«Peer du lyver!»
Eller sløv holdning til sikkerhet og sikkerhetskultur?
Det er lett å tenke på Peer Gynt når man før og under Arendalsuka fulgte informasjonsstrømmen om Per Sandberg. Men viktige budskap forsvant i Per Sandbergs Arendal-skygge, mange om informasjonssikkerhet, som var en av utfordringene med Pers ferietur til Iran.
Saken med Per Sandberg illustrerer en skjødesløshet, sa Pst-sjef Benedicte Bjørndal under Arendalsuka. Oppmerksomheten denne saken har fått, er viktig for å øke bevisstheten rundt sikkerhetsrutiner.
Onsdag samme uke skrev NRK om datainnbrudd i Bergen kommune. Et par dager etterpå fulgte de opp med informasjon om at det var en barneskoleelev som hadde utført den uønskede aktiviteten. Barneskoleeleven hadde for et halvt år siden varslet skolen om at han hadde funnet en datafil med brukernavn og passord. Når han etter et halvt år etterpå fant at ingen hadde fjernet filen, brukte han rektor sitt brukernavn og passord som han fant på listen til å sende mail fra rektors mailkonto, først da ble det reagert. Politiet mener saken viser at kommunen ikke har hatt gode nok rutiner for å sikre opplysningene. Dette viser en sløv holdning til informasjonssikkerhet, og får meg til å tenke at skoleledelsen kanskje har lavere digital kompetanse enn barneskoleeleven.
Mangel på digital kompetanse ble fremhevet av mange på Arendalsuka. Ofte skyldes sikkerhetsbrudd mangel på kompetanse, sa Hans Christian Pretorius, NSM (Nasjonal Sikkerhetsmyndighet) i et av sine foredrag. At kompetanse om informasjonssikkerhet sannsynligvis er enda lavere enn generell digital kompetanse, kom fram i en undersøkelse fagforeningen Tekna har gjort. Der sier to tredeler av dem som jobber med It-sikkerhet. med mastergrad eller mer innenfor IKT, at de ikke opplever å ha god nok kompetanse.
I sommer har vi også kunnet lese at mange norske ledere vurderer å betale løsepenger framfor å investere mer i It-sikkerhet. I en undersøkelse utført for Ntt-security sa 40% av intervjuede beslutningstakere ved norske virksomheter at de ville vurdert å betale løsepenger til en hacker framfor å investere penger i sikkerhet. Dette er skremmende, både fordi betaling av løsepenger ikke gir noen garanti for at man får tilbake dataene sine, men også fordi det viser at mange virksomheter mangler planer for håndtering av sikkerhets hendelser.
Det siste året har mange hatt fokus på å tilpasse seg den nye personopplysningsloven (GDPR). Dette har satt fokus på personvern, din og min rett til integritet og privatlivets fred. Men jeg er usikker på om man har hatt like mye fokus på informasjonssikkerhet som kan sikra at dine og mine personopplysninger kommer på avveie. 8.500 av Schibsted sine kunders personopplysninger ble lekket i et hackerangrep i sommer. Tillit blir stadig viktigere i vår digitale hverdag, tillit til at både private og offentlige virksomheter behandler våre personopplysninger på en trygg måte slik at de ikke blir brukt av andre eller til andre formål enn de ble innhente for. Derfor må både informasjonssikkerhet og personvern vaere sentralt i alt man foretar seg.
Jeg opplever for mange snakker om truslene og for lite om hva man kan gjøre for å hindre brudd på personvern eller informasjonssikkerhet. Hans Christian Pretorius, NSM sa det slik: Trusler får man ikke gjort noe med. Sårbarheter er det vi kan gjøre noe med, men der de fleste feiler. Sårbarhet i cyberdomenet handler om mangelfull eller dårlig sikring av informasjon.
Det handler også om manglende evne til å hindre uønskede hendelser. Utfordringen for de fleste, er at de ikke vet hvilke sårbarheter de har og dermed ikke vet hvor de skal sette inn tiltak for å redusere sårbarhetene. Dette skyldes sløvhet, for i de fleste tilfeller krever det mindre ressurser å gjennomføre risikovurderinger og iverksette tiltak for å redusere sårbarheter, enn å rydde opp i skadene etter uønskede sikkerhets hendelser.
Det er viktig å kjenne til truslene fra både skoleelever og aggressive trusselaktører. Men det er minst like viktig å ha fokus på hvordan man kan redusere sårbarhetene. Dette kan gjøres både med tekniske tiltak, men minst like viktig er å bedre enkelt individers holdning til sikkerhet og bedre sikkerhetskulturen i virksomheter og myndigheter.
❞ Trusler får man ikke gjort noe med. Sårbarheter er det vi kan gjøre noe med.