#Digital

Hvilke spørsmål om IT-sikkerhet er det du ikke tør stille?

MEDFORFATTER: ELISABET HAUGSBØ, HEAD OF DATA I HUB OCEAN & VISEPRESIDENT I TEKNA
Forskingssjef Maria Bartnes (til venstre) og Elisabet Haugsbø, som er visepresident i Tekna og head of data i HUB Ocean, svarte på alle spørsmålene du trenger svar på om cybersikkerhet i DN Studio. Foto: Anita Arntzen.

Flere ganger hver dag blir virksomheter i Norge angrepet digitalt, og du vet aldri om din bedrift er neste offer. Her er spørsmålene og svarene om cybersikkerhet, som kan hjelpe deg i kampen mot hackerne.

 

Som medlem av et styre eller leder i en bedrift, er det du som sitter med ansvaret for cybersikkerhet og konsekvensene av et cyberangrep. Feiler du der, kan kostnadene bli enormt store. Risikoen for hackerangrep er her konstant, og denne uka gjorde et større dataangrep mot Norge at flere norske nettsider ble satt ut av spill.

For å unngå dette, må du være ute med preventive tiltak i god tid før et eventuelt angrep. Men med stressende hverdager og styremøter med tett agenda, kan det være lett å droppe spørsmål som oppfattes som “dumme”.

Men det dummeste er å ikke stille dem.

I DN Studio (se sendingen her) diskuterte vi nettopp dette; Hvilke spørsmål bør du stille for å forstå litt mer og ha bedre oversikt over egen risiko?

Her er noen av dem:

Hvilke er de topp fem viktigste systemene eller tjenestene våre?

Når bedriften din rammes av et angrep, må dere vite hvilke tjenester og funksjoner som er mest kritisk å holde i gang, eller viktigst å få i gang igjen etter opprydding. Dette hjelper dere med å gjøre ting i en fornuftig rekkefølge når det koker som verst. Er dere helt avhengige av enkelte system for å holde butikken i gang, bør disse systemene beskyttes særs godt.

Hvilke leverandører er vi aller mest avhengig av?

De fleste bedrifter har avtaler med en rekke leverandører av ulike tjenester. De leverandørene som kan hjelpe deg med de aller viktigste tjenestene dine i en krisesituasjon, må du kjenne såpass godt at du vet hva slags hjelp du kan få. Gjennomfør øvelser jevnlig, i alle fall diskusjonsøvelser, slik at dere har snakket gjennom og trent på hvem som gjør hva og i hvilken rekkefølge. Husk at angrep eller situasjoner gjerne oppstår i helger eller ferier. Sørg for også å ta dette med i risikovurderingene så vel som i øvelsene.

Hva gjør vi hvis en av våre leverandører angripes?

Ta med i risikovurderingen at cyberangrep kan ramme hvem som helst, også dine leverandører. Enten fordi de leverer til noen andre som er attraktive angrepsmål, eller fordi de selv er et angrepsmål, eller fordi de leverer til din bedrift. Et angrep på leverandøren kan være noe som er på vei til din bedrift. Avtal med leverandøren hvem som skal gjøre hva hvis de blir et offer for et cyberangrep.

Hvem tar beslutninger om at noe skal stenges ned?

I en krisesituasjon er det ikke tid til å diskutere mye fram og tilbake. Avklar allerede nå hva leverandørene dine skal ha lov til å gjøre uten å avklare med dere, hva IT-sjef eller andre tilsvarende roller hos dere kan beslutte, hva beredskapsleder kan beslutte, og hvilke avklaringer som må til deg som toppleder. Dette kan spare dere mye tid og penger.

Hva gjør vi hvis vi ikke har gjort noe ennå?

Dere bør begynne med å få en oversikt over hva dere har av systemer og hvilke som er mest kritiske for virksomheten deres. Husk å vurdere avhengigheter mellom ulike systemer. Det finnes mange rammeverk tilgjengelig for å hjelpe med å strukturere arbeidet. De fleste rammeverk inneholder den samme informasjonen, så her gjelder det bare å plukke det som passer dere best og jobbe systematisk over tid. Sikkerhetsarbeid er en kontinuerlig prosess.

Hva gjør våre medarbeidere dersom de gjør noe dumt eller ser noe rart?

Å bygge en kultur for åpenhet er viktig for å kunne fange opp og varsle om hendelser tidlig i forløpet. Medarbeidere må oppleve at det er lav terskel for å si ifra om at de dessverre klikket på den lenken eller ikke forsto at den som ringte var ute etter sensitiv informasjon, uten å bli gjort til syndebukk. Hvis mange gjør det de kan for å legge lokk på slike små feil, kan konsekvensene bli mye mer alvorlig enn nødvendig. Dere ledere må gå foran med et godt eksempel og åpenhet må framsnakkes og belønnes.

Er det ikke bare å dra ut internettkabelen hvis vi blir angrepet?

Jo, det er en mulighet – men det bør være absolutt siste løsning, for da stenger du effektivt ned det meste av egen drift. Samtidig mister du muligheten til å spore angriperne og følge med på hva de gjør, og angriperne kan bare koble seg opp igjen når de allerede har kommet inn. Dessuten må du bruke enda mer ressurser og tid for å være sikker på at du har fått alle spor fra angriperne ut av systemene etterpå.

Les også om 12 ting du må vite om cybersikkerhet og cyberangrep her.

Er det så farlig da?

JA. Til og med små bedrifter er utsatt for hacking. Og selv om du mener at du ikke har noe å skjule eller verdier å miste, så kan du være den hackerne bruker for å angripe noen andre. IT-sikkerhet kommer ofte langt ned på budsjettet, men kostnaden i etterkant kan bli høy sammenlignet med den lille investeringen i å gjøre bedriften din tryggere. Unngå at akkurat din bedrift er det mest sårbare leddet i kjeden.

Det aller viktigste du gjør som leder, er å utvikle en kultur hvor det er trygt og greit å stille såkalte «dumme» spørsmål og samtidig fortelle at en har vært litt uheldig og gjort noe som en ikke burde ha gjort. Som for eksempel å klikke på en lenke i en e-post, som en etterpå forsto at kanskje var svindel.

Og husk: Det finnes ikke dumme spørsmål. Det kan være akkurat ditt spørsmål som gjør at det neste cyberangrepet ikke skjer.

 

Hør mer om dataangrep i teknologipodkasten Smart forklart fra SINTEF. Der snakker Maria Bartnes om cybersikkerhet og kampen mot de stadig mer profesjonelle hackerne.

0 kommentarer på “Hvilke spørsmål om IT-sikkerhet er det du ikke tør stille?

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *