Robusthet: Tåler vi virkeligheten?
Et provoserende spørsmål som stilles altfor sjelden – av andre og av oss selv. Kanskje fordi vi aner at svaret er ‘nei’. For minst 9 av 10 virksomheter – inklusive offentlig sektor – er anelsen korrekt. Ikke vet vi hvor lenge virksomheten kan være ute av drift og fortsatt overleve, ei heller hvor raskt vi kan være i gang igjen hvis katastrofen er et faktum.
Og katastrofen kan like godt være ransomware som malware, oversvømmelse, innbrudd eller terror. En overraskelse for mange – også IT-profesjonelle, som har oppfattet ransomware som utelukkende sikkerhets/forsvars-relatert.
Men erfaringene fra ransomware-året 2019 er udiskutable: I en utpressingssituasjon er det robustheten som avgjør om offeret kan reise seg selv eller må betale seg ut. Ikke slik å forstå at sikring og cyberforsvar er mindre viktig enn før, men robusthet er viktigere enn noen gang.
I realiteten er begge deler underprioritert i organisasjoner flest. Cyberforsvaret skal redusere sjansene for at uvedkommende får tilgang til systemer, som i sin tur kan forårsake en ransomware-situasjon. Men sjansen bli aldri null, selv ikke om vi ‘air-gapper’ systemer, kobler dem fysisk fra nettverket. Og når ulykken er ute og utpressingssituasjonen et faktum, er det robustheten som avgjør om vi må kjøpe eller kjempe oss ut.
Dette er – med mindre justeringer – den samme robustheten som redder oss i tilfelle naturkatastrofer, terror og store ulykker. Planer, tiltak, mekanismer og prosedyrer som skaper uavhengighet i forhold til fysiske ressurser og lokasjoner/lokaliteter. Og forholdene har aldri ligget bedre til rette for å bygge slik robusthet. Ingen trenger å eie sin egen infrastruktur og alle har råd til redundans på et nivå som holder hjulene i gang i et krisetilfelle.
Den nødvendige robustheten skapes imidlertid ikke bare av redundant teknologi, gode planer og effektive prosedyrer. To andre faktorer er i praksis like viktige. Den ene er praktiske øvelser som sørger for at alle vet hvordan slike situasjoner skal håndteres og sin egen rolle i dem. Den andre er testing – ikke én gang i året eller en gang i måneden, men kontinuerlig i bokstavelig forstand.
Ikke nødvendigvis like dramatisk, men etter samme modell som Netflix’ berømte Simian Army (se Hvorfor Netflix alltid er oppe). Poenget er at omgivelsene og trusselbildene endres kontinuerlig, og tiltakene må følge med. Vi fanger ikke opp alle slike faktorer uten å kontinuerlig pushe grenser, sette systemer og tiltak på prøve. ‘Sitte stille i båten og håpe det går bra’-varianten gikk ut på dato for veldig lenge siden.
Diskusjonen om robusthet i myPENDIUM nr. 11 setter ‘fingeren i såret’ så og si: Dagligdagse forhold og historier vi kjenner til, men unnlater å plassere inn i eget verdensbilde – av ulike årsaker. Men det er med robusthet som med en rekke andre strategiske utfordringer i en digital teknologi-hverdag: Det er ikke nødvendigvis vanskelig eller kostbart, men det krever tid og innsats å løfte seg opp på et nivå som er ansvarlig.
Veldig relevant og god kommentar.
Og du har veldig rett - dette er en underprioritert aktivitet i de fleste organisasjoner.
Når har din virksomhet gått igjennom alle systemene og vurdert hvor lenge du kan overleve uten, for så å bygge kontinuitetsløsninger og robusthet basert på de forretningsmessige krav.
Det ligger et stort ansvar på ledergrupper og styrer her.