spekter.no>Det må bygges kultur for datasikkerhet
Auke Lont, konsernsjef i Statnett, Anne-Kari Bratten, adm. direktør i Spekter, Hans Christian Holte, skattedirektør og utvalgsleder, og Toril Charlotte Ulleberg Reynolds (foto: Kim Hannisdal/Spekter)
Auke Lont, konsernsjef i Statnett, Anne-Kari Bratten, adm. direktør i Spekter, Hans Christian Holte, skattedirektør og utvalgsleder, og Toril Charlotte Ulleberg Reynolds (foto: Kim Hannisdal/Spekter)

Er samfunnet og norske bedrifter for naive når det gjelder datasikkerhet, spurte Spekter på frokostmøte 14. mars. Her ble IKT-sikkerhet og IKT-sikkerhetsutvalgets utredning diskutert.

Anne-Kari Bratten, administrerende direktør i Arbeidsgiverforeningen Spekter, ønsket velkommen og pekte på at Spekters medlemmer i stor grad er bærere av viktige samfunnsoppdrag.

– Til tross for en viss endringsmotstand fra tid til annen, har Norge vært kjennetegnet av en fantastisk evne til omstilling. Det har muliggjort det høye teknologi- og lønnsnivået vi har i Norge. Trygge og effektive IT-systemer er avgjørende for å skape optimale tjenester for våre virksomheters kunder og brukere, sa Bratten.

Statssekretær Toril Charlotte Ulleberg Reynolds (Frp) i Justis- og beredskapsdepartementet, fortalte om regjeringens nylig fremlagte nasjonale strategi for digital sikkerhet.

- En vellykket digitalisering krever at virksomheter og privatpersoner har tillit til systemer og nettverk. Utviklingen går i superfart, og politikkutformingen må ligge i forkant, sa hun.

Reynolds sa at strategien særlig hadde fokus på kompetansetiltak, god forebygging, kritiske samfunnsfunksjoner, avdekking og håndtering av angrep og forebygging og bekjemping av IKT-kriminalitet.

– Sist men ikke minst er det viktig å etablere en god grunnsikkerhet. Det vil for eksempel være svært effektivt om alle virksomheter gjennomfører de enkle rådene som Nasjonal sikkerhetsmyndighet (NSM) har gitt for IKT-sikkerhet, sa Reynolds.

IKT-sikkerhetsutvalget anbefalte funksjons- og risikobasert tilnærming

Skattedirektør Hans Christian Holte innledet i kraft av at han har ledet arbeidet med NOU 2018: 14 IKT-sikkerhet i alle ledd. Utvalget ble bedt om å svare på hvilke regulatoriske og organisatoriske grep som bør gjøres for å styrke nasjonal IKT-sikkerhet.

– Vi anbefaler blant annet at vesentlig risiko prioriteres. Samtidig er det viktig med høyere kompetanse hos brukerne, og at regelverket ikke blir så statisk, slik at det potensielt blir en hindring i IKT-sikkerhetsarbeidet ble understreket, Sa Holte.

Utvalget anbefaler også etableringen av et nasjonalt samordnende IKT-sikkerhetssenter, som trekker på de ressursene som finnes ulike steder, som er i god kontakt med resten av samfunnet, og som bistår virksomheter med å svare på spørsmål de måtte ha.

Utvalget understreker også at norske myndigheter må jobbe mer med å takle utfordringene som skapes av tingenes internett – det vil si behovet for å etablere et europeisk regelverk for produsentansvar og «security by design», og for varsling og tilbakekalling av produkter som utgjør en uakseptabel risiko. 

Samfunnskritisk og IKT-tung kraftforsyning

Auke Lont, konsernsjef Statnett SF fortalte hvordan framtidens energisystem i hovedsak blir et kraftsystem basert på fornybar energi, hvor strømforsyningen blir stadig mer IKT-intensiv.

– Framtidens energisystem blir mer sammenkoblet – og det blir også mer komplekst. Dette energisystemet må fungere 24/7, og dermed blir IKT-sikkerheten enda viktigere, sa Lont.

