Erlend Tro Klette

erlend.tro.klette@lomedia.no

En betydelig andel av Norges statlige virksomheter melder selv at de mangler kompetanse på informasjonssikkerhet.

Dette kommer frem i en nylig publisert rapport, produsert på bestilling fra Kommunal- og distriktsdepartementet, der IKT-løsninger i statlige virksomheter kartlegges.

Under halvparten av virksomhetene melder at de i stor grad har tilstrekkelig spesialkompetanse på informasjonssikkerhet. Dette er «en mangel som bør reduseres,» konkluderes det i rapporten.

I tillegg har bare elleve prosent av de statlige virksomhetene som svarte på undersøkelsen blitt sertifisert under den mest anerkjente internasjonale sikkerhetsstandarden, ISO 27001.

Må kunne tolkes som sårbarheter

Det betyr ikke at de har funnet konkrete hull i den statlige IKT-sikkerheten, ifølge Henning Denstad, seniorrådgiver for A-2 Norge AS og prosjektansvarlig for rapporten.

– Men at rapporten vår avdekker sårbarheter, må man kunne tolke.

Flere av virksomhetene forklarer i undersøkelsen at de har styringssystemer for informasjonssikkerhet basert på anerkjente standarder, men at de ikke er formelt sertifisert. Det kan være problematisk, fordi ISO-standarden setter krav til hvilke prosesser, rutiner og retningslinjer man må ha.

– Dersom man ikke er sertifisert, blir man ikke stilt overfor noen som går deg etter i sømmene. Fordelen med sertifisering er at du blir revidert. Det tvinger deg til å tenke gjennom mye, og definerer kontroller. Det er ikke alle som klarer det på egen hånd, sier Denstad.

Nesten en av tre følger ikke grunnprinsipper

Seniorrådgiveren presiserer at det ikke var meningen å avdekke konkrete, kritiske sikkerhetsmangler i undersøkelsen. Han hevder at hvis man skal gjøre en ordentlig vurdering av mulige svakheter, må man gå mer detaljert til verks.

– Vi var ute etter indikasjoner. Om kompetansen er i orden, grunnleggende ting. Det sier noe om tilstanden, sier Denstad.

En av de grunnleggende tingene Denstad lette etter var hvorvidt de statlige virksomhetene etterlevde Nasjonal Sikkerhetsmyndighets grunnprinsipper. Nesten en tredjedel av de statlige virksomhetene som besvarte undersøkelsen følger bare «i noen grad» disse grunnprinsippene.

Men alle virksomheter kan ifølge Denstad bedre informasjonssikkerheten sin ved å øke bevisstheten rundt digitale utfordringer.

– En ting er hva leverandøren av IKT-sikkerhet kan blokkere av angrep og spionasjeforsøk. Mye går på hvordan brukeren, den ansatte, agerer. Hvor lemfeldig man er med passord. Om man slipper inn folk i lokalene uten å vite hvem de er og hvor de skal. Mye går på det menneskelige. Man kan nesten alltid spørre «når har man nok?».

Angrep mot fellesløsninger er alvorlig sikkerhetsrisiko

Det er Kommunal- og distriktsdepartementet som har ansvar for IKT-politikk og digitalisering av offentlig sektor. Statssekretær Gunn Karin Gjul i KDD svarer på epost til NTL-magasinet at departementet skal arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i forvaltningen.

«Angrep mot offentlig sektors fellesløsninger er en alvorlig sikkerhetsrisiko. Obligatorisk bruk av sikkerhetstiltak og -standarder blir derfor vurdert fortløpende,» skriver Gjul.

Hun påpeker at Justis- og beredskapsdepartementet har et samordningsansvar for digital sikkerhet i sivil sektor, og etablerer nasjonale krav og anbefalinger for offentlige og private virksomheter.

«Enkelte sikkerhetsstandarder er pålagt å bruke gjennom Forskrift om IKT-standarder i forvaltningen. Kompetansebygging er også helt sentralt. NSM, ved Nasjonalt cybersikkerhetssenter, har på sine nettsider publisert råd om digital sikkerhet som alle virksomheter bør følge,» mener statssekretæren.

Allikevel sier Gjul at det er «virksomhetens egenart» som avgjør hvorvidt ISO-standarden bør tas i bruk.

«Krav om innføring av et styringssystem for informasjonssikkerhet legger ikke opp til obligatorisk bruk av ISO 27000, men peker på at standarden kan legges til grunn.»

Massive digitale utfordringer nå og i fremtiden

38 kjente dataangrep rammet norske virksomheter i 2021, ifølge digi.no. I starten av fjoråret opplevde Østre Toten kommune et dataangrep som tvang kommunen til å gå over til analoge hjelpemidler. NRK hevder angrepet hittil har kostet Østre Toten 35 millioner kroner.

I rapporten beskrives sikkerhetsutfordringene i dagens, og ikke minst fremtidens, digitale samfunn som massive. «Disse utfordringene treffer alle statlige virksomheter. [...] Samtidig blir de statlige virksomhetene mer digitale og avhengige av internett og skyløsninger.»

«Fragmentert og lite koordinert»

På spørsmål om hvor mye regjeringen mener er opp til hver enkelt statlig virksomhet å løse, skriver statssekretæren i KDD at helhetlig styring og kontroll av informasjonssikkerhet skal være en integrert del av alle offentlige og private virksomheter.

«Dette er et lederansvar, og kan ikke overtas av myndighetene eller regjeringen. Selv om alle virksomheter har et ansvar for å ivareta sin egen digitale sikkerhet gjør samfunnets digitale avhengighet det helt nødvendig med et styrket samarbeid og partnerskap på tvers av offentlig og privat sektor,» mener Gjul.

Hun sier flere sentrale tiltak er iverksatt for å gjør det digitale Norge tryggere, og viser til at det relativt nye Digitaliseringsdirektoratet har styrket sitt tilbud til forvaltningen. I tillegg trekker hun frem «Veiledning i helhetlig styring og kontroll av informasjonssikkerhet», nylig utgitt i felleskap av Digdir, NSM og Direktoratet for forvaltning og økonomistyring.

«Dette er oppfølging av tidligere kartlegginger som påpeker at råd og veiledning på informasjonssikkerhetsområdet fremstår som «fragmentert og lite koordinert».»