Tre viktige punkter i i regjeringens nye digitale forsvarstrategi

Denne saken har tidligere vært på trykk på Digi.no.

Det er få utsagn som gjør oss mer urolige enn når sikkerhetsmyndighetene erkjenner at de ikke har forstått trusselbildet vi står ovenfor. Det er ikke bare beklagelig, det er kritisk. I st. mld. 38 «IKT-sikkerhet – et felles ansvar» står det at alle, uansett posisjon, må ta ansvar for digital sikkerhet. Det er derfor svært gledelig at statsministeren har lansert en ny og etterlengtet forsvarsstrategi. Dagens situasjon, med Nasjonal sikkerhetsmyndighets (NSM) statlige overvåkningsystemer er en quick-fix, men dersom det ikke er en del av et helhetlig sikkerhetsløp, gir dette likevel bare en falsk trygghet. 

Den nye strategien viser at forsvarsministeren har tenkt helhetlig og tverrfaglig. Det er bra, for forrige ukes sikkerhetsdebatt viser hvor porøst systemet er: PST har advart om det kinesiske teleselskapet Huaweis aktiviteter på norsk jord. Det er ukjent hva det innebærer, og mye tyder på at selv ikke PST vet helt hvilke trusler vi står ovenfor. 

Advarselen kommer lenge etter at mange andre land har tatt sikkerhetsgrep mot selskapet. Det er derfor helt essensielt at det blir etablert et skikkelig mottakssenter, en beredskapsplan og at alle har grunnleggende kunnskap om hvilke sikkerhetstiltak hver og en er ansvarlig for. 

Jungelen av sikkerhetsråd er overveldende for de fleste av oss. I den nye strategien er det tre områder jeg som virksomhetsleder vil være ekstra oppmerksom på:

1. Regjeringens ti anbefalinger

Myndighetene har med bidrag fra private virksomheter utarbeidet ti anbefalinger som det er en forventning om at alle følger opp og bygger videre på. Dette vil løfte sikkerheten på tvers i det norske samfunnet. Dette er også bra som føring til kunder, for å forenkle sikkerhetsbestillinger: kunden vet hva han eller hun skal bestille, leverandør vet hva som bestilles og det skiller mellom kvalitet fra kvantitet. 

2. NSMs godkjenningsordning

NSM har etablert en godkjenningsordning for tjenestetilbydere av IT-sikkerhetsrådgivning. Dette er viktig å kjenne til for innkjøpere av sikkerhetstjenester, fordi det gjør det lettere å vite hva man faktisk kjøper. Foreløpig er det bare tre selskaper som er godkjent. Ordningen er et stødig løft for å heve standarden – et konkurransefortrinn som gjør at også flere aktører vil søke om godkjenningsordningen i fremtiden.

3. Behovet for fagkompetanse

Den raske utviklingen gjør at også trusselbildet er i stadig endring: for hvert hull vi tetter i gjerdet, kommer dusinvis nye. Det fordrer at sikkerhetseksperter til enhver tid må være topptrente i faget – og at det er mange nok. Behovet for fagkompetanse innen IT-sikkerhet er flagget lenge. I år 2030 vil det være en estimert etterspørsel på 15 000 personer med denne kompetansen, i følge NIFU (2017). Dette er ikke som en melkrise, hvor vi kan importere råvaren vi mangler, for også på verdensbasis er behovet skrikende. Til nå har løsningen vært outsourcing til private aktører. Det er flott for bransjen jeg representerer, men resultatet er allikevel en presset bransje som slukker brannene som betaler seg best, og risiko for tilvekst av «skreddere» som selger «usynlige klær».

Våre viktigste verdier er digitale. Det gjør også trusselbildet grenseløst, og hackerne – enten de er finansiert av private eller statlige aktører, trenger ikke å fysisk nærme seg norske grensetrakter for å sette rikets sikkerhet i fare. PST har fått viktig støtte, men også privatpersoner utsettes daglig for digital hverdagskrimininalitet som kredittkortsvindel og identitetstyveri. Det er derfor svært nødvendig at det også bevilges midler til politiets senter for cyberkriminalitet, NC3. 

IKT-sikkerhet er et felles ansvar. I dag er det Huawei, i morgen kan det være andre aktører. Her bør relevante statsråder kjenne sin besøkelsestid og fikse Norges digitale grensegjerde før det er for sent.