Stortingets sikkerhetsansvarlige tok ferie i stedet for å tette alvorlige hull. USAs riksrevisjon avdekker alvorlige mangler i sikringen av offentlige etater. Vi rister på hodet – ‘slik er det ikke hos oss’. Really?
Datatilsynet skriver ut bøter, spesialistene rykker ut og slukker brannene – så er historiene glemt til neste gang det skjer noe vi kan ‘oie’ oss over. Det holder ikke. Vi kurerer symptomer og ignorerer det underliggende problemet.
Det er noe fundamentalt som skurrer. Forsvaret drar ikke på ferie når russere (eller andre for den del) står på grensen. De tar ikke ferie i det hele tatt – ikke som gruppe og ikke fra ansvaret. Politiet er det kanskje verre med, men heller ikke de tar ferie når halve Norge skal til påskefjellet eller en potensielt voldelig demonstrasjon er på gang. Det er deres ansvar å holde orden. Og Forsvarets ansvar å forsvare. På samme måte er det sikkerhetsansvarlige/sikkerhetsavdelingens ansvar å ‘holde fortet’ 24/7 – og naturligvis å tette hull. Ikke når det passer kalenderen, men straks og ‘uten unødig opphold’, som en jurist ville sagt. Men hvor er de ansvarlige?
Det som åpenbart skurrer er oppfatningen av ansvaret. Ikke bare for de som skal utføre oppgavene, men ledere – hele veien til toppen. Stortingets administrasjonsleder demonstrerer på eklatant vis problemet. Det er fristende å si ‘har ikke peiling’, men det er for lettvint. Sannheten er ‘ingen interesse og null forståelse’. Ikke særegent for Stortinget eller offentlig sektor, men en utbredt sykdom som vi har vært innom et antall ganger tidligere.
Utenfor selve fagmiljøene er den generelle holdningen til cyber-forsvar og -sikkerhet at ‘dette er digitale utfordringer som IT & co. får fikse’. Så lenge denne holdningen er dominant, vedvarer problemet. Utfordringen forsterkes av sutrende fagorganisasjoner som står på barrikadene for medlemmers rettigheter, og – i overført betydning – slåss for brannfolks rett til å stikke til syden mens byen brenner. Når ferie, lønn og rettigheter som får resten av verden til å undres hvilken planet nordmenn er på, prioriteres høyere enn overlevelse, er utfordringen på et annet plan enn tetting av hull og sikring av data.
Derfor overskriften. Det vi ser er null forståelse – for situasjonen, for utfordringen, for tiltakene og for egne roller. På alle nivåer – fra ‘utførende’ til toppledelse. ‘Utførende’ – de sikkerhetsansvarlige og sikkerhetsledere – forstår som regel den digitale utfordringen, teknologien, tiltakene og risikoen, men ikke betydningen av manglende forståelse oppover og utover. Vi forventer ikke at brukere skal bli eller være cyber-soldater – det skjer aldri (se Sikkerhetsbevisste brukere? Glem det …). Men vi forlanger at ledere viser interesse for å forstå virkeligheten og utfordringen. Også ledere av fagforeninger og interesseorganisasjoner. Og politikere – som villig bevilger enorme summer til det fysiske forsvaret, like ofte av distriktspolitiske årsaker som for å forbedre forsvarsevnen, men viser null interesse for langt mer akutte og sannsynlige trusler.
Igjen er det vi som sitter med fagkunnskapen som må starte ‘revolusjonen’ – profesjonelle miljøer i akademia, handel, industri og ‘spesialist-bransjen’. Vi kan ikke ty til gatene med plakater og paroler, og la sikkerheten seile sin egen sjø – til det er vi for profesjonelle (og ansvarlige). Men vi må åpenbart ty til ganske andre midler enn de vi har benyttet så langt. Sterkere ord, sterkere bilder, klarere eksempler. Tydelige risiko-scenarier, forståelige eksponeringsflater, reelle valgmuligheter og konsekvenser – blottet for fagterminologi og forsøk på å imponere med fagkunnskap.
Akkurat der har vi feilet lenge – ikke bare innen cybersikring og -forsvar, men tekniske disipliner generelt. Ofte vanskelig å innrømme, men vi liker å briljere med fagtermer og forkortelser, og lar uvesentlige detaljer ødelegge for den generelle forståelsen. Omtrent som en kamera-entusiast går seg vill i oppløsning og lysfølsomhet, og glemmer at ‘publikum’ er interessert i bildet og inntrykket, ikke detaljene.
Vi frikjenner imidlertid ikke dermed ledere som viser null interesse og ditto forståelse. President Kennedy innførte tidlig på 60-tallet en daglig sikkerhets-briefing for å forstå, ha større oversikt og bredere beslutningsgrunnlag. Et naturlig initiativ fra en ansvarlig leder som raskt ble ‘institusjonalisert’ og etterhvert fikk navnet PDB, President’s Daily Brief. Siden har alle amerikanske presidenter, med ett unntak, ønsket, fått og aktivt brukt sin daglige security briefing. En leder som følger med i media og fortsatt ikke viser interesse for egen cybersikkerhet, har en vesentlig mangel i forhold til ansvar og virkelighet.
Vi kan bedre, mye bedre. Og vi som befinner oss på den profesjonelle siden, kan bedre enn å sitte med hendene i fanget. Organisasjonen, fra Stortinget til fiskebutikken, trenger at vi legger om stilen. Stiller krav oppover, nedover, sideveis – og sørger for at de blir forstått. Når kravene oppover tidvis ikke blir innfridd, skal vi vite at risikoen og ansvaret er forstått.
Først da har vi gjort jobben. Sikkerhetsmessig ‘no comprendo‘ fra ledere og mellomledere er utbredt, men ikke akseptabelt.
Denne kronikken er skrevet av en av Norges ledende teknologieksperter, Helge Skrivervik og om du ikke abonnerer på hans www.MyMayday.com så anbefaler vi at du gjør det fremover. Du vil ikke angre!