Tillit er viktig: noen tanker om sikkerhet i den digitale tidsalder

Microsoft

Microsoft

Lesetid, 5 min.

Jeg har jobbet med digital sikkerhet i et kvart århundre og blir derfor ofte spurt om hvordan bedrifter og organisasjoner enklest kan skape tillit hos kunder og partnere.

Svaret mitt er alltid det samme: «Ikke gjør dem ukomfortable!»

Jeg vet at det er en klisje å trekke paralleller til filmens verden, men i Minority Report er det et veldig godt eksempel på det jeg snakker om. Glem filmens grunnleggende premiss, som er at kriminelle handlinger kan forutses før de utføres. Den mest ubehagelige scenen for meg er den der rollefiguren til Tom Cruise går inn på et kjøpesenter, får øynene skannet og blir fortalt nøyaktig hvilke klær han vil like. Det kan virke som skikkelig god service, men det gjør meg ukomfortabel. Og jeg tror folk er bekymret for ting som gjør dem ukomfortable.

Når bedrifter snakker om å bruke avansert teknologi som for eksempel kunstig intelligens (AI), er det underforstått at kundedata kan brukes til profilering av mennesker. Bedrifter som bruker AI, må derfor gjøre det på en redelig og etisk måte, slik at vi kan stole på at AI brukes med god grunn og uten baktanker. Går de over streken, forsvinner tilliten som dugg for solen.

Jobben min er å hjelpe organisasjoner å bruke teknologi på en måte som skaper tillit. I denne artikkelen deler jeg noen av de viktigste tingene jeg mener IT-sikkerhetssjefer må tenke på i forbindelse med sikkerhet i den digitale tidsalder.

Det viktige tillitsspranget

En som har hatt stor innflytelse på det jeg tenker om tillit, er Rachel Botsman, spesielt konseptet hun kaller tillitssprang. For Botsman er et tillitssprang at noen må foreta et mentalt sprang fra det kjente til det ukjente. Et slikt sprang kjennetegnes av en bestemt følelse: usikkerhet.

Når organisasjoner går over fra lokal til skybasert infrastruktur, må de foreta et tillitssprang. Med andre ord må de konfrontere det usikre. Så når vi foretar spranget til digital transformasjon, trenger vi nok informasjon og innsikt til å gjøre dette spranget så bekvemt som mulig.

IT-sikkerhetssjefene som ser positivt på overgangen til skyen, ser på leverandører av hyperskalerbare skytjenester som Microsoft og stiller seg selv spørsmål som:

  • Kommer denne organisasjonen til å passe på dataene våre?
  • Vet jeg at jeg får kontroll over disse dataene når de først er der?
  • Har jeg innsikt i hva som skjer i skytjenesten?
  • Kan jeg få en forståelse av hvordan serversiden driftes?
  • Får jeg oversikt over risikoer?

Vi gjør alt vi kan for å svare på disse og andre spørsmål, og det gjør vi fordi vi vet at overgangen til skyen er et enormt tillitssprang for enkelte organisasjoner. Jo mer informasjon og åpenhet vi kan tilby, desto mindre skremmende vil dette spranget være. Til sjuende og sist er dette fordi tillit handler om å føle at man har kontroll, og at det man forventer vil skje, det skjer.

Slik reduserer åpenhet behovet for tillit

Åpenhet er et ord som ofte brukes når vi snakker om tillit. Rachel Botsman har imidlertid påpekt noe som virkelig fant gehør hos meg, nemlig at åpenhet faktisk ikke skaper tillit, men derimot reduserer behovet for tillit. Ved å være åpen reduserer du antallet ukjente faktorer, så tillitsspranget blir ikke så stort.

Når det gjelder sikkerhet, er det viktig å ha de rette kontrollene på plass, slik at du kan se og undersøke hva som skjer, og vise handlekraft. Alt dette skaper økt åpenhet og gjør derfor tillitsspranget mindre.

Jeg tror imidlertid også at under de rette forholdene kan åpenhet faktisk skape tillit. Et glimrende eksempel på dette fra virkeligheten er dataangrepet mot Norsk Hydro.

Norsk Hydro er en stor, global produsent av aluminium med fabrikker som bruker digital teknologi til å styre maskinene. Det kunne derfor fått katastrofale følger for både produksjonslinjen og omdømmet deres da de ble utsatt for et omfattende angrep med løsepengevirus – men responsen deres reddet dem.

