Perspektiver: Slik jeg ser det

Mange virksomheter opplever kommunikasjon rundt sikkerhet som utfordrende. Vi har utfordret en forretningsleder, en teknolog og en sikkerhetsfaglig person i tre selskaper, på informasjonsbehov, kommunikasjon og sikkerhetsstyring.

Ingjerd Blekeli Spiten, Konserndirektør Personmarked i DNB

– Hvordan skaffer du deg nødvendig innsikt i trusselbilde, risiko og sikkerhetsbehov for å understøtte dine beslutninger – og hvordan presenteres dette underlaget best for deg?

– Jeg får innsikt gjennom mange ulike kilder, både strukturerte og ustrukturerte. En hovedkilde blant de førstnevnte er den kvartalsvis sikkerhetsrapporten som utarbeides av det sentrale sikkerhetsmiljøet i banken. De siste årene er denne blitt langt mer pedagogisk, og dermed mer tilgjengelig for de uten dybdekunnskap – som meg selv. De har også vært veldig flinke til å eksemplifisere fenomener og sette dem i en global kontekst, noe som gjør innholdet godt og lærerikt.

I en travel hverdag kan lange rapporter være tunge og tidkrevende å lese, og det hender derfor at vi i konsernledelsen får servert viktig informasjon i presentasjonsform – noe som gjerne også gjør kunnskapen mer tilgjengelig.

Utover dette får jeg veldig mye ustrukturert informasjon, som gjerne er kontekstbasert. Jeg er ansvarlig for alle personkunder, og det er helt avgjørende at de er trygge. Vi opplever angrep rettet mot både dem og oss hele tiden, og på de mest alvorlige hendelsene er jeg en av de i staben som får fortløpende informasjon mens dette pågår.

Under utviklingen av produkter og tjenester, har vi også noe som heter «produktsjekken», som blant annet gir føringer for om sikkerheten er godt nok ivaretatt. Dette er noe som må klareres ut av ulike roller, der jeg er siste godkjenner.

– Hvordan kommuniserer du ledelsens intensjon rundt risikotoleranse, ambisjonsnivå for sikkerhet og virksomhetens sikkerhetsbehov til organisasjonen generelt – og IKT-organisasjonen spesielt?

– Jeg har erfaring med at vi ikke er sterkere enn det svakeste ledd, og at trusselnivået stadig utvikler seg i mer global og avansert retning. I min posisjon lener jeg meg derfor veldig på både CTO og CSO – og sørger for å understøtte disse. Dette kan skje ved at jeg er tydelig på at jeg støtter de vurderingene de gjør, strategiene de legger fram – og at jeg sikrer nødvendige investeringer for å opprettholde sikkerhetsnivået når beslutningene kommer opp på konsernledelsens bord eller innenfor mitt forretningsområde.

Så har vi obligatoriske sikkerhetsoppdateringer, her er det viktig at jeg går foran som et godt forbilde: Jeg tar alltid sikkerhetsoppdateringene når jeg skal det, og er ikke blant dem som får stengt mobilen fordi en sikkerhetsoppdatering ikke er installert. Det samme gjelder for obligatoriske sikkerhetskurs som vi har flere ganger i året.

– Er bedriftens sikkerhetspolicy tilstrekkelig integrert i den daglige driften – på alle nivåer?

– Hva som egentlig er «tilstrekkelig» er jo den balansen vi blir stilt overfor i det daglige . Men jeg opplever at det er et stort fokus på dette i DNB, spesielt hos oss som jobber med personkunder, som utsettes for svindelforsøk hver eneste dag. Også alle medarbeiderne i kundeposisjon er eksponert for dette, derfor opplever jeg at hele organisasjonen har en veldig sterk bevissthet og et samfunnsansvar for å beskytte både kunder og ansatte.

Jeg er blitt mye sitert på vi aldri kan kompromisse på sikkerhet. Men så innser jeg også at vi nok har en noe naiv tilnærming til dette i Norge, for eksempel til innsidetrusler og hvordan medarbeidere kan bli manipulert. Jeg tror fortsatt vi har en vei å gå der.

Ingrid Oskarsen, Fagleder Incident Response i DNB Cyber Defense Center

– Hvordan kommuniserer du til ledelsen om trusselbilde, risiko og sikkerhetsbehov? Opplever du at de lytter til dette?

