Du skal ikke gå på kurs hos Aida Omerovic bare fordi hun gjør risikostyring og IT-arkitektur morsomt, spennende og engasjerende. Nei, du skal gjøre det for sikkerhets skyld. For jobben din sin skyld. For samfunnet, virksomheten og pensjonen din sin skyld.
En gang var risikoanalyse for pingler og backup var feigt. I dag vet alle, inkludert administrerende direktør, at slendrian med sikkerhet med høy grad av sikkerhet øker risikoen for at du mister jobben. Eller hele butikken.
Bytte av skuff
«Risikoanalyse», «risikostyring», «sikkerhetsarkitektur» og «sikkerhetskultur» er vel fremdeles ikke ord som får hjertet til å hoppe over et slag, blodet til å bruse og nakkehårene til å reise seg hos folk flest. Men med den enorme digitaliseringen vi har gjennomgått de siste tiårene, er ordene likevel flyttet ut av skuffen «Betale skatt, bytte passord og andre ting vi gjør fordi vi må» til skuffen merket «Roter vi det til her, er vi ferdig. Punktum.»
Er det så farlig da?
Ja, det er visst det. Selv en evig optimist må etter hvert erkjenne at ubehaget dersom noen bruker passordet ditt på den ene nettjenesten til å logge seg inn på de ca 100 andre som har samme passord er større enn ubehaget ved å ta en opprydning i passordene.
Men det ubehaget er ingenting mot det sjefene i butikkjeden Saks opplever akkurat nå etter at det er blitt kjent at kredittkortinformasjon fra fem millioner av deres kunder er lagt ut til salgs på «The Dark Web».
Det er heller ingenting mot følelsen sikkerhetsansvarlig i MyFitnesspal hadde da de nylig oppdaget at personlige data om 150 millioner brukere er stjålet.
Vår kunnskap om voksende sårbarhet som følge av voksende digitalisering er ikke av ny dato. Allerede i 1986 leverte et statlig utvalg en NOU-rapport med tittelen «Datateknikk og samfunnets sårbarhet» (NOU 1986:12). Siden har det vært et gjentakende tema i beredskapsdebatten. I 2007 fikk vi demonstrert denne sårbarheten i en skala aldri tidligere (og foreløpig ikke senere) sett. Et koordinert såkalt botnet-angrep brakte verdens mest digitaliserte land, Estland, på knærne. Regjeringen, parlamentet, bankvesenet, media og mye mer ble rammet. Årsaken antas å være hevn fordi man et par dager tidligere hadde fjernet en statue fra Sovjet-tiden.
[bctt tweet=”Datasikkerhet fra betale skatt, bytte passord og andre ting vi gjør fordi vi må til roter vi det til her, er vi ferdig punktum.” username=”paal”]Lavere terskel enn du tror
Hva kan vi gjøre da? Det er jo så tungvint, kjedelig og deprimerende å måtte bruke tid på å unngå at noe som kanskje kommer til å skje, skjer.
— Terskelen for å komme i gang er mye lavere enn man tror, sier Aida Omerovic. — Sikkerhets- og risikofaget er under sterk utvikling. Det jobbes med å gjøre det mer dynamisk gjennom løpende vurdering av risikoendringer og overvåking og oppdagelse av sårbarheter. Det jobbes også med nye spennende måter å presentere sikkerhet på. Bare for å nevne noen eksempler.
Aida er seniorforsker ved SINTEF Digital. Hun har en doktorgrad fra UiO som handler om å predikere kvalitet av IT-arkitektur, og ser at kvalitet, risiko, sikkerhet og trygghet henger tett sammen.
— Kvalitet og sikkerhet henger sammen, og i mitt doktorgradsarbeid utviklet jeg en metode for å forutse hvordan endringer i arkitekturen vil påvirke kvalitet og sikkerhet, forklarer hun.
Hennes erfaringer fra doktorgradsarbeidet og yrkeskarrieren har hun systematisert og strukturert, og de siste tre årene har hun formidlet det videre til stadig fulltegnede kurs i regi av Dataforeningen.
— Hvorfor er dette viktig?
— IT er etterhvert ryggmargen i verdiene bedrifter og samfunnet forvalter og utvikler. Det er der de største verdiene og interessene ligger. Derfor må flere aktører både i bedriftene og de som er relatert til dem bidra til å ivareta sikkerheten fra sine ståsted. Informasjonssikkerhet blir sårbarhet og trygghet. Det kan ikke og skal ikke isoleres fra ledelse og IT. Tvert imot, styring, kultur og IT-arkitektur er blant de viktigste verktøykassene for å oppnå ønsket informasjonssikkerhet.
— Hvordan er bevisstheten omkring sikkerhet i dag?
