Dataangrep truer omdømmet
KRONIKK: Det virksomheten din gjør for å unngå datainnbrudd er neppe nok. Før eller senere vil hackere kunne finne en vei inn til verdifulle data. Da må beredskapen fungere for at du skal kunne redde situasjonen.
Norske virksomheter tar ikke trusselen om datainnbrudd alvorlig. Det vil si – de tror at virksomheten deres blir rammet, men de prioriterer likevel ikke å gå grundig inn i hva de vil gjøre for å forebygge situasjonen. Enda mindre ser de ut til å tenke på hvordan de skal håndtere situasjonen når den oppstår.
Det viser blant annet en undersøkelse som selskapet NTT Com Security gjorde i fjor høst. Mens 83 prosent av norske ledere regner med at virksomheten vil bli utsatt for sikkerhetshendelser i fremtiden er det bare 38 prosent som hevder de har en oppegående strategi for informasjonssikkerhet og 34 prosent som har en konkret plan for håndtering av sikkerhetshendelser.
Bildet stemmer godt med funnene i en undersøkelse blant 600 ledere i norske virksomheter som Norstat gjennomførte for First House for to år siden. Det fremgikk at mange virksomheter mangler planer for håndtering av belastende hendelser. Dessuten unnlater ett av fire selskaper å øve på håndteringen av uønskede hendelser. Flertallet øver sjelden. Dermed risikerer virksomhetene å miste verdifull tid og begå belastende feil når en hendelse oppstår.
Hvordan påvirkes eieres, kunders, tilsynsmyndigheters og omverdenens tillit til virksomheten når den ikke har kontroll på kundeinformasjon eller forretningssensitive data? Hva med forretningsdriften om sentrale systemer slås ut?
I 2013 programmerte innbrytere it-systemene til den amerikanske elektronikkjeden Target til å samle og eksportere informasjon om alle kredittkort som ble benyttet i kjedens 1.797 butikker gjennom julehandelen. Opplysningene ble misbrukt. Target fikk senere en rekke søksmål fra kunder og banker rettet mot seg. Kunder flyktet og selskapets resultat ble nær halvert i tilsvarende kvartal året etter datainnbruddet.
Det er slutt på den tiden at Norge er et bortgjemt og glemt hjørne av verden. Vår rikdom er verdenskjent. Vår oljekompetanse og våre velferdsgoder likeså. Et sunt norsk næringsliv og store offentlige innkjøpsvolum er attraktivt for virksomheter verden over. En ting er kredittkortinformasjon, noe annet er tilgang på konkurransesensitiv informasjon som nøkkel til å ta del i rikdommen.
En angriper mot sensitive data trenger bare å lykkes i å finne én vei inn i systemene. For å unngå anslag må virksomheten hele tiden lykkes ett hundre prosent med sine sikkerhetsbarrierer.
Og hva gjør man om datainnbrudd forekommer? Da skal både selve sikkerhetsbruddet og en omdømmekrise håndteres samtidig. Er det god ledelse om man ikke er forberedt på hvordan man skal håndtere en omdømmekrise som kan påføre virksomheten alvorlige og langvarige tap?
Norske ledere må tenke fundamentalt nytt i forhold til cyber- og informasjonssikkerhet. Og de må tenke nytt i forhold til hva som forventes av dem dersom ulykken er ute.
Hendelseshåndtering krever samarbeid, handling og kommunikasjon fra ledere og ansvarlige fra flere forretningsfunksjoner. Hvis it-avdelingen alene skal håndtere cybersikkerheten, vil jakten på løsninger bli for snever. Det vil igjen skape ubehagelige situasjoner for ledere som må fronte kunder, aksjonærer, myndigheter og media dersom hackere lykkes med et angrep.
Roar Sundseth er strategisk rådgiver på cybersikkerhet i Watchcom SG. Steinar Flaa er kommunikasjonsrådgiver i First House.