Er du budd på det som kjem, eller blir det hovudlause høns som flaksar og spring? Meir om det seinare.

Også publisert i digi.no: https://www.digi.no/artikler/debatt-it-sikkerheit-er-du-budd-for-neste-storm/539826

I mange tilfelle er det skremmande mykje likskap mellom flaumsikring og IT-sikring.

Ekstrem-vêret Hans drog seinsumaren over store delar av Sør-Noreg som ei mare, og berre kort tid etter sørga styrtregn for store skadar i Oslo og Bergen. Når sjølvaste Bergen endar opp med stengde vegar og vassdrukne kjellarar – ja då er det faktisk ekstremt. Men skadane var ikkje like store overalt der styrtregnet kom. Det var stor skilnad mellom dei stadane som hadde opplevd flaum tidlegare, og som dermed hadde iverksett forhindrande tiltak, og dei som IKKJE hadde vurdert risikoen for noko slikt som høg nok.

Skilnaden mellom Lillestrøm som bygde flaumvollen etter den siste storflaumen i 1995 og hyttebygdene ved Fåvang oppover Gudbrandsdalen var særs synlege.

Både før, under og etter ekstremvêret la me innbyggarar og «demningsstyrara» vår lit til NVE og Meteorologisk Institutt. Med deira prognosar og målingar kunne ein sjå kvar ein burde opne opp, kvar ein burde stenge ned – og kva bygd og by som burde starte å tømme kjellarane.

Likskapar mellom flomsikring og IT-sikkerheit

Til likskap med varsel om ekstremvêr som den nye normalen, kjem òg kyberangrepa meir eller mindre kontinuerleg. Enten i form av eit oppbyggande angrep der me kan sjå omrisset på kva som er på veg tidleg (vårflaum) eller som eit retta angrep som kjem ut av det blå (ekstremvêr og styrtregn).

Sikring mot angrep kjem i mange flavøra; nokon redusera sannsynet (demningskontroll) som kontrollera kor mykje vatn vert slept nedover kontra kor mykje som vert halde att, andre sørga for at ein går klar (flaumvoll) medan vår bransjes variant av NVE er ein overvakingsteneste (SOC) som til ein kvar tid tek målingar, følgjer med på kva som skjer – og gjer naudsynte justeringar undervegs. Og gløym ikkje at du og treng nokon som kan hjelpe deg når du først er ramma – vår bransjes «Recover» om du vil.

Incident Response Team

Selskapet som kjem med byggtørker, takstmenn og snekkarar for å fikse kjellaren din – nemleg eit Incident Response Team. Dei som kjem til deg når du står til kne i vatn i kjellaren. Som har med seg pumoer for å tømme den og sandsekker for å hindre at det kjem inn meir vatn. Som koordinera arbeidet til snekkara og takstmenn.

Eit Incident Response Team har spisskunnskap om korleis handtere ei hending, minimere skadar samt legge til rette for tilbakestilling. Dei må kunne trekke på, og koordinere, domenespesialistar så som Microsoft, Cisco osv) samstundes som dei guidar jamfør kva som gjekk galt og kva grep som lyt gjerast om ein ikkje vil at dette skal skje på nytt. Litt som dei flaumspesialistane som fortel entreprenørar og kommunar at “her må det byggest grøft, flaumvoll som er så høg osv).

Så kva skal du gjere? Skal du ringe første og beste partner med beskjed om «eg tek 1 av alt»?

Einaste eg kan garantere deg om du tek dette alternativet – er at det vert dyrt, uoversiktleg og mest sannsynleg feil for ditt selskap. Som alltid (diverre), er svaret «det kjem an på».

Kva seier Risiko- og sårbarheits-analysen din? Kva verdiar skal du sikre? Er du eit attraktivt mål (del av kritisk infrastruktur, stor aktør i din bransje, veldig kjent)? Har du kontroll på angrepsflata di, alle sårbarheitene, kven som er i nettverket ditt? Og for å ikkje gløyme tidlegare investeringar – kva har du allereie gjort? Samstundes er det særs stor skilnad i investeringsvilje mellom selskap som har opplevd eit angrep og dei som ikkje har det – eller som iallfall lev i trua og håpet om at dei ikkje har vore det.

Modnadsanalyser: kartlegging og vegkart for framtida

Fyrste steget på vegen er finne ut kvar du er i dag; kva er gjort på det organisatoriske, det menneskelege og det teknologiske planet? Er rutinar og prosedyrar på plass? Vert effekten av tidlegare tiltak målt? Du får mykje av denne informasjon ved å berre stille deg sjølv desse spørsmåla – men du får heilt klårt best effekt ved å bruke eit rammeverk.

Dersom du ynskjer å få inn uhilda auger, kan du hente inn 3djepart til å gjennomføre Modningsanalyser. Desse vil gje deg eit overblikk over kva du har gjort – og ikkje minst (dersom du vel ein dyktig partner) eit vegkart framover med kva du bør fokusere på og kva effekt dette vil gje deg.

Hovudlause høns

Utan eit slikt utgangspunkt endar ein fort opp som eit av mine barndomsminne. Ei hending som kan skildrast som ein blanding av grotesk, spesielt, underhaldande, skremmande, fortvilande, håplaust og fasinerande då dei hovudlause hønsa sprang rundt omkring etter slakting. Det høyrer med til historia at det var mitt ansvar å unngå at dette skjedde, men som 10-åring er ein nyfiken på kva som skjer dersom ein IKKJE held dei fast. Resultatet var at dei til slutt låg der klare til plukking, utan at meir var oppnådd enn å skape kaos og søl.

Mykje det same som skjer dersom me menneske ikkje har mål og meining med dei oppgåver og tiltak ein iverksett under kriser.

Mitt råd er å ikkje ta utgangspunkt for at du går klar – planlegg for at neste runde med styrtregn tek deg. Sørg for å få på plass skadereduserande tiltak og at du har nokon som kan fortelja deg om kjellaren må tømmast for innbu eller ikkje. Kanskje dei til og med hjelper deg med tømminga…