(Foto: NSM)

«Å diskutere antall CERT er en avsporing»

Derfor er debatten malplassert og skadelig.

  • debatt

Bjarte Malmedal er seniorrådgiver i Norsk senter for informasjonssikring (NorSIS).
Enkelte stiller seg tvilende til at norske virksomheter og sektorer skal etablere nye CERT-funksjoner. Å legge en øvre grense på antall CERT’er er imidlertid et tegn på en avleggs situasjonsforståelse.

Betydningen av digitaliseringen i samfunnet kan knapt overvurderes. Både næringslivet og offentlig sektor gjennomgår en omfattende transformasjon som en følge av digitaliseringen. Bransjer må endres og nye tjenester og produkter oppstår.

Digitalisering skyter fart i økonomien, selve grunnlaget for fremtidens vekst og velferd. Like viktig er effekten den har på våre liv. Informasjon demokratiseres, digital velferdsteknologi gir økt verdighet for syke og eldre og kommunikasjon med andre mennesker, bedrifter og det offentlige blir stadig enklere og mer effektivt.

Vil omgå ethvert sperretiltak

Dette er vel og bra, men hva har det med CERT-funksjoner å gjøre? Det er spesielt to utviklingstrekk som må forstås når en skal diskutere CERT-strukturene. For det første er kriminelle organisasjoner og statsstøttede aktører høyt utviklet i sine strategier, taktikker og metoder. Tiden hvor enkle tekniske råd var tilstrekkelig til å forhindre dem i å lykkes, er over.

De kriminelle går fra å angripe teknologien til å manipulere menneskene. Vi vet av erfaring at kyberkriminelle vil omgå ethvert sperretiltak, og tiden de trenger for å omgå dem blir stadig kortere fordi fleksibilitet og en dynamisk tilpassing er en del av deres strategi. For det andre er vi mer avhengig av det digitale rom nå enn det vi var før, og vi blir mer og mer avhengig ettersom digitaliseringen kommer lenger.

Behovet for å beskytte virksomhetene øker, og dette ansvaret kan ikke lenger overlates til IT-avdelingen alene. Angrep i det digitale rom truer selve evnen til å levere produkter og tjenester. For kommunal sektor innebærer det evnen til å levere trygt drikkevann, elektrisitet og andre helt nødvendige tjenester til deg og meg. Det er lett å se hvilken betydning dette har for tusenvis av innbyggere dersom noe skulle skje.

Tenke nytt

Disse utviklingstrekkene betyr at hele samfunnet må tenke nytt når det kommer til beskyttelse i det digitale rom.

Teknisk forebygging er fortsatt en del av bildet, men fokuset må i mye større grad være på å møte de kyberkriminelle med en like stor grad av fleksibilitet og dynamikk. Til dette trenger vi enheter med personell, kunnskap, trening og metoder som kan sørge for at virksomheten kan levere sine tjenester, på tross av digitale angrep.

For en kommune vil krisehåndtering blant annet bety at det må prioriteres mellom tjenesteområder. Ja, noen av tjenesteområdene har allerede CERT-funksjoner, for eksempel helsesektoren og kraftsektoren. Rådmannens krisestab kan imidlertid ikke overlate prioriteringene til noen av dem.

Det nye her er ikke at kommunene må håndtere kriser på vegne av sine innbyggere. Det nye er at digitale trusler er farligere og mer komplekse enn før og at de rammer flere tjenesteområder samtidig.

Dagens situasjon er at mange av landets kommuner ikke har bemanning eller kompetanse til å forstå eller å håndtere en kompleks situasjon i det digitale rom. De må ha støtte til å bygge opp en situasjonsforståelse og til å utvikle hensiktsmessige tiltak. Det er nettopp kompleksiteten i både kommunesektoren, og i trusselbildet, som er grunnlaget for at sektoren trenger en egen CERT-funksjon. En kommunes digitale fotavtrykk kan omfatte helsesystemer, Nav-systemer, kommunalt eide kraftselskaper, interkommunale foretak, skole- og utdanningssystemer m.fl.

Malplassert og skadelig

En Kommune-CERT skal ikke overta rollen til noen av de eksisterende tjenesteområdespesifikke CERT-ene, men koordinere de ulike tjenesteområdene og støtte alle de kommunene som ikke selv har evne til å håndtere digitale trusler.

På samme måte som kommunene vil mange virksomheter i privat og offentlig sektor ha behov for å håndtere digitale trusler, både nå og i fremtiden. En debatt om begrensning av antallet håndteringsenheter er derfor både malplassert og skadelig. Fokuset må snarere være på å utdanne flere personer som kan inngå i slike enheter, og på å utvikle mye bedre samarbeidsmekanismer mellom CERT-ene.

For ordens skyld, begrepet CERT brukes her om alle typer håndteringsenheter enten de formelt kalles CERT, CIRT, CSIRT, IRT, ISAC eller SOC. Det må være opp til virksomhetene eller sektorene å avgjøre hvilken type håndteringsenhet de trenger. Og om de trenger det.

Til toppen