job Bokanmeldelser 16.09.2019

Datasikkerhet for ledere – hvordan sikre din virksomhet

Den årlige mørketallsundersøkelsen som utføres av Næringslivets sikkerhetsråd viser at norske virksomheter har reelle utfordringer med datasikkerhet. Men det er ikke sikkert alle ledere vet at de har blitt utsatt for datainnbrudd. For å kunne forbedre kvaliteten i sikkerhetsarbeidet i norske virksomheter er det dermed sentralt at ledere har god bevissthet og forståelse for sikkerhet.

Håkon Bergsjø og Ronny Windvik, Universitetsforlaget 2018

For å bidra til nettopp dette har Bergsjø og Windvik skrevet boken «Datasikkerhet for ledere – hvordan beskytte din virksomhet». Bokens fem første kapitler gir en grunnleggende innføring i datasikkerhet, ledelse, trusler og sårbarheter, verdivurderinger og risikovurderinger, mens de påfølgende kapitlene tar for seg ulike temaer som personvern, passord, innsidetrussel, tjenesteutsetting m. fl. og kan leses i en valgfri rekkefølge.

Sikkerhetsrisiko

Ifølge sikkerhetsselskapet NTT Security anser fire av ti norske beslutningstakere at ledelsen er bedriftens største sikkerhetsrisiko. Nordisk salgssjef i NTT Security, Henrik Davidsson, fortel­ler videre at mange ledere er mer opptatt av til­gjengelighet enn sikkerhet. Bruk av teknologi åpner for nye former for risiko. I Norge lager myndighetene og datasikkerhetsbransjen jevn­lige trussel­- og risikovurderinger som gir en god situa­sjonsforståelse. Datasikkerhet har i løpet av de siste årene også fått stor oppmerksomhet fra journalister og hver uke skrives det om datainnbrudd i og utenfor Norge. Flere av disse kunne fått alvorlige konsekvenser dersom tilgangene hadde blitt misbrukt. Samtidig har det blitt påstått at Norge aldri har blitt angrepet (2). Hvis ordet «angripe» betyr å virkelig skade noen via cyber, så finnes det ingen eksempler på det (3). I angre­pet mot Visma ble det også signalisert at ingen kunde­systemer ble berørt av innbruddet (4). Nå viser det seg at heller ikke dette stemmer.
Angrepet mot Hydro i mars 2019 viser at norske virksomhe­ter i høyeste grad er utsatt for trusler som kan realise­res når som helst og ifølge en artikkel i NRK (5) er det Hydros heldigitale løsninger som skapte utfordrin­ger etter angrepet. Som en kuriositet viste det seg at Hydro unngikk de aller største utfor­dringene takket være noen ansatte som ikke hadde stolt fullt og helt på datamaskiner og fortsatt arbeidet med papirbaserte løsninger.
1 https://e24.no/naeringsliv/datasikkerhet/fersk- undersoekelse-ledelsen-er-den-stoerste-sikkerhets- trusselen-for-bedriften/24433169
2 Frem til april 2017
3 Bergsjø og Windvik (2018), s. 22
4 https://e24.no/digital/hacking/it-ekspert-om-maalet- med-visma-angrep-de-har-mye-informasjon-om- baade-bedrifter-og-personer/24555677
5 https://www.nrk.no/norge/teknologipessi- mist-ble-helt-etter-dataangrep-1.14509963

Trusler på internett

Etter et innledende kapittel, får leseren beskrevet hvilke trusler det finnes på nettet. Det er viktig at ledere er klar over hvem som utgjør trusselen og hvilken kapasitet og intensjon disse aktørene har. Hacktivisme er et eksempel på en ny variant som utføres for å påvirke holdninger og for å spre en ideologi, mens data-/internettkriminalitet ifølge forfatterne er den vanligste formen for kriminalitet i Norge. Ofte dreier det seg om vanlig svindel hvor man ikke bruker datamaskiner til å gjøre innbrudd i andre data- maskiner. Et eksempel fra vårt eget land er gjerningsmennene som fikk med seg et utbytte på rundt 100 millioner etter en direktørsvindel uten at det fikk særlig stor oppmerksomhet.

Spionasje er en annen form for datakriminalitet hvor formålet er å hente informasjon som er lagret digitalt. Det er ikke nødvendigvis så overraskende at forsvarsindustrien og annen høyteknologisk industri er utsatt for spionasje av aktører med høy kompetanse, men vi har normalt mye lavere bevissthet om at også informasjon om planer og beslutninger i det offentlige er utsatt for slik etterretning. Ved sabotasje anvendes datainnbrudd for å ødelegge eller forstyrre kritisk infrastruktur eller andre samfunnsfunksjoner. Heldigvis er det veldig få kjente eksempler hvor datainnbruddet har blitt brukt for å ødelegge infrastrukturen i andre land. Aktørene benytter ulike metoder. Selv om boken dekker mange ulike metoder, er det viktig å være klar over at vanlige og ofte relativt rimelige sikringstiltak, som følges opp systematisk, vil redusere risikoen betraktelig.

Kartlegge kritiske verdier

Videre viser boken en fremgangsmåte for å kartlegge og vurdere virksomhetens kritiske verdier, med utgangspunkt i virksomhetens verdikjeder. Hensikten med en slik kartlegging er å få frem en liste med sentrale verdier, datasystemer og data som får kritiske konsekvenser for virksomheter om de tapes eller reduseres. For å illustrere hvordan leserne kartlegger sine egne verdier, er det laget et eksempel i boken. I tillegg til verdier, anbefales det også å kartlegge hvilke verdi- kjeder virksomheten er avhengig av for egen verdiskaping og hvilke eksterne verdikjeder virksomheten er en del av.

Kontroll av risikoer

Senere beskrives det hvordan virksomheter kan kontrollere mulige avvik fra virksomhetens mål (=risikoer). Det henvises til to ulike modeller (Difi/COBIT) som både offentlige og private virksomheter kan ta i bruk. Etter at ledelsen har blitt kjent med sine risikoer, blir det lettere å iverksette tiltak ved bruk av et system for internkontroll.

Forfatterne Bergsjø og Windvik har skrevet en lettlest bok for ledere i ulike nivåer i organisasjonen, men også for alle andre som vil øke sin fagkompetanse innen datasikkerhet. Det viser seg også at det ofte nytter å beskytte organisasjonen med relativt enkle tiltak. Det som er viktigst at ledere er genuint opptatt av sikkerhet og kontinuerlig utfordrer organisasjonen ved å stille riktige spørsmål

Relaterte

Relaterte