Få ting er kjedeligere å lese om enn datasikkerhet. Omtrent like kjedelig som det var å lese rapporter om potensielle globale smittetrusler før vinteren 2020. Risikoen for digitale virusødeleggelser har nemlig klare paralleller til koronapandemien – ikke bare i mengden forhåndsvarsler, men også i økonomiske og helsemessige konsekvenser.
Kanskje henger noen beslutningstagere igjen i forestillingen om at dataangrep, det er noe som kommer i form av Pac Man-aktige vesener over skjermen, noe en eller annen kvisete guttepjokk har programmert hjemme på promperommet, bare for å bølle litt.
Slik er det ikke lenger. Datakriminalitet er i dag en global milliardindustri med egne corporate- og franchise-strukturer. Jevnlig hører vi om store bedrifter som har fått hele IT-systemet sitt lammet og blitt konfrontert med omfattende økonomisk utpressing eller trusler om sensitiv informasjonsspredning.
Det vi også har sett de siste årene, er at kriminaliteten i større grad kanaliseres gjennom underleverandører. Altså at angrepet, som ofte kommer i form av en falsk lenke en ansatt åpner, ikke lenger sendes utenfra, men distribueres via underleverandører til den virksomheten som blir forsøkt invadert.
Hvem har da ansvaret? Og hvem bør ha det?
Et par «tvister» ved den nye digitalsikkerhetsloven bør vekke oppsikt
En varslet katastrofe
Tungtveiende advarsler mot de potensielle samfunnsmessige konsekvensene har det altså ikke skortet på. Det er faktisk blitt en årlig foreteelse siden Lysne-utvalget i 2015 leverte sin kartlegging av samfunnets digitale sårbarhet og foreslo konkrete tiltak for å styrke beredskapen. Deretter har det, anført av EUs NIS-regulativer, kommet forslag og strategier fra norske myndigheter nærmest årlig. Også fjorårets stortingsmelding, «Samfunnssikkerhet i en usikker verden», hadde IKT-sikkerhet høyt oppe på agendaen.
Men antall iverksatte tiltak er omtrent like få som formaningene er mange – og omtrent like fraværende som risikoen er nærværende. Ifølge Accentures egen sikkerhetsrapport har antall dataangrep per virksomhet økte med 31 prosent sammenliknet med 2020, i takt med at angrepene blir mer avanserte og ødeleggende: Angrepene på Stortinget, angrepet på helseforetak i Storbritannia – som lå nede i flere dager med akutt risiko for fatale/dødelige konsekvenser, og til og med angrep mot instansene i EU som forvalter vaksinedistribusjonen.
Smittevernstiltak
Det er med andre ord på overtid at det etableres systemer for å unngå, eller i det minste minimere, risikoen for importsmitte og andre former for digital smittespredning. Vi mener følgende tiltak er gjennomførbare og vil føre til et høyere sikkerhetsnivå i norske virksomheter:
- Virksomhetene må forbedre seg på områder de selv rår over. Det vil si opplæring av egne ansatte, organisering for å håndtere eller unngå sikkerhetshendelser samt kvalitetssikring av egenutviklet programvare for dette formålet.
- Virksomhetene må stille større krav til produkter og tjenester som de anskaffer fra andre. En sertifiseringsordning kunne vært relevant for enkelte typer hyllevareprodukter. I dag kan du være ganske trygg på at hvis du kjøper et produkt med støpsel, kan du plugge det i veggen hjemme eller på kontoret uten at du får støt eller ødelegger andre produkter du har koblet til samme strømnett. Ingen seriøs elektroforhandler vil finne på å selge et produkt som ikke er CE-merket og der produsenten kan fremlegge dokumentasjon. Kjøper du imidlertid en ruter eller et overvåkningskamera, er det ingen garanti for at de ikke er fulle av svakheter som kan utnyttes av angripere.
Vi tror ikke det er sannsynlig å få innført CE-aktig merking eller annen form for sertifisering på IT-utstyr og programvare med det aller første, selv om vi kanskje bør dit på et eller annet tidspunkt.
Trenger regelverk
Det starter imidlertid med et tydelig regelverk, og det bør det være mulig å utarbeide. NIS har vært gjeldende regulering i EU siden 2016, og nå kommer NIS2, som utvider NIS-virkeområdet fra å være kun kritisk infrastruktur til å gjelde flere sektorer. Holteutvalget foreslo i 2018 å utrede lovgivning som gikk enda lenger, men dette ble avvist i Stortingsmelding 5 (oktober 2020) (der anbefales det å få vedtatt NIS og la den virke et par år og så revurdere). I mai i år ble også stortingsmeldingen «Vår felles digitale grunnmur. Mobil-, bredbånds- og internettjenester» fremlagt for Stortinget. Her ble klare mål presentert, samt intensjoner om å komme tilbake med planer og nærmere utredninger for å oppnå disse målene.
Men i mellomtiden, i mangel av tydelig regelverk, må kunder og leverandører selv ta ansvaret – ved henholdsvis kravstille og levere sikre produkter og tjenester. I likhet med smittevern er heller ikke det digitale økosystemet bedre enn det svakeste ledd. I 2021 vet vi nå litt mer om konsekvensene av manglende smittevernstiltak.
Grønland er under press fra digitale stormakter
