– Vi er mer opptatt av brukervennlighet enn samfunnssikkerhet

Stadig flere av samfunnets kritiske tjenester digitaliseres. Det har åpenbare fordeler, men også ulemper: vi gjør oss mer sårbare for cyberangrep.

Norske interesser er under angrep hele tiden. Daglig opplever vi flere titalls cyberangrep. 5000 av dem utgjorde en reell trussel i 2017, ifølge Nasjonal sikkerhetsmyndighet.

Bak disse tallene står nasjoner og internasjonale aktører med lumske hensikter. De tester svakheter i vår digitale infrastruktur og forsøker å trenge seg gjennom norske brannmurer. Konsekvensene, dersom de lykkes, kan i ytterste fall bli katastrofale.

– For oss i Forsvaret er det helt naturlig å tenke risiko. Derfor blir vi litt overrasket når vi ser andre offentlige etater som ikke tenker i samme baner. Mange er mer opptatt av funksjonalitet og brukervennlighet enn av samfunnsikkerhet, sier oberstløytnant Tormod Heier som forsker ved Forsvarets høgskole.

Han har jobbet i Forsvarsdepartementet og i Etterretningstjenesten, har en doktorgrad fra Universitetet i Oslo og ble i fjor tildelt Ossietzky-prisen. I november skal han foredra om på Tekna-konferansen Ekom-infrastruktur, sikkerhet og sårbarhet.

Foredragsholderen mener norske bedrifter og etater kan bli langt bedre på å tenke på sikkerhet.

– Det foregår et usynlig «våpenkappløp» mellom de som prøver å ramme oss og de som forsøker å beskytte oss.

Kan føre til kaos

Cyberangrep kan i verste fall lamme samfunnet og føre til kaos. Tilgangen på mat, medisiner, strøm og internett kan bli strupet, og forstyrrelser i det digitale tjenestetilbudet vil skape uro og engstelse. Stabiliteten i hverdagslivet vårt kan settes på spill, forklarer Heier.

– Vi er nok litt blåøyde. Vi er et av verdens mest fredelige land og vi har blitt skånet mot de største angrepene. Derfor er vi ikke så bevisste på farene som vi burde være.

Flere eksempler fra de siste årene viser hvor galt det kan gå:

  • Da Helse Sør-Øst outsourcet IT-systemet sitt til selskaper i Malaysia, Bulgaria og India, fikk utenlandske IT-arbeidere tilgang til pasientinformasjon til millioner av nordmenn. Etter at dette ble oppdaget av NRK, og outsourcingen fikk ramsalt kritikk av Datatilsynet, skrotet helseforetaket avtalen.
  • Da Equinor outsourcet sikkerhetskritiske IT-oppgaver til India, førte det til en rekke problemer: produksjonsstans, tap av kritisk værdata og en indisk IT-arbeider som stanset produksjonen på Mongstad på grunn av en tastefeil.
  •  I 2015 gikk russiske aktører til angrep på det ukrainske strømnettet. Flere hundretusener mistet strømmen sin på lille juleaften 2015. Et cyber-mareritt er nå virkelighet, skrev Aftenposten.
  •  Russland skal ha slått ut deler av det latviske mobilnettet under en militærøvelse i 2017.

Gjennomgående ukultur

Manglende bevissthet på digital sikkerhet kan ses på som en ukultur, forklarer Heier. Og den går fra bunn til topp i norsk statsforvaltning.

Forskeren trekker frem at selv statsråder som besøker høyrisikoland som Iran, ikke er bevisste nok på dette. Det ble i sommer kjent at tidligere fiskeriminister Per Sandberg tok med seg jobbtelefonen sin da han ferierte i landet, noe som gjorde ham svært sårbar for overvåkning.

Samtidig advarer Heier mot å tro at det er «noen andre» som passer på IT-sikkerheten.

– Førstelinjeforsvaret vårt er ikke det norske forsvaret. Det er de titusenvis av ansatte som til daglig drifter IKT-systemer i Norge. Vi må skjerpe bevisstheten om farene blant alle disse. Ledere og mellomledere har et særlig ansvar.

Det er umulig å beskytte seg hundre prosent, forklarer Heier og understreker at det viktigste er kontinuerlig forebyggende virksomhet.

– Vi må lære av hverandres feil, og som ledere må vi gå i front og være rollemodeller og kulturbyggere.

Tekna inviterer til konferansen Ekom-infrastruktur, sikkerhet og sårbarhet på Fornebu den 26. november. På konferansen møter du ekspertisen som oppdaterer deg på nye sikkerhetskrav fra myndighetene, sikkerhetsloven og konsekvenser for ekom-sektoren, samt ny teknologi, romstrategi for Norge, kvantedatamaskiner, kryptering og 5G.

Publisert: 28. september 2018