Aktuelt

– IT-sikkerhet må tas på alvor

Bildet: – Ofte kan virksomheter få til veldig mye på kort tid med å løfte lista og forbedre interne IT-rutiner, sier Torgeir Waterhouse. Foto: Hans Kristian Thorbjørnsen

ELIADEN 2022: – IT-sikkerhet er et område bygg- og elektrobransjen må å gjøre noe med for å skaffe seg bedre oversikt og komme i posisjon. Rett og slett etablere bedre grunnlinje for sikkerhet.

Av Trond Schieldrop

– Det er viktig å kartlegge egen virksomhet og avdekke hvilke IT-systemer, og rutiner som følges. Når jeg foretar egenanalyser i bedrifter og kartlegger hvem de er og hvilke smertepunkter de tåler. Det generelle inntrykket at mange ikke har oversikt sine systemer og mangler grunnleggende IT-forståelse.

Det sier IT-spesialist Torgeir Waterhouse i konsulentselskapet Otte AS.

– Må ha bedre grunnlinje for sikkerhet

Byggfakta fikk en prat med Waterhouse, som kunne fortelle at hans foredrag om IT-sikkerhet på Eliaden var blitt kansellert. Men temaet er så viktig at vi valgte å få IT-spesialisten til å utdype sine synspunkter.
– Dette er et område bygg- og elektrobransjen må å gjøre noe med for å skaffe seg bedre oversikt, komme i posisjon og etablere bedre grunnlinje for sikkerhet. Det kan omfatte alt fra kunnskap hos ansatte, usikrede systemer til reguleringer som de ikke er kjent med og ikke følger, sier Waterhouse. 
Otte bistår kunder å forstå hvordan teknologi, anvendelse og myndighetenes rammevilkår påvirker forretningsmodellene, mandatet og samfunnsoppdrag.

Truer virksomhetens drift og omdømme

– Hva kan konsekvensen bli hvis man ikke har gode rutiner i bunn?

– Det kan medføre ubeleiligheter, dårlig kvalitet på leveranser og lovbrudd som kan medføre bøter. I verste fall kan virksomheter gå konkurs. For mange kan det også føre enorme kostnader hvis du ikke vet hvem du har avtale med eller hvem du skal fakturere dine tjenester til. Mangler du også oversikt over kunder og tilbud kan det få alvorlige følger og skape mye støy og forsinkelser. Her snakker vi om hele spennet fra at noe er irriterende til at det truer virksomhetens drift og omdømme, sier han.

Dårlig IT-drift og sikkerhet

– Vi har alt fra trollfabrikker i Russland som driver med utstrakt hacking av virksomheter til grupperinger som ikke har bevisste mål, men som er kun ute etter å bedrive skadeverk og vinningskriminalitet. Du kan fort bli rammet av et angrep som i utgangspunktet ikke var målrettet mot deg, fordi IT-driften var for dårlig. Konsekvensen kan bli de samme som med et hackerangrep, sier han til Byggfakta.
Waterhouse mener deler av bygg- og elektrobransjen har for dårlige IT-systemer og rutiner. 

Manglende kontroll

– Direkte sammenligning med andre bransjer er vanskelig, men vi ser i alle sektorer at mange ikke har den kontrollen de trenger. I mange små virksomheter er de ansatte primært opptatt av å utføre sine installasjonssoppdrag mens store virksomheter kan være mer opptatt av IT-sikkerhet. For mange er fagområdet terminologi og ansvar langt fra det de er vant til å tenke på til daglig. Dette gjelder mange sektorer og er en problemstilling som krever rask handling. Rammes du av et hackerangrep skjer det uavhengig av hva som skjer hos andre, påpeker Waterhouse. 

Lokaliser svakhetene

– Hva er rådet ditt til bygg- og elektrobransjen?

– Start med å kartlegge egen virksomhet som når en montør møter opp i en bolig og sjekker status på det elektriske anlegget, sjekker IT-folk status på driftssikkerheten enten om det handler om teknologi, kunnskap eller rutiner. De må finne ut hvor de står og legge en plan for det videre arbeidet. Her trenger de bistand fra noen som er spesialister på dette området.  Det blir på samme måte når du og jeg trenger hjelp fra rørleggere eller elektrikere til å utbedre anlegget. 

Søk kyndig faghjelp

– Gjør ikke bedriftene noe med dette, kan de tape enorme beløp eller i verste fall gå konkurs. I små og store virksomheter er dette et ledelsesansvar som de må gripe fatt i og sette det på dagsorden. Det handler om å søke hjelp fra fagfolk som kan hjelpe til med å øke IT-sikkerheten. Ikke nødvendigvis fordi det er så komplisert men fordi dette er områder som ledelsen ikke er vant til å håndtere eller har faglig eller erfaringsgrunnlag til å gjøre noe med. 

Avdekk behovene

– Hvordan skal man bygge opp gode IT-rutiner i bedriften?

– I likhet med andre rutiner, må de finne ut hva de har behov for. For det første handler det om å bli bedre kjent med egen virksomhet og hvilke rutiner som må følges opp. Over tid handler det om å få de ansatte til å bli kjent med rutinene, følger dem opp og forbedrer dem over tid. Det gjelder også å søke hjelp enten det er hos tradisjonelle data- eller 3-partsleverandører. De er generelt gode på løsningssalg, men ikke på alt utover egne produkter og tjenester. Otte, som jeg er en del av, er eksempel på en leverandør som bistår bedrifter med å løse sine utfordringer. 

– Må forstå konsekvensene

– Vi hjelper ledelsen styre eller fagledelse med å analysere og identifisere behov for sikkerhetstiltak. Vi ser også på sikkerhetsrutiner og hvilke tiltak de må iverksette for å lykkes. Vi tar også for oss forretningsmodeller og hvordan bedriften kan dra nytte av digital teknologi og Internett i egen forretningsmodell, dialog med kunder og leverandører. Vår oppgave er å gjøre dem gode på å forstå konsekvenser av digital teknologi enten det handler om forretningsmodell, verdiskapning, personvern, databeskyttelse og sikkerhet, sier Waterhouse. 

Veldig mye på kort tid

– Ofte kan virksomheter få til veldig mye på kort tid med å løfte lista og forbedre interne IT-rutiner. Dette er en kontinuerlig arbeidsprosess som bedriften aldri blir ferdig med. Se bare på HMS som også er en pågående prosess som aldri tar slutt. Enkelte grep kan gjennomføres i løpet av noen få dager slik at man kommer på et høyere og sikrere sted. Hos andre kan det bli et lengre løp der man erstatter systemer som til daglig er i bruk. Erfaringsmessig kan man komme langt med slike prosesser i løpet av relativt kort tid. Det handler også om å trekke opp de lange linjene. 

– Søk råd hos eksperter

Waterhouse oppfordrer bygg- og elektrobransjen til å søke hjelp hos rådgivere og eksperter. 
– Det er viktig å se på innsatsen og ressursbruken opp mot verdiene som skal beskyttes. Har du en virksomhet som er verdt 50 millioner kroner er det disse verdiene som du skal sikre. Da må du la profesjonelle IT-leverandører bistå arbeidet med å løse dine utfordringer om du ikke har kompetanse selv, sier Waterhouse til slutt