Seks spørsmål om cybersikkerhet som alle ledere bør stille

­I slutten av juni sørget et større dataangrep for at en rekke norske nettsider fikk store problemer. Bak sto pro-russiske hackere som hadde varslet angrepet på forhånd. Temaet datasikkerhet ble dermed atter en gang aktualisert.

«Du kan aldri være sikker på når din bedrift er neste offer», advarer Maria Bartnes og Elisabet Haugsbø i et felles blogginnlegg. Bartnes er forskningssjef i SINTEF Digital og har en doktorgrad i cybersikkerhet.

• Les også: 8 av 10 SMB-foretak offer i løsepenger-angrep

Haugsbø er visepresident i Tekna head og data i Oceanhub og har en fortid som etisk hacker. Tekna er en arbeidstakerorganisasjon med medlemmer som har mastergrad innen teknologi, realfag eller naturvitenskap.

De to minner om at det er du, som styremedlem eller leder av en virksomhet, som sitter med det øverste ansvaret for konsekvensene av et cyberangrep. Da er det viktig at du har planlagt forebyggende tiltak i god tid før et eventuelt angrep.

De gode spørsmålene

Det kan derfor være viktig at du stiller de «gode spørsmålene» slik Bartnes og Haugsbø uttrykker det. At det stilles fornuftige krav, og at det formuleres tydelige forventninger.

Men hvilke spørsmål bør du stille? Og, tør du å stille de såkalte «dumme spørsmålene»? Det dummeste er nemlig å la være, understreker Maria Bartnes og Elisabet Haugsbø.

• Les også: Verdt å vite om hacking og cybersikkerhet

Her er deres seks spørsmål og svar – for å unngå at bedriften din sitter maktesløs hvis den skulle bli utsatt for et hackerangrep:

1. Hvilke er de topp fem viktigste systemene eller tjenestene våre?

Når bedriften din rammes av et angrep, må dere vite hvilke tjenester og funksjoner som er mest kritisk å holde i gang, eller som er avgjørende å få i gang igjen etter opprydding. Dette hjelper dere med å gjøre ting i en fornuftig rekkefølge når det koker som verst. Er dere helt avhengige av enkelte systemer for å holde butikken i gang? Da bør disse systemene beskyttes særdeles godt.

2. Hvilke leverandører er vi aller mest avhengig av?

De fleste bedrifter har avtaler med en rekke leverandører av ulike tjenester. De som kan hjelpe deg med de aller viktigste tjenestene dine i en krisesituasjon, må du kjenne såpass godt at du vet hva slags hjelp du kan få. Gjennomfør øvelser jevnlig, iallfall diskusjonsøvelser, slik at dere har snakket gjennom og trent på hvem som gjør hva og i hvilken rekkefølge.

Husk at angrep eller situasjoner gjerne oppstår i helger eller ferier. Sørg også for å ta dette med i risikovurderingene så vel som øvelsene.

3. Hva gjør vi hvis en av våre leverandører angripes?

Ta med i risikovurderingen at cyberangrep kan ramme hvem som helst, også dine leverandører. Enten fordi de leverer til noen andre som er attraktive angrepsmål, eller fordi de selv er et angrepsmål, eller fordi de leverer til din bedrift. Et angrep på leverandøren kan være noe som er på vei til din bedrift.

Avtal med leverandøren hvem som skal gjøre hva hvis de blir et offer for et cyberangrep.

4. Hvem tar beslutninger om at noe skal stenges ned?

I en krisesituasjon er det ikke tid til å diskutere mye fram og tilbake. Avklar allerede nå hva leverandørene dine skal ha lov til å gjøre uten å avklare med dere. Hva kan IT-sjefen eller andre i tilsvarende roller hos dere beslutte? Hva kan beredskapsleder beslutte, og hvilke avklaringer må du ta som toppleder?

Disse avklaringene kan spare dere både mye tid og penger.

5. Hva gjør vi hvis vi ikke har gjort noe ennå?

Dere bør begynne med å få en oversikt over hva dere har av systemer og hvilke som er mest kritiske for virksomheten deres. Husk å vurdere avhengigheter mellom ulike systemer. Det finnes mange rammeverk tilgjengelig for å hjelpe med å strukturere arbeidet. De fleste rammeverk inneholder den samme informasjonen. Så her gjelder det å plukke det som passer dere best.

Jobb systematisk over tid. Sikkerhetsarbeid er en kontinuerlig prosess.

6. Hva gjør våre medarbeidere dersom de gjør noe dumt eller ser noe rart?

Å bygge en kultur for åpenhet er viktig for å kunne fange opp og varsle om hendelser tidlig i forløpet. Medarbeidere må oppleve at det er lav terskel for å si ifra om at de klikket på en lenke de ikke burde, eller ikke forsto at den som ringte var ute etter sensitiv informasjon - uten å bli gjort til syndebukk.

Hvis mange gjør det de kan for å legge lokk på små feil, kan konsekvensene bli mye mer alvorlig enn nødvendig. Ledere må derfor gå foran med et godt eksempel. Åpenhet må derfor framsnakkes og belønnes, mener de to.

Må tas på alvor

Bartnes og Haugsbø advarer bedriftsledere mot å ta for lett på risikoen. For faktum er at også små virksomheter utsettes for hackerangrep.

«Selv m du mener at du ikke har noe å skjule, eller verdier å miste, så kan du være akkurat den som hackerne bruker for å angripe noen andre», forklarer de to i blogginnlegget.

Datasikkerhet prioriteres ofte ned i budsjettet, men kostnaden i kjølvannet av et angrep kan bli høy, sammenlignet med den lille investeringen som vil gjøre bedriften tryggere.

«Unngå derfor at akkurat din bedrift er det mest sårbare leddet i kjeden», oppfordrer Maria Bartnes og Elisabet Haugsbø.

Utvikle kultur

Det aller viktigste du bør gjøre som leder, er å utvikle en kultur hvor det er trygt og greit å stille såkalte «dumme» spørsmål, understreker Maria Bartnes og Elisabet Haugsbø.

Samtidig bør ansatte være trygge på at de kan fortelle om det hvis de har vært litt uheldig og gjort noe som en ikke burde ha gjort, som for eksempel klikket på en lenke i en epost som en etterpå forsto at kanskje var svindel.

«Det finnes ikke dumme spørsmål. Det kan være akkurat ditt spørsmål som gjør at det neste cyberangrepet ikke skjer», poengterer de to cyber-ekspertene.

­