Digital unnasluntring kan ikke forsvares

Les innlegg om sikkerhet og sårbarhet i Næringspolitikk.no av Lise Lyngsnes Randeberg, president i Tekna.

Det siste året har vi sett at norske bedrifter og etater har gjort sviktende risikovurderinger før tjenester settes ut til lavkostland.

Dette er imidlertid bare forsmaken på hva som venter, hvis ikke offentlige myndigheter begynner å stille langt sterkere krav til alt som påvirker vår felles infrastruktur. Når vår fysiske og virtuelle verden nå smelter sammen, finner vi utfordringer på svært mange plan. Risikoen for at akkurat du blir rammet av en ondsinnet hacker som skrur av bremsene på bilen din, er allikevel liten – sannsynligheten er større for at du rammes av en utilsiktet feil.  Offentlige myndigheter må derfor komme på banen med  langt tydeligere krav til produsenter og leverandører av teknisk utstyr som kobles opp til internett. Dette gjelder testing, utrulling, drift, og vedlikehold gjennom hele levetiden til utstyret.  Det må tas grep nå. Digital unnasluntring kan ikke forsvares, spesielt ikke etter de hendelsene vi har sett det siste året!

Tekna mener myndighetene raskt må få bedre nasjonal kontroll med sikkerhetsvurderingene som foretas i selskaper og virksomheter som forvalter kritisk infrastruktur. Trusselbildet er komplekst, og de som jobber tett på systemene og teknologien, ser utfordringene klarest. Sårbarheten og sikkerhetsutfordringene med den massive utkontrakteringen som har foregått, må vurderes på nytt. Tekna er ikke mot at man setter ut oppdrag til eksterne leverandører av IT-tjenester – noen ganger er det helt riktig – men kravene til vurderingene som gjøres i forkant må være høyere, spesielt når vi snakker om IT-tjenester knyttet til kritisk infrastruktur.  En felles standard og tydelige krav til hva en sikkerhets- og sårbarhetsvudering skal inneholde, burde vært på plass for lengst.

Myndighetene må stille langt strengere krav til styrets og ledelsens kompetanse til å vurdere sikkerhets- og sårbarhetsvurderingene ved outsourcing av IT-tjenester knyttet til kritisk digital infrastruktur. Det er svært alvorlig hvis de økonomiske besparelsene trumfer sikkerheten. De ulike tilsynsmyndighetene må også ha et klart definert oppdrag i å påse at virksomhetene faktisk ivaretar digital sikkerhet. Tilsynenes ansvar for denne kontrollen er ikke tydelig nok i dag  - blant annet har ikke Petroleumstilsynet oppfattet at de har hatt et ansvar for å følge opp sikkerheten i digital infrastruktur i petroleumsvirksomhetene. Slike uklarheter må snarest ryddes av veien! Så er det viktig å sikre seg at fagkompetansen er representert inn i beslutningsorganene, i ledelsen og i styrerommet. Uten faglig god innsikt og de teknologiske og digitale løsningene, vil man stå dårlig skodd til å fatte kloke beslutninger. Sikkerhet må implementeres allerede i designet og utviklingene av systemene og de digitale løsningene. Til sist må vi få til en kultur for digital sikkerhet i alle virksomheter som jobber med tjenesteproduksjon og kritisk infrastruktur.

 

Publisert: 9. august 2017