KRONIKK: Computer Emergency Response Team (CERT)

Uheldig at Norge skal ha så mange CERT

Vi trenger ikke flere «brannkorps» mot dataangrep.

  • debatt

Per Thorsheim er IT-sikkerhetsrådgiver i firmaet God Praksis.
Norge, vårt lille land med litt over 5 millioner innbyggere, har NorCERT, HelseCERT, KraftCERT, FinansCERT og Uninett CERT. Hos FIRST.org finner man i tillegg også Basefarm SIRT, DNB IRT, mnemonic IRT, Statoil CSIRT, Telenor CERT og UiO CERT.

11 ulike team som alle jobber med å håndtere sikkerhetshendelser innen sin sektor eller virksomhet.

Vi har også justissektorens eget Justis-CSIRT (Computer Security Incident Response Team), samt Cyberforsvaret. Nasjonal kommunikasjonsmyndighet (Nkom) jobber med å etablere sitt Nkom CSIRT i Lillesand for å dekke ekomsektoren.

I november 2015 leverte Norsk senter for informasjonssikring (NorSIS) en rapport på oppdrag fra Lillehammer og Gjøvik kommune, som anbefaler opprettelsen av et KommuneCERT. Rapporten har blant annet hentet inn anbefalinger fra KINS, en organisasjon med over 100 kommunemedlemmer som jobber aktivt for å styrke informasjonssikkerheten i norske kommuner.

Forslaget om å etablere et eget KommuneCERT fremstår på mange måter merkelig, da hver kommune er tverrsektoriell. De bør allerede ha en tilknytning til flere av de nevnte CERT-organisasjoner allerede.

KINS anbefaler selv å skaffe midler til å videreutvikle sitt eksisterende Kinsforum til å bli et "varslings-CERT" for alle kommuner og fylkeskommuner.

Felles for alle disse organisasjonene er ønske eller krav om medlemskap, behov for finansiering, samarbeidsavtaler, taushetserklæringer og et stadig økende behov for kompetanse og ansatte.

Våre naboer Finland, Sverige og Danmark har til sammenligning henholdsvis 3, 6 og 6 medlemmer i FIRST.

Hvor mange slike CERT-organisasjoner trenger vi egentlig her i vårt lille land?

Uheldig på flere måter

Jeg frykter den økende veksten i antall CERT-organisasjoner skaper en konkurransesituasjon som er uheldig på flere måter.

Nasjonal sikkerhetsmyndighet varslet 15. februar at de oppretter en godkjenningsordning for private leverandører av tjenester innen håndtering av dataangrep. I en kommentar 17. februar anbefaler NorSIS at en slik godkjenningsordning også bør inneholde obligatoriske krav for å få delta i «CERT-strukturen» knyttet til NSM/NorCERT.

Jeg ser på forslaget fra NSM som en forsiktig oppfordring til ikke å etablere flere, men å bedre eksisterende organisasjoner for hendelseshåndtering.

Derimot tror jeg at innføring av obligatoriske krav for å kunne delta i et samarbeid med NSM/NorCERT vil raskt kunne stenge ute svært mange aktører som håndterer hendelser, og vil tjene mot sin hensikt. For å si det med en godt brukt politisk floskel: «alle skal med».

NSM og andre aktører oppfordrer til økt samarbeid og åpenhet. Da fremstår fremveksten av stadig flere CERT å virke mot sin hensikt. Vi trenger ikke flere sektorvise CERT. Vi trenger gode CERT-organisasjoner som hjelper og samarbeider på tvers av alle sektorer.

Til toppen