2020-03-31

Si ja til farmasøytiske tilstander i IT-bransjen

Ledere bør la seg inspirere av kontrollrutinene apotekene har. Kun med regelmessige rutiner som penetrasjonstester kan man forsikre seg om at IT-sikkerheten er godt nok ivaretatt.

Thomas Tømmernes IT-sikkerhetsekspert

Innlegget har tidligere vært publisert i Dagens Næringsliv.

Mange av oss har vel, som jeg, stått og trippet utålmodig i lange køer på apoteket for å hente ut en resept. Etter ufrivillig å ha overhørt utallige referater av sykdomsforløp fra kundene foran i køen, så topper tålmodighetsprøven seg idet man selv blir ekspedert og varen ligger klar på disken. Bankkortet er på vei ut av kortholderen idet ekspeditøren gauler «Kontroll!» til sidemannen.
Jeg vil tro at det er en del menn i 40-50 årene iført fartshjelm og sykkelshorts – 15 minutter etter skjemaet – som tenker «dette kan da ikke være mulig»? De samme mennene er gjerne overrepresentert blant ledere i de fleste sektorer. Men det mange av dem erfaringsmessig ikke har reflektert over, er at de spesielt på ett felt sannsynligvis kunne tatt lærdom av det de nettopp var vitne til.

I kø for kvalitet

Grunnen til at denne kontrollrutinen brukes på apotekene, er nemlig ikke at apotekansatte tidligere har begått mange feil. Tvert imot. Alle apotek har omfattende rutiner for å ivareta kundenes sikkerhet, noe som blant annet innebærer at farmasøyten må kontrollere og godkjenne resepten før utlevering av legemidler. Dette gjør at feilmarginene er begrenset til det minimale. Med andre ord er lange køer på apotekene et synlig bevis på garantert kvalitet og lav feilmargin, noe vi bør glede oss over.

Når flere og flere virksomheter digitaliserer alt fra produksjon til prosesser som tidligere ble håndtert manuelt av mennesker, er man dønn avhengig av å ha sikkerheten på plass. Det å ta avgjørelser basert på data som er feil eller som har blitt manipulert på en eller annen måte, vil kunne føre til konkurs, lovbrudd eller i verste fall personskader.

IT-sikkerhet har derfor blitt viktigere enn noen gang og har gjennom det oppdaterte lovverket forhåpentligvis kommet lengre frem i bevisstheten hos dagens ledere. For det er daglig leder og styret som til enhver tid er ansvarlig for at IT-sikkerheten er ivaretatt. Spørsmålet er bare; hvordan vet de at den blir det?

Både NSM og Norsis har stått på scenen og uttalt flere ganger at virksomheter uten en egen IT-sikkerhetsavdeling ikke vil klare å ivareta IT-sikkerheten selv og bør kjøpe dette som en tjeneste.
Jeg mener det er et fornuftig råd, for jeg kan skrive under på at de aller færreste av lederne jeg snakker med har tro på at deres organisasjon har full kontroll.

Benytter hackemetoder

Selv om man setter bort driften av IT og IT-sikkerhet, så er det fortsatt daglig leder og styret som står ansvarlig. Hvordan kan lederne forsikre seg om at IT-sikkerheten er godt nok ivaretatt? Man bør faktisk kreve at det oftere ropes «KONTROLL» – altså at det gjennomføres regelmessige penetrasjonstester av egen løsning. Først da kan man være sikker på at leveransen holdes oppdatert i tråd med trusselbildet.

Men å bruke den samme leverandøren som står for IT-sikkerheten til å gjøre en vurdering på om tjenesten som leveres er god nok, er i beste fall naivt. Mitt klare råd basert på mange års erfaring fra bransjen er å benytte en uhildet tredjepart til å utføre revisjonen, også kalt pen-testingen.

En penetrasjonstester vil kartlegge virksomhetens nettverk på lik linje med en hacker. Underveis vil de seriøse aktørene fortløpende samarbeide med tjenesteleverandøren om å utbedre eventuelle feil eller sårbarheter.

Gir trygghet

De aller fleste styrer har møter minst hvert kvartal, eller så rapporterer de jevnlig til sine aksjonærer og samarbeidspartnere. Det å kunne fremlegge ferske rapporter om virksomhetens IT-sikkerhetstilstand vil ikke bare øke egen sikkerhet, men gjøre samarbeidspartnere, ansatte og kunder trygge på at IT-sikkerheten og personvernet står høyt på dagsorden i virksomheten.

Det er også å anbefale at ledelsen stiller krav til at samarbeidspartnerne kan dokumentere tilsvarende fokus på IT-sikkerhet og derfor også tester sine systemer. Underleverandører og samarbeidspartnere utgjør også en risiko som man bør ha et dedikert forhold til.

Så neste gang du står og tripper i køen på apoteket håper jeg du lar deg inspirere til å ta til orde for «farmasøytiske» tilstander på din arbeidsplass – særlig hvis du leder sjappa du jobber i, for da har du et ansvar du ikke kan løpe, eventuelt sykle, fra – fartshjelm og sykkelbukse eller ei.