Tillit er viktig: noen tanker om sikkerhet i den digitale tidsalder

Jeg har jobbet med digital sikkerhet i et kvart århundre og blir derfor ofte spurt om hvordan bedrifter og organisasjoner enklest kan skape tillit hos kunder og partnere.

Svaret mitt er alltid det samme: «Ikke gjør dem ukomfortable!»

Jeg vet at det er en klisje å trekke paralleller til filmens verden, men i Minority Report er det et veldig godt eksempel på det jeg snakker om. Glem filmens grunnleggende premiss, som er at kriminelle handlinger kan forutses før de utføres. Den mest ubehagelige scenen for meg er den der rollefiguren til Tom Cruise går inn på et kjøpesenter, får øynene skannet og blir fortalt nøyaktig hvilke klær han vil like. Det kan virke som skikkelig god service, men det gjør meg ukomfortabel. Og jeg tror folk er bekymret for ting som gjør dem ukomfortable.

Når bedrifter snakker om å bruke avansert teknologi som for eksempel kunstig intelligens (AI), er det underforstått at kundedata kan brukes til profilering av mennesker. Bedrifter som bruker AI, må derfor gjøre det på en redelig og etisk måte, slik at vi kan stole på at AI brukes med god grunn og uten baktanker. Går de over streken, forsvinner tilliten som dugg for solen.

Jobben min er å hjelpe organisasjoner å bruke teknologi på en måte som skaper tillit. I denne artikkelen deler jeg noen av de viktigste tingene jeg mener IT-sikkerhetssjefer må tenke på i forbindelse med sikkerhet i den digitale tidsalder.

Det viktige tillitsspranget

En som har hatt stor innflytelse på det jeg tenker om tillit, er Rachel Botsman, spesielt konseptet hun kaller tillitssprang. For Botsman er et tillitssprang at noen må foreta et mentalt sprang fra det kjente til det ukjente. Et slikt sprang kjennetegnes av en bestemt følelse: usikkerhet.

Når organisasjoner går over fra lokal til skybasert infrastruktur, må de foreta et tillitssprang. Med andre ord må de konfrontere det usikre. Så når vi foretar spranget til digital transformasjon, trenger vi nok informasjon og innsikt til å gjøre dette spranget så bekvemt som mulig.

IT-sikkerhetssjefene som ser positivt på overgangen til skyen, ser på leverandører av hyperskalerbare skytjenester som Microsoft og stiller seg selv spørsmål som:

• Kommer denne organisasjonen til å passe på dataene våre?
• Vet jeg at jeg får kontroll over disse dataene når de først er der?
• Har jeg innsikt i hva som skjer i skytjenesten?
• Kan jeg få en forståelse av hvordan serversiden driftes?
• Får jeg oversikt over risikoer?

Vi gjør alt vi kan for å svare på disse og andre spørsmål, og det gjør vi fordi vi vet at overgangen til skyen er et enormt tillitssprang for enkelte organisasjoner. Jo mer informasjon og åpenhet vi kan tilby, desto mindre skremmende vil dette spranget være. Til sjuende og sist er dette fordi tillit handler om å føle at man har kontroll, og at det man forventer vil skje, det skjer.

Slik reduserer åpenhet behovet for tillit

Åpenhet er et ord som ofte brukes når vi snakker om tillit. Rachel Botsman har imidlertid påpekt noe som virkelig fant gehør hos meg, nemlig at åpenhet faktisk ikke skaper tillit, men derimot reduserer behovet for tillit. Ved å være åpen reduserer du antallet ukjente faktorer, så tillitsspranget blir ikke så stort.

Når det gjelder sikkerhet, er det viktig å ha de rette kontrollene på plass, slik at du kan se og undersøke hva som skjer, og vise handlekraft. Alt dette skaper økt åpenhet og gjør derfor tillitsspranget mindre.

Jeg tror imidlertid også at under de rette forholdene kan åpenhet faktisk skape tillit. Et glimrende eksempel på dette fra virkeligheten er dataangrepet mot Norsk Hydro.

Norsk Hydro er en stor, global produsent av aluminium med fabrikker som bruker digital teknologi til å styre maskinene. Det kunne derfor fått katastrofale følger for både produksjonslinjen og omdømmet deres da de ble utsatt for et omfattende angrep med løsepengevirus – men responsen deres reddet dem.

Da de ble rammet av angrepet, holdt de en pressekonferanse. De var svært åpne om saken – selve angrepet, granskingen og responsen. Så i stedet for at angrepet fikk negative følger for omdømmet deres, snakket de fleste om tilliten og respekten de hadde fått i bransjen på grunn av denne åpenheten.

Dette er et klassisk eksempel på hvordan man gjør det beste ut av en vanskelig situasjon. Og det var mulig fordi de handlet på en åpen, etisk, ærlig og ansvarlig måte overfor eierne av dataene som ble rammet av angrepet. Tilliten ble altså ivaretatt.

Ta ansvar for datasikkerheten

Noe av det som kjennetegner tillit og personvern, er at det er et svært emosjonelt tema. Å ha tillit til noen er å være sårbar, og det vet cyberkriminelle, noe som er grunnen til at de ofte prøver å utnytte dette til å bryte seg inn hos organisasjoner.

De kommer fortsatt til å lykkes fordi vi er tross alt bare mennesker, men de kommer også til å gjøre feil. Det er lett å si at vi ikke må klikke på koblinger vi mottar, men sikkerhetseksperter må huske på at vår moderne verden er innrettet slik at vi oppfordres til nettopp å klikke. Så når noen sier dette, sier de egentlig at vi ikke må gjøre noe vi har blitt lært opp til å gjøre de siste 15 årene. Det er urealistisk, og jeg synes at sikkerhetseksperter kan være for strenge med sluttbrukerne og forvente at de handler på en måte som ikke er naturlig for dem.

En bedre respons er å regne med angrep og være forberedt på dem. Det er det jeg gjør: Jeg vet at det finnes kriminelle, og jeg vet at mennesker vil gjøre feil. Og jeg tar på meg ansvaret for å prøve å håndtere dette og minimere følgene.

Etter min mening er teknologi det beste forsvaret vi har i denne kampen.