(Dette er et debattinnlegg. Innlegget gir uttrykk for skribentens holdning. Du kan sende inn kronikker og debattinnlegg til tips@digi.no.)
Forrige uke kom nasjonal sikkerhetsmyndighet (NSM) med sin rapport helhetlig digitalt risikobilde. Det er en nyttig rapport i et av verdens mest digitaliserte, og dermed blant de mest sårbare land for trusler i cyberdomenet.
Men med fare for å virke tabloid, så vil jeg hevde at rapporten både er for tannløs og til dels også mangelfull. Til tross for at dette kan virke som kritikk ønsker jeg å bidra med noen tanker om hvordan vi kan bli bedre.
Det jeg mener vårt høyt utdannede og spesialiserte samfunn trenger, er en mer kritisk og tydelig nasjonal fagmyndighet overfor hele spekteret av aktører i bransjen. Fokuset på og vurdering av «virksomhetene» må styrkes med tydeligere fokus også mot 1) departementsnivået og 2) de offentlige virksomhetene vs. de private virksomhetene, 3) samvirket tverrsektorielt samt 4) samvirket mellom det offentlige og det private. Og dette må gjøres i hele spekteret fra det forebyggende sikkerhetsarbeidet til håndtering av hendelser og kriser.
I tillegg ønsker jeg meg også en bredere teknologisk/prosessorientert tilnærming hvor både nasjonalt digitaliseringsarbeid, utvikling, bruk og forvaltning av nasjonal IKT-arkitektur, IKT-tjenester og -tjenesteplattformer også får sin naturlige plass i vurderingen, sammen med skyteknologi, sosiale medieplattformer og andre nye teknologiske områder, som eksempelvis kunstig intelligens, robotikk og maskinlæring.
Årets rapport tar for seg virksomhetene, deres interne IKT-forvaltning og kompetansen og evnen til personellet deres. Med dette innlegget ønsker jeg derfor å belyse noen av de risikovurderinger jeg mener NSM bør komplettere sin helhetlige risikovurdering med.
Den første risikovurderingen jeg ønsker meg er en risikovurdering av departementenes
ansvarshåndtering på digital sikkerhet. Ikke en sikkerhetsrevisjon, men en risikovurdering av
integrasjonen mellom sikkerhetsstyring og virksomhetsstyring, sett i lys av krav knyttet til
sikkerhetsstyring etablert nå i senere tid.
Den andre risikovurderingen vi må klare å formulere på en åpen, offentlig og ryddig måte, er evnen til samvirke i hierarkiet av hendelses- og krisehåndteringskjeden fra lokale CSIRT-er til nasjonal krisehåndtering. Nå går vi også mot «Øvelse Digital 2020», og erfaringer basert på øvelse og hendelser bør kunne skape et godt utgangspunkt for vurdering av risiko knyttet til samvirke i og mellom sektorer.
Den tredje risikovurderingen jeg tror ville ha bidratt til videre forbedringsarbeid blant virksomheter så vel som i IT-bransjen, er knyttet til vurdering av bransjens evne til utvikling av digitale situasjonsbilder, beslutningsstøtte og formidling av risiko til den strategiske ledelsen.
Den fjerde risikovurderingen som kunne ha komplementert eksisterende rapport er rettet mot det praktiske digitaliseringsarbeidet i nasjonen. En risikovurdering av hvor gode er vi egentlig på å ta i bruk standarder, sette krav til bruk av nasjonale IKT-infrastrukturer, samt nasjonale digitale tjenester og tjenesteplattformer.
Den femte risikovurderingen som kunne vært et nytt bidrag er en vurdering av befolkningens, og samfunnets evne til å stå imot informasjons- og påvirkningsoperasjoner og konsekvensene dersom denne trusselen dessverre slår til. Og f.eks. sannsynlighet for påvirkning i forbindelse med valg, konsekvenser for tilliten til det offentlige blant innbyggere, samarbeidspartnere og allierte.
NSM, med flere har formidlet et åpenhetsbehov i samfunnet rundt det å stå i
cybersikkerhetshendelser, og det er bra. Men åpenhet krever mer enn det å kun varsle om at en har blitt angrepet og eventuelt hva en gjør med det. Det må inn på flere områder. For fravær av eller redusert vilje til åpenhet undergraver det behovet forvaltningen har for legitimitet i befolkningen. Og med en høyt utdannet befolkning må vi i forvaltningen også kunne presentere en profesjonell styring, ledelse og kommunikasjon til en mer kompetent befolkning. Mer generelle risikovurderinger er ikke konkrete som sårbarhetsvurderinger og kan være et godt utgangspunkt for en mer åpen forvaltning.
Men siden ny sikkerhetslov kom, og statsministeren og fire ministre presenterte ny strategisk plan for digital sikkerhet, har det vært relativt stille i media rundt operasjonalisering og risikohåndtering av både økt krav til sikkerhetsstyring i sektorene (GNF, SVO, SVI ++), så vel som på forebyggende tverrsektorielle tiltak for å bedre sikkerheten. Skal helhetlig tilnærming til digital sikkerhet i samfunnet adresseres, må det arbeidet NSM gjør med risikovurdering også ta inn over seg det som gjøres nasjonalt, blant annet gjennom Digitaliseringsdirektoratets arbeid.
For nesten 10 år siden fant og konkluderte jeg med i min masteroppgave («Fortsatt ansvarsprinsipp eller helhetlig tilnærming til cybersecurity i Norge?») at det skaper utfordringer for en helhetlig tilnærming når ansvarsprinsippet er førende. Ikke akkurat overraskende funn, og når en over tid også holder fast ved dette prinsippet, øker også utfordringen med å skape legitime helhetlige tilnærminger på tvers av sektorer og mellom det offentlige og det private.
Til tross for dette, og under forutsetningen av at ansvarsprinsippet fortsatt vil ligge til grunn, så er det verd å se mer på og vurdere kvaliteten på/risikoen ved status på tverrsektorielle, så vel som flere offentlig-private samarbeid, i det forebyggende arbeidet som blant andre Digitaliseringsdirektoratet arbeider med innenfor nasjonal arkitektur og felles offentlig/private standard digitale tjenester og tjenesteplattformer.
Det er nødvendig med økt profesjonalitet og tydelighet innen risikovurdering av forebyggende digital sikkerhet i et mer helhetlig perspektiv i Norge i dag. Virksomhetene der ute, som kjemper en kamp for å henge med i en raskt økende teknologiutvikling, med kostnadsdrivende kompetansekrav, trenger en profesjonell og kritisk sikkerhetsmyndighet som i tillegg til risikovurderinger også i et samarbeid med andre offentlige og private aktører kan bidra til gode felles nasjonale tjenester, tjenesteplattformer og IKT-infrastrukturer.
Eidsiva har kjøpt «Norges sikreste»: Kaster seg inn i kampen om å levere nasjonal skytjeneste
