Sikkert Nok

Det er de ansatte som er den viktigste ressursen når det gjelder å skape en god informasjonssikkerhet, sa statsråd Rigmor Aasrud da hun åpnet konferansen ”Sikkert Nok” som markerer starten på den nasjonale sikkerhetsmåneden 2012.

Talemanus med forbehold om endringer under fremføring:
 

Velkommen til åpning av Nasjonal sikkerhetsmåned 2012!

Justisministeren og jeg var i forrige uke i USA. Der møtte vi blant annet myndigheter med ansvar for IKT-sikkerhet. Vi fikk der høre at de har et høyt fokus når det gjelder å ivareta informasjonssikkerheten både nasjonalt og internasjonalt. På det sikkerhetspolitiske området har dette blitt en sentral problemstilling, som må løses gjennom internasjonalt samarbeid på flere arenaer. Norge deltar aktivt i dette arbeidet, og har deltatt på en stor internasjonal kongress i London i fjor, og deltar på oppfølgingskonferansen i Budapest denne uken.

Næringslivets Sikkerhetsråds Mørketallsundersøkelse for 2012 og SSBs undersøkelse om IT-sikkerhet i statlige virksomheter som begge ble lagt frem september viser at når det gjelder IKT-sikkerhetstilstanden i Norge har vi et forbedringspotensial. Undersøkelsene viser at vi blant annet trenger større bevissthet og kompetanse omkring behovet for informasjonssikkerhet. Vi starter nå en kampanje for å få til til en helt nødvendig holdningsendring. Vi trenger alle kunnskap og vi trenger påtrykk for  å stille om tankegangen.

Dette gjelder både virksomheter, og folk flest.

I EU er det seks pilotland som i år markerer Nasjonal Sikkerhetsmåned. Norge er et av disse.
I Norge er det Norsk senter for informasjonssikring (NorSIS) som står i spissen for denne dugnaden.
Dette gjør de i tett samarbeid med private og offentlige virksomheter. Alle ønsker de å sette informasjonssikkerhet på agendaen.

I fellesskap vil de sette i gang flere spennende aktiviteter i løpet av oktober måned. Nå skal sikkerhetskompetansen i offentlige virksomheter og bedrifter opp. Større bevissthet omkring behovet for god informasjonssikkerhet er målet. Hovedtemaet for årets kampanje er noe så enkelt, og noe så vanskelig som:

Stopp.
Tenk.
Klikk.   

Kampanjen som nå lanseres har blitt en nasjonal dugnad. Det ser vi av det store antallet virksomheter som har meldt seg på. I løpet av oktober vil det i hele landet bli arrangert over 50 ulike sikkerhetsarrangementer, og mange virksomheter vil i tillegg gjennomføre egne opplæringsaktiviteter. Det er bra at over 100 virksomheter har bestilt NorSIS sin opplæringspakke. Mitt eget departement er en av disse virksomhetene.

Dette er veldig bra. Stor interesse for temaet er et stort og viktig skritt på veien mot bedre sikkerhet.

Det ligger et stort gevinstpotensial i digitaliseringen av samfunnet. God informasjonssikkerhet er en forutsetning for å ta ut dette.

Norge er ett av de mest digitaliserte samfunn i verden – og vi skal videre. Men, for å oppnå gevinster og ta ut potensialet som ligger i all denne IKT-bruken, er vi helt avhengig av at offentlige virksomheter, bedrifter og befolkningen stoler på at IKT-systemene som fins er sikre og robuste.

Sikre og stabile IKT-systemer er helt avgjørende for å nå de måla vi har satt oss – det være seg for digitalisering av det offentlige eller for verdiskaping i privat sektor. For å få til dette må alle ledere sørge for at det blir etablert en god kultur for sikkerhet.

Dette kan gjøres ved å utvikle rutiner, regler og retningslinjer som bygger opp under god sikkerhet i egen virksomhet og i samfunnet.

