2020-12-15

Teknologien krever flere spesialister

Vi skal ikke så mange år tilbake før de fleste utførte normalt vedlikehold på slitedeler på eget kjøretøy selv. Inntoget av teknologi, datachipper og sensorikk som må finkalibreres, satte raskt en stopper for dette. Når det kommer til gjennomdigitaliserte elbiler og elbileiere, er det vel knapt bytte av vindusviskere og dekkskift. Det aller, aller meste må gjøres av fagfolk på verkstedet.

Thomas Tømmernes
Thomas Tømmernes IT-sikkerhetsekspert
Thomas Tømmernes

Vi kan si at kjøretøyene våre blir smartere og sikrere med all den nye teknologien, men behovet for å kjøpe spisskompetanse for å ivareta bilene våre, har heller aldri vært høyere. Vi kan lett dra parallellen med mer sensorikk og kompliserte løsninger over i hverdagen til en IT-avdeling. Der behovet for å ha kontroll på miljø og loggkilder er helt nødvendig for å ha kontroll på virksomhetens sikkerhet. For disse spesialistene har hverdagen aldri vært mer krevende enn nå.

Utbrenthet kan få store konsekvenser

Jeg har tidligere tatt til orde for at utbrente IT-sikkerhetsfolk kan få store konsekvenser i en bransje som skriker etter arbeidskraft. For i min bransje innenfor IT-sikkerhet, ser det ut til at stress med påfølgende utbrenthet, er en sterk pådriver for at folk med IT-sikkerhetsansvar bytter jobb. Uten tydelige definerte krav fra myndighetene på hva en sikkerhetsløsning skal inneholde, parallelt med frykten for både arbeidsgiver og revisjon fra Datatilsynet om uhellet skulle være ute, blir IT-sikkerhetsansvarlige satt i en situasjon der man aldri vet om egen løsning er god nok. De må kjempe en forgjeves kamp med ledelsen om å få midler og ressurser til å bli enda sikrere. Merk at de som har ansvaret for IT-sikkerhet sjelden får skryt for at virksomheten ikke blir hacket. Dette tas som en selvfølge. Det eneste de har å vise til for å fremheve egen innsats er statistikk over hendelser man ikke har blitt en del av. Det er krevende å holde kontroll på risikoer, trusselbildet, virksomhetens verdier, og bevisstgjøring av de ansatte samtidig som en skal sørge for at teknologien fungerer. En overveldende oppgave.

Vil akseptere lavere lønn

En undersøkelse fra Nominet, blant sjefer for IT-sikkerhet i USA og Storbritannia, viser at disse opplever et svært høyt stressnivå og at de i gjennomsnitt kun holder ut i jobben sin i 26 måneder. Videre oppgir disse at stress preger mye av arbeidshverdagen, og at hele 9 av 10 ville gått ned i lønn for å bedre balanse mellom arbeid og fritid. Nå er ikke disse tallene nødvendigvis overførbare til norske forhold, men jeg tror mange i bransjen vil kjenne seg igjen.

Norge mangler i dag 1900 mennesker med IT-sikkerhetskompetanse til å fylle dagens behov, antallet vil stige til 4 100 i 2030. Kombinerer vi dette med funnene i rapporten, snakker vi med andre ord om «en profesjon» som er å sammenligne med trøffel: Der utøverne er vanskelige å finne, krever gode vekstforhold og er dyre i drift. 

Ta det et hakk videre

Det finnes mange muligheter for å lette det enorme ansvaret som mange IT-avdelinger sitter med rundt omkring i norske virksomheter. På lik linje som en virksomhet kjøper seg fysisk sikring gjennom vekterbyrå, er det nå skreddersydde muligheter til å kjøpe de samme digitale sikringstjenestene for IT-sikkerhet. Ved å ta i bruk dette vil man stort sett starte opp ved å utføre en modenhetsanalyse som gir IT-ansvarlig, styret og daglig leder en komplett oversikt over hvordan virksomheten er rustet mot dagens trusselbilde. I tillegg får de en fremdriftsplan for hvordan virksomheten får løftet sin motstandsdyktighet til å kontinuerlig være oppdatert mot det gjeldende trusselbildet.

En god sikkerhetstjeneste bør inneholde alt fra kontroll på virksomhetens brannmur, antivirus, nettverk og webtrafikk. Samtidig bør man ha et team med sikkerhetseksperter som analyserer loggene fra alle lyttepunktene for å detektere unormal trafikk. Og skulle uhellet være ute, må man ha et NSM godkjent hendelseshåndteringsteam som rykker ut on-site, og rydder opp og bistår med rapporten til Datatilsynet i forbindelse med fare for brudd på GDPR. For å toppe det hele, bør man også ha en cyberforsikring inkludert på toppen for å ha kontroll på kostnader.

Både Nasjonal sikkerhetsmyndighet (NSM) og Norsk senter for informasjonssikring (NorSIS) har gjentatte ganger uttalt at virksomheter uten egen sikkerhetsavdeling bør kjøpe dette som tjenester. Det handler rett og slett om at trusselbildet er for komplekst og dynamisk til at man klarer å henge med, med mindre man har en egen avdeling som i en heltidsjobb betjener IT-sikkerheten til virksomheten. Det er sjeldent tilfellet, og ofte forbeholdt de største virksomhetene i landet.

Ansvaret ligger på toppen

Med hånden på lovverket, som sier at ansvaret for virksomhetenes IT-sikkerhet ligger hos daglig leder og virksomhetens styre, bør virksomhetens IT-sikkerhetsressurser behandles som den betrodde høyre hånden de egentlig er. De bør inkluderes i beslutninger og tilbys et samarbeidsmiljø gjennom å for eksempel abonnere på sikkerhetstjenester, der eksterne eksperter gjennomgår status og tiltak fortløpende sammen med IT-avdelingen.

Tyngden på sikkerhetsansvarlig vokser parallelt med kompleksiteten i nettverket og trusselbildet. Det er umulig å ha kontroll uten en egen IT-sikkerhetsavdeling med spesialkompetanse innenfor fagområdet, på lik linje med at du ikke reparerer elbilen din selv.

I tillegg består det private næringslivet i landet vårt av små og mellomstore virksomheter, i all hovedsak. Det var nær 591 000 aktive virksomheter i Norge ved inngangen til 2020, bare 3676 av disse er flere enn 100 ansatte, og kun 845 er flere enn 250. Til sammen utgjør disse 3676 virksomhetene kun 0,6 prosent av alle virksomheter i Norge. Min erfaring er at de færreste virksomheter under 100 ansatte har et eget fagmiljø innenfor IT-sikkerhet, dette er rett og slett for kostbart.