– Når jeg kommuniserer disse temaene til ledelsen, er jeg veldig nøye med å legge det på riktig nivå, slik at det blir relevant og forståelig for dem. Vi som jobber med sikkerhet hver dag har jo ofte behov for et annet detaljnivå – men hvis vi bruker dette språket utad blir det fort uforståelig for andre. Så har jeg tro på at formen det formidles på bør være lik hver gang. I DNB lager vi derfor rapporter ukentlig, kvartalsvis og årlig, som tar for seg de samme temaene fra gang til gang. Her er det også viktig å tydelig argumentere for hvorfor noe er viktig, slik at ledelsen står sterkere i sine potensielle avgjørelser.

– Hvordan er samarbeidet med den utøvende IKT-organisasjonen? Møter du på eventuelle utfordringer knyttet til dialogen rundt risiko og sikkerhetsbehov?

– Generelt er samarbeidet godt – men det er absolutt utfordringer. Sikkerhetsløsninger kan fort gå på bekostning av en enkel hverdag. Derfor må vi hele tiden søke balansen mellom å holde DNB sikkert nok, uten at det går for hardt utover arbeidshverdagen til både ansatte og kunder. Mye kan nok likevel virke veldig voldsomt. Vi som daglig jobber med sikkerhet vet nødvendigvis mye mer om det totale trusselbildet. Vi vet for eksempel hvorfor vi må ha mange lag med sikkerhet, mens de som lager løsningene kanskje tror at det holder med ett lag fordi de ikke har tilstrekkelig dybdekunnskap om trusselaktøren og hvordan de beveger seg i nettverket. Likevel møter vi forståelse for behovene våre når vi kommuniserer på riktig nivå og argumenterer for hvorfor det er viktig.

– Opplever du at ledelsen tar sikkerhet nok på alvor til at dere kan være tilstrekkelig ambisiøse på feltet – og blir dette fulgt opp i praksis?

– Ja, absolutt. Vi har en strategi innenfor sikkerhet som skal sikre oss også fremover, ikke bare nå i dag. Den følges opp i alle ledelsesledd, og jeg opplever at vi blir hørt og får støtte ovenfra. For eksempel i form av investeringer i teknologi – at du faktisk får penger til å gjennomføre tiltak er en tydelig støtte. Så blir vi også utfordret på løsningene vi foreslår, noe som tyder på at de følger med og prioriterer fagområdet. Vi blir også fulgt opp tett av myndigheter, partnere og kunder på hvordan vi jobber med cybersikkerhet. Tilliten til alle disse er det vi lever av, og vi må bevise oss hver eneste dag for å bevare den.

Jon-Erik Stalsberg, Solution Architect, End User Computing, DNB

– Har du et klart bilde av hva ledelsen forventer rundt sikkerhet – og hva dette innebærer for dine arbeidsoppgaver? Får du tilgang på tilstrekkelige ressurser til å følge opp disse ambisjonene i praksis?

– Ja, absolutt. Nå har vi et ganske stort sikkerhetsmiljø inhouse i DNB, men det er også tydelig kommunisert fra ledelsen at hvert enkelt fagmiljø har ansvar for det de eier og drifter – noe som i høyeste grad også inkluderer ansvar for sikkerheten. «You build it, you run it» er noe som står ganske sterkt i DNB. Det betyr at vi gjør det ytterste for å ivareta sikkerheten på det vi drifter, mye fordi vi også føler eierskap til det.

Mitt inntrykk forøvrig er at ledelsen er gode på å følge opp ambisjonene sine rundt sikkerhet. Størrelsen på investeringene og mengden opplæringsprogrammer viser at dette betyr noe – og det gjelder for hele organisasjonen.

– Får du det du trenger fra virksomhetens sikkerhetseksperter for å kunne utføre dine oppgaver med god sikkerhetskvalitet? Føler du selv på noe ansvar for å fange opp utfordringer og muligheter knyttet til sikkerhet?

– Noe av det jeg føler fungerer bra med sikkerhetsekspertene i DNB, er at det er så lett å komme i kontakt med dem. Da er det også en ganske lav terskel for å diskutere utfordringer og løsninger med dem. Når man er usikker på hvordan man skal løse konkrete ting, har man interne ressurser som man kan gå noen runder med og få tips fra, slik at man ikke trenger å sitte med all kunnskapen selv.