Vi vet også at det må mer til enn dette. De ansatte må også bevisstgjøres og motiveres til å følge opp.

Det nytter ikke med gode tekniske sikringer alene.
Klare ansvarslinjer, holdninger, etikk og en organisasjonskultur som fremmer sikkerhet, er like viktige.
Dette vil jeg som IT-minister sette fokus på fremover.

Økt bruk av IKT og Internett har ført til at vi alle er blitt mer sårbare for selv korte driftsavbrudd i systemer og nett. Samtidig benytter kriminelle aktører mer målrettede, skreddersydde og profesjonelle angrep i forsøk på å rane til seg informasjon eller få systemkontroll. Noen hevder til og med at kriminell virksomhet som kan knyttes til Internett-misbruk er blitt større enn kriminalitet knyttet til narkotikavirksomhet.

Dette er formidable utfordringer!

Samtidig er informasjonssikkerhet ikke noe som en minister eller en leder kan ”fikse”.
Vi er faktisk avhengig av at alle som bruker Internett og som behandler informasjon i datasystemer har gode rutiner, bevissthet om mulige trusler og utviser nødvendig skjønn.
Til dette må de ha et minimum av kompetanse.
Derfor handler også årets kampanje handler om kompetanse.

Hvem skal vise vei?  
Informasjonssikkerhet er først og fremst et lederansvar. Dette gjelder virksomheter i både offentlig og privat sektor. Ledere må gjennomføre jevnlige risiko- og sårbarhetsanalyser knyttet til virksomhetens IKT-bruk. Deretter må de sørge for at systemer og nettverk er tilstrekkelig beskyttet.

Men dette er ikke nok.

Bevisstgjøring og motivasjon av hele organisasjonen, klart ansvar for informasjonssikkerhet, det å ha beredskapsplaner og – ikke minst – det å gjennomføre øvelser må til for å etablere grunnlag for god informasjonssikkerhet.

Lederne er derfor helt sentrale.
Vi må ha ledere som prioriterer sikkerhet.
Det er umulig å bygge en solid sikkerhetskultur hvis ikke lederne prioriterer dette.

Vi vet at sikkerhetskompetanse er kostbart. Finanskrisen i Europa, er en vedvarende utfordring for Europas økonomiske vekst og sysselsetting.
Det gjør at det er enkelt å kutte kostnader ved å se bort fra informasjonssikkerhet – men da skyter vi oss selv i foten. Det er i slike krisetider vi må investere i sikkerhet.

Ofte sees sikkerhet på som en begrensende faktor i IKT-systemer. Vi må snu på det og se sikkerhet som muliggjørende.

Det handler om tillit.
Det handler om å redusere sårbarhet.
Det handler om å bruke av teknologien på en trygg måte som kan spare oss for mange milliarder i offentlige utgifter
Det handler om å styrke bedriftenes konkurranseevne.

Teknologien løper ofte raskere enn våre egne sikkerhetssystemer.
Kontinuerlig oppmerksomhet er påkrevd. Vi må forstå at tekniske løsninger alene ikke holder.
Like viktig er holdningene og kunnskapsnivået til brukerne. Vi må ha en økt bevissthet hos alle.

Det er de ansatte som er den viktigste ressursen når det gjelder å skape en god informasjonssikkerhet. I mange tilfeller er det bare bevisste medarbeidere som kan hindre virusangrep, at sensitiv informasjon havner på avveie eller at forretningshemmeligheter havner på Facebook.
Derfor er det  viktig å sørge for skikkelig opplæring av de ansatte. De må ikke utgjøre det svakeste ledd i våre sikkerhetsbarrierer.
Slik kompetanseutvikling må skje i takt med hvordan teknologi, trusler og medfølgende risiko endrer seg.