— Mye tyder på at den øker. Risikoakseptanse vil jo alltid variere med hva som står på spill, og stadig mer står på spill. Digitalisering fører til økt avhengighet av IT. Kritiske infrastrukturer, tjenester og bedrifter henger i dag tettere sammen, ikke bare i Norge, men også på tvers av landegrensene. Nye spennende teknologier tas i bruk. Kompleksiteten og dynamikken øker. Digitaliseringen gir et enormt potensiale for gevinstrealisering i ulike næringer, blant annet offentlig sektor, helse, velferd, undervisning, bank, transport og energi, bare for å nevne noen. Vi må sørge for at sikkerheten svarer til viktigheten og verdien av de digitale ressursene. Det går i riktig retning.
På vei inn i styrerommet
— Sikkerhet er på vei inn i styrerommet. Risikostyring integreres med virksomhetsstyringen. Kravspesifikasjoner ivaretar sikkerhet på helt nye måter. IT-arkitekturer fokuserer på sikkerhetsmål og virkemidler fra dag én. Sikkerhetskultur tar stadig større plass i bedriftene og i samfunnet. Slik skal det være. Bevisstheten omkring sikkerhet hos de ulike aktørene gjør alle tryggere og bidrar til tillit til de digitale tjenestene. Da blir det lettere å hente ut gevinster, utnytte morgendagens teknologier og skape innovasjoner.
— Er det mange som undervurderer sikkerhet?
— Det kommer an på. De som skal sikre verdiene er alltid folk. For noen er sikkerhet en verdi og en muliggjører, for andre kan det være en kostnad og en byrde. Risiko skal ikke nødvendigvis minimeres. Man snakker gjerne om risikoapetitt eller akseptansenivå til de som «eier» risikoene. Litt subjektivt blir det jo, og det gjelder å finne den rette balansegangen.
— Det finnes effektive teknikker som hjelper beslutningstakere å bli bevisst og uttrykke sin vilje og evne til å ta risiko. Så skal noen risikoer aksepteres, noen forebygges og andre håndteres på hensiktemessige måter. Spillerommet ligger gjerne innen tre områder: teknologi, folk og prosesser. Så skal man foreta kost-nytte vurderinger for å ta gode, informerte beslutninger. Kan du prinsippene, så blir slikt fort naturlig og enkelt å gjøre i hverdagen.
— En annen utfordring er såkalt uvisshet, spesielt mangelen på kunnskap om hvordan systemene henger sammen, hva som kan gå galt og hvordan de digitale verdiene kan sikres. De tradisjonelle metodene og verktøyene for risikostyring og arkitektur er ofte for tunge og ikke tilpasset den virkeligheten vi lever i. De forutsetter at man har betydelige ressurser, mye tid og detaljert kunnskap.
— De forutsetter også inngående kjennskap til rammeverkene, noe som gjør det vanskelig å involvere tverrfaglige grupper. Det blir for tungvint og kunstig. Dynamikken og kostnadseffektiviteten av prosessene uteblir. Risikobilde og arkitektur skal være lett å forstå, evaluere, planlegge og kommunisere – såvel på virksomhetsnivå som på IT-nivå. Det skal kunne skje raskt og ikke kreve for mye tid eller andre ressurser. Først da kan vi ivareta sikkerhet på en god måte.
— Pragmatiske valg av metoder, verktøy og virkemidler er nøkkelen. Forenkling og nytenkning er nødvendig. Mesteparten av min forskning har dreid seg om å bygge broene mellom state-of-the-art og virkelighet innen dette fagfeltet.
— Hva slags type deltakere skulle du gjerne sett flere av på kursene dine?
— Beslutningstakere. De som eier risikoen. Jeg har hatt mange slike der, men ikke nok. En ting er å kunne gjøre en god faglig jobb, en annen ting er å ta beslutningene om hva som skal bekostes av tiltak og hvilken risikoholdning man kan akseptere.
Rune Bjerke på sikkerhetskurs?
— Toppledere?
— Ja, de også. Når topplederen leder en virksomhet hvor digitale verdier er kjernen i virksomheten er det han eller hun som eier risikoen og skal påse at rammeverkene brukes aktivt i hverdagen som hjelpemiddel i beslutningsstøtte.
— Så om DNBs toppleder Rune Bjerke kom hit hva ville vært annerledes etter kurset?
— Han ville fått et praktisk lavterskel hjelpemiddel som er enkelt å komme i gang med, og som kan gi bedre beslutninger ikke bare fra ham, men alle involverte. De ville fått en verktøykasse med begreper hvor alle snakker samme språk, en standard måte å komme frem til og dokumentere resultater på, og ikke minst en omforent måte å formidle dem.
