Norges nasjonale cybersenter - NorCERT sitt operasjonssenter i Oslo er den operative delen av Nasjonal sikkerhetsmyndighet (NSM) som håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon.
Norges nasjonale cybersenter - NorCERT sitt operasjonssenter i Oslo er den operative delen av Nasjonal sikkerhetsmyndighet (NSM) som håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. (Foto: Heiko Junge, NTB scanpix)
EKSTRA

Ny sikkerhetslov

Allerede neste år vil det bli svært komplisert å utvikle nye IT-systemer: – Bransjen er svært bekymret


Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

Den nye sikkerhetsloven trer i kraft fra nyttår, og all digital infrastruktur innenfor samfunnskritiske områder som helse, forsvar, olje og gass vil bli underlagt den nye loven. Tekna er svært bekymret for hvordan den nye loven vil påvirke leverandører som lager IT-løsninger. 

– I hvor mange ledd av underleverandører legger forskriften til sikkerhetsloven opp til at det skal være kontroll over? Dette er bare ett av mange spørsmål som reiser seg når vi leser den nye sikkerhetsloven, sier president Lise Lyngsnes Randeberg i Tekna til digi.no.

Økt sårbarhet

Fagforeningen mener den nye sikkerhetsloven vil gi økt nasjonal sårbarhet og vanskeligere arbeidsforhold for leverandører som bygger IT-løsninger. 

Bekymringen bunner ut i at Stortinget har bestemt at hvert departement selv skal peke ut hvilke virksomheter og infrastruktur som skal legges under loven.

Samtidig gir loven rom for at departementene selv kan vurdere hva som er sikkert nok.

Tekna mener det vil føre til at leverandørene av IT-infrastrukturen må forholde seg til et hav av forskjellige retningslinjer på tvers av de ulike sektorene. 

Skal forhindre kaos

For å forhindre kaos, mener fagforeningen at vi må ha få på plass et midlertidig nasjonalt objektutpekingsutvalg i en innkjøringsfase.

– Det er svært alvorlig at manglene ved grunnsikringen av de skjermingsverdige objektene i politiet og Forsvaret fortsatt ikke er i henhold til kravene i sikkerhetsloven, sa riksrevisor Per-Kristian Foss da han la frem Riksrevisjonens rapport i juni. Foto: NTB scanpix

– Utvalget må ha sterk kompetanse på IKT-sikkerhet, god innsikt i det nasjonale trusselbildet og kjennskap til de ulike sektorenes behov.

– Utvalget bør få et overordnet ansvar for å utvikle felles standarder og sikkerhetsvurderinger på tvers av sektorene,  argumenterer Lyngsnes Randeberg.

Hun får støtte av førsteamanuensis Anders Romarheim ved Institutt for forsvarsstudier (IFS).

Lite kompetanse

Han mener departementene ikke har god nok kompetanse til å gjøre dette arbeidet selv. IFS-forskeren konstaterer at de fleste departementene har en bråkete fortid når det kommer til utpeking av samfunnskritiske objekter. 

– Objektsikkerhet har blitt et eneste stort rør av forskrifter som ikke overholdes. På sikt håper og tror jeg at hvert departement kan ta denne type styring selv, men jeg er pessimistisk med tanke på at departementene ikke har evnet å treffe blink tidligere, sier Romarheim til digi.no. 

I to rapporter fra juni 2018 konkluderte Riksrevisjonen med at det har vært svært alvorlige mangler i Regjeringens arbeid med å sikre kritisk infrastruktur og viktige bygninger mot terror og angrep.

Konkrete krav

Den nye sikkerhetsloven skal gjøre dette arbeidet enklere, da det vil bli stilt mer konkrete krav til sikring enn tidligere. 

Romarheim har selv vært med på å utforme loven som innfører nye rettslige standarder, men også utvider dens virkeområde. 

Hanne Tangen Nilsen, sikkerhetsdirektør i Telenor Norge.
Hanne Tangen Nilsen, sikkerhetsdirektør i Telenor Norge. Foto: Telenor

Sikkerhetssjef Hanne Tange Nilsen i Telenor sier de er bekymret for hvordan den nye loven vil treffe dem.

Mye usikkerhet

Slik Tange Nilsen ser det vil ulik praksis hos de forskjellige departementene føre til merkostnader for alle underleverandørene av de forskjellige IT-løsningene. 

– Vi mener den nye loven går i riktig retning, men det må legges ned en betydelig innsats for å sikre at det blir lik praksis på tvers av departementene. Fra høringsinnspillene ser man at det er mye usikkerhet rundt hvordan dette skal håndteres i hele bransjen, sier Tange Nilsen til digi.no.

Hun mener Teknas ide om et midlertidig nasjonalt objektutpekingsutvalg kan være veien å gå.

– Umiddelbart høres det ut som en god ide, men dette er første gang jeg hører om forslaget, sier Tange Nilsen i Telenor til digi.no.

Forvirrende for leverandører

Tekna-president Lise Lyngsnes Randeberg konstaterer at forskjellige krav til sikkerhet innen helse, forsvar, telekom og olje vil gjøre det forvirrende for IT-selskapene når de skal operere i dette  markedet.

President i Tekna Lise Lyngsnes Randeberg er bekymret for sine medlemmer når ny sikkerhetslov innføres på nyåret. - Vi får mange telefoner fra medlemmer som gruer seg, sier hun til digi.no. Foto: CF Wesenberg

– Et midlertidig utvalg med deltakere fra alle sektorer vil kunne bli enige om en felles standard og sett med retningslinjer for hvordan vi skal håndtere sikkerheten på tvers av departementene. 

– Felles nasjonale standarder vil gjøre det enklere å forholde seg til loven for leverandørene som jobber med å utvikle denne samfunnskritiske IT-infrastrukturen. I mitt hode må det stilles like strenge krav til sikring av IT-systemene innenfor helse, olje og forsvar.

– Dette er viktig

– Sikring av digital infrastruktur er en like viktig oppgave som sikringen vi gjør av den fysiske, argumenterer Lyngsnes Randeberg til digi.no.

IFI-forsker Anders Romarheim mener departementene ikke sitter på den nødvendige sikkerhetskompetansen til å selv gjøre disse sikkerhetsvurderingene. 

Ifølge ham har bare de tre departementene forsvars-, justis- og utenriksdepartementet  den nødvendige kompetansen på huset, mens resten av departementene nærmest famler i blinde. 

– Alle departementene har sikkerhetskompetanse, men det er snakk om relativt små miljøer uten nødvendig kapasitet. Dette arbeidet kommer ikke til å bli noe småtteri, argumenterer Romarheim til digi.no.

Beskytter demokratriet

Den samfunnskritiske infrastrukturen skal beskytte demokratiet. Om eksempelvis et digitalt valgsystem ikke har god nok sikkerhet, vil et fremtidig stortingsvalg kunne påvirkes utenfra. Det har vi blant annet sett i USA.

FørsteamanuensisAnders Romarheim ved Institutt for forsvarsstudier har vært med på å utforme den nye sikkerhetsloven. Foto:  IFS

Romarheim betegner disse IT-systemene som statens hjerne og ryggrad.

Svikter sikkerheten i systemene kan det være med å true hele demokratiet, og kan på sikt true Norges suverenitet, argumenterer IFI-forskeren. 

– Med et eget utvalg vil man få et rendyrket miljø som vet hvor skoen trykker. Om hvert departement skal ha full autonomi innenfor sitt dommene fra start,  er jeg redd det vil føre til alt for dårlig sikkerhet på grunn av manglende kompetanse.

– Et skikkelig objektutpekingsutvalg vil være en god midlertidig løsning mens vi venter på en normalsituasjon der departementene får lov til å feie for egen dør. Men det er svært viktig at forskriftene for hvordan vi skal gjøre ting har kommet på plass før vi slipper de til selv, sammenfatter IFI-eksperten til digi.no. 

Kommentarer (2)

Kommentarer (2)
Til toppen