REGJERINGSKVARTALET (digi.no): Fornyings-, administrasjons- og kirkeminister Rigmor Aasrud besøkte i forrige uke USA, sammen med regjeringskollega Grete Faremo. Blant annet for å lære mer om IT-sikkerhet og fysisk sikkerhet.
Vi fikk i går et eksklusivt møte med IT-ministeren for å høre hva hun fikk ut av turen, som omfattet flere bedrifter, akademia og offentlige etater.
På programmet sto blant annet møter med nøkkelpersoner ved Det hvite hus, amerikansk UD, prestisjefulle Harvard University og MIT i Boston og en rundtur hos IBM i New York.
Rigmor Aasrud lot seg særlig imponere over IBMs avanserte løsning for videoovervåkning i sanntid.
- Vi fikk se avansert bruk av videoovervåkning på et nivå ikke jeg har sett før. Du kunne identifisere at folk satte fra seg en bag. Hvis vedkommende ikke hentet bagen raskt kunne teknologien identifisere situasjonen. Og hente tilbake hvem som hadde satt fra seg baggen og følge vedkommende gjennom kameraer. Veldig interessant teknologi i et sikkerhetsperspektiv, sier statsråden til digi.no.
Aasrud: Hvis det lå en bombe i baggen og den gikk av etter 30 sekunder... Du får en veldig god anledning til å identifisere objekter det kan være usikkerhet omkring.
Én fellesnevner IT-ministeren nevner fra USA-besøket var at amerikanske myndigheter ikke er særlig opptatt av personvern.
- Det var vanskelig å se noe veldig tydelig personvernfokus i mye av det vi så i USA, sier hun.
digi.no: Det henger kanskje sammen med terrorangrepene 11. september 2001, og etterspillet blant annet med antiterrorlovgivning som Patriot Act?
Aasrud: Ja, det gjør nok det. Teknologien vi så knyttet til overvåkning var fantastisk på mange måter. Brukt til det formålet den skulle brukes til. Samtidig så ser du jo veldig fort at dette er teknologi som kan misbrukes også.
digi.no: Er det verdt å være bekymret for akkurat det?
Aasrud: Jeg tror nok man skal ha en sunn skepsis, men samtidig være nysgjerrig på teknologien. Jeg har allerede tatt opp med mine at vi må sørge for å få sett på det. Og så må vi foreta de nødvendige avveiningene.
Systemet regjeringen ønsker å kikke nærmere på heter «Smart Surveillance Solutions» og er tidligere omtalt på digi.no i 2007. IBMs nærmest allmektige videoovervåkning ble den gangen beskrevet slik: Superavansert digital videoovervåkning finner alt.
IBM opplyser at ingen norske kunder så langt har kjøpt dette. Men det er utbredt hos flere andre myndigheter, ikke minst i USA, hvor produktet blant annet brukes av politiet og ved flere flyplasser.
- Systemet hjelper med å oppdage hendelser som avviker fra normalen. Det kan være en bil som kjører et sted, en gjenglemt koffert eller en nøkkel som står i en dør. Kameraene er etter hvert så avanserte at man kan identifisere veldig små objekter på lang avstand, forklarer IBM Norges pressekontakt Joacim Lunde.
Det dreier seg om såkalt prediktiv analyse, der systemet kan kverne en enorm datamengde (big data) fra en lang rekke kilder. Det skal både kunne avsløre avvikende mønstre, men også identifisere hendelser fram i tid.
- Politiet i Memphis, USA har tatt dette i bruk for å få bukt med kriminaliteten. De spår blant annet hvor kriminaliteten vil forekomme, basert på når folk får lønn, tidligere kriminelle hendelser og finner slik ut hvor det er sannsynlig at det kan oppstå mer kriminalitet, forklarer Lunde.
Her kan du se bilder fra fornyingsminister Rigmor Aasruds USA-besøk:
Den norske regjeringsdelegasjonen ble også inspirert av hvor langt USA har kommet med bruk av nettskytjenester i offentlig sektor.
Aasrud: Offentlig sektor i USA har nok i større grad enn oss tatt i bruk skytjenester. De hadde et prinsipp om «sky først» med fire ulike nivåer av hva de kan publisere i en sky.
digi.no: I hvilken grad ble du inspirert til å tenke i de baner selv?
Aasrud: Det er interessant det. Nå er det akkurat gjort en avklaring fra Datatilsynet knyttet til Narvik kommune-saken. Jeg har nesten ikke fått sett hva Datatilsynet har sagt, men ble orientert om saken mens vi var i USA.
digi.no: Narvik kommunes bruk av Google Apps er nå velsignet av Datatilsynet. Det samme er Moss kommunes bruk av tilsvarende verktøy fra Microsoft.
Det viser at skytjenester er noe som kommer Aasrud: - Det viser at skytjenester er noe som kommer. Derfor har jeg sagt her på huset at vi må utvikle noe politikk på området. Sånn at vi også selv kan være bevisst på hva vi lagrer i sky, hva vi ikke lagrer i sky, og hvilke mellomløsninger som finnes. Krav til serverpark på egen jord kan være ett mulig mellomnivå.
digi.no: Hva er det naturlige neste skrittet ved utforming av norsk politikk på skyområdet?
Aasrud: I første omgang tror jeg det vil være interne retningslinjer for forvaltningen. Det er flott at Datatilsynet gjør den jobben de har gjort nå. Det er et viktig bidrag for å få opp kunnskapsnivået. Men jeg tror nok vi skal være litt forsiktig med å si at det offentlige skal ta alt ansvar for skybruk i Norge.
- Da tar vi over et ansvar som er for stort. Jeg vil heller ikke at vi skal sitte med ett regelsett som skal gjelde all forvaltning. På det området som i andre er det avhengig av lederskap som skjønner problemstillingen, og som gjennomgår egen datamengde og bestemmer risikoen på de forskjellige lagringsbehovene. Det Datatilsynet nå har gjort kan være god veiledning. Internt for statsforvaltningen tror jeg det kan være viktig å løfte opp dette temaet i tiden framover.
digi.no: Vil du ta initiativ til disse retningslinjene, eller er dette knyttet opp mot reviderte sikkerhetsretningslinjer som kommer i høst?
Aasrud: Nei, det er ikke knyttet opp mot dem direkte, selv om de også vil touche innom, men jeg tenker da mer på når vi skal utvikle nye datasystemer for forvaltningen så vil det være naturlig for oss å tenke skytjenester. Vi vet jo at vi har et… «modent» IKT-system i departementsfellesskapet, som det kan hende vi må gjøre noe med om ikke så lenge. Da er det viktig at vi evner å tenke igjennom egen bruk og om vi trenger lokal serverkapasitet, hva vi kan lagre i skyer og hva vi kan lagre felles. Jeg tenker nok mer internt for forvaltningen. Så ser vi at mye av det vi gjør kan gi retning også for andre. Det var spennende med måten man tenkte «sky først på» i USA.
Artikkelen fortsetter under bildet.
Aasrud: En annen ting som gikk igjen fra USA var at vi får aldri en 100 prosent dataløsning. Vær fornøyd med en 80-prosentsløsning og del prosjekter opp i mindre biter. Hvis ikke har du antakelig planlagt så lenge at teknologien har løpt fra deg.
- Dette var også et viktig signal å ta med seg for virksomheter som er vant med å behandle store datamengder. Når det er sagt har vi ikke noe å skamme oss over i Norge i forhold til det vi får til med digitaliserte løsninger. Vi har mange gode løsninger.
digi.no: Hva vil du si gjorde mest inntrykk under møtene i USA. Fikk du noen aha- eller wow-opplevelse?
Aasrud: Akkurat på dette området så var det 1) At man hadde en tydelig skypolitikk og 2) Det tydelige internasjonale perspektivet de la på datasikkerhet. Det er ikke sånn at vi ikke har det selv, men dette var veldig tydelig i de møtene vi hadde.
USAs myndigheter skal ha tatt til orde for bedre internasjonalt samarbeid om datasikkerhet. IT-trusler kjenner som kjent ingen landegrenser. - Amerikanerne så gjerne at vi gjorde mer i fellesskap, sier fornyingsstatsråden.
digi.no: Ansvaret for informasjonssikkerhet er i Norge fordelt over en lang rekke ulike etater. Vi har ikke noe eget sikkerhetsdepartement som det statsråden besøkte i USA (homeland security). I hvilken grad er det naturlig at FAD arbeider med informasjonssikkerhet?
Aasrud: En av tingene vi jobber med er å være tydelig på ansvarsdragningen mellom FAD og justisdepartementet, samferdselsdepartementet har også noen aksjer her. Så tror jeg det er forskjell på den ytre beredskapen, der forsvar har en stor aksje gjennom det nye kyberforsvaret som (daværende forsvarsminister) Barth Eide rakk å lansere på Lillehammer før han byttet fagområde (til utenriks).
- I nordisk krets har man bestemt at man skal sette opp et samarbeid mellom CERT-ene (nasjonale Computer Emergency Response Team, red.anm.). Det viser også at vi er inne på utenrikspolitisk område. Justisdepartementet har også bemannet opp Nasjonal sikkerhetsmyndighet (NSM) slik at NorCERT er operativt 24/7. Dette er det ytre forsvaret. Så har vi (fornyingsdepartementet) ansvaret for forebyggende IKT-sikkerhet som er litt annerledes.
- Det ligger i seg selv at alt dette antakelig ikke kan ligge bare i én organisasjon. Vi vil ha ansvaret for IT-politikken, som ikke faller naturlig for justisdepartementet. Det å sørge for gode forebyggende rutiner er en IT-politisk utfordring.
Aasrud: Samtidig har vi styrket justisdepartementet med beredskap i navnet og et mye tydeligere fokus på beredskap i alle situasjoner. Derfor er det viktig nå at vi også går opp grensegangen, blant annet mot justis i forhold til IT-sikkerhetsarbeid.
- Når går en situasjon fra å være forebyggende til å være mer operativ? Det er de tingene som det er viktig at vi har grensedebatter på. Det er ikke ugreie debatter, men vi må finne ut hvor vi skal ligge. 22. juli-kommisjonen har også vist at det er veldig viktig at det er tydelig hvem som har ansvar for hva.
De sa at det var angrep hele tiden digi.no: På konferansen «Sikkert nok» tirsdag sa du at dere hadde opplevd et USA med veldig høyt fokus på IT-sikkerhet. Delte dine amerikanske kolleger detaljer om angrep og trusselbildet?
Aasrud: De sa at det var angrep hele tiden.
digi.no: Indikerte de hvor disse angrepene kom fra?
Aasrud: Nei, jeg har ikke lyst til å referere hva som ble sagt om mulige kilder der.
digi.no: Men hadde de en oppfatning av hvor angrepene kunne komme fra?
Aasrud: Det er vel ikke usannsynlig at de hadde det. Men det er vanskelig å helt identifisere.
Den rødgrønne regjeringen hevder at informasjonssikkerhet nå står høyt på deres prioriteringsliste. I løpet av høsten skal FAD ferdigstille og legge fram en helt ny strategi på området. Hva kan Aasrud røpe fra det nye rammeverket?
Aasrud: Det vil nok være mye gjenkjennelig i den strategien, men samtidig har vi prøvd å oppdatere den i tråd med dagens situasjonsbilde. Jeg jobber ikke akkurat i det daglige med dette, men vi er for så vidt ganske ferdige med aktivitetene. Fordi både Faremo og jeg var i USA og dette var et tema der, så var det greit å få med seg besøket først.
digi.no: Hva slags prinsipper skal disse retningslinjene styres etter. Hvordan skal dette håndheves blant innbyggere, privat næringsliv og det offentlige?
Aasrud: Nei, dette er veiledende materiell både ved at man skal få hjelp til å tenke gjennom hva som er nødvendig, men også inspirasjon til hvordan man skal jobbe. Det finnes nasjonale retningslinjer i dag som har fungert. På dette området er det viktig å si at vi har et godt samarbeid med privat sektor. Det som skjer i Nasjonal sikkerhetsmyndighet og Næringslivets sikkerhetsråd for eksempel.
digi.no: Ofte vil ikke virksomheter gå ut med informasjon om at de har vært utsatt for dataangrep. Hvis det ikke var for Riksrevisjonen hadde vi neppe fått vite om alvorlige sårbarheter og sikkerhetsproblemer i datasystemene i regjeringskvartalet. Er det rom for mer åpenhet her?
Aasrud: Åpenhet på den måten at det bør meldes til de som hjelper oss med å systematisere arbeidet. Det bør vi være flinkere til. Så tror jeg nok at en skal tenke seg litt om, før man dagen etter et angrep man ikke helt har kontroll på skal melde ifra det til pressen. Det gjelder å skalke lukene før man melder ifra.
Les også:
- [22.03.2013] Skal lokke alle opp i nettskyen
