«Risikoforståelse»

Oppsummerende rapport fra Sikkerhetstoppmøtet

12.11.2015

3 Innledning

4 Tidligere tema

5 Hvilke utfordringer har vi med risikoforståelsen? Vanskelige begreper Manglende bevissthet Forankring i virksomheten Utfordrende å kommunisere risiko Risikostyring Risikoforståelse Kunnskap

9 Hvordan kan risikoforståelse forbedres? Åpenhet og deling av informasjon Samarbeid Ansvar Holdninger og bevissthet Reguleringer Opplæring, øving og trening

Innhold

sikkerhetstoppmøtet 3

Norske ledere behandler daglig risiko i virksom- heten knyttet til strategiske beslutninger, opera- sjonell drift og andre ulike forhold. Gjør mangel på kompetanse og erfaring innen informasjonssik- kerhet det vanskelig å overføre evnen til å forstå denne typen risiko?

Innledning

4 sikkerhetstoppmøtet

26.10.2010 Hvordan hindre informasjonslekkasje fra virksomhetens styre?

09.02.2011 Utfordringer med outsourcing, offshoring og cloudbaserte løsninger

15.06.2011 Risikostyring i virksomheten

18.10.2011 Utvikling av menneskelig atferd og sterk sikkerhet i en ny verden

25.01.2012 Hendelseshåndtering – fra oppdagelse til anmeldelse

19.04.2012 Tillit til sikkerheten hos samarbeidspartnere og leverandører

18.10.2012 Monitorering av de ansatte – løsningen på tillitskrisen til mobile ansatte?

24.01.2013 Ledelsesforankring og isms

17.04.2013 Sikkerhetskultur

30.10.2013 Applikasjonssikkerhet – har vi kontroll?

28.01.2014 Informasjonssikkerhet i verdikjeden – klarer vi å tenke på alt?

09.04.2014 Beredskap

06.11 2014 Kritisk infrastruktur

27.01.2015 Informasjonstyveri og industrispionasje

16.04.2015 Digitalisering og balansen mellom næringsutvikling og sikkerhet

Tidligere tema

12.11.2015 Er det utfordringer med ny personvernforordning?

sikkerhetstoppmøtet 5

Vanskelige begreper

Mange av deltakerne på sikkerhetstoppmøtet har lang erfaring innen ulike deler av sikkerhetsarbeidet, og erfarer at bruken av begreper kan variere stort mellom virksomheter eller områder. Noen bransjer har over tid utviklet egne begreper, og dette gir utfordringer når en skal samarbeide om håndtering av risiko.

Forståelse for hva som legges i begrepene ”risiko” og ”risikoforståelse” kan variere ut fra hvorvidt men snakker om taushetsplikt, HMS, trygghet, informa-sjonssikkerhet, ISO-standarder osv. Ulike fagmiljøer kan bruke tilnærminger som kommer fra ulike teoretiske eller praktiske grunnlag.

Sikkerhetstoppmøtet mener at det er vesentlig at begrepsapparatet defineres. Det er viktig slik at alle har samme forhold til hva man ønsker å oppnå. Bruk av språk er viktig for klarhet og dette kan ikke overlates til tilfeldighetene.

Manglende bevissthet

Sikkerhetstoppmøtet diskuterte om vi vet for lite om hva som skjer der ute. Vi erkjenner at forståelsen blir dårlig, og erfaringskomponenten er fraværende. Kanskje mobilen har blitt borte, men en reell IKT-hendelse har vært fraværende. Det må nesten skje noe for å få opp bevisstheten. Du får ikke penger til sikker-hetstiltak der det ikke har skjedd noe.

Har vi den rette forståelsen av IKT-risiko? Er det slik at ledere mangler denne modellen og erfaring, og dermed klarer vi ikke kommunisere risiko så godt?

Eksemplets makt: Et åpnere samfunn om sikkerhetshendelser vil føre til større bevissthet. Når man ikke opplever noe selv kan det være greit at noen andre for-teller hva som har skjedd (ref. slik Telenor gjorde). Norge er et lite land. Det kan skape utfordringer med anonymisering av informasjon og dermed deling i mange tilfeller.

Fra ”need to know” til ”responsibility to share”. Som sikkerhetsfolk er vi oppdradd til det første, men vi trenger det andre. Vi må gjøre hverandre gode gjennom å dele informasjon slik at vi kan bil bedre. Vi trenger et grunnlag for å kunne iverk-sette forebyggende tiltak.

Nordmenns risikoforståelse bærer preg av at ting ikke er så farlig, vi føler oss trygge. I Sverige og Tyskland er man mer autoritære, mens i Norge ser det ikke ut til at vi har samme respekt for autoritet. Det er viktig å ha en kulturell forståelse generelt når man skal implementere sikkerhetstiltak.

Vi er 9 for-skjellige per-soner rundt dette bordet, og jeg er sik-ker på at vi

har 9 forskjel-lige oppfat-ninger av

risikobildet

Det er store forskjellen

innad i kom-munal sektor, f.eks. mellom barnevern- ansatte og lærere. De

tilnærmer seg ikke risiko på samme måte.

Hvilke utfordringer har vi med risikoforståelsen?

6 sikkerhetstoppmøtet

Forankring i virksomheten

En deltaker forteller at virksomheten jobber med nytt sikkerhetsrammeverk og at det er forretningssiden som må eie dette. Forretningen må lykkes med sine digitale modeller og da er informasjonssikkerhet en forutsetning. Det er viktig at vi får integrert dette med risikostyring i ledelsesprosessene. Vi som arbeider med informasjonssikkerhet må sette oss inn i toppledelsens sko og få deres refleksjoner. Vi er på en reise, og behovet for profesjonalisering innen vårt fag-felt øker med digitaliseringen av virksomhetene våre.

Våre ledere mangler erfaringer med hva IT-risiko kan bety fordi de har ikke erfart det. Vi har dermed en utfordring med risikoforståelsen. Konsekvensene er heller ikke tydelige. Risikoforståelse eller eierskap for en risiko får du ikke før du får ansvar for den. Den personen som er ansvarlig for at noe ikke skjer, vil føle eierskap for den risikoen.

De som jobber i IT-sikkerhet spesielt ser ofte bare sin del av virksomheten når en hendelse inntreffer, mens ledelsen er bedre skikket til å se hele bildet. Hvor-dan er vi som IT-folk egentlig i stand til å få god nok risikoforståelse? Alle avde-lingene må jobbe sammen om risikoforståelsen, IT, økonomi, og mer, for å kunne involvere ledelsen på riktig måte.

Sikkerhetstoppmøtet erfarer at noen har lett for å tenke at dette er ikke mitt ansvar når man blir stilt ovenfor en risiko. Hvis man ikke har ansvar selv leg-ger man det fra seg, heller enn å finne ut hvem som har ansvar å gi det til dem. Enkelte tar imidlertid alle risikoene mye mer alvorlig enn andre. Noen som blir møtt med for mange risikoer kan velge å ikke gjøre noe, fordi det blir for mye til at man kan gjøre alt.

Utfordrende å kommunisere risiko

Flere på sikkerhetstoppmøtet synes at risiko er så uangripelig slik at det er van-skelig å kommunisere det effektivt. En må kunne oversette det tekniske til det forretningsmessige. Dette er viktig, men ofte vanskelig.

Når vi skal snakke om risiko blir vi ofte for tekniske. Vi snakker ikke med følelse. Blir en mann skutt i gata snakker vi ikke om hvilket våpen som ble brukt eller serienummeret på dette. Vi må gjøre det samme når vi snakker om informa-sjonssikkerhetshendelser med ledere. Det er viktigere å snakke om hva som kan skje/har skjedd enn detaljene rundt dette.

En fagekspert har behov for detaljer, men det må omformuleres når vi skal informere ledelsen eller andre i virksomheten. Enkelte detter ut når man bruker fagbegreper, og vi har erfart at sikkerhet og risiko kan ikke kommuniseres til fagfolk og andre på samme måte.

Man tar ofte snarveier som man egentlig ikke har lov til å ta, bare

for enkelthets skyld.

Et viktig bud-skap for meg er at dersom noen spør om hvem som job-ber med risiko

og de svarer sikkerhets-

sjefen så har jeg tapt. Den enkelte skal

vite at de har ansvar.

Folk deler mye, men de

lytter ikke

sikkerhetstoppmøtet 7

Det er viktig å være ydmyk og ikke slik at de man snakker med føler at man blir belært. Da kan vi etablere plattform for kommunikasjon hvor vi som fageksperter blir lyttet til. Når vi kommuniserer må vi fange oppmerksomheten.

En deltaker forteller at de prøver å gjøre om fagspråket om til noe kjent. Språket er en utfordring, men hvis man eksemplifiserer gjennom for eksempel en nyhetssen-ding (øvelse) kan man øke bevisstheten hos ledere. Man må trykke forsiktig på noen nerver, men det er mulig.

