Nord Stream må bli en vekker for sikkerhetskultur
LEDER: HR-avdelingene må forstå sin viktige rolle som endringspiloter og kulturbyggere.
Vi har en tendens til å halse etter problemer som har oppstått i stedet for å forhindre at de skjer i utgangspunktet. Alt for mange bedrifter får virkelig øynene opp for informasjonssikkerhet først etter at de har blitt angrepet av et løsepengevirus, eller utsatt for en annen form for hacker-virksomhet.
I Norge er vi for alvor i ferd med å våkne til det faktum at vår nabo i øst bruker sin militærmakt til krigshandlinger i Europa. Som om ikke det er nok, sitter vi på kritisk infrastruktur for europeisk energiforsyning. Vi har gassrør tilsvarende dem som ble sabotert i Østersjøen.
Selve sabotasjen endrer isolert sett lite akkurat nå, siden det tross alt ikke går gass der. Men det er et ekstremt tydelig signal. Et varsko om hva som kan gjøres med våre gassrør – de som faktisk forsyner Europa med sårt tiltrengt gass.
Det har ført til at all sikkerhet rundt anleggene skjerpes. Vi må skjerpe oss også: Norske myndigheter ber oss borgere om å være mer observante enn vi har vært vant til. Vi skal melde fra om mistenkelig aktivitet ved og i nærheten av kritiske anlegg.
Det betyr ikke at det er vi som står for den fysiske sikringen av anleggene. De er sikret med gjerder, piggtråd, vakthold og alarmsystemer. Det betyr at jobben med å sikre anleggene kan bli bedre, ved at forsøk på angrep kan avsløres tidligere. Forutsetningen er at vi forstår alvoret i situasjonen. At så mange øyne som mulig følger med og melder ifra når noe skjer.
Informasjonssikkerheten har vært truet lenge. Både fra hackergrupper og fremmede makter. Hackerne har gjerne økonomiske motiv og presser virksomhetene for penger, mens vår nabo i øst virker mer interessert i å vise muskler. Lamme nettsteder med trafikk-angrep i kortere perioder, så vi vet at de er der. Vi blir forelagt hva de er i stand til å stelle i stand.
Vi burde egentlig for lengst ha skaffet oss bedre sikkerhetskultur både privat og på jobb. Vi burde være bedre til å skille mellom normale og mistenkelige eposter. Forstå hva vi kan gjøre og ikke kan gjøre på åpne nett. Forstå at en QR-kode i virkeligheten er en lenke man trykker på, og at vi følgelig bør være helt sikre på avsenderen før vi bruker den.
Et svært naturlig sted å starte er bedriftskulturen på arbeidsplassene våre. Sikkerhetskultur betyr ikke at ansvaret for sikkerhet skyves over på brukerne. Informasjonssikkerhet er et topplederansvar, og teknikken må utføres av sikkerhetsfolk. Den skal og må ta høyde for at brukere kan gjøre feil. Men med en bedre kultur, er det flere som er observante. Færre trusler slipper gjennom, og brudd meldes tidligere.
Sikkerhetskulturen er også et topplederansvar, men sikkerhetsfolka er ikke bedriftens kulturbyggere. Det er derimot HR-avdelingen, og å få sikkerhet som en del av bedriftens kultur, er en oppgave de bør ta på alvor.
Hvis noen trenger en vekker, er det ikke lenger nødvendig å vente på et hackerangrep. Det burde holde å se på det som skjer i Europa.