Nasjonal kommunikasjonsmyndighet (Nkom) må tåle noen små riper i lakken etter et tilsyn med virksomhetens egen beredskapsevne.
Blant annet er det for dårlig system på vaktberedskapen hos myndigheten som har ansvaret for å reagere når samfunnskritisk infrastruktur bryter sammen.
Det kommer frem i en rapport fra Direktoratet for samfunnssikkerhet og beredskap (DSB).
Les også: Hun skal lede Telenor og Telia i Danmark
Tilsyn med tilsynet
DSB gjennomførte tilsyn med tilsynet i vinter, som en del av arbeidet med å gå eieren Samferdselsdepartementet etter i sømmene.
Det store bildet er at Nkom får skryt for mye av jobben man gjør, men DSB gjør et poeng av at formålet er å finne svakhetene.
Direktoratet anbefaler noen forbedringer hos Nkom:
- Avklare roller og bygge kompetanse knyttet til kybersikkerhet
- Gjennomføre systematiske og jevnlige risiko- og sårbarhetsanalyser av ekomnett og -tjenester
- Gjennomgå og revidere planverk
- Styrke krisehåndteringsevnen
- Følge opp læringspunkter etter øvelser bedre
Les også: – Her har du en oppskrift på bredbånd som holder mål
Spesielt kyber
DSB legger spesielt vekt på kybersikkerhet som et fagområde Nkom må satse hardere på. Samtidig kommer et frem at det er nettopp det myndigheten i Lillesand jobber med å få til.
Det fremgår blant annet av Nkoms egne rapporter at Nkom har behov for større vektlegging enn tidligere på logisk sikkerhet og kyberangrep.
– I denne sammenheng nevnes tjenesteproduksjon som ikke skjer i Norge som en stadig mer aktuell problemstilling. IKT-varslingsmiljøet skal inneha evne til å forebygge og håndtere hendelser. Av proaktive aktiviteter skal miljøet kunne gjennomføre trusselvurderinger, rådgiving og øvelser, mens under hendelser skal miljøet overvåke, analysere, formidle relevant kunnskap, koordinere og evaluere, heter det i rapporten.
Her er Nkom i ferd med å skaffe seg spisskompetanse på kybersikkerhetsområdet, men det kommer til å ta tid å bygge den opp.
Les også: Finland sluker fem ganger mer mobildata enn Norge
Dårlig vakt
Nkom skal varsles hvis det skjer i feil i ekomnettene. Her er det ikke en tilfredsstillende bemanningsordning.
– Nkom har basert deler av sin beredskapskapasitet på en frivillig vaktordning. Ansvar og roller i stabsarbeidet har slik tilsynet oppfatter det i liten grad vært tydeliggjort. Nkom har gjort tilsynet oppmerksom på at de ser det som nødvendig å endre måten de håndterer hendelser på. Følgende tiltak fremsettes som aktuelle: formalisering av vaktordning med instruks, vakttelefon og avlønning, etablering av nye lokaler for krisehåndtering og en tydeliggjøring av planverket hva gjelder grensesnitt til vaktfunksjonens rolle og ansvar, heter det i rapporten.
– Assisterende direktør har informasjonsansvaret eksternt i kriser. Hvis hun er borte eller skal fungere som direktør, får Nkoms informasjonsarbeid en utfordring, skriver DSB.
Les også: - Politikerne skjønner ikke bæret av teknologi
Avdekket selv
Nkom-sjefen mener tilsynsrapporten er nyttig.
– Det gir oss tilbakemeldinger på de områdene vi kan bli enda bedre. Nkom tar tilbakemeldingene fra DSBs tilsyn seriøst og har allerede påbegynt arbeidet med å forbedre arbeidet på de områdene som er påpekt i tilsynsrapporten, sier direktør Torstein Olsen i en pressemelding.
Han peker på at flere av svakhetene allerede er avdekket i egne risiko- og sårbarhetsanalyser. Og etaten fikk 5,6 millioner kroner i revidert nasjonalbudsjett til sikkerhet og beredskap.
– Dette skal blant annet bidra til kompetansebygging og rolleavklaring innen kybersikkerhet, sier Olsen.
Ny spesialist
Oppdatert:
Olsen ønsker å komme med oppdatert informasjon:
– Fra første juli har vi innført en døgnkontinuerlig beredskapsordning. Det ble mulig med bevilgning i revidert nasjonalbudsjett. I tillegg har vi ansatt ny "cybersjef", altså leder av Nkoms CSIRT, denne uken, skriver han i en e-post til digi.no.
CSIRT står for Computer Security Incident Response Team.
Les også: Telenor kan få rekord-gebyr