Samtidig er de sikkerhetsansatte gode på å anerkjenne de tekniske ressursene og den kompetansen disse har på sitt område. Jeg føler at det like mye er de som spør oss om hva som er mulig – «kan vi gjøre sånn, er dette greit» – som at vi spør «kan vi gjøre sånn?». Det går mye begge veier, og det synes jeg fungerer bra.

– Hvordan får du fortalt ledelsen om dine behov knyttet til arbeidet med sikkerhet – inkludert vedlikehold og modernisering? Hva er vesentlig i denne kommunikasjonen – og kan noe forbedres?

– Jeg jobber med klienter, og har da veldig mye å gjøre med sikkerhet rundt dette hele tiden. Da er dette også en veldig naturlig del av det jeg prater med leder om. Vi har en kontinuerlig dialog om sikkerhetsutfordringer, og jeg føler også at ledelsen er god på å formidle videre hva vi trenger for å kunne levere.

Det viktigste i vår kommunikasjon med leder er å forklare hvorfor man trenger å gjøre ting, og hva det betyr for DNB – enten det vi må gjøre er positivt eller negativt.

Når det kommer til innovasjon i grenselandet mellom det tekniske og sikkerhetsmessige, er ofte de teknisk ansatte veldig «på» for å prøve nye ting. Så innen sikkerhet kommer med spørsmål om noe, har vi som regel en formening om hvordan det funker – og hvorfor vi ikke har aktivert en ny funksjon. Vi vet at det kan ta lang tid å få nye sikkerhetstiltak skrudd på, fordi det kan være veldig vanskelig å gjøre raske endringer i en stor organisasjon – særlig med sikkerhetstiltak som ofte kan være litt inngripende i folks arbeidshverdag. Da er det viktig å være tidlig ute og se på og teste hvordan man kan ta i bruk nye løsninger, for å kunne svare på om vi kan ta dem i bruk. Mange ganger er dessverre svaret «nei», fordi det ikke er modent ennå. Men vi er veldig ofte med på previews, for å ligge langt framme.

Keijo Mononen, General Manager Security Solutions, Ericsson

– Hvordan skaffer du deg nødvendig innsikt i trusselbilde, risiko og sikkerhetsbehov for å understøtte dine beslutninger – og hvordan presenteres dette underlaget best for deg?

– Vi får informasjon fra en rekke ulike kilder, både eksterne og interne. Internt mottar vi i ledelsen jevnlige rapporter, men også sikkerhetssårbarhetsvarsler. Ericsson Product Security Incident Team (PSIRT) deler slik informasjon gjennom Atomic News, Ericsson Vulnerability Management System og Product Security Threat-rapporter.

Informasjon tilflyter oss fra alle områder av organisasjonen, inkludert vårt eget Cyber Defence Centre – dette er gjerne basert på det som skjer i vår organisasjon og bransjen generelt. I tillegg kommer mange nyttige innspill fra partnere og andre eksterne kilder, som Fraud and Security Group i GSMA.

Så har vi også noe som heter Threat Labs, hvor vi utfører rød/blå teamøvelser for å teste trusselaktivitetsscenarier for å forstå og utvikle telekomsikkerhet knyttet til mennesker, prosesser og teknologi.

– Hvordan kommuniserer du ledelsens intensjon rundt risikotoleranse, ambisjonsnivå for sikkerhet og virksomhetens sikkerhetsbehov til organisasjonen generelt – og IKT-organisasjonen spesielt?

– Vi utvikler og leverer kritisk infrastruktur til nasjoner, der hele samfunn og andre «oppdragskritiske» kunder som ambulanser, politi og militæret må kunne stole på det vi gjør. Da må vi sørge for at alle deler av organisasjonen forstår truslene og risikoene som fins og bygge sikkerhet inn i alt vi gjør. Dette er også et område hvor alt må gjøres riktig helt fra starten – samtidig som det hele tiden forbedres. Du aldri ferdig i denne jobben – vi må kontinuerlig utvikle oss i tråd med trusselbildet.

For å sikre at produktene våre holder en høy sikkerhetsstandard, gjennomfører vi løpende risikovurderinger som er skreddersydd og unike for hvert produktområde. Her har vi utviklet vår egen Security Reliability Model, som inneholder alt du trenger for å utvikle sikre produkter i Ericsson. Denne modellen gjør det også enda enklere og tydeligere å kommunisere til både ansatte og kunder.

I tillegg sender vår administrerende direktør jevnlig ut brev, der alle får viktig og oppdatert informasjon – og veldig ofte handler dette om viktigheten av sikkerhet. Enten vi snakker om intern IKT-sikkerhet eller sikkerhet knyttet til våre produkter og tjenester, er dette noe alle ansatte har et forhold til – og må følge opp gjennom klare rammer for intern og ekstern sikkerhet. De ansattes kunnskaper og ferdigheter fornyes kontinuerlig, blant annet i form av obligatoriske kurs.

– Er bedriftens sikkerhetspolicy tilstrekkelig integrert i den daglige driften – på alle nivåer?

– Ja, absolutt, nettverksteknologien vi leverer er samfunnskritisk og må følge strenge telekomstandarder og vår egen Security Reliability Model. Dermed må sikkerhet integreres i alle deler av både vår organisasjon, men også teknologien vi utvikler og leverer.

Våre kunder er avhengige av å kunne stole på sikkerheten i nettverkene sine. Spesielt nå som 5G kommer for fullt, med langt mer dynamiske og distribuerte funksjoner – men samtidig også med høyere krav til sikkerhet.

Mikko Karikytö, Chief Product Security Officer (CPSO) & Head of Product Security, Ericsson

– Hvordan kommuniserer du til ledelsen om trusselbilde, risiko og sikkerhetsbehov? Opplever du at de lytter til dette?

– Kunnskap om sikkerhet kommer ikke av seg selv, det er noe du må lære. Og skal du virkelig forstå det enorme omfanget av potensielle skadevirkninger, må du bli eksponert for trusler, risiko og reelle sikkerhetshendelser. Dette er noe de fleste heldigvis slipper, men som er en del av vår rolle som sikkerhetsansatte. Da er det samtidig helt avgjørende og uhyre viktig at vi klarer å kommunisere disse sikkerhetsfenomenene på en effektiv måte, slik at ledelsen eller andre kan relatere seg til det, og kjenne på omfang og potensielt hastverk. Det må presenteres med et språk og i et format som gjør det enkelt å forstå, gjerne via presentasjoner, kurspakker, videoer eller «playbooks» som kan følges steg for steg.

Samtidig ser vi som jobber med sikkerhet at det alltid også ligger andre hensyn på ledelsens bord når avgjørelsene skal tas. Derfor knytter vi helst et konkret kostnadsbilde til tiltakene vi foreslår – både hva det koster å implementere noe, men også hva det kan koste å ikke gjøre noe. Dette har vi grunnlag for å si noe om etter å ha undersøkt samtlige sikkerhetsproblemer og -hendelser gjennom to år, og hva disse kostet organisasjonen, helt ned til kundehåndtering og redesigning av produkter. Så om du presenterer en kritisk sikkerhetsrisiko, og noen deretter spør «hvor kritisk», kan du presentere en sum – og se om de faktisk er villige til å akseptere risikoen. Det sagt føler jeg absolutt at ledelsen fullt ut forstår og lytter til våre vurderinger rundt sikkerhet, og tar disse på alvor.

– Hvordan er samarbeidet med den utøvende IKT-organisasjonen? Møter du på eventuelle utfordringer knyttet til dialogen rundt risiko og sikkerhetsbehov?

– Før vi i det hele tatt kan snakke om de daglige diskusjonene rundt sikkerhet, må vi ha en grunnlinje for alt vi gjør – en taktisk plan som styrer hvilke mål vi setter oss for de kommende årene. Her er sikkerhet en helt avgjørende del, og noe vi alle må forplikte oss til – også om du jobber med forskning og utviklingsarbeid. Å være enig om alt i hverdagen er ikke bare-bare, men med en slik «grunnkontrakt» i bunn vet alle hva de må levere på – også rundt sikkerhet.

Sikkerhet er i aller høyeste grad integrert i alle ledd av vår organisasjon, og noe som inngår i alles daglige arbeidsrutiner. Som produsent av samfunnskritisk kommunikasjonsinfrastruktur kommer vi rett og slett ikke utenom det. Men siden ikke alle kan være eksperter på sikkerhet, har vi med stort hell innført konseptet med «Security Champions». Dette er ansatte som kan jobbe med alt fra utvikling til innkjøp og leveranser – men som har en iboende interesse eller nysgjerrighet for sikkerhet. Ved å trene opp disse rundt sikkerhet, samtidig som de fortsetter i sine opprinnelige roller, får vi spredt sikkerhetsbevissthet rundt i hele organisasjonen på en langt mer integrert og effektiv måte. Det viser seg også at disse «Security Champions» har en motiverende effekt på sine nærmeste kollegaer, slik at disse også blir mer opptatt og fascinert av tematikken. Og dette er noe som går begge veier: Via dette «mesternettverket» får vi stadig oftere tilbakemeldinger på sikkerhetsutfordringer knyttet til deler av virksomheten vi ellers ikke hadde hatt like god oversikt over.

