LEIF MARTIN KIRKNES

leif.kirknes@lomedia.no

Et utvalg som har hatt som oppdrag å undersøke vår nasjonale IKT-sikkerhet og komme med forbedringsforslag, la mandag frem sin rapport (NOU 2018:14, «IKT-sikkerhet i alle ledd») med både problemstillinger og løsningsforslag.

Først og fremst vil utvalgsleder Hans Christian Holte, som til daglig er skattedirektør, ha på plass en ny lov om IKT-sikkerhet for samfunnskritiske virksomheter og offentlig forvaltning da utvalget finner dagens regelverk mangelfullt.

– Dagens digitale utfordringer håndteres ikke hensiktsmessig i gjeldene regulering. Vi mener den nye loven vil sørge for at vi får en forsvarlig IKT-sikkerhet i virksomheter som er av vesentlig betydning for IKT-sikkerhet samlet sett, sier Holte.

Utvalget tenker at loven skal ha et pedagogisk formål og peke på hva som er minimumsterskelen for IKT-sikkerhet, og vil at myndighetene skal få hjemmel og mulighet til å kontrollere at virksomheten har forsvarlig sikkerhet.

Om en slik lov bør gjelde alle norske virksomheter, ikke bare selskaper med kritisk infrastruktur og offentlig forvaltning, har ikke utvalget konkludert på og må bli opp til et lovutvalg i der videre arbeidet.

Loven er også tenkte å gjennomføre EUs direktiv om sikkerhet i nettverk og informasjonssystemer («NIS») i norsk rett.

Anskaffelser

Videre foreslår utvalget som sitt punkt nr. 2 at de vil ha et krav om IKT-sikkerhet ved anskaffelser.

Det er for svak bevissthet rundt risiko ved anskaffelser, mener utvalget.

– Det gjelder alle offentlige anskaffelser, ikke bare de som er IKT-spesifikke, sier Holte.

– Det har pågått en debatt vedrørende for eksempel sikkerheten i det å ha kinesiske teleleverandører i det norske telenettet, er dette en av problemstillingene utvalget har drøftet i denne sammenhengen?

– Det kan være et eksempel på det som er viktige hensyn, sier Holte.

Men han understreker at forslaget mer overordnet sett er kommet på banen fordi dagens regelverk gjør at bestiller ser for snevert på det når IKT-sikkerhetsutfordringer skal vurderes. Oppdragsgiver bør få en plikt til å gjøre risikovurderinger med tanke på IKT-sikkerhet, mener utvalget, som foreslår at kravet kommer i den nye loven.

Utvalget slår et slag for bedre veiledning og utbedring av Statens standardavtaler. Det pekes også på at leverandører som skal ha en fot innenfor bestillers IKT-system også må avkreves å ha IKT-sikkerhet på plass i sin organisasjon.

Senter

Utvalget ønsker for det tredje at det etableres et nasjonalt IKT-sikkerhetssenter. Utvalget anser norsk IKT-sikkerhet som lite koordinert og ønsker et nasjonalt kontaktpunkt for rådgivning, veiledning og håndtering av hendelser.

– Det er viktig at vi får en god behovsvurdering ved opprettelsen av et senter som dette, så det må gjøres en god jobb i forkant, fastslår Holte, som legger til at det trengs en tydelig sivil myndighet knyttet til senteret som først og fremst er tenkt å håndtere sivile oppgaver.

Utvalget er klare på at de ønsker en uavhengig behovsanalyse og at koblinger og grensedragninger til Nasjonal Sikkerhetsmyndighet (NSM) og deres planlagte cybersikkerhetssenter må avklares. Slik utvalget vurderer det vil ikke NSMs cybersikkerhetssenter dekke behovene utvalget mener bør dekkes.

Utvalget mener for øvrig at NSMs nasjonale responsfunksjon NorCERT legges til utvalgets foreslåtte IKT-sikkerhetssenter. Senteret skal være tuftet på åpenhet og tillit, være pådriver for offentlig-privat samarbeid og stimulerer til mer forskning og innovasjon.

UTVALGET: Hans Christian Holte, Terje Wold, Marie Moe, Håkon Grimstad, Therese Steen, Torgeir Waterhouse og Lillian Røstad. Lee A. Bygrave mangler på bildet.

