IT-sikkerhet

Dårlig IT-sikkerhet fører til dårlig forretning

De gode nyhetene: De nordiske landene er blant verdens beste på å ta vare på digitaliseringens muligheter. De dårlige: Vi ligger langt etter andre deler av verden når det gjelder å håndtere risikoen.

Begrepet information technology, eller IT, ble opprinnelig først brukt i en artikkel i tidsskriftet Harvard Business Review i 1958. Under tittelen «Management in the 1980’s» fortalte forskerne Harold J. Leavitt og Thomas L. Whisler storøyd om et fremvoksende teknologifelt. Et felt som etter deres mening hadde potensial for å bli «revolusjonerende».

Det er interessant lesning. Ikke bare fordi artikkelen er sjarmerende naiv (forfatterne forestilte seg for eksempel at bedriftsledelser skulle ta beslutninger med hjelp av dataspill), men også fordi den med sylskarp presisjon spår hele den digitale reisen verden har gått gjennom de siste tiårene.

Men den som i dag leser den 63 år gamle visjonen får også øye på noe urovekkende. Nemlig at vår kollektive forståelse for IT-området ikke ser ut til å ha blitt særlig utviklet siden den gang. Vi er fortsatt besatt av teknologiens umiddelbare forretningsnytte.

44%

mener at man investerer for lite i IT-sikkerhet.

- Ifølge undersøkelsene til analyseselskapet Radar.

Bra digitalisering – dårlig cybersikkerhet

Vårt syn på IT og digitaliseringsprosjektet som en transformativ og nesten magisk kraft, har selvsagt skapt enorme verdier. Den har banet vei for en utvikling som i dag har plassert de nordiske landene i en digital spydspissposisjon.

Ta Sverige som eksempel: Ifølge Portulans Institutes årlige undersøkelse Network Readiness Index er landet best i verden på å ta vare på digitaliseringens muligheter. Ifølge analysebyrået Radars målinger investerte svenske bedrifter 207 milliarder kroner i IT i fjor. Samtidig viste deres undersøkelser at investeringer i digitalisering utgjør den klart viktigste IT-strategiske prioriteringen i dag.

Men det holder å kaste et blikk på en annen toppliste for å innse at den raske utviklingen har sin pris. I den internasjonale teleunionen Global Cyber Security Index rangeres de landene som har kommet lengst med sin cybersikkerhet. Der havner Sverige på 26. plass. Samtidig viser Radars spørreundersøkelser at 44 prosent av de svenske beslutningstakerne innen IT mener at det investeres for lite på området.

Portrett av Dennis Karlsson, Group CISO, Dustin.

Vi ser på cybersikkerhet og digital utvikling som to ting som står i kontrast til hverandre.

Dennie Karlsson, Group CISO hos Dustin.

Det blir dyrt med dårlig IT-sikkerhet

Et liknende gap mellom digital utvikling og etterslep på cybersikkerhet vises i hele Norden. Vi har rett og slett satset stort på et initiativ som har ført til kortsiktig, digital gevinst – og ikke like mye på langsiktig digital sikkerhet.

Nå risikerer gapet å lede oss mot en negativ utvikling.
– Dette skillet utsetter oss i dag for større fare. Vi må ta innover oss den økte sårbarheten digitaliseringen medfører. Ellers kommer kostnadene til slutt å overstige nytten, uansett hvor fantastiske digitale funksjoner vi lager, sier Dennie Karlsson, Group CISO (Chief Information Security Officer) i Dustin.

Han mener at dagens tankesett fører til digitale funksjoner som fungerer svært bra akkurat nå. Men i takt med at vi flytter stadig større verdier til det digitale, blir samfunnet vårt også mer sårbare.

– Jeg tror grunnen til at vi befinner oss i denne situasjonen handler om at vi ikke ser på cybersikkerhet og digital utvikling som like selvsagte deler av digitaliseringen, men som to ting som står i motsetningsforhold. Det perspektivet må vi endre.

Portrett av Freddie Rinderud, Senior advisor, Radar.

Jo mer avhengig vi blir av digitale verktøy for at samfunnet skal fungere, jo større verdier står på spill.

Freddie Rinderud, seniorrådgiver i Radar.

Vanskelig å sette en pris på sikkerhet

En annen viktig forklaring til at vi er i denne situasjonen, er kostnadene. Det har rett og slett blitt for vanskelig å sette en pris på utviklingen.

