Gå til innhold
Faksimile: Aftenposten
Faksimile: Aftenposten
2017

Får Valkyrien-Leif rett?

Cybersikkerhet i alle virksomheter kommer ikke av seg selv, og det holder ikke med dyktige fagfolk alene. Det er nødvendig med en dypere forståelse for IKT og sikkerhet i ledelsen for å ta kloke valg.

Innlegg opprinnelig publisert i Aftenposten 20. februar 2017.

  • Søndag på NRK: Leif, under jorden på Valkyrien stasjon på Majorstuen, sørger for å slå ut all strøm i hovedstaden.
  • Mandag på en konferanse i Oslo: Direktoratet for samfunnssikkerhet og beredskap (DSB) presenterer en undersøkelse om hva som bekymrer nordmenn flest. 30 prosent av oss oppgir at vi er bekymret for at et cyberangrep skal slå ut viktige styringssystemer.
  • Tirsdag morgen: NRK Dagsnytt melder at indiske IT-arbeidere har hatt store tilganger til Nødnettet, i strid med sikkerhetsloven. Inderne har ingen gyldig autorisasjon og ikke nødvendig sikkerhetsklarering.
  • Onsdag formiddag på nrk.no: Østlandssendingen kan fortelle oss at Oslobeboere kan stå uten vann etter et par timer hvis vannforsyningen skulle svikte.
  • Mandag uka etter: Ifølge VG er over 700 politikere og toppbyråkrater rammet av hackerangrep.

Det er lett å le av Leif i NRK-serien Valkyrien, som tror at katastrofen er rett rundt hjørnet. Det virker farligere for hans sinn og helse å være mistenksom og redd hele tiden, fremfor farene som lurer foran oss og som sannsynligvis ikke oppstår. Men har han noe rett?

Nødnettet outsourcet

I det store og det hele er jeg ikke bekymret for at myndighetene ikke har kontroll. Men på ett område mener jeg at vi må ta raske, nye grep og det er innen cybersikkerhet. Det har vært flere saker, både i offentlig og privat sektor i det siste, som viser huller i sikkerheten. I flere av sakene er situasjonen at deler av it-tjenestene er outsourcet til andre land. Jeg har ingen grunn til å tro at it-arbeidere i andre land hverken er mer uredelige eller mindre kompetente enn it-folk i Norge. Men det er risikabelt å gi fra seg kontroll utenfor landets grenser. Det gjør oss svært sårbare, blant annet fordi det er vanskeligere å kontrollere hvem som får tilgang og det kan gjøre oss mer tilgjengelig for sabotasje. I enkelte tilfeller er det i tillegg brudd på sikkerhetsloven.

Det meste av samfunnskritisk infrastruktur er helt eller delvis styrt gjennom it-systemer. Mens man før i tiden måtte stoppe et tog gjennom fysisk å dra i en brems, kan man i dag stoppe toget fra andre siden av kloden gjennom hacking av it-systemer. All kommunikasjon, som for eksempel gjennom Nødnettet, er avhengig av fungerende it-systemer. Da NRK avdekket at en tilfeldig it-arbeider i India hadde tilgang til Nødnettet, nektet direktøren å svare på hva som kunne ha skjedd hvis vedkommende it-arbeider hadde onde hensikter. Vi kan bare spekulere, og det er slik spekulasjon som gir grobunn til bekymringen DSB har fanget opp i sin undersøkelse.

Persondata i utenlandske skytjenester

Nylig hadde Kulturdepartementet ny arkivforskrift på høring. Det kan høres ut som noe kjedelig greier for folk som jobber med arkivering, men dette er viktig politikk. Er det greit at sensitive persondata kan lagres i skytjenester i utlandet? NITO mener svaret er nei. Vårt standpunkt er at offentlige registre som lagrer sensitive eller samfunnskritiske data må lagre data på servere i Norge, og at registrene skal driftes av norske selskap.

Norge har alle forutsetninger for å ha høy grad av cybersikkerhet. Vi har råd til å drifte egne systemer fra Norge og vi har en høyt utdannet arbeidsstyrke. Men vi må sikre at vi ikke gjør oss ekstra sårbare gjennom å mangle kompetanse på dette området. Det er en underdekning av kandidater med generell IKT-kompetanse og av kandidater med spesifikk IKT-sikkerhetskompetanse. Flere studiesteder har ikke IKT-sikkerhet i sin undervisning. Personer med generell IKT-kompetanse bør ha grunnleggende kunnskaper om IKT-sikkerhet. Ved et digitalt angrep kan ordinært driftspersonell i verste fall gjøre situasjonen verre, fordi de ikke forstår konsekvensene av sine handlinger sett fra angriperens ståsted. NITO støtter innføring av krav til IKT-sikkerhet i alle IKT-bachelorgrader.

God beredskap

Cybersikkerhet i alle virksomheter kommer ikke av seg selv, og det holder ikke med dyktige fagfolk alene. Det er nødvendig med en dypere forståelse for IKT og sikkerhet i ledelsen, slik at det tas kloke valg. Lovgivningen må også bli tydeligere, og lovgiver må ha oppdatert kunnskap. Sikkerhetslovgivningen må tilpasse det digitale samfunnet. Et offentlig utvalg har nylig utredet hva som bør reguleres i ny sikkerhetslov. De anbefaler å utvide lovens virkeområde. Både offentlige og private bedrifter med kritisk betydning for grunnleggende nasjonale funksjoner omfattes av loven. NITO støtter dette, og mener sivile aktørers forståelse av lovens viktighet er en sentral forutsetning for å lykkes.

Eksperter på IKT og cybersikkerhet vil i fremtiden være like viktige for vår personlige sikkerhet som brannmenn og helsepersonell. Beredskapen innenfor IKT må være like god som beredskap ved naturkatastrofer, ulykker og terror. De siste ukenes medieoppslag kan tyde på at vi er mer sårbare enn vi liker å tro. Vi må sikre oss slik at Leifs dystre fremtidsbilder ikke slår til.

Publisert: Sist oppdatert: