Nytt IT-politi - uten noen pisk

Senter for informasjonssikring skal nå endelig komme i gang, men har ingen myndighet til å kreve rapporter eller stramme opp bedrifter.


Tidligere statsminister Kåre Willoch ledet i 2000 det såkalte Sårbarhetsutvalget som konkluderte blant annet med at det sto dårlig til med IT-sikkerheten i Norge.

I statsbudsjettet 2002 vedtok derfor Stortinget å opprette Senter for Informasjonssikring, et treårig prøveprosjekt med et budsjett på 13,5 millioner kroner.

- Samfunnet må ruste seg mot nye utfordringer for samfunnssikkerheten som følger av den teknologiske utviklingen. Flere myndighetsorganer er involvert i data- og informasjonssikkerhet. Felles for disse er at de har begrensede oppgaver for sikring på egne sektorer, men det er ingen som ivaretar IT-sikkerheten i det sivile samfunn som helhet. Forslaget om etablering av et eget senter for informasjonssikring tar sikte på å bøte på dette, konkluderte Willoch da han overleverte utvalgets innstilling.

Men nå synes bredden i arbeidet til Senteret for Informasjonssikring (SIS) å være begrenset. Senteret ble offisielt åpnet i april i fjor, men først nå er egentlig senteret operativt, forteller SIS-leder Ove Olsen til digi.no.

- Det har tatt litt tid å ansette folk, men nå har vi på plass til sammen seks årsverk.

Hjemmesidene til SIS, norsis.no, inneholder foreløpig bare litt generell informasjon om SIS og kontaktinformasjon.

På spørsmål fra digi.no om en konkretisering av hva SIS skal gjøre, oppsummerer Olsen at senteret skal gi selskaper som er rammet av sikkerhetsproblemer råd om tiltak. SIS skal også dele ut generelle sikkerhetsråd, men vil for eksempel ikke jobbe med varsling om nye, hurtigspredende virus, nyoppdagede sikkerhetshull eller problemer som påvirker det norske Internett. For dette skal den norske avdelingen av Computer Emergency Response Team som ligger under Uninett AS ta seg av.

Det kan ta tid før SIS får fart på sitt arbeid og klarer å løfte den generelle fokusen på IT-sikkerhet i Norge. For Olsen og hans kolleger har ingen maktmidler - verken til å kreve rapporter fra selskaper de får vite er rammet av problemer eller til kreve gjennomføring av tiltak hos disse.

For eksempel vil det være helt opp til Telenor å forteller SIS om problemene selskapet har hatt med Internett-serveren til alle departementene de siste dagene. Til tross for hvor viktig Odin-serveren er, kan SIS heller ikke pålegge Telenor endringer i rutiner og/eller teknisk opplegg.

SIS står derfor overfor en tøff oppgave - for undersøkelser viser at de fleste bedrifter synes sikkerhetsbrudd er dårlig PR og holder munn om problemene.

- Vi er ikke et tilsynsorgan. Vi vil nok være mest en hjelp for de små og mellomstore, de store som Telenor klarer stor sett seg selv, sier Olsen til digi.no.

Han mener at SIS må jobbe langsiktig.

- Vi må opparbeide oss troverdighet slik at bedriftene og offentlige instanser føler det gir verdi å melde fra om problemer til oss, sier Olsen.

I løpet av to til tre måneder vil SIS ha på plass et utvalg rapporter med generelle sikkerhetsråd på sine nettsider.

Til toppen