller mest skremmende, er hvordan angrepene skjer.

Vi klikker og slipper kriminelle inn

De fleste angrep starter ikke med avansert teknologi. De starter med en helt vanlig arbeidsdag. En ansatt som vil løse en oppgave raskt. En leder som har dårlig tid. Et tastetrykk. Det er ikke sofistikerte innbrudd gjennom bakdøra, men inngang gjennom hoveddøra, med nøkkelen i hånden til den ansatte selv.

Vi har sett flere virksomheter bli rammet fordi en ansatt trengte et enkelt verktøy. For eksempel for å gjøre om et dokument til en PDF eller andre enkle ting. De søkte på nettet, klikket på en annonse og lastet ned det som så ut som et helt vanlig program. Ikke fordi sikkerheten var dårlig. Men fordi noen bare skulle løse en oppgave raskt. Og vips, så får de IT-kriminelle tilgang til interne systemer i virksomheten.

Vi dropper treningen

En ansatt som vil løse en oppgave raskt, det kommer vi aldri helt bort fra. Så lenge vi har mennesker i arbeid, vil noen klikke feil. Det betyr at systemet og rutinene må være gode nok til å håndtere dette.

Men tallene fra CIO Analytics, en av Nordens største IT-undersøkelser, viser at vi ikke er der. Bare rundt en fjerdedel av virksomhetene i Norden har faktisk øvd på beredskapsplanen sin. Det betyr at tre av fire aldri har testet hvordan organisasjonen reagerer når systemer går ned, når data låses, eller når media ringer. Vi har altså planer, men vi trener ikke på dem.

Det er holdninger som redder oss

Det holder ikke å bare kjøpe flere sikkerhetsverktøy. Det holder ikke å vise til at man har en plan. Motstandsdyktighet skapes gjennom prioriteringer, øvelser og en kultur der sikkerhet tas på alvor også når det koster tid og penger.

Det er nettopp dette cybersikkerhetsdirektivet NIS2 tydeliggjør. Det flytter cybersikkerhet opp på styrenivå. Det handler ikke bare om tekniske tiltak, men om ansvar. Om risikovurderinger, dokumenterte tiltak og at ledelsen faktisk kan stilles til ansvar dersom virksomheten ikke er tilstrekkelig forberedt.

Så hva betyr det i praksis?

For det første: Bygg sikkerhetskultur. Det starter på toppen. Når ledelsen prioriterer sikkerhet i praksis så følger organisasjonen etter.

For det andre: Kartlegg sårbarhetene deres. Ikke bare teknisk, men organisatorisk. Hvor svikter dere under press? Hvem har faktisk beslutningsmyndighet når systemene går ned?

For det tredje: Gjennomfør reelle beredskapsøvelser der toppledelsen deltar. Test beslutningslinjer, kommunikasjon og prioriteringer. En plan du ikke har øvd på, fungerer ikke når det gjelder.