PST kom nylig med ny nasjonal trusselvurdering, hvor det særlig fokuseres på trusler i det digitale rom. Utenlandske etterretningstjenester forventes i det kommende året å rette sin spionasje mot blant annet næringslivet, med sikte på å samle inn «sensitiv informasjon om alt fra strategier og satsingsområder til produktutvikling og teknologisk innovasjon».
Dette kan få betydning for underleverandører så vel som hovedleverandører av tjenester og produkter. Mindre virksomheter og nisjebedrifter kan være ekstra utsatt, ettersom disse gjerne har satt av begrensede ressurser til eget sikkerhetsarbeid.
PST har pekt på at særlig utsatte mål er virksomheter innen energi, olje og gass, maritim teknologi, elektronisk kommunikasjon, forsvars- og flerbruksteknologi, romsektoren samt virksomheter som utvikler miljøvennlig teknologi. Også andre bransjer vil etter vår oppfatning kunne rammes. IKT-bransjen vil i stor grad berøres som leverandør av en rekke løsninger for næringslivet, både knyttet til ivaretakelse av sikkerhet og gjennom leveranser av operasjonelle systemer. Flere hendelser de seneste årene har avslørt hvor sårbare slike systemer er, med varige implikasjoner for berørte parter.
Regulering av IKT-sikkerhet
De største og viktigste nasjonale virksomhetene er i dag underlagt sikkerhetsloven som trådte i kraft 1. januar 2019. Det foreligger forskrifter og veiledere, og mye godt arbeid er igangsatt på området. En rekke virksomheter er også underlagt krav til sikkerhet gjennom sektorspesifikk regulering. Det foreligger likevel ingen helhetlig regulering av IKT-sikkerheten i Norge. Spørsmålet blir hvordan aktører som ikke er underlagt sikkerhetsloven eller sektorspesifikk regulering bør forholde seg til PSTs trusselvurdering.
Manglende IKT-sikkerhet i slike produkter og tjenester kan utgjøre en trussel for forbrukere, virksomheter og samfunnssikkerheten.
Justis- og beredskapsdepartementet sendte den 20. desember 2018 på høring en utredning om behovet for endring av regelverket innen IKT-sikkerhetsområdet utarbeidet av Holte-utvalget. Holte-utvalget foreslo at det skal settes ned et lovutvalg for å vurdere om det bør innføres en lov som stiller krav til IKT-sikkerhet i alle norske virksomheter, ikke bare leverandører og innkjøpere innen samfunnskritiske virksomheter og offentlig forvaltning. Samtidig ble et forslag til ny lov som implementerer EUs direktiv om sikkerhet i nettverk og informasjonssystemer (det såkalte «NIS-direktivet») sendt på høring. Lovforslaget omfatter de minimumskrav som følger av NIS-direktivet, som Norge i alle tilfeller vil måtte implementere dersom vi anses pliktig til dette gjennom EØS-avtalen.
Det kan stilles spørsmål ved om loven er tilstrekkelig. Flere høringsinstanser påpeker at loven utgjør et minimum, men som likevel bør komme på plass før det nedsettes et IKT-sikkerhetsutvalg. I lys av PSTs trusselvurdering kan en slik fremgangsmåte synes hensiktsmessig. Etter vår vurdering er det likevel ingen grunn til at ikke IKT-sikkerhetsarbeidet allerede nå gis høyeste prioritet.
Ingen grunn til å vente!
Flere norske bedrifter har de senere årene opplevd alvorlige sikkerhetsbrudd, og det avdekkes stadig nye tilfeller. Digitaliseringen av samfunnet har medført at en rekke virksomheter står overfor et stadig mer komplekst IKT-sikkerhetsbilde. Norske virksomheter har også en stor egeninteresse i å ivareta sikkerheten, da sikkerhetsbrudd kan føre til kostbare tap av forretningshemmeligheter, tap av inntekter, store reparasjonsutgifter og i noen tilfeller straffesanksjoner. Forebyggende sikkerhetsarbeid bør være en like naturlig del av virksomhetens risikostyring som kjøp av forsikringer.
Det er uklart hvilke aktører som vil omfattes av det nye IKT-sikkerhetsregelverket, men de foreslåtte reglene gir i hovedsak uttrykk for alminnelige prinsipper og god praksis som veldig mange virksomheter kan ha nytte av å benytte, uavhengig av om man i dag omfattes av sikkerhetsloven eller vil omfattes av den kommende IKT-sikkerhetsloven. Mye av metodikken vil også allerede være kjent og overførbar gjennom virksomhetenes arbeid med GDPR. Norske virksomheter bør allerede nå innrette sin virksomhet slik at tilstrekkelig sikkerhet ivaretas. Brukere og leverandører av IKT-tjenester bør gjennomføre nødvendig kartlegging, risikovurdering og testing av egne systemer, produkter og tjenester. Nøkkelen til å lykkes vil være å tenke sikkerhet i alle faser av et slikt arbeid («security by design»).
Det er i dag et stort antall produkter og tjenester som er koblet til internett, og antallet er økende. Manglende IKT-sikkerhet i slike produkter og tjenester kan utgjøre en trussel for forbrukere, virksomheter og samfunnssikkerheten. PSTs rapport understreker behovet for raskt å gjennomføre tiltak, og vi imøteser Justis- og beredskapsdepartementets arbeid med ny IKT-sikkerhetslov.