Det nye risikobildet

Våren 2017 avslørte NRK at utenlandske IT-arbeidere har hatt omfattende tilganger til datasystemet til Helse Sør-Øst, og dermed til pasientjournaler med sensitive personopplysninger til 2,8 millioner nordmenn. På samme tid opplevde Norge gjennom dataviruset Wanna Decryptor det hittil største dataangrepet verden har sett. Samtidig har det norske samfunnet blitt stadig mer avhengig av IT-systemer, og mange virksomheter vil redusere eller stanse sine aktiviteter dersom IT-systemene skulle svikte. Risiko knyttet til IT-systemer utgjør derfor en vesentlig trussel mot norske virksomheter og privatpersoner.

Man kan spørre seg om hvordan det norske samfunn er rustet for å takle disse IT-utfordringene? I hvilken grad har våre virksomheter analysert risikoen, identifisert kritiske prosesser eller systemer og implementert nødvendige prosedyrer og andre tiltak som sikrer varig drift?

Det kan synes som om virksomhetene i for stor grad stoler på utstyrsleverandører og systemutviklere og slik sett legger alle eggene i en kurv. Et eksempel er Akershus universitetssykehus. I juni 2011 kollapset både telefon og datanett og sykehuset var et par døgn ute av stand til å ta imot nye pasienter. Et annet eksempel er oljevirksomheten, som i mange år har hatt lukkede styringssystemer for produksjon og drift. Men økende integrasjon mot kontorstøttesystemer har åpnet for eksponering mot internet samtidig som outsourcing av egen drift har gitt utfordringer i forhold til tilgang, konfidensialitet og rettigheter. I 2014 stanset en indisk IT-arbeider Statoils produksjon på Mongstad på grunn av en tastefeil.

Systematisk arbeid med IT-sikkerhet bør innarbeides som del av den daglige drift av norske virksomheter. Risikoanalyser er et helt vesentlig virkemiddel for å sikre at overgang til nye tekniske løsninger eller endring av eksisterende løsninger skjer på en hensiktsmessig måte og med akseptabel risiko. Gjennom slike analyser kan sikkerhetshull identifiseres og tiltak rettes. Gjennom sivilbeskyttelsesloven plikter kommunene å gjennomføre en risiko- og sårbarhetsanalyse og utfra denne utarbeide beredskapsplaner. Man kan spørre seg om ikke alle virksomheter burde vært underlagt lovens bestemmelser, slik at samfunnets totale risikoeksponering på sikt kan reduseres?

Virksomhetens sikkerhetsnivå vil alltid være avhengig av balansen mellom den strukturelle sikkerhet som ligger i teknisk sikring, systemer og prosedyrer og den kultur og den etterlevelse de ansatte har til felles systemer. Begge forhold er avgjørende for god IT-sikkerhet. Selv om ansatte følger egne prosedyrer, kan sikkerheten ved systemløsninger være truet. Og vice versa. Det er derfor viktig å se det totale risikobildet knyttet til IT og den risiko og sårbarhet dette representerer.

Av Lars G. Wessel Johnsen
MSc./ Fagdirektør risk management
Pareto Forsikringsrådgivning AS

Wessel Johnsen er forfatter av bøkene «Balansert risikostyring» (Gyldendal 2005) og «Risikovurdering» (Gyldendal 2009)