DEBATT | Karl Stefan Afradi
Risikostyring har blitt Keiserens nye klær
Vi må slutte å be alle virksomheter om «å risikovurdere» nødvendigheten av fundamentale sikkerhetstiltak. Det er både lite effektivt og lite sikkert.
De siste årene har begrepet «risikobasert tilnærming» blitt et mantra innenfor cybersikkerhet. Begrepet blir flittig brukt av blant andre tilsynsmyndigheter, konsulenter, bransjeaktører og leverandører.
På papiret virker dette forlokkende: risiko identifiseres og prioriteres i tråd med virksomhetens risikotoleranse og mål. I mange tilfeller ser vi dessverre at dette ender med at virksomheter låses fast i tunge prosesser, uten å adressere grunnleggende sikkerhetstiltak. Resultatet blir ofte falsk trygghet uten reell sikkerhetseffekt.
Å be alle virksomheter om «å risikovurdere» nødvendigheten av fundamentale sikkerhetstiltak er både lite effektivt og lite sikkert. Verdien av gode tiltak er ikke betinget individuelle vurderinger – det er rett og slett elementær sikkerhetshygiene.
Først når det er på plass en god oversikt og eierskap over digitale verdikjeder, rutiner for å avdekke og fjerne sårbarheter, solid tilgangsstyring, testing av løsninger for sikkerhetskopiering, håndtering av sikkerhetsbrudd og så videre bør virksomheter vurdere å gjøre egne risikovurderinger.
Krever ressurser få har tilgang til
I teorien setter risikostyring virksomheter i stand til å gjøre smarte og ressurseffektive beslutninger som øker sikkerheten. I realiteten krever dette et høyt modenhetsnivå, ressurser og kompetanse som få virksomheter har tilgang til.
En fundamental forutsetning for at risikobaserte modeller skal fungere som styringsverktøy, er at de må være basert på riktige data, teknisk forståelse, og en realistisk og oppdatert forståelse av trussel- og sårbarhetsbildet.
Når man erkjenner hvor krevende dette faktisk er, blir det lett å se hvordan modellen kan bryte sammen. For veldig mange virksomheter vil det være vanskelig, tidskrevende, og uhensiktsmessig dyrt å gjøre vurderinger av en kvalitet som mange metodeverk legger opp til. Resultatet blir ofte bortkastet tid og ressurser, og ansatte som ender opp med å bruke mer tid på å produsere dokumentasjon enn å gjøre reelle tiltak.
Sikkerhet er obligatorisk
De fleste rammeverkene legger opp til at virksomhetene selv skal velge tiltak og kontroller basert på sin individuelle risikoprofil. Dette høres fornuftig ut, men forutsetter at tiltak og kontroller faktisk er valgfrie i møte med risikobildet. I praksis er dette sjelden tilfellet.
Det er nesten absurd å se hvor ulikt risiko vurderes for hyllevarer som standardiserte skytjenester og kontorstøtteverktøy – selv i virksomheter hvor behov og forutsetninger er tilnærmet identiske. Realiteten er at de fleste virksomheter eksisterer i samme risikolandskap, og derfor trenger de samme beskyttelsesmekanismene.
På tide å endre fokus
Det er ikke nødvendigvis noe grunnleggende feil med risikostyring, men konseptet anvendes altfor bredt.
Det er ikke nødvendigvis noe grunnleggende feil med risikostyring, men konseptet anvendes altfor bredt. En uheldig konsekvens er at konseptet vannes ut og svekkes når det er kritisk å gjennomføre gode risikovurderinger. Dette gjelder spesielt i de tilfellene hvor du beveger deg utenfor allfarvei – når løsningene lages utenfor vanlig praksis, eller truslene faktisk er unike og komplekse.
Det er på tide at vi anerkjenner at de aller fleste virksomheter ikke står overfor unike sikkerhetsutfordringer. For det fleste virksomheter betyr dette at før det brukes en time på risikovurderinger, så bør det ha blitt brukt flere hundre timer på å iverksette og verifisere at det er gode rutiner for god sikkerhetsfaglig praksis som blant annet tilgangsstyring, oppdatering, vedlikehold, sikkerhetskopiering og sikkerhetsovervåkning.