Dette gjelder også arbeidet med informasjonssikkerhet generelt.
Nye sikkerhetsutfordringer vil komme. Disse må vi raskt oppdage.
Vi må finne de rette mottrekkene.  En god sikkerhetskultur finnes i alle ledd. På denne måten kan vi møte de utfordringene vi har på dette området på en god måte.

Krever praktisk handling
Dagens samfunn er helt avhengig av en velfungerende IKT-infrastruktur.
Da må virksomhetene også vite hva de skal gjøre ved bortfall av sentrale tjenester, ved angrep og andre sikkerhetshendelser.

Tjenestenektangrepene som vi er blitt kjent med den siste tiden, viser at  selv store virksomheter kan bli et offer for organisert kriminalitet på nett. Dette har ofte negative ringvirkninger for omdømme og økonomi.

God informasjonssikkerhet skal legge til grunn etterlevelse av standarder og overholdelse av lover og regler. Dette må ikke bare skje ”på papiret”, men settes ut i praksis.
 Retningslinjer må implementeres.
Det må fordeles et klart ansvar i virksomheten for hvem som skal å ivareta sikkerhetsarbeidet.

Både det forebyggende arbeidet og håndtering av sikkerhetshendelser avhenger av god risikoforståelse, godt planverk og jevnlige øvelser.

Må trene på sikkerhet
Derfor er opplæring og trening nøkkelord.
Gjennom risikoanalyser får vi en gjennomgang av hvilke trusler vi står overfor, hvilke konsekvenser en sikkerhetshendelse kan få og hvor sannsynlig det er at hendelsen inntreffer.
Planer må lages og personell og organisasjon må øves og testes. 
Hendelser vil inntreffe.
Da må vi være forberedt.

Har man ikke gjort disse øvelsene i forkant, kan dette få katastrofale følger.

Prioriteringer og styring av risiko må derfor forankres hos lederne. Det forebyggende sikkerhetsarbeidet må bli organisert og styrt fra ledelsen, og være en integrert del hvordan virksomheten styres til daglig.

Informasjonssikkerhet står på  høyt regjeringens prioriteringsliste. I september ble Cyberforsvaret formelt etablert av Forsvarsministeren. Justisministeren har varslet en oppgradering av NorCERT med økte bevilgning på 32 mill. kr fra 2013 slik at senteret kan få en bedre døgnbemanning. Det legges også opp til et bedre Nordisk samarbeid på dette området.
Vi er også i sluttfasen av arbeidet med en ny nasjonal strategi for informasjonssikkerhet. I tiden som kommer skal vi ha et oppdatert og godt nasjonalt rammeverk for dette sikkerhetsarbeidet.

Skal vi møte utfordringene knyttet til informasjonssikkerhet, krever det aktiv deltakelse fra alle – bedrifter, offentlige etater, publikum, IKT-bransjen.
Vi må bygge en felles forståelse for de utfordringene vi møter. Nye tiltak må utvikles i fellesskap der det er mulig, der det er rasjonelt.
Samarbeid er helt nødvendig.

Oktober er vår nasjonale sikkerhetsmåned. Ved å sette informasjonssikkerhet på agendaen håper vi å få opp bevisstheten omkring viktigheten av godt sikkerhetsarbeid.
Derfor er jeg glad for at så mange virksomheter sier at de ønsker å ta del i dugnaden.

Mange har allerede gjort alvor av dette og gjennomfører opplærings- og kompetansehevende aktiviteter i egen virksomhet i forbindelse med oktober-kampanjen. Det er veldig bra!

Husk at det ligger store verdier i informasjonen din.
Ikke la uvedkommende få tilgang til dine hemmeligheter, ødelegge informasjonen eller stoppe systemer som du og din virksomhet er avhengig av.

Tenk deg om.
Vær bevisst.
Vit hva du gjør.

La denne oktober-kampanjen bli starten på et kontinuerlig sikkerhetsarbeid i hele samfunnet.

Med dette erklærer jeg sikkerhetsmåneden for åpnet, og ønsker lykke til med gjennomføringen!