– De siste årene har vi sett store cyberangrep mot blant andre Gunnebo, Maersk, Synsam og Coop. Svenske flyplasser har fått flytrafikken stanset fordi systemene «ikke fungerer». Til tross for alle disse tegnene, forstår vi fortsatt ikke alvoret.

– Det er en utbredt manglende evne i samfunnet til å forstå hva det innebærer å ha den akkumulerte digitale risikoen som vi har i dag, og å ikke kunne håndtere den seriøst, sier Freddie Rinderud, seniorrådgiver i analysebyrået Radar.

Han mener situasjonen blir mer problematisk for hver dag som går.
– Diskrepansen mellom trusselaktørenes evne til å angripe oss og vår manglende evne til å beskytte oss blir bare større og større. Jo mer avhengig vi blir av digitale verktøy for at samfunnet skal fungere, jo større verdier står på spil. Det har vi som samfunn ikke forstått helt ennå.

IT-sikkerhet og forretning er to sider av samme sak

Analytikerne i Radar får støtte av andre eksperter. De mener at vår bristende cybersikkerhet bygger på en grunnleggende misforståelse om hva IT er. Mange bedrifter lever fortsatt i den antikvariske forestillingen om at det er en separat disiplin.

– All menneskelig aktivitet forutsetter på en eller annen måte en type IT i dag. Det gjør at den digitale risikoen er like nærværende som alle andre typer risiko, uansett hva du driver med.

– Alle bedrifter forstår hvordan man kvantifiserer økonomisk risiko for å bruke det som underlag når man fatter forretningsstrategiske beslutninger. Det mange fortsatt ikke forstår, er i hvilken grad vi er eksponerte for digital risiko – og hvordan disse påvirker forretningene, sier Mats Hultgren, som leder IT-sikkerhetsselskapet Truesec Cybersecurity Incident Response Team.
– Vi må innse at IT-sikkerhet og forretning i praksis er det samme.

Bedriften og IT-avdelingen snakker forskjellige språk

Mange som har ansvar for IT-sikkerhet har vanskeligheter med å argumentere for investeringer. Det kan være vanskelig å forklare risikoen på en måte virksomheten tar til seg. Det beskriver Radar i sin nye rapport ”Fra IT-sikkerhet til digital forretningsrisiko".

Portrett av Mats Hultgren, Head of Cybersecurity Incident Response Team, Truesec.

Det mange ikke forstår er i hvilken grad vi blir eksponert for digitale risikoer, og hvordan disse påvirker forretningen.

Mats Hultgren, Head of Cybersecurity Incident Response Team hos Truesec.

Virksomhetene beskriver på sin side at de ikke helt forstår hva IT-området forsøker å si.
– Grunnen til at vi havnet i denne situasjonen, er at IT historisk sett har fungert som en egen organisasjon. Fra lederhold har IT blitt sett på som noe unikt og spesielt. Med egne spilleregler. Det er en beskrivelse som IT-området i lang tid har vært ganske komfortable med, kanskje fordi det har fungert bra med egne spilleregler. Det har vi ikke helt sluppet unna ennå, sier Freddie Rinderud og fortsetter:

– Innen IT jobber vi med IT-spesifikke rammeverk som aldri brukes noe sted. Bedriftsledelser håndterer IT som om det er noe separat fra virksomheten. Det er det ikke. For å opprettholde vår ledende stilling – og stenge igjen de voksende hullene i vårt digitale forsvar – trengs nye perspektiver.

– Dagens ledergrupper ser ofte de forventede gevinstene ved digitalisering. Det samme må gjelde for sikkerhet. Vi må gi sikkerhetsområdet verktøy som gjør at man klarer å vise effektene av å investere i cybersikkerhet. Det er veldig få CIOer eller CISOer som kan forklare dette på en tilfredsstillende måte i dag.

Nærbilde av en mobil på den ene halvdelen og en mann med hettegenser hvor du ikke kan se ansiktet, i den andre halvdelen.

Vi må gi sikkerhetsområdet verktøy som gjør det mulig å vise effekten man får av å ikke investere i cybersikkerhet.

Freddie Rinderud, seniorrådgiver i Radar.

Verktøy for å regne på digital forretningsrisiko

Radars rapport lanserer et mulig slikt verktøy. En ny modell for å regne på hva digital forretningsrisiko egentlig koster. Den kombinerer tradisjonelle investeringskalkyler for eksempelvis finansiell risiko med IT-områdets mer tekniske beskrivelser av risiko.

