SIKKERHET

Debatt: Vi trenger et digitalt heimevern

Vi trenger et offentlig-privat samarbeid om IT-sikkerhet for å sikre norske virksomheters data.

Thomas Tømmernes er leder for IT-sikkerhet i Atea.
Thomas Tømmernes er leder for IT-sikkerhet i Atea.
Thomas Tømmernes, leder for IT-sikkerhet i Atea Norge
19. okt. 2020 - 19:00

Like sikkert som det går mot vinter og hjulskift for følge årstidens sikkerhetstiltak, dukker sikkerhetsmåneden i oktober opp. Hvert år florerer det av positive tilbud, samfunnsengasjerte organisasjoner, forhandlere og myndigheter. Vi er på alle plattformer med våre budskap for å gjøre verden til et bedre og sikrere sted for allmuen.

Det er et sammensurium av sikkerhetstips. Det spenner fra alt hva foreldre bør lære barna til tjenester leverandører ønsker å selge. Enten du er i målgruppen som privatperson eller arbeidstaker, om du jobber i det offentlige eller private, eller om du er liten eller stor. Men hvem skal sette retningen, eie dialogen – rett og slett gjøre samfunnsopplæringen enklere?

Hvordan adopterer vi sikkerhet?

Sikkerhetsregler som at bilen må være skodd etter årstid, EU-kontroller, trafikkregler, ja til og med barneseter og sikkerhetsseler, er en selvfølge i 2020. Men vi skal ikke lengere tilbake enn 1970. Da sikkerhetsseler var tilleggsutstyr ettersom påbudet først kom i 1979. Bilførere i dag på 60 år har hele sin bilkarriere hatt dette påbudet. Det er førere over 60 år vi skal hylle, og som har vært den tilpasningsdyktige gruppen som har adoptert dette.

− Et effektivt og motivert team vil kunne levere mange ganger bedre og raskere enn et som har hender og føtter bundet av en konseptvalgutredning, mener Yngve Milde
Les også

Vi må slutte å snakke om prosesser

Utfordre myndighetene

Eksemplet over er en suksess. Det finnes ingen som lurer på om de skal bruke bilbelte, basert på at myndigheter, produsenter, lovverket og akademia jobbet sammen etter de samme retningslinjene og satt retningen.

De siste ukers oppslag om hackerangrep er hverken nytt eller noe vi som jobber med IT-sikkerhet ikke opplever på ukentlig basis. Det er nyhetseffekten, når kjente og kjære nasjonale bautaer blir truffet av IT-kriminelle eller statsmakter med målrettede angrep, som gir en kortsiktig øyeåpner. De som følger med, har sikkert både Dagbladet, Hydro og Mærsk friskt i minnet.

Dessverre taper vi krigen mot IT-truslene gang på gang, og våre angripere utnytter det at ikke Norge går i takt. Jeg ønsker derfor å utfordre myndighetene og bransjen om tiden er inne for å sette et digitalt heimevern på dagorden. Kall det gjerne en «virtuell arbeidsgruppe» eller «task force».

De som roper høyest, får ordet

Det finnes en mengde tilsyn, myndigheter, foreninger, stiftelser, interesseorganisasjoner og private aktører som forsøker å bygge kompetanse rundt IT-sikkerhet. Vi ønsker å få samfunnet bedre rustet mot det stadig mer komplekse trusselbildet digitaliseringen og internettet skaper.

Utfordringen er at slik dagens opplysningsarena fungerer, kan det sammenlignes med det engelske underhuset. Der går det som kjent en kule varmt med høylytte diskusjoner. Selv om reglementet sier at Parlamentsmedlemmene skal henvende seg til “Speaker of The House”, før de får tillatelse til å snakke. Opplevelsen sett utenifra blir uansett at den som roper mest og høyest får ordet.

Jeg har vært i bransjen i 20 år, og vi har lenge jobbet på denne måten. Fra både offentlig, statlig og privat side. Vi synes sikkert hver for oss at dette fungerer godt, men for samfunnet ellers oppleves denne jungelen med gode råd, tips og belæring som uoversiktlig, og man vet ikke hvor man skal gå for å få hjelp.

Oversikten blir mye mer kompleks i en virtuell verden. Der vi mikser begreper, lokasjoner, landegrenser, ansvarsområder, kompetanse, innovasjon, hastighet og interesser.

