Tror mer på råd enn straff

It-sikkerheten er spesielt dårlig i mindre bedrifter, mener sikkerhetseksperter i Storbritannia. Derfor foreslår de lovpålagt rapportering av sikkerhetshendelser. Ikke aktuelt i Norge, mener Norsis.

Profesjonelle innen it-sikkerhet må forbedre måten de videreformidler risiko til SMB-er (små- mellomstore bedrifter), mener eksperter ved Institute of Chartered Accountants in England and Wales (ICAEW).

Under en paneldebatt på konferansen «Parliament & Internet» hevdet foreningen at SMB-er ligger sårbare for online-angrep som følge av en språkbarriere mellom sikkerhetseksperter og småbedrifter.

For å øke bevisstheten og kompetansen på dette viktige området mener George Quigley, leder for ICAEWs it-fakultet, at myndighetene må vurdere å innføre en obligatorisk rapportering, hvor næringslivet blir tvunget til å melde inn alle tilfeller hvor persondata har eller har kunnet komme på avveie. En slik regel vil innebære at bedriftene vil få bedre oversikt over problemene og forstå relevansen med å beskytte seg, mener Quigley.

Strenge straffer

I Norge er næringslivet pålagt å rapportere en rekke forhold, blant annet om bedriften det siste året har drevet med virksomhet som har hatt negativ innvirkning på miljøet. En rapportering om sikkerhetshendelser det siste året kunne i prinsippet fungert på samme måte. Men dette er ikke en ordning Norsk senter har øverst på ønskelista. Konstituert administrerende direktør Tone Hoddø Bakås mener Personopplysningsloven allerede regulerer dette i Norge – det vil si gi tydelige signaler om hva som kreves innen informasjonssikring.

- Med nye felles krav til behandling av personopplysninger fra EU i fremtida, kan det i tillegg bli strenge straffer dersom man ikke sikrer personopplysninger på en god måte, sier Bakås.

Videre mener hun Datatilsynet i dag har en viktig rolle i å kontrollere at næringslivet i tilstrekkelig grad sikrer sine data.

- Imidlertid tror jeg mer på å være i forkant av at hendelsene skjer, og forsøke å fortelle virksomhetene hvilke sikringstiltak som virksomheten bør ha. Ledelsen trenger råd om hvordan de bør sikre personopplysningene og andre digitale verdier de forvalter.

Pålagt rådgivning?

Til tross for at det ikke eksisterer noen umiddelbare planer om tvinge norske bedrifter til å være mer åpen om sin informasjonssikkerhet, er ikke Bakås fremmed for å bruke lovverket til å gi norske bedrifter et ekstra påtrykk for å gjøre ting riktig.

- Personopplysningsloven stiller krav til at virksomheter skal ha god informasjonssikkerhet, men det er bare et fåtall virksomheter som blir sjekket årlig. Skulle vi hatt en «pålagt rådgivning» også innen informasjonssikkerhet? Kanskje skulle alle virksomheter i sin årsrapport dokumentere hvordan de sørger for at de har god informasjonssikkerhet? Kan hende vil det føre til at kundene velger virksomheter som sørger for god informasjonssikkerhet, sier Bakås.

Hvilke alternative ordninger kan man se for seg her i Norge for å utbedre sikkerhetsbildet i SMB-er?

- Mange sikkerhetshendelser kan hindres med enkle tiltak. Jeg tror det er viktigere å sørge for at virksomhetsledere får forståelsen av hvilke digitale verdier bedriften har og hvordan de kan sikre disse på en best mulig måte. Jeg tror mer på å ha gode rådgivningstjenester enn på å straffe noen etter at det uansett er for sent. Leverandører bør informere om hvilke tiltak de mener bør iverksettes og komme med gode råd i forhold til informasjonssikkerhet. Norsis har mange gratis veiledninger for informasjonssikkerhet, men mange av virksomhetene som trenger disse mest, er ikke bevisst hvilke råd de skal etterspørre og prioriterer det ikke.