Da de ble rammet av angrepet, holdt de en pressekonferanse. De var svært åpne om saken – selve angrepet, granskingen og responsen. Så i stedet for at angrepet fikk negative følger for omdømmet deres, snakket de fleste om tilliten og respekten de hadde fått i bransjen på grunn av denne åpenheten.

Dette er et klassisk eksempel på hvordan man gjør det beste ut av en vanskelig situasjon. Og det var mulig fordi de handlet på en åpen, etisk, ærlig og ansvarlig måte overfor eierne av dataene som ble rammet av angrepet. Tilliten ble altså ivaretatt.

Ta ansvar for datasikkerheten

Noe av det som kjennetegner tillit og personvern, er at det er et svært emosjonelt tema. Å ha tillit til noen er å være sårbar, og det vet cyberkriminelle, noe som er grunnen til at de ofte prøver å utnytte dette til å bryte seg inn hos organisasjoner.

De kommer fortsatt til å lykkes fordi vi er tross alt bare mennesker, men de kommer også til å gjøre feil. Det er lett å si at vi ikke må klikke på koblinger vi mottar, men sikkerhetseksperter må huske på at vår moderne verden er innrettet slik at vi oppfordres til nettopp å klikke. Så når noen sier dette, sier de egentlig at vi ikke må gjøre noe vi har blitt lært opp til å gjøre de siste 15 årene. Det er urealistisk, og jeg synes at sikkerhetseksperter kan være for strenge med sluttbrukerne og forvente at de handler på en måte som ikke er naturlig for dem.

En bedre respons er å regne med angrep og være forberedt på dem. Det er det jeg gjør: Jeg vet at det finnes kriminelle, og jeg vet at mennesker vil gjøre feil. Og jeg tar på meg ansvaret for å prøve å håndtere dette og minimere følgene.

Etter min mening er teknologi det beste forsvaret vi har i denne kampen.

Oppdag flere relaterte artikler per bransje:

Detaljhandel

  • REMA 1000 tar styring over skykostnadene
    REMA 1000 tar styring over skykostnadene

    Dagligvarekjeden har knukket koden –slik sørger de for å alltid få mest mulig ut av prisen de betaler for skyressursene sine. REMA 1000 er tydelige på hva vi kan forvente av dem som lavpriskjede: «alltid lave priser», fordi «det er sluttsummen på kassalappen som teller».  For å etterleve løftet til kundene, er kostnadsbevissthet en sentral […]

  • Microsoft Envision Retail agenda
    Microsoft Envision Retail agenda

    Microsoft Envision Retail 09.00  Velkommen Microsoft & Virke ønsker velkommen og snakker om de store trendene i retail Siri Nordby, Industry Lead Retail, Microsoft Norge Marit Hagehaugen Evensen, Bransjedirektør Retail, Virke 09.30  Envision Retail Dypdykk i kundereisen med fokus på teknologi og trender Linda Pimmeshofer, Direktør Forretningsutvikling Retail, Microsoft Sverige 10.00  Partnerskap med Møller Mobility […]

Finans og forsikring

Government

Helseomsorg

Industri

Offentlig sektor

Utdanning

Oppdag flere relaterte artikler per dossier:

Digital Transformation

Kundehistorier

  • Power BI-0812
    Power BI-dagen 13. desember 2022

    Desember, 2022 For andre gang arrangerte Microsoft Norge «Power BI-dagen» – en dag fylt med masse inspirasjon fra Norges største selskaper om hvordan de tar i bruk Power BI til å bli mer datadrevet. Vi startet dagen med Lars Andersen fra Power BI Customer Advisory Team (PBICAT), som presenterte Power BI i Norden, nyheter i […]

Presse

  • Microsoft Norges respons til COVID-19
    Microsoft Norges respons til COVID-19

    Sist oppdatert: 16. mars 2020 Microsoft har en global tilnærming til beredskapsplaner og planlegging av krisehåndtering, som inkluderer både forutsette og uforutsette hendelser. Tilnærmingen inkluderer en handlingsplan ved pandemier. Våre handlingsplaner aktiveres over hele verden, og i tillegg til bistandsmidler til Kina og Puget Sound Community, har vi forpliktet oss til å levere produkter, tjenester […]

Sikkerhet og personvern

  • Universitetets GDPR-guide
    Universitetets GDPR-guide

    Etter 25. mai* må du forholde deg til EUs regler rundt General Data Protection Regulation (GDPR). For å forstå hvordan ditt universitet skal klare dette, kan du ta en titt på denne e-boken og andre ressurser som kan være nyttig for deg og ditt universitet. Universitetets reise Universitetet samler inn navn, adresser, fødselsdatoer og mer […]

Tips