2019-09-30

En sikkerhetsmåned til besvær?

Selv om jeg virkelig nyter oppmerksomheten fagområdet mitt får i oktober, så ser jeg med bekymring på sikkerhetsslurvet det åpner for resten av året.

Thomas Tømmernes IT-sikkerhetsekspert

Denne saken ble først publisert på Digi.no 26.09.19.

Det er litt som med vitaminbjørnene, de fargerike og godteriliknende gummibjørnene med masse viktige vitaminer, som jeg og mange andre foreldre prakker på ungene våre i oppveksten. Det er en grunn til at anbefalingen er én eller to hver dag, fremfor å kyle ned en hel boks på én gang og med det dekke vitaminbehovet for en hel måned.

Barna mine på 15 og 17 år har nok også gjennom årenes løp blitt ganske lei de daglige påminnelsene om å rydde tallerkenen av bordet, rydde pålegg tilbake i kjøleskapet og legge klær i skittentøyskurven når de skal vaskes. Men så ser det jammen ut som de har lært seg det også.

Akkurat som at kroppen vår har bedre av kontinuerlig tilførsel av næring og vitaminer, så har også hjernen vår bedre av jevnlige drypp av kunnskapstilførsel.

«Sparer seg» til oktober

Når vi nå går inn i oktober, så hagler det inn med spørsmål fra hele landet, fra både store og små virksomheter, om vi i Atea kan bidra med foredrag om IT-sikkerhet. Mange av bestillerne jeg snakker med sier at oktober og «sikkerhetsmåneden» er genial for å få gjort unna den oppgaven de ofte er pålagt av ledelsen – å gjennomføre opplæring rundt IT-sikkerhet.

Det fine er at det etterhvert er blitt så mange virksomheter på dette feltet som har kastet seg på sikkerhetsmåneden at det faktisk er mulig å få relativt gode gratiskurs, som kombinerer både økt oppmerksomhet, kompetanse og ikke minst det at man kan krysse av for gjennomført i oppgavelisten. Man kan til og med spare inn på opplæringsbudsjettet ved å ta imot et gratiskurs fremfor å kjøpe, og dette høres ut som en vinn-vinn-situasjon både i styrerommene og for økonomi- og innkjøpsavdelingene.

Det er vel og bra. Men, det er et stort men. For denne ene måneden i året vet jeg at det er mange offentlige og private virksomheter som gjør unna sin dårlige samvittighet for dette viktige feltet. Det er skremmende av flere grunner. Tendensen jeg ser er at mange «sparer seg» til oktober, eller er av den oppfatning at oktober-innsatsen varer helt til neste oktober.

Sikkert i november

Det er helt fantastisk at ansatte i ulike virksomheter i det ganske land får delta på både IT-sikkerhetskurs og -seminarer i oktober. Jeg er ikke i tvil om at norske virksomheter som følge av dette blir et vanskeligere mål for IT-kriminelle i november. Men så kommer Black Friday med sine lokketilbud og nye phishing-kampanjer, etterfulgt av julestrias svindelkampanjer med mailer fra diverse pakkeleverandører, kjøpesentre og nettbutikker.

Vi går fem på fordi lokkebiffene blir så store at vi vekter troen på at vi kan spare noen kroner på et supertilbud på en ukjent nettbutikk tyngre enn de advarslene vi fikk i oktober. Og i neste omgang, når vi sitter der på jobben på nyåret, med en e-post i innboksen som i november kanskje ville fått varsellampene til å lyse, så gjør vi nettopp den tabben som kan koste virksomheten vi jobber i svært dyrt.

Det samme gjelder lederes bevissthet rundt IT-sikkerhet. Etter angrepene på både Hydro og Maersk så var IT-sikkerhet skikkelig «hot». Ledere inviterte inn eksperter og ville vite hvordan de kunne unngå tilsvarende skandaler. Mange satte inn ekstra tiltak og investerte i nye løsninger. Men én måned senere så er som regel fokuset et annet sted.

Krever kontinuerlig oppfølging

IT-sikkerhet er et av de fagområdene der kompetanse raskest blir utdatert. Dette er grunnen til at en god IT-sikkerhetskonsulent eller -rådgiver bruker så mye tid på å holde seg oppdatert. Trusselbildet er i konstant endring og de IT-kriminelle er ikke lengere guttunger på gutterommet. Nå er dette stor-industri. Allerede for flere år siden ble det sagt at verdien på IT-kriminalitet hadde passert den verdensomspennende narkotikatrafikken.

Så selv om det du lærte deg i oktober er bra og gir deg et godt grunnlag å bygge videre på, så vil det være helt nye trusler, fremgangsmåter og ting du må vite om og se etter i februar, juni eller september.

I Norge sier vi at det ikke finnes dårlig vær, bare dårlige klær

Vi er gode til å tilpasse oss ved å kikke ut av vinduet eller lese værmeldinger. Tro det eller ei, det samme gjelder fersk kunnskap og kompetanse. Vi må tilpasse oss det dynamiske trusselbildet på lik linje med værets skiftninger. Sikkerhet krever kontinuerlig arbeid og oppfølging. Det er ikke en sjekkliste man gjør unna en gang i året.

Inntil skrivelysten tar meg igjen følger både jeg og mange av mine kolleger den anbefalte dosen av «vitaminbjørner» gjennom våre interne kurs og ikke minst nano-læringskurs fra Junglemap, som gir oss en 3-5 minutters sesjon én til to ganger i uka. Dette gjør vi både for å ha sikkerhet foran i pannen, men også for å være sikre på at det vi lærer holder seg friskt og oppdatert i tråd med et trusselbilde i konstant endring

Er du interessert i IT-sikkerhet, følg meg gjerne på Twitter @TTmmernes for daglige oppdateringer eller meld deg inn i den raskest voksende IT-sikkerhetsgruppa på Facebook. Den er åpen for alle som har spørsmål, meninger, kommentarer eller bare ønsker å diskutere IT-sikkerhet.