Norge trenger en nasjonal strategi for cybersikkerhet. Ansvar og myndighet for å styre etatenes innsats på området må også samles ett sted, mener kronikkforfatteren. (Bilde: MJ/digi.no)

Puslete cybersikkerhet

KRONIKK: Regjeringens innsats spres som løvepulver, skriver Roar Sundseth.

Internett er historiens største anarkistiske eksperiment. Hundrevis av millioner mennesker skaper og konsumerer hvert minutt uante mengder digitale data som ikke er begrenset av internasjonal lov og rett.

Denne muligheten til fritt å kunne gi uttrykk for og samtidig spre meninger og holdninger har skapt det virtuelle landskapet vi ser i dag. Det eksisterer hyllemeter på hyllemeter med litteratur om internett, cyber og cybersikkerhet. Utfordringen er først og fremst at det meste av det som er skrevet befatter seg med tekniske og taktiske spørsmål.

Det som finnes offentlig tilgjengelig av drøftinger, føringer og beslutninger om strategiske forhold og problemstillinger i forhold til hvordan cyber og cybersikkerhet skal forstås, er nærmest ikke-eksisterende.

I desember 2012 ga den forrige regjeringen ut «Nasjonal strategi for informasjonssikkerhet». Strategien ble utarbeidet av en tverrdepartemental arbeidsgruppe og beskriver hvordan de enkelte departementer og etater skal oppfylle sine respektive ansvar for å oppnå strategiens målsetting – nasjonalt tilfredsstillende informasjonssikkerhet.

Generalmajor Roar Sundseth er tidligere sjef Cyberforsvaret
Generalmajor Roar Sundseth er tidligere sjef Cyberforsvaret

Strategien plasserer også det koordinerende ansvar for informasjonssikkerhet i statlig sektor hos Justis- og beredskapsdepartementet. I mars i år fulgte Forsvarsdepartement opp strategien fra 2012 med sine «Retningslinjer for informasjonssikkerhet og cyberoperasjoner i forsvarssektoren». Bestemmelsene her går først og fremst ut på, på bakgrunn av ett sett av egenutviklede definisjoner av begreper i cyber, å regulere fordelingen av ansvar og myndighet innenfor denne sektoren. Begge dokumentene er viktige, men det er ikke nok.

Ulike begrep

Informasjonssikkerhet og cybersikkerhet – betyr begrepene det samme? Nei, de gjør ikke det, selv om begrepene brukes om hverandre, også i disse to dokumentene.

Informasjonssikkerhet har med sikring av informasjon å gjøre, uavhengig av om informasjonen er lagret digitalt eller ikke. Cybersikkerhet, derimot, dreier seg om sikring av ting som er sårbare via IKT. Det som karakteriserer cybersikkerhet, er at det som skal beskyttes må beskyttes på grunn av sikkerhetsutfordringene som følger av bruken av IKT. Nettopp av den grunn blir det helt feil å framstille informasjonssikkerhetsstrategien av desember 2012 som en nasjonal cybersikkerhetsstrategi. Det er den ikke, den har et annet perspektiv.

Alle strategiske cybersikkerhetsutfordringer må møtes i fellesskap - nasjonalt av en enhetlig, integrert tverrdepartemental innsats og internasjonalt i et gjensidig, flernasjonalt samarbeid. Men det synes ikke å fungere i tilstrekkelig grad i dag. For mye av det som avdekkes nasjonalt og internasjonalt om konkrete trusler og trusselaktører, blir behandlet som etterretninger og sikkerhetsgraderes. Når tilgangen på informasjon begrenses på denne måten, begrenser det muligheten for koordinert innsats.

Puslete

Etatskoordineringen når det gjelder cybersikkerhet virker fortsatt å være for puslete og lite effektiv. Når regjeringen gjennom prioriteringer i de siste statsbudsjettene betimelig øker ressursinnsatsen innen cybersikkerhet, sprer de den økte satsningen som løvepulver utover de enkelte departementer og etater.

Jeg innser at tverrdepartemental styring er utfordrende og vanskelig. For å få det til når det gjelder cybersikkerhet, trenger vi noen som har ansvar for og myndighet til å styre departementenes samlede cybersikkerhetsinnsats og som kan kraftsamle ressurser på tvers av departementsgrenser.

Det vi også trenger er å få på plass er en politisk forankret, nasjonal, sektorovergripende cybersikkerhetsstrategi som blant annet må beskrive for forsvars- og justissektoren (statens maktapparat), hva handlingsrommet er for hva de kan planlegge med å bruke av offensive og defensive virkemidler i beskyttelsen av nasjonal kritisk informasjonsinfrastruktur.

For at en nasjonal strategi for cybersikkerhet skal tjene hensikten og ikke bli «nok et dokument» som bare arkiveres, må strategien dekke behovene for alle berørte parter, fastslå den enkeltes ansvar og legge til rette for at de skal kunne løse sine oppgaver. Og, ikke minst, cyberhendelser kan ikke fortsette å bli behandlet i samsvar med statens «sektoransvarsprinsipp»!

Samarbeid på tvers

I et grenseløst og virtuelt domene som cyber er det ingen sektorer. Vi står alle ovenfor den samme trusselen. Det som trengs er en enhetlig, strategisk ledet og koordinert innsats av og fra alle «aksjeeiere». Samarbeid på tvers av alle sektorer, offentlig og privat, er en kritisk suksessfaktor hvis vi skal lykkes i å oppnå en tilfredsstillende cybersikkerhet.

De utfordringene som samfunnet vårt har når det gjelder cybersikkerhet, kan takles bedre og sårbarheten kan reduseres. Men da trenger vi både en revitalisert forpliktelse til integrert innsats fra statens side og en privat sektor som er villig til å bruke økte ressurser på å sikre sine systemer.

En slik forsterket innsats vil også kreve at landets innbyggere forstår og aksepterer at våre felles goder er helt avhengig av en velfungerende, nettverksbasert og digitalisert informasjonsinfrastruktur og ikke minst at den må sikres bedre.

Delta i debatten
Informasjon om debattinnlegg og kronikker i digi.no

Alle innlegg må sendes til redaksjon@digi.no. Husk å legge ved et portrettbilde. Vi forbeholder oss retten til å redigere innsendt materiale.

    Les også:

Til toppen