«Hei! Jeg har lest denne artikkelen. Kunne dette skjedd hos oss?»
KRONIKK: Hvor sikker er din bedrift når en hacker banker på døren? Svaret er enkelt, skriver Thomas Tømmernes.
Flesteparten av kundene som kontakter oss for en status på virksomhetens it-sikkerhet og risikobilde har samme utgangspunkt. De har blitt kontaktet av daglig leder, som ber dem legge frem status for hvordan virksomheten er rustet mot hackere eller it-angrep.
Ofte etter at styret eller daglig leder selv har lest om hendelser i pressen den senere tiden. De fleste henvendelser fra virksomhetens ledelse er relativt like: «Hei! Jeg har lest denne artikkelen, kunne dette skjedd hos oss?»
Svaret er enkelt – de har ikke kontroll
Ofte er svaret fra it-avdelingen til daglig leder omtrent dette, før de kontakter oss i Atea eller andre leverandører for hjelp: Virksomheten har investert i en del it-sikkerhetsprodukter, men de vet ikke om disse er oppdaterte eller fungerer optimalt. Så mest sannsynligvis kunne it-angrepet skjedd hos denne virksomheten også. Og uten et verktøy som samler hendelser og sender loggene til et Security Operations Center, der sikkerhetsanalytikere sitter og studerer alarmer og avvik, er svaret helt riktig: Virksomheten har ikke kontroll eller en statusrapport å vise til.
Da kommer som regel bestillingen om at it-avdelingen skal kartlegge dagens status grundigere og presentere dette for ledelsen. Så kan ledergruppen ta stilling til egen risiko opp mot kostnader, for å eventuelt være mer robust og motstandsdyktig mot eventuelle hackerangrep.
Dette betyr at man må fastslå hva som er «sikkert nok» og definere organisasjonens «baseline» i forhold til sikkerhet. For å kunne gjøre det, må man først finne ut nøyaktig hvor man står i dag, og så vurdere hva som skal til for å sikre firmaet tilstrekkelig.
Hvor begynner man?
I Atea har vi satt oss godt inn i myndighetenes retningslinjer og utviklet en modenhetsanalyse med formålet å gi en status. Dette er en inngående analyse av virksomhetens status, som skal gi svar på bedriftens modenhet ved å avdekke sikkerhetsprosesser, styringsverktøy og hvordan virksomheten forholder seg til teknologiene som brukes.
Første fase er å hjelpe kunden til å forstå og definere formålet med analysen. En typisk aktivitet er å sette de riktige avgrensingene for prosjektet. Det er viktig å ta kontroll tidlig og stille seg de riktige spørsmålene. Her forsøker man å koble it og kundens strategiske målsetninger, for å sikre at it gir ønsket forretningsstøtte og avkastning på investeringen.
Hva skal prioriteres?
Det er viktig å definere rammene. Dette omhandler: omfang, avgrensninger, økonomi, personell og tid. Man forsøker å finne ut hvor «skoen trykker mest» for å kunne starte i riktig ende. Dersom første fase viser at området som gir størst grunn til bekymring er evnen til å oppdage og håndtere sikkerhetshendelser, ja, da starter man med denne delen av analysen. Slik kommer vi raskt i gang med å definere tiltak som har stor nytte og tetter hull tidlig i prosessen. Vanligvis avdekker også dette «lavthengende frukt» i form av enkle tiltak som har stor effekt.
Virksomheten må være delaktig
Det er ingen vits i å bestille en analyse uten at virksomheten tar eierskap og involverer seg i resultatet av gjennomgangen. Ledelsen får som regel en øyeåpner når de ser på deres egenvurdering opp mot de reelle funnene og de anbefalte resultatene.
Inkluder ledelsen i prosessen og bli enig om et akseptabelt risikonivå. Deretter, sett opp en prioritert liste med anbefalte utbedringstiltak i form av program for virksomhetsoptimalisering og utbedringstiltak.
Heldigvis er det flere og flere ledere som anerkjenner at it-sikkerhet er deres ansvar, og at dette er noe de ikke kan delegere bort. Derfor ser de på dette som et konkurransefortrinn, fremfor en ren utgiftspost. Det er aldri lett å kalkulere inn verdien av å ha gode rutiner og it-sikkerheten på plass. Dette sammenlignes ofte med å tegne forsikringer. Man vet ikke at man trenger det før uhellet er ute. Men om vi leser hendelser som denne, der et virusangrep har redusert Sopra Sterias overskudd med et sted mellom 40 og 50 millioner euro, som med dagens kurs tilsvarer opptil 528 millioner norske kroner, da skjønner vi hvilke enorme konsekvenser en hendelse kan få. Da kan jeg legge til at Sopra Steria er et av de selskapene som er best på it-sikkerhet.
Rennomme vs. økonomi?
Oppsummert så kan tap av rennomme og økonomiske verdier skade alle virksomheter, uansett hvor liten eller stor de måtte være. Vi ser at flere og flere begynner å sette krav til at samarbeidspartnerne har et bevisst forhold til it-sikkerhet. Det innebærer at de kan fremlegge rapporter som viser at de har utført analyser og penetrasjonstester for å sikre egen data.
Og det er ikke uten grunn når vi vet at mange hendelser oppstår nettopp på grunn av mindre sikre samarbeidspartnere. Om en vil dykke litt i dette så kan en jo lese om Lysne II utvalget som ble satt til å se på digitale verdikjeder.
Inntil skrivelysten tar meg igjen, hospiterer jeg hos de strategiske rådgiverne og lærer meg mer om både prosesser og trusselbildet.
Thomas Tømmernes, Head of IT-Security i Atea Norway