Når vi må yte digitalt borgervern
Av Thomas Tømmernes
Leder for sikkerhet i Atea Norge
19. mar 2021
Lesetid: 5 min
Fraværet av et nasjonalt organ som følger opp IT-sikkerheten i norske virksomheter har ført til en IT-sikkerhetsbransje i sterk modning. Kanskje er tiden moden for å danne et digitalt «heimevern»?
Tidligere publisert på Digi.no
Som brukere av internett i våre private hjem er vi relativt godt sikret mot dataangrep gjennom internettleverandøren vår og de tilleggstjenestene disse ofte tilbyr.
Hvis man i tillegg skaffer seg en antivirus-løsning fra en kjent leverandør, holder maskinene oppdatert og alltid godtar oppdateringer av programvare når man får spørsmål om dette – og supplerer dette med en god dose sunn fornuft – så skal det mye til at man får stifte bekjentskap med datakriminelle.
Men i nærings- og organisasjonslivet er det hele mer komplekst, truslene mer omfattende og man er i langt større grad overlatt til seg selv i kampen mot folk med onde, digitale hensikter.
Det koster å bli «reddet»
I dag har vi ikke et overliggende nasjonalt organ som følger opp IT-sikkerheten i norske virksomheter, slik for eksempel politiet håndhever trafikksikkerheten på veiene i Norge. Vi har riktignok Nasjonal sikkerhetsmyndighet (NSM), som har overvåkingssystemer hos flere private og offentlige organisasjoner, men kun dem som er definert til å være en del av nasjonal infrastruktur.
Veldig forenklet kan man si at det tilsvarer fotobokser som overvåker om noen bryter fartsgrensen på utvalgte veistrekninger. Men NSM er ikke en stor organisasjon som har ressurser til å rykke ut til vilkårlige IT-sikkerhetshendelser, slik politiet normalt forfølger fartsbøller. NSM jobber for å sikre nasjonale interesser og må prioritere deretter.
Til de mindre omfattende hendelsene benytter de seg i stedet av private virksomheter som er godkjent som utførende hendelseshåndterere for myndighetene. Utfordringen her er at det er de som er utsatt for en hendelse som må betale for å bli «reddet», og den eneste måten disse kan få tilbake de betydelige kostnadene på er dersom de har en form for cyber-forsikring.
Et puslespill
I Norge har vi også Cyberforsvaret, men til tross for navnet så forsvarer de ikke den gjennomsnittlige norske virksomhet, med mindre nasjonale interesser er truet.
Som en del av regjeringens nye nasjonale strategi for digital sikkerhet ble også CS 3 Nasjonalt cyberkrimsenter (NC3), en ny avdeling underlagt Kripos, nylig etablert. De skal være politiets spydspiss i bekjempelsen av kriminalitet og trusler i det digitale rom, og er en etterlengtet funksjon som skal etterforske, oppklare og etter hvert gjøre livet vanskeligere for datakriminelle. Men NC3 kommer sannsynligvis aldri til å jobbe proaktivt ute hos norske virksomheter med å implementere løsninger som skal virke preventivt dersom en hacker prøver å komme seg inn.
I tillegg har vi Datatilsynet, som har en relevant funksjon på IT-sikkerhetsområdet, men da først og fremst som et tilsyn som fører kontroll med at personvernregelverket vi har i Norge etterleves.
Med andre ord har vi mange viktige funksjoner på plass på IT-sikkerhetsfeltet i Norge, men kanskje mangler det én viktig brikke i puslespillet? Likevel mener jeg fraværet av et nasjonalt organ som følger opp IT-sikkerheten i norske virksomheter har hatt positiv effekt på den bransjen jeg representerer.
Mer samhandling og kunnskapsdeling
Den kommersielle IT-sikkerhetsbransjen har historisk vært anklaget for å drive både skremselspropaganda og heksekunst. Men det bør ikke lenger være noen tvil om at truslene vi står overfor er høyst reelle. Regjeringens lansering av nye strategier for digital sikkerhet og digital sikkerhetskompetanse ved årsskiftet er ett av mange tydelige tegn på det.
I dag anbefaler også NSM og Norsis alle virksomheter som ikke har egen IT-sikkerhetsavdeling eller dedikerte IT-sikkerhetsansatte å kjøpe dette som en tjeneste. Det handler rett og slett om fornuft og strategiske beslutninger for de fleste virksomhetene. Det er vanskelig få tak i folk med riktig kompetanse og det koster mer å sitte på egne ansatte til dette enn å kjøpe det eksternt.
Men fokuset i bransjen vår har også etter min mening endret seg de siste årene. Fra å snakke om angrep på store amerikanske selskap og til dels selge på frykt, er vi i dag langt mer opptatt av samhandling, beskyttelse av verdier, kunnskapsdeling og å finne de riktige løsningene som vil tilføre riktig verdi for norske virksomheter. På mange måter yter vi en form for digitalt borgervern for norsk nærings- og organisasjonsliv.
Så vil nok mange stille spørsmålet: Borgervern er da når noen på privat frivillig basis vil opprettholde ro og orden, mens dere tjener vel penger på å selge IT-sikkerhet? Ja, det gjør vi. Den kommersielle IT-sikkerhetsbransjen anslås til å omsette for 5,7 milliarder i året, som jo er en betydelig sum. Likevel bruker ikke en normal norsk virksomhet mer enn 6 til 10 prosent av IT-budsjettet på sikkerhet.
«De virtuelle gutta på skauen»
Vi lever av ryktet vårt på samme måte som revisorer eller advokater, og må både holde oss oppdatert på det dynamiske trusselbildet, trusselaktører, risikoer og tekniske løsninger for å kunne levere det norske virksomheter trenger i kampen mot hackerne. Bransjen i dag består av IT-sikkerhetsprodusenter, verdiskapende distributører og dem som selger tjenester, konsulenter og produkter.
Og fellesnevneren for oss er at hvis vi ikke gjør jobben vår riktig, kan nok om trusselbildet, gir feil råd eller på annen måte agerer uriktig vil ingen kjøpe løsninger fra oss – og således fungerer Darwins lov om «survival of the fittest».
Hvem vet, om noen år, når kunstig intelligens og sensorer er mer utbygd og vi som jobber i bransjen kanskje ikke lenger er like viktige, så er det mulig vi blir omtalt i historiebøkene som de «virtuelle gutta på skauen». Enn så lenge så utfører vi daglig en kanonviktig jobb for landet vårt, og slik det ser ut nå så er det mer enn nok å ta tak i, så vi vil nok ha en viktig og sentral rolle i det norske IT-sikkerhetsøkosystemet i lang tid fortsatt.
Når det er sagt, så vil det i mine øyne være kort vei fra dagens private aktørers utøvelse av borgervern, til en samhandlingsarena – et slags digitalt «heimevern» – underlagt NSM eller Justisdepartementet. Men på veien dit må trolig norske myndigheter i større grad anerkjenne betydningen av de private aktørene som et helt nødvendig ledd for å opprettholde et sikkert samfunn.
Inntil skrivelysten tar meg igjen, stryker jeg skjorta, bretter opp ermene og fortsetter som handelsreisende IT-sikkerhetsevangelist og som en del av «det digitale borgervernet».
Oppdatert: 19. mar 2021
Publisert: 14. aug 2019