Sikkerhet må bygges inn i produkter og tjenester fra starten

Jostein Jensen, sikkerhetsdirektør i Norsk Helsenett fortalte hvordan Norsk Helsenett drifter det digitale stamnettet i Helse-Norge. Det sørger for sikker sending av journaler og epikriser og drift av sentrale registre. En av de største utfordringene nå, er at utstyr som er bygget for isolert drift, blir koblet på internett for å gi mer nytte – og derfor potensielt åpner opp sårbarheter for trusler.

–  Dersom vi bygger uten sikkerhet, og prøver å bøte på det etterpå, så vil vi feile. Derfor må vi tenke security by design og privacy by design helt fra starten i utviklingsløp og innkjøpsprosesser, sa Jensen.

Han viste forøvrig til Ignaz Semmelveis, som på 1800-tallet fikk drevet gjennom respekt for grunnleggende hygiene blant legene i form av grundig håndvask.

– Nå må vi etablere tilsvarende rutiner for digital basishygiene, som for eksempel å sikre at programvaren vi bruker har fått de siste sikkerhetsoppdateringene, sa Jensen.

Riskovurderinger må følges av handling for å ha verdi

Sverre Kjenne, konserndirektør for digitalisering og teknologi i Bane NOR, fortalte hvordan Bane NOR nå utvikler organisasjonen for å bygge kunnskap og kultur. Han beskrev en organisasjon som nå gjennomfører et tvingende nødvendig, men stort teknologisprang, fra releteknologi fra tidlig 1900-tall, over til digitale signalanlegg og sensorbasert maskinlæring for overvåking og styring av vedlikeholdet.

Han fortalte at de møter mange eksterne aktører som tilbyr seg å lage risikovurderinger, men færre som er flinke til hvordan man skal følge opp i praktisk handling. Bane NOR jobber derfor med å lære av andre virksomheter som er dyktige på IKT-sikkerhet.

– I tillegg bruker vi dyktige etiske hackere, som hjelper oss med å teste sikkerhetsnivået i systemene våre. Det er en svært nyttig øvelse for å bygge opp ydmykheten vår, sa Kjenne.

Han fortalte hvordan Bane NOR nå jobber kontinuerlig med å oppdatere programvare og komponenter. De bruker standard løsninger og sterk kryptering, og fjerner løsninger som ikke tilfredsstiller krav. De jobber også med å begrense hvordan løsninger er knyttet sammen, slik at innbrudd ett sted ikke gir tilgang mange steder.

Kraftig vekst i kriminaliteten – men nå er den digital

Jack Fischer Eriksen, direktør i Næringslivets sikkerhetsråd (NSR) fortalte at datakriminalitet, industrispionasje og digital statlig etterretning i stor grad fått lov til å operere i det skjulte, med liten risiko for å bli tatt. Profittmotiverte datakriminelle kan også jobbe på vegne av statlige etterretningsorganisasjoner. Det er derfor ofte vanskelig å finne ut hvem som egentlig står bak.

– Små- og mellomstore underleverandører angripes målrettet for å få tilgang til data fra de store, som har verdifulle data, men beskytter seg selv godt, sa Eriksen.

NSRs spørreundersøkelse til næringslivet viser at virksomheter med et styringssystem for IKT-sikkerhet oftere oppdager hendelser som følge av bevisst arbeid – mens andre mer oppdager det via tilfeldigheter. Han mener undersøkelsen også viser at hvis man har et system på plass, er det viktigste er å etablere en kultur for å følge systemet.

Vismas egen kartlegging viser at de alene har 28 000 saker i året, hvor de angripes av utenlandsk etterretning eller organiserte kriminelle – og saken kvalifiserer til politianmeldelse.

– Vi ser at altfor mange mangler et eksternt sted å rapportere kriminalitet. Det blir alt for ofte kun kommunisert i egen organisasjon. Da er det fare for at samfunnet ikke får tilstrekkelig oppmerksomhet på problemet, sa Eriksen.