Hvor godt er IT-sikkerheten egentlig ivaretatt?

I dag er alt av viktig og sensitiv informasjon og kommunikasjon lagret på en server et eller annet sted. Dette er informasjon som både offentlige foretak og private virksomheter er helt avhengige av, og det vil være kritisk om slik informasjon skulle gå tapt eller bli tilgjengelig hos personer eller organisasjoner som ikke skal ha tilgang til dette.

IT-sikkerhet er noe som er blitt stadig viktigere i takt med digitaliseringen av samfunnet. Men det virker som om uansett hvor godt man sikrer seg, finnes det sikkerhetshull som talentfulle, men kanskje ikke alltid like redelige, personer klarer å finne en vei gjennom. Det er også slik at man selv kan stille seg i en posisjon der man blir et lettere mål enn man strengt tatt burde. Det kan skyldes mangelfull satsing på IT-sikkerhet og at man dermed utsetter seg for unødvendig risiko, eller at man rett og slett sitter på informasjon som er så viktig at utenforstående ikke klarer å holde seg unna. Det skjer ofte at man heller ikke tar oppbyggingen eller driften av viktig IT-infrastruktur nok på alvor, og at informasjonen tilfeldigvis havner dit den ikke burde – ikke på grunn av en villet handling fra utenforstående - men på grunn av for dårlige interne rutiner.

Man kan sikre seg mot mye, men tydeligvis ikke mot alt. Det at amerikanske myndigheter mener presidentvalgkampen i USA i fjor høst skal ha blitt forsøkt påvirket, eller faktisk blitt påvirket, gjennom cyberangrep utført av aktører med russiske interesser, er selvsagt et godt eksempel på dette. Onsdagens innslag på NRK om Helse sør-østs outsourcing av IT-driften til utenlandske underleverandører er også eksempler på hva som faktisk kan skje. Nå er det ikke kjent hva som faktisk har skjedd i denne saken, men det vil forhåpentligvis vise seg etter en gransking som nå skal foretas. NRK kommer med opplysninger om at utenlandske IT-arbeidere skal ha hatt mulighet til å hente ut pasientdata til 2,8 millioner nordmenn de siste ukene. Om dette stemmer er det selvsagt meget alvorlig, og noe som definitivt ikke skal skje.

At uvedkommende kunne fått tilgang til data de ikke burde hatt, kunne helt sikkert også skjedd om man hadde kjørt denne driften fra Norge. Men man får utvilsomt en dårlig smak i munnen når man åpenbart har valgt å outsorurce en jobb av dette kaliber til utenlandske private selskaper uten at man kan synes å ha hatt kontroll med hvem som har hatt tilgang til hva og når. Skulle opplysningene til NRK vise seg å stemme vil det åpenbart her komme en stor oppvaskrunde. Det er heller ikke lenge siden Statoil fikk mye oppmerksomhet da det kom frem at IT-medarbeidere stasjonert i India kunne styre viktige installasjoner i Norge – installasjoner de åpenbart ikke skulle ha tilgang til.

Denne typen saker er meget uheldige, og gode eksempler på at man bør tenke seg om både en og to ganger før man velger å sette bort denne typen oppgaver for å spare penger. Det kan vise seg å bli dyrekjøpte erfaringer. Nå er det ikke slik at risikoen i utgangspunktet skulle være større for at ting kan gå galt ute i verden enn her hjemme – men konsekvensene kan bli langt større, og man vil sjelden kunne ha så god oversikt ute som man vil ha lokalt.

Det er helt sikkert mange som er for naive i sin tilnærming til IT-sikkerhet rundt eget firma eller organisasjon. Antall dataangrep øker stadig, og det er aldri godt å vite hvem eller hva som faktisk står bak disse angrepene. Et dataangrep kan får enorme implikasjoner om de rettes mot de riktige organisasjonene - og i fremtidens kamp om land eller ressurser vil utvilsomt de som har best kontroll på den digitale informasjonen ha en enorm fordel. Dette gjelder også kampen i næringslivet. Vi må ikke tro at kampen om informasjon er noe som kun foregår på lovlig vis. Angrep mot viktige dataservere i store selskaper er noe om helt sikkert skjer oftere enn vi tror. Mange store firmaer sitter på veldig mye viktig informasjon og kunnskap som konkurrenter, både hjemme og ute, gjerne skulle ha tak i. Det er jo også slik at datatrafikken ikke kjenner noen grenser, og kan stjeles fra hvor det måtte være i verden. Med stadig mer komplekse IT-systemer, er det også mye som kan gå galt selv om det ikke skulle være noen som bevisst går inn for å ødelegge eller hente informasjon.

Mange i byggenæringen er opplagt også mulige mål for informasjonstapping. Tenk bare på hvor mange anbudshemmeligheter det finnes rundt hos landets største aktører. I byggenæringen kjempes det daglig om kontrakter til mange hundre millioner og innimellom om milliarder av kroner. Konkurransen blir stadig mer internasjonal, og kampen for å sikre seg store jobber er tøff. Vi kjenner ikke til at det har foregått informasjonstapping i stor skala innen næringen, men at flere har forsøkt, og kanskje også lykkes, er sannsynlig. At noen vil forsøke i fremtiden er helt sikkert. Det er derfor verdt å tenke gjennom både en og to ganger om din virksomhet er godt nok sikret – og ikke minst hvilke planer man har for å ta vare på viktig informasjon også i tiden fremover.