En ny tids trusler krever en ny tids IKT-sikkerhet

For å kunne sikre innbyggerne på en god måte i dagens digitale samfunn har staten nå i enda større grad blitt mer avhengig av innbyggernes egen hjelp, sa statsråd Rigmor Aasrud på NSRs sikkerhetskonferanse,  21. september 2011.
 

Med forbehold om endringer:

Først av alt; Takk for at jeg fikk lov til å komme hit, og honnør til programkomitéen for å ha fått på plass et spennende, aktuelt og bredt program.
 
Det er nå gått ni uker siden bomba eksploderte utenfor Høyblokka. Det uvirkelige ble virkelig. Sammen med massakren på Utøya har bombeangrepet på regjeringskvartalet preget en hel nasjon. Åtte mistet livet i regjeringskvartalet. 69 ble skutt på Utøya. Som nasjon er vi merket for alltid.

Midt i denne uvirkelige situasjonen var det mange som fikk krevende oppgaver med å håndtere krisa både når det gjaldt folk, bygninger og administrativt støtteapparat. Terroraksjonen førte også til at regjeringens kriseråd ble innkalt. Det ble i denne sammenheng iverksatt et omfattende arbeid med å innhente og systematisere nødvendig informasjon slik at vi så raskt som mulig kunne få oversikt over situasjonen.

Nå i ettertid har det slått meg hvor avhengige vi var i forbindelse krisehåndteringen, både lokalt og nasjonalt, av de elektroniske tjenestene og all den informasjonen som flyter rundt i Internett-universet.

I forbindelse med krisehåndteringen var det å sikre stabilitet, tilgjengelighet og kvalitet i regjeringskvartalets IKT-tjenester og -ressurser en sentral oppgave. Umiddelbart etter eksplosjonen i regjeringskvartalet foretok derfor IKT-ledelsen i Departementenes servicesenter (DSS) en sjekk av om IKT-systemene fortsatt var oppe, og om fjernaksessen fungerte som den skulle. Vi erfarte at de dupliserte IKT-systemene så ut til å fungere som normalt, men at IKT-driftssentralen i R4 – det regjeringsbygget som ligger nærmest høyblokka – hadde skader. Omfanget av skadene i R4 førte til at DSS besluttet straks å overføre styringen av IKT-driften i regjeringskvartalet fra R4 til IKT-driftssentral nr. 2 på annen lokasjon.

Departementene hadde stort behov for hjelp og bistad med IKT-tjenester de påfølgende dagene etter hendelsen, og vi måtte oppbemannet brukerassistansen for å kunne håndtere den økte etterspørselen. Mange hadde behov for å komme inn på nettverkene via fjerntilgang og serverparken i regjeringskvartalet ble derfor dimensjonert slik at den kunne håndtere dette. 

God informasjonsflyt ut til publikum var også et viktig element i regjeringens krisehåndtering. DSS bidro i denne sammenheng med å etablere en ordning for rask og direkte publisering av informasjon på Regjeringen.no fra alternative lokasjoner.

En av erfaringene jeg sitter igjen med fra terroraksjonen 22. juli er at betydningen av å ha tilgang til sikre og stabile IKT-systemer ikke må undervurderes. Disse tjenestene er helt avgjørende – som erfaringene fra terroraksjonen viste – for å få tilgang til den nødvendige informasjon slik at de rette valgene kan tas til rett tid i en kritisk situasjon. Heldigvis var det etablert gode rutiner for krisehåndtering. 

Vi erfarte at kriseplanlegging, beredskap og tekniske sikringer er viktig. Men like viktig er det at ledelsen i virksomheten også sørger for å bevisstgjøre og motivere de ansatte til å følge opp gjeldende rutiner, regler og retningslinjer som bygger opp under god IKT-sikkerhet. Klare ansvarslinjer, holdninger, etikk og en organisasjonskultur som fremmer sikkerhet er også viktige. En velfungerende hverdagssikkerhet er en grunnforutsetning for å kunne håndtere mer alvorlige hendelser effektivt.

Hvem skal ta ansvar for informasjonssikkerheten i samfunnet?
Samfunnet er avhengig av IKT og Internett. Informasjonssikkerheten blir dermed en stadig viktigere faktor. Hvem er det så som skal ta ansvar for informasjonssikkerheten i samfunnet? Historisk har en av statens viktigste roller vært å sørge for sikkerheten for sine innbyggere. Utbredelse av IKT og den omfattende digitaliseringen av det norske samfunnet har skapt nye utfordringer med hensyn til hvordan staten i praksis skal ivareta sitt ansvar, og – ikke minst – hvordan vi tenker organiseringen av samfunnssikkerheten generelt.

Misforstå meg ikke. Staten, og sikkerhetsmyndighetene, har fortsatt det overordnede ansvaret for den nasjonale sikkerheten, men for å kunne sikre innbyggerne på en god måte i dagens digitale samfunn, har staten nå i enda større grad blitt mer avhengig av innbyggernes egen hjelp.

Myndighetene bidrar til informasjonssikkerheten i samfunnet gjennom blant annet utforming og håndheving av lover og forskrifter, retningslinjer, tilsyn, og gjennom råd og veiledning. Men vi forventer at organisasjoner, virksomheter og næringsliv bidrar aktivt til sikkerhetsarbeidet gjennom å følge opp myndighetenes krav. I tillegg må virksomhetene på eget initiativ satse på veiledning, informasjons- og motivasjonsarbeid av egne ansatte. Folk flest må også ta sin andel av ansvaret. De må bli mer bevisste sin egen bruk av Internett, og ta initiativ for å beskytte sine PC-er, mobiler og IPad-er, samt egne data.

Reviderte retningslinjer for informasjonssikkerhet
Samfunnet tar stadig ny teknologi i bruk. Samtidig avdekkes det nye trusