- Telenettet skal tåle mer juling
- Politiet skal bli dyktige på å etterforske datakriminalitet
- "Alle" skal vite hvordan de sikrer sine egne data
- Norsk forskning på it-sikkerhet skal være ledende
- Statlige myndigheter skal ha teknologi for å samarbeide i krisesituasjoner
Det er noen av hovedelementene i "Nasjonal strategi for informasjonssikkerhet", som fire departement har samarbeidet om.
Les også: Dette risikerer du ved å lagre filer i nettskyen
Nasjonalt
Justisdepartementet leder arbeidet, som skal gjøre både innbyggere, bedrifter og forvaltning bedre rustet til å takle it-krisene.
Strategien tar for seg flere sider av it-sikkerheten. Hovedmålene er:
- Robust og sikker ikt-infrastruktur i hele samfunnet
- Styrket samordning og felles situasjonsforståelse
- Sterk evne til å håndtere uønskede ikt-hendelser
- Høy kompetanse og sikkerhetsbevissthet
Bedre linjer
På den fysiske siden kom overgangen fra telefoni på kobber til digital samhandling over internett som et sjokk på de fleste norske beredskapsetater.
Den største aha-opplevelsen fikk vi med omfattende strøm- og telebrudd under stormen Dagmar for ett år siden.
Les også: Dagmar blåser oss av nettet
Brudd
Det kommer ingen konkrete anvisninger på hvordan ikt-infrastrukturen skal bli mer robust, men det handler om å kunne unngå eller takle brudd.
I hovedsak er det snakk om å reserveløsninger og at man har kompetanse til å anskaffe løsninger som er gode nok. Klassiske feller som man skal unngå er å legge flere ulike kabler i samme trasé eller at flere mobiloperatører deler master for sine basestasjoner.
Konkrete vurderinger nå er å pålegge teleoperatørene å sørge for reservestrøm i basestasjonene.
System
Både offentlig og privat sektor må bli mer systematisk og helhetlig i sitt arbeid med informasjonssikkerhet.
Dette er den mindre sexy biten av it-sikkerheten: Her handler det om å bake sikkerheten inn i den øvrige virksomhetsstyringen i organisasjonen.
På tvers
Med Digitaliseringsprogrammet legger regjeringen opp til at digital kommunikasjon blir kanal nummer én i dialogen mellom stat og innbygger/næringsliv.
Dermed blir vi i løpet av et par år enda mer avhengige av den digitale infrastrukturen.
Hvis det skjer et brudd eller angrep, har forvaltningen i dag smått med rutiner for å samarbeide om å løse flokene.
Regler, organisasjon og teknologi skaper heller effektive hindringer for samarbeid, også i det daglige.
Det skal staten gjøre noe med, blant annet ved regelendringer og standardiserte it-løsninger.
Ett av målene her er at departementene skal ha løsninger som gjør det mulig å lagre, behandle og kommunisere sensitiv og gradert elektronisk informasjon på tvers av departementene. Løsningene skal kunne virke sammen med tilsvarende systemer forsvaret
Vel så viktig blir det å styrke rutinene for å varsle og håndtere feil, brudd og bortfall av elektronisk kommunikasjon.
Her skal Post- og teletilsynet (PT) i samarbeid med Norwegian Computer Emergency Response Team (Norcert) lage raskere og mer effektive rutiner for utveksling av informasjon når noe skjer.
Les også: Stortingsvalget på internett
Krim
På det kriminelle området legger departementene opp til at hver eneste nettbruker, bedriftsleder og etatsjef skal ha et minimum av egenkompetanse på å kunne avsløre aktører med uærlige hensikter.
Men når dataskurkene blir mer utspekulerte, skal politiet rykke ut med høy kompetanse og stor kapasitet.
I dag har politiet kun ressurser til å gå løs på de alvorligste sakene.
Fremover skal politiet styrkes på det digitale området, skal man tro den nye strategien:
- Politiet skal ha tilstrekkelig kompetanse og kapasitet til å avdekke, identifisere og håndtere datakriminalitet.
- Politiet skal være tilstede på internett, både med åpen patruljering og ved skjult tilstedeværelse for å kunne forebygge, avverge og ved behov etterforske og eventuelt føre denne type kriminalitet for retten.
- Det skal finnes klare samarbeidsrutiner og rutiner for kompetansedeling både innad i politiet og mellom politi, myndighetsorganer og sentrale sikkerhetsmiljøer.
Les også: Hvem står bak superviruset?
Forskning på topp
Norsk forskning på it-sikkerhet skal være av ypperste klasse i fremtiden.
Ambisjonen er at den holder et høyt internasjonalt nivå tidlig fanger opp endringer i teknologi, infrastruktur og metoder.
Regjeringen legger imidlertid ikke opp til de store gavepakkene i statsbudsjettet:
- Tildeling av forskningsmidler bør baseres på internasjonalt samarbeid og et tett samarbeid mellom akademia, infrastruktureiere, aktuelle brukermiljøer og myndigheter, heter det i strategidokumentet.
Rekruttering av kompetanse på feltet skal sikres gjennom å koble solide sikkerhetsmiljøer og studenter på master- og doktorgradsnivå.
På alerten
Totalt sett skal Norge få et årvåkent samfunn som er på vakt mot både angrep og mer utilsiktede hendelser.
Førstelinjen blir både myndighetsorganisasjoner, som PT og Norcert, men også virksomheter som eier og har driftsansvar for infrastruktur. I første rekke vil det omfatte hendelser som følge av teknisk eller menneskelig svikt, ulykker eller naturkatastrofer.
Spesialiserte varslingsmiljøer i hver sektor av samfunnet kommer til å stå sentralt. De kalles Computer Security Incident Response Team (CSIRT) og er allerede etablert i flere store etater og selskaper. Eksempler er Forsvaret, helsesektoren, justissektoren og Statoil.
Disse samarbeider tett med Norcert..
Ingen penger
Strategien har smått med detaljer, og det er gjort bevisst: Konkrete tiltak skal kjøres ut i egne handlingsplaner for å sikre at de er på høyde med den teknologiske utviklingen.
Her er strategien i sin helt, samt den første handllingsplanen.
Det gis ingen løfter om målrettede midler i statsbudsjettet til dette arbeidet. Det blir opp til hvert departement å finne rom for tiltak.
Les også:
– Alle med Android-telefon trenger sikkerhetsprogramvare
Ett passord gir tilgang til alle andre