For oss som har jobbet lenge med IT-sikkerhet, er det særlig ett kapittel i historien om Norges sårbarhet som skiller seg ut. Det ble skrevet i juli for 23 år siden, da tidligere statsminister Kåre Willoch overleverte NOU 2000:24, «Et sårbart samfunn» til Justis- og politidepartementet.
Enda tydeligere enn før satte Willoch digital sikkerhet på agendaen.
5. juni i år la enda en statlig kommisjon, Totalberedskapskommisjonen, frem enda en utredning: NOU 2023:17, «Nå er det alvor – Rustet for en usikker fremtid». Mandatet var «å vurdere hvordan de samlede beredskapsressursene kan benyttes best mulig» – blant annet i forsvaret av Norges digitale infrastruktur og tjenester. Kommisjonens konklusjoner er kloke, men til forveksling lik flere av Willochs anbefalinger. Vi må bli bedre til å beskytte våre IT-løsninger og tjenester, næringslivet må integreres i beredskapen, og samarbeidet på tvers av sektorer må styrkes.
Kort oppsummert: Nå er det alvor. Igjen.
Prioriteringer krever felles forståelse
Norge er blant de ledende land i verden når det kommer til digitalisering av samfunnets infrastruktur. Vi har kommet langt, men vi har fortsatt store ambisjoner om å anvende ny teknologi til samfunnets beste.
Dette sterke fokuset på å høste av informasjonsteknologiens muligheter, har ikke skapt en tilsvarende bevissthet rundt den risikoen som følger i digitaliseringens kjølvann, eller de stadig nye truslene som vi, som samfunn, eksponerer oss for.
Jeg tror en viktig forutsetning for at Totalberedskapskommisjonens forslag kan realiseres, er at både IT-bransjen og politikerne i enda større grad setter IT-sikkerhet på dagsordenen. Og veien dit går gjennom utarbeidelsen av en felles situasjonsforståelse, et felles utgangspunkt, som både sier noe om hvor vi er og hvordan vi skal styrke Norges digitale motstandsdyktighet, men også noe om hva som skal prioriteres i dette arbeidet.
Vi trenger en bedre forståelse av hva det innebærer å være et digitalisert samfunn, hvilke farer og trusler som kan true oss fordi IT-sikkerheten eller beredskapen er for lav eller fordi vi ikke har prioritert å sikre infrastruktur som vi er helt avhengige av. Og vi må sammen evne å se forbi teknologien som et verktøy og i større grad fokusere på verdiene samfunnet vårt bygger på, enten vi snakker om fysiske verdier eller Norges unike nivå av tillit og åpenhet.
Krever et bredere samarbeid
For å etablere denne situasjonsforståelsen og bevisstheten knyttet til å beskytte samfunnets verdier, og deretter bruke den som utgangspunkt for handling, trenger vi det tette samarbeidet mellom Forsvaret, offentlige myndigheter og næringsliv som kommisjonens leder, tidligere forsvarssjef Harald Sunde, etterlyste da utredningen ble presentert.
Hans utgangspunkt er blant annet at en stor del av samfunnets kritiske infrastruktur er eid eller forvaltet av private aktører. Da bør det være en selvfølge at offentlige og private virksomheter samvirker, mener Sunde, og han peker spesielt på industrivernet, næringslivets egen beredskap, som et av virkemidlene.
Hvis politikerne trenger motivasjon, ut over økt samfunnssikkerhet, for å prioritere denne typen samhandling, skal de vite at allerede eksisterende utviklingssamarbeid, som for eksempel Cyber Security Cluster, har som mål å bidra til flere studieplasser, flere arbeidsplasser og mer IT-sikkerhetsindustri. På mange områder i samfunnet har vi en stor mulighet til å bli ledende innen IT-sikkerhet, forutsatt at politikerne er med over lengre tid og ikke mister fokus, slik Willoch advarte mot allerede for over 20 år siden.
Må forvaltes som et felles ansvar
Et samarbeid forutsetter at det finnes noen å samarbeide med. Akkurat nå mangler vi 5000 IT-sikkerhetsspesialister i Norge. Det er en utfordring for myndighetene, like mye som det er en utfordring for oss i næringslivet og i Tietoevry. Vi trenger et samarbeid i utviklingen av og finansieringen av et studietilbud – og i etterspørselen og forvaltningen av kompetansen som uteksamineres.
Da må myndighetene på sin side bidra med nok utdanningsplasser. Der er vi ikke i dag. Og næringslivet må både være villige til å betale for å ansette og utvikle disse høyt utdannede menneskene i norske virksomheter. IT-sikkerhetskompetanse koster penger.
Også på dette området er den felles forståelsen og den offentlige dialogen viktig i utviklingen av en helhetlig strategi som skal sikre at vi utdanner, forvalter og anvender den kompetansen vi trenger.
Til sammen sitter vi også her på kunnskap om trusselbildet og behov for kompetanse, innsikt og erfaring som samlet er et fruktbart utgangspunkt for å utvikle kunnskap i verdensklasse.
Nå er det alvor
Den første setningen i Kåre Willochs «Et sårbart samfunn» lød: «Det er sannsynlig at noe usannsynlig vil skje». Sitatet er hentet fra Aristoteles, som allerede lenge før år 0 ba folk forberede seg på det de ikke trodde de kunne forberede seg på.
Samtidig var Willoch fullstendig klar over, allerede i 2000, at det alltid er noen som vet.
På samme måte kan vi ikke lenger si at vi ikke vet. Vi, både næringsliv og myndigheter, vet nok om det digitale trusselbildet og hvordan det utvikler seg, til å kunne sette i verk nødvendige sikkerhetstiltak – også mot trusler som ikke har materialisert seg ennå. Det forutsetter at vi jobber sammen – og det må vi klare nå. For hvis ikke, sitter vi her igjen om 20 år, sannsynligvis med erfaring fra flere kritiske angrep mot Norges digitale infrastruktur, og leser en ny NOU som starter med «Nå er det alvor».