Norske virksomheter som skal risikovurdere og ivareta sikkerheten i leverandørkjeden sin, får fem råd av senioringeniør Erik Lervåg i Sopra Steria.
Les også

Fem råd for bedre leverandørsikkerhet

Et digitalt heimevern for tettere samarbeid

Min opplevelse er at vi i den kommersielle og den offentlige IT-sikkerhetsbransjen må samarbeide mye tettere. Her ligger det fortsatt mye uforløst potensiale.

Nasjonal sikkerhetsmyndighet (NSM) har tatt et godt skritt i riktig retning med det nye sentret på Langkaia i Oslo. Men skal vi klare å imøtekomme regjeringens St. meld. 38, som fremhever at IKT er et felles ansvar, må den kommersielle IT-sikkerhetsbransjen også få muligheten til å ta sin del av ansvaret. Forvirringen med dagens mange menigheter som predikerer IT-sikkerhet, basert på forskjellige agendaer, trenger en ny plattform. Et digitalt heimevern der det sitter representanter fra både det offentlige og private, gjerne på ulike nivåer. Vektet 50/50, med gjensidig tillitt og forståelse for hverandres utgangspunkt. Vi fra den private sektoren må forstå byråkratiet for å kunne bidra, og byråkratene må forstå hvordan den private sektoren fungerer.

Vi må ha et forum med like sterke røster med felles mål.

Overlatt til seg selv

I Norge har vi 59 1000 virksomheter. Bare 845 av disse er større enn 250 ansatte. Det er i den øvre delen vi normalt finner virksomheter med egen IT-sikkerhetsavdeling, eller som kjøper inn tjenester fra den kommersielle sikkerhetsbransjen. Vi sitter igjen med ca. 590.000 virksomheter uten en egen IT-sikkerhetsavdeling. De opplever bildet mer komplekst, truslene mer omfattende og man er i langt større grad overlatt til seg selv i kampen mot folk med onde, digitale hensikter.

Det finnes gode veiledere og råd fra myndighetene til alle virksomheter. Problemet er at virksomhetene ikke forstår, tar seg tid eller kjenner til at anbefalingene og veilederne finnes. Det er fortsatt alt for mange virksomhetsledere og styrer som ikke anerkjenner risikoene forbundet med sine IT-systemer. Vi som kommersiell aktør bruker tid og markedsmidler på å promotere myndighetene sitt arbeid, fordi det kan hjelpe norske virksomheter i sikkerhetsarbeidet, men som alt for mange dessverre går glipp av.

Når verdier digitaliseres, oppstår nye trusler som ledere ikke kan overlate til IT-avdelingen alene, mener IT-sikkerhetsrådgiver Gøran Tømte. – Dette må handle om risikovurdering, og den skal ikke tillegges IT-avdelingen, skriver han.
Les også

La løsepengeangrep bli veien til bedre sikkerhet

«De virtuelle gutta på skauen»

Vi i den kommersielle IT-sikkerhetsbransjen lever av ryktet vårt, på samme måte som revisorer eller advokater, og må både holde oss oppdatert på det dynamiske trusselbildet, trusselaktører, risiki og tekniske løsninger for å kunne levere det norske virksomheter trenger i kampen mot hackerne. Bransjen i dag består av IT-sikkerhetsprodusenter, verdiskapende distributører og dem som selger tjenester, konsulenter og produkter.

Og fellesnevneren for oss er at hvis vi ikke gjør jobben vår riktig, kan nok om trusselbildet, gir feil råd eller på annen måte agerer uriktig, vil ingen kjøpe løsninger fra oss.

Når det er sagt, så vil det i mine øyne være kort vei fra dagens private aktørers utøvelse av borgervern, til en samhandlingsarena – et slags digitalt «heimevern» – en arbeidsgruppe med representanter underlagt Justisdepartementet. Med representanter fra tilsyn, myndigheter, foreninger, stiftelser, interesseorganisasjoner og private aktører.

Men på veien dit må trolig norske myndigheter i større grad anerkjenne betydningen av de private aktørene, som et helt nødvendig ledd for å opprettholde et sikkert samfunn.

Venstres Alfred Bjørlo finner ikke igjen ambisjonene fra digitaliseringsstrategien i statsbudsjettet. Her fra en debatt på IKT-Norges årskonferanse 2024.
Les også

– Et digitalt mageplask

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.