Vi må få nok informasjon til at vi kan informere våre ledere og forklare de hva vi trenger av tiltak for å sikre oss. Av og til er tiltakene å samle inn informasjon for å kunne forstå hva som skjer og kommunisere riktig.

Risikostyring

Det er en utfordring at risikostyring i stor grad er bundet av regulatoriske krav. Med dette menes at det stilles krav om at risikostyring skal gjennomføres, men som regel uten at det er regulert hvordan det skal gjøres. Sikkerhetstoppmøtet diskuterte hvorvidt det er en rett måte å styre risiko på. Når vi først begynner med risikostyring så blir det omstendelig og tungt så da kan vi ikke gjøre det fortløpende. Det bør være et fast agendapunkt for ledelsen, slik at vi unngår at det blir en stor prosess en gang i året. Faren er at det ikke blir integrert i ledelsesprosessene, og da får vi ikke effekt!

Det som kan være et problem med risiko, er at med en gang man begynner å dis-kutere ROS (Risiko- og Sårbarhetsanalyse), finner vi fram modellene, og så blir alt teknisk. Det er vanskelig å ha oversikt over risikoene alle avdelinger står ovenfor, så det blir nesten umulig for ledelsen å forholde seg til. Det blir «information overload».

Flere erfarer at risikoområdene er så forskjellige at det er vanskelig å finne et felles system for risikohåndtering. Hvordan henger alle risikoene sammen? En CIO forstår risiko fra forretningens ståsted, men selv en CIO kan ha utfordringer med å forstå IT sikkerhet og hvordan den henger sammen med forretningen.

Sikkerhetstoppmøtet diskuterte at man er nødt til å leve med risiko. Det er ikke alltid nødvendig å fjerne risiko, men en må så langt det er mulig være klar over at den er der.

Ulike maler i offentlig sektor spriker med hensyn på tiltak og risikoanalyse. De fleste standardene forteller at risikoanalyser skal utføres, ikke hvordan det skal gjøres.

Risikoforståelse

Mange av oss er tillitsfulle. Det er ikke det at vi ikke er kjent med risikoen, men vi har mye tillitt til hverandre. Det er positivt. Så vil det alltid være noen som er veldig paranoide, og noen som er veldig avslappet i forhold til sikkerhet. Disse forholder seg til regler og lovverk på forskjellig måte. Vi må enes om et risikobilde, og det er krevende.

Når jeg skal kommuni-sere risiko så må jeg

være veldig forsiktig med å snakke om IT-sikkerhet

Forebygging lønner seg alltid, men

dilemmaet er at man ikke

kan forebygge seg helt ut av

risiko.

Vi har litt begrenset

evne til å lære av hverandre.

Sikkerhets-folk lærer av

teoretiske framstillinger. Ledere lærer

av det de personlig har

erfart.

8 sikkerhetstoppmøtet

Awareness training - har

det noen nytte?

Flere deltakere på sikkerhetstoppmøtet erfarer at risikoforståelsen er forskjellig på forskjellige steder i virksomheten. Dette er en utfordring, men det er trolig noe en ikke kan gjøre så mye med. Det er krevende å enes om et risikobilde. Klarer man å få en felles forståelse av hvor galt det kan gå når det smeller? Da kommer man ofte til den vanskelige delen av risikomodellen, nemlig sannsynlig-heten. Konsekvensvurdering er individuell, avhengig av hva man ser og vet. Man kan klare å enes om trussel, sårbarhet og hvilke kontroller man har, men resten er vanskelig, spesielt sannsynlighet.

Norsk lovgivning er ofte veldig streng på sikkerhet, og andre regler, og det gjør at folk, også sikkerhetsfolk, får lyst til å slurve. Man gjør alltid sin egen risiko-analyse, underbevist eller ikke. Men alle gjør ikke samme risikoanalyse, så da oppstår det ulik praksis.

Sikkerhetstoppmøtet diskuterte om synlige sikkerhetstiltak kan gi folk følelsen at det er farligere enn før, ikke omvendt.

Vi er nødt til å stole på de kontrollmekanismene som ligger til grunn, uten å forstå hvordan det fungerer, fordi det er for komplisert. Problemet er at de store trusselaktørene forstår det, og kan derfor utnytte feil og svakheter.

Kunnskap

Sikkerhetstoppmøtet mener at kompetanse er helt nødvendig. De som arbeider med IT-sikkerhet liker å tro at vi vet mye om faget, men har ofte liten formell utdannelse. Nye bruksmønstre endrer behovet for kompetanse (f.eks. Bring Your Own Device, Sosiale Medier, Bring Your Own Services, Skytjenester etc.)

