«Risikoforståelse» Oppsummerende rapport fra Sikkerhetstoppmøtet

Transkript

1 «Risikoforståelse» Oppsummerende rapport fra Sikkerhetstoppmøtet

2 Innhold 3 Innledning 4 Tidligere tema 5 Hvilke utfordringer har vi med risikoforståelsen? Vanskelige begreper Manglende bevissthet Forankring i virksomheten Utfordrende å kommunisere risiko Risikostyring Risikoforståelse Kunnskap 9 Hvordan kan risikoforståelse forbedres? Åpenhet og deling av informasjon Samarbeid Ansvar Holdninger og bevissthet Reguleringer Opplæring, øving og trening

3 Innledning Norske ledere behandler daglig risiko i virksomheten knyttet til strategiske beslutninger, operasjonell drift og andre ulike forhold. Gjør mangel på kompetanse og erfaring innen informasjonssikkerhet det vanskelig å overføre evnen til å forstå denne typen risiko? sikkerhetstoppmøtet 3

4 Tidligere tema Hvordan hindre informasjonslekkasje fra virksomhetens styre? Utfordringer med outsourcing, offshoring og cloudbaserte løsninger Risikostyring i virksomheten Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden Hendelseshåndtering fra oppdagelse til anmeldelse Tillit til sikkerheten hos samarbeidspartnere og leverandører Monitorering av de ansatte løsningen på tillitskrisen til mobile ansatte? Ledelsesforankring og isms Sikkerhetskultur Applikasjonssikkerhet har vi kontroll? Informasjonssikkerhet i verdikjeden klarer vi å tenke på alt? Beredskap Kritisk infrastruktur Informasjonstyveri og industrispionasje Digitalisering og balansen mellom næringsutvikling og sikkerhet Er det utfordringer med ny personvernforordning? 4 sikkerhetstoppmøtet

5 Hvilke utfordringer har vi med risikoforståelsen? Vanskelige begreper Mange av deltakerne på sikkerhetstoppmøtet har lang erfaring innen ulike deler av sikkerhetsarbeidet, og erfarer at bruken av begreper kan variere stort mellom virksomheter eller områder. Noen bransjer har over tid utviklet egne begreper, og dette gir utfordringer når en skal samarbeide om håndtering av risiko. Forståelse for hva som legges i begrepene risiko og risikoforståelse kan variere ut fra hvorvidt men snakker om taushetsplikt, HMS, trygghet, informasjonssikkerhet, ISO-standarder osv. Ulike fagmiljøer kan bruke tilnærminger som kommer fra ulike teoretiske eller praktiske grunnlag. Sikkerhetstoppmøtet mener at det er vesentlig at begrepsapparatet defineres. Det er viktig slik at alle har samme forhold til hva man ønsker å oppnå. Bruk av språk er viktig for klarhet og dette kan ikke overlates til tilfeldighetene. Vi er 9 forskjellige personer rundt dette bordet, og jeg er sikker på at vi har 9 forskjellige oppfatninger av risikobildet Manglende bevissthet Sikkerhetstoppmøtet diskuterte om vi vet for lite om hva som skjer der ute. Vi erkjenner at forståelsen blir dårlig, og erfaringskomponenten er fraværende. Kanskje mobilen har blitt borte, men en reell IKT-hendelse har vært fraværende. Det må nesten skje noe for å få opp bevisstheten. Du får ikke penger til sikkerhetstiltak der det ikke har skjedd noe. Har vi den rette forståelsen av IKT-risiko? Er det slik at ledere mangler denne modellen og erfaring, og dermed klarer vi ikke kommunisere risiko så godt? Eksemplets makt: Et åpnere samfunn om sikkerhetshendelser vil føre til større bevissthet. Når man ikke opplever noe selv kan det være greit at noen andre forteller hva som har skjedd (ref. slik Telenor gjorde). Norge er et lite land. Det kan skape utfordringer med anonymisering av informasjon og dermed deling i mange tilfeller. Fra need to know til responsibility to share. Som sikkerhetsfolk er vi oppdradd til det første, men vi trenger det andre. Vi må gjøre hverandre gode gjennom å dele informasjon slik at vi kan bil bedre. Vi trenger et grunnlag for å kunne iverksette forebyggende tiltak. Nordmenns risikoforståelse bærer preg av at ting ikke er så farlig, vi føler oss trygge. I Sverige og Tyskland er man mer autoritære, mens i Norge ser det ikke ut til at vi har samme respekt for autoritet. Det er viktig å ha en kulturell forståelse generelt når man skal implementere sikkerhetstiltak. Det er store forskjellen innad i kommunal sektor, f.eks. mellom barnevernansatte og lærere. De tilnærmer seg ikke risiko på samme måte. sikkerhetstoppmøtet 5

6 Forankring i virksomheten Man tar ofte snarveier som man egentlig ikke har lov til å ta, bare for enkelthets skyld. Et viktig budskap for meg er at dersom noen spør om hvem som jobber med risiko og de svarer sikkerhetssjefen så har jeg tapt. Den enkelte skal vite at de har ansvar. Folk deler mye, men de lytter ikke En deltaker forteller at virksomheten jobber med nytt sikkerhetsrammeverk og at det er forretningssiden som må eie dette. Forretningen må lykkes med sine digitale modeller og da er informasjonssikkerhet en forutsetning. Det er viktig at vi får integrert dette med risikostyring i ledelsesprosessene. Vi som arbeider med informasjonssikkerhet må sette oss inn i toppledelsens sko og få deres refleksjoner. Vi er på en reise, og behovet for profesjonalisering innen vårt fagfelt øker med digitaliseringen av virksomhetene våre. Våre ledere mangler erfaringer med hva IT-risiko kan bety fordi de har ikke erfart det. Vi har dermed en utfordring med risikoforståelsen. Konsekvensene er heller ikke tydelige. Risikoforståelse eller eierskap for en risiko får du ikke før du får ansvar for den. Den personen som er ansvarlig for at noe ikke skjer, vil føle eierskap for den risikoen. De som jobber i IT-sikkerhet spesielt ser ofte bare sin del av virksomheten når en hendelse inntreffer, mens ledelsen er bedre skikket til å se hele bildet. Hvordan er vi som IT-folk egentlig i stand til å få god nok risikoforståelse? Alle avdelingene må jobbe sammen om risikoforståelsen, IT, økonomi, og mer, for å kunne involvere ledelsen på riktig måte. Sikkerhetstoppmøtet erfarer at noen har lett for å tenke at dette er ikke mitt ansvar når man blir stilt ovenfor en risiko. Hvis man ikke har ansvar selv legger man det fra seg, heller enn å finne ut hvem som har ansvar å gi det til dem. Enkelte tar imidlertid alle risikoene mye mer alvorlig enn andre. Noen som blir møtt med for mange risikoer kan velge å ikke gjøre noe, fordi det blir for mye til at man kan gjøre alt. Utfordrende å kommunisere risiko Flere på sikkerhetstoppmøtet synes at risiko er så uangripelig slik at det er vanskelig å kommunisere det effektivt. En må kunne oversette det tekniske til det forretningsmessige. Dette er viktig, men ofte vanskelig. Når vi skal snakke om risiko blir vi ofte for tekniske. Vi snakker ikke med følelse. Blir en mann skutt i gata snakker vi ikke om hvilket våpen som ble brukt eller serienummeret på dette. Vi må gjøre det samme når vi snakker om informasjonssikkerhetshendelser med ledere. Det er viktigere å snakke om hva som kan skje/har skjedd enn detaljene rundt dette. En fagekspert har behov for detaljer, men det må omformuleres når vi skal informere ledelsen eller andre i virksomheten. Enkelte detter ut når man bruker fagbegreper, og vi har erfart at sikkerhet og risiko kan ikke kommuniseres til fagfolk og andre på samme måte. 6 sikkerhetstoppmøtet

