For kort tid siden gikk justisminister Mæland ut og advarte mot for dårlig sikkerhet på hjemmekontor. Det er det grunn til. Men, det er ikke utstyret som er den største utfordringen. Det er brukerne.

Kai Roer, daglig leder i CLTRe.

Med korona-pandemien ble virksomheters sikkerhetskultur satt på prøve. Var utforming av regelverk, opplæring og trening av medarbeidere godt nok? Det var spørsmålet mange ledere stilte seg selv og IT-avdelingen. I CLTRe har vi bygget det største fagmiljøet innen sikkerhetskultur, og bruker denne til å forske på sikkerhetskultur. Vi har med vår forskning vist at det er store forskjeller mellom bransjer og innad i selskaper. Norske virksomheter manger en god nok forståelse av hvor viktig sikkerhetskultur er i deres risikohåndtering. Derfor tok mange en unødvendig høy risiko i mars, uten at de selv var klar over det.

Å bygge en sikkerhetskultur handler om kontinuerlig og målrettet arbeid over tid. Det har mange virksomheter unnlat. De arbeider med hardware og software, som er fornuftig, men de prioriterer ikke opplæring, rutiner og systemer, samt kommunikasjon og oppfølging av medarbeiderne høyt nok. Det påvirker en organisasjons sikkerhet betydelig.

Dette skjer ikke bare i Norge. Det skjer over hele verden. Rett før epidemien stengte ned i store deler av verden, gjennomførte vi i CLTRe en global måling med mer enn 120 000 respondenter. Resultatene var nedslående. Flere enn ni av ti virksomheter har det vi definerer som moderat sikkerhetskultur.

Vi vet at kriminell IT-aktivitet rammer selskaper hver dag. Det påfører de som angripes både direkte kostnader, og som oftest betydelig ressursbruk for å sikre de digitale verdiene som er i spill når det skjer. Da er det et tankekors at mange virksomheter ikke arbeider mer med å bedre sin sikkerhetskultur.

Dagens virksomheter vurderer seg selv på en rekke parametere på andre fagfelt. Derfor er det et paradoks at mange ennå ikke måler sikkerhetskulturen. For å få satt i gang endringsarbeid, må virksomheten vite hvor de står. Her er noen spørsmål som er det absolutte minstekravet til hvordan virksomheten bør vurdere sikkerhetskulturen sin:

  • Hva er styrkene og hva er svakhetene ved vår sikkerhetskultur?
  • Hvordan har tiltakene vi har gjort fungert?
  • Hvordan gjør vi det i forhold til resten av sektoren vår eller i forhold til andre bransjer?

Et av funnene vi gjorde var at de som er best, gjør mye riktig på alle områder, mens de som scorer dårligst, er gjennomgående dårlig på alt. Mest urovekkende er det at flere av sektorene som leverer samfunnskritiske tjenester eller produkter, som energibransjen og offentlige virksomheter, gjør det dårlig. De som forvalter sensitiv data, som utdanning, ligger også langt nede på listen. Likevel har de en fordel fremfor de som ikke måler – de vet hva de må gjøre fremover.

Med en rekke medarbeidere som mer eller mindre er overlatt til seg selv i uoverskuelig fremtid, er det ikke nok at IT-avdelingen har kontinuerlig overvåking, forbedrer systemene og sikrer systemene stadig bedre. IT-avdelingen og ledelsen må sammen gå gjennom systemer, rutiner, opplæring og trening av medarbeiderne. Ikke når de en gang er tilbake på kontoret, men nå.

De må måle kulturen og de må teste medarbeiderne. Vårt morselskap, sikkerhetskonsernet KnowBe4, bistår virksomheter med å teste atferden til medarbeidere. Vår erfaring er at det kun er gjennom kontinuerlig arbeid over tid at også bakdørene forblir stengt i en virksomhet. Bevisste medarbeidere i en virksomhet med en god sikkerhetskultur er den beste sikringen mot de kriminelle, også etter at sikkerhetsmåneden avsluttes.

I forbindelse med Sikkerhetsmåneden 2020 deler medlem CLTRe sine tanker og synspunkter rundt hvordan å jobbe med sikkerhet. Kommentaren er skrevet av Kai Roer, daglig leder i CLTRe.