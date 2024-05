Gjestekommentar: Espen Werring, partner, Christopher Sparre-Enger Clausen, partner, og Kjetil Rikardsen, advokat, alle i advokatfirmaet Thommessen

I rapporten «Nasjonalt digitalt risikobilde 2023» fremhever Nasjonal sikkerhetsmyndighet (NSM) blant annet bølger av tjenestenektangrep fra pro-russiske aktører og økt profesjonalisering i angrepskjeden som sentrale risikoer. I tillegg trekkes modningen av AI-teknologi frem som en driver bak mer sofistikerte cyberangrep. Det skjerpede digitale trusselbildet er blitt møtt med en rekke nye lovgivningsinitiativer. Trenden: Strammere krav til IT-sikkerhet og håndhevelse gjennom bøteleggelse.

Men hvordan står det til med IT-systemene i norske bedrifter i 2024? Slik vi opplever det, oppsummerer dette situasjonen:

Gammel moro: Tidligere generasjoners utkontraktering av virksomhetskritisk teknologi har vært svært kostnadskrevende og belastende. Det har vært liten vilje til utskifting i ettertid. Resultatet for mange bedrifter er opparbeidelse av stor teknisk gjeld og avhengighet av gammel funksjonalitet.

Tidligere generasjoners utkontraktering av virksomhetskritisk teknologi har vært svært kostnadskrevende og belastende. Det har vært liten vilje til utskifting i ettertid. Resultatet for mange bedrifter er opparbeidelse av stor teknisk gjeld og avhengighet av gammel funksjonalitet. Binders og strikk: Over lengre tid er nye behov blitt løst gjennom enkeltanskaffelser, utvikling av nye systemer, samt kundespesifikke videreutviklinger av eksisterende teknologi. Behov for automasjon og dataflyt er blitt løst med enkeltstående integrasjoner til eldre databaser og løsninger. Resultatet er et lappverk av integrasjoner og datastrukturer.

Over lengre tid er nye behov blitt løst gjennom enkeltanskaffelser, utvikling av nye systemer, samt kundespesifikke videreutviklinger av eksisterende teknologi. Behov for automasjon og dataflyt er blitt løst med enkeltstående integrasjoner til eldre databaser og løsninger. Resultatet er et lappverk av integrasjoner og datastrukturer. End-of-life: Leverandører av eldre teknologi har helt eller delvis sluttet å vedlikeholde virksomhetskritiske systemer og løsninger. Funksjonalitet er over tid blitt opprettholdt gjennom ikke-skalerbare løsninger. Resultatet er at mange bedrifter blir sittende med systemer som er sårbare for angrep og mangler nødvendig støtte.

Med dette bakteppet blir det tydelig at en rekke bedrifter befinner seg i en situasjon hvor sannsynligheten for cyberangrep er stor, og skadepotensialet kan være ødeleggende for forretningen. Samlet sett utgjør dette store kommersielle, operasjonelle og regulatoriske utfordringer. Og oppryddingen er ingen enkel sak.

«Oppryddingen» består ofte av større transformasjonsprosjekter, som tar for seg hele eller betydelige deler av bedriftens IT-portefølje. Sentrale drivere for slik utkontraktering har tradisjonelt vært kostnadsreduksjon, tilgang til kompetanse og spesialisering, skalerbarhet og fleksibilitet, robusthet og tilgang til ny teknologi. Nå ser vi imidlertid at nettopp cyberrisiko i økende grad er en utløsende faktor.

Her er fire overordnede råd til bedrifter som står overfor situasjonen beskrevet over, og skal i gang med et krevende IT-transformasjonsprosjekt:

Håndter prosjektet som et forretningsprosjekt, ikke et IT-prosjekt: Prosjektet må løftes opp på firmanivå, og dette må reflekteres i teamet som har ansvar for beslutninger og gjennomføring. Virksomhetsendringer kan være smertefulle. Løsningen er bred involvering, ikke ekskludering. Meningsmotsetninger bør avklares tidlig, slik at de ikke stikker kjepper i hjulene på et senere tidspunkt. Vær treffsikker i markedet: Vurder behovene dine nøye. Tradisjonelle drifts- og forvaltningsleverandører posisjonerer seg gjerne for å gjennomføre så mye som mulig av prosjektleveransene. Konsulenthus og tradisjonelle transformasjonspartnere posisjonerer seg tilsvarende for å overta løpende drifts- og forvaltningsoppgaver. Vær kritisk og unngå å havne i monolittanskaffelsesfellen; en «best of breed»-tilnærming er ofte best. Gjennomfør forprosjekt: Få inngående kunnskap om aktuelle leverandører gjennom mindre forprosjekter for å dokumentere omfang, plan og kommersielle rammer. Dette reduserer risiko og gir et bedre beslutningsgrunnlag. Vær imidlertid oppmerksom på at forhandlingskraft reduseres jo lenger ut i løypa en kommer. Kommersielle og juridiske posisjoner bør derfor røykes ut før det såkalte «point of no return». Se på avtalen som et samarbeidsverktøy, ikke et samarbeidshinder: Begreper som «avtale» og «forhandlinger» kan skape feil assosiasjon. En god avtale skal være et veikart som partene kan stole på og med tillit jobbe etter. Å bruke avtalen som et samarbeidsverktøy bidrar til å redusere konfliktnivået mellom partene.

Med tydelige mål, riktig bruk av spesialistkompetanse og solide avtaler, kan norske bedrifter gjennom strategisk utkontraktering ruste seg mot økende cybertrusler. Ta grep nå for å beskytte bedriften i usikre tider – lykke til!

