Mellom barken og veden

Kriminalitetsforebyggende arbeid er krevende på minst to måter; du skal overliste kriminelle og overbevise sjefen.

Erland Løkken

Det kriminalitetsforebyggende arbeidet vises i noen tilfeller på årsresultatet, men i svært mange tilfeller synliggjøres ikke arbeidet direkte hverken på topp- eller bunnlinjen. Svinn og tyveri er mulig å tallfeste og gjør det lettere å få gehør i ledelsen, men informasjonssikkerhet synliggjøres ikke så lett. Ei heller om de ansatte er mer eller mindre utsatt for en risiko, om noen har blitt ansatt på falske premisser, eller om datasystemene lekker som en sil. Mange ledere vil av denne årsak ha mindre fokus på sikkerhetsarbeidet enn det virkeligheten skulle tilsi. Unntaket er når ledelsen skal gå igjennom kostnadsarket i budsjettet. Da kan det kriminalitetsforebyggende arbeidet få oppmerksomhet, og krav om kostnadskutt. Det er hverdagen for sikkerhetslederne. At daglig leder er ansvarlig også for sikkerheten, har ikke stor bevissthet.
 
For det store flertallet av virksomhetene kommer det kriminalitetsforebyggende arbeidet som en tilleggsoppgave i en allerede presset hverdag. Om ikke daglig leder har fokus på forholdet, er det svært lett at arbeidet blir neglisjert.
 
NSR er av den oppfatningen at daglig leders uoppmerksomhet for kriminalitet er en stor trussel mot mange virksomheter. Det er flere eksempler på det.
 
I vår siste Mørketallsundersøkelse svarte 18,2 % av virksomhetene at de hadde mistet datautstyr siste kalenderår. Bare 2 % oppga at de hadde mistet informasjon. Hva var det da på at datautstyret om det ikke var informasjon der? Tomme minnebrikker og harddisker? Neppe. Svaret ligger nok i det forholdet at har man backup på jobben, har man ikke mistet informasjon. Det er en tankeløs tilnærming. Om du fremdeles har informasjonen kan den være verdiløs om konkurrenter eller kriminelle har fått tilgang til den.
 
I media kan vi lese om virksomheter som er stolte av de nettbaserte løsningene de har anskaffet, og de kan fortelle at alle kan sitte hjemme i stua og gjøre jobben. Det er ikke smart å fortelle at økonomiansvarlig kan overføre penger fra sofaen, eller at man kan styre Oslo vannverk fra senga. Det er en invitt til kriminelle om å komme på besøk, og vitner om mangel på en overgripende forståelse for hvor sårbar man gjør seg selv og sine ansatte ved å fortelle om dette utad.
 
Om du spør næringslivet i dag om hvor mange som krypterer de bærbare dataenhetene, så er det relativt få. Det er ikke vanskelig, men det gjøres ikke.
 
Mange næringsdrivende har passord for å komme inn på pc-en på jobben, men mottar e-postene på telefonen som er usikret. Logisk? Nei, men et synlig eksempel på ubevisstheten som råder i mange virksomheter.  
 
 
Virksomheter legger ut diplomer og virksomhetsdokumentasjon på nettet. Dette er informasjon som kan anvendes til svindel. Det er flere eksempler på at informasjon hentes fra nettet for å anskaffe varer og tjenester ulovlig. Hvorfor legger man da ut denne informasjonen? Det gjøres gjerne for å informere kunder og leverandører om virksomhetens kvalitet og fortreffelighet, men ubevisst den kriminelle risikoen.
 
Et annet fenomen som gie en bekymring for sikkerheten er det hurtige utviklingstempoet innen IT-teknologi. Konsekvensen er at hverken bestillerkompetansen eller brukernes sikkerhetskompetanse holder tritt. Dette, sammen med det forholdet at det ikke stilles krav til de som skal drifte IKT-systemer for andre, gjør deler av næringslivet sårbart. Faktum er at ca 50 % av virksomhetene helt eller delvis utkontrakterer driften av IKT-systemer, men ingen sikrer kompetansen til drifterne.

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss