Kan ledere tilrettelegge for både innovasjon og sikkerhet?

Zero-day Vulnerability

Det er noen likhetstrekk mellom biologiske virus og digitale virus. De sprer seg eksponentielt over hele kloden, og kan sette driften til virksomheter ut av spill. Bedrifter, skoler og sykehus i over 150 land ble i 2017 lammet av et datavirus. ‘Wannacry’ infiserte over 200.000 systemer i løpet av en helg ved å utnytte et sikkerhetshull i Windows-operativsystemet^[i]. I 2019 ble Hydro rammet av et virus som medførte at de måtte stengte driften. Bedriftens systemer ble infisert da en ansatt åpnet en lenke i en e-post.^[ii]

Det største digitale trusselbildet er Zero-day Vulnerabilites, man er kjent med et sikkerhetshull, men det finnes enda ingen oppdatering som løser problemet - vaksinen mangler^[iii]. Når et sikkerhetshull blir kjent, går startskuddet for et kappløp. Leverandører må lage oppdateringer for å tette igjen hullet, og antivirus-produsenter lager løsninger for å bekjempe virusangrep. Siste skanse er den enkelte organisasjonens ansvarlige for IT-sikkerhet, som må sørge for å få tiltakene på plass i tide.

Sikkerhetshull er uunngåelige. Selv de mest anerkjente digitale plattformene er i praksis “lappetepper” av millioner av linjer med kode fra utallige bidragsytere. De bygger på gamle systemer som ikke nødvendigvis er laget med tanke på sikkerhet, noe utviklerne må kompensere for i etterkant. I tillegg er utviklere ofte under et sterkt tidspress, og ender opp med å måtte ta snarveier.

Organisasjoner trenger en oppdatering

I mange organisasjoner mangler de ansvarlige for den digitale sikkerheten ressurser og mandat til å skape reell trygghet. Grunnen til at mange sykehus og skoler ble rammet av Wannacry var at de brukte eldre og utdaterte versjoner av Windows. Sikkerhetshullet som viruset utnyttet var kjent, og Microsoft hadde til og med sluppet en oppdatering som fikset problemet. Men i mange organisasjoner er den digitale infrastrukturen nedprioritert.

Tradisjonelle organisasjoner er ikke rustet for å respondere raskt på uforutsette begivenheter, men for å gjøre tradisjonelle oppgaver på en mest mulig effektiv måte. Men det som gjorde oss effektive før, gjør oss ineffektive i dag. I vårt digitaliserte samfunn er alt sammenkoblet, endringer skjer lynraskt og med eksponentiell kraft. “Operativsystemet” som benyttes i våre organisasjoner og institusjoner krever en forutsigbarhet som ikke lengre er tilstede.

Kortsiktighet belønnes

Den systematiske målingen av effektivitet i tradisjonelle organisasjoner hemmer også den radikale innovasjonen som trengs for å skape ny, bærekraftig verdi. Gradvise forbedringer av det eksisterende er viktig, men de virkelig store mulighetene for å skape ny verdi skjer gjennom å utforske nye markeder, nye prosesser og nye tjenester, å tenke nytt om måten vi jobber på og hvem vi kan jobbe sammen med.

Løsningen ligger i det menneskelige

Organisasjoner som ikke tar dyptgående grep for å øke sikkerhet ender opp med enkle, kortsiktige løsninger. Disse gjør hverdagen ofte mer komplisert for de ansatte. For å få utført jobben sin tyr ansatte til private PC-er, minnepinner og skyløsninger som ikke er trygge.

Folk kommer til å fortsette å klikke på lenker de ikke burde, og dataprogrammer er feilbarlige, i likhet med menneskene som lager og bruker de. Folk må ansvarliggjøres gjennom kunnskap om hvordan deres handlinger påvirker helheten. Og ledere må slutte å støtte seg på prosesser som styrker illusjonen av kontroll.

I stedet må ledere styrke sin evne til å møte det uventede, enten det er trusler eller nye muligheter. I takt med at verden blir mer kompleks, blir evnen til å navigere i kaos stadig viktigere, både for å ivareta sikkerhet og for å skape ny verdi.

Verken organisasjoner eller programmer kan kontrolleres

Nøkkelen til sikkerhet ligger ikke i å etterstrebe full kontroll og forvente at mennesker skal oppføre seg forutsigbart. Både datasystemene og selve organisasjonene har for mange koblinger, for mange selvgående prosesser og for mange mulige utfall til at vi kan forutse alt som kan komme til å skje.

Hydro gikk foran med et godt eksempel. De stengte ned systemene, og isolerte maskinene som var infiserte frem til de fikk bukt med problemet. De forsøkte ikke å kontrollere det som ikke lot seg kontrollere, og de forsøkte ikke å legge lokk på situasjonen. De holdt en åpen dialog, både med egne ansatte og med omverdenen.

Nøkkelen er tillit

Hvordan balanserer vi behovet for gode løsninger med sikkerhet? Pandemien endrer hva vi tillater av kontroll for å oppnå nytteverdi, som ved Smittestopp-appen.

Pandemien utfordrer også retningslinjer for sikkerhet. Mange organisasjoner har løsnet sine restriksjoner, og flere IT-avdelinger har gått fra å være «Avdelingen for Nei!» til «Avdelingen for Kjør på!»

Tid for nyskaping

Like sikkert som at sikkerhet ikke bare handler om kontroll så handler ikke innovasjon bare om å fjerne faste rammer. Vi trenger trygge plattformer som gir ansatte handlingsrom til å finne nye løsninger i en verden som endrer seg stadig raskere. Tillit og langsiktig tenkning er nøkkelen til å forløse både kreativitet og sikkerhet.

Som Deloitte Center for the Edge påpeker i en ny analyse er pandemien også en katalysator for innovasjon^[i], den gir anledning til å tenke fundamentalt nytt og skape ny vekst i tiden som kommer.

Dersom vi skal fungere i en verden som endrer seg raskt, holder det ikke å lappe på gamle systemer som verken er trygge eller gir rom for nyskaping. Noen ganger er det tryggeste å våge seg inn i det ukjente.

^[1] Hurtaud, S., & de la Valsslere, L. & Abouklr, Y. (2017 November). The aftermath of Ransomware. Inside Magazine, Issue 16 part 03 – From a risk and cyber perspective.

^[1] DN, (2019). Hydro: «Situasjonen er fortsatt alvorlig. Retrieved from DN

^[1] Deloitte, (2020), Insights on responsible business”.

^[1] Maarten Oonk & Daniel Sunde-Hansen, Has the Virus Beaten the Corporate Immune System?