Er virkelig risiko noe objektivt?

sikkerhetstoppmøtet 9

Åpenhet og deling av informasjon

Sikkerhetstoppmøtet diskuterte åpenhet som en sterk driver innen teknologi, delingsøkonomi og ny økonomi. En kan imidlertid ikke dele ukritisk, klassifise-ring av informasjon og vurdering av sikkerhet må sees i sammenheng

En effektiv måte å få oppmerksomhet på er å dele informasjon om hendelser. Det kan utløse interesse og midler til å iverksette tiltak. En bør imidlertid ikke formidle risiko ved å skremme mottakerne. Å skape frykt tjener ingen.

En deltaker forteller at virksomheten er tydelig på at de ikke ønsker å dele risiko. Virksomheten har sine risikoer og kundene har sine risikoer. Når det er snakk om sårbarheter stiller det seg annerledes Det er viktig at vi kommunise-rer sårbarhetene til kunden.

Samarbeid

Sikkerhetstoppmøtet diskuterte offentlig og privat samarbeid og hvordan dette kan lede til en bedre risikoforståelse. Ansvaret for samarbeidet må ligge et sted, men alle må bidra. Flere mente at myndighetene bør lage en nasjonal felles arena. Det er veldig mange kommuner som ikke er i stand til å øke sin kompetanse for sikkerhet selv, staten bør gå inn å hjelpe dem. I næringslivet er det gjerne snakk om mangel på tilgang til kompetanse eller til informasjon om trusler.

Bedre samordning og utveksling av informasjon og erfaringer vil lede til en bedre risikoforståelse.

Ansvar

Sikkerhetstoppmøtet diskuterte hva forankring egentlig innebærer. Man hører gjerne at ting må forankres på ledelsens nivå, uansett hva det er. På engelsk kalles det «tone at the top», hvilket betyr at det som er holdning på toppen, blir holdning nedover i organisasjonen. Hvis ledelsen ikke er opptatt av økonomi, så er det ingen andre som er det heller. Hvis ledelsen ikke tar opp IT-sikkerhet i møter, så blir det ikke tatt opp av noen.

Eierskap på forretningssiden viktig, dialog med toppledelsen samt felles begrepsapparat. Risikoeierskap er imidlertid ikke lett å identifisere. Det gjør også at det er vanskelig å finne og få mobilisert risikoeiere. Noen ganger er det sammenfall mellom systemeiere, men noen gang går risiko over flere prosesser og systemer. En måte å bryte dette fra hverandre er å behandle informasjonen selv, informasjonseier blir da løsninger. Systemene blir bare understøttende og ikke noe som sier noe om eierskap.

Hvordan kan risikoforståelsen forbedres?

Forsvars og nasjonal- politikk

berører oss enten vi vil eller ikke.

Går det i det hele tatt an å tenke informa-sjonssik-

kerhet i det nye sam-

funnet uten å tenke

politikk og verdier?

10 sikkerhetstoppmøtet

I kommunesektoren har en erfart at risikoforståelsen er ulik i forskjellige avdelinger. Mangel på lovregulering kan føre til at ledelsen og fagpersoner ikke tar ansvar. Rådmannen må bry seg, men

ikke om detaljene. Han må vite hvem som har ansvaret i organisasjonen, og dele-gere det. Ellers kan en ende opp med mellomledere som ikke tar ansvar, fordi de ikke får ansvar.

Det er en utfordring i små organisasjoner at en leder har mange roller.

Hvem har ansvar for å formidle risiko for ledelsen? Linjen/eiere må selv gjøre dette, presentere sine risikoer. Dette handler om ansvarliggjøring, og det kan føre til at det leder frem til handling. De utøvende må ansvarliggjøres.

Holdninger og bevissthet

Hvordan skal vi få frem risikoforståelsen hos den yngre generasjonen? Hva med den eldre generasjonen? Den yngre har vokst opp med polerte grensesnitt uten å vite hva som skjer i bakgrunnen. Den eldre generasjonen har ikke vokst opp med denne teknologien og vet heller ikke hva som skjer i bakgrunnen. Stoler begge grupper for mye på teknologien?

Sikkerhetstoppmøtet mener at god risikoforståelse avhenger av hvem som får lov til å definere det. Risikoforståelsen kan føre til konkrete tiltak, så det er der-for viktig å definere risikoforståelsen «riktig». Det er effektivt å oppnå risikofor-ståelse når de som skal ha forståelsen sitter nært på verdiene. Da er forståelsen mye større. Verdinærhet. Sitter man langt unna glemmer man at man selv er en del av denne risikoen.