– Opplever du at ledelsen tar sikkerhet nok på alvor til at dere kan være tilstrekkelig ambisiøse på feltet – og blir dette fulgt opp i praksis?

– I militæret pleide løytnanten min alltid å si at «dersom en beskjed ikke når gjennom, er det avsenderen sin skyld.» Om ledelsen ikke skulle forstå viktigheten av noe du selv anser for å være kritisk, eller ikke allokerer nok penger til det i budsjettet, er det på tide å se seg i speilet – da du ikke har gjort en god nok jobb med å overbevise dem.

Heldigvis er vi på et veldig godt sted i Ericsson, med en toppledelse som definitivt har skjønt viktigheten av god sikkerhet, til den grad at det anses som en hjørnestein i virksomhetens strategi. Vi ville neppe hatt noen av disse tingene jeg har nevnt, hadde det ikke vært for at ledelsen gir oss de nødvendige rammene for å jobbe effektivt og godt med sikkerhet i hele organisasjonen.

Kaël Haddar, Customer Security Director, Ericsson

– Har du et klart bilde av hva ledelsen forventer rundt sikkerhet – og hva dette innebærer for dine arbeidsoppgaver? Får du tilgang på tilstrekkelige ressurser til å følge opp disse ambisjonene i praksis?

– Absolutt, og her er kommunikasjonen krystallklar: Ericsson har en helt tydelig ambisjon og strategi rundt sikkerhet, med full støtte fra ledelsen – også fra vår administrerende direktør, som aktivt involverer seg i sikkerhetsspørsmålene som måtte oppstå.

Vi har satt en standard og retningslinjer for selskapet som helhet, og jobber aktivt for å opprettholde en kultur som sikrer de høye sikkerhetsstandardene som må være innebygget eller inkludert i alle våre produkter og tjenester. Både de interne, i et IKT-perspektiv – eller i alt vi leverer til våre kunder.

Vi har en sikkerhetsstrategi som vurderes annethvert år, med klart definerte mandat fra ledelsen for hva vi må oppnå og hvilken retning vi skal gå – oversatt til taktiske og operasjonelle planer. Og vi har god tilgang på ressurser, enten vi snakker om folk, informasjonssystemer, prosesser, prosedyrer og teknologi for å støtte denne strategien og vår tekniske taktiske plan.

Både kundenes og myndighetenes forventninger til vår sikkerhetsposisjon vokser i takt med det økende trusselnivået og stadig mer alvorlige konsekvenser av sikkerhetshendelser. Å sikre integriteten til kunde- og sluttbrukerkommunikasjon er vår høyeste prioritet. Derfor må kundene våre kunne stole på at vi leverer sikre produkter og tjenester, og det er dette som danner grunnlaget for den globale strategien – som igjen gjør det mulig for oss å være en foretrukket og pålitelig partner.

– Får du det du trenger fra virksomhetens sikkerhetseksperter for å kunne utføre dine oppgaver med god sikkerhetskvalitet? Føler du selv på noe ansvar for å fange opp utfordringer og muligheter knyttet til sikkerhet?

– Ja, og her får vi ikke bare tilgang på ressursene vi trenger for å støtte oppunder sikkerhetsstrategien vår – men også de beste folka. Disse har forskjellige definerte roller, og dedikerer seg til å støtte oss i sikkerhetsreisen – enten vi snakker opp mot kunder, i produktutvikling eller internt i organisasjonen.

Det er også helt avgjørende for tillitsnivået vi prøver å bygge opp mot kundene våre, at vi alltid kan forklare i hvilken grad og hvordan vi organiserer og tilpasser oss denne cybersikkerhetsreisen – og her er støtten fra sikkerhetspersonalet viktig.

Det er også umulig å svare «nei» på spørsmålet om jeg ikke føler på et personlig ansvar for disse tingene. Trussellandskapet utvikler seg kontinuerlig, og det dukker stadig opp nye ting vi må bekymre oss for. Dette angår oss alle, og er noe kundene våre i stadig større grad etterspør – så vi må alle prøve å sikre at alt vi leverer er i henhold til vår ambisjon og vår sikkerhetsstrategi.