Leif Martin Kirknes

Også en skikkelig kostnadsanalyse er viktig, mener Holte. Det vil være snakk om en betydelig investering som krever mye kompetanse og mange ressurser, fastslår Holte.

– Det har pågått en debatt om hvorvidt vi har nok mennesker til å jobbe med IT i dette landet, og også spesifikke diskusjoner om akutt mangel på IT-sikkerhetspersoner, er dette noe utvalget har diskutert?

– Temaet har vært en del av diskusjonen. Utvalget er bedt om å se på spesifikke organisatoriske og reguleringsmessige virkemidler, så det blir litt indirekte. Men når det gjelder forslag om nasjonalt IKT-sikkerhetssenter så er kompetanse berørt i forbindelse med tiltak. Slik som Lysne-utvalget også fastslår har vi utfordringer med kompetanse på dette området, sier han.

Sikkerhet for tingenes internett

Fjerde punkt i utvalgets liste er å få på plass tydelig og ansvar for tilkoblede produkter og tjenester.

Antallet produkter koblet til internett er økende, og manglende sikkerhet i slike produkter kan utgjøre en trussel både for forbrukere, bedrifter og samfunnssikkerheten generelt.

– Dette er et område utvalget mener er altfor svakt regulert i dag, sier Holte.

Utvalget mener ansvaret i større grad bør flyttes fra forbruker og over til produsent og leverandør. Det ser de for seg vil føre til at sikkerheten i produktene ikke nedprioriteres av kostnadshensyn. Det kan blant annet stilles krav til innebygd sikkerhet, mener utvalget.

Dette arbeidet må skje i internasjonalt samarbeid, og særlig arbeidet med utvikling av internasjonale regelverk.

I tillegg mener utvalget DSB bør få en tydelig rolle med varsling, rapportering, tilbakemelding og håndtering på dette området.

Et samarbeid mellom Datatilsynet, Forbrukertilsynet, DSB og NKOM kan forebygge at produkter uten tilfredsstillende IKT-sikkerhet lanseres på det norske markedet. Forbrukerne må kunne heve kjøp av produkter og tjenester som ikke har tilfredsstillende IKT-sikkerhet, mener utvaglet

Tydelig ledelse

Det femte hovedforslaget fra utvalget er en tydeligere styring og bedre koordinering av nasjonal IKT-sikkerhet. «Utvalget mener at Justis- og beredskapsdepartementet i større grad må være en synlig aktør som tar initiativ, løser opp i uklarheter, definerer mål, koordinerer og samordner arbeidet med nasjonal IKT-sikkerhet.»

– At sikkerhet griper inn i alle sektorer, gjør det krevende å styre og samordne arbeidet. Utvalget ser ikke behov for å foreslå omfattende endringer, men mener Justis- og beredskapsdepartementet kan ta et mer tydelig lederskap for IKT-sikkerhet, sier Holte.

Med en ny lov og et sikkerhetssenter mener utvalget departementet får større evne til å utøve lederskapet. Det er viktig med et sterkt fagmiljø. Departementet bør også utrede NSMs rolle i det hele, også opp mot Forsvarsdepartementet. Tilsyn må også koordineres bedre og gis økt oppmerksomhet. Det tversektorelle arbeidet med HMS trekkes frem som et godt eksempel for hvordan arbeidet kan gjøres på IKT-fronten.

Fleksibelt og brukervennlig

Holte understreker sikkerhetsarbeidet må ha en risikobasert tilnærming, og at IKT-sikkerhet også må balanseres mot andre hensyn som brukervennlighet, økonomi og grunnleggende menneskerettigheter. «Noe risiko må aksepters for å oppnå økonomiske og sosiale formål,» står det om det i rapporten.

Holte peker også på at teknologibransjen fortløpende er i rivende utvikling, og legger til grunn at det må være rom for fleksibilitet i arbeidet.

Holte overrakte rapporten til justis- og beredskapsminister Tor Mikkel Wara.

– Samfunnet blir mer digitalisert. Det gir mange fordeler og er ønsket, men samtidig endrer det risikobildet. Utvalgets rapport blir spennende lesing og en krevende arbeidsoppgave for departementet fremover, sier han.

RAPPORT: Tor Mikkel Wara gleder seg til å lese alt.

Leif Martin Kirknes