– Vi må bygge en felles forståelse for at sikkerhet og forretning henger sammen, ellers kommer vi aldri til å nå en høyere digital modningsgrad. Sikkerhet må være med på en annen måte når man fatter beslutninger i ledergruppene. Det skal ikke bare være en kontrollfunksjon, men noe som driver forretninger, sier Dennie Karlsson.

Radar håper at modellen skal fungere som et felles språk som lar IT og ledelse kommuniserer ordentlig med hverandre. For det er først når vi forstår digitaliseringens risiko at vi på alvor kan begynne å snakke om å dra nytte av mulighetene.

– Når man i dag kaller inn sin CISO eller CIO (Chief Information Officer) til ledergruppen for å forklare hvilken risiko man må håndtere, får man en virkelighetsbeskrivelse som er basert på IT-rammeverk. Det klarer ikke ledelsen å ta til seg. Derimot forstår de etablerte rammeverk for å håndtere annen type risiko, som finansiell risiko. Det vi gjør med vår modell, er å vise hvordan vi kan ta utgangspunkt i et tradisjonelt rammeverk, men utvikle det slik at det også kan håndtere digital forretningsrisiko, sier Freddie Rinderud.

CISO trenger å tenke forretning

Ansvaret for å bygge bro i dialogen ligger ikke bare hos bedriftsledelsen. Det hviler nøyaktig like tungt, om ikke tyngre, på IT. De må bli bedre på å forklare.

– Mange ser på forretning og sikkerhet som puslespillbiter som ikke passer sammen, men som to «strømmer» der man kan satse på det ene eller det andre. Fremover må vi finne en balanse der man kan bygge opp et digitalt forsvar samtidig som man planlegger for å ta nye markedsandeler. For disse tingene henger sammen.

Vi må finne en balanse der vi kan bygge opp et digital forsvar, samtidig som vi planlegger å ta nye markedsandeler. Det henger tett sammen.

Dennie Karlsson, Group CISO i Dustin.

– Din CISO må i større grad tenke forretning, samtidig som virksomheten må forstå at investeringer i digitale initiativer sannsynligvis koster mer enn de tror, sier Dennie Karlsson i Dustin.

Mellom 20 og 40 millioner kroner. Så mye mener eksperter at den gjennomsnittlige kostnaden er for bedrifter som rammes av et vellykket cyberangrep. Nøyaktig hvor mye et angrep koster, avhenger samtidig av hvem du er og hvilken type virksomhet du har.

– I en snekkerbedrift med fem medarbeidere finnes det ingen digital risiko som koster så mye som 20 millioner kroner. Mens andre, større bedrifter har på sin side ingen digital risiko som koster så lite som 20 millioner kroner, sier Freddie Rinderud.

Hjemmekontor med datamaskin og skjerm.

Digitale risikoer basert på riktige analyser

Vi trenger ikke nye verktøy bare for å unngå kostbare angrep. Verktøyene trengs også for at vi skal bli mer komfortable med å akseptere den eksisterende risikoen. Det fører nemlig til bedre forretninger.

– Mange virksomheter opplever i dag IT-sikkerhet som en bremsekloss for digitale investeringer. Med riktig beslutningsgrunnlag kan vi regne på digital forretningsrisiko og avgjøre om den er verdt å akseptere. Det lar oss i noen tilfeller gjennomføre prosjekter som ellers hadde blitt dømt for risikable. Slik jobber bedrifter allerede med alle andre typer risiko, og det er på høy tid at vi tar oss av digital forretningsrisiko på samme måte.

Bedrifter jobber allerede med alle andre typer risiko på denne måten, og det er på høy tid at vi snakker digital forretningsrisiko på samme måte.

Freddie Rinderud, seniorrådgiver i Radar.

Gjør vi ikke det, spiller det ingen rolle om vi fortsetter å være best i verden på digitalisering. Den akkumulerte forretningsrisikoen kommer til slutt til å bite oss i halen.

– Vi må fortsette å digitalisere raskt. Den typen initiativ er bra. Men vi må ikke gjøre det ukontrollert. Vi skal tørre å ta digital forretningsrisiko, men vi skal gjøre det basert på riktige analyser.

30 desember 2021

Tagger