(Bilde: Colourbox)

Derfor bør vi ha færre, sterkere CERT-miljøer

KOMMENTAR: Unngå at kongeriket brytes opp.

Per Thorsheim er IT-sikkerhetsrådgiver i firmaet God Praksis.
NorSIS svarte på min kommentar om hvor mange CERT vi trenger med å si at dette var en avsporing, malplassert og skadelig. Dette fra en organisasjon som har en viktig rolle i å jobbe for mer åpenhet og kunnskap innen sikkerhetsfaget. Da bør ikke uenighet og debatt bli møtt med at den er skadelig og malplassert.

La meg presisere: Jeg påpekte at vi kanskje ikke trenger flere nye offentlige finansierte organisasjoner, men jeg er ikke i tvil om at vi trenger mer kompetanse i form av ansatte på området.

Norge har visstnok verdensrekord i antall registrerte organisasjoner sammenlignet med folketall. Med enhver ny organisasjon følger det administrative kostnader. Kostnader enhver toppleder i dag både bør og skal forsøke å unngå. Det gjelder også i staten og hele offentlig sektor.

Jeg mener at vi bør utvide eksisterende CERT-organisasjoner (Computer emergency response teams) med flere ansatte, og sørge for at disse jobber tverrsektorielt. Selv statlige trusselaktører angriper oss på tvers av ulike sektorer ifølge Nasjonal sikkerhetsmyndighet (NSM), Politiets sikkerhetstjeneste (PST) og E-tjenesten.

Småkonger

Hvorfor skal vi da organisere vårt forsvar i sektorinndelte organisasjoner? Jeg sliter med å se at det skal gi bedre samarbeid enn dersom vi har en eller noen få tverrsektorielle organisasjoner uten alskens samarbeidsavtaler med tilhørende småkonger, som slåss om de samme ressursene i form av offentlige midler og knapphet på antall kompetente personer.

At store norske bedrifter har egne team på dette bør være en selvfølge. Slike tjenester er også en stadig voksende konsulentvirksomhet, og de dekker behovene for mange som verken ønsker eller kan rettferdiggjøre kostnadene slik kompetanse utgjør.

Litt av responsen jeg har mottatt i etterkant har fremhevet Gjøvik som selve utdanningsinstitusjonen for kvalifisert personell til denne typen roller. Jeg er overbevist om at NTNU i Trondheim, Universitetet i Bergen og i Stavanger vil støtte meg i at det finnes utdanning og kompetanse også utenfor det gyldne sikkerhetstriangel Lillehammer – Gjøvik – Oslo.

Jeg vil i det lengste unngå å etablere BergenCERT, VestlandsCERT, OppdrettsCERT, SubSeaCERT, Olje & Gass CERT, distriktsCERT og FylkesCERT. Det kan vi unngå ved å jobbe tverrsektorielt, utnytte kompetanse over hele landet og utvise litt lokal tilstedeværelse. Det er det nemlig et skrikende behov for også utenfor Oslo.

Samarbeid på tvers

Årlige e-læringskurs og en-dags seminar rundt omkring i landet når ikke så langt inn i organisasjoner som man later til å tro i sentrale Oslo.

Oppsummert: la oss jobbe sammen mot felles trusler utenfra, gjennom tverrsektorielt samarbeid i et fåtall offentlig finansierte CERT. Ansett gjerne 100 nye mennesker i NorCERT for å bistå både offentlig og privat sektor over hele landet, men la oss unngå at kongeriket brytes opp til mange riker med hver sin småkonge. Den modellen er nemlig en avleggs situasjonsforståelse.

Til toppen