Den kommersielle it-sikkerhetsbransjen må med

Innlegget ble først publisert i Computerworld.

 I disse dager med Arendalsuka, Sikkerhetsfestivalen, studieoppstart og sikkerhetsmåneden oktober, mener jeg det er riktig å heve røsten for denne bransjen – den kommersielle delen av it-sikkerhetsbransjen.

Det er riktig at myndighetene har kommet med initiativ og oppfordringer om samarbeid mellom det offentlige og private. Men det føles fortsatt mer som tomme ord, enn at man har en klar plan for å bygge et mer robust Norge. Det viser også Riksrevisjonens kritikk av hvordan Justis- og beredskapsdepartementet har ivaretatt sitt samordnings- og pådriveransvar for digital sikkerhet i sivil sektor.

Hvem passes på? 

Det er de virksomheter som går under kritisk nasjonal funksjon som blir ivaretatt av myndighetene. I tillegg til noen håndfuller store, private selskap som betaler Nasjonal sikkerhetsmyndighet (NSM) for å være en del av overvåkingstjenesten. La oss si at dette er 1000 virksomheter for å gjøre regnestykket enklere. Men antallet vil allikevel ikke utgjøre mer enn i underkant av 1 prosent av det totale antallet virksomheter vi har i Norge. Alle de virksomhetene myndighetene ivaretar er store og komplekse, og selvfølgelig inkluderer de viktigste samfunnsfunksjonene som holder Norge i gang. All ære for den jobben de gjør, men denne jobben alene er langt ifra å sikre Norge og de 650 000 virksomhetene vi har her til lands.

Norge er et attraktivt mål 

For å sikre at økonomien og velferdsstaten trenger vi at noen også tar vare på it-sikkerheten for de gjenstående 99 prosent av virksomhetene i Norge som ikke overvåkes av myndighetene.

Bildet er faktisk slik at for at de norske hjørnestensbedriftene, i alle størrelser, skal kunne fokusere på det de er gode til, må de kjøpe sikkerhetsteknologi og abonnere på «digitale vektere» som sørger for at de er ivaretatt i takt med gjeldende trusselbilde. Og når vi vet at it-kriminalitet nå utgjør den tredje største økonomien i verden, kun passert av USA og Kina, er det naivt å tro at vi er skjermet her i lille Norge. Nei, det er vi selvfølgelig ikke. Internett har fjernet landegrenser og angriperne kan sitte hvor som helt i verden og gjennomføre cyberangrep. De er smarte og bruker energien sin der sannsynligheten for å vinne frem er størst. Det vi vet er at de styrer angrepene sine mot områder der betalingsviljen er høy og økonomien god. Norge er med andre ord et populært mål.

Hva er den norske it-sikkerhetsbransjen? 

I den kommersielle it-sikkerhetsbransjen ble det i 2020 gjennom en markedsanalyse i forbindelse med læreboken Digital Sikkerhet en innføring, estimert at det jobber ca. 750 mennesker som omsatte sikkerhet for ca 7,5 milliarder kroner. Både antallet hoder som jobber i bransjen og investeringen har steget siden 2020, så la oss si det er omtrent 1000 mennesker som jobber kommersielt med it-sikkerhet i Norge. Disse jobber med blant annet salg av it-sikkerhetsteknologi, overvåkingstjenester, digitale vektertjenester, sikkerhetsdesign, arkitektur og strategisk sikkerhetsrådgivning.

Jeg vil påstå at denne gruppen mennesker er blant de flinkeste i landet til å gi råd opp mot gjeldende trusselbilde, og hvilke tiltak som skal til for at de norske virksomhetene skal være mest mulig motstandsdyktige overfor angriperne.

Myndighetenes markedsavdeling 

Det finnes gode veiledere og råd fra myndighetene til alle virksomheter. Problemet er at virksomhetene ikke forstår, tar seg tid eller kjenner til at anbefalingene og veilederne som finnes. Det er alt for mange virksomhetsledere og styrer som ikke anerkjenner risikoene forbundet med sine it-systemer. Vi i den kommersielle bransjen bruker vanvittig mye tid og markedsmidler på å promotere myndighetene sitt arbeid, fordi det kan hjelpe norske virksomheter og oss selv i sikkerhetsarbeidet. Der vi henviser til myndighetenes råd og regulativer for å rettferdiggjøre investeringene vi mener er nødvendige.

For at vi skal lykkes i å nå ut til alle de norske virksomhetene med oppdatert informasjon om trusselbildet og myndighetens verktøy, som for eksempel NSMs grunnprinsipper, så må det kneppes til noen hakk. Det går ut mye god informasjon i dag, men det kunne gått så mye raskere, og myndighetene må i større grad samarbeide med oss i den kommersielle sikkerhetsbransjen. 

Hvordan vet du om rådene du får er gode? 

Alle de som jobber innenfor den kommersielle it-sikkerhetsbransjen måles på fortjeneste. Under dette ligger det at om de ikke produserer timer, salg eller lignende, er de ikke verdifulle for virksomheten de jobber. Dette krever derfor at de må holde seg oppdaterte, kunne faget, utøve en høy grad av service, være ærlige og ikke minst ha en høy grad av «stamina». Vi i den kommersielle it-sikkerhetsbransjen lever av ryktet vårt. På samme måte som revisorer eller advokater. Og fellesnevneren for oss er at hvis vi ikke gjør jobben vår riktig, kan nok om trusselbildet, gir feil råd eller på annen måte agerer uriktig, vil ingen kjøpe løsninger fra oss.

Når det er sagt, så vil det i mine øyne være kort vei fra dagens private aktørers utøvelse av borgervern, slik bildet er i dag, til en samhandlingsarena – et slags digitalt «heimevern» – en arbeidsgruppe med representanter underlagt Justisdepartementet. Med representanter fra tilsyn, myndigheter, foreninger, stiftelser, interesseorganisasjoner og private aktører. Dette er sannsynligvis den riktige tilnærmingen for å imøtekomme den sikkerhetsdugnaden myndighetene appellerer til. 

Vi må anerkjenne hverandre

Men på veien dit må trolig norske myndigheter i større grad anerkjenne betydningen av de private aktørene, som et helt nødvendig ledd for å opprettholde et sikkert samfunn. Både for et mer bevisst samfunn og for å heve motstandskraften.

Ja, trusselbildet er større og mer komplekst enn noen gang før. Men det er også godt kjent hva som senker risikoene til din virksomhet.

Inntil noen tar ansvaret fortsetter jeg å heie på de som jobber daglig med å sikre de mange hundretusener av virksomhetene i Norge – dere er heltene mine!