Når vi for eksempel jobber med 5G, har vi også med en nettverksinfrastruktur som hele tiden vokser i kompleksitet og utstrekning – med forgreninger opp mot mange andre typer teknologier og tjenester. Her er vi helt avhengige av å samarbeide på tvers både i organisasjonen, mot kunder og opp mot andre aktører for å sikre at produktene vi leverer er godt sikret også inn i morgendagen.

For å forbli bransjens foretrukne partner, tilpasser vi oss kontinuerlig til komplekse trusler og sørger for at vi klarer å stå imot interne, arvede og eksterne trusler rettet mot oss eller våre kunder.

– Hvordan får du fortalt ledelsen om dine behov knyttet til arbeidet med sikkerhet – inkludert vedlikehold og modernisering? Hva er vesentlig i denne kommunikasjonen – og kan noe forbedres?

– Vi har en tydelig og robust prosess når det kommer til kommunikasjon opp mot ledelsen. Det fine med min rolle, er også at jeg lett tilgang til ledelsen når det kommer til sikkerhet – samtidig som jeg har et solid fotfeste i driften.

Når vi trenger at det skal tas en avgjørelse, eller vi må gjøre ledelsen oppmerksomme på en risiko og eller potensielle forbedringer etterspurt av våre kunder, kan vi enkelt eskalere dette oppover i systemet – der vi også vet at dette da blir tatt tak i. Alle de ulike lagene av organisasjonen har deretter en klar rolle- og ansvarsdefinisjon, slik at beslutninger som tas blir tydelig kommunisert og oversatt til de ulike lagene – både teknisk, taktisk, og operativt.

I alt dette er vi så heldige at vi har en ledelse som har sikkerhet som en topprioritet – noe som betyr at de også er svært mottakelige for input på området. Hvis du hører vår administrerende direktør Börje Ekholm snakke i ledermøtene, benytter han alltid anledningen til å snakke om sikkerhet, og dette er noe som også kommuniseres videre til alle andre lag i organisasjonen.

Petter-Børre Furberg, administrerende direktør i Telenor Norge

– Hvordan skaffer du deg nødvendig innsikt i trusselbilde, risiko og sikkerhetsbehov for å understøtte dine beslutninger – og hvordan presenteres dette underlaget best for deg?

– Ledergruppen jobber systematisk med risiko, og går kvartalsvis gjennom alle de største risikoområdene – med diskusjoner om tiltak for å begrense disse. Årlig gjennomfører vi også dypdykk innenfor hvert fagområde, der vi går gjennom risikoområder, tiltak og investeringer som enten er iverksatt eller planlegges for å redusere risiko.

Tidvis gjennomfører vi også revisjoner for å få et utenfra-og-inn-perspektiv på risikovurderingene – et godt grunnlag for å sette tydelig retning og best prioritere tiltak.

Formålet med disse gjennomgangene er å skape en kultur hvor ingen holder tilbake bekymringer, og alle kan komme med forslag til forbedringer. Til syvende og sist er det jeg som har ansvaret for eventuelle åpne eksponeringer vi velger å leve med. Jeg ønsker derfor å vite – og jeg tar ansvar.

I tillegg leder jeg en fast sikkerhetskomité, som hver måned får oppdaterte trusselvurderinger. I tilknytning til spesielle hendelser, som Ukraina-krigen, distribueres det regelmessig skriftlige oppdateringer til ledelsen.

Telenor Norge lager årlig en trusselvurdering som deles med relevante eksterne parter. Denne presenteres og diskuteres både i ledergruppen og med styret i Telenor Norge. Vi utnytter så godt vi kan læring fra eventuelle hendelser. Og dersom sårbarheter avdekkes, vil dette kunne påvirke prioriteringer og medføre at nødvendige tiltak settes inn.

– Hvordan kommuniserer du ledelsens intensjon rundt risikotoleranse, ambisjonsnivå for sikkerhet og virksomhetens sikkerhetsbehov til organisasjonen generelt – og IKT-organisasjonen spesielt?

– For alle ansatte i Telenor Norge oppleves samfunnsansvaret som veldig sterkt og motiverende. Det oppleves at vårt ansvar går ut over det som normalt kan forventes av kommersielle aktører og våre konkurrenter. Vi snakker mye om vårt samfunnsansvar i vår internkommunikasjon. Overfor alle nyansatte legger jeg vekt på at kravet om at Telenor skal levere tjenester i fred, krise og krig legger sterke føringer på hvordan vi opererer og bygger IT-løsninger som for noen vil kunne oppleves som begrensende.

