2020-02-14

La markedskreftene bidra til et sikrere Norge

Det hjelper ikke om bruksanvisninger er aldri så gode hvis de færreste bruker dem. I min bransje er det ikke alle som vet at de finnes engang, og det kan gå på sikkerheten løs.

Thomas Tømmernes IT-sikkerhetsekspert
Thomas Tømmernes

Tidligere publisert på digi.no

De fleste av oss har vel stått der med en flatpakket kommode eller et skap fra IKEA og vurdert å gå løs på prosjektet uten å ta i bruk bruksanvisningen. Når det viser seg at vi har begynt i gal ende eller de lengste trepluggene ikke passer inn noe sted, angrer vi bittert, og må slukøret starte på nytt igjen – denne gangen med bruksanvisningen.

Noen er imidlertid så rutinerte møbelmonterere at det nærmest går på automatikk uansett hvilket møbel som står foran dem. Men det skader vel uansett aldri å forsikre seg om at man går frem på riktig måte?

Trenger mer fart

Nå jobber heldigvis ikke jeg med montering av møbler på heltid, men med salg og forretningsutvikling innenfor IT-sikkerhet. En stor del av denne jobben går ut på promotering og forståelse av behov og regulativer, og gjennom dette benytte markedskreftene.

Denne kombinasjonen gjør seg gjeldende hver dag i dialog med både private og offentlige virksomheter – og med internasjonale IT-sikkerhetsprodusenter.

Det som er helt tydelig er at uansett hvilken virtuell silo man tilhører er IT-sikkerhet satt på agendaen. Så jeg kan kvittere for at regjeringen med stortingsmeldingen «IKT-sikkerhet – Et felles ansvar» er med på å sette fokus på fagområdet innenfor både privat og offentlig sektor.

Økt fokus er vel og bra, men vi trenger mer fart. Dette vil vi blant annet kunne oppnå ved å få bedre forståelse for den enkelte «siloens» motivasjon og drivere. For oss som jobber med IT-sikkerhet i den kommersielle delen av bransjen er sannsynligvis det viktigste å kjenne til og benytte de ulike «bruksanvisningene» som myndighetene har utviklet, på riktig måte. Og når jeg sier bruksanvisninger, så mener jeg først og fremst prinsipper, veiledninger, lover og regler.

Et markedsdrevet opplysningsprogram

Det at vi lever av bunnlinja i virksomhetene er vel ingen overraskelse, men denne kan vi både rettferdiggjøre og få til å vokse ved å sette oss godt inn i det som kommer fra myndighetene. Kall det rett og slett gode salgsargumenter i situasjoner der både offentlige og private virksomheter ikke ser viktigheten av hvorfor de skal investere i IT-sikkerhetstiltak.

En stor del av min og mine likemenns hverdag er å delta i møter med ledelse der vi hjelper personvernombud, HR- eller IT-avdelingene med å rettferdiggjøre de investeringene disse ønsker å gjøre for å øke virksomhetens IT-sikkerhet.

På denne måten skaper vi i utgangspunktet et markedsdrevet opplysningsprogram der hovedbudskapet i den nevnte stortingsmeldingen raskere vil bli adoptert i samfunnet.

Behov for oversettere

Men per i dag mangler vi ressurser i de ledende statlige etater som har et tverrfaglig fokus rettet mot alle dem som er ute og promoterer IT-sikkerhet til daglig. Det jeg etterlyser er en form for oversettere som kan identifisere den økonomiske motivasjonen i myndighetenes verktøy og snu seg rundt og lære disse bort til den kommersielle IT-sikkerhetsbransjen.

Det som stadig vekk viser seg i samtlige møter jeg deltar i innenfor samtlige siloer er det faktum at mye av det vi spør etter fra myndighetene allerede er laget og publisert, men at promoteringsjobben rundt «bruksanvisningen» har vært fraværende eller lite effektiv.

Jeg tror nemlig ikke det er mange IT- eller virksomhetsledere som aktivt søker etter stortingsmeldinger eller pressemeldinger om nye veiledere rundt offentlige anskaffelser med stor iver.

