Å investere i god beskyttelsesteknologi er helt nødvendig for å beskytte bedriften mot hackere og cyberangrep. Likevel er det viktig å huske at sikkerheten ikke er sterkere enn sitt svakeste ledd i denne sammenhengen. Det gjelder derfor å bygge en sterk kultur for cybersikkerhet i hele bedriften.

Når det kommer til cybersikkerhet, er alle ansatte en potensiell sårbarhet. I et stort antall av vellykkede cyberangrep har hackerne kommet inn via ansattes mobiler eller PC-er. Dette skyldes som oftest for lite kunnskap og svake sikkerhetsrutiner.

Gjennom god og kontinuerlig kompetansebygging kan imidlertid de ansatte gå fra å være en sårbarhet, til en viktig ressurs for å opprettholde – og øke – sikkerhetsnivået. 

Hvor er vi i dag?

For å forstå og forbedre sikkerhetsbevisstheten i en organisasjon, bør man alltid starte med en vurdering av nåsituasjonen. For eksempel kan SANS Security Awareness Maturity Model brukes som et rammeverk for å kartlegge hvor bedriftens sikkerhetsarbeid er i dag:  

1. Nonexistent: Det finnes ikke et formelt formelt program for å bygge en sikkerhetskultur. Ansatte har lite eller ingen forståelse for at de er mål for angrep, og de følger ikke sikkerhetspolicyer. Dette gjør organisasjonen svært sårbar for sikkerhetstrusler. 
2. Compliance Focused: Organisasjonen har et sikkerhetsbevissthetsprogram, men det er hovedsakelig designet for å møte spesifikke etterlevelseskrav. Opplæringen er begrenset til årlig gjennomføring, og de ansatte har fortsatt begrenset forståelse for deres rolle i å beskytte organisasjonens data og systemer. 
3. Promoting Awareness & Behavior Change: Det fokuseres på å identifisere de målgruppene og treningstemaene som har størst innvirkning på å redusere den menneskelige risikoen. Programmet inkluderer prosesser for kontinuerlig forbedring av sikkerhetstiltak gjennom året. Målet er å endre ansattes atferd slik at de aktivt følger sikkerhetspolicyer og rapporterer mistenkelige hendelser. 
4. Long-Term Sustainment & Culture Change: Organisasjonen har etablert prosesser og ressurser som støtter en langsiktig strategi for sikkerhetsbevissthet. Programmet er blitt en integrert del av organisasjonens kultur, og fokuset er på å endre ansattes holdninger og oppfatninger rundt sikkerhet. Programmet er dynamisk og oppdateres regelmessig for å forbli relevant og engasjerende. 
5. Metrics Framework: Dette er det høyeste modenhetsnivået, hvor organisasjonen har utviklet et robust system for måling av fremgang og evaluering av programmets effekt. Rammeverket er justert i henhold til organisasjonens overordnede mål, og gjør det mulig å kontinuerlig forbedre programmet og demonstrere gevinstene til ledelsen.

Når denne kartleggingen er gjort er det lettere å sette mål og følge med på utviklingen i programmet. 

Ledelsen må ha større forståelse for både IT og OT

For å bygge en sterk kultur for cybersikkerhet må ledelsen starte med seg selv. Ledelsen har en kritisk rolle i å sette standarder, allokere ressurser og sikre at cybersikkerhet er en prioritet på tvers av hele organisasjonen. Det er derfor avgjørende at ledelsen sørger for å øke sitt eget kunnskapsnivå og engasjement for cybersikkerhet. 

En av de største og vanligste feilene når bedrifter skal jobbe med cybersikkerhet, er at det legges store ressurser og midler i IT-sikkerheten, mens produksjonen (OT-systemene) glemmes. Det er riktig at uønskede aktører ofte kommer inn via hull i IT-sikkerheten, men de virkelig store (og potensielt dyre og skadelige) konsekvensene skjer når de kommer seg inn til produksjonsmiljøet. Det kan føre til kostbar produksjonsstans eller i verste fall helseskadelige lekkasjer.

I tillegg til å ha gode beskyttelsessystemer for både IT og OT, er det derfor viktig å skape en felles forståelse blant alle ansatte. Enten de jobber i IT- eller OT-avdelingene. Ved at alle forstår forskjellene og sammenhengene mellom disse miljøene, kan alle jobbe mot samme mål – en helhetlig cybersikkerhetsstrategi som beskytter hele organisasjonen.

Les også: Industrielle brannmurer reduserer risiko i produksjonsnettverket 

Kontinuerlig læring og trening

Kulturbygging stopper ikke når prosedyrer og teknologi er på plass. Det krever kontinuerlig innsats og engasjement. Det gjelder å holde cybersikkerhet langt fremme i bevisstheten til de ansatte, og helst sørge for å gjør det engasjerende. En god praksis er å etablere et årshjul med jevnlige øvelser og spesifikke fokusområder i forskjellige deler av året. For eksempel er oktober kjent som “Cyber Security Month”, hvor det kan passe å ha litt ekstra trøkk på aktiviteter som engasjerer de ansatte. 

Et eksempel på en øvelse som er både nyttig og engasjerende, er en såkalt incident response-øvelse hvor man utspiller et realistisk angrepsscenario. Slike øvelser gir verdifull innsikt i hva som mangler i planen både med tanke på prosesser, ansvar og teknologi. Denne innsikten er verdifull i arbeidet med å forberede bedriften på et eventuelt angrep. De ansatte får også en praktisk forståelse av hvem som har hvilket ansvar, og i deres egen rolle, dersom et angrep skulle skje.

Andre aktiviteter som kan bidra til å holde de ansatte på alerten, er regelmessige phising-kampanjer, korte opplæringsquizer eller forklarende videoer. Det er også mulig å skape vennlig konkurranse mellom ansatte eller avdelinger om å gjennomføre flest opplæringsvideoer eller klikke på færrest phising-lenker. Dette engasjerer de ansatte og gjør cybersikkerhet til en del av hverdagen. 

Implementering av en kultur for cybersikkerhet krever innsats fra hele organisasjonen, fra toppledelsen til den enkelte ansatte. Å forstå og beskytte både IT- og OT-systemer, fremme samarbeid og kontinuerlig lære og øve, er en investering som ikke bare beskytter, men også kan føre til økt oppetid og mer stabil produksjon. Det gir gevinst for hele virksomheten.