— Når folk snakker om risikostyring på tvers av domener og virksomheter vil jeg at de skal snakke samme språk, bruke de samme ordene på ting som er de samme.
— Jeg har basert meg på erfaring og kunnskap og prøvd å hente ut essensen av det som fungerer i praksis. Resultatet er en kombinasjon av metoder og verktøy som man vet fungerer, men som ikke hører til én enkelt metode eller leverandør. Det har jeg gjort bevisst. Det er bare en ting jeg aldri fraviker: det skal være overensstemmende med ISO-standardene for sikkerhet og risikostyring.
Aidas risikable valg
— Hvordan brukere dere dette i SINTEF?
— Vel, vi er forskere, vi jobber med anvendt forskning som er forankret i reelle behov. Det betyr at vi bruker flere verktøykasser, ikke bare de jeg underviser i. Vi tar gjerne utgangspunkt i det som er state of the art og innoverer videre sammen med norsk og europeisk næringsliv og akademia. Resultatene evalueres også systematisk. Det er utrolig givende å være med å skape innovasjoner og se resultatene komme til nytte i store og små bedrifter, såvel private som offentlige. Vårt miljø ved SINTEF er internasjonalt anerkjent innen dette fagområdet. Vi deltar med sentrale roller i en rekke store EU prosjekter, spesielt de med vekt på forskningsbasert innovasjon innen sikkerhet og risikostyring. Det å fokusere på reelle problemstillinger i ulike sektorer, gjør forskningen både relevant og mer utfordrende.
— Hvorfor brenner du for dette temaet?
— Jeg syns det er et ekte behov for dette. Folk ser ikke alle mulighetene som ligger der.
— Er du selv risikoavers?
— Jeg er kanskje av og til mer metodisk enn det er behov for, men er egentlig til kvinne å være ikke særlig redd for risiko. Samtidig ser jeg også at det er mange nyttige hjelpemidler i faget mitt som kan gjøre meg mer effektiv i hverdagen.
— Hva er den største risikoen du har tatt?
— Å bestemme meg for å studere til sivilingeniør innen teknisk kybernetikk. Jeg ante ikke hva jeg gikk til, men lot meg friste av informasjonen som var tilgjengelig der og da gjennom rollemodeller og brosjyrer.
Lær mer om kursene
Aida holder tre kurs innenfor dette området for Den Norske Dataforening. Kursene er svært interaktive med vekt på hands-on relevante oppgaver og diskusjoner. Det øker læringseffekten betydelig.
- Kom i gang med risikoanalyse: For deg som jobber med virksomhetsstyring, arkitekturdesign, utvikling av tjenester, drift, sikkerhet, rådgiving, kravhåndtering eller testing. Her lærer du å utføre en risikoanalyse med praktiske eksempler og øvelser.
- Praktisk risikostyring: For den litt viderekomne, gjerne de som har tatt det første kurset over, men andre forkunnskaper kvalifiserer også. Spørsmålet du får svar på her er hvordan risikostyring utføres på en hensiktsmessig måte og hvordan ledelsen kan utnytte resultatene av arbeidet. Ofte kan små og enkle tricks ha stor effekt. Noen av dem kan du lære av Aida.
- Sikkerhetsarkitektur og kultur: For eksperter som jobber med sikkerhet i det daglige. Aida tar deltakerne med på et dypdykk i de konkrete tekniske valgmulighetene som ivaretar sikkerhet ved arbeid med arkitektur, sikkerhetsledelse, krav, utvikling og drift. Kurset gir også innsikt i hvordan du best bygger en sikkerhetskultur effektivt bygges opp og bidrar til sikkerhet.
Sjekk Dataforeningens IT-kalender for mer om når og hvor du kan delta på disse kursene.
Aida Omerovic
Aida ble født i Sarajevo mens Sarajevo ennå var en del av Jugoslavia. Hun kom til Norge som tenåring fra samme by, men nå i et annet land: Bosnia. Familien flyttet til Trondheim, og byen gjorde altså en teknisk kybernetiker av den unge kvinnen. Da hun skulle ta sin doktorgrad flyttet hun til Oslo, og der har hun blitt, i dag som seniorforsker ved SINTEF Digital.
Kilder og anbefalt lesning
- Trend Micro: Bank Card Data of Five Million Stolen in Saks and Lord & Taylor Data Breach (2. april 2018)
- The Guardian: Hackers steal data of 150 million MyFitnessPal app users (30. mars 2018)
- Høy risiko, moderat bekymring (Aida Omerovic, fra dataforeningen.no)
- NOU 1986:12 – Datateknikk og samfunnets sårbarhet
- Dataforeningens kursoversikt / IT-kalender
Artikkelen er skrevet for Den norske Dataforening, og originalt publisert på deres nettsider.
0 Comments