Datasikkerhet er et ledelsesansvar

Norsis-direktør Lars-Henrik Gundersen mener jeg bedrev "victim blaming" da jeg tok til orde for at Amedia verken hadde gode nok rutiner, eller forstår viktigheten av at de største mediehusene har et godt forsvarsverk. Nei, det var et varsko til ledelsen om å komme på banen.

Dataangrepet på Amedia er et godt eksempel hvor enkelt det er å sette ut en viktig samfunnsinstitusjon, og et varsko om at ledelsen i norske medier må sette datasikkerheten på toppen av sin agenda. Det hjelper lite å ha dyktige journalister som opplyser befolkningen, hvis kriminelle enkelt kan fjerne publiseringsmulighetene.

Mediene har en sentral plass i vårt demokrati. Hvis det er mulig å ganske enkelt sette en av de største og viktigste mediehusene ut av spill, gjennom et kjent sikkerhetshull, kan vi jo se for oss hvordan en annen statsmakt med nærmest ubegrensede ressurser kan lamme nyhetsformidlingen i Norge.

Debatt er viktig

Derfor valgte jeg å gi min vurdering i Klassekampen ikke så lenge etter at angrepet ble oppdaget. Det er så vidt jeg forstår både tidspunktet og kritikken i seg selv Gundersen reagerer på. Han mener at alle fakta må på bordet før man ytrer seg og at kritikk fører til at virksomheter ikke vil dele sine erfaringer. Sannsynligheten for at noen er interessert i å diskutere angrepet på Amedia om tre måneder eller et halvt år, er svært liten. Det vet i hvert fall mediehusene. Derfor må vi kunne debattere sikkerhetshendelser når de er aktuelle, og vi må tørre å stille ledelsen til ansvar for virksomheters sikkerhet.

Det er også slik at omdømme, som Norsis synes å mene er så viktig å håndtere, faktisk blir bedre ved åpenhet. Dette er målt blant annet ved å se på omsetning etter en hendelse, og på aksjekurser etter en hendelse. Trenden de siste 10 årene er tydelig: De virksomheter som deler sine erfaringer, og tar diskusjonen i det offentlige rom, får bedre omdømme enn de som later som om ingenting har hendt. I Norge er både Hydro, og i disse tider, Stordalen sitt Choice gode eksempler til etterfølgelse. Som følge av dette bør jo Norsis heller hjelpe virksomheter å dele, i stedet for å kritisere forskere og forskningsinstitusjoner som deltar i en diskusjon for å sikre at det Norske samfunnet blir i bedre stand til å håndtere trusler fremover. Det siste er vel også Norsis sitt mandat?

Bedre forsvar

Jeg håper derfor min kritikk kan hjelpe flere it-avdelinger til å løfte sikkerhet som tema i ledergruppen og styret i sin virksomhet, og at de får ressursene som er nødvendig for å bygge opp et bedre forsvarsverk mot kriminelle. For det er ikke i it-avdelingen problemet primært ligger. De ser truslene, de kan vurdere truslene og som oftest vet de også hva som skal til for å redusere sannsynligheten for angrep. Men, ledelsen ser sjelden på dette som investeringer for sikrere drift. De ser på dette som kostnader. Poster som er enkle å kutte i når budsjettet skal legges, og poster som får mindre oppmerksomhet når vekstmulighetene settes på dagsorden. Det bør de endre på.

Jeg vil anbefale ledelsen og styret både i Amedia og i andre norske mediebedrifter, å invitere seg selv inn til virksomheter som er gode på risikovurdering og -håndtering. I KnowBe4 Research gjør vi studier av sikkerhetskulturen i virksomheter over hele verden. Vi ser at det er et gjennomgående trekk at banker, uavhengig av region, har høyere bevissthet på sikkerhet enn andre bransjer. Derfor er dette et godt sted å starte. I banker er risikovurdering forankret i toppledelsen og i styret. Da får it-avdelingene både oppmerksomhet og ressurser som gjør dem i stand til å tette sikkerhetshull, jobbe forebyggende med alle medarbeidere og gjøre nødvendige investeringer.

Lite ville gledet meg mer enn at Amedia var ute og snakket om hvordan de effektivt stopper dataangrep, i stedet for å forsvare hvorfor et kjent sikkerhetshull var veien til redusert nyhetsformidling. På dette punktet vil jeg anta at Norsis og jeg har samme mening.

Kai Roer, forskningsleder i KnowBe4 Research