Gjennom oktober har virksomheter både i Norge og internasjonalt satt fokus på sikring (security). Uten oppfølging kan innsatsen være nær bortkastet. Hvordan benytter du deg av momentet for å styrke sikringskultur i praksis?

Mange virksomheter har brukt oktober til å sette fokus på sikring gjennom interne kampanjer, seminarer og presentasjoner. Temaet er svært aktuelt. Digitalisering treffer hele virksomheten, teknologier utvikler seg i en rasende hastighet, og nye og gamle systemer knyttes sammen i stadig lenger og mer uoversiktlige verdikjeder. Dette gjør norske virksomheter sårbare. De samme teknologiske fremskrittene brukes av trusselaktører for å utvikle sofistikerte verktøy og metoder for målrettede angrep.

1 av 5 virksomheter har opplevd sikringshendelser som har resultert i negative effekter for virksomheten, i form av økonomiske tap eller svekket markedsposisjon (Mørketallsundersøkelsen 2018). Menneskelige feil og manglende bevissthet rundt sikring utpekes som to av hovedårsakene til hendelsene, som ofte oppdages tilfeldig.

Gode tekniske barrierer er på plass hos mange virksomheter. Derfor er menneskene letteste vei inn for trusselaktører. Ansatte er det svakeste leddet – og samtidig den viktigste barrieren. Det velkjente Hydroangrepet i mars i år, der et løsepengevirus fanget og krypterte alle selskapets data, startet med et vedlegg i en e-post.

Det er avgjørende at ledere og ansatte har digital kompetanse, at de vet hva de skal være oppmerksomme på og hvordan de skal håndtere det. Dette reduserer virksomhetens sårbarhet for angrep, og øker sannsynligheten for å lykkes i å begrense negative konsekvenser av de hendelsene som eventuelt måtte oppstå.

For å styrke den menneskelige barrieren, krever det at vi ikke bare øker oppmerksomhet og kompetanse, som ofte er fokuset i interne kampanjer, men at vi klarer å endre atferd. Selv med tekniske løsninger som reduserer risiko for brukerfeil, trenger vi at ledere og ansatte faktisk tar de rette aksjonene til enhver tid.

Alle må vite hvordan de identifiserer en mistenkelig e-post, og hva de skal gjøre med den. Og ikke minst: de må gjøre det. Riktig håndtering av mistenkelige e-poster kan forhindre hendelser med potensielt store konsekvenser. For Hydro resulterte angrepet i produksjonsproblemer og økonomiske tap estimert til 650 MNOK.

Mange virksomheter bruker hovedvekten av ressursene på å komme frem til strategier, kurs og veiledere, og rulle ut kampanjer. Færre ressurser settes av til den faktiske implementeringen av disse. Samtidig ser vi at bildet faktisk må være omvendt for å skape atferdsendring. Tyngden bør være på implementeringen: forankring ut i den spisse enden, mobilisering av ledere, involvering av ansatte; å ansvarliggjøre og bygge eierskap på lokalt nivå.

Atferdsendring krever mer enn kampanjer og flotte ord – det krever fokus over tid. Økt kunnskap og oppmerksomhet kan være startpunktet, men det er ikke målet. Her ligger utfordringen og her ligger arbeidet.

Ta kontakt hvis du vil høre mer om hvordan vi styrker sikringskultur gjennom å implementere ønsket atferd: anine.stiansen@imgnord.no