Hvorfor ledelsen bør eie sikkerhetsarbeidet i virksomheten

Hva har en koffertfabrikk, et TikTok-innlegg og en skybasert app til felles? Alt og alle kan utnyttes i et angrep hvis du ikke har kontroll på hvem som har tilgang til hva.

Cecilie Andersen er løsningsrådgiver for sikkerhet i Atea, og har jobbet med fagfeltet i over 25 år. Hun var tidlig involvert i de digitale ID-løsningene til Norsk Tipping og Altinn, og jobbet med konseptet lenge før det fikk et navn. Hun mener fortsatt at nøkkelen til sikkerhet starter med ett ord: identitet.

– I gamle dager visste vi hvor serverne våre sto. Nå er alt i skyen, og du kan ikke bare ringe Microsoft og si at noe “føles rart”, sier hun.

Ta små, riktige valg i hverdagen

Zero Trust kan høres ut som enda en trend. Men Andersen forklarer det enkelt:

– Du skal aldri stole på noen før de har bevist hvem de er. Ikke mennesker, ikke apper, ikke maskiner.

Alt handler om å vite hvem som får tilgang, og hvorfor.

– De fleste angrep skjer ikke med brekkjern, men med pålogging. Passordlekkasjer er overalt. Det er flaut enkelt. Derfor må identitet være selve navet i sikkerhetsarbeidet, påpeker hun.

Et typisk angrep kan se slik ut:

En ansatt får en e-post fra det som ser ut som “IT-drift”. Den inneholder en lenke til det som ligner SharePoint. Personen logger inn. Det virker ikke. Vedkommende prøver på nytt. Ingenting skjer.

Samtidig har en angriper nå fått tak i brukernavn og passord. Kanskje er tofaktor-autentisering slått av for akkurat denne ansatte. Kanskje vedkommende har flere eller høyere tilganger enn det som er riktig.

Nå har angriperen fått fotfeste i systemet ditt, og det tok bare 30 sekunder.

– Hvis den ansatte har for vide rettigheter, kan en IT-kriminell bevege seg videre i systemet. Du har da en alvorlig hendelse før noen har rukket å forstå at noe er galt, sier Andersen.

Hun mener derfor at du som leder må tenke kontinuerlig risikovurdering. Det er ikke ett stort prosjekt, men mange små, riktige valg i hverdagen.

Bare det å ha tofaktor-autentisering, eller aller helst multifaktor, på plass kan stoppe over 99 prosent av angrepene. Likevel er det mange norske virksomheter som fortsatt ikke har skrudd på denne sikringen. Andersen mener det burde være et absolutt minstekrav, spesielt for virksomheter som skal etterleve det nye EU-direktivet, NIS2.

Ledelsen må eie sikkerhetsarbeidet

IT-sikkerhet handler ikke om å gjøre hverdagen vanskeligere for de ansatte. Heller det motsatte.

– Når vi vet hvem som er hvem, kan folk jobbe fra Karasjok eller Kuala Lumpur. På kontoret, på hytta eller i feriemodus. Det gir trygghet og frihet, sier hun.

Når sikkerhet bygges rundt identitet, kan hverdagen faktisk bli enklere. Ingen behov for å bytte passord hver måned. Ingen frustrasjon over feiltilganger. Bare full kontroll.

– Det finnes alltid et smutthull. Poenget er å gjøre det vanskelig nok til at angriperen gir opp, og samtidig enkelt nok til at ansatte faktisk følger reglene, sier hun.

Hun kaller det pragmatisk sikkerhet. Ikke perfeksjon, men bevissthet. Ledelsen må eie sikkerhetsarbeidet, ikke bare delegere det.

– Hvis du som leder ikke vet hvilke verdier du beskytter, hvilke ansatte som har tilgang, eller hvem som har sluttet uten å bli fjernet fra systemene, da har du et problem. Ikke IT. Du, sier hun med tydelig tonefall.

Les mer om "Lederens guide til NIS2"

Det handler om samfunnssikkerhet

– Det er ikke alltid du vet at du har blitt angrepet. Det skjer i det stille, poengterer Andersen.

Hun beskriver hvordan norske virksomheter blir lurt: Kanskje lures du til å betale en faktura, men pengene sendes til feil konto. Da kan dine midler ende opp i hender som sprer desinformasjon.

– Du tror du har gjort en liten feil. Men du risikerer å bli en del av noe langt større, uten å vite det.

Når penger havner i feil hender, er det ikke lenger bare en regnskapsmessig feil. Midlene kan gå til trollfabrikker som sprer desinformasjon i sosiale medier som TikTok og Snapchat. Eller videre til stater som Russland eller Nord-Korea, som bruker midlene til å utvikle mer avanserte angrep.

– Det handler ikke bare om datasikkerhet. Det handler om samfunnssikkerhet. Om å beskytte statlige selskaper, strømleverandører og samfunnskritiske funksjoner fra å bli utnyttet i geopolitiske kampanjer, forklarer hun.

God sikkerhet handler om rutiner og roller

– Det er her kultur kommer inn, sier Andersen.

Hvis løsningene dine er for rigide, vil folk finne snarveier. De vil sende dokumenter via Messenger, bruke private e-poster eller lagre ting på måter som ikke er sikre, bare for å få jobben gjort.

Slike omveier skjer ikke fordi ansatte er uansvarlige, men fordi sikkerhetsopplegget ikke henger sammen med hverdagen deres.

– Du har allerede tapt hvis folk føler at de må omgå systemene for å få gjort jobben sin, sier hun.

God sikkerhet handler derfor like mye om rutiner og roller, som om teknologi. HR og ledelsen må involveres.

– IT-sikkerhet må inn i styrerommet. Det er daglig leder som får boten hvis noe går galt. Da bør sikkerhet være en del av ryggmargen, på lik linje med budsjettrutiner, oppfordrer hun.