Ansvaret for datasikkerhet ligger nå også hos styret – ikke bare hos IT. Er du oppdatert?

1. januar i år trådte den nye sikkerhetsloven i kraft. Den utvider styrets ansvar for hvilke beslutninger som tas og konsekvensene av dem.

Det er betydelig mindre oppmerksomhet rundt den nye sikkerhetsloven enn det er rundt GDPR. Alle virksomhetsledere og styrer gjør lurt i å vie den nye loven oppmerksomhet. Det holder ikke å hvile seg på at den er innrettet for å beskytte grunnleggende nasjonale funksjoner.

– Men vår virksomhet jobber da ikke med grunnleggende nasjonale funksjoner, vil du kanskje innvende. Er du nå så sikker på det?

Loven gjelder også for virksomheter som leverer tjenester til samfunnsviktige funksjoner

Med den nye loven vil flere virksomheter falle inn under dens bestemmelser selv om de ikke i utgangspunktet er definert som samfunnsviktige funksjoner. Ansvaret vil særlig gjelde å sikre tilgang til tjenester og såkalt oppetid.  

Dessuten, hvis du er involvert i verdikjeden til en virksomhet underlagt sikkerhetsloven, er du også underlagt lovens bestemmelser fra 1. januar 2019.

Med andre ord, skal du beholde en leveranse og et kundeforhold til en virksomhet av grunnleggende nasjonal funksjon, har du nå et helt nytt og tydelig definert ansvar for å forstå risikobildet for virksomheten din.

Lovens § 12 definerer dette tydeligere: 

Vurdering av risiko
Når en virksomhet vurderer risiko, skal den ta hensyn til

  1. hvilken betydning virksomhetens skjermingsverdige verdier har for grunnleggende nasjonale funksjoner eller nasjonale sikkerhetsinteresser
  2. hvilken sikkerhetstruende virksomhet de skjermingsverdige verdiene kan bli utsatt for
  3. sannsynligheten for at sikkerhetstruende virksomhet kan inntreffe
  4. hvilke sårbarheter som er knyttet til de skjermingsverdige verdiene
  5. konsekvensen av sikkerhetstruende virksomhet for de skjermingsverdige verdiene
  6. i hvilken grad virksomheten er avhengig av andre virksomheter for å fungere som den skal.

Det betyr i praksis at mange virksomheter må etablere en struktur for risikoanalyse. Bestemmelsene gjengitt ovenfor definerer kvaliteten på analysen, og loven krever at denne er oppdatert, altså at dette må gjennomføres jevnlig.

Forvent at mediene dekker virksomhetens etterlevelse av sikkerhetsloven

Selv om sikkerhetsloven har fått betydelig mindre medieomtale enn GDPR-bestemmelsene, er det sannsynlig at dette endrer seg etterhvert som lovens bestemmelser etterprøves rundt i virksomhetene. Sett i lys av hvilke konsekvenser et sikkerhetsbrudd kan forårsake, er det helt naturlig at mediene vil forsøke å knytte en hendelse opp mot virksomhetens etterlevelse av sikkerhetsloven. 

  • Har man gjort de nødvendige risikoanalysene?
  • Forstår styret, ledelse og ansatte hvilke verdier virksomheten må beskytte og konsekvens om de kommer på avveie?
  • Forstår man sitt risikobilde fullt ut?
  • Har man etablert en sikkerhetskultur for å redusere risiko og øke den interne robustheten i henhold til trusselbildet?

Omdømmeperspektivet kommer fort i spill, og selv om virksomheten ikke direkte berøres av lovens bestemmelser, vil hendelser knyttet til datasikkerhet utgjøre en trussel mot selskapets omdømme.

Dette er en gylden mulighet for alle virksomheter til å øke sin bevissthet rundt datasikkerhet og bygge en kultur for å beskytte seg mot cyber-trusler.

De nasjonale trusselvurderingene bør stå på styrets leseliste

Staten har allerede gjort et grundig arbeid for å definere hvilke trusler som kan ramme næringslivet og offentlig forvaltning. Den gode nyheten er at dette er tilgjengelig for alle.

Trusselvurderingene fra henholdsvis Nasjonal Sikkerhetsmyndighet (NSM) (last ned her) og fra Politiets Sikkerhetstjeneste (PST) (last ned her) bør være obligatorisk lesing for styrer og virksomhetsledelser. Vurderinger og anbefalinger herfra kan omsettes direkte til handling i næringslivet. Vurderingen publiseres hvert år i februar/mars.

Det svakeste leddet er medarbeiderne

Den største sårbarheten er hver enkelt medarbeider i en organisasjon. Sosial manipulering og innside-aktivitet er trolig de vanligste måtene å skaffe informasjon på. Noen ganger er målet en enkeltperson, men det er ikke uvanlig at flere personer kan bli manipulert til å oppgi biter av informasjon. Biter som hver for seg ikke gir mening, men som blir svært verdifulle når de sammenstilles.

Gjør sikkerhet til en KPI

Dette må bygge på felles situasjonsforståelse. Når trusselbildet er forankret i organisasjonen, og alle vet hva slags adferd som forventes, vil den enkelte bedre forstå hvordan ens handlinger reduserer eller øker sikkerheten. Bevissthet rundt hva som er sensitiv informasjon og hvordan man forvalter den er basis for denne forståelsen.

Alle innfasinger av nyansatte bør inneholde opplæring i hvordan organisasjonen forvalter datasikkerheten, og sikkerhet må inn som en viktig KPI. Blir du ikke målt på sikkerhet, blir dette heller ikke rapportert.

Styrets ansvar

Vi avslutter der vi startet med å påpeke at ansvaret for datasikkerhet nå, i enda større grad enn tidligere, ligger hos styret. Administrerende direktør i Finans Norge, Idar Kreutzer, har tidligere tatt til orde for at det er nødvendig med minst én i styret med kompetanse innen IT-sikkerhet. – Passivitet i styrerommet er den største sikkerhetstrusselen, hevder han. Det er gode grunner til å reflektere over det utsagnet.

Lær mer i dette gratis-webinaret:

 Gratis-webinar:   Sikkerhetsledelse   – hvordan få alle ansatte til å ta ansvar for digital sikkerhet