7 Det er viktig å være ydmyk og ikke slik at de man snakker med føler at man blir belært. Da kan vi etablere plattform for kommunikasjon hvor vi som fageksperter blir lyttet til. Når vi kommuniserer må vi fange oppmerksomheten. En deltaker forteller at de prøver å gjøre om fagspråket om til noe kjent. Språket er en utfordring, men hvis man eksemplifiserer gjennom for eksempel en nyhetssending (øvelse) kan man øke bevisstheten hos ledere. Man må trykke forsiktig på noen nerver, men det er mulig. Vi må få nok informasjon til at vi kan informere våre ledere og forklare de hva vi trenger av tiltak for å sikre oss. Av og til er tiltakene å samle inn informasjon for å kunne forstå hva som skjer og kommunisere riktig. Når jeg skal kommunisere risiko så må jeg være veldig forsiktig med å snakke om IT-sikkerhet Risikostyring Det er en utfordring at risikostyring i stor grad er bundet av regulatoriske krav. Med dette menes at det stilles krav om at risikostyring skal gjennomføres, men som regel uten at det er regulert hvordan det skal gjøres. Sikkerhetstoppmøtet diskuterte hvorvidt det er en rett måte å styre risiko på. Når vi først begynner med risikostyring så blir det omstendelig og tungt så da kan vi ikke gjøre det fortløpende. Det bør være et fast agendapunkt for ledelsen, slik at vi unngår at det blir en stor prosess en gang i året. Faren er at det ikke blir integrert i ledelsesprosessene, og da får vi ikke effekt! Det som kan være et problem med risiko, er at med en gang man begynner å diskutere ROS (Risiko- og Sårbarhetsanalyse), finner vi fram modellene, og så blir alt teknisk. Det er vanskelig å ha oversikt over risikoene alle avdelinger står ovenfor, så det blir nesten umulig for ledelsen å forholde seg til. Det blir «information overload». Flere erfarer at risikoområdene er så forskjellige at det er vanskelig å finne et felles system for risikohåndtering. Hvordan henger alle risikoene sammen? En CIO forstår risiko fra forretningens ståsted, men selv en CIO kan ha utfordringer med å forstå IT sikkerhet og hvordan den henger sammen med forretningen. Sikkerhetstoppmøtet diskuterte at man er nødt til å leve med risiko. Det er ikke alltid nødvendig å fjerne risiko, men en må så langt det er mulig være klar over at den er der. Ulike maler i offentlig sektor spriker med hensyn på tiltak og risikoanalyse. De fleste standardene forteller at risikoanalyser skal utføres, ikke hvordan det skal gjøres. Risikoforståelse Mange av oss er tillitsfulle. Det er ikke det at vi ikke er kjent med risikoen, men vi har mye tillitt til hverandre. Det er positivt. Så vil det alltid være noen som er veldig paranoide, og noen som er veldig avslappet i forhold til sikkerhet. Disse forholder seg til regler og lovverk på forskjellig måte. Vi må enes om et risikobilde, og det er krevende. Forebygging lønner seg alltid, men dilemmaet er at man ikke kan forebygge seg helt ut av risiko. Vi har litt begrenset evne til å lære av hverandre. Sikkerhetsfolk lærer av teoretiske framstillinger. Ledere lærer av det de personlig har erfart. sikkerhetstoppmøtet 7

8 Er virkelig risiko noe objektivt? Flere deltakere på sikkerhetstoppmøtet erfarer at risikoforståelsen er forskjellig på forskjellige steder i virksomheten. Dette er en utfordring, men det er trolig noe en ikke kan gjøre så mye med. Det er krevende å enes om et risikobilde. Klarer man å få en felles forståelse av hvor galt det kan gå når det smeller? Da kommer man ofte til den vanskelige delen av risikomodellen, nemlig sannsynligheten. Konsekvensvurdering er individuell, avhengig av hva man ser og vet. Man kan klare å enes om trussel, sårbarhet og hvilke kontroller man har, men resten er vanskelig, spesielt sannsynlighet. Norsk lovgivning er ofte veldig streng på sikkerhet, og andre regler, og det gjør at folk, også sikkerhetsfolk, får lyst til å slurve. Man gjør alltid sin egen risikoanalyse, underbevist eller ikke. Men alle gjør ikke samme risikoanalyse, så da oppstår det ulik praksis. Sikkerhetstoppmøtet diskuterte om synlige sikkerhetstiltak kan gi folk følelsen at det er farligere enn før, ikke omvendt. Vi er nødt til å stole på de kontrollmekanismene som ligger til grunn, uten å forstå hvordan det fungerer, fordi det er for komplisert. Problemet er at de store trusselaktørene forstår det, og kan derfor utnytte feil og svakheter. Awareness training - har det noen nytte? Kunnskap Sikkerhetstoppmøtet mener at kompetanse er helt nødvendig. De som arbeider med IT-sikkerhet liker å tro at vi vet mye om faget, men har ofte liten formell utdannelse. Nye bruksmønstre endrer behovet for kompetanse (f.eks. Bring Your Own Device, Sosiale Medier, Bring Your Own Services, Skytjenester etc.) 8 sikkerhetstoppmøtet

