Truer IT-bransjen med statlig sikkerhetsregulering

Regjeringen vil vurdere særskilte reguleringer hvis ikke IT-bransjen viser sikkerhetsansvar.

Dette kom fram under et foredrag på WM-datas seminar om norske bedrifter og nedetid i dag, fra spesialrådgiver Cort Archer Dreyer i Nærings- og handelsdepartementet. Dreyer gikk gjennom utredningen Nasjonal strategi for informasjonssikkerhet, en oppfølging av innstillingen til Kåre Willochs sårbarhetsutvalg fra juli 2000. Utredningen ble lagt fram i juni etter en høringsrunde i fjor høst. Innføringen av elektroniske signaturer fra 2005 er ett av tiltakene som stadfestes i denne utredningen.

    Les også:

Utredningen oppsummerer tolv strategiske punkter som til sammen skal sikre målene om robust og sikker infrastruktur, bevissthet om IT-sikkerhetskultur, bruk av PKI-infrastruktur samt forenklet og håndhevet regelverk om IT-sikkerhet.

– Noen av punktene er formulert som skal -punkter, andre som bør -punkter, presiserte Dreyer. – Bør-punktene er dem som kan få store økonomiske følger dersom de gjøres obligatoriske. Det gjør dem ikke mindre viktige, men de krever en grundig konsekvensutredning.

I praksis betyr skal-punktene av alt myndighetene kan gjøre på egen hånd, eller som gjelder mer allmenne tiltak som bevisstgjøring og varsling av datainnbrudd og virus. Bør-punktene er dem som påfører næringslivet utgifter, med unntak av punkt 6, om at risiko- og sårbarhetsanalyser skal ligge til grunn for alle tiltak myntet på informasjonssikkerhet.

– Her mener vi at også nullalternativet skal utredes, slik at man får klarlagt både hva null sikkerhet innebærer i forhold til full sikkerhet, og i forhold til akseptabel sikkerhet. Vi har retningslinjer på nasjonalt nivå for dette, med de er for omfattende, særlig for små og mellomstore bedrifter. Vi trenger enklere måter å gjennomføre slike analyser på.

Punktet som Dreyer mener vil bety mest for næringslivet er punkt 8, om å "ansvarliggjøre bransjen og leverandørene".

– Bransje og leverandører må legge inn sikkerhet i sine produkter og tjenester, og sørge for brukervennlighet og beskyttelse av egne kunder. Hvis de ikke tar dette ansvaret vil vi vurdere særskilte reguleringer.

Dette er formulert som et bør-punkt, men ansvarsformuleringen er uomgjengelig. Hva dette innebærer konkret, gikk ikke Dreyer inn på. I utredningen heter det at tiltak er "delvis iverksatt i IKT-bransjen, som tar kostnadene som en del av deres forretningsutviklingskostnader. Her kan det også være tale om omstillingskostnader i IKT-bransjen." Vi ser for oss flere tilbydertjenester med innebygget virusvern, spamfilter og brannmur, med påfølgende prisøkning for brukerne.

To andre interessante bør-punkter gjelder klassifisering av informasjon og informasjonssystemer, etter retningslinjer som innebærer at bedrifter skal slippe å ty til eksterne konsulenter, og pålegg ("bør", ikke "skal") om sertifiserte sikkerhetsløsninger for å beskytte kritiske IT-systemer og –infrastruktur.

– Sertifisering må vurderes kostnadsmessig ut fra hva slags gevinst man kan vente av tiltaket. Departementet vil anbefale at man legger seg til etablerte standarder dersom man ikke vurderer det hensiktsmessig å spandere en full sertifisering, sa Dreyer.

En del tiltak er allerede gjennomført. Dreyer nevnte blant annet sertifiseringsordninger for produkter og systemer (se SERTIT), etableringen av Senter for informasjonssikring som skal levere løpende analyser av trusselbildet, etableringen av Varslingssystem for digital infrastruktur (VDI), mastergradutdanning i IT-sikkerhet på høgskolen på Gjøvik, samarbeid med Statistisk sentralbyrå for bedre statistikk over IT-sikkerhet, og flere internasjonale samarbeidstiltak.

Til toppen