Jungelvoktere for et sikkert næringsliv

Med dagens komplekse og flyktige cybertrusselbilde er tiden overmoden for en offentlig sertifiseringsordning for IT-sikkerhetskonsulenter.

  • Debatt
Thomas Tømmernes, IT-sikkerhetssjef i Atea. Foto: Balder Tømmernes

De siste årene har jungelen av systemer og løsninger som til enhver tid er utsatt for forsøk på hacking og andre former for datakriminalitet bare vokst seg tettere og tettere. 

I fjor gikk alarmen hos Nasjonal sikkerhetsmyndighet (NSM) over 20.000 ganger grunnet potensielle dataangrep mot norske virksomheter. Utviklingen går raskt, som gjør at enhver virksomhet må jobbe kontinuerlig med IT-sikkerheten for å unngå at vital informasjon eller eiendeler kommer i hendene på uvedkommende.

Setter bort driften

Å ha totaloversikt over et sanntidstrusselbilde der dagsferske sårbarheter blir utnyttet krever i mange tilfeller at man har flere fulltidsstillinger i virksomheten kun for å ivareta bedriftens IT-sikkerhet. Jeg vet at det også er mange av dem som mottar informasjon om sikkerhets- og programvareoppdateringer og potensielle trusler i IT-avdelingene til norske virksomheter ikke har kapasitet til å ta unna alt – det blir for mye, og «jungelfeberen» melder seg.

Derfor velger også mange å sette bort drifting og overvåkning av IT-sikkerhet til tjenestetilbydere som spesialiserer seg på dette fagområdet. Og dersom man blir utsatt for et dataangrep er det enda vanligere å søke ekstern hjelp.

Men hvordan vet man at man får kvalitetssikret hjelp?

Justisdepartementet legger noen gode føringer gjennom stortingsmeldingen «IKT-sikkerhet – Et felles ansvar» fra 2017. Slik jeg leser denne, er et av de viktigste elementene at myndighetene, offentlig sektor og privat sektor jobber tettere og bedre sammen. Det innebærer blant annet å etablere miljøer på tvers av tradisjonelle siloer, både når det kommer til deling av informasjon, identifisering av utfordringer, samarbeid ved hendelser, identifisering av dagens og fremtidens kompetanse, og ikke minst ordninger for hvilke aktører myndighetene anbefaler at virksomheter i privat sektor bruker.

Et av tiltakene som er gjort fra myndighetenes side er å lage en kvalitetsordning for virksomheter som møter Nasjonal sikkerhetsmyndighets (NSM) krav til digital sikkerhet. For å bli godkjent og vurdert til å ha «tilfredsstillende tjenestekvalitet» må leverandørene oppfylle en rekke strenge krav fra NSM. Ordningen skal «bidra til å heve den generelle trygghetskompetansen i Norge».

Forebyggende sikkerhetstiltak

Nylig fikk Atea, selskapet jeg representerer, en slik godkjenning. NSM-direktør Kjetil Nilsen trakk blant annet frem gode rutiner og god kompetanse innen hendelseshåndtering som grunner til at Atea nå er inkludert i kvalitetsordningen. At det nå er tre leverandører som er godkjent av NSM omtaler han som «en viktig milepæl».

«Dette gir valgmuligheter for bedrifter som etterspør digitale sikkerhetstjenester. Det bekrefter også ordningen som et relevant og etterspurt forebyggende sikkerhetstiltak for det norske samfunnet,» mener Nilsen.

De som søker om godkjenning fra NSM må ikke bare dokumentere at de rent teknisk sett kan håndtere en hendelse, men tilfredsstille definerte krav på ulike områder innen sikkerhetshåndtering. De høye kravene er en viktig årsak til at det frem til nå nylig kun var to andre selskaper som hadde kommet gjennom nåløyet, ifølge Nilsen.

Nå kan med andre ord norske virksomheter velge samarbeidspartnere innenfor IT-sikkerhet anbefalt av NSM. Således vil markedskreftene og kundenes ønske om å samarbeide med kvalitetsgodkjente aktører innenfor IT-sikkerhet føre til at tjenestetilbydere som ønsker å fremstå som seriøse vil måtte gjennomgå og bestå søknadsprosessen hos NSM. Dermed vil vi få innført en ny standard i Norge. 

