Vil du skremme eller gi verdifulle råd?

Dette innlegget ble først publisert i Computerworld.

I Norge har vi ca 650.000 virksomheter, men tar du bort alle papir- og enkeltmannsforetak sitter vi igjen med 250.000. Myndighetene ivaretar IT-sikkerheten hos de virksomhetene som går under kritisk nasjonal infrastruktur. La oss ta litt i og si at dette er 500 virksomheter. Da sitter vi igjen med 249.500 virksomheter som er overlatt til private aktører.

I en spørreundersøkelse utført av Kantar på vegne av Atea blant over 600 norske virksomheter, kom det frem flere interessante opplysninger. Blant annet at mange som opplevde IT-sikkerhetshendelser ikke visste hvem de skulle kontakte om de ble utsatt for hackere og datakriminalitet.

Dette er stort problem som jeg mener at myndighetene bør sette på toppen av agendaen når snakker med norske virksomheter, både offentlig og privat.

Hendene fulle

Hvem ringer du når uhellet er ute? Svaret er veldig enkelt. Går ikke din virksomhet under kritisk nasjonal infrastruktur, får du ikke hjelp av noen andre enn private aktører til å identifisere skadeomfang, stoppe hackerne, utarbeide en rapport til Datatilsynet i tråd med GDPR og ikke minst tilbakestille systemene dine til normal drift.

Jeg mener derfor det blir for lettvint med velmenende skremselspropaganda fra scenen om GDPR-bøter, og hvor skummelt dagens trusselbilde er. Hvert fall om man ikke samtidig evner å opplyse tilhørerne om hvor man kan få hjelp om uhellet er ute. Daglig ledere og IT-avdelinger har allerede hendene fulle med oppgaver og går sannsynligvis heller inn i en tilstand av «maktesløshet», enn å forsøke å løse en oppgave de ikke ser hverken starten eller slutten på.

Nødplakaten til Næringslivets Sikkerhetsråd 

Et godt råd er Nødplakaten til Næringslivets Sikkerhetsråd som kan henge på kontoret. Dette er ikke den optimale beredskapsplanen om uhellet er ute, men er helt klart mye bedre enn ingenting. På plakaten er det en liste over de virksomhetene Nasjonal sikkerhetsmyndighet har godkjent som hendelseshåndterere av cyberangrep, og myndigheter du bør informere om det som har skjedd.

Det er trygt å si det samme 

«Buzz words» er populære. Det er også det å si de smarte tingene alle vil høre. Men det kan fort fungere mot sin hensikt om alle har det samme budskapet uten at man kommer noen vei. En av de mest populære tingene å ha med i sine foredrag, rapporter og lignede er en appell til tettere samarbeid mellom sektorer, offentlig og privat når det kommer til It-sikkerhetsarbeidet.

I forbindelse med enhver rapport, stortingsmelding eller tale fra alle sektorer innenfor både myndighet- og justissektoren, appellerer alle til et tettere samarbeid mellom offentlig og privat sektor. Men jeg har til gode å høre noen si hvordan? 

En udefinert «snakkis» 

Samarbeidet alle peker til er en «snakkis» som ikke er definert noe sted. Akkurat nå kan man sammenligne hvor vi er med et borettslag som skal arrangere en dugnad for å imøtekomme beboernes og bygningsmassens behov. Uten at noen hverken har laget en liste over hva som skal gjøres, blitt enige om hva som må gjøre, når det skal gjøres, eller hvem som skal bestemme hva sluttresultatet skal være. 

Skal vi få til dette samarbeidet må det opprettes et tverrfaglig råd. Det må inneholde myndigheter som kjenner til utviklingen av prinsipper og regulativer, og et sterkt lag fra privat sektor med kjennskap til fagområdet og hvordan vi kan oversette myndighetenes pålegg til operative tiltak på et språk som alle forstår. 

Vi må våkne opp 

Skal vi være helt ærlige, er det jo allerede ivrige evangelister fra privat sektor som er promotørene for myndighetenes tiltak allerede. Det skal faktisk ikke så mye til å sette de overordnede rammene, struktur og målbildet for å heve det nasjonale sikkerhetsnivået radikalt.

Vi må våkne opp folkens! Vi må bli enige om hvor Norge skal, lage en overordnet liste over hvilke tiltak som må utføres, inkludere privat sektor og skjønne motivasjonene innenfor både det offentlig og private miljøet for å komme i mål.

Appell

Jeg appellerer derfor på vegne av den kommersielle It-sikkerhetsbransjen som ivaretar de 249.500 norske virksomheter som ikke går under kritisk infrastruktur. Kjære myndighetspersoner og andre som jobber med opplysende sikkerhetsarbeid i en eller annen valør. Som skal holde en tale, foredrag, eller kampanje. 

Start med å tenke på budskapet: Hva ønsker dere tilhørerne skal sitte igjen med? Vi må slutte å gjenta selvfølgeligheter om at trusselbildet er skummelt og at folk må følge med. Du må kunne peke i en retning tilhørerne får hjelp. Og det aller beste dere kan gjøre for samfunnet er å begynne peke til hvor hjelpen finnes og begynn med å løfte frem Nødplakaten til Næringslivets Sikkerhetsråd.

Inntil skrivelysten tar meg igjen forbedrer jeg med til foredrag og paneldebatt med denne tematikken på Arendalsuka. Håper vi ses.