Sist uke fikk vi en oppvisning i nasjonal risikohåndtering etter at Nasjonal sikkerhetsmyndighet (NSM) kom med spesifikke råd knyttet til appene Tiktok og Telegram. Bakteppet for saken her hjemme i Norge var at flere statsråder og stortingsrepresentanter høsten 2022 gjorde det kjent at de hadde Tiktok installert på tjenestetelefonene sine.
Saken tok seg ytterligere opp da den amerikanske kongressen like før jul vedtok et forbud mot å ha Tiktok installert på tjenestetelefoner tilhørende offentlige myndighetspersoner. Siden den gang har det vært vesentlig oppmerksomhet rundt hvilken risiko Tiktok faktisk representerer, og flere stater og institusjoner har nedlagt forbud mot å installere appen på tjenestetelefoner, både i USA, Canada og EU.
Det har imidlertid vært vanskelig å få innsikt i beslutningsgrunnlaget som de nevnte har lagt til grunn for sine forbud. Altså hvilken risiko de mener at Tiktok representerer.
Ett unntak finner vi imidlertid hos den tsjekkiske myndigheten med ansvar for cybersikkerhet (NUKIB), som har utgitt en offentlig tilgjengelig undersøkelse av appen og selskapet bak Tiktok, Bytedance, sin tilknytning til Kina.
I undersøkelsen peker NUKIB spesielt på det kinesiske lovverket som pålegger borgere og virksomheter tilknyttet Kina å samarbeide med myndighetene. Spesifikt viser NUKIB i sin rapport til en lovbestemmelse fra 2021, som pålegger teknologiprodusenter i Kina å rapportere sårbarheter som oppdages, tilbake til kinesiske myndigheter.
Dette skal gjøres ikke senere enn to dager (!) etter at sårbarheten oppdages.
Informasjon om sårbarheten rapporteres igjen videre til kinesiske sikkerhetsmyndigheter. I tillegg eksisterer det et forbud i kinesisk lovgivning mot å offentliggjøre sårbarhetene som identifiseres av kinesiske teknologiselskaper, eller å rapportere disse videre til organisasjoner eller individer i utlandet. Årsaken er åpenbar: Kinesiske myndigheter forbeholder seg retten til å utnytte sårbarhetene.
Risikostyring
Så tilbake til Tiktok-diskusjonen her hjemme. Sist uke kom NSM med spesifikke råd rettet mot appene Tiktok og Telegram. Kort fortalt anbefaler NSM at Tiktok ikke bør installeres på enheter som har tilgang til virksomhetens IT-systemer og data. Spesielt gjelder dette for virksomheter som helt eller delvis er underlagt sikkerhetsloven. Årsaken er at NSM vurderer risikoen som høy.
Hensikten er derfor å redusere risikoen knyttet til at Tiktok blir brukt som en angrepsvektor inn mot virksomhetens IT-systemer. Undersøkelsene NSM har gjort av Tiktok, kommer som følge av et oppdrag som ble gitt fra Justisdepartementet. Oppmerksomheten knyttet til Tiktok både i og utenfor Norge har med andre ord ført til at saken ble vurdert til å være viktig nok til at den til slutt måtte prioriteres også av våre egne nasjonale sikkerhetsmyndigheter.
I et risikostyringsperspektiv er dette interessant. Årsaken er at de færreste virksomheter i Norge hadde iverksatt tiltak mot spesifikke apper, herunder også Tiktok, før NSM lanserte sine råd og anbefalinger sist uke. Digi har kartlagt dette tidligere ved å kontakte flere private og offentlige virksomheter. Ingen hadde iverksatt forbud mot bruk av Tiktok.
Dette endret seg imidlertid fort etter at NSM kom med sine råd og anbefalinger som følge av undersøkelsene som ble gjennomført. Kun to dager senere hadde Stortinget, Statsministerens kontor (SMK), Telenor og kommunene Bergen, Grimstad og Nordreisa gjort det kjent at også de hadde lagt ned ulike former for forbud mot å ha appen(e) installert på enten spesifikt utvalgte eller alle tjenesteenhetene sine.
Dette er interessant fordi det ikke har vært en substansiell faktisk endring i risiko (verken trussel eller sårbarhet) knyttet til Tiktok sist uke. Risikoen er antakelig fremdeles den samme i dag som den var sist uke, og som den har vært siden siste oppdatering av appen ble lansert. Det som derimot endret seg sist uke, var rådene og anbefalingene som kom fra NSM, ett av de nasjonale kompetansemiljøene vi har på forebyggende sikkerhet. Men det var først da NSM fikk i oppdrag av Justisdepartementet å gjennomføre undersøkelser av Tiktok, at vi fikk denne kunnskapen tilgjengelig. Det at NSM faktisk utførte en undersøkelse av Tiktok og samtidig vurderte risikoen som høy, bidro til at flere norske virksomheter iverksatte risikoreduserende tiltak.
Universelt
Tiktok er bare en app, men denne saken illustrerer noe mer universelt om hvordan vi forholder oss til verdi- og leverandørkjederisiko. Min påstand er at de færreste i Norge har ressurser til å bedrive systematiske og grundige undersøkelser på egen hånd for å kartlegge komplekse teknologiske innretninger, herunder verdi- og leverandørkjeder og programvarekode. Flere har nok nok med daglig drift, utvikling og nye anskaffelser. Nettopp derfor er det så verdifullt at en sentral myndighet, i dette tilfellet NSM, benytter sine høyt kompetente medarbeidere til å gjøre grundige tekniske undersøkelser av sikkerhetsmessige problemstillinger som treffer oss alle. Dette bidrar til beslutningsstøtte av høy kvalitet, som alle vi andre kan forholde oss til.
For det sies ofte at vi i Norge har et underskudd av personell med IT-sikkerhetskompetanse og at denne utfordringen bare vil bli større i årene som kommer. Likevel har vi innrettet oss etter en modell i Norge hvor hver virksomhet selv står ansvarlig for egen sikkerhet, herunder også å gjøre undersøkelser av risiko på egen hånd. Dette skalerer svært dårlig. Fortsetter vi med dagens modell, vil mange utføre tekniske analyser av akkurat de samme komponentene og verdikjedene. Dette er et potensielt ressurssluk uten like. La oss derfor i større grad alliere oss ved å etablere samarbeidsstrukturer, slik at vi fremover kan bedrive mer systematisk risikostyring i fellesskap.
Målet må være at vi blir like gode på systematisk risikostyring som på å håndtere hendelser!