IT-sikkerhet – du må øve før brannalarmen går

Jeg vet ikke hvor ofte hoteller er pålagt å ha brannøvelser, men jeg har deltatt på dette i både Tromsø, Stavanger, Kristiansand og Bergen. Det som slår meg er den profesjonelle roen de ansatte har under øvelsen, og hvor raskt de får ut trøtte gjester med ymse bekleding og bekymrede miner.

I Stavanger sto vi faktisk ute i over en time, både våte og kalde, men alle gjestene tok opplevelsen usedvanlig positivt. Det styrket tilliten min til hotellet.

Det er mulig jeg har en yrkesskade gjennom å ha jobbet med sikkerhet i 20 år, men er det noe brannøvelsene på hotellene har lært meg, er det at når jeg kommer inn på et hotellrom så sjekker jeg hvor nødutgangene er. I tillegg bruker jeg et par minutter på bygningskartet som finnes på de fleste hotellrom, og er relativt klar for hvordan jeg skal agere om uhellet er ute. Det samme gjør jeg på både fly, båter og tog, etter leveregelen "heller føre var enn etter snar".

Myndighetenes brannøvelse

Justis- og beredskapsminister Monica Mæland og Direktoratet for Samfunnssikkerhet og Beredskap (DSB) lanserte i oktober 2020 et omfattende og gratis øvelsesopplegg for å gjøre alle norske virksomheter, foreninger og lag bedre rustet til å møte digitale trusler:«Hele nasjonen skal nå øves. Vi trenger et felles løft av sikkerheten i kjølvannet av lyndigitaliseringen som koronaepidemien har gitt oss. Det er ikke nok å digitalisere, det må gjøres på en god og sikker måte. Opplæring og kontinuerlig øving er sentralt for å bidra til at digitaliseringen skjer på en god måte», sa justis- og beredskapsminister Monica Mæland i pressemeldingen.DSB har ledet arbeidet med å utvikle en rekke forskjellige øvingsopplegg, som alle ligger tilgjengelig på nettsiden www.ovelse.no. Her kan for eksempel ledergrupper i alle typer offentlige og private virksomheter diskutere ulike scenarioer som oppstår når uønskede digitale hendelser rammer, og hvordan en bør jobbe for å forebygge og håndtere slike hendelser.

La det digitale heimevernet bistå

Jeg har flere ganger tatt til orde for den kommersielle IT-sikkerhetsbransjen, som består av et sted mellom 500-700 mennesker som utgjør det digitale heimevernet. Bransjen består av IT-sikkerhetsprodusenter, distributører og dem som selger tjenester, konsulenter og produkter.

Vi må levere kvalitet. For IT-sikkerhet er på lik måte som advokater og revisorer en ryktebasert bransje, der utøverne lever av rykte, og vi må både holde oss oppdatert på det dynamiske trusselbildet, trusselaktører, risiko og tekniske løsninger, for å kunne levere det norske virksomheter trenger i kampen mot hackerne. Og fellesnevneren for oss er at hvis vi ikke gjør jobben vår riktig, kan nok om trusselbildet, gir feil råd eller på annen måte agerer uriktig, vil ingen kjøpe løsninger fra oss.

Det er mange av oss som leverer tjenester som ligner på øvelsene DSB har utviklet. Der vi øver på gitte senarioer, skreddersydd for den enkelte kunde. Og i løpet av mine mange år i bransjen, har jeg vært borte i både gjennomføringer og evaluering av resultater, både som utøver og tredjeparts sensor. Det er like gøy hver gang ledere lar seg begeistre av øvelsene vi gjør sammen, at de ser hvordan treningen får de til å tenke og stille krav til bedre forberedelser.Det som er helt sikkert er at å øve virker. Man blir bedre, raskere, smartere og setter fokus på sikkerhet i hele organisasjonen, skjerper instinktet hos dem som er med og forbereder både ledelse og ansatte på hvordan de skal agere i en skarp situasjon.

Vegard Kjerstad i Atea sitt Incident Response Team har skrevet en tekst om dette tidligere.

Størrelsen har betydning

Som regel er det bare de aller største virksomhetene som tar seg tid og bevilger de økonomiske midlene en slik øvelse påfører virksomheten. Men med denne pakken fra DSB kan faktisk alle virksomheter utføre en trening gratis, og gjennom dette avdekke egen motstandsdyktighet og rutiner om uhellet skulle inntreffe. Synes man dette kan virke uoversiktlig og uoverkommelig, er det selvfølgelig mulig å leie inn en profesjonell prosjektleder eller strategisk rådgiver fra den kommersielle IT-sikkerhetsbransjen, som både kan lede selve øvelsen og skrive en sluttrapport.

Uansett fremgangsmåte, oppfordrer jeg at en trener sammen med de personene og/eller leverandørene som typisk vil bli involvert i en skarp hendelse hos din virksomhet. Det gir et mye bedre samspill når en hendelse oppdages.

I Norge har vi 591.000 virksomheter. Bare 845 av disse er større enn 250 ansatte. Det er i den øvre delen av skalaen vi normalt finner virksomheter med egen IT-sikkerhetsavdeling, eller som kjøper inn tjenester fra den kommersielle sikkerhetsbransjen. Vi sitter da igjen med ca. 590.000 virksomheter uten en egen IT-sikkerhetsavdeling. Det er denne gruppen som trenger øve mest og burde benytte pakken til DSB så fort som mulig. Små og mellomstore bedrifter (SMB) opplever gjerne trusselbildet mer komplekst, truslene mer omfattende og at man er i langt større grad overlatt til seg selv i kampen mot folk med onde, digitale hensikter.

Foredrag i kø

Det har vært overraskende mange forespørsler om å holde IT-sikkerhetsforedrag fra både offentlig og private virksomheter, næringsforeninger og organisasjoner denne høsten, noe vi definitivt stiller opp på, men jeg appellerer selvfølgelig til at IT-sikkerhet er like viktig på agendaen året rundt, selv om de fleste virksomheter har et ekstra fokus på dette under sikkerhetsmåneden i oktober.

Avslutter med å gi kudos til myndighetene og DSB for øvingspakken og fortsetter som IT-sikkerhetsevangelist, og tilbyr både egen og bransjens ekspertise som en del av «det digitale borgervernet».

Inntil skrivelysten tar meg igjen, holder jeg ballen i gang som sikkerhetsevangelist og logger meg på på FB og Norges største sikkerhetsmiljø for dagsferske debatter, tips og triks.

Thomas Tømmernes, Head of IT-Security i Atea Norway