– Sjefene gir blaffen i datasikkerhet

  • IT

Høie tegner et dystert bilde av sikkerhetskulturen i næringsliv og offentlig sektor.

– Det er ikke vanskelig for datasjefen å få budsjettmidler til å anskaffe en brannmur. Men det er verre å få ledelsen til å forstå at det trengs penger til å sette opp brannmuren tilpasset virksomhetens sikkerhetsbehov og deretter holde den i forsvarlig drift, sier sikkerhetseksperten.

Konsulent og sensor

Tore Høie startet yrkeslivet som bygningsingeniør, med ettårig lederutdannelse. Senere tok han doktorgrad i informatikk.

Han var med på omleggingen til terminaldrift i Danske Bank på 70-tallet og har hatt det tekniske ansvaret hos EDB Business Partner.

I dag driver han eget konsulentfirma hjemme i andre etasje på Fjellhamar i Lørenskog, og han benyttes som sensor i IKT og ledelse ved flere høyskoler.

Sammen med tre medforfattere kommer han i høst ut med en revidert andreutgave av den prisbelønte boken Håndbok i datasikkerhet. Førsteutgaven fikk Is sikkerhetspris i 2005 (Internett- og telebransjens antikriminalitetstiltak).

Milliontap

Gjennom årelang kontakt med ledere i en rekke bransjer sitter han med et inntrykk av at IT-sikkerhet kommer haltende etter i de fleste prosjekter.

– Energi og shipping er eksempler på bransjer som er sterkt avhengige av pålitelige systemer. Flere av dem har så viktige applikasjoner at de regner med milliontap for hver time de faller ut. Likevel er det ingen automatikk i at ledelsen har kunnskap om sikkerhetsbehovet eller vet å sette av nødvendige ressurser til sikring. Folk i virksomhetens dataavdeling kjenner til utfordringene, men man kan spørre seg om de på toppen er klar over dem, sier Høie.

– Hva er årsaken?

– Det handler om holdninger, kommunikasjon og kunnskap. Generelt er teknikere ikke flinke nok til å si ifra med klare ord til ledelsen. I tillegg skal dagens ledere ta mange hensyn, og da er det lett å konsentrere seg om de sakene som gir best økonomi på kort sikt. Holdningen er gjerne at ”Datasikkerheten tar teknikerne seg av”. Da utøver du ikke ledelse på dette området, selv om det er ditt ansvar som øverste leder, sier Høie.

Ikke gjennomslag

Økonomenes tankegang og stramme budsjetter med målstyring går også utover datasikkerheten.

– Tidligere var budsjettet veiledende, men de siste 20 årene har det blitt stadig mer styrende. Lojalitet til budsjettet er sentralt i bedømmelsen av din innsats som leder, og her bidrar ikke datasikkerhet akkurat til å dra inntektene opp på kort sikt.

– Men det kan bidra til å forhindre tapte inntekter?

– Ja, det er et poeng, men et poeng som ikke har fått særlig fotfeste. Sjefene definerer sine mål i budsjettene, og datasikkerhet har ikke tradisjon for å bli oppfattet som et mål. Det kan settes av millionbeløp til brannmurer, men teknikerne får ikke gjennomslag for usikre kostnader knyttet til oppsett og drift av brannmurene.

– Hva fører det til?

– At brannmuren settes opp på enkleste måte, slik at systemet blir sårbart for datakriminelle, advarer Høie.

Konsekvensen kan bli minimal gevinst av investeringen og store tap.

Fatale følger

– Bygningsingeniører designer sikkerhet inn i sine konstruksjoner. Dette er det ikke tradisjon for i IT-prosjekter. Datautviklere jeg kjenner sier rett ut at «sikkerhet er det siste vi skal konsentrere oss om». Det kan få ubehagelige følger. Datasystemet til Danske Bank falt ut og var nede i flere dager i 2003 fordi det ikke var bevilget nok penger til skikkelige backup-systemer og -rutiner. Banken beregnet tapet til én milliard kroner, det meste i tapt anseelse i markedet, beskriver Høie.

I ettertid etablerte banken full backup.

– Hva skal til for å bedre datasikkerheten?

– Lederne må lære seg datasikkerhet. Det holder ikke med et timesseminar om litt fancy hacking. Sikkerhet bør bli et ledelsesfag, slik at begrepet får feste i ledelsen og ut i organisasjonen. Det handler om å etablere en policy, der firmaet definerer sitt forhold til blant annet håndtering av følsom informasjon. Du sender ikke hemmelig informasjon med e-post, ikke engang kryptert. For 25 dollar kan uvedkommende få en professor i Moskva til å knekke krypteringen på kort tid. I store deler av verden finnes det nok av dyktige hoder med slanke lommebøker og sultne barn, eller behov for tilskudd til studiefinansieringen, sier Tore Høie.