De siste årene har alle ansatte vært gjennom obligatoriske online-kurs, med dybdeundervisning for IT- og tech-ansatte. Det har vært viktig for oss å kommunisere at sikkerhet ikke er et ansvar for sikkerhetsavdelingen alene, men for oss alle.

Vi har de siste årene også hatt fokus på å utvikle sikkerhetstjenester til våre kunder, både innen privatmarkedet og bedriftsmarkedet. Vi ser tydelig at våre kunder har stor tillit til Telenor på sikkerhetsområdet – og tilliten til våre tjenester er og vil være avhengig av at vi også håndterer sikkerhetstrusler mot vår egen infrastruktur og tjenester godt.

– Er bedriftens sikkerhetspolicy tilstrekkelig integrert i den daglige driften – på alle nivåer?

– Ja, det er den. Som leverandør av kritisk infrastruktur, underlagt sikkerhetsloven, er dette vel definert og integrert i hvordan vi planlegger investeringer og opererer virksomheten.

Tor Houghton, Chief Security Architect, Telenor Norge

– Hvordan kommuniserer du til ledelsen om trusselbilde, risiko og sikkerhetsbehov? Opplever du at de lytter til dette?

– Her har det skjedd mye de siste årene. For å spole litt tilbake, gjorde jeg for rundt ti år siden noen betydelige sikkerhetsfunn med potensielt svært alvorlige følger. Da jeg la frem dette, lurte mellomlederne på om det ikke var mulig å løse med en «quickfix». De hadde rett og slett ikke noe forståelse for omfanget, og noe av det hadde kanskje å gjøre med måten det ble lagt fram på – en teknisk rapport, riktignok en Powerpoint. Til slutt fikk jeg møte daværende toppleder Berit Svendsen – men det var først da jeg fikk spilt av en talemelding som tydelig demonstrerte det potensielle sikkerhetsbruddet i praksis, at alle forsto alvoret. Da skjønte jeg også hvor kraftfullt lyd, bilde og kontekst kan være når man skal formidle komplekse problemstillinger – det har noe med å gjøre konsekvensene mer relevante og til å føle på også for dem som ikke jobber med sikkerhet til daglig.

I dag, med trusselbildet som råder, er ting heldigvis langt mer på stell i hele organisasjonen – med en dypere forståelse av sikkerhet forankret helt fra toppen. Fortsatt kan det være utfordringer med sikkerhetsforvaltningen ut i alle ledd. Men inntrykket er at det helt fra ledelsen og ganske langt ned i organisasjonen ikke lenger er sånn at sikkerhet ikke bare er en «brems», men som en avgjørende faktor – og ikke minst en betydelig styrke ut mot kunder og marked.

– Hvordan er samarbeidet med den utøvende IKT-organisasjonen? Møter du på eventuelle utfordringer knyttet til dialogen rundt risiko og sikkerhetsbehov?

– Jeg mener vi her er blitt veldig, veldig mye bedre enn bare for noen år siden. Men Telenor er også en organisasjon som til stadighet gjennomgår store endringer – og det er ikke alltid det er så positivt, for å si det litt diplomatisk.

Fortsatt kan det oppstå utfordringer knyttet til at forskjellige deler av organisasjonen har ulike KPI-er – der mye er drevet av kost, uten at man ser kostnadsbildet som en helhet. Nå skal det sies at mange deler av organisasjonen er blitt eksepsjonelt mye bedre på dette, og ikke anser det som et ork å «snakke med sikkerhet» – med alt det kan medføre av økte kostnader og leveringstid. Er man ikke skodde for å se alle aspekter rundt trusselbildet, eller forstå omfanget av mulige konsekvenser, kan dette være vanskelig å svelge. Det er ikke til å stikke under en stol at det ikke alltid så lett å se at sikkerhet har en verdi – for ni av ti ganger skjer det ikke noe – men her opplever jeg altså en større forståelse for verdien av god sikkerhet på tvers av organisasjonen.

– Opplever du at ledelsen tar sikkerhet nok på alvor til at dere kan være tilstrekkelig ambisiøse på feltet – og blir dette fulgt opp i praksis?

