Gå til innhold
Illustrasjonsfoto IT.
2017

Cybersikkerhet må på dagsorden overalt

Norge blir omtalt som internasjonalt ledende på å ta i bruk ny teknologi. Men er vi god nok på cybersikkerhet? Cyber- og informasjonssikkerhet får ikke det fokuset det fortjener, mener Trond Markussen, president i NITO. - Bedre lovverk og styrking av kompetansemiljøer er nødvendig.

NITOs forslag til tiltak for bedre informasjonssikkerhet:

1. NITO mener lovverk knyttet til hvilke data som kan offshores må bli strengere. Alle offentlige registre som lagrer sensitive eller samfunnskritiske data må lagre data på servere i Norge, og at registrene må driftes av norske selskap.

2. NITO mener det er svært mye å hente både sikkerhetsmessig og økonomisk dersom lov- og regelverk om informasjonssikkerhet samordnes. I dag er krav til fagmiljøenes arbeid med informasjonssikkerhet for fragmentert. Sikkerheten blir dårligere og vi går glipp av stordriftsfordeler. Det burde være minstekrav til informasjonssikkerhet som alle sektorer må forholde seg til.

3. NITO mener det offentlige må få bedre bestillerkompetanse. IKT-fagmiljøene i statlig og kommunal forvaltning er for små og må slås sammen. Uten store nok fagmiljøer klarer man ikke å ha tilstrekkelig oppmerksomhet knyttet til informasjonssikkerhet. Med de høye kravene det er til digitalisering blir det mest fokus på å få ting til å virke, mens sikkerheten kommer i andre rekke.

Store konsekvenser

NITO har over 10.000 medlemmer som er IKT-utdannet og som jobber i alle bransjer og sektorer. De ser utfordringene innenfor digitalisering. Fagutvalget for IKT er dypt engasjert i informasjonssikkerhet og om lagring av data i utlandet, også kalt offshoring.

SeminarArbeiderpartiets fraksjon i justiskomiteen arrangerte 24. april seminar på Stortinget om informasjons- og cybersikkerhet. 

NITO-president Trond Markussen (bildet) var innleder på konferansen.

Store hendelser internasjonalt, og flere alvorlige saker i Norge har ført til mer oppmerksomhet om digital sårbarhet.

Avsløringer i en rekke saker knyttet til offshoring har demonstrert at konsekvensen av lav sikkerhet fort blir svært konkret. I Nødnett-saken ble det avslørt at nødnett driftes ulovlig fra India, Statoil-saken avslørte at indiske IT-arbeidere stanset produksjonen på Mongstad og ikke minst har vi Sykehuspartner-saken, der NITO mener sensitive helseopplysning blir tilgjengelig fra Ungarn.

- IKT har blitt kjernen i virksomheters forretningsmodeller. Tilgang til data er ikke lenger noe som bare angår IT-avdelingen. Det angår kjernen i det virksomhetene driver med, sier Trond Markussen.

Krav til lagringen

Markussen- Digitalisering og bruk av offshoring endrer sikkerhetsutfordringene fundamentalt. Hvilke type data man har, hvor sensitive de er, hva slags avhengighet man har av disse i en krisesituasjon osv. er blitt svært viktig kunnskap, sier Markussen.

- NITO er opptatt av hvordan vi best kan sikre denne type data ved krav til hvilke data som må lagres i Norge, og hvordan vi kan utvikle teknologiske systemer som har høyere sikkerhetsgrad.

Markussen sier at grunnen til at medlemmene er bekymret for offshoring er at de sitter på konkret innsikt om utfordringene for informasjonssikkerheten. - Det være seg om de jobber i en kommune, et stort konsern eller i en virksomhet dedikert til å tenke sikkerhet. De ser på ulike måter hvor enkelt det kan være å bryte seg inn, de ser hva en inntrenger vil kunne få tilgang til eller sabotere. De vet at lojalitet fra de som har tilgang til data kan forringes når informasjonssikkerheten i for stor grad styres ut i fra kontraktsrett, og sikkerheten baseres på hva som er lov og ikke lov, i stedet for hva som er konkret teknisk mulig.

Outsourcing øker

Bruk av outsourcing øker. Høyt tempo i digitaliseringen gjør at mange virksomheter ikke har tid eller ressurser til å holde seg med interne IKT-tjenester på alle områder. Å sette ut IKT-oppgaver til en ekstern leverandør er attraktivt og det oppfattes som lønnsomt.

Politikk i feil retning

- Bekymringen fra NITOs side er at det til tross for at regjeringen har kommet med mange rapporter og meldinger relatert til informasjonssikkerhet de siste årene, så går politikken i feil retning, sier Markussen.

- Samfunnskritisk IKT-infrastruktur sikrer at Norge fungerer som det skal i alle situasjoner, inkludert naturkatastrofer, kriser og krig. Vi må ikke sette dette i spill ved å tillate outsourcing og utflagging av de offentlige IKT-systemene. Likevel er det det som skjer. Avtaler og lovverk overser hva som er teknisk mulig. 

- La meg understreke at NITO ikke er prinsipielt mot outsourcing, sier Markussen. - Outsourcing kan gi økt sikkerhet, og det kan være rimeligere enn å gjøre oppgaven på egen hånd. Likevel, når viktige data befinner seg hos et annet firma, må det fortsatt gjøres et solid sikkerhetsarbeid. Her syndes det ofte grovt. Både på grunn av lav kompetanse, og på grunn av ønske om å spare penger.

- God teknologisk kompetanse for å kunne følge opp leverandør, såkalt bestillerkompetanse, blir svært viktig. Det er mangel på IKT-kompetanse generelt i dag, og det er enda større mangel på IKT-sikkerhetskompetanse. Ved outsourcing har man ofte et for snevert fokus på jussen, og tar for lite høyde for hva som er konkret teknisk mulig. Vi må få en større forståelse for at det ikke holder å endre lovverket eller styre gjennom kontrakter når internasjonal rett gjør det umulig å håndheve på tvers av landegrenser.

- Dersom det sitter en person i Ukraina og laster over sensitiv data på en minnepinne nytter det ikke å si at «det har du ikke lov til fordi det står i kontrakten».

- Både lovverket og virksomhetsledernes vurdering burde i mye større grad ta høyde for hva som er konkret teknisk mulig. Derfor mener NITO at alle offentlige registre som lagrer sensitive eller samfunnskritiske data må lagre data på servere i Norge, og at registrene må driftes av norske selskap. NITO mener at det må innføres en godkjenningsordning for offentlige virksomheter som ønsker å offshore f.eks. hos Datatilsynet.

Felles regelverk og minstestandard for sikkerhet

Det er behov for et mer overordnet regelverk enn i dag, og at det burde innføres minstekrav til IKT-sikkerhet. NITO mener at dagens lovverk rett og slett ikke er godt nok tilpasset informasjonsteknologiens egenskaper.

- I Norge har vi et kjempepotensiale for å utvikle sikker og miljøvennlig datalagring. Naturgitte fortrinn, billig strøm og ubrukte fjellhaller gjør det attraktivt å etablere datalagring i Norge. Det gir også et potensial for verdiskaping. Jeg mener at utfordringene knyttet til sikkerhet kombinert med det store potensialet for lagring i Norge må ses i sammenheng. Det er derfor positivt at el-avgiften for datasentre nå er redusert, sier Markussen.

NITOs IKT-utvalg er pådriver for bedre sikring av IKT og følger politikkutformingen nøye.

NITO IKT

Aktuelle kurs innenfor IKT

Glasspaper Trondheim, Trondheim, 11. september 2017
Publisert: Sist oppdatert: