Den perfekte IT-sikkerhed findes ikke. Ideen om, at man kan gardere sig fuldstændigt mod alle angreb, er i dag nærmest naiv. Dertil er der for mange typer af angreb, man kan blive udsat for – som tillige er ganske avancerede og svære at gennemskue.

Vi kan også alle sammen blive mål for et angreb: Den menige medarbejder, der klikker på et link i en mail eller besøger et website. Topchefen eller regnskabschefen, der bliver udsat for CEO-fraud. Eller IT-afdelingen, der udsættes for phishing-angreb.

Det er aldrig helt til at forudsige, hvem der ender med at ”lukke tyven ind.” Det kan blive os alle sammen.

Derfor giver det heller ikke mening at se den enkelte medarbejder som svagheden i IT-sikkerheden.

Når skaden er sket

Desværre er det ikke altid, sådan linjen er ude i virkeligheden: ”Vi ligger tættere på skældud end tillid,” opsummerer tillidsrepræsentant Kenneth I. Johannesson hverdagen hos Grundfos. Katrine Gundel Harmens oplevelse som tillidsrepræsentant hos Berlingske ligner meget: ”IT-afdelingen ser os lidt firkantet sagt nok som nogen, der fucker op.” (Læs mere i artiklen ”Kontrol er godt, tillid er bedre”, red.)

Vi skal i stedet se medarbejderne som dem, der både kan højne forsvaret og ikke mindst som dem, der har mulighed for at handle hurtigt, hvis noget er gået galt. Og det kan have afgørende betydning.

Skaden ved CEO-fraud kan nogle gange mindskes, hvis man lynhurtigt kontakter banken. Og nogle gange kan man begrænse skaderne, hvis en virusramt computer kobles af netværket. Det kræver bare, at vi ser på medarbejderne som en del af forsvaret – og ikke som en del af problemet. Og så kræver det, at vi har gennemtænkt, hvordan vi gør medarbejderne til en del af løsningen.

Ledelsens ansvar at instruere

Vi har alle indset, at IT er forretningskritisk. Det er helt afgørende for virksomheden, at man har den rette IT-infrastruktur, at IT-driften er stabil og ikke mindst, at man kan udvikle nye produkter på digitale platforme i et hurtigt tempo.

I løbet af de seneste par år er det også gået op for de fleste, at IT-sikkerhed er lige så forretningskritisk. Det kom i hvert fald til at stå lysende klart efter, at Mærsk blev angrebet og måtte bruge to milliarder kroner, før skaderne var udbedret.

Men jeg tror, at vi kan blive endnu bedre, når det kommer til at få IT-sikkerheden helt ind under huden, og det er selvfølgelig ledelsens ansvar at sætte retningen. Man må først og fremmest erkende, at man er nødt til at bruge penge på IT-sikkerhed. Det koster – ikke bare i udstyr og software, men også i viden, oplæring og kampagner.

Det er også afgørende, at lave vejledninger, awareness-kampagner og sørge for, at emnet bliver prioriteret. Det kan chefen typisk gøre ved at gå forrest og være synlig, så det ikke ender med at en assistent rundsender en brochure, som resten af organisationen ignorerer.

When the shit hits the fan

Den helt afgørende lakmustest er selvfølgelig, den man står med, når virksomheden er under angreb. Og så er det afgørende, at IT-afdelingen og ledelsen har lavet recovery-planer, så man ved, hvad man skal gøre den dag man bliver ramt. For det gør man jo. Men det er lige så afgørende, at man aldrig hænger den medarbejder til tørre, som har lavet fejlen. I samme øjeblik man gør det, har man aflivet enhver åbenhed i firmaet.

Det er nemlig åbenheden og trygheden ved, at man trygt kan fortælle, at man har lavet en fejl, som er det bedste værn og den bedste kur. Den der har lavet fejlen, er typisk også den, der har bedst chance for at redde virksomheden ved at reagere hurtigt.

Fejl er guld værd

Vi kan lære meget af sundhedssektoren, som jeg selv arbejder i. Her hedder fejl i det særlige fagsprog ”UTH – Utilsigtet Hændelse” og man definerer den som en fejl, der kan medføre skade eller risiko for skade på patienterne. Men fejlene er ikke kun farlige.

Værdien i at få indrapporteret UTH’ere er i virkeligheden enorm, fordi man her står med potentialet for at forbedre behandlingen. Man får ikke bare en rapport om, at man har indopereret en hofteprotese beregnet til venstre side i højre side på en patient. Værdien ligger i, at firmaet der leverer hofteprotesterne indfører en farvekode, så man nemmere kan skelne, hvilken side de passer til, og så det kun er de rigtige, der kommer med ind på operationsstuen.

Når man opsamler de mange små og store fejl gennem årene, får man et enormt materiale, som gør, at man også har potentialet til at få løftet sundheden betydeligt. På samme måde er det guld værd, når man opdager IT-fejl – hvis vi vel at mærke tør tale om fejlene.

15.000 digitale kollegaer

Et godt eksempel er Forbrugerrådet Tænks app ”Mit Digitale Selvforsvar”. Den giver ikke blot gode råd om, hvordan man sikrer sin computer og telefon. App’en lægger også vægt på, at de 15.000 brugere kan indrapportere angreb, de selv er blevet udsat for.

Dermed står man som slutbruger ikke længere alene. Man har 15.000 kollegaer, der holder øje med nye typer af angreb, og som rådgiver om, hvordan man undgår dem.

Det er den tilgang – at man ser sine kollegaer og sine medarbejdere, som det bedste værn mod IT-angreb – som vi skal have forankret i virksomhederne. For ved at stå sammen, har vi større chance for at finde hullerne, før de bliver udnyttet. Større chance for at modstå angreb, når de kommer. Og større chance for at komme hurtigt på benene igen, når vi har været ramt.

 

Når virksomheden er blevet ramt af et virusangreb, CEO-fraud eller DDOS'et så vil man næsten altid kunne gå på jagt efter, hvem der har begået fejlen. Men det er stort set irrelevant, hvem der har begået en fejl. Det er derimod afgørende, hvad man kan lære af den.

 

Jens Rastrup Andersen, Bestyrelsesmedlem SAMDATA\HK