Kronikk

Det offentlige har for mange IT-avdelinger | Kjetil Nilsen

  • Kjetil Nilsen, adm direktør i Nasjonal sikkerhetsmyndighet (NSM)

Å beholde autonomien og selvråderetten har hittil vært viktigere enn sikker og effektiv drift på IKT-siden, skriver Kjetil Nilsen. Foto: Kacper Pempel/Reuters/NTB Scanpix

De færreste direktorater har IT-avdelinger med tilstrekkelig kompetanse til at de klarer å ta gode beslutninger om sikkerhet.

Kronikk
Dette er en kronikk. Meninger i teksten står for skribentens regning.

Å beskytte seg mot dataangrep blir stadig viktigere. Nasjonal sikkerhetsmyndighet (NSM) mener det er for mange små IT-avdelinger. Særlig i offentlig sektor. Større, mer kompetente miljøer reduserer sårbarhetene.

I dag finnes det omtrent 600 forskjellige IKT-driftsmiljøer i offentlig sektor. Jeg tenker da på den vanlige IT-avdelingen de fleste møter i jobbsammenheng. Noen IT-avdelinger er små og består kanskje bare av noen få personer. Andre er større. Kravene som stilles til IT-avdelingene er høyst varierte.

Fritt bestemme

Som leder for et middels stort norsk direktorat kan jeg fritt bestemme hvordan IT- avdelingen min skal organiseres og hvilke løsninger den skal bruke. I praksis kan jeg ha et eget driftsmiljø i kjelleren som får holde på med sitt, så lenge ingen klager og alt virker.

Avtaler med leverandører kan jeg inngå omtrent som jeg ønsker, bare jeg holder meg innenfor reglene for anskaffelser som gjelder for alle offentlige etater.

Mangler kompetanse

De færreste direktorater har IT-avdelinger med tilstrekkelig kompetanse til at de klarer å ta gode beslutninger om sikkerhet. Å beholde autonomien og selvråderetten har hittil vært viktigere enn sikker og effektiv drift på IKT-siden.

En slik holdning kan koste oss dyrt som samfunn. Særlig når vi vet at antallet angrep mot IKT-systemene øker. Angrepene blir mer avanserte og vanskelige å oppdage, og de blir utført på en svært profesjonell måte.

Ved å ha færre, mer robuste og mer kompetente IKT-driftsmiljøer, vil offentlig sektor bli mindre sårbar for cyberangrep.

At noen utenfor Norges grense hele tiden prøver å trenge inn i norske virksomheters digitale infrastruktur, er noe vi i NSM jobber med daglig. Det er sannsynlig å anta at det dreier seg om etterretning, spionasje eller sabotasje. Eller skritt på veien mot et mål vi ennå ikke kjenner og som vi kanskje ikke blir klar over før skaden har skjedd.

Redusere sårbarhet

Jeg er opptatt av at vi må redusere vår egen sårbarhet. En måte å gjøre det på, er å redusere antallet IKT-miljøer i offentlig sektor. Større IKT-miljøer har lettere for å tiltrekke seg og bygge opp sikkerhetsfaglig kompetanse og annen spesialkompetanse.

Ved å ha færre, mer robuste og mer kompetente IKT-driftsmiljøer, vil offentlig sektor bli mindre sårbar for cyberangrep. Ved å ha færre IKT-driftsmiljøer, blir det lettere å få etablert kostnadseffektive løsninger, både funksjonelt, driftsmessig og sikkerhetsmessig.

Sikkerheten svekkes

Jevnlig hører vi historier om små IKT-driftsmiljøer som hverken har kompetanse til å vurdere egne sikkerhetsbehov eller til å registrere sikkerhetsbrudd de får meldinger om. De klarer ofte heller ikke å gjøre noe med sikkerhetsbruddene de selv blir klar over, før det er for sent og skade har skjedd.

  • Urovekkende, mener NSM: Cyberangrep mot Norge øker sterkt

Min påstand er at små driftsmiljøer rett og slett ikke har ressurser til å henge med på utviklingen. Dermed svekkes sikkerheten i datasystemene, og vi får dårligere mulighet til å dra full nytte av den nyeste og mest effektive teknologien til å levere bedre tjenester.

En farligere verden

De seneste årene har internasjonale konflikter brakt med seg et bredere spenn av virkemidler enn vi har vært dimensjonert for å håndtere i Norge. Det vi kaller trusselaktører, bruker mer avanserte metoder for å angripe våre datasystemer. Angrepene kan være vanskelige å oppdage hvis du ikke vet hva du leter etter.

Kanskje har angrepet skjedd allerede, og det du ser på er konsekvensene. Eller kanskje blir du klar over at noe er på gang. Uansett vil du få tidspress. For å være forberedt i en slik situasjon er forebyggende sikkerhet særlig viktig. Her står arbeidet med å redusere risiko helt sentralt.

Når vi snakker om risikobegrepet, er det sammensatt av ulike elementer. Det handler om trusler og trusselaktørene, det handler om det som er verdifullt å beskytte og det handler om hvor vi er sårbare. Av disse elementene er det særlig viktig å ha oversikt over sårbarhetene. For det er dem du kan gjøre noe med. Reduseres sårbarheten, reduseres risikoen.

Cyberangrep

Et viktig tiltak for å redusere sårbarhetene er å styrke evnen til å oppdage cyberangrep og evnen til å håndtere angrepene. Eller hendelsene, som vi kaller dem i Nasjonal sikkerhetsmyndighet. For det er grunn til å presisere at Norge faktisk ennå ikke har opplevd cyberangrep i full skala. Til det har konsekvensene vært for små.

Ukraina opplevde cyberangrep i 2015, da 250 000 mennesker mistet strømmen midt på vinteren. Estland opplevde cyberangrep i 2007. Georgia i 2008.

Evnen til å håndtere cyberhendelser må styrkes både på nasjonalt plan, i ulike sektorer og i virksomhetene. På nasjonalt plan har Norge i dag et varslingssystem for digital infrastruktur utplassert hos nøkkelvirksomheter og etater av betydning for nasjonens sikkerhet. Systemet varsler om cyberangrep og vil bli forsterket fremover.

Oppskrift for koordinert nasjonal respons

En styrking av deteksjons- og håndteringsevnen krever både teknologiinvesteringer og retningslinjer for hva man faktisk skal foreta seg for å håndtere en cyberhendelse. Derfor jobber NSM for tiden med å utvikle et nasjonalt operativt rammeverk – en oppskrift – for digital hendelseshåndtering.

Rammeverket skal styrke Norges evne til å håndtere cyberhendelser som rammer offentlige og private virksomheter. Rammeverket beskriver hva som skal gjøres, slik at alle relevante aktører kan gjøre det de skal i en koordinert nasjonal respons.

I tillegg til denne oppskriften må virksomheter både i privat og offentlig sektor bli dyktigere til å rapportere store og små hendelser videre i sine sektorer. En god begynnelse er å dyktiggjøre de mange offentlige IT-avdelingene ved å slå dem sammen i større, mer kompetente enheter.

Interessert i å lese mer om IT-sikkerhet i det offentlige? Her er et par ferske artikler:

Les mer om

  1. Nasjonal sikkerhetsmyndighet
  2. Digital
  3. Teknologi
  4. Kronikk