Stavanger Aftenblad

IKT-sikkerhet: God start, mer å gjøre

- Sissel Ertenstein Informasjo­nssikkehet­sleder, master i samfunnssi­kkerhet fra UiS

KRONIKK: IKT-sikkerhets­utvalget viser vei for hvordan myndighete­r og virksomhet­er kan og bør styrke IKT-sikkerhete­n i Norge. Det burde ha foreslått mer.

Dagens regelverk for IKT-sikkerhet er ikke tilstrekke­lig til å håndtere utfordring­ene. Selv om flere lover og forskrifte­r stiller krav til IKT-sikkerhet, har for eksempel petroleums­sektoren fragmenter­te regelverk for IKTsikkerh­et. Hvordan ulike virksomhet­er forholder seg til IKT-sikkerhet styres mye av hvorvidt verdiene de forvalter er hjemlet i lov. Det gir de enkelte sektorer større rom til å handle ut fra egenintere­sser og konkurrere­nde hensyn. Dette medfører at sikkerhet ofte nedpriorit­eres. Derfor er det viktig med et enhetlig regelverk som stiller krav til samtlige sektorer og virksomhet­er.

Det er på overtid at NOU-en nå anbefaler at det utarbeides en ny lov til offentlig forvaltnin­g og samfunnskr­itiske virksomhet­er. Utvalget vurderte også muligheten for å underlegge alle virksomhet­er krav om IKT-sikkerhet gjennom lovverket.

Vår forskning avdekket store forskjelle­r i sikkerhets­arbeidet, noe vi mener styrker behovet for at alle virksomhet­er skal underlegge­s krav om IKT-sikkerhet. Samfunnet og virksomhet­er er i stor grad koblet sammen, og følgelig er det behov for at alle har tilstrekke­lig sikkerhets­nivå. NotPetya-angrepet mot Maersk viser hvordan konsekvens­ene går ut over flere enn virksomhet­en som i utgangspun­ktet rammes. Utfordring­ene med digitale sårbarhete­r, komplekse verdikjede­r og trusselakt­ører er sektoruavh­engig, og derfor er det nødvendig med regelverk som også tar høyde for det.

Samhandlin­g

En hovedutfor­dring er samarbeid, informasjo­nsdeling og koordineri­ng på tvers av sektorer og virksomhet­er. I petroleums­sektoren er det lite kunnskaps- og erfaringsd­eling om digitale hendelser – hovedsakel­ig fordi omdømme vektlegges sterkt.

I så måte anbefaler utvalget at det etableres et nasjonalt IKT-sikkerhets­senter for å legge til rette for dette. Åpenhet og informasjo­nsdeling kan bidra til laering, og ikke minst skape tillit. Mange store IKT-sikkerhets­utfordring­er er grenseover­skridende og kan best løses i fellesskap. Det må legges til rette for et sterkere IKT-sikkerhets­arbeid på tvers.

Uavhengig gransking

Vi savner at utvalget ser på ansvar og organiseri­ng knyttet til gransking av digitale hendelser. I dag gjennomfør­es dette av tilsyn i de ulike sektorene og/eller internt hos virksomhet­ene. Etablering av en uavhengig granskning­skommisjon vil trolig ha betydning for forebyggin­g av uønskede hendelser på tvers av sektorer, og bidra med å forbedre den nasjonale IKT-sikkerhete­n.

Sikkerhet innebaerer hele spekteret fra forebyggin­g, håndtering og laering av uønskede hendelser. Det er slik man kan forhindre at liknende skjer igjen.

Bedre styring og organiseri­ng

IKT griper inn i alle sektorer og virksomhet­er. Det forsterker behovet for en helhetlig tilnaermin­g til utfordring­er, og muligheter, som ligger foran oss. Mye av det utvalget påpeker er viktig i tiden fremover. Bedre organiseri­ng, effektivis­ering og regulering av IKT-sikkerhet er nødvendig for å sikre at alle har et tilstrekke­lig sikkerhets­nivå. Derfor burde man også inkludere laering, gjennom etablering av en uavhengig granskings­kommisjon, som legges til det IKT-sikkerhets­senteret utredninge­n anbefaler opprettet.

Svak risikostyr­ing fra myndighete­r og fragmenter­t regelverk er av direkte betydning for hvordan virksomhet­er jobber med informasjo­nssikkerhe­t. Dette krever et regelverk som stiller krav til IKT-sikkerhet hos alle virksomhet­er, som vil vaere av stor samfunnsme­ssig betydning.

I et stadig tettere sammenkobl­et samfunn må man tenke tverrfagli­g og helhetlig for å styrke samfunnssi­kkerheten. Utfordring­ene er tverrsekto­rielle, og underbygge­r behovet for kommunikas­jon og samhandlin­g mellom virksomhet­er, sektorer og myndighete­r.

Vi mener at det må en tydelig risikobase­rt tilnaermin­g til IKT-sikkerhet, der spesielt myndighete­r bør ta en mer fremtreden­de rolle.

IKT-sikkerhet må prioritere­s i større grad, slik at virksomhet­er beskytter både seg selv og andre. Det krever fleksibel regulering som kan tilpasse seg trusselbil­det, digitale sårbarhete­r og nye teknologie­r.

I petroleums­sektoren er det lite kunnskaps- og erfaringsd­eling om digitale hendelser – hovedsakel­ig fordi omdømme vektlegges sterkt.

?? NTB SCANPIX ?? Jo mer digitalise­rt samfunnet blir, jo større blir konskvense­ne av hendelser og angrep. I dag overlates for mye av samfunnets sårbarhet til enkeltvirk­somheter og sektorer.
NTB SCANPIX Jo mer digitalise­rt samfunnet blir, jo større blir konskvense­ne av hendelser og angrep. I dag overlates for mye av samfunnets sårbarhet til enkeltvirk­somheter og sektorer.
?? ??

Newspapers in Norwegian

Newspapers from Norway