IKT-sikkerhet: God start, mer å gjøre
KRONIKK: IKT-sikkerhetsutvalget viser vei for hvordan myndigheter og virksomheter kan og bør styrke IKT-sikkerheten i Norge. Det burde ha foreslått mer.
Dagens regelverk for IKT-sikkerhet er ikke tilstrekkelig til å håndtere utfordringene. Selv om flere lover og forskrifter stiller krav til IKT-sikkerhet, har for eksempel petroleumssektoren fragmenterte regelverk for IKTsikkerhet. Hvordan ulike virksomheter forholder seg til IKT-sikkerhet styres mye av hvorvidt verdiene de forvalter er hjemlet i lov. Det gir de enkelte sektorer større rom til å handle ut fra egeninteresser og konkurrerende hensyn. Dette medfører at sikkerhet ofte nedprioriteres. Derfor er det viktig med et enhetlig regelverk som stiller krav til samtlige sektorer og virksomheter.
Det er på overtid at NOU-en nå anbefaler at det utarbeides en ny lov til offentlig forvaltning og samfunnskritiske virksomheter. Utvalget vurderte også muligheten for å underlegge alle virksomheter krav om IKT-sikkerhet gjennom lovverket.
Vår forskning avdekket store forskjeller i sikkerhetsarbeidet, noe vi mener styrker behovet for at alle virksomheter skal underlegges krav om IKT-sikkerhet. Samfunnet og virksomheter er i stor grad koblet sammen, og følgelig er det behov for at alle har tilstrekkelig sikkerhetsnivå. NotPetya-angrepet mot Maersk viser hvordan konsekvensene går ut over flere enn virksomheten som i utgangspunktet rammes. Utfordringene med digitale sårbarheter, komplekse verdikjeder og trusselaktører er sektoruavhengig, og derfor er det nødvendig med regelverk som også tar høyde for det.
Samhandling
En hovedutfordring er samarbeid, informasjonsdeling og koordinering på tvers av sektorer og virksomheter. I petroleumssektoren er det lite kunnskaps- og erfaringsdeling om digitale hendelser – hovedsakelig fordi omdømme vektlegges sterkt.
I så måte anbefaler utvalget at det etableres et nasjonalt IKT-sikkerhetssenter for å legge til rette for dette. Åpenhet og informasjonsdeling kan bidra til laering, og ikke minst skape tillit. Mange store IKT-sikkerhetsutfordringer er grenseoverskridende og kan best løses i fellesskap. Det må legges til rette for et sterkere IKT-sikkerhetsarbeid på tvers.
Uavhengig gransking
Vi savner at utvalget ser på ansvar og organisering knyttet til gransking av digitale hendelser. I dag gjennomføres dette av tilsyn i de ulike sektorene og/eller internt hos virksomhetene. Etablering av en uavhengig granskningskommisjon vil trolig ha betydning for forebygging av uønskede hendelser på tvers av sektorer, og bidra med å forbedre den nasjonale IKT-sikkerheten.
Sikkerhet innebaerer hele spekteret fra forebygging, håndtering og laering av uønskede hendelser. Det er slik man kan forhindre at liknende skjer igjen.
Bedre styring og organisering
IKT griper inn i alle sektorer og virksomheter. Det forsterker behovet for en helhetlig tilnaerming til utfordringer, og muligheter, som ligger foran oss. Mye av det utvalget påpeker er viktig i tiden fremover. Bedre organisering, effektivisering og regulering av IKT-sikkerhet er nødvendig for å sikre at alle har et tilstrekkelig sikkerhetsnivå. Derfor burde man også inkludere laering, gjennom etablering av en uavhengig granskingskommisjon, som legges til det IKT-sikkerhetssenteret utredningen anbefaler opprettet.
Svak risikostyring fra myndigheter og fragmentert regelverk er av direkte betydning for hvordan virksomheter jobber med informasjonssikkerhet. Dette krever et regelverk som stiller krav til IKT-sikkerhet hos alle virksomheter, som vil vaere av stor samfunnsmessig betydning.
I et stadig tettere sammenkoblet samfunn må man tenke tverrfaglig og helhetlig for å styrke samfunnssikkerheten. Utfordringene er tverrsektorielle, og underbygger behovet for kommunikasjon og samhandling mellom virksomheter, sektorer og myndigheter.
Vi mener at det må en tydelig risikobasert tilnaerming til IKT-sikkerhet, der spesielt myndigheter bør ta en mer fremtredende rolle.
IKT-sikkerhet må prioriteres i større grad, slik at virksomheter beskytter både seg selv og andre. Det krever fleksibel regulering som kan tilpasse seg trusselbildet, digitale sårbarheter og nye teknologier.
I petroleumssektoren er det lite kunnskaps- og erfaringsdeling om digitale hendelser – hovedsakelig fordi omdømme vektlegges sterkt.