Hvor ringer du hvis din virksomhet blir hacket?

Dette debattinnlegget ble først publisert i Digi. 

For en uke siden fikk jeg spørsmål fra en journalist om vi er likegyldige til IT-politikk. De siste to-tre årene har vi ukentlig lest om både offentlige og private virksomheter som har blitt kompromittert av «hackere». Mengden angrep øker, og konsekvensene er store. Samtidig ser vi at det mangler 1900 ressurser for å fylle dagens ubesatte roller innenfor IT-sikkerhet i Norge. 

Myndighetene må derfor prioritere IT-sikkerhetsstudier, holdningskampanjer, tilpasse lovverket, og se på støtteordninger for Norges 600.000 virksomheter som står «helt alene» i kampen mot de kriminelle. Innovasjon, digitalisering og bærekraft kan ikke stå alene uten IT-sikkerhet. Faktisk skulle jeg gjerne sett enda flere IT-politiske debatter og initiativ. Jeg synes at IT-politikk får for lite plass med tanke på hvor avhengige vi har blitt av teknologi i hverdagen vår.

Partiene uten tydelig politikk

Under Arendalsuka var jeg innom de fleste politiske stander med spørsmål om hva de hadde i programmet sitt mht. å sikre Norge bedre innenfor IT-sikkerhet og refererte til at blant annet Stortinget flere ganger hadde preget forsiden i mediene med overskriften «Hacket». De fleste hadde fått disse overskriftene med seg, men var urikkre på hva deres parti mente om temaet. Det var kun Høyre som refererte til stortingsmeldingen og appellerte til samarbeid, hva de nå legger i det (?).

NSM Kripos og IKT Norge sier ja

Under Arendalsuka deltok jeg både med foredrag og paneldebatt der både Kripos (NC3), Nasjonal sikkerhetsmyndighet (NSM) og IKT Norge svarte JA på et ja/nei spørsmål om tiden var inne for å etablere et digitalt heimevern. Behovet er her, det er det ingen tvil om. Ifølge SSB er det 606.642 registrerte virksomheter i Norge, riktignok er 405.000 av disse registrerte uten ansatte, men vi sitter igjen med 201.577. Av disse er det bare 817 som er større enn 250 ansatte. Når vi vet at NSM har ca. 200 virksomheter som går under nasjonal infrastruktur de følger med på, er det mange som må ty til private sikkerhetsselskaper for å få hjelp om noe skulle hende.

«Meningsmåling: Basert på resultatet fra Arendalsuka, der alle de fire representantene fra både myndigheter og privat sektor svarte ja til et digitalt heimevern, laget vi en meningsmåling der hele 86 % svarer ja, 2 %nei og 12 % vet ikke – det er med andre ord mange som ønsker at noen tar lead og samler troppene.»

I beste mening

I dag finnes det mange foreninger, overvåkingssentre som følger sikkerhetshendelser i mange bransjer. Det er mange virksomheter som tilbyr IT-sikkerhetstjenester. De jobber både seriøst og målrettet med å forsøke sikre Norge. Utfordringen er at deres forsøk på å vinne frem med sine strukturer og løsninger blir oppfattet som «polsk riksdag» av norske virksomhetsledere. De klarer ikke å sortere alle de velmenende råd og formaninger som danner grunnlaget for alle opplysningskampanjer, forordninger, guidelines og promotering av løsninger. 

Definerte regler

Utfordringen er at det ikke finnes noen konkrete retningslinjer og at bredden er stor innenfor informasjonssikkerhet. Det er så mange «initiativtagere» som sloss for at sitt budskap at det rett og slett blir en så stor og støyende gruppe at virksomheter føler seg maktesløse og blir usikre på hvor de skal begynne.

Vi kan bruke grunnprinsippene fra NSM. Disse er gode. Og får vi til en sertifisering, så vil etterspørselen gjøre at virksomheter velger konsulenter med denne sertifiseringen fremfor ressurser som ikke kan fremlegge kompetansebevis. Mange studerer i årevis og kan sikkert mye om IT-sikkerhet, men står allikevel fritt til å tolke og velge hva de synes er viktig og hvordan faget skal utføres.

Form og farge

Jeg mener at myndighetene ved Justisdepartementet må ta ansvar for å opprette en tverrfaglig gruppering som må jobbe som et felles team med representanter fra både akademia, myndigheter, og privat sektor, med felles måling for suksess. IT-sikkerhet er altfor viktig til at jobben kan overlates tilfeldige dugnader som dagens tverrfaglige fora baserer seg på. Informasjonsdeling i ulike uformelle fora er både hyggelig og relasjonsbyggende, men uten felles motivasjon og mål går det altfor sakte.

Vi trenger definerte prosjektet med dedikerte ressurser med respekt for siloene, felles mål og tydelige KPIer hvor vi kan måle suksess og fremdrift. Jeg vet at dette er et komplekst tema, og det å finne riktig nivå på en slik sertifisering / kravstilling kan være vanskelig. Hvem skal man kravstillelse, hvem skal lede prosjektet, hvem skal være utførende selskap/ressurs, og hvordan kravstille virksomhetene i Norge?

Må hoppe på toget

Men at bildet er komplekst og dynamisk betyr ikke at vi kan vente eller la være å løfte opp dette temaet. Det finnes allerede mange gode rammeverk som vi kan la oss inspirere av. Som nevnt, har vi et godt utgangspunkt i grunnprinsippene til NSM.

Kan løsningen være å opprette et håndplukket konsulentteam bestående av representanter fra myndighetssiden og private virksomheter med kompetanse på opplysningskampanjer, sertifiseringer, regelverk, guidelines og godkjennelsesordninger? Teamet må omfatte alle bransjer, akademia og aldersgrupper for å treffe de riktige gruppene med et tilpasset budskap. Vi må prate med og ikke til «folket».

Vi må ikke glemme at samtidig som vi diskuterer dette, så rammes stadig flere norske virksomheter av digitale innbrudd, og flesteparten fordi de er for dårlig sikret. Ofte kunne dette vært unngått med enkle grep og økt bevissthet hos ledelse, IT-avdelingen, tjenestetilbyder og rådgiverne.