Vil ha ny lov om IKT-sikkerhet og eget nasjonalt sikkerhetssenter

Utvalget som ble leder av Skattedirektør Hans Christian Holte overleverte mandag sin utredning til Justis- og beredskapsdepartementet og kom med en rekke anbefalinger.

Utvalget legger tre overordnede prinsipper til grunn for sine anbefalinger. Arbeidet med IKT-sikkerhet må ha en risikobasert tilnærming som innebærer at vesentlig risiko prioriteres.

• LES OGSÅ: IKT-eksperter mangler sikkerhetskompetanse

Videre må IKT-sikkerhet balanseres opp mot brukervennlighet, økonomi og grunnleggende menneskerettigheter. En slik balanse innebærer at noe risiko må aksepteres for å oppnå økonomiske og sosiale mål.

Til slutt krever arbeidet med IKT-sikkerhet en fleksibilitet i reguleringen og organiseringen slik at man kan tilpasse seg nye trusler, sårbarheter, teknologier og forretningsmodeller.

Ny lov

Gitt det gjeldende IKT-risikobildet mener utvalget at det må utarbeides en ny lov hvor det stilles krav om forsvarlig IKT-sikkerhet til alle samfunnskritiske virksomheter og offentlig forvaltning.

– Selv om samfunnskritiske virksomheter og offentlig forvaltning har forsvarlig IKT-sikkerhet, gjenstår mange digitale sårbarheter. De fleste virksomheter er avhengige av lange og komplekse digitale verdikjeder, skriver utvalget.

I prinsippet kan alle IKT-systemer bli benyttet som mellomledd i angrep mot andre egentlige mål, for eksempel samfunnskritiske virksomheter. Også tilkoblede produkter kan inngå i angrepsnettverk som kan skade samfunnskritiske funksjoner.

• LES OGSÅ: Norske virksomheter mer sårbare for digitale angrep

Dette er risiko som i liten grad reduseres ved at det stilles krav om forsvarlig IKT-sikkerhet til samfunnskritiske virksomheter og offentlig forvaltning.

Utvalget har vurdert muligheten for å underlegge alle virksomheter krav om IKT-sikkerhet i lov, ikke bare samfunnskritiske virksomheter og offentlig forvaltning. Krav i lov kan være inngripende og ressurskrevende.

Utvalget mangler konkrete holdepunkter for å si hvor stort det gjenstående behovet er for å styrke IKT-sikkerheten i alle norske virksomheter. Dersom behovet er stort, taler det for å stille krav i lov til alle norske virksomheter. Utvalget anbefaler derfor at det nedsettes et eget lovutvalg som skal utrede en lov som stiller krav om IKT-sikkerhet til alle norske virksomheter.

Nasjonalt IKT-sikkerhetssenter

Mange virksomheter opplever at råd og veiledning fra myndighetene er for lite koordinert mellom etatene. De er usikre på hvor de skal henvende seg når de har spørsmål om IKT-sikkerhet.

Det er også utfordringer med koordinering og informasjonsdeling når uønskede digitale hendelser skal håndteres. Det er mange som etterlyser mer offentlig-privat samarbeid og en styrket innovasjonsevne innenfor IKT-sikkerhet. Det er behov for å samle kompetanse, skape synergier på tvers av sektorer og miljøer og gjøre samarbeidslinjene kortere og mer effektive.

• HANS CHRISTIAN HOLTE: Essensen av å lede gjennom endring

Utvalget mener at etablering av et nasjonalt IKT-sikkerhetssenter er et godt grep for å møte dette behovet. Et senter kan være en pådriver for koordinering og samordning mellom sektorer og mellom offentlige og private aktører. Det kan være et sentralt kontaktpunkt for råd og veiledning til virksomheter, det kan koordinere håndtering av uønskede digitale hendelser og dele informasjon om trusler og sårbarheter.

Et IKT-sikkerhetssenter kan også tillegges oppgaver som ingen etater har ansvar for i dag, for eksempel å motta og offentligjøre informasjon om digitale sårbarheter («Coordinated Vulnerability Disclosure»). Senteret må dessuten stimulere til mer forskning, utvikling og innovasjon.

Krav ved anskaffelser

Anskaffelser av IKT-tjenester kan, og vil i mange tilfeller, gi bedre trygghet og mer stabile og tilgjengelige tjenester. Med andre ord kan anskaffelser av IKT-tjenester være et fornuftig IKT-sikkerhetstiltak.

Anskaffelser av slike tjenester er imidlertid ikke risikofritt. Det er utvalgets oppfatning at den største utfordringen med anskaffelser er manglende bevissthet om risikoen.

• LES OGSÅ: Livredde for datakriminalitet

For å kunne iverksette hensiktsmessige sikkerhetstiltak, er det avgjørende at virksomhetene vurderer risikoen ved alle anskaffelser. Virksomheter som blir omfattet av utvalgets forslag til ny lov om IKT-sikkerhet plikter å vurdere slik risiko.

Utvalget mener at det må stilles krav om IKT-sikkerhet ved alle offentlige anskaffelser. Anskaffelsesregelverket bør endres slik at oppdragsgiveren får en slik plikt.

Utvalget ønsker også tidligere styring og bedre koordinering av nasjonal IKT-sikkerhet. I tillegg anbefaler de tydelig regulering og ansvar for tilkoblede produkter og tjenester.