Det er ikke likegyldig hvem som sitter med tilgang til persondata, helsedata, og tilgang til å styre samfunnets grunnleggende infrastruktur. Men det skulle man tro, siden sikkerhetslovgivningen for grunnleggende samfunnsfunksjoner er hullete som en helsetrøye.
Både menneskelig feil og ondsinnede handlinger er utenfor norsk kontroll. Og det er vi som lar det skje.
Den skrekkelige Trump
Det ropes høyt om hvor skrekkelig det er at Donald Trump har vunnet valget i USA, og at en slik uberegnelig mann skal sitte med atomkodene. Men svært få er opptatt av den tilsvarende situasjonen i Norge. Vi har kanskje ikke «atomkoder» her, men det meste av kritisk infrastruktur i Norge er avhengig av IT.
Norske offentlig og private virksomheter som sørger for finansiell stabilitet, helsetjenester, handel, vann og avløp, strøm, transport og elektronisk kommunikasjon er svært ofte outsourcet til leverandører fra andre land eller er avhengig av vedlikehold på viktige tjenester fra andre land.
Befolkningen har liten innsikt i hvor stor konsekvens en menneskelig feil i vedlikehold av et IT-system eller et digitalt angrep kan ha for samfunnet. Vi stoler på at myndighetene i Norge sikrer oss mot den slags. Men, vi er i dag helt avhengig av leverandører fra både fjerne og nære strøk.
Norge mangler IT-kompetanse
Det er et stort underskudd i det norske samfunnet på kompetanse rundt IT, og spesielt innenfor cyber- og informasjonssikkerhet. Skal vi ikke bare la utenlandske eksperter ta seg av det da? Fornuftig sett fra bunnlinja. Effektivt og økonomisk lønnsomt, på kort sikt. Hvorfor er det så farlig?
Det er ikke praktisk mulig å drifte IT-løsninger uten vide tilganger som gir innsyn i data på systemene som kan utgjøre kritisk informasjon som helsedata, data om kritiske infrastrukturer og konti-opplysninger. Da vil man ikke at personer i land som man er usikre på relasjonene til skal kunne ha fullt innsyn i sensitive data i Norge, og kunne påvirke Norge i en konflikt. Eller at en medarbeider skal kunne la seg presse til å selge viktig informasjon om meg eller Norge.
Et ferskt eksempel er outsourcing av NSB drift og sikkerhet til India og Polen der de ansatte nylig fikk tilbud om jobb hos en indisk IT-leverandør. Det kan tyde på at all kompetanse innen IT-drift og sikkerhet blir overført til outsourcing-selskapet. NSB har et egetansvar for kontroll på sikkerhet og drift, og dette ikke kan outsources.
Raskere og billigere er kjernen av problemet
Så lenge ledelsen måles årlig på kostnadsreduksjon vil dette gå på kompromiss med kvalitet som innebærer stabilitet, robusthet og sikkerhet. På kort sikt blir ofte bonus og anerkjennelse basert primært på kostnadsgraden.
Når man forvalter store norske verdier så blir dette til slutt et samfunnsproblem som kan gå utover kritiske funksjoner som befolkningen i Norge er avhengig av. Dette er ikke en ny utvikling og samfunnet har gått med åpne øyne inn i problemstillingen.
Tafatte tilsyn og toppledere?
Toppledelsen sin tilnærming til ansvaret rundt cybersikkerhet er fullstendig utslagsgivende i håndteringen av de komplekse, ofte upopulære og kostbare tiltakene. Enkelte tilsyn har fulgt med i timen, men det er få. Tilsynene mangler ofte kapasitet og kompetanse til å ta inn over seg tematikken rundt cybersikkerhet og outsourcing. Det samme kan vel også sies at en del virksomheter har.
Samtidig sliter sikkerhetssjefene med å få oppmerksomhet nok fra toppledelsen når beslutningene skal tas. For ofte hører man at «dette er noe IT fikser», eller «dette er noe IT hos leverandøren fikser», også feier man diskusjonen under teppet.
Det vil komme flere alvorlige feil og angrep som rammer viktige norske verdier i tiden som kommer som bunner i uforsiktig outsourcing og mangel på kompetanse. Det er mange sikkerhetssjefer som til slutt takker for seg. Hvem skal da varsle?
- Les mer:
Nasjonal risiko å sette ut tjenester
De store forskjellene mellom gjeldende lands lovgivning, kultur, nasjonal stabilitet og korrupsjon har stor innvirkning på den iboende landrisiko. Ofte blir det tatt for lett på denne type risikoforskjeller. En del av problemet er bruk av produkter fra land med høy landrisiko.
Et eksempel er smarte strømmålere som vi alle skal ha innen januar 2019. Nesten en million av Norges husstander er i ferd med å få disse på husveggen der produsenten er kinesisk. Strømmålerne kan i verste fall brukes av kineserne til å fjernstyre og stoppe strømmen til denne delen av Norge. Man får håpe dette er en smart beslutning med smarte målere med kode fra Kina koplet til Internett.
Det handler om menneskene og kunnskapen som leverandøren har. Er det en kultur for å være føre var? Tør medarbeiderne rapportere svakheter og problemer til ledelsen? Forstår man risiko på samme måte? Når krisene oppstår må man ta høyde for at data man trenger utlevert til å håndtere hendelsen ikke er enkelt tilgjengelig eller umulig å få tak i enten om det er skytjenester i Europa eller leverandører fra asiatiske land.
- Les mer:
Trenger ny lov for å sikre nasjonens interesser
Kjernen av outsourcing koker til slutt ned til klokskap rundt bruk av leverandører både i Norge, Europa, USA og Asia. Der er viktige faktorer tillit til leverandøren og landet, at leverandøren gir innsyn i koden og teknologien, og om den norske virksomheten kan kompensere med tiltak når kunnskapen er fjernet fra nabolaget.
Uansett så haster det med ny sikkerhetslovgivning for grunnleggende samfunnsfunksjoner. Jeg skal ikke forskuttere de eksakte løsningene, men insisterer på at diskusjonen må tas nå, og at prosessen med å sikre samfunnskritiske funksjoner settes i gang umiddelbart. Ideelt sett burde en lovgivning komme på europeisk plan, men Norge har ikke mulighet til å vente da vi ligger lengst fremme med å ta i bruk mye av teknologien.
Delta i debatten på
og