Tor Saltveit
CSO Huawei Norge
Med fjorårets pandemi har mange norske virksomheter tatt store steg på sin digitaliseringsreise. Den nye hverdagens hjemmekontor, videokonferanser, og virtuell kundehåndtering har økt systemkravene til kvalitet, brukervennlighet og tilgjengelighet betraktelig.
NSM har i sin årlige risikovurdering poengtert viktigheten av å velge digitale løsninger som også ivaretar sikkerhet. Teknologien sitt bidrag til verdiskapning og livskvalitet vil bare øke, men tjenestene vil kun ha verdi for oss dersom vi kan stole på at sikkerheten er godt nok ivaretatt. Spesielt når man har høy kompleksitet i systemer og leverandørkjeder kan det være utfordrende å holde god nok oversikt. Dette er en risiko som norske virksomheter vil måtte forholde seg til i stadig større grad.
Antagelser om sikkerhet kan få store konsekvenser
Trusselbildet har vist at det er på sin plass å ta forholdsregler. Amerikanske myndigheter, med andre, har antatt at den amerikanske IKT-tjenesteleverandøren Solarwinds er sikker. Men i slutten av 2020 ble det oppdaget at de hadde vært kompromittert i nesten et år av en avansert aktør, trolig russisk. Angrepet hadde global rekkevidde – 18.000 kunder hadde mottatt oppdateringer med skadevare, herunder flere amerikanske myndighetsorgan og et titalls norske virksomheter. Selv det norske oljefondet var eksponert i nesten et halvt år.
Leverandørene må demonstrere at de er tilliten verdig
En viktig faktor for å ivareta sikkerhet for sine kunder blir derfor leverandørens evne og vilje til å være transparent. All teknologi inneholder sårbarheter, og det er derfor viktig å ha kontinuerlig fokus på å finne og tette disse sikkerhetshullene. En ansvarlig leverandør burde derfor tilrettelegge for testing og verifisering, for å demonstrere forsvarlig sikkerhet i sine produkter og tjenester. Eksempelvis burde en leverandør være i stand til å redegjøre for hvilke komponenter deres produkter inneholder, og hvilke avhengigheter som finnes. Når det da oppstår problemer med en av de avhengighetene, så vil man vite hvilke produkter det berører og kunne adressere problemet fremfor å forbli eksponert. Leverandører bør også tilby bedrifter nok fleksibilitet og kontroll til at de kan forvalte sine data på en sikker måte, som for eksempel ved å tilby lagring nasjonalt eller i Europa.
Bransjestandarder gjør arbeidet enklere
For den jevne norske bedrift kan det være krevende å teste alle sine leverandører. Dette arbeidet blir enklere ved at man velger leverandører som etterlever bransjestandarder og beste praksis, som reflekterer den samlede kunnskapen blant de fremste ekspertene på området. Dette gir en kvalitetssikring for både spesifikke produkter og til de generelle arbeidsprosessene hos leverandører. Solarwinds hadde eksempelvis ikke ansatt en informasjonssikkerhetssjef/CISO som kunne etablere overordnet sikkerhetsstyring, og gjorde seg sårbare gjennom svært dårlig passord-praksis. En leverandør med umoden sikkerhetskultur vil eksponere kundene unødig.
Verden kan raskt endre seg
Det er også viktig å tenke på hva man gjør dersom en skulle få problemer med, eller miste tillit til, en leverandør. Det å ha flere leverandører å spille på vil være viktig både i konkurransesammenheng og for å etablere en grad av robusthet i sin IKT-infrastruktur. Dersom man gjør seg fullstendig avhengig av én enkelt leverandør, risikerer man store driftsforstyrrelser om noe uventet skulle skje. Og om det er noe det siste året har lært oss, så er det å være forberedt på det uventede.
Av Tor Saltveit, CSO Huawei Norge