Printparadokset: Har sikkerhetsagendaen blindsoner?

Markedsundersøkelser viser at mange selskaper er bekymret for sikkerheten i sitt print-miljø. Likevel opplever vi i liten grad at våre kunder tar opp utfordringer rundt sikkerhet. Hvordan kan det ha seg, og hva sier dette paradokset om tilgangen på informasjonssikkerhetskompetanse?

Det er lett å forklare at få bedrifter har særkompetanse på printsikkerhet- nesten alle typer bedrifter har en eller flere printere, men få har belegg for dedikerte ressurser som arbeider for å bli skikkelig gode på disse. Det kan dermed være vanskelig for mange å vite hvilke sikkerhetsutfordringer de har, eller at de i det hele tatt har utfordringer.

Denne tolkningen underbygges av Quocircas rapport, Print Security landscape 2022. Når print-kunder blir spurt, har de fleste bekymringer knyttet til printsikkerhet. Samtidig er implementeringsgraden til forskjellige sikkerhetstiltak lav. Særlig små organisasjoner har i liten grad implementert sikkerhetstiltak. Det tyder på et misforhold mellom ønske om sikkerhetstiltak, og evne til å gjennomføre.

En annen del av forklaring er at printere ikke oppfattes som veldig spennende. Det er neppe sikkerhetsutfordringer rundt printeren som er best egnet til å spenne opp øyne i styrerommet. For at sikkerhetspersonell skal få nødvendige ressurser, er de avhengige av å kunne engasjere. Det fører imidlertid fort til en vridning mot det som er nytt, skremmende, og i tiden. Printeren er en urokkelig konstant i forhold. Dersom en organisasjon ikke har evnen til å se forbi det som til enhver tid er «hypet», risikerer den at det utvikler seg sårbare hjørner i it-infrastrukturen.

Printere er bare et eksempel på denne utfordringen. En kan anta at samme utfordring gjelder for alt fra ladestasjoner for elbil til IP-telefoner til adgangssystemer og alt imellom.

En lav grad av særkompetanse i den enkelte bedrift, og en lav aktualitet blant beslutningstakere kan virke forsterkende på hverandre: De som har utviklet ekspertise trekker mot miljøer der ekspertisen blir flittig benyttet. Det er i praksis på leverandørsiden. Et bredere utdanningstilbud innen informasjonssikkerhet kan over tid bøte noe på dette, men spesialisering skjer først og fremst i felt.

Med dette som bakteppe er det tydelig at leverandørsiden må ta et særlig ansvar. Hovedtyngden av kompetansen sitter hos oss: Om vi ikke er flinke å belyse vår kunders sikkerhetsutfordringer, er det fare for at de ikke blir oppdaget i det hele tatt. Vi leverandører må jobbe aktivt for å gjøre det enkelt for kunder å benytte seg av vår informasjonssikkerhetskompetanse. Enten det er gjennom forskjellige sikkerhetstjenester, gjennom seminarer, eller lett tilgjengelig dokumentasjon og veiledning.

Publisert i Computerworld desember 2022.