Norske virksomheter trenger flere ledere og medarbeidere som forstår sin egen rolle og betydning for å beskytte virksomhetenes verdier og interesser, skriver Roar Thon. Illustrasjonsfoto: iStock Photos
Synspunkt | Roar Thon: Ledere og ansatte er IKKE virksomhetens største sikkerhetstrussel
Roar Thon er fagdirektør ved Nasjonal sikkerhetsmyndighet (NSM).
SYNSPUNKT: Mye må gjøres for å forbedre den digitale sikkerheten i norske virksomheter. Vi blir ikke automatisk sikrere av å diskutere ord og begreper. Men likevel er det noen ord som det kan være viktig å ha et presist forhold til.
Spesielt om ord skal følges opp av handling. Noe som er svært fornuftig når det kommer til sikkerhet.
De siste årene er det flere fag- og nyhetsmedier som har hatt overskrifter som «Ledelsen er virksomheten største cybersikkerhetstrussel» og «De ansatte er virksomhetens største sikkerhetstrussel». Artiklene beskriver som oftest hvor utsatte ansatte er for å bli lurt når de åpner en e-post med vedlegg, eller at ledelsen ikke forstår eller prioriterer behovet for digital sikkerhet.
Risiko eller trussel?
Når også sikkerhetsselskaper og konsulenthus kommer med den samme tabloide påstanden er det grunn til å komme med en sikkerhetsfaglig bekymring.
Norske virksomheter må forstå forskjellen på hva som er en risiko og hva som er en trussel. En slik forståelse er viktig for tiltakene vi iverksetter for å redusere risiko og hvordan vi forstår og håndterer trusler.
For om vi bokstavelig skal tolke overskriftene og påstandene om at ledelsen og de ansatte er virksomhetens største sikkerhetstrussel. Hvorfor tillates de da å ha digital og fysisk tilgang til virksomhetens verdier?
Om en medarbeider på IT-avdelingen truer med å ødelegge virksomhetens IT-systemer, så vil de fleste være enige i at det er fornuftig å raskt sørge for at vedkommende ikke lenger har fysisk eller digital tilgang til å utføre den fremsatte trusselen.
For en trussel defineres som ønskede, villede handlinger gjennomført av noen som bevisst forsøker å skape frykt eller skade.
Trusselaktører
Ledere og medarbeidere som går på jobb hver dag uten intensjon om å skade eller ødelegge for sin arbeidsgiver er ingen trussel.
En medarbeider som rutinemessig åpner en e-post og trykker på en lenke, som starter et digitalt angrep mot arbeidsgiver, er ikke en trussel. Det er avsenderen av e-posten som er en trussel. Det er derfor vi på fagspråket kaller avsenderen for trusselaktører.
En ledelse som ignorerer sikkerhetsarbeidet i virksomheten, er ikke en trussel. Men ledergruppens handlinger, eller mangel på handlinger, utgjør en risiko som gjør det enklere for de virkelige trusselaktørene å lykkes.
Tabloide påstand mot ledere
Selvsagt kan ledere og medarbeidere bli en individuell trussel ved for eksempel endring av lojalitet. Men på generelt grunnlag å påstå at samtlige ledere og medarbeidere er en sikkerhetstrussel, er i beste fall clickbait.
I verste fall er det manglende kunnskap om sikkerhetsfaget og ikke minst en manglende evne til å vurdere viktige faktorer i alt sikkerhetsarbeid; sårbarheter, trusler og risiko.
Som mennesker har vi alle en rekke sårbarheter som kan utnyttes av trusselaktørene for å nå de verdiene vi forsøker å beskytte. Det er muligheten for at sårbarhetene utnyttes av trusselaktører vi bruker til å vurdere risiko.
Ansatte må beskyttes
At ledere og medarbeidere med sine menneskelige sårbarheter generelt sett utgjør en betydelig sikkerhetsrisiko er det få som er uenige i. Samtidig utgjør ledere og medarbeidere virksomhetens viktigste ressurs. En ressurs som må beskyttes. Beskyttes mot at de utnyttes av trusselaktørene, og noen ganger beskyttes mot seg selv og sine uaktsomme handlinger.
De fleste vellykkede cyberangrep mot norske virksomheter skjer ved å utnytte menneskelige og teknologiske sårbarheter. Risikoen for at det fortsetter, er veldig høy.
Må forstå sin egen rolle
Norske virksomheter trenger flere ledere og medarbeidere som forstår sin egen rolle og betydning for å beskytte virksomhetenes verdier og interesser. For å få til det, må de gis mer kunnskap og kompetanse. Å beskylde dem for å være en sikkerhetstrussel, er et dårlig utgangspunkt for å forbedre den digitale sikkerhet.
Det er trusler og trusselaktører nok til oss alle. Så vi trenger ikke feilaktig å inkludere samtlige ledere og medarbeider i norske virksomheter i det regnestykket.
Situasjonen er alvorlig nok som den er.
