Utredningen om IKT-sikkerheten: Gode innspill, men vi bør gjøre mer for å redusere digitale sårbarheter

KRONIKK: IKT-sikkerhetsutvalget viser vei for hvordan myndigheter og virksomheter kan og bør styrke IKT-sikkerheten i Norge. Utvalget burde ha inkludert mer.

Denne artikkelen er over fire år gammel

Debatt

Dette er et debattinnlegg. Innlegget er skrevet av en ekstern bidragsyter, og kvalitetssikret av Aftenbladets debattavdeling. Meninger og analyser er skribentens egne.

Sikkerhet innen IKT (informasjons- og kommunikasjonsteknologi) er en av de største utfordringene i det norske samfunn. Risikoen knyttet til digitale hendelser og trusler øker i sannsynlighet og konsekvens, og er en utfordring å håndtere. Den offentlige utredningen som kom 3. desember – NOU 2018: 14 IKT-sikkerhet i alle ledd – Organisering og regulering av nasjonal IKT-sikkerhet – er et skritt i riktig retning.

Denne utredningen fra det regjeringsoppnevnte IKT-sikkerhetsutvalget vurderte hvorvidt dagens regulering og organisering av IKT-sikkerhet er hensiktsmessig. Den var etterlengtet! Å styrke IKT-sikkerheten er nødvendig for å stå imot digitale trusler.

Vår masteravhandling belyste flere av de samme momentene som utredningen nå trekker frem, samtidig som NSM og PST har påpekt mye av det samme i årevis.

Behov for tydeligere regelverk

Digitaliseringen fører til lange og komplekse verdikjeder, der gjensidig avhengighet mellom virksomheter og sektorer blir tettere. Dette fører til et stadig mer komplekst risikobilde, og digitale sårbarheter utgjør en stor trussel.

Dagens regelverk for IKT-sikkerhet er ikke tilstrekkelig til å håndtere utfordringene. Selv om flere lover og forskrifter stiller krav til IKT-sikkerhet, har for eksempel petroleumssektoren fragmenterte regelverk for IKT-sikkerhet. Hvordan ulike virksomheter forholder seg til IKT-sikkerhet styres mye av hvorvidt verdiene de forvalter er hjemlet i lov. Det gir de enkelte sektorer større rom til å handle ut fra egeninteresser og konkurrerende hensyn. Dette medfører at sikkerhet ofte nedprioriteres. Derfor er det viktig med et enhetlig regelverk som stiller krav til samtlige sektorer og virksomheter.

Det er på overtid at NOU-en nå anbefaler at det utarbeides en ny lov til offentlig forvaltning og samfunnskritiske virksomheter. Utvalget vurderte også muligheten for å underlegge alle virksomheter krav om IKT-sikkerhet gjennom lovverket.

Vår forskning avdekket store forskjeller i sikkerhetsarbeidet, noe vi mener styrker behovet for at alle virksomheter skal underlegges krav om IKT-sikkerhet. Samfunnet og virksomheter er i stor grad koblet sammen, og følgelig er det behov for at samtlige har tilstrekkelig sikkerhetsnivå. NotPetya-angrepet mot Maersk viser hvordan konsekvensene går ut over flere enn virksomheten som i utgangspunktet rammes. Utfordringene med digitale sårbarheter, komplekse verdikjeder og trusselaktører er sektoruavhengig, og derfor er det nødvendig med regelverk som også tar høyde for det.

Les også

For en billig penge kan du betale andre for å utføre dataangrep. Et økende problem, varsler politiet.

Samhandling

En hovedutfordring er samarbeid, informasjonsdeling og koordinering på tvers av sektorer og virksomheter. I petroleumssektoren er det lite kunnskaps- og erfaringsdeling om digitale hendelser – hovedsakelig fordi omdømme vektlegges sterkt.

I så måte anbefaler utvalget at det etableres et nasjonalt IKT-sikkerhetssenter for å legge til rette for dette. Åpenhet og informasjonsdeling kan bidra til læring, og ikke minst skape tillit. Mange store IKT-sikkerhetsutfordringer er grenseoverskridende og kan best løses i fellesskap. Det må legges til rette for et sterkere IKT-sikkerhetsarbeid på tvers.

Uavhengig gransking

Vi savner at utvalget ser på ansvar og organisering knyttet til gransking av digitale hendelser. I dag gjennomføres dette av tilsyn i de ulike sektorene og/eller internt hos virksomhetene. Etablering av en uavhengig granskningskommisjon vil trolig ha betydning for forebygging av uønskede hendelser på tvers av sektorer, og bidra med å forbedre den nasjonale IKT-sikkerheten.

Sikkerhet innebærer hele spekteret fra forebygging, håndtering og læring av uønskede hendelser. Det er slik man kan forhindre at liknende skjer igjen.

Bedre styring og organisering

IKT griper inn i alle sektorer og virksomheter. Det forsterker behovet for en helhetlig tilnærming til utfordringer, og muligheter, som ligger foran oss. Mye av det utvalget påpeker er viktig i tiden fremover. Bedre organisering, effektivisering og regulering av IKT-sikkerhet er nødvendig for å sikre at alle har et tilstrekkelig sikkerhetsnivå. Derfor burde man også inkludere læring, gjennom etablering av en uavhengig granskingskommisjon, som legges til det IKT-sikkerhetssenteret utredningen anbefaler opprettet.

Svak risikostyring fra myndigheter og fragmentert regelverk er av direkte betydning for hvordan virksomheter jobber med informasjonssikkerhet. Dette krever et regelverk som stiller krav til IKT-sikkerhet hos alle virksomheter, som vil være av stor samfunnsmessig betydning.

I et stadig tettere sammenkoblet samfunn må man tenke tverrfaglig og helhetlig for å styrke samfunnssikkerheten. Utfordringene er tverrsektorielle, og underbygger behovet for kommunikasjon og samhandling mellom virksomheter, sektorer og myndigheter.

Vi mener at det må en tydelig risikobasert tilnærming til IKT-sikkerhet, der spesielt myndigheter bør ta en mer fremtredende rolle.

IKT-sikkerhet må prioriteres i større grad, slik at virksomheter beskytter både seg selv og andre. Det krever fleksibel regulering som kan tilpasse seg trusselbildet, digitale sårbarheter og nye teknologier.