Ivaretar viktige interesser

Men når den nevnte stortingsmeldingen slår fast at vi i årene som kommer vil møte «stadig større og mer komplekse sikkerhetsutfordringer», så mener jeg tiden er overmoden for at norske myndigheter tar ytterligere grep.

Det er et steg i riktig retning at norske virksomheter nå kan benytte godkjenningsordningen som veiledning til hvilke leverandører de bør oppsøke hjelp hos, men det er individer som skal ivareta virksomhetenes interesser. Som et tillegg bør det derfor innføres en individuell sertifiseringsordning for norske IT-sikkerhetskonsulenter.

Slike statlige sertifiseringer eller autorisasjoner er ikke uvanlig for andre yrkesgrupper som forholder seg til strenge lovverk og som skal ivareta en virksomhets økonomi eller andre viktige interesser. 

Advokater og revisorer må ha en bevilling eller autorisasjon for å utøve yrket til det fulle. Det er henholdsvis de statlige organene Tilsynsrådet for advokatvirksomhet og Finanstilsynet som utsteder disse når kandidatene oppfyller visse krav. Den samme funksjonen kunne NSM hatt for IT-sikkerhetskonsulenter. 

Minimumskrav 

Det trenger heller ikke være noe hokuspokus for NSM å få dette på plass. De opererer allerede med et sett prinsipper for hvordan IKT-systemer bør sikres for å beskytte verdier og leveranser. Disse prinsippene kan, slik jeg ser det, enkelt overføres og tilpasses til hva en IT-sikkerhetskonsulent skal beherske som et minimum.

Denne ordningen vil, i tillegg til å gi trygghet om at de utførende konsulentene som virksomhetene bruker har kunnskap om og benytter seg av grunnprinsippene, også gjøre det mye enklere å skille klinten fra hveten for dem som ansetter konsulenter.

I tillegg kunne NSM anbefalt hvilke IT-sikkerhetssertifiseringer man burde ta av de mange som allerede eksisterer. Dette ville også bidratt til å løfte sikkerhetskompetansen jevnt over, da tilbyderne og utførende konsulenter blir «tvunget» til å være aktuelle i markedet i større grad enn det som er tilfelle i dag.

Krisetilstander

Tidligere i år slo en rapport laget på oppdrag for Justis- og beredskapsdepartementet fast at det vil være et stort gap mellom etterspørselen etter og tilgangen på personer med IT-sikkerhetskompetanse i 2030. Og for et snaut år siden uttalte IKT Norge-direktør Heidi Austlid til DN at det er krisetilstander når det gjelder rekruttering av personer med slik kompetanse. 

Dette har nok vært med på å styrke fokuset hos flere opplæringsarenaer på hvordan de kan tilrettelegge studiene for å møte den kompetansen som bedriftene ser etter. Jeg har selv deltatt i forum der dekaner, høyskoler, fagskoler og lignende ønsker innspill fra Atea som en fremtidig arbeidsplass, om hvordan vi opplever markedet og hvilke kvalifikasjoner vi ser etter hos arbeidssøkerne. Vi applauderer for denne velviljen til å jobbe sammen med privat sektor, slik at studentene deres blir mer aktuelle kandidater når de skal ut i arbeidsmarkedet.

Dersom en obligatorisk sertifisering godkjent av NSM blir en del av eller et naturlig tillegg til IT-sikkerhetsstudiene vil det være mye enklere for opplæringsarenaene, studentene og fremtidige arbeidsgivere å gjøre de riktige valgene, samt at studiene i seg selv kanskje blir gjevere å ta for unge som skal velge seg en karrierevei.

Datakriminaliteten vil bare tilta i omfang og jungelen av utsatte systemer og løsninger vil ikke bli noe mindre tett de neste årene. Da er norske virksomheter helt avhengig av profesjonelle jungelvoktere som vet hva de skal speide etter.

Inntil skrivelysten tar meg igjen – følg meg gjerne på Twitter @TTmmernes

Kommentarer (1)

Kommentarer (1)
Til toppen