– Det er grunn til en fortsatt bekymring for sikkerhetstilstanden i Norge. Datasikkerheten er ikke god nok, og sikkerhetsarbeidet blir ikke prioritert, lyder dommen fra direktør Kjetil Nilsen hos Nasjonal sikkerhetsmyndighet (NSM).
I dag legger etaten frem sin årsmelding for 2010, og her kommer direktøren med krass kritikk av sprikende regler og mangelfull lederkultur i det norske samfunnet.
Les også: Vil styrke cyberforsvaret
Økt fare - mindre fokus
I meldingen skriver NSM at sikkerhetsrisikoen på nettet øker, med stadig mer skreddersydd og avansert skadelig programvare. Samtidig er det for lite fokus på datasikkerhet.
Derfor svekkes it-sikkerheten, konkluderer NSM.
Nytt dataangrep mot regjeringen
Lederne dårlige på it-sikkerhet
Farlig kobling
Utgangspunktet til Nasjonal sikkerhetsmyndighet er å ha oversikt over samfunnets kritiske sårbarheter og hjelpe virksomhetene til å motvirke eller tette sårbarhetene.
De som håndterer sikkerhetsgradert informasjon i Norge i dag har relativt sikre it-systemer, som er underlagt strenge krav i sikkerhetsloven.
Men koblingen mot mindre sikre systemer øker risikoen.
– Vi har i flere år sagt at vi er bekymret for grunnsikringen i samfunnet, utenfor de graderte nettverkene som vi har et ansvar for. Det er fordi de ugraderte og graderte nettverkene henger mer og mer sammen. De er blant annet avhengig av den samme infrastrukturen, påpeker NSM-sjefen.
Sprikende regler
Nilsen mener at uklare og sprikende regler bidrar til svekket it-sikkerhet.
Forvaltningen må forholde seg til mange ulike krav til informasjonssikkerhet, blant annet i:
- personopplysningsloven
- ekomloven
- sikkerhetsloven
- lover og forskrifter om informasjonssikkerhet i helsesektoren
Uklare mål
– Selv om det stilles krav, så er det sjelden formulert klare mål for sikkerheten. Og offentlig forvaltning har ingen helhetlig tilnærming til hvilke tekniske krav samfunnet skal stille. Og det er ulike oppfatninger av hvilken risiko samfunnet ønsker å ta. Mange ulike regelverk og krav vanskeliggjør integrasjon og samarbeid, og det går ut over effektivitet og verdiskapning, sier Kjetil Nilsen.
I praksis handler det om at man ofte ikke vet hvem som sitter med ansvaret eller hva som er akseptabelt sikkerhetsnivå.
– Er det individet som skal ta stilling til sikkerheten, er det virksomhetene, er det departementene eller er det andre? Er det greit om våre dokumenter og e-poster kan leses av uvedkommende? Er det greit om dokumenter og e-poster vi mottar kan være manipulerte eller forfalsket? Er det greit at vi ikke får tilgang til kritiske systemer når vi trenger det? Er det greit om andre kan utgi seg for å være oss?
– Når vi stiller denne typen spørsmål skjønner vi risikoen vi står overfor, og hva vi er villig til å akseptere. Og det er en reell fare for dette i mange datasystemer i Norge i dag, advarer NSM-sjefen.
Farlig trojaner på frifot i ett år
Grunnleggende sikkerhet
Han mener det er behov for å etablere det han kaller ”en helhetlig robust grunnsikring”, som er basert på et felles sikkerhetsnivå for offentlig forvaltning og andre som eier eller drifter kritisk infrastruktur.
– Dette er viktig for å redusere risikoen for at sensitiv informasjon kommer på avveie, eller at noen kan manipulere kritisk informasjon. Vi må sørge for at de ulike regelverkene innen informasjonssikkerhet blir såpass harmoniserte at vi får et felles sikkerhetsnivå i Norge, sier NSM-direktøren.
Les også: – Dataangrep kan stoppe Olje-Norge