– Ja, er det korte svaret på det. Vi tar samfunnsansvaret og sikkerheten veldig alvorlig, og har aldri hatt så store investeringer på området. Det er veldig få sikkerhetsorganisasjoner som er så store som Telenor – både med tanke på sikring av infrastruktur og egen virksomhet, men i økende grad også ut mot stadig flere kundesegmenter i både privat- og bedriftsmarkedet. Fra et businessperspektiv skjønner jeg dette veldig godt: Det hadde vært veldig synd om den investeringen som er gjort på sikkerhet til nå ikke kan tas ut til andre.

Spørsmålet er bare hvordan dette skjer, og hvor fort man gjør det. Vi har en helt eksepsjonell talentpool. Men med så mange flinke folk, kan det fort bli en utfordring å organisere dem på best mulig vis. Så kanskje blir det en balansegang som må gås opp i tiden fremover – å sørge for at vi bruker disse talentene på rett sted til rett tid.

Eirik Ryan Aasekjær, Head of IT Infrastructure i Telenor Norge

– Har du et klart bilde av hva ledelsen forventer rundt sikkerhet – og hva dette innebærer for dine arbeidsoppgaver? Får du tilgang på tilstrekkelige ressurser til å følge opp disse ambisjonene i praksis?

– Jeg opplever at ledelsen har et godt fokus på nødvendigheten og viktigheten av å tenke sikkerhet i alle ledd. Det er satt i gang flere tiltak, både proaktive og reaktive, for å bli stadig bedre på sikkerhet. Samtidig er det nok ikke helt rettferdig å tro at toppledelsen har et klart bilde av hele infrastrukturen, og hvilke forbedringer som eventuelt bør gjøres. Vår oppgave er derfor å kommunisere og forankre det sammen med toppledelsen – så er det deres ansvar å prioritere tiltak basert på kritikalitet, innvirkning og selvfølgelig økonomi.

Dynamikken og utviklingen i det generelle trusselbildet understreker viktigheten av at vi alle jobber meget tett sammen når det gjelder sikkerhet. En god IT-sikkerhet er en kombinasjon av stabil og sikker arkitektur, med en driftsorganisasjon som holder systemene sikre og oppdaterte – og evner å fange opp hvis skaden er skjedd, og som har gode prosesser forankret på tvers av organisasjonen for å lukke disse hendelsene.

– Får du det du trenger fra virksomhetens sikkerhetseksperter for å kunne utføre dine oppgaver med god sikkerhetskvalitet? Føler du selv på noe ansvar for å fange opp utfordringer og muligheter knyttet til sikkerhet?

– De sikkerhetsansatte kan ikke alene løse alle sikkerhetsutfordringer. De inngår i en et meget viktig triangel bestående av arkitektur, drift og sikkerhet. Her er det avgjørende med et godt samarbeid mellom alle parter, noe jeg heldigvis opplever at det er i Telenor. Vi har god transparens og gjensidig forståelse, både på teknisk og organisatorisk nivå. Det er alles ansvar å tenke sikkerhet, og dette må gjennomsyre alt vi gjør. Alt fra å unngå å klikke på en link i en mail, til design og implementering av en ny tjeneste eller applikasjon. Det strekker seg helt fra nettverksinfrastrukturen, til tilgjengeliggjøringen av en applikasjon for sluttbrukeren – dette er alles ansvar.

– Hvordan får du fortalt ledelsen om dine behov knyttet til arbeidet med sikkerhet – inkludert vedlikehold og modernisering? Hva er vesentlig i denne kommunikasjonen – og kan noe forbedres?

– Vi har en rekke arenaer hvor dette diskuteres på alle nivåer. Vi har alltid et ønske om flere ressurser og mer midler for å øke graden av både sikkerhet, tilgjengelighet og modernisering. Men, som alle andre steder, er det en prioritering opp mot andre viktige tiltak og gjøremål i bedriften totalt sett.

Jeg mener likevel vi har gjort store skritt fremover ved å skape en god forståelse for viktigheten av en sikker, stabil og moderne plattform for moderne IT-infrastruktur. Vi må bevare og gjerne også øke forståelsen for at IT-infrastrukturen blir mer og mer kritisk fremover. Dette gjelder oss, men også alle bedrifter av vår natur. Telekom-bransjen er på en moderniseringsreise, og forståelsen for konsekvenser av denne moderniseringen er det meget viktig at alle forstår, aksepterer og tar konsekvensen av.