2021-04-12

Den kommersielle sikkerhetsbransjen er en del av læreboka

IT-sikkerhetsbransjen kan sammenlignes med å lære bort sjøvett, svømmeferdigheter og å bruke redningsvest.

Thomas Tømmernes
Thomas Tømmernes IT-sikkerhetsekspert
Thomas Tømmernes i Atea

Flere må høre etter

Men at vi er kommersielle og tjener penger på sikkerhetsrådene, tjenestene eller produktene våre, gjør at noen dessverre ser med skepsis på oss. Noen tviler og bruker energien sin på å skyte ned velmenende råd og løsningsforslag, heller enn å applaudere at ting gjøres. For all del. Still krav til redningsvesten og sørg for at den passer inn i din strategi. Det må være en plan for hvordan produkt dekker et behov, senker risiko eller gjør hverdagen lettere. Der er vi alle helt enige.

Tro det eller ei. Det største problemet våre hendelseshåndterere (IRT) ser, de som rykker ut når virksomhetene oppdager problemer, det er halvferdige løsninger, dårlige vedlikeholdte systemer og manglende rutiner. Og hvorfor er det slik? Selvfølgelig har dette noe med ressurser, kompetanse og tid å gjøre. Media elsker å henge ut både private og offentlige virksomheter som har blitt hacket, og vi kan lese at skadeomfanget stort sett er enormt. Ofte blir virksomhetene satt tilbake til penn og papir i ukevis før løsningene blir bygget opp igjen av innleide eksperter. Derfor er det helt avgjørende at flere hører etter når vi som jobber med IT-sikkerhet hver dag gir våre råd.

Bryte ned siloer

Det kan virke som det er mange som ikke helt forstår hvordan økosystemet i IT-sikkerhetsbransjen fungerer. Det skjønner jeg godt. Private aktører må forsvare hver time vi bruker, sett opp imot hva som kommer inn i kassa. Noe som gjør at vi må tjene penger på veien for at virksomhetene vi jobber i skal overleve. Mange av oss bidrar med mye samfunnsopplysning på veien, men ofte balanserer vi på en knivsegg for å ikke få slengt etter oss at vi bare er ute etter å selge noe.

For meg er det viktig at vi bryter ned siloene som ofte kommer frem mellom private og det offentlige. Faktum at den kommersielle IT-bransjen i stor grad kan sammenlignes med et digitalt heimevern. Der vi som jobber med kjøp og salg av alt fra kompetanse, tjenester, rådgivning og produkter på mange måter er de som utfører myndighetenes både opplysende og utførende arbeid overfor norske virksomheter. Ved inngangen til 2021 var det registret over 600.000 norske virksomheter. Det er en utopi å tro at myndighetene har kapasitet til å bistå alle disse. Det er i stor grad private sikkerhetsaktører som gjør dette.

Norges fremste eksperter

Jeg har stor tro på at samarbeid mellom akademia og oss i den private sikkerhetsbransjen er et viktig bidrag for økt forståelse på tvers. For ett års tid tilbake ble jeg utfordret av en kjent trio innenfor IT-sikkerhetsmiljøet i Norge bestående av Ronny Windvik, Håkon Bergsjø og Lasse Øverlier. De ønsket mitt bidrag som medforfatter i en ny lærebok om IT-sikkerhet. Boken «Digital Sikkerhet en Innføring» slo godt an og benyttes nå som pensum på både universitet og høyskoler. Faktisk er vi allerede på andre opplag og har solgt over 1850 eksemplarer siden lanseringen våren 2020.

Det er et sterkt lag av norske sikkerhetseksperter som har deltatt i læreboken om digital sikkerhet, og gir studentene en god innføring i sentrale temaer som blant annet sikkerhetskultur, digital etikk, personvern, hendelseshåndtering og opprydding.

Hovedgrunnen til at jeg ble forespurt om å bidra er mine 20 år som selger av IT-sikkerhet, som resulterte i kapittelet om den kommersielle IT-sikkerhetsbransjen. Trioen over vet hvor viktig jobb denne bransjen gjør, og det var derfor viktig å få introdusert synergiene og økosystemet for studentene, så vi i fremtiden kan samarbeide enda bedre.

Samarbeid, kompetanse, og bruk av ekspertressurser

Både NSM, NorSIS, Datatilsynet og de fleste eksperter som forstår seg på kompleksiteten innenfor IT-sikkerhetsfaget, sier at om en virksomhet ikke har egne ressurser til å håndtere IT- sikkerheten, så bør man kjøpe dette som en tjeneste av eksperter.

Inntil skrivelysten tar meg igjen, bruker jeg tiden på å holde foredrag for både interne og eksterne med konkrete løsningsforslag, slik at jeg ikke bare prater om problemet, men faktisk har et løsningsforslag.