8 av 10 norske ansatte med ansvar for IT-sikkerheten er i ferd med å bli utbrent

Ny studie fra IT-sikkerhetsselskapet Trend Micro avdekker de menneskelige kostnadene relatert til det voksende volumet av cyberangrep og -trusler de må håndtere. Og de norske medarbeiderne sliter mest blant våre naboland.

IT-sikkerhetsselskapet Trend Micro publiserte nylig resultatene fra en ny studie som avslører hvordan dagens cyberangrep og -trusler påvirker IT-sikkerhetsteamene mentalt og psykisk.

Ifølge den globale studien, som omhandler over 2.300 beslutningstagere med ansvar for IT-sikkerheten, svarer 79 prosent av de norske respondentene at hverdagen deres har blitt følelsesmessig påvirket i negativ forstand, som følge av deres arbeid med å administrere et stadig mer overveldende trusselbilde.

Norge kommer dårligst ut i Skandinavia

Blant de norske respondentene svarer hele 62 prosent at de føler seg overveldet av det enorme volumet av sikkerhetsvarsler. Og det som kanskje er enda verre, er at omlag halvparten av alle beslutningstagerne svarer at de har satset og håpet på at andre i teamet deres vil følge opp advarslene. Og det kommer som følge av manglende ressurser og kunnskap. Derfor kommer det kanskje ikke som en overraskelse at IT-sikkerhetsteamene bruker nærmere 30 prosent av arbeidstiden sin på å håndtere falske positive, noe som går kraftig ut over blant annet tiden de kunne ha brukt til viktige IT-sikkerhetsprosjekter.

- IT-sikkerhetsteamene er virksomhetskritiske. Jobben som kreves av disse medarbeiderne for å administrere og reagere på et stadig økende volum av cybertrusler er avgjørende for å beskytte mot potensielt katastrofale innbrudd. Samtidig viser undersøkelser som den her, at arbeidspresset har en enorm stor personlig kostnad, sier kommunikasjonssjef Karianne Myrvold i Trend Micro.

Kraftig underbemannet

Funnene fra Trend Micro sin undersøkelse, bekreftes av en nylig undersøkelse fra det uavhengige analyseselskapet Forrester, som konkluderte med at «IT-sikkerhetsteamene er sterkt underbemannet, til tross for at trusler og angrep øker i volum og kompleksitet».

Viktige funn fra undersøkelsen:

• 69 prosent har etablert et eget sikkerhetsoperasjonssenter. I Sverige og Danmark ligger andelen på henholdsvis 73 og 81 prosent.
• 64 prosent har sikkerhetsinfrastruktur som ikke har blitt tatt i bruk. I Sverige og Danmark er det 50 og 66 prosent som svarer det samme.
• 41 prosent svarer at det skyldes manglende kunnskap og ressurser, mens kun 28 og 34 prosent av svenskene og danskene sliter med det samme.
• Blant de norske og danske respondentene er det kun 27 prosent som svarer at de har en IT-sikkerhetsavdeling som opererer 24/7. 46 prosent av svenskene svarer det samme.
• Kun 30 prosent stoler på at ledelsen forstår IT-sikkerhetsutfordringene. Enda færre, 25 prosent, tror det samme i Sverige og Danmark.

Dårlig balanse mellom jobb og fritid er en trussel

En direkte konsekvens av å være underbemannet og ikke i stand til å håndtere IT-sikkerheten 24/7, er at svært mange som jobber med IT-sikkerheten ikke får tilstrekkelig med tid og anledning til å slappe av etter arbeidstid. I et forsøk på å bøte på manglende fritid og begrenset bemanning, svarer nesten 50 prosent av respondentene at de slår av sikkerhets-varslinger, lar være å sjekke datamaskinen og håper at noen andre på IT-sikkerhetsteamet vil ta hånd om varslingen eller trusselen.

Mennesker, prosesser og teknologi

- Vi har for vane å se på IT-sikkerhet som et samspill mellom mennesker, prosesser og teknologi, forklarer Cyber-sikkerhetsforsker og -forfatter Dr. Victoria Baines. Derimot blir ofte menneskene fremstilt som en sårbarhet, fremfor en ressurs. I tillegg blir det tekniske forsvaret prioritert fremfor menneskelig motstandskraft. Det er på høy tid at vi fornyer investeringene våre i de ansatte, slik at de har riktige verktøy og kunnskap som gjør dem i stand til å fokusere på det menneskene gjør best.

Altfor mange tror ikke at de vil bli angrepet

17 prosent av de norske respondentene tror fortsatt ikke at de kommer til å bli utsatt for et datainnbrudd. På den andre siden forventer nærmere halvparten at et datainnbrudd er uunngåelig i løpet av 2021. Da hjelper det ikke at kun 30 prosentav de norske respondentene tror at ledelsen forstår hvor viktig IT-sikkerhetsavdelingen er for å håndtere trussellandskapet.

Et datainnbrudd kan resultere i bøter som følge av personvernforordningen. Gjennomsnittsstørrelsen på en GDPR-bot ligger i dag på omlag 1,6 millioner kroner. Da er derimot ikke kostnader relatert til tapt omsetning, samt konsekvensene av et redusert omdømme og tillit, regnet inn.

- Skal dagens virksomheter unngå at IT-sikkerhetsansatte blir utbrent og forsvinner, er det avgjørende at man investerer mer i sofistikerte plattformer og verktøy som kan oppdage og respondere på trusler på en mer intelligent måte. Det vil ikke bare forbedre den generelle beskyttelsen, men også forbedre de ansattes produktivitet og trivsel. Det er en lønnsom investering, oppfordrer Myrvold.

Fotograf: Elisa Ventur / Unsplash