Nasjonal digital sikkerhet: Ingen grunn til å vente
Mens ulike myndighetsorganer har ansvar for å definere de brede rammene for Norges digitale motstandsdyktighet, er vår felles sikkerhet også avhengig av at initiativ og tiltak iverksettes nedenfra og opp – hos hver enkelt bedrift
Skrevet av:
TL;DR
Siden ny sikkerhetslov trådte i kraft i 2019 har debatten gått om hvordan og hvor hurtig den bør implementeres. Blant annet har Riksrevisjonen påpekt at fremdriften med å kartlegge og sikre kritisk infrastruktur går for sakte. Og mens denne kartleggingen pågår, står flere verdikjeder trolig med mangelfull sikring.
Bloggposten diskuterer hvordan Norges digitale motstandsdyktighet er avhengig av tiltak hos hver enkelt bedrift, samt at det er mye bedrifter kan og bør gjøre allerede i dag i påvente av implementering av sikkerhetsloven.
Introduksjon
Vi er langt fremme med digitalisering i Norge. Mange av funksjonene som holder hjulene i samfunnet i gang er flyttet til internett. Digitalisering er både viktig og positivt for et bærekraftig samfunn, men samtidig gjør dette oss sårbare. Spenningene i Europa har satt samfunnssikkerhet i høysetet, og det haster med å styrke Norges digitale motstandsdyktighet.
Kartlegging og implementering tar tid
Siden ny sikkerhetslov trådte i kraft i 2019 har debatten gått om hvordan kravene i loven skal implementeres. Det er opp til hvert enkelt departement å sørge for forsvarlig sikkerhet i sine sektorer, og identifisere hva som skal omfattes av loven, være seg bedrifter, infrastruktur eller tjenester. Dette arbeidet har nødvendigvis krevd en god del samordning av praksis mellom sektorer. Dermed har også hastigheten på implementeringen blitt redusert.
Selv om den nasjonale strategien for digital sikkerhet har som mål å kartlegge og sikre kritisk infrastruktur, påpekte Riksrevisjonen nylig at fremdriften går for sakte. Kartleggingen av grunnleggende nasjonale funksjoner og avhengigheter knyttet til disse skulle være fullført juli 2021, men pågår fortsatt. Manglende kapasitet og kompetanse trekkes frem som en årsak. Men at det først i fjor ble anerkjent at infrastruktur knyttet til olje og gass skal være underlagt sikkerhetsloven er et eksempel på hvordan sektorspesifikke hensyn også kan trenere prosessen.
Fra reaktiv til proaktiv sikkerhet
Et viktigere poeng er at dette også illustrerer hvordan sikkerhet for ofte kommer som reaktive tiltak, selv der vi kjenner til aktuelle trusler og sårbarheter. Det er som regel tre årsaker til dette: Det første er manglende oversikt over risikobildet for virksomheten. Mens risiko knyttet til finans og marked oftere er kartlagt, er sikkerheten til kritiske verdier og funksjoner i mindre grad belyst. Uten en helhetlig forståelse av risiko er det utfordrende å forutsi hvordan endringer i omgivelsene kan påvirke virksomheten.
En annen årsak er kostnadskontroll. Å investere i sikkerhet kan oppleves som en dårlig investering. Samtidig mangler også i mange tilfeller en forståelse av at kostnadene ved hendelser kan bli langt høyere enn for preventive tiltak, ikke bare for virksomheten, men også for verdikjeden og samfunnet for øvrig. Dette har sammenheng med den siste årsaken, som er en ofte mangelfull anerkjennelse av at avhengighetene mellom virksomhet og nasjonale interesser går begge veier. Ikke bare er Norges digitale motstandsdyktighet avhengig av tiltak hos hver enkelt bedrift, men den enkelte virksomhet er også avhengig av fungerende nasjonale funksjoner. Sammen bør vi derfor jobbe for å bli mer proaktive i sikringen av nasjonale interesser.
For mens kartleggingen av avhengigheter knyttet til grunnleggende nasjonale funksjoner pågår, står flere verdikjeder trolig med mangelfull sikring. Dette i en tid hvor vi står i den mest prekære sikkerhetssituasjonen i Europa på flere tiår. Men utfordringene er ikke nye. Også tidligere rapporter fra Riksrevisjonen understreker alvoret. I mars 2021 fant de at beredskapen mot dataangrep mot Norges kraftforsyning ikke var fulgt opp. I oktober 2022 ble det offentliggjort at Forsvaret ikke har sikret sine informasjonssystemer tilstrekkelig. Parallelt med dette signaliserer PSTs og Etterretningstjenestens årlige vurderinger at statlig støttede trusselaktører kan være villige til å ta økt risiko i deres operasjoner mot norske interesser i tiden fremover. Vi må akseptere at implementering av sikkerhetsloven vil ta tid. Samtidig har vi ikke råd til å la det bli en hvilepute.
Mye kan og bør gjøres allerede i dag
I påvente av implementering av sikkerhetsloven kan og bør mye gjøres allerede i dag. Betydelig kompetanse, kapasitet og gjennomføringsevne på digital sikkerhet ligger utenfor det offentlige. Men hvordan kan disse kapasitetene mobiliseres?
Noe av svaret kan ligge i økt koordinering mellom offentlige og private aktører. Kunnskap er en forutsetning for å identifisere og adressere behov for sikkerhet. For å danne en felles situasjonsforståelse bør det legges til rette for økt informasjonsdeling, også fra og mellom private aktører. Nasjonalt cybersikkerhetssenter (NCSC) er en naturlig samlingsarena som kan bidra til å styrke koordineringen. Vi ser også den positive effekten av sektorvise responsmiljøer (som NKom, KraftCERT og Nordic Financial CERT), både som koordineringsinstanser i egen sektor og som bindeledd mellom NSM og næringslivet. Slike arenaer bør styrkes, og flere sektorer bør inkluderes.
I 2017 opprettet NSM en kvalitetsordning for leverandører som tilbyr hendelseshåndtering. Ordningen er en god illustrasjon på hvordan offentlige og private aktører kan jobbe sammen for å forbedre tempoet og kvaliteten i sikkerhetsarbeidet. Denne modellen bør videreføres til flere sikkerhetsrelaterte domener, og inkludere flere kompetente sikkerhetsmiljøer.
Men det viktigste er nok innsatsen som gjøres i hver enkelt virksomhet. I fellesskap kan vi danne en robust og pålitelig digital grunnmur, som både støtter opp under, og mottar støtte fra, nasjonale funksjoner. Om vi skal lykkes med digitaliseringen er det en forutsetning at bedrifter og organisasjoner legger mer vekt på å øke motstandsdyktigheten mot digitale angrep.
NSMs grunnprinsipper for IKT-sikkerhet er et godt sted å starte, selv for bedrifter som ikke er underlagt sikkerhetsloven. Ta aktiv del i koordineringsarenaer, som NCSC, Næringslivets sikkerhetsråd eller sektorvise responsmiljøer. Søk hjelp og råd fra kvalifiserte aktører til hvordan din bedrift kan forbedre evnen til egenbeskyttelse.
Det er ingen grunn til å vente.
Ta kontakt
