Fire krav til Røys' plan for infosikkerhet

Per Morten Hoff forventer mye av «Nasjonale retningslinjer for å styrke informasjons­sikkerheten».

I formiddag vil statsråd Heidi Grande Røys i departementet for fornying og administrasjon legge fram en plan kalt »Nasjonale retningslinjer for å styrke informasjonssikkerheten».

    Les også:

Generalsekretær Per Morten Hoff i bransjeorganisasjonen IKT-Norge sendte i natt ut sine betraktninger rundt planen. De bærer preg av at han har et visst innsyn i hva den vil inneholde.

– Vi har tiltro til at FAD [Fornyings- og administrasjonsdepartementet] vil følge denne planen langt bedre opp enn den forrige som Næringsdepartementet hadde ansvaret for sammen med flere andre departementer. At ansvaret ikke pulveriseres på mange departementer er svært viktig.

Dette er i tråd med blant annet den kritikken lederen av det tidligere Sårbarhetsutvalget, Kåre Willoch, framførte offentlig i forrige uke da enn brann på Oslo Sentralbanestasjon førte til at politiets antiterrorsentral ble helt isolert fra omverdenen.

Hoff skriver videre:

– Offentlig IT inneholder store mengder personopplysninger. Derfor må det offentlige hele tiden ligge I forkant. Vi har tidligere opplevd at det offentlige stiller strenge krav helt til informasjonen blir overlevert til det offentlige, men så snart det er innenfor den offentlige «døra» er det ikke lenger så nøye med sikkerheten.

Derfor mener IKT-Norge at det nå er påkrevet med en offentlig sertifiseringsordning for alle som skal håndtere store mengder personopplysninger.

– IKT-Norge ønsker derfor at det som en oppfølging av strategien lages klare regler for behandling av offentlige data og at det innføres en sertifiseringsordning. På lik linje med at alle ledere i AS-er må ta et HMS-kurs, bør alle offentlige ansatte som jobber med persondata og andre sensitive data gjennomgå et sertifiseringskurs.

Hoff advarer at Røys ikke må nøye seg med generelle retningslinjer. Han viser til tilfellet i Storbritannia i forrige måned, der en ukryptert CD – kun passordbeskyttelse – med personopplysninger til 26 millioner innbyggere forsvant i postgangen mellom ett offentlig organ og et annet.

– Når statsråd Heidi Grande Røys legger frem nye retningslinjer er vi ganske sikker på at det vil være generelle retningslinjer. I en IT-verden som er i konstant utvikling vil det være meningsløst å lage svært detaljerte retningslinjer. Samtidig er vi ganske sikre på at kritikerne vil kaste seg over meldingen å si at den er for generell. Det nye IT-direktoratet som lanseres i januar vil være det riktige verktøyet for pålegg og detaljstyring. Og ikke minst kontinuerlig oppfølging.

Hoff peker på at vi nettopp har opplevd at samfunnskritisk infrastruktur ble satt ut av spill. Han mener det bare er et tidsspørsmål før det første store datasenteret bryter sammen. Her maner han til større åpenhet.

– Mange IT-sikkerhetsskandaler både i offentlig og privat sektor er knapt blitt kjent fordi de færreste ønsker å bli tatt med buksene på knærne. Skandaler er ikke hyggelig, men det positive er at vi kan lære av feilene og derfor er en åpenhetskultur viktig på dette området.

I innledningen til de nye retningslinjene som Røys skal legge fram, heter det:

«Formålet med å utgi nasjonale retningslinjer for å styrke informasjonssikkerheten er å skape en felles forståelse for hvilke utfordringer vi står overfor, og identifisere områder der det er behov for å gjøre en ekstra innsats for å styrke den nasjonale informasjonssikkerheten. Retningslinjene skal bidra til å fremme en bedre forståelse for hvordan alle brukere, utviklere og tilbydere av IKT (Informasjons- og kommunikasjonsteknologi) kan dra fordel, og bidra til utviklingen av, en sikkerhetskultur på området.»

– IKT-Norge mener at dette på en meget god måte setter agendaen for det arbeidet som skal og må gjøres, skriver Hoff.

Det heter videre i retningslinjene:

«Alle virksomheter som eier samfunnskritisk IKT infrastruktur må innføre beskyttelsestiltak og etablere reserveløsninger som sikrer opprettholdelse av drift og leveranser. Beredskapen for håndtering av brudd i samfunnskritisk IKT-infrastruktur må styrkes både hos tilbydere og brukere.»

– Her må det ikke bare bevissthet til, men det må også en betydelig sum med penger og IKT-Norge forutsetter at dette kommer som en post i Statsbudsjettet i årene som kommer til å følge dette opp, skriver Hoff.

IKT-Norge mener de nye retningslinjene må følges opp med følgende konkrete tiltak:

  • Alle offentlige aktører må innføre en egen sikkerhetsrevisjon og en egen sikkerhetssertifisering.
  • I årsberetningen til alle aksjeselskaper skal det redegjøres for informasjonssikkerheten, på samme måte som de skal gi sin miljøredegjørelse.
  • Det må opprettes et ekspertsenter for å drive forskning og utvikling på informasjonssikkerhet.
  • Den offentlige prosessen med eID må trappes betydelig opp. Her peker IKT-Norge på at man allerede er på overtid: «eID er selve nøkkelen for å skape sikre offentlige løsninger som vil kunne rasjonalisere offentlig sektor og gi oss som brukere bedre og sikrere service. Det er satt av penger til dette i Statsbudsjettet, men da til videre utredning. IKT-Norge mener at prosessen med eID må fremskyndes.»
Til toppen