Mange små og mellomstore bedrifter mangler en krise- og beredskapsplan dersom et potensielt lammende dataangrep rammer dem. Dette må tas langt mer på alvor. Det er på langt nær så vanskelig å få dette på plass som mange tror, sier seniorrådgiver i Norsk Senter for Informasjonssikring, Olav Sønsteby.
Næringslivets Sikkerhetsråds «Mørketallsundersøkelsen 2020» ble
publisert forrige uke. Der kommer det frem at én av fire norske
virksomheter med mellom fem og 19 ansatte står uten et rammeverk eller
styringssystem for informasjonssikkerhet. I undersøkelsen er hele 1500
virksomheter intervjuet. Den tilsvarende andelen blant de med mer enn
100 ansatte er én av ti.
– Når det oppstår en
krisesituasjon er det helt avgjørende at virksomheten har en plan for
videre krisehåndtering. Det kan for eksempel være at en ansatt klikker
på en lenke i en ondsinnet e-post og laster ned et løsepengevirus eller
lignende. Selv om du har satt ut IT-driften til eksterne, er det viktig
at ansvarsfordelingen mellom denne leverandøren og deg er helt klar,
sier seniorrådgiver Olav Sønsteby i NorSIS.
– Verdier er ikke bare opplysninger, men også systemer
Når du skal planlegge en krise og beredskapsplan må du starte med å stille deg selv noe spørsmål: Hva er dine viktigste verdier? Hva er truslene og sårbarhetene som i verste fall kan skape en krise for din virksomhet?
– Verdier kan være alt fra penger til tekniske løsninger og kundelister. Det er med andre ord ikke bare snakk om opplysninger, men systemer for fakturering, e-postsystemer, produksjonslinjer og lignende. Det er det mange som glemmer i en slik gjennomgang, påpeker Sønsteby.
Risikoer og konsekvenser settes så opp mot hverandre, og du kan med utgangspunkt i virksomhetens verdier prioritere en liste over hva som må gjøres.
Olav Sønsteby
Seniorrådgiver i NorSIS
Inviterer alle norske virksomheter til å gjennomgå digital opplæring
På oppdrag fra Justis- og beredskapsdepartementet arrangerer NorSIS nå i oktober Nasjonal sikkerhetsmåned. Et mål med kampanjen er at flest mulig norske virksomheter gjennomfører et opplæringsopplegg blant sine ansatte som skal gjøre disse bedre egnet til å verne om arbeidsplassens verdier. Beredskap og hvordan den enkelte ansatte skal håndtere forskjellige type hendelser er en av flere leksjoner i opplæringspakken som er gratis for alle virksomheter med færre enn 20 ansatte.
Tar ofte lang tid før sikkerhetshendelser blir oppdaget
– Når du har på plass en plan må alle de ansatte gjøres kjent med denne planen, og virksomheten må øve på hendelseshåndteringen. Det er helt avgjørende at de ansatte vet hvem de skal kontakte når en sikkerhetshendelse har oppstått og eventuelt hva de da skal foreta seg. Husk at hele én av tre sikkerhetshendelser først ble oppdaget i løpet av en dag eller senere etter at de skjedde. Den tiden som har gått kan gjøre at skadeforløpet blir større enn nødvendig. Vær derfor rask til å si fra, råder Sønsteby.
Overhengende fare for at en krise vil oppstå
Snittkostnaden for den mest alvorlige sikkerhetshendelse en virksomhet ble utsatt for i fjor var 85 000 kroner, ifølge Mørketallsundersøkelsen 2020. Den virksomheten som ble hardest rammet anslår en kostnad på fem millioner kroner.
– For å unngå kortsiktige kostnader er det fort gjort å ta en risiko ved ikke å få på plass en krise- og beredskapsplan. Dette mener vi er en for stor risiko å ta. Sannsynligheten for at en krisesituasjon vil oppstå før eller senere er overhengende, avslutter Sønsteby.
Av NorSIS