– Vår erfaring er at det er vanskelig å nå gjennom hos toppledelsen og at de ofte dytter ikt-folkene foran seg. Det resulterer i at både kompetansen og oppmerksomheten rundt sikkerhet er for lav på øverste ledernivå, sier Renate Thoreid, som leder faggruppen Informasjonssikkerhet i Dataforeningen.

Hun mener det er på høy tid at flere toppledere setter datasikkerhet på agendaen.

– Det er skremmende når så mange slumser med sikkerheten og ikke er i stand til å verne om egne verdier. Det er jo heller ingen som ønsker et kundeforhold til en virksomhet man ikke føler seg trygg på, sier Thoreid.

Datasikkerhet og risikoanalyse er blant temaene foreningen har satt på planen i høst. I november arrangeres også miniseminaret «Cybersikkerhet på styrerommet», spisset mot nettopp toppledere i norske virksomheter. Et tilsvarende kurs ble arrangert også i fjor, den gang med 70 deltagere.

På seminarene er det lederne selv som deler erfaringer fra egen virksomhet, og Thoreid sier at dette gjør det mer gjenkjennbart og fører til økt forståelse av eget ansvar for cybersikkerhet.

– Når lederne er ærlige om kostnader ved å feile, bidrar det til mer oppmerksomhet og det gjør tilhørerne mer modne til å sette cybersikkerhet på agendaen på egne ledermøter.

Thoreid sier fjorårets deltagere satt igjen med mer kompetanse om hvordan de kunne ivareta økonomiske og ideelle verdier, men også om viktigheten av å ivareta bedriftens omdømme.

Leter etter mikrofoner

Bjørn Watne, sikkerhetssjef i Storebrand, sier at de anser cybersikkerhet som en av deres største trusler, og at dette får stadig mer oppmerksomhet, også på konsernledernivå.

– Vi utvikler sikkerhetstiltakene i konsernet kontinuerlig, men har allerede iverksatt en rekke tiltak for å hindre at sensitive finans- og helseopplysninger kommer på avveier.

Storebrand har blant annet verktøy for å spore og slette ansattes mobiler for innhold dersom de kommer på avveier, og når ansatte skal ha epost på mobilen, gjøres dette kun gjennom en egen løsning som plasserer alle virksomhetsdata på et eget, kryptert område i telefonen.

– Vi sjekker også styrerommet for mikrofoner, alle bærbare pc-er og harddisker er kryptert, og alt arbeid utenfor kontoret krever pålogging med tofaktorautentisering, forklarer Bjørn Watne.

Bjørn Watne, sikkerhetssjef i Storebrand, sier ledelsen i selskapet anser cyberrisko som en av deres største forretningsrisikoer. Et tiltak er for eksempel å sjekke møterommet for mikrofoner før det deles sensitiv informasjon.
Bjørn Watne, sikkerhetssjef i Storebrand, sier ledelsen i selskapet anser cyberrisko som en av deres største forretningsrisikoer. Et tiltak er for eksempel å sjekke møterommet for mikrofoner før det deles sensitiv informasjon. (Foto: Kjersti Binh Hegna)

«Ledelsen mangler kompetanse»

Bente Hoff, fungerende avdelingsdirektør for cybersikkerhet i Nasjonal sikkerhetsmyndighet, sier at selv om det gjøres godt arbeid i mange bedrifter, er det generelt for liten kompetanse rundt cybersikkerhet på ledernivå.

– Mange ledere vet ikke helt hva de skal spørre om for å få et riktig risikobilde. Det har vært en kultur for å plassere ansvaret for dette på it-avdelinger, men trusselbildet i det digitale rom ser helt annerledes ut nå enn for få år siden, og det krever mer bevisstgjøring også på ledernivå.

Hun sier at mange ledere opplever at det er vanskelig å tilpasse seg det nye trusselbildet, og at de gjerne tar beslutninger som påvirker sikkerheten i organisasjonen uten at de klar over det.

– Tjenesteutsetting er eksempel på et strategivalg som påvirker sikkerheten.

Hoff sier at også de bedriftene som ikke er spesielt utsatt for målrettede dataangrep må arbeide aktivt med sikkerhet. Dette betyr blant annet å sørge for god sikkerhetskultur og en beredskapsplan for eventuelle datainnbrudd.

– Det finnes flere eksempler på store hendelser som har truffet vilkårlig, som for eksempel løsepengevirus. Slik verden er blitt, er cybersikkerhet noe alle må forholde seg til, sier Bente Hoff i Nasjonal sikkerhetsmyndighet.

«For få som har ting på plass»

I juli i år trådte den nye personopplysningsloven i kraft. Den krever at alle i både offentlig og privat sektor skal ha oversikt over hvilken informasjon de har om folk. Ifølge Bjørn Erik Thon, direktør i Datatilsynet, er det svært variabelt hvordan norske bedrifter har implementert den nye personopplysningsloven.

– Hovedinntrykket mitt er at altfor mange ikke har ting på plass. Men vi ser at regelverket følges best i de virksomhetene hvor den øverste ledelsen har uttalt at dette er viktig.

Derfor er han opptatt av å forankre ansvaret for datasikkerhet der det hører hjemme – på toppledernivå.

– Virksomhetene med størst risiko må selvsagt gjøre flere tiltak, men alle selskaper som har ansatte er pliktige til å ha oversikt over hva slags data de har liggende. Det er også et krav om at man skal ha en plan for hvor lenge man skal beholde kundeinformasjon, sier Thon i Datatilsynet.

Alarmerende om sikkerheten

Nicolay Moulin, VP Digital Governance & Infrastructure i Evry sier at det stjeles sensitiv informasjon fra norske bedrifters datanettverk hver eneste dag.

– De mest skadelige angrepene kan være så avanserte at bedriftene ikke legger merke til at noe er galt før skadeomfanget har vokst seg stort og kostbart.

Ifølge en undersøkelse Opinion utførte for Evry i 2015, kom det frem at åtte av ti bedrifter ikke hadde praksis for å kontrollere styrets digitale sikkerhet. Moulin tror ikke at situasjonen er blitt særlig bedre.

– Vår vurdering er at situasjonen er omtrent den samme i dag, og den største feilen norske virksomheter gjør, er å ikke iverksette sikkerhetstiltak fordi de frykter at kostnaden knyttet til implementeringen er for stor.

Men det gjelder å ikke spare seg til fant.

– Dersom man blir utsatt for industrispionasje og for produktinformasjon, kundedata, unik intellektuell kapital eller annen sensitiv informasjon, kan det misbrukes og føre til store tap for norske virksomheter, sier Moulin i Evry.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.

– Dette er noe du ikke forventer av en bil som koster 1,5 millioner kroner
Test av supersuven Alfa Romeo Stelvio Quadrifoglio
02:19 Min
Publisert: