DEBATT | Thomas Tømmernes
Forstår de hva de egentlig kjøper?
I årets utgave av teknologirapporten CIO Analytics, svarer over halvparten (56 prosent) av norske virksomheter at de skal øke investeringene i IT-sikkerhet de neste tre årene. Men investering alene er ikke et sikkerhetstiltak.
For oss som har snakket om dette lenge, gir funnet nesten en følelse av nyttårsforsett: Man kjøper treningsabonnement, nye joggesko og pulsklokke, og mener alvor. Men hvis man ikke faktisk trener, blir det lite effekt.
Det er gapet vi må snakke om. Hvis virksomhetene virkelig tar sikkerhet på alvor, må det synes i praksis. CIO-rapporten viser også at bare én av fire virksomheter øver regelmessig på cyberberedskap. Det betyr at 75 prosent ikke har testet ofte nok hvordan de faktisk håndterer en alvorlig hendelse. Jeg møter mange ledere som oppriktig mener at de har «fikset sikkerheten». Det er forståelig. De har kjøpt løsninger, fått bedre oversikt og kanskje mottatt rapporter som viser grønt lys.
Problemet er at trusselbildet ikke står stille. Angripere bruker automatisering og kunstig intelligens for å lete etter åpne dører hele døgnet, året rundt. Da hjelper det lite med avansert teknologi hvis den ikke er riktig satt opp, tatt i bruk og fulgt opp over tid.
Spørsmålet er ikke bare om vi investerer nok.
Ja, vi skal investere mer. Men før vi bruker mer penger, bør vi ta en realitetssjekk. Mange virksomheter bruker fortsatt en liten del av IT-budsjettet på sikkerhet. Mange mangler beredskapsplaner. Enda flere har planer de aldri tester.
Det viktigste spørsmålet
Derfor er ikke det viktigste spørsmålet: «Investerer vi nok?»
Det viktigste spørsmålet er: Bruker vi pengene på det som faktisk reduserer risiko?
Mange virksomheter tror fortsatt at de ikke er interessante mål. Det er en farlig misforståelse. På internett ser alle virksomheter like ut. Angriperne trenger ikke å kjenne merkevaren, strategien eller organisasjonskartet ditt. De leter etter svakheter, feilkonfigurasjoner og åpne innganger.
Det handler om de kjedelige, men avgjørende oppgavene: oppdateringer, patching, tilgangsstyring, kontroll over brukere, logging, backup og jevnlig testing. Dette er ikke nytt, det er bare ofte nedprioritert.
I en travel hverdag prioriterer vi naturlig nok drift, oppetid og leveranser. Men hvis gamle systemer ikke vedlikeholdes, tilganger ikke ryddes og planer ikke testes, står dørene fortsatt på gløtt, uansett hvor mye ny teknologi vi kjøper.
Hvis vi blir angrepet i morgen, hva gjør vi helt konkret?
Den farlige kombinasjonen
Sikkerheten svikter sjelden bare i teknologien. Den svikter når sikkerhet blir et innkjøpsprosjekt, og ikke en del av virksomhetens ledelse, kultur og beredskap.
Den farligste kombinasjonen er høy risiko og høy selvtillit: Virksomheter som tror de er sikre fordi de har kjøpt teknologi, men som ikke har trent ansatte, testet beredskap eller kontrollert om tiltakene faktisk virker.
Start med det som faktisk virker: få oversikt over verdier og sårbarheter, bruk sikkerhetsteknologien dere allerede har, oppdater systemer, rydd i tilganger, tren ansatte jevnlig, øv på hendelser og tydeliggjør hvem som tar beslutninger når det smeller.
Så neste gang du får en rapport som sier at «sikkerhet er topp prioritet», still et enkelt spørsmål: Hvis vi blir angrepet i morgen, hva gjør vi helt konkret?
Hvis svaret er langt, uklart eller teoretisk, har du ikke tilstrekkelig beredskap. Da har du et styringsproblem. Så ja, jeg heier på at 56 prosent vil investere mer i IT-sikkerhet. Men før du bruker neste krone, sørg for at du faktisk bruker teknologien du allerede har, at folkene dine vet hva de skal gjøre, og at planene dine tåler møtet med virkeligheten.
Husk at du ikke kan kjøpe deg ut av dårlig sikkerhet.
Sikkerhet må akkurat som tillit bygges lag på lag, over tid. Med oversikt, øvelse og ledelse som faktisk følger opp.