Fremtiden er ikke lys når vi ikke engang er i stand til å beskytte informasjon i 40 minutter!

Om flyreiser, medpassasjerer, innovasjon og informasjonssikkerhet

Roar Thon (Foto: NSM) flyreiser, medpassasjerer, innovasjon og informasjonssikkerhet

Roar Thon (Foto: NSM)

Under nasjonal sikkerhetsmåned i oktober har jeg tilbragt mye tid i fly og på flyplasser for å komme meg rundt i landet for å snakke om sikkerhet. Reisene i seg selv, er ikke det morsomste jeg vet om. Men det er nødvendig. Om jeg ser positivt på det, så gir det meg anledning til å studere andre mennesker og da spesielt menneskers adferd. Det oppleves som en merverdi og det får tiden til å gå.

Fredagen startet tidlig for at jeg skulle komme meg til landets oljehovedstad – Stavanger, Rogaland. Et område som kanskje er det tydeligste eksemplet for noen av de største økonomiske- og samfunnsmessige utfordringer som samfunnet vårt står ovenfor. For mange har situasjonen ført til at de ikke lenger har arbeid, og vi begynner vel så smått å forstå utfordringene ved å skulle skape andre samfunnsverdier enn olje og gass.

Reisemålet mitt var altså Stavanger hvor jeg blant annet skulle holde et foredrag om sikkerhet til en stor norsk aktør med flere ben å stå på innen teknologibransjen. Et innledende poeng i mitt foredrag var påstanden at om de som selskap skal skape verdier ut av teknologiutvikling og nye produkter, så er de avhengig av tillit fra både kunder og samfunnet for øvrig. I min verden, får du ikke tillit uten at produktet er sikkert og trygt å bruke. God sikkerhet er en viktig faktor for å skape tillit – i hvert fall i min del av verden. Du får heller ikke store utbytte av innovasjon og utvikling om noen andre stjeler ideene og produktene dine mens du skaper dem.

Påstanden min har blant annet bakgrunn i min gryende bekymring når jeg ser, hører og leser om alle gode tiltak fra Innovasjon Norge og andre som skal finne «den nye oljen» Alle gode ideer finansieres og heies frem, hvor det viktigste er å være kreativ og ikke la seg stanse av noen ting. Går det til helvete, så er det også bare bra, for det lærer vi av. Jeg ser klare trekk av at man forsøker å kopiere og gjenskape mentaliteten fra Silicon Valley og jeg heier faktisk på den selv. Lite blir skapt om man bare fokuserer på begrensningene. Samtidig bekymrer jeg meg over vår norske evne til å gå gjennom livet med en høy grad av tillit til omverdenen. En evne jeg også setter pris på. Men jeg spør meg selv om verdiene vi forsøker å skape kommer til å bli andres verdier, fordi vi stoler for blindt på alle rundt oss. Når vår «nye olje» spås å være IKT i en eller annen form, blir jeg ikke mindre bekymret av den grunn. For hvordan skal vi greie å sikre våre verdier bedre i det digitale rom, enn hva vi greier å gjøre i det analoge rom? Eller for å si det på en annen måte. Hvorfor skal jeg tro at selskaper og ledere er i stand til å sikre sine verdier i det digitale rom, når de ikke er i stand til å beskytte det på en 40- minutters flytur til Stavanger.

Så tilbake til reisen.

Allerede ved gaten begynner jeg på min sedvanlige måte å kategorisere mine medpassasjerer. Jeg vet at jeg ikke nødvendigvis har rett i mine vurderinger om hvem de er, hva de skal osv. Men det får tiden til å gå. Selv om det er tidlig på morgenen er mange allerede i ferd med sine første telefonsamtaler. Allerede her er det informasjon å hente som bidrar til min kategorisering av mine medpassasjerer. Det er ikke lite man kan høre, når noen tror du ikke hører dem bare fordi du har ørepluggene tilkoblet både ører og mobil. En av mine medpassasjerer informerte på sin mobil om at dagens reise var på grunn av styremøte i Stavanger. Mentalt notert og kategorisert som uvesentlig av meg. Men med mange nok puslespillbrikker i din besittelse så får du slutt et brukbart bilde.

Vel plassert i flyet har jeg fått «styremøtepersonen» så nær meg at jeg fikk, (sett i ettertid) en nærmest perfekt anledning til å se hva personen brukte flytiden til. Etter den sedvanlige kaffeserveringen var det tydeligvis på tide å forberede seg til styremøtet, for hva drar «styremøtepersonen» opp? Et dokument med tydelig og gjenkjennbar logo for et norsk børsnotert selskap. Det som også var synlig var at dokumentet var tydelig merket med Konfidensielt med rød skrift. Dog ikke slik jeg er vant til i min sikkerhetsgraderte verden (KONFIDENSIELT) men likevel en tydelig merking som ville blitt betegnet av VG og andre som «hemmelig informasjon».

Det gleder det meg at norske selskaper praktiserer både verdigvurdering og merking av dokumenter. Det som ikke gleder, er at jeg regner med at selskapet ikke har i sin policy at konfidensielle dokumenter bør/kan/skal leses synlig for andre på en flyreise til Stavanger.

Selv om jeg skriver dette blogginnlegget ved bruk av ørnemetoden (en finger som sirkler over tastaturet, før den stuper ned mot byttet) så har jeg ikke lenger syn som en ørn. Men det trengte jeg da heller ikke. Etter noen minutters lesning var «styremøtepersonen» kommet dit i dokumentet at blant annet en graf (i full A4 størrelse) over hvor mange ansatte som må gå i 2016 ble veldig lesbar. Også den siden var tydelig merket med Konfidensielt.

Informasjonen jeg samlet inn på den 40 minutters lange flytiden har ingen verdi for meg, utover at jeg bruker den til å skrive dette blogginnlegget. Likevel er jeg ikke fremmed for tanken om at informasjonen kan ha sin børs- og forretningsmessige verdi. Andre kan vurdere det bedre enn meg, men noe mer hjelp til det, enn å lese dette innlegget får de ikke fra meg.

Selv om jeg kanskje er kjent for å snakke mye, er det ikke alt jeg sier. Jeg kan faktisk holde kjeft. Det er ikke jeg som kommer til å være årsaken om konfidensiell informasjon av dette slaget, blir utnyttet på en måte som ikke er ønskelig. Det greier de tydeligvis helt selv, om de gjør tingene på denne måten. Men det var kanskje et engangstilfelle og det er kanskje bare denne personen i styret som gjør ting på denne måten?
Dessverre tror jeg dette heller bare var et av mange eksempler på manglende bevissthet knyttet til informasjonssikkerhet. Ikke bare i dette selskapet, men hos mange andre også. Det vil jo helst gå bra! Eller?

Nå er det kanskje noen som lurer på hvorvidt jeg snakket med vedkommende etter ankomst. Det gjorde jeg ikke. Kanskje burde jeg ha gjort det, men nå er det for sent. Av praktiske årsaker, som tid til rådighet og de vanlige «tumultene» når alle skal være først ute av flyet, så ble det ikke slik. Hadde vedkommende lest i et KONFIDENSIELT dokument iht. sikkerhetsloven, ville jeg nok ha slått til før landing!

Om vi skal finne den «nye oljen» må vi være smarte, og kanskje litt heldige. Men jeg tror ikke at vi bare skal basere oss på flaks når det gjelder beskyttelsen av den. Vi må være smarte her også!

Det kan jo tenkes at du deler fly med noen helt andre neste gang.

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss