Kjære politikere: Ta vare på de digitale innbyggerne
IT-kriminelle og hackere fremstilles ofte i mediesaker som supersofistikerte og geniale agenter. De legger planer, som en skurk i en James Bond-film, før de sniker seg inn i norske IT-systemer og stjeler statshemmeligheter.
Dette er så langt fra sannheten man kan komme. Microsoft sin Digital Defense Report for 2022 sier at 98 prosent av angrepene kunne vært unngått med grunnleggende sikkerhetshygiene. De aller fleste angrep skjer fordi virksomheten står helt åpen, og blir oppdaget av automatiserte «roboter». De skanner internett etter kjente sårbarheter de kan utnytte for å komme inn. Du kan faktisk sammenligne denne øvelsen med radioen din når du søker etter en kanal. Hackerne er heller ikke særlig jålete på hvor de prøver seg. For Tønsberg Turn og Meieri ser akkurat lik ut som Tine, for en skanner som jobber seg igjennom internett.
Nå kan myndighetene ta grep
Over flere år har et tverrfaglig samarbeidsutvalg under Justisdepartementet jobbet med å kartlegge, analysere og bidra til å utarbeide en strategi for å forsøke å bidra til å løfte den grunnleggende sikkerheten i Norge. Reisen mot et mer resistent digitalt samfunn begynner naturligvis med at alle virksomheter som går under nasjonal kritisk infrastruktur. Noe som spenner seg fra justis og forsvar til kommuner og legesenter. Derfor er det en glede å lese stortingsmelding Meld. St. 9 (2022–2023) om nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet.
Nye sikkerhetskrav
I stortingsmeldingen står det at regjeringen vil vurdere å stille tydeligere lovkrav til virksomheter for å sikre nasjonal sikkerhet:
«Regjeringen vurderer å fremme et forslag til lov om digital sikkerhet for å ansvarliggjøre virksomheter og sikre gjennomføring av nasjonale råd og anbefalinger.»
I løpet av de siste årene har vi sett ukentlige oppslag i media. Der den ene kjente virksomheten etter den andre har blitt angrepet av hackere. Dette gjelder ikke bare private virksomheter – både kommuner og andre offentlig virksomheter har blitt kompromittert. Tiden er overmoden. Vi kan ikke vurdere. Det må gjøres tiltak nå.
Sjumilssteg for it-sikkerheten
Jeg heier ikke nødvendigvis alltid på nye reguleringer. Men her kan myndighetene ta et sju-milssteg i riktig retning ved å se til Nasjonal sikkerhetsmyndighet (NSM) sine grunnprinsipper, og innføre et krav for minimumsnivå for sikkerhet. Her må de være konkret på hvilke tiltak som må på plass. Vi som er ute i felten daglig er helt enige med tallene fra Microsoft, og vet hvor mange av hendelsene som kunne vært unngått, med minimal innsats.
Heier på myndighetene
La oss krysse fingrene for at dette blir en fanesak for de politiske partiene i posisjon til å gjøre en forskjell. Om regjeringen godkjenner og det pålegges et minimumskrav av sikkerhet for nasjonal infrastruktur, så vil alle leverandører til kritiske, nasjonale virksomheter også måtte steppe opp og gjøre noen tiltak for å kvalifisere som «sikker» samhandlingspartner. Og vips, så har vi løftet sikkerhetsnivået et hakk for hele nasjonen. For også de virksomhetene som ikke blir berørt av kravene, vil kunne identifisere seg med hvilke tiltak en burde utføre.
En enorm muskel
I tillegg vil myndighetene ved å innføre konkrete minimumskrav, få drahjelp av den enorme muskelen som utgjør den kommersielle IT-sikkerhetsbransjen, som består av nærmere 1000 ildsjeler. Vi vil bidra til å både spre kompetanse og løsninger i tråd med de nye lovkravene. For oss vil kravene bli gode argumenter i kundedialogene vi allerede har hver dag over hele Norge. Der vi reiser fra virksomhet til virksomhet for å få ledelsen til å ivareta selskapets digitale verdier
Inntil skrivelysten tar meg igjen, er jeg på landeveien med opplysningskampanjen sikkerhetsdagene i de fem største byene i Norge, og utfører min plikt som sikkerhetsevangelist.
