„Að stjórn skelli skuldinni á tæknistarfsmann er ein­fald­lega ekki í boði“

„Stjórnir geta ekki lengur bent á aðra aðila. Ábyrgð stjórnenda og stjórna er mjög mikil þegar kemur að netöryggismálum. Árið er 2025; Það er ekki lengur hægt að benda bara á tæknigaurinn og segja að hann eða UT sviðið hafi séð um þetta.“

Því já; Atvinnulífið stendur frammi fyrir nýjum veruleika og það er veruleiki gíslatöku og árása hakkara úti í heimi, sem geta valdið miklum skaða og jafnvel haft af fyrirtækjum fé.

„Það er allt undir; hagur hluthafa, lánadrottna, jafnvel viðskiptavina. Sem geta orðið fyrir tjóni ef upplýsingum um þá er lekið út.“

Í dag og á morgun, fjallar Atvinnulífið um netöryggi og þær ógnir sem fyrirtækjum stafar af nú þegar og aukast hratt.

Ábyrgð stjórna mikil

Lára Herborg, sem er með meistaragráðu í tæknirétti (e. Law and Technology) frá UC Berkeley háskólanum í Bandaríkjunum, segist oft upplifa ákveðna neikvæðni í garð umræðunnar um netöryggi.

„Svona eins og umræðan fái fólk til að andvarpa og spyrja: Æi, við gerum þetta bara eins og hinir. Þurfum við eitthvað að vera að pæla í þessu?“

En svarið er já; Undan því er einfaldlega ekki komist. Ekki síst hjá stjórnendum og stjórnum félaga sem bera gríðarlega mikla ábyrgð á því ef eitthvað kemur upp sem hægt er að rekja til þess að ekki hafi verið nægilega hugað að netöryggismálum.

„Stjórnir þurfa að vera þátttakendur í því að móta viðbragðsáætlanir fyrir fyrirtæki og stjórnendur þurfa að vera meðvitaðir um mikilvægi þess að byggja upp öryggismenningu á vinnustað,“ segir Lára og bætir við:

„Öryggismenning þýðir þá að starfsfólk má ekki vera hrætt við það að segja frá ef það smellti óvart á einhvern hlekk einhvers staðar. Því það er stundum ekki meira sem þarf til.“

Lára segir lög um rekstur einkahlutafélaga og hlutafélög koma lítillega að þessu, enda lögin mun eldri en tæknin sem nú blasir við.

„En í lögum um einkahlutafélög og í hlutafélagalögunum koma þó fram ákvæði um ábyrgð sem stjórnir bera á rekstri félaga. Ef fyrirtæki fer á hliðina í kjölfar netárásar, má sú staða ekki koma upp í kjölfarið að netárásin kom til vegna þess að ekki var búið að girða fyrir þekktan veikleika, sem vel hefði verið hægt að gera miðað við reynslu annarra fyrirtækja eða stofnana af netárásum.“

Lára segir persónuverndarlögin líka snerta á málaflokknum að einhverju leyti og heilt yfir þurfi alltaf að taka mið af því í hverju starfsemin felst.

„Það gilda ákveðin sérlög um fyrirtæki sem starfa á sviði heilbrigðismála, önnur regluverk geta síðan náð til fyrirtækja á fjármálamarkaði, mikilvægra innviða og svo framvegis. En það breytir því ekki að öll fyrirtæki þurfa að hlíta ákveðnum reglum sem gilda um rekstur þeirra og þar eru stjórnirnar í ábyrgð fyrir rekstrinum“ segir Lára og bætir við:

„Ég tel hins vegar að áhættan sem netöryggismálin fela í sér og ábyrgð stjórna sé hins vegar víða vanmetin í fyrirtækjum.“

Að benda á aðra sökudólga

Þótt nánast daglega séu fréttir um netárásir á fyrirtæki og stofnanir, hér heima eða erlendis, segir Lára tæknimálin oft mjög fjarri stjórnum félaga.

„Það er ekki óalgengt að við stjórnarborðið sé enginn með skilning á leikreglum né tækninni. Sem eykur þá líkurnar á að áhættan af netöryggismálunum sé vanmetin.“

Þetta þýði um leið að stjórnir séu að vanmeta sína eigin ábyrgð á netöryggismálum.

„Fólk ber því við að hafa haldið að þessi mál væru í lagi en fer síðan að benda á aðra þegar eitthvað kemur upp. Á þetta sérstaklega við þegar rekstri upplýsingakerfa er í einhverjum mæli úthýst til þjónustuaðila“

Og Lára Herborg nefnir dæmi.