Et eksempel

I et møte jeg var i hos Justisdepartementet nylig dukket det opp informasjon om en «bruksanvisning» i form av en veileder jeg ikke var klar over. Det hadde riktignok gått ut en pressemelding om «Veileder om ivaretakelse av sikkerhet i offentlige anskaffelser» 21. november. Der heter det:

«Veilederen har som mål å synliggjøre handlingsrommet i anskaffelsesregelverket, og gjennom dette hvordan offentlige oppdragsgivere kan ivareta norske sikkerhetsinteresser når de gjør innkjøp. Den nye veilederen har derfor også en omtale av hvordan offentlige oppdragsgivere kan ivareta sikkerhet i anskaffelser som ikke faller inn under sikkerhetsloven, men hvor sikkerhet likevel er et sentralt element. I tillegg gir veilederen informasjon om risikovurderinger i forkant av anskaffelsen, og hvordan oppdragsgiverne kan gå frem for å gjennomføre slik risikovurderinger.»

Dette betyr at offentlig sektor i større grad kan benytte IT-sikkerhetsbransjen til å bidra med å forme kravene, både i forkant – og appellere til at man utfordrer der vi tydelig ser at forespørselen ikke har ivaretatt sikkerheten underveis.

Med andre ord, her gjelder det etter min mening for oss å spille på lag med eller utfordre de offentlige innkjøperne, og for de offentlige innkjøperne å bruke fagspesialister og rådgivere fra den kommersielle aksen mest mulig.

Differensierer tilbydere

Veilederen legger også til rette for at anbudsutsteder kan identifisere spisskompetanse innenfor IT-sikkerhet, og differensiere tilbyderne fra hverandre, for dette er en tjeneste de seriøse aktørene i markedet alltid tilbyr sine kunder.

I utlysninger innenfor eksempelvis velferd, innsikt, industri eller IoT kan utlyser legge ved rapport om hvordan man har sikkerhetstestet løsningen i forkant. Man kan for så vidt også legge frem resultatene, som vil være til hjelp for tilbyderne i arbeidet med å designe og definere riktig behov for sikkerhet.

Om dette er et krav, vil således alle tilbyderne «presses» til å levere tilbudet med ønsket sikkerhetsnivå i tjenestene sine. Dette vil føre til at kvaliteten på besvarelsene stiger og utvelgelsen av samarbeidspartner mye enklere. Man bør også merke seg at veilederen sier følgende:

«Dersom det stilles strenge sikkerhetskrav, kan dette begrense antallet tilbydere som kan konkurrere om oppdraget. Strenge sikkerhetskrav kan særlig påvirke små og mellomstore bedrifters muligheter for å delta i konkurransen.»

Det kan sannsynligvis settes noen spørsmålstegn her med tanke på konkurransebildet, men det som rettferdiggjør dette standpunktet er at vi i dag ikke har noen definerte krav eller sertifiseringer fra myndighetene. Det har ført til at det tidligere har vært flere mindre seriøse aktører innenfor IT-sikkerhet i Norge. Disse skaper ofte en del ugagn før de etter et par år forsvinner igjen. Det er ingenting i veien for at en «liten» aktør tar hensyn til sikkerheten, så det ekskluderer ingen, det stiller kun krav til sikkerheten.

Mer blest og synlighet

Til syvende og sist er det all grunn til å berømme myndighetene som fortløpende utvikler «bruksanvisninger» både for den kommersielle bransjen og virksomheter som står ved veivalg.

Og så er jeg hundre prosent sikker på at man gjennom å spille på markedskrefter vil kunne få langt mer blest og synlighet rundt disse. Det gjelder bare å identifisere markedsdriverne og motivasjonen som er gjeldende for hvem man henvender seg til i verdikjeden.

Inntil skrivelysten tar meg igjen fortsetter i alle fall jeg som en oversetter mellom ledelse og dem som identifiserer behovene både i offentlig og privat sektor, og forsøker å sette samtidstrusselbilde opp mot ROI i aktuelle tiltak. Jo flere vi får med på laget i denne rollen, jo raskere innfrir vi sammen på at IKT-sikkerhet er et felles ansvar.

//TT