Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle spørgsmål om informationssikkerhed.
Hvad er forskellen på en Volvo og en Dacia? Ja, det afhænger jo dybest set af, øjet der ser. Selv om nogle sikkert vil sige komfort og design, så kan det næppe diskuteres, at en svensk produceret Volvo er noget dyrere end en rumænsk Dacia.
Hvorfor er det sådan?
En ikke uvæsentlig forskel er sikkerheden. En Volvo er grundlæggende set en del sikrere end en Dacia – og det koster. Og det er ikke kun fordi, at lønningerne er højere i Sverige end i Rumænien, men ganske enkelt fordi høj sikkerhed koster mere en lav sikkerhed. Der er helt givet en grund til at Volvo opnår de maksimale 5 stjerner hos Euro NCAP, mens Dacia kun får to. (NCAP er et sikkerhedssamarbejde mellem de europæiske bilklubber, der crashtester biler). Sætter man enkeltelementer med højere kvalitet sammen på den rigtige måde, får man et sikrere produkt, end hvis man sætter lavere kvalitets enkeltelementer sammen.
Det er de færreste helt sikkert i tvivl om, når talen falder på biler, men når det handler om cyber- og informationssikkerhed og IT’s sikkerhed, så er det nok noget andet.
Den tanke får man i al fald, når man læser Erhvervsstyrelsens nyeste analyse, der blev offentliggjort den 2. juni. Det er en analyse, der identificerer seks forskellige virksomhedstyper, der er karakteriseret ved en række forskellige faktorer i forhold til cyber- og informationssikkerhed – it-sikkerhed, som det hedder i analysen.
Det er en rigtig god analyse, som tilvejebringer et godt grundlag for at målrette indsatser mod de forskellige segmenter, som rygraden i dansk økonomi – de 500.000 smv’ere – udgøres af.
Analysen opererer med en række barrierer og drivere (drivkræfter) til højere sikkerhed. Barriererne er de velkendte: Alle virksomhedstyperne – fra de svageste til de mest modne har svært ved at prioritere den nødvendige tid til sikkerhed, rekruttere de rette kompetencer samt oplære eksisterende medarbejdere i sikkerhed. Det er altså et spørgsmål om tid og penge.
Drivkræfterne anses i modsætning dertil som værende noget, der understøtter højere sikkerhed. Her hedder det i analysen, at ’.. virksomhederne ville øge fokus på sikkerhed, hvis de får enkelte og konkrete råd, løbende varsler om aktuelle trusler og et bedre overblik over gratis tilbud til at styrke virksomhedernes it-sikkerhed.’ Altså også et spørgsmål om tid og penge.
Gratis tilbud?
Ja, jeg vil også gerne have et gratis tilbud, og det skal også gerne være nemt, men når jeg nu ved, at sikkerheden er en væsentlig årsag til, at en Dacia er billigere end en Volvo, så må ”gratis tilbud til at styrke virksomhedernes it-sikkerhed” nødvendigvis være hinandens modsætninger.
Faktisk giver det slet ikke mening at tale om gratis sikkerhed overhovedet, for det findes slet ikke. Heller ikke inden for informationssikkerhed.
Det har de fleste inden for privacyområdet talt om længe, bl.a. under henvisning til begrebet ’There ain't no such thing as a free lunch’, som er udødeliggjort med akronymet TANSTAAFL. Måske er Google, Facebook, TikTok gratis i anvendelse, men du betaler alligevel en pris. Og det er dine data. Den forståelse har efterhånden bredt sig i den offentlige mening, og det er godt.
Men er den samme erkendelse nået inden for informationssikkerhed? Det tror jeg ikke, når gratis tilbud til styrkelse af virksomhedernes it-sikkerhed fremhæves som en drivkraft i Erhvervsstyrelsens analyse. Intet ondt ord om analysen, i øvrigt. Erhvervsstyrelsen bringer blot virksomhedernes mening om drivkraft for højere sikkerhed til torvs.
Men sikkerhed er jo ikke gratis, og sikkerhed er jo ikke overstået med en snuptag. Det tager tid at prioritere oplæring af medarbejderne i sikkerhed, man skal som forretningsejer forholde sig til trusselsbilledet, man skal bruge penge på sikkerhed, hvis man gerne vil beskytte sin virksomhed.
Og derfor denne klummes overskrift: Sikkerhed er ikke gratis.
Så jeg vil foreslå, at alle, der arbejder med indsatser overfor smv’ere, starter med at aflive myten om gratis sikkerhed.
Hvis du møder modstand i den mythbuster-snak, fx ’Jamen, min konkurrent betaler ikke noget for sin sikkerhed’, så stil i stedet spørgsmålet:
Vil du overlade dine mest dyrebare værdier til en gratis tjeneste?
Nej, vel?
Når vi har den forståelse på plads, kan vi begynde at tale sammen. Og den samtale kan passende starte med, hvad der er vigtigst at beskytte, og hvad vi skal beskytte det i mod. Derefter kan vi tale om hvilken slags sikkerhed vi ønsker, og hvordan den sættes i værk.
Så begynder det at blive spændende at tale om sikkerhed. For så kommer det ikke til at handle om teknik, dimser og andre beskyttelsesmekanismer, som de færreste alligevel forstår.
Næh, så handler det om værdier, og hvad de betyder for os.
Det er langt sjovere at tale om.
Når vi har gjort det, så er det også langt nemmere at beslutte om det skal være en Volvo eller Dacia eller noget midt i mellem. Og ikke mindst hvorfor.