Sikkerhet, kurs og bortkastede penger

August 2006 tegner til å slå alle rekorder – med negativt fortegn – med hensyn til IT-sikkerhet. Store internasjonale banker rapporterte nylig mangedobling av tap på grunn av innbrudd, tapping og svindel med IT-systemer og data. Det oppdages daglig innbrudd og tapping av sensitive data fra offentlige og halvoffentlige registre, og fra store og små selskaper over hele verden. På enda flere systemer oppdages 'root-kits' og trojanske hester som er installerte, men ikke tatt i bruk – enda. De ligger klar til å bli utnyttet, og har kommunisert dette forholdet tilbake til sin 'skaper'. Der kan de ligge i måneder, kanskje år, men blir ikke mindre risikable av den grunn. Og sist, men ikke minst: Skjødesløsheten med data florerer, PCer og minnebrikker proppfulle av sensitive data som aldri skulle ha vært der, mistes eller blir stjålet.

Slik kan vi fortsette, listen er nærmest uendelig. Like fullt er mange virksomheter tilbakeholdne med å bruke mer penger på sikkerhet generelt og sikkerhets-opplæring spesielt. Verken driftspersonell eller vanlige brukere får slik opplæring, og resultatene blir deretter. Samtidig – og ironisk nok – er det aldri så galt at det ikke er godt for noe. For mens behovet for mer opplæring med tilhørende innsikt, forståelse og evne til effektive tiltak er større enn noen gang, er kvaliteten på opplæringstilbudet høyst variabelt. Et flertall av kursene som tilbys på markedet – det norske og det internasjonale – er for dårlige, for generelle og blir holdt av kursledere uten reell erfaring i det de underviser. Resultatet blir deretter. Bortkastet tid, bortkastede ressurser og uforandret eller fallende sikkerhet.

Forskjellen mellom gode og dårlige kurs er enorm. En medarbeider kommer tilbake fra et vellykket undervisningsopplegg inspirert, motivert og full av pågangsmot. Kombinert med en koffert full av effektive verktøy, er vedkommende i stand til og klar for å gi seg i kast med organisasjonens utfordringer på sikkerhetsfronten, inklusive å overbevise sine 'bevilgende myndigheter' om hva og hvordan IT-sikkerheten kan bringes opp på et riktig nivå. Et dårlig – eller kanskje rettere sagt alminnelig – kursopplegg sender medarbeidere hjem med lite annet enn bedre forståelse av problemets alvor og at det er vanskelig.

Sikkerhet er imidlertid ikke vanskelig. Sikkerhet og sikring er krevende. Når oppgavene og utfordringene fremstår som vanskelige, til tider uoverkommelige, er årsaken nettopp at innsikten og forståelsen er beskjeden. Da blir selv de enkleste problemer store.

Derfor: God opplæring er en grunnleggende forutsetning for å bedre IT-sikkerheten. Den organisasjon finnes knapt som ikke trenger styrket sikkerhet - på ett eller flere områder. Men et kurs er ikke bedre enn kurslederens kompetanse, erfaring og pedagogiske evner. Når vi skal velge systemer og løsninger sjekker vi typisk referanser, leverandørens kompetanse og evne til å levere det vi trenger når vi trenger det. Tilsvarende skjer kun unntaksvis når vi velger kursleverandør. Veien til forbedring starter derfor med større bevissthet i valget: Er sikkerhet en vesentlig del av kursleverandørens virksomhet? Hvor lang praktisk erfaring har kurslederen på hvilke områder? Hvor lenge har han eller hun holdt dette kurset? Hva sier andre som har tatt kurset? Evalueringen blir naturligvis litt forskjellig for produktspesifikke i forhold til generelle kurs, men tankegangen er den samme.

Lyspunktet er at gode kurs finnes, typisk hos aktører som har spesialisert seg på nettopp IT-sikkerhet. Dessuten - og like viktig: Når våre IT-spesialister skal få sin opplæring er det hensiktsmessig å også vurdere internasjonale kunnskapskilder. Den amerikanske organisasjonen SANS, som vi stadig refererer til i sikkerhets-sammenheng, står i en særklasse i så henseende. Organisasjonen holder fra tid til annen et utvalg av sine kurs også i Europa, og for første gang planlegges i disse dager et 'besøk' i Norge. To av SANS' velrenommerte kurs holdes - i samarbeid med Telenor på Fornebu - i september. Det er i hele IT-Norges interesse at visitten blir en suksess som frister til gjentagelse!