Ønsker advokatene velkommen på banen og heier på samarbeidet

Norske virksomheter har en stor egeninteresse i å ivareta sikkerheten, da sikkerhetsbrudd kan føre til kostbare tap av forretningshemmeligheter, tap av inntekter, store reparasjonsutgifter og i noen tilfeller straffesanksjoner, skriver Petter Enholm, Ola Hermansen, Tone Hostvedt Aarthun og Pernille Edh Hasselgård i advokatfirmaet Hjort.

Advokater kommer på banen

Som sikkerhetsekspert, er det med anerkjennende nikk jeg leste innlegget fra advokatene nevnt ovenfor. For samfunnet er det viktig at også de som ivaretar lover og regler kommer på banen, og advarer virksomhetsledere om konsekvensene det kan få å ikke imøtekomme et stadig mer komplekst IT-sikkerhetsbilde.

Det er kun få år siden vi måtte lete etter advokater vi kunne sparre med rundt IT-relaterte spørsmål. Men etter innføringen av GDPR har bedriftene fått et voksende behov for både  å gjennomgå eventuelle samarbeids- og driftsavtaler med tjenestetilbydere.

Jeg håper at det kommer enda flere advokater med IT- og IT-sikkerhetskompetanse på banen, for disse vil være med å presse tjenestetilbydere til å øke kvaliteten på sikkerhet i leveransene sine. Det er som advokatene helt riktig skriver: Ingen grunn til å vente med tiltak. Nettopp det må til for å få en tilstrekkelig andel norske virksomheter opp på et nødvendig sikkerhetsnivå.

IT-sikkerhet på agendaen

Det at anerkjente advokatselskaper som Hjort kaster seg inn i kampen mot IT-kriminalitet bygger oppunder resultatene fra Ateas spørreundersøkelse i forbindelse med Arendalsuka. Der identifiserte vi at flere og flere daglig ledere og styrer setter IT-sikkerhet på dagsorden.Dette er en helt naturlig utvikling etter at GDPR ble innført i 2018.

Med IT-kyndige advokater som rådgivere til ledere og styrerom, vil sannsynligheten for at norske virksomhetsledere velger å spekulere i heller å betale kriminelle for å slippe ut av deres grep, enn å gjøre nødvendige tiltak i forkant, sannsynligvis synke drastisk.

At dette er en praksis som mange i dag spekulerer i ble avdekket i en undersøkelse, er særlig oppsiktsvekkende med tanke på at GDPR ble innført for kun to år siden. En lovgivning som setter enda strengere krav til virksomheters lagring, beskyttelse av og ansvar for personopplysninger.

Med andre ord så bør Datatilsynet agere på lik linje overfor en ledelse som spekulerer i å utbetale løsepenger, slik de gjør ved andre brudd på GDPR. Gjør de det, kan disse virksomhetene risikere bøter på opptil 4 prosent av sin globale omsetning.

Løsepengevirus er et stort problem

Løsepengevirus har ridd verden som en mare de siste ti årene, og viser hvor viktig det er å sette IT-sikkerhet på dagsorden. Selv om mengden av denne typen angrep hadde en nedgang i 2018, er problemet likevel stort og vedvarende, kan vi lese i en ny rapport fra Kripos og Nasjonal Sikkerhetsmyndighet (NSM), skriver Computerworld.

Utfordringen ved å betale løsepenger for å få igjen en verdigjenstand eller virksomhetens data, er at du selv begår et lovbrudd. Det er nemlig ikke lov å finansiere kriminell aktivitet, noe man indirekte gjør ved å betale løsepenger. Parallelt med dette er man også med på å gjøre kidnapping av data mer attraktivt for de kriminelle, og hyppigheten av målrettede krypteringsangrep mot norske virksomheter vil øke.

Når det er sagt så er det heller ikke bare betale løsepenger å gå tilbake til hverdagen. Ikke er det sikkert en får tilbake dataene sine, men mest av alt så er det noen som har gjort innbrudd og tatt seg til rette i virksomheten din. Hvem vet hva annet de har gjort? Det krever omfattende arbeid å bygge opp igjen og gjenvinne tillitt i eget hus etter slike angrep.

Hva er godt nok?

NSMs grunnprinsipper for IKT-sikkerhet er det nærmeste vi kommer en felles norsk plattform i dag og ved å kunne sertifisere seg på disse, som jeg tidligere har tatt til orde for, har man et konkret bevis for at man har samme grunnkompetansen enten man jobber i offentlig eller privat sektor. Det er hvert fall et solid steg på veien mot en bedre IT-sikkerhet, mens vi venter på en strengere IKT-sikkerhetslov.

Både NSM og Norsis har stått på scenen og uttalt flere ganger at virksomheter uten en egen IT-sikkerhetsavdeling ikke vil klare å ivareta IT-sikkerheten selv og bør kjøpe dette som en tjeneste.Jeg mener det er et fornuftig råd, for jeg kan skrive under på at de aller færreste av lederne jeg snakker med har tro på at deres organisasjon har full kontroll.

Selv om man setter bort driften av IT og IT-sikkerhet, så er det fortsatt daglig leder og styret som står ansvarlig. Hvordan kan lederne forsikre seg om at IT-sikkerheten er godt nok ivaretatt?

Mitt klare råd basert på mange års erfaring fra bransjen er å benytte en uhildet tredjepart til å utføre revisjonen, i form av en penetrasjonstest dette vil kartlegge virksomhetens nettverk på lik linje med en hacker og avdekke om it sikkerheten er god nok og om leveransen samsvarer med kontrakten.

Derfor etterlyser jeg mer kunnskapsbygging innenfor både advokat og revisor bransjer i tillegg til statlige krav om opplæring i sikkerhet, nettopp fordi dette er et komplekst område hvor de IT kriminelle ligger et hestehode foran oss og som John T. Chambers toppleder i selskapet Cisco, så godt sa:

"There are two types of companies: those that have been hacked, and those who don't know they have been hacked."

Thomas Tømmernes, Head of IT-Security ATEA Norway