9 Hvordan kan risikoforståelsen forbedres? Åpenhet og deling av informasjon Sikkerhetstoppmøtet diskuterte åpenhet som en sterk driver innen teknologi, delingsøkonomi og ny økonomi. En kan imidlertid ikke dele ukritisk, klassifisering av informasjon og vurdering av sikkerhet må sees i sammenheng En effektiv måte å få oppmerksomhet på er å dele informasjon om hendelser. Det kan utløse interesse og midler til å iverksette tiltak. En bør imidlertid ikke formidle risiko ved å skremme mottakerne. Å skape frykt tjener ingen. En deltaker forteller at virksomheten er tydelig på at de ikke ønsker å dele risiko. Virksomheten har sine risikoer og kundene har sine risikoer. Når det er snakk om sårbarheter stiller det seg annerledes Det er viktig at vi kommuniserer sårbarhetene til kunden. Samarbeid Sikkerhetstoppmøtet diskuterte offentlig og privat samarbeid og hvordan dette kan lede til en bedre risikoforståelse. Ansvaret for samarbeidet må ligge et sted, men alle må bidra. Flere mente at myndighetene bør lage en nasjonal felles arena. Det er veldig mange kommuner som ikke er i stand til å øke sin kompetanse for sikkerhet selv, staten bør gå inn å hjelpe dem. I næringslivet er det gjerne snakk om mangel på tilgang til kompetanse eller til informasjon om trusler. Bedre samordning og utveksling av informasjon og erfaringer vil lede til en bedre risikoforståelse. Ansvar Sikkerhetstoppmøtet diskuterte hva forankring egentlig innebærer. Man hører gjerne at ting må forankres på ledelsens nivå, uansett hva det er. På engelsk kalles det «tone at the top», hvilket betyr at det som er holdning på toppen, blir holdning nedover i organisasjonen. Hvis ledelsen ikke er opptatt av økonomi, så er det ingen andre som er det heller. Hvis ledelsen ikke tar opp IT-sikkerhet i møter, så blir det ikke tatt opp av noen. Eierskap på forretningssiden viktig, dialog med toppledelsen samt felles begrepsapparat. Risikoeierskap er imidlertid ikke lett å identifisere. Det gjør også at det er vanskelig å finne og få mobilisert risikoeiere. Noen ganger er det sammenfall mellom systemeiere, men noen gang går risiko over flere prosesser og systemer. En måte å bryte dette fra hverandre er å behandle informasjonen selv, informasjonseier blir da løsninger. Systemene blir bare understøttende og ikke noe som sier noe om eierskap. Går det i det hele tatt an å tenke informasjonssikkerhet i det nye samfunnet uten å tenke politikk og verdier? Forsvars og nasjonalpolitikk berører oss enten vi vil eller ikke. sikkerhetstoppmøtet 9

10 I kommunesektoren har en erfart at risikoforståelsen er ulik i forskjellige avdelinger. Mangel på lovregulering kan føre til at ledelsen og fagpersoner ikke tar ansvar. Rådmannen må bry seg, men ikke om detaljene. Han må vite hvem som har ansvaret i organisasjonen, og delegere det. Ellers kan en ende opp med mellomledere som ikke tar ansvar, fordi de ikke får ansvar. Det er en utfordring i små organisasjoner at en leder har mange roller. Hvem har ansvar for å formidle risiko for ledelsen? Linjen/eiere må selv gjøre dette, presentere sine risikoer. Dette handler om ansvarliggjøring, og det kan føre til at det leder frem til handling. De utøvende må ansvarliggjøres. Holdninger og bevissthet Hvordan skal vi få frem risikoforståelsen hos den yngre generasjonen? Hva med den eldre generasjonen? Den yngre har vokst opp med polerte grensesnitt uten å vite hva som skjer i bakgrunnen. Den eldre generasjonen har ikke vokst opp med denne teknologien og vet heller ikke hva som skjer i bakgrunnen. Stoler begge grupper for mye på teknologien? Sikkerhetstoppmøtet mener at god risikoforståelse avhenger av hvem som får lov til å definere det. Risikoforståelsen kan føre til konkrete tiltak, så det er derfor viktig å definere risikoforståelsen «riktig». Det er effektivt å oppnå risikoforståelse når de som skal ha forståelsen sitter nært på verdiene. Da er forståelsen mye større. Verdinærhet. Sitter man langt unna glemmer man at man selv er en del av denne risikoen. Sikkerhetstoppmøtet spør: Er det et generasjonsskifte på gang? Vet de yngre enda mindre om det som forstår det som skjer under? Det er dagens unge som blir fremtidens ledere og det er bekymringsfullt om de ikke har med seg grunnlaget for teknologien vi alle er avhengig av. Det å innse at det er en reell risiko er det første i å få god risikoforståelse. Reguleringer Sikkerhetstoppmøtet erfarer at standardisering er viktig, men det finnes svært mange standarder og veiledninger som alle finner opp kruttet på sin egen måte. Det er veldig lett å snakke om standardisering, men i praksis er det utfordrende å vite hvilken standard en skal og bør bruke. Virksomhetene opplever gjerne et stort antall tilsyn som kommer med jevne mellomrom, da bryr man seg ikke nødvendigvis om at man får avvik. Compliance 10 sikkerhetstoppmøtet

11 gir heller ikke nødvendigvis god risikoforståelse, men man er i hvert fall bedre rustet. På en måte kan man si at man blir så bra som man kan bli hvis man etterlever kravene. Fordi da har man hatt en prosess på det, man har fått det inn i hverdagen. Det finnes veiledere, standarder, og annet som handler om det samme (eks risikovurdering), og det kommer stadig noe nytt. Blir vanskelig å vite om vi bruker de rette verktøyene. Valget av verktøy trenger ikke være felles for alle virksomheter, men det må være felles for de som har felles mål. Da kan valget og språket bli ulikt på overordnet nivå, men likt inne i virksomheten, som er viktigst. Rådmenn og ordførere, som er lovpålagte ansvarlige, har en hverdag full av oppgaver. Hvis de skal følge alle krav fra tilsynsmyndigheter, får de ikke gjort jobben sin. For å få ledelsen til å legge fokus på beredskap og sikkerhet, må man også følge opp med sanksjoner. Det som har skjedd med personvern og sanksjoner blir av enkelte dratt frem som et godt alternativ for å påtvinge risikoforståelse og sikkerhetsbevissthet. Det blir alltid etterlyst sterkere forordninger, men likevel hører man alltid at trusselbildet er dynamisk. Hvordan skal man få forordningene til å hjelpe, og ikke omvendt? I noen tilfeller kan risiko avtalereguleres. Det er dog et spørsmål om bestilleren er kompetent nok til å bestille, og om leverandøren er kompetent nok til å levere. Det er en viss kompleksitet og dette skal skape utfordringer for f.eks små kommuner hvor bestillerkomptansen er lav. Risikostyring må settes i system, hvis ikke får du ikke oppmerksomhet. Men; risikostyring gir ikke automatisk mer sikkerhet Opplæring, øving og trening Sikkerhetstoppmøtet er enige om at trusselbildet er særdeles dynamisk og at digitaliseringen gjør samfunnet mer sårbart. Opplæring, øving og trening betyr mye for hvordan en kan håndtere hendelser når de plutselig oppstår. Vurderingene i etterkant av 22. juli hendelsen slo fast at den delen av beredskapen som fungerte best var akuttmottaket. De hadde trent på dette og kunne dette når en reell hendelse oppsto. Innen helsesektoren har en f.eks. klare backup-rutiner. De trener på dette og har en redundans som gjør at de fortsatt kan falle tilbake til løsninger på papir. Vi er nødt til å gå inn i flere utdanningsinstitusjoner og ta inn sikkerhet, og ikke bare i IT og helse. Vi må erkjenne at det noen ganger må skje noe/en hendelse før noe skjer. Det er ofte det som driver oss videre. sikkerhetstoppmøtet 11

12 Om Sikkerhetstoppmøtet Sikkerhetstoppmøtet bringer informasjonssikerhets- ledere, eksperter og nøkkelpersoner innen fagfeltet sammen for å utveksle erfaringer og kunnskap. Deltakerne vil gjennom foredrag og samtaler skaffe seg et klarere bilde av dagens praksis og en innsikt i utviklingen i feltet. Formatet på samtalene er en åpen og kollegial tankesmie hvor synspunkter og argumentasjoner relatert til dags- aktuelle tema utveksles. Nytteverdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke sin interne sikkerhet. Sikkerhetstoppmøtet støttes av