Vi må slutte å bruke pekefingeren om IT-sikkerhet

Flere norske virksomheter vil ta sikkerhet på alvor, hvis man bruker et språk ledelsen forstår, sier Legal Director i Visma, Lars Ottersen.

Flere norske virksomheter vil ta sikkerhet på alvor, hvis man bruker et språk ledelsen forstår, sier Legal Director i Visma, Lars Ottersen.

Illustrasjon: Henrik Lied/
Eirik Solheim/
Harald K. Jansson/
Norge i bilder

- Vi kan ikke ha det sånn at norske bedrifter er flinkere til å forsikre PC-ene sine enn dataene som ligger lagret på dem, sier leder for fagstøtte BM hos Eika Forsikring, Trond Anders Fossum.


Skrevet av Martin Gundersen, NRKbeta 

Utdrag fra NRKs reportasje publisert desember
2020. Du kan lese hele reportasjen på NRKbeta.

I en undersøkelse utført av Telenor i 2020 svarte 20 prosent av norske virksomheter  at de ikke har noen planer for å håndtere digitale angrep. 

Legal Director i Visma konsernet, Lars Ottersen, tror en av grunnene til at mange bedrifter ikke prioriterer IT-sikkerheten godt nok, ikke skyldes mangelen på advarsler, men at varslene ikke blir presentert for ledelsen på riktig måte.

– Pekefinger-taktikken er roten til mye vondt og skaper distanse til temaet. Sikkerhetsfolk og daglig ledere kan jo være ganske forskjellige som typer, og ofte blir ikke investeringer i sikkerhet prioritert fordi det ikke fremstår som et akutt behov.  Det er en styrke hvis man klarer å finne frem til samme språk og det språket tror jeg må være kroner og øre.   

– Mitt råd er å lage en business case ut av virksomhetens egen sikkerhet.  Ta utgangspunkt i hvilke data man behandler, hva som kan gå galt, hvorfor det kan gå galt og hvor stort tapet kan bli. Det er et språk daglig leder forstår. I tillegg er det en styrke hvis man også klarer å vise den positive effekten økt investering i sikkerhet vil kunne ha i markedet. Tillit kommer til å bare bli en viktigere og viktigere valuta i kundeforholdet i tillegg til pris, sier han.

Organism, Font
little girl sitting in front of an iPad

– Alle selskaper vil bli utsatt for dataangrep før eller siden

De økonomiske konsekvensene av å ikke ta IT-sikkerheten på alvor kan bli store. I tillegg til stopp i egen produksjon og tap av renommé, risikerer selskaper å bli stilt til ansvar for tap som deres kunder har opplevd på grunn av en lekkasje, eller de kan få bot fra Datatilsynet. For noen bedrifter kan dette bety kroken på døra.

De daglige lederne bør derfor også ta egne initiativ for å sette IT-sikkerhet høyt på agendaen, ifølge Ottersen.

– Alle bedrifter, både små og store, vil bli utsatt for dataangrep før eller siden. Det handler om å ikke bli en av de som lærer «the hard way». Leder du en bedrift uten egne IT-ressurser er det et godt alternativ å investere i noen rådgivningstimer fra eksperter. De kan hjelpe til med å forstå sikkerhetsrisikoene i virksomheten og fremme enkle forslag til forbedringer.

Sikkerhetsnivået kan også gi direkte utslag på verdien når et selskap kjøpes opp

– Vi har som krav at alle selskapene vi kjøper opp skal ha god IT-sikkerhet. Ingen vil dele data med noen som ikke passer godt nok på den. Når vi ser på selskaper for mulige oppkjøp, regner vi derfor på hva det vil koste å løfte grei sikkerhet til god sikkerhet. Det blir en naturlig del av casen.

– De fleste er enige om at digitaliseringen har langt flere oppsider enn nedsider. Risikoen for dataangrep er imidlertid en del av nedsiden som man bør skaffe seg et forhold til hvis man har tenkt til å drive business fremover, legger han til.

«Alle bedrifter, både små og store, vil bli utsatt for dataangrep før eller siden.»

Store mørketall i forbindelse med dataangrep

Ifølge Nasjonal Sikkerhetsmyndighet er langt flere norske bedrifter som hvert år opplever dataangrep, enn de som melder fra om det. Datakriminelle forsøker bevisst å utnytte frykten virksomheter kan ha for å kommunisere at man er utsatt for et angrep. 

Hvis man skaper et klima der man kan snakke om dette, uten at vinklingen automatisk er en pekefinger mot den som er rammet, så fjerner man en viktig del av pressmiddelet bak disse angrepene, ifølge Ottersen.

– Det å tørre og snakke om et vanskelig tema henger ofte sammen med selvtilliten som kompetanse og erfaring bygger. Her tenker vi derfor at store virksomheter som Visma har et ansvar for å gå foran. Vi vil bidra til å skape et klima som gjør at alle virksomheter tør å være åpne omkring sikkerhetshendelser.

– Vi kommer nok også etter pandemien til å se en helt annen fleksibilitet i arbeidslivet som involverer mer hjemmekontor. Det gir enda større grunn til å sette seg inn i hvilke konkrete sikkerhetsrisikoer som gjelder for hver virksomhet.

– Nøkkelen til dette er, etter min mening, færre pekefingre og flere tolker som kan bygge bro mellom sikkerhet og kommersielle beslutninger, sier han.

Atea Sikkerhetsdager


I år kan du delta på Ateas Sikkerhetsdager,

når det passer DEG!


Hør på korte, konkrete og interessante diskusjoner og samtaler om problemstillinger og utfordringer som opptar norske virksomheter i dag, akkurat når det passer deg. Alt du trenger for å melde deg på er ditt telefonnummer!

Atea Sikkerhetsdager 2021.

Vi behandler informasjonen din med respekt. Mer informasjon om våre retningslinjer for personvern.