Hva hjelper det med planer mot dataangrep?

27/04/2021

 

 

Vi snakker daglig med mange bedrifter om stort og smått. Samtalene kan omhandle alt fra nyansettelser til problemer med en skriver.

Vår erfaring er at det er like mange ulike bedrifter som det er bedrifter. Blant disse bedriftene er det likevel en del fellestrekk. I SMB-markedet opplever vi alt for ofte at manglende fokus på IT-strategi er en fellesnevner. Denne observasjonen må likevel tåle en viss modifikasjon. Det er kanskje mer presist og korrekt å si at mange har en eller annen form for IT-strategi. Alt for ofte er denne tuftet på prinsippene om «økt besparelse» eller «å komme i skyen».

Det er ikke til å stikke under en stol at IT-sikkerhet er på dagsordenen. Mange har blitt oppmerksomme på florerende nyheter om «Cyberkriminalitet er i vill vekst», «2021 kommer til å bli hackernes år» og «Én ting frykter norske toppledere mer enn pandemien: It-angrep». Mediene har klart bidratt til et økende fokus på IT-sikkerhet. Selv om bedriftene bekymrer seg for IT-angrep, er min påstand at årvåkenheten ofte er på et overfladisk nivå. Det er en kjensgjerning at de ansvarlige i bedriften «forutsetter at IT-leverandøren» har dette under kontroll.

Dette er selvfølgelig en form for IT-strategi, men er strategien tuftet på de riktige fundamentene? Er det riktig at ansvaret for bedriftens IT-sikkerhet kan delegeres bort? IT-leverandøren har sitt søkelys på sikkerhet og tenker på det store bildet i kundemassen, ikke nødvendigvis hva hver enkelt kunde måtte ha behov for.

 

 

 

Vil en plan tuftet på kun økonomisk besparelse og en overgang til en eller annen sky, være en plan som blir evaluert og husket som en god plan etter et cyberangrep?

Planlegging er nøkkelen

Skal det totale IT-bildet i en bedrift kun handle om å komme seg i en eller annen skyløsning og være mest mulig kostnadseffektiv?  Nei, IT-sikkerhet er langt mer komplekst enn dette. Er det noe vi har erfart det siste året, så er det at IT er kommet for å bli. En fremtid med enda mer IT vil kreve et større eierskap til bedriftens IT og IT-strategi. Skal en IT-strategi også inneholde kriseplaner? Ja, selvfølgelig.

Mange er kjent med planverk. De finnes i mange former og noen har et nærmere forhold til dette enn andre. Noen planer jobbes med kontinuerlig mens andre samler støv i enten analoge eller digitale arkiv.

«Planlegging er alt – planen er ingenting» er ett av kapiteltitlene i boken «Jegerånden» av forsvarssjef Eirik Kristoffersen. Som forsvarssjef er han godt kjent med planer. Alle som har vært innom forsvaret kjenner til at det finnes en plan og prosedyre for «alt». Slik jeg leser boken, kan man oppsummere hans syn på planlegging på følgende måte; har du planer for hvordan du skal agere i en gitt situasjon, så vil du reagere raskere med en plan som du har øvd på. Det vil være endringer underveis og planene må endres, men med planer så har du et forsprang.

Dette er et syn jeg støtter. Ryggmargsrefleks kommer som følge av erfaring. Skal vi ha en form for ryggmargrefleks ved et cyberangrep må vi ha øvd på dette først. Ellers risikerer vi å bli handlingslammet.

 

 

Hva har planer med IT-strategi å gjøre?

Alt – mener vi. Vi mener at gode planer og rutiner for IT-angrep er viktige verktøy i kampen mot cyberangrep. Kristoffersen trekker frem sine erfaringer som spesialsoldat i sin bok. Dette er en virkelighet og erfaringer som de færreste kan relatere til, men noen paralleller er det likevel.

Som i krig, vet vi ikke når et cyberangrep kommer. Vi vet ikke nødvendigvis hvem som angriper eller hvordan angrepet vil være. På grunn av dette vil det være helt avgjørende at bedriften har gode planer - også for det uforutsette. Definerte roller og ansvar vil lette arbeidet med skadebegrensning i og etter et angrep. Har man simulert et dataangrep og øvd jevnlig for å sikre at planverket er relevant, er mye gjort. Har ledelsen også sørget for at det er gjort en god kartlegging av IT-systemene internt med tilhørende risikovurderinger, så har bedriften et godt bilde over hva som er viktig å redde og hva som kan vente i en krisesituasjon.

 

Har du planer for hvordan du skal agere i en gitt situasjon, så vil du reagere raskere med en plan som du har øvd på

 

 

Ledelsens ansvar

Jeg sammenligner ikke krig og et cyberangrep bokstavelig forstand, men som et billedlig eksempel. Det vi ser på er om vi har noe å lære av de som er forberedt på det verste. Når angrepet på bedriften har skjedd, har krisen inntruffet - både for bedriften, de ansatte og eierne. Situasjonen vil være overraskende, uoversiktlig, kaotisk og uforutsigbar.

Innledningsvis ble det retorisk (og kanskje litt vel generaliserende) stilt spørsmål om It-strategien i de tusen norske bedrifter er tuftet på de riktige fundamentene. Tittelen stiller spørsmålet «Hva hjelper det med planer mot dataangrep?». Svaret er like enkelt som det er komplisert.

Som lest over så mener vi at dette er et viktig verktøy i sikkerhetsstrategien. En IT-strategi og planverk er og blir et ansvar for ledelsen. Mitt inntrykk er at mange er bevist på risikoen, men har ikke kapasitet til å redusere den. Til syvende og sist faller ansvaret til lederne. Det er disse som skal sørge for at det er satt av både tid og ressurser til at strategien og planverket er godt nok til å tåle dagens lys. Vil en plan tuftet på kun økonomisk besparelse og en overgang til en eller annen sky, være en plan som blir evaluert og husket som en god plan etter et cyberangrep?

For å kunne være mer bevisst på dette kan man stille seg noen enkle spørsmål.

  1. Er det gjennomført en kartlegging over viktige eiendeler innen IT?
  2. Er det gjennomført en prioritering av disse eiendelene, og gjennomført en risikovurdering med tilhørende sikringstiltak?
  3. Har din bedrift definerte roller og et planverk for eventuelle cyber-angrep?

Hvis din bedrifts strategi ikke kan svare ja på et eller flere av spørsmålene over anbefaler vi at det tas grep.

 

Hvordan skal min bedrift få dette til?

For mange bedrifter er realiteten den at man ikke har nok menneskelige ressurser internt til å lage et omfattende planverk med tilhørende kartlegging, risikovurdering og sikringstiltak. Søker man råd hos de store og kjente byråene, er det heller ikke sikkert at oppdraget er stort nok til at de vil ta det.

Start med spørsmålene over, kontakt gjerne oss i Diode om du trenger hjelp. Vi sitter med kompetanse og ressurser til å løse dette. SMB-markedet er vårt hjemmemarked. Hos oss vil din bedrift få tilgang på de samme fordelene som de store.

Din IT-leverandør, uansett om den er intern eller ekstern, vil være en viktig brikke i både planleggingen og reaksjonen ved et angrep. For å sikre god samhandling når krisen inntreffer er det viktig at planene er klare og at alle vet hva de skal ha som utgangsposisjon.

Alt som kommer etter, det må tilpasses virkeligheten.

 

Kontakt meg