„Eitt dæmi er þegar Strætó varð fyrir netárás og félagið taldi að Advania bæri ábyrgð, því þeir sáu um kerfin. En Advania svaraði því til að það hefði ekki verið innan þeirra þjónustusamnings.“

Að mati Láru snýst málið að vissu leyti um að fólk átti sig á því að nýr veruleiki einfaldlega blasir við í dag.

„Árið er 2025 og það er ekki í boði að segjast einfaldlega ekki hafa grunnskilning á þessum málum. Það er ekki nóg í dag að halda að þessir hlutir séu í góðu standi án þess að spyrja spurninga. Stjórnir verða að vera með það á hreinu hvernig staðið er að netöryggismálum hjá fyrirtækjum og hvort öruggt sé að verið er að lágmarka áhættuna á að fyrirtækið gæti orðið fyrir tjóni af völdum árása; fjárhagslegs eða annars konar,“ segir Lára og bætir við:

Það er að mörgum hagsmunum að gæta þegar kemur að netöryggismálum.

 Að veikleiki sé til staðar vegna þess að kerfi hafi ekki verið uppfært eða að stjórn skelli skuldinni á tæknistarfsmann er einfaldlega ekki í boði.“

Að forðast skellinn

Lára segir rauða stefið í sínum málflutningi í raun byggja á þremur burðarsúlum:

• Að gerðar séu tæknilegar ráðstafanir til að verjast árásum
• Að innanhús séu skipulagslegir verkferlar til staðar til að auka á öryggið
• Að fólkið sé virkjað innan fyrirtækisins

„Því ekkert af þessu hefur nokkra þýðingu ef þú hefur fólk sem skilur ekki um hvað þessi mál snúast.“

En vá hvað þetta er flókið hugsa eflaust margir núna. Og hvaða ábyrgð er þetta; Er eitthvað að marka svona tal þegar á reynir?

Jú að mati Láru er það svo.

„Netglæpir og árásir er þannig heimur að það er í rauninni allt undir sólinni undir. En ef fólk þorir ekki að segja frá því innan vinnustaða að það hafi smellt á einhvern hlekk er ekki rétt viðhorf á vinnustaðnum; öryggismenning snýst einmitt um að fólk þori að segja frá ef eitthvað kemur upp og telji sig standa sig betur ef það gerir það,“ segir Lára og bætir við:

Öryggismenningu fyrirtækja þarf að rækta þannig að það sé ekki skömm lengur að segja frá eða að fólk hugsi: Nú lendi ég í vandræðum.

 Öryggismenningin á að vera þannig að starfsfólk hugsi frekar með sér að það vilji segja frá, því enginn vill vera veikasti hlekkurinn.“

Hvað varðar ábyrgð stjórna segir Lára.

„Ef fyrirtæki verður fyrir tjóni af völdum netárásar þá kann það mjög líklega að vera á ábyrgð stjórna. Hingað til hefur það þó verið nokkuð algengt að um tæknimálin er almennt lítið rætt á stjórnarfundum. Oft vegna þess að enginn í hópnum hefur skilning á því hversu raunveruleg ógnin er.“

Lára nefnir tekur skemmtilega samlíkingu.

Ég hef stundum borið þetta saman við lífstílssjúkdóma. 

Við vitum öll að óhollt mataræði og lítil hreyfing getur aukið líkurnar á ákveðnum lífstílssjúkdómum. 

Maður hugsar um þetta í einhverjum mæli en eflaust ekki nóg því maður hugsar alltaf að þetta eigi ekki við um mann sjálfan. 

Það sama á raunar við um netöryggismál innan fyrirtækja.“

Mögulega þurfi ákveðna viðhorfsbreytingu svo vitundavakningin náist í gegn.

„Mér finnst stundum eins og stemningin sé ekki alveg rétt hvað þessi mál varðar: Að fólk skýli sér jafnvel á bakvið það að regluverkið í Evrópu sé svo íþyngjandi, dragi úr samkeppnishæfi og svo framvegis. En mögulega eru þetta allt vísbendingar um að stemningin gagnvart netöryggismálum er ekki sú sem hún ætti helst að vera. Að þessu viðhorfi þurfi að breyta. 

Kannski að það sé einfaldlega vel við hæfi í þessu samhengi að benda á það sem Tyson sagði eitt sinn:

Allir eru með plan þar til þeir eru kýldir í andlitið

(e.everybody has a plan until they get punched in the face).“