Departementet etterlyser IKT-risikoanalyser

Hvor mange sekunder har din bedrift råd til å tape? Det er spørsmålet fra Nærings- og handelsdepartementet, som etterlyser risikoanalyser.

'Selv enkel svikt i IKT-systemer kan føre til omfattende svikt innen viktige sektorer som energiforsyning, telekommunikasjon, drivstofforsyning, helse, betalingsformidling, næringsliv og nasjonens forsvar.'

Det skriver Nærings- og handelsdepartementet i en sårbarhetsanalyse som kom i høst. Og departementet vil gjerne ha flere risikoanalyser fra aktørene innen IKT, eller informasjons og kommunikasjonsteknologi.

- Ved for eksempel omfattende distribuerte tjenestenektangrep (DDoS), så kveles nettet slik at alle blir rammet, ikke bare det tiltenkte offeret. Hvis jeg hadde vært en bedriftsleder ville jeg spurt meg selv hvor lang nedetid bedriften tåler før konsekvensene blir for store, sier avdelingsdirektør i NHD Eivind Jahren.

Han har vært leder i IT-sårbarhetsprosjektets styringsgruppe, som blant annet slår fast at IKT-systemer er 'våpenplattformer for den som søker å skade en nasjon, en virksomhet eller et enkeltindivid'.

- Det vi foreslår som oppfølgingstiltak i denne rapporten, er blant annet mer bruk av risikoanalyser for å få oversikt over og bli bevisst endel forhold. Vi har bedt eierne av infrastrukturen om å vurdere sjansene for at ting skal skje, det kan være at kraftforsyningen går ned som følge av uvær, eller kanskje på grunn av hackere, hele spekteret. Man må vurdere sannsynligheten for skade, og koble dette til hvilke konsekvenser det får om noe skulle skje.

Jahren etterlyser risikoanalyse for alle bedrifter som til daglig er avhengige av IT-infrastruktur, samtidig som han ikke ønsker å vifte alt for kraftig med fare-flagget.

- Man skal ikke overtolke risikoen som utredes i rapporten. Men kraftforsyningen, for eksempel, er jo avhengig av datakommunikasjon og i mange tilfeller brukes Internett til å styre, av og til fjernstyre, viktige systemer. Dermed er man åpen for angrep som potensielt kan gjøre betydelig skade.

Han mener det ikke er grunnlag for å si at trusselen er stor, men at så lenge muligheten for skade er der, så må det forutsettes at de som er ansvarlig for telekommunikasjon, kraftforsyning, betalingsformidling og andre sentrale tjenester er risikoen bevisst.

Det er særlig avhengighetsforholdet mellom data- og telekommunikasjon og kraftforsyningen som går igjen som fokus i rapporten.

Uansett må sikkerhetsproblemstillinger forbundet med datakommunikasjon og Internett settes på dagsorden, og da er risikoanalyse i bedriftene sentralt.

Rapporten finner du her

;