Sikkerhet er altfor alvorlig til å overlate til sikkerhetsbransjen alene, fastslår direktør for Internett og nye medier Torgeir Waterhouse i IKT-Norge.

Torgeir Waterhouse skal innlede på sikkerhetskonferansen Paranoia som er i Oslo Spektrum, 10.-11. mai 2017. Du kan lese mer om konferansen her.

Årsaken til at sikkerhet er for alvorlig til å overlate til sikkerhetsbransjen alene er ifølge Waterhouse, at bransjen selv ikke evner å kommunisere budskapet godt nok.

– Man gjør det gjerne til noe eksklusivt og unikt, noe man indirekte sier ikke alle skal bry seg med. Jeg er ute etter at vi i likhet med bevissthet rundt for eksempel trafikksikkerhet i befolkningen, også må komme dit når det gjelder it-sikkerhet, sier han.

Under Paranoia 2017 skal Torgeir Waterhouse blant annet ta opp utfordringer rundt en av de største sikkerhetsutfordringene vi har: Det at folk ikke er villige til å bære den prisen sikkerheten har.

– Det går på prioritering av tid, bruk av penger og innretning av systemer, og det må vi gjøre noe med, fastslår han.

Må bruke penger
Svaret på hvordan vi skal få til det, er sammensatt. Budskapet til Waterhouse er at det omfatter alt fra innhold i forskjellige utdanninger til ansvarliggjøring.

– Norge oppfattes som gode på HMS. Du vet at stoler skal ha fire ben for å stå og at stoler på hjul må ha minst fem hjul. Men som tilfeldig ansatt vet du ikke det minste om hva du gjør når det gjelder IT-sikkerhet. Vi trenger en oppvåking og alminneliggjøring av IT-sikkerhet, sier Waterhouse.

Han sammenligner det med æraen og oppvåkingen til bilindustrien, der man forsto at å installere bilbelte ikke var et tegn på at bilen i seg selv var dårlig.

Hva skal til for at S-en i HMS også handler om it-sikkerhet?

– Det er en kombinasjon av tre ting. For det første må de forskjellige relevante beslutningstakere ta dette på alvor. Man kommer ikke videre hvis man ikke har den nødvendige kombinasjonen av pålegg og oppfølging derfra.

– Og så må man bruke penger! Det er så enkelt at vi som ansatte skal gå på kurs eller organisasjonene kjøper sikkerhetsløsninger hvor dette er en del av pakka. Strukturert, systematisk oppfølging er viktig.

– Så har vi alle rollene. Styrer og eiere må ikke bare være opptatt av om man har orden på miljøutslipp, arbeidskontrakter og avtaler med underleverandører – men også at man har kontroll på it-sikkerheten.

Generasjonsskifte hjelper lite
Waterhouse har ikke stor tro på at generasjonsskifter vil påvirke situasjonen nevneverdig.

– Jeg tror nok det vil være en høyere bevissthet om at det finnes risiko, men jeg tror ikke nødvendigvis den vil omsettes i en høyere bevissthet om hva det betyr du og jeg skal gjøre.

Så det vil ikke gi oss noe gratis?

– Vi får nok noe gratis, men det er så lite at det ikke hjelper oss så mye. Fokuset på «digital natives» er egentlig bare tull. Det er enorm forskjell på raskt å kunne koble opp en X-box og flatskjerm, og det å forstå det digitale samfunnet.

Står i spagat

Waterhouse tror det kriminelle fokuset på å bruke nettet og teknologi som arena for vinningskriminalitet vil øke, i kombinasjon med at justissektoren på vegne av samfunnet kommer til å bli mer aktive.

– Diskusjonen vi har nå om digitalt grenseforsvar er en god indikator på noe av det vi kommer til å se mer av, der man i praksis må sette personvern og informasjonsintegritet opp mot ideen om at sikkerhet oppnås med total overvåking.

Hvor står du i den debatten?

– I en vanvittig spagat! Vi har noen ekstremt viktige verdier vi skal ivareta: På den ene siden skal vi beskytte samfunnet mot denne kriminaliteten. På den andre siden skal vi ivareta personvernet og bedriftenes data – og vi skal lykkes med begge deler. Akkurat nå er vi i en fase hvor vi famler litt etter å finne måter å gjøre det på, hvor den ene gode intensjonen ikke slår i hjel de andre gode intensjonene, fastslår Waterhouse.

Mer riktig åpenhet
Tror du økt åpenhet om angrep har en positiv effekt på den generelle sikkerhetskulturen på sikt?

– Vi må ha riktig åpenhet, sammenlignet med andre ting i samfunnet for øvrig. Det er mange ting Avinor og Statens vegvesen ikke forteller oss om nestenulykker og ulykker for det vil ikke hjelpe oss. Det blir ikke bedre flysikkerhet av at vi skremmes fra å fly. Det vi trenger er en kombinasjon av mer generell åpenhet og ganske mye mer rettet åpenhet, ikke nødvendigvis bare for noen få, sier Waterhouse.

Han legger til at det er forskjell på å la informasjon være tilgjengelig og det å tvangspublisere den.

– Det er en vanskelig balansegang, men situasjonen vi har nå med så mye hemmelighold rundt sikkerhetshendelser og trusler ikke er bra. Sikkerhetsmyndighetene vet mye, og de er klare på at de forventer at bransjen og kundene tar ansvar. Men samtidig sier de at de ikke kan si noe om hendelsene fordi det er så hemmelig. Det er, for å si det forsiktig, et problem!

– Det er liten tvil om at når myndighetene vil at noe skal hemmeligholdes, er det gode grunner til det. Men det betyr ikke nødvendigvis at det er riktig å gjøre det. Skal du beskytte deg mot noe må du vite om det. Skal du rydde opp i noe må du vite hvor det er, påpeker han.

Waterhouse ønsker å alminneliggjøre it-sikkerhet og skape balanse.

– En balanse der vi håndterer det folk ikke kan gjøre noe med, på vegne av dem. Ikke i det skjulte, men uten å dytte det opp i ansiktet på dem. Samtidig som vi lykkes med å løfte tematikken på en sober måte, slik at vi får en bedre situasjon totalt sett.

Intervjuet er skrevet av Morten Kristiansen i LOOP.