Blåøyde bedriftsledere

Datakriminelle får lett spill når bedriftene er skremmende naive. Og altfor slepphendte i å beskytte verdifull, sensitiv informasjon. Mangelfull kontroll og forståelse koster næringslivet dyrt.

Av Hermann Möhring

Min påstand er ikke tatt ut av løse luften.  Neida, den kan belegges godt. Jeg har gått gjennom Næringslivets Sikkerhetsråds mørketallsundersøkelser om informasjonssikkerhet og datakriminalitet, lest rapportene til PricewaterhouseCooper om økonomisk (data)kriminalitet og boka til Petter Gottschalk, «Datakriminalitet i Norge» fra i år. Og ble oppgitt en rekke ganger.

Hvordan er det mulig å være så blåøyd, ja til og med ignorerende når bedriftenes sensitive opplysninger skal beskyttes?

Sikkerhet? Pytt-pytt
Svartmaling? Neida. Undersøkelsene viser alle den samme skremmende utviklingen: bedriftenes og de ansattes tankeløse omgang med mobile medier, en forbløffende godtroenhet overfor eksterne it-leverandører og mangel på gjennomtenkt kontroll for å beskytte egne verdier. Det gjelder selvfølgelig ikke alle, men alt for mange, viser tallene.

Kjekt å ha, men sikker?
Og det i en tid hvor store deler av næringslivet er helt avhengige av ny teknologi, på grunn av den økende internasjonaliseringen. «Alle» skriker etter økt tilgjengelighet, smartphone, ekstern mailtilgang, kjekke applikasjoner og all slags dyppeditter, men sikkerhetstenkningen kommer først i annen rekke, i beste fall.

Farlig lek
Dette er en farlig og uansvarlig lek. Som linedans uten sikkerhetsnett, ser det ut som. År etter år taper næringslivet millioner av kroner på grunn av store hull i datasikkerhet, men faren for datakrim tas ikke på alvor.  

54 prosent av norske bedriftene, altså over halvparten, mener at det er ingen vits i å analysere risikoen for økonomisk kriminalitet, viser undersøkelsen til PwC som jeg har skrevet om tidligere.

Hvordan vil det være mulig å gå inn for de rette sikkerhetstiltak når bedriftslederne ikke engang gidder å se på risikoen? At (data)sikkerhet er et lederansvar er opplagt. Hva er lederne da når de ikke ser noen vits i å ta slike grep? Jeg bare spør.

De er vel greie, de?
Mørketallsundersøkelsen til Næringslivets Sikkerhetsråd fra 2010 setter fingeren på hva bedriftene sliter med. Tallene gjør i alle fall meg urolige:

  • Hver tredje norske bedrift er utsatt for datakriminalitet, kun 1 prosent anmelder. Forklaringene er gjerne at det er for ressurskrevende og at politiet likevel henlegger saken.
  • Nesten halvparten av gjerningsmennene (ja, for det er flest menn) er egne ansatte eller innleide it-konsulenter.
  • Likevel øker antall bedrifter som setter bort sitt interne datatjenester til eksterne folk. Hele 56% har outsourcet helt eller delvis it-driften, viser 2010-undersøkelsen til Næringslivets Sikkerhetsråd. Tendens økende siden 2008. Og det verste: Det stilles få krav til leverandørene.
  • Bedriftene har stor tiltro til hvordan innleide it-konsulenter håndterer datasikkerheten, men legger liten vekt på kontroll, oppfølging eller sanksjoner ved mangler. Det burde bekymre flere enn meg når det er kjent at en god del av datakriminaliteten gjennomføres av nettopp it-konsulenter (se pkt. 2).

Eksterne får direkte tilgang
Jeg ble overrasket da jeg hørte på Gro Smogeli fra Oslo politidistrikt hos PwC i november. Lederen av finans- og miljøenheten oppfordret direktørene til å ha fokus på HVEM de outsourcet sine it-tjenester til. Og minnet dem om at eksterne aktører får full adgang til bedriftenes allerhelligste…

– De kommer inn i bedriftene og får tak i sensitiv informasjon, men hvem kontrollerer dem? Bedrifter må også ha større fokus på hvem som foretar kontroller, formante Smogeli.

Det er ikke min hensikt å mistenkeliggjøre en hel it-bransje. På ingen måte, men tallene og anmeldelser viser at det finnes «råtne egg» som utgjør en risiko. Bekymringsløse, blåøyde bedrifter gjør risikoen ikke akkurat mindre.

Ansatte mangler opplæring
Bedriftenes godtroenhet er egentlig ikke vanskelig å forstå. Datautstyr er noe it-folka skal fikse, mens de ansatte skal bruke det. Akkurat som det er fullt mulig å kjøre bil uten å være utdannet bilmekaniker… Mange mener dette, men det betyr ikke at det er klokt.

Særlig ikke når bare hver tredje bedrift tilbyr sine ansatte fortløpende dataopplæring. Å kjøre bil uten kjøretimer er vel ikke så greit – for å forbli i bildet jeg tegnet.

Også for nyansatte er ikke tallene stort bedre, viser NSRs undersøkelse. Under halvparten av bedriftene gir dem sikkerhetsopplæring. «Noe som er et bekymringsfullt resultat med tanke på at rundt halvparten av gjerningsmennene bak avdekkede hendelser er egne ansatte», heter det i rapporten. 

Outsourcing – uten krav
At så mange virksomheter outsourcer så sentrale og følsomme tjenester som IT, er absolutt verdt en egen debatt. Men hvis det først er slik, bør bedriftene være ekstra på vakt med tanke på sikkerhet og rutiner. Mangelen på bevissthet rundt sikkerhet er skremmende, ikke bare av økonomiske hensyn. Forskning og utvikling samt personopplysninger bør i høyeste grad være beskyttet på en betryggende måte. Det er vel de fleste enige om. 

Ingen godkjenningsordning for IT-leverandører 
Det er tydeligvis ikke bare bedriftsledere som er naive. Det finnes faktisk ikke en offentlig pålagt godkjenningsordning for selskaper som tar på seg IT-driftsoppgaver for andre virksomheter, påpeker Næringslivets Sikkerhetsråd og tar sterkt til orde for en slik sertifisering. For å beskytte næringslivet. Spesielt små og mellomstore bedrifter ville nyte godt av en slik sertifiseringsordning fordi de sjelden har egne IT-ansatte.

Det burde vel ikke være så vanskelig å få gehør for dette. Eller?

Uten mål og mening?
Det verste av alt er at bedriftenes sikkerhetstiltak ikke er blitt et døyt bedre i løpet av de siste årene – selv om den teknologiske utviklingen går videre i rasende fart. Ingen positiv utvikling siden forrige mørketallsundersøkelse i 2008.

Det virker som om bedriftene handler uten mål og mening. De tyr heller til akkut-tiltak istedenfor å ta problemet ved roten. Sikringstiltak foretas uten at det gjennomføres nødvendige risiko- og sårbarhetsanalyser. Hvordan skal man da vite om tiltakene virker?

Ingen oversikt
Ekstra ille er det at altfor mange bedrifter tydeligvis ikke har oversikt over når mistenkelige hendelser skjer. Manglende overvåking og gjennomgang av logger er årsaken til det, mener NSR. Hendelsene rapportes dermed ikke til ledelsen. Det reduserer muligheten til å iverksette føre-var sikkerhetstiltak…

Det er på tide å våkne, bedrifts-Norge.

Også verdt å lese:

1 kommentar

Filed under Arbeidsliv, Økokrim

One response to “Blåøyde bedriftsledere

  1. Tilbaketråkk: Blåøyde bedriftsledere - Hermann Möhring | Sosial På Norsk | Scoop.it

Legg igjen en kommentar

Please log in using one of these methods to post your comment:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s