Bør IT-sikkerhet likestilles med HMS-kravene?
Fortsatt er det strengere sikkerhetskrav til de fysiske omgivelsene på jobb, enn til våre digitale arbeidsverktøy. Det bør snarest komme konkrete pålegg for opplæring av IT-sikkerhet for alle virksomheter som jobber med samfunnskritiske tjenester.
Denne saken var først publisert på Digi.no 06.09.19
«Godt arbeidsmiljøarbeid handler om å redusere risiko for farer og ulykker og aktivt å rette søkelyset mot de positive og helsefremmende faktorene i arbeidsmiljøet,» sier Arbeidstilsynet. For å sikre at dette er tilgjengelig for alle arbeidstakere, er det krav om jevnlig kursing i HMS: Helse, miljø og sikkerhet. Kravene til hva kurset må inneholde er ikke lovfestet, for ofte må dette tilpasses hver enkelt virksomhet.
Dette er imidlertid kurs som i stor grad rettes mot den ansattes egen helse og trivsel. Utover lovverk som personvernforordningen GDPR – som spesifikt handler om persondata, er det per dags dato få, om noen, krav som stilles til hvordan digitalt utstyr og informasjon sikres i den enkelte virksomhet. Min erfaring er at fraværende krav gjør at de færreste virksomheter sørger for opplæring av sine ansatte på et av få felt hvor vi vet at risikoen bare vil øke: det digitale trusselbildet.
Mangler digital brannøvelse
Manglende sikkerhetskrav er grunn til bekymring, og gir et signal om at den digitale risikoen offentlig og privat næringsliv utsettes for daglig ikke er verdt å ta på alvor.
«Å vurdere risiko i en virksomhet er en kontinuerlig prosess der man må gjøre jevnlige kartlegginger og vurderinger av farene og problemene i virksomheten. Det skal holde risikonivået så lavt som mulig.» (Arbeidstilsynet)
I småbedriftslandet Norge har de færreste hverken tid eller ressurser til å en egen sikkerhetsavdeling. Mørketallsundersøkelsen 2018 viser at kun seks av ti virksomheter har i løpet av det siste året gjennomført aktiviteter for å øke de ansattes sikkerhetsbevissthet. Tenk om vi tilskrev den samme statistikken for brannvern. Når uhellet er ute, tilskrives over halvparten av tilfellene menneskelige feil.
Sikkerhet er en ikke-prioritet
Det digitale trusselbildet er grenseløst og blir stadig mer sofistikert. Med sikkerhetseksperter som mangelvare, er det også kostbart å kjøpe egne sikkerhetstjenester. Samtidig kan det få store konsekvenser å velge bort IT-sikkerhet dersom virksomheten skulle bli utsatt for det verst tenkelige. Vårens hackerangrep på Hydro viser at ingen kan beskytte seg nok mot den som vil inn i våre digitale systemer. Uavhengig av om det er stater, organiserte kriminelle eller ensomme ulver: det er et teknologisk våpenkappløp om hvem som klarer å tette sikkerhetshullene før de kommer. Omfanget av angrepet ga en støkk til mange virksomhetsledere. Allikevel hører jeg ofte at mange er av den oppfatning at virksomheten ikke er stor eller viktig nok, og satser enten på at intern-IT har kontroll, eller enda verre – lar det stå til.
Så hva er løsningen? På samme måte som at staten stiller opplæringskrav om HMS, bør det også være obligatorisk opplæring i grunnleggende IT-sikkerhet. I teknologibransjen sier vi ofte at den som påstår at virksomheten ikke er blitt hacket, vet det bare ikke. For å skape en tydelig bevissthet om IT-sikkerhetskultur, holder det ikke bare at staten går foran med internasjonale samarbeidsprosjekter, men at det også innføres konkrete pålegg for alle virksomheter – liten som stor.