Sikkerhetstoppmøtet spør: Er det et generasjonsskifte på gang? Vet de yngre enda mindre om det som forstår det som skjer under? Det er dagens unge som blir fremtidens ledere – og det er bekymringsfullt om de ikke har med seg grunnlaget for teknologien vi alle er avhengig av.

Det å innse at det er en reell risiko er det første i å få god risikoforståelse.

Reguleringer

Sikkerhetstoppmøtet erfarer at standardisering er viktig, men det finnes svært mange standarder og veiledninger som alle finner opp kruttet på sin egen måte. Det er veldig lett å snakke om standardisering, men i praksis er det utfordrende å vite hvilken standard en skal og bør bruke.

Virksomhetene opplever gjerne et stort antall tilsyn som kommer med jevne mellomrom, da bryr man seg ikke nødvendigvis om at man får avvik. Compliance

sikkerhetstoppmøtet 11

gir heller ikke nødvendigvis god risikoforståelse, men man er i hvert fall bedre rustet. På en måte kan man si at man blir så bra som man kan bli hvis man etterlever kravene. Fordi da har man hatt en prosess på det, man har fått det inn i hverdagen.

Det finnes veiledere, standarder, og annet som handler om det samme (eks risikovurdering), og det kommer stadig noe nytt. Blir vanskelig å vite om vi bruker de rette verktøyene. Valget av verktøy trenger ikke være felles for alle virksomheter, men det må være felles for de som har felles mål. Da kan valget og språket bli ulikt på overordnet nivå, men likt inne i virksomheten, som er viktigst.

Rådmenn og ordførere, som er lovpålagte ansvarlige, har en hverdag full av opp-gaver. Hvis de skal følge alle krav fra tilsynsmyndigheter, får de ikke gjort jobben sin. For å få ledelsen til å legge fokus på beredskap og sikkerhet, må man også følge opp med sanksjoner. Det som har skjedd med

personvern og sanksjoner blir av enkelte dratt frem som et godt alternativ for å påtvinge risikoforståelse og sikkerhetsbevissthet. Det blir alltid etterlyst ster-kere forordninger, men likevel hører man alltid at trusselbildet er dynamisk. Hvordan skal man få forordningene til å hjelpe, og ikke omvendt?

I noen tilfeller kan risiko avtalereguleres. Det er dog et spørsmål om bestille-ren er kompetent nok til å bestille, og om leverandøren er kompetent nok til å levere. Det er en viss kompleksitet og dette skal skape utfordringer for f.eks små kommuner hvor bestillerkomptansen er lav.

Opplæring, øving og trening

Sikkerhetstoppmøtet er enige om at trusselbildet er særdeles dynamisk og at digitaliseringen gjør samfunnet mer sårbart.

Opplæring, øving og trening betyr mye for hvordan en kan håndtere hendelser når de plutselig oppstår. Vurderingene i etterkant av 22. juli hendelsen slo fast at den delen av beredskapen som fungerte best var akuttmottaket. De hadde trent på dette og kunne dette når en reell hendelse oppsto.

Innen helsesektoren har en f.eks. klare backup-rutiner. De trener på dette og har en redundans som gjør at de fortsatt kan falle tilbake til løsninger på papir.

Vi er nødt til å gå inn i flere utdanningsinstitusjoner og ta inn sikkerhet, og ikke bare i IT og helse.

Risikostyring må settes i

system, hvis ikke får du ikke oppmerksom-het. Men; risi-kostyring gir

ikke automatisk mer sikkerhet

Vi må erkjenne at det noen

ganger må skje noe/en hen-delse før noe

skjer. Det er ofte det som driver

oss videre.

Om Sikkerhetstoppmøtet

Sikkerhetstoppmøtet bringer informasjonssikerhets- ledere, eksperter og nøkkelpersoner innen fagfeltet sammen for å utveksle erfaringer og kunnskap.

Deltakerne vil gjennom foredrag og samtaler skaffe seg et klarere bilde av dagens praksis og en innsikt i utviklingen i feltet.

Formatet på samtalene er en åpen og kollegial tankesmie hvor synspunkter og argumentasjoner relatert til dags- aktuelle tema utveksles.

Nytteverdien for deltakerne ligger i at de kan ta med seg meningsutvekslingen tilbake til sine respektive foretak og styrke sin interne sikkerhet.

Sikkerhetstoppmøtet støttes av