DEBATT: Hvem tar vare på Norges godt over 600.000 hjørnestensbedrifter?
Bare rundt 0,6 prosent av Norges virksomheter har over 100 ansatte. For få tenker på majoriteten av norske bedrifter.
Statistisk sentralbyrå melder om en stor økning i antall virksomheter i en norsk økonomi som går så det suser. Det er nær 630 000 aktive virksomheter ved inngangen til 2022. Bare rundt 0,6 prosent av disse 630 000 virksomhetene har over 100 ansatte. De aller fleste private virksomheter faller inn under betegnelsen små og mellomstore bedrifter, også kalt SMB, som det er vanlig å definere bedrifter med under 100 ansatte i Norge.
SMB’ene står samlet for nesten halvparten av den årlige verdiskapingen i Norge. Det utgjør rundt 700 milliarder kroner, noe som tilsvarer nesten et halvt statsbudsjett i året.
Hvorfor er disse tallene interessante?
Paradokset her er det fokuset norske myndigheter har på å tilrettelegge og hjelpe små og mellomstore bedrifter for å styrke deres motstandsdyktighet ovenfor et stadig mer skjerpet digitalt trusselbilde. Satt på spissen er det slik at Cyberforsvaret har i oppgave å sikre Forsvaret digitalt, Nasjonal Sikkerhetsmyndighet passer på det som ansees som en del av kritisk infrastruktur i Norge og Politiet jobber sannsynligvis langt mer etterforskning av hendelser enn å hjelpe norske virksomheter med å styrke deres digitale forvar mot cyberkriminelle.
Sikrer kvaliteten
I 2016 opprettet Nasjonal Sikkerhetsmyndighet (NSM) en godkjenningsordning for håndtering av dataangrep og skrev:
«En rekke private bedrifter tilbyr slike tjenester til næringslivet, men for en virksomhet som kjøper tjenestene så kan det være krevende å få visshet om at kvaliteten på det man kjøper er god nok».
Baktanken var sannsynligvis at myndighetene så at antall norske små og mellomstore virksomheter (600.000) sett opp mot egne ressurser skapte et enormt avvik. Derfor så de til privat sektor som allerede var godt i gang med produkter og tjenester tilpasset både offentlige og private virksomheter. Og at disse på lang vei allerede utgjorde et slags digitalt heimevern, som myndighetene ønsket å kunne «gå god for». Utfordringen seks år etter lanseringen er at det er kun 5 som har klart å erverve denne godkjenningen.
Fokuserer også på de største
Det er med flau smak i munnen jeg dessverre må tilstå at det ikke bare er myndighetene som er underbemannet og fokuserer på å hjelpe de største virksomhetene. I Norge i dag mangler vi 1900 personer for å fylle de åpne stillingene samfunnet trenger. Vi i den kommersielle it-sikkerhetsbransjen blir trukket i alle retninger, og det er dessverre slik at de store kundene med mest midler vinner også her. Heldigvis er det flere store sikkerhetstilbydere som har delt opp leveranseapparatet sitt og tilpasset tilbudene sine med skreddersydde tjenester for SMB-markedet også. Det hjelper.
Jobber for myndighetene
Man kan på mange måter si at den kommersielle it-sikkerhetsbransjen, som består av cirka 700 personer, er de som jobber i front for å få ut sikkerhetsbudskapet til norske virksomhetsledere. Og ja, jeg vet det finnes både myndigheter, organisasjoner, foreninger som står på barrikadene og roper i om hvor viktig deres budskap er.
Dessverre utgjør alle som vil være med å sikre Norge en massiv støyfront for virksomhetsledere, og da særlig SMB som ofte ikke har en stor it-avdeling som kan håndtere all velmenende informasjon. Informasjonsmengden kan sannsynligvis sammenlignes med å være førstegangs tilskuer i det engelske Underhuset. Noen vil nok nå føle seg litt støtt og peke på oss i den kommersielle bransjen at vi også er med på å skape denne støyen, og ja det er vi – definitivt – men jeg mener at vi gjennom et bedre offentlig og privat samarbeid kan bistå med mer enhetlig informasjon til alle virksomhetene som trenger hjelp. Det kan være en viktig start for å øke sikkerheten hos hundretusener av norske virksomheter.
Hvor skal man begynne?
Men inntil ressursene er på plass for å bistå SMB-markedet, er mitt klare råd er å utføre en modenhetsanalyse om hvordan det står til med den løsningen man har i dag, sett opp mot dagens trusselbilde. Det er lite vits i å gjøre tiltak, investere i løsninger eller bruke tid på å diskutere hvis, hva om, når man ikke har konkrete punkter å ta beslutningene på. Mange av de største virksomhetene har sannsynligvis rådgivere som utfører slike analyser fortløpende. Til alle dere andre som ikke har det, anbefaler jeg dere å finne et konsulentselskap som utfører dette.
Vær oppmerksom på at lovverket rundt it-sikkerhet ikke er særlig godt eller spikret i Norge. Derfor vil mange lene seg mot internasjonale rammeverk når de gjennomfører analysene. I Norge er det nærmeste vi kommer regler og veiledning grunnprinsippene til NSM, et meget godt stykke arbeid.
NSMs grunnprinsipper for IKT-sikkerhet definerer et sett med prinsipper og underliggende tiltak for å beskytte informasjonssystemer mot uautorisert tilgang, skade eller misbruk. Vær en god bestiller når du inngår samarbeid med en sikkerhetsleverandør, still gode spørsmål om erfaring, kompetansenivå og sertifiseringer m.m.
Tilbake til start
Det er enormt mange norske virksomheter som trenger hjelp, både offentlig og privat, store og små. Dessverre er det slik at både myndighetene og største delen av den kommersielle it-sikkerhetsbransjen fokuserer på de største virksomhetene eller det større i SMB-markedet. Lovverket er utydelig, man kan gjøre så godt man kan, men allikevel bli kompromittert av hackere, bryte GDPR og få pålegg av Datatilsynet.
Kanskje kan vi lære av kan lære av britene. I Storbritannia har man innført Cyber Security Essential sertifiseringene. Dette ville gjort det lettere å vite hvem som har ting på stell, og samtidig hvilke områder man burde ta tak i selv.
Men inntil dette er på plass, anbefaler jeg å begynne alle investeringer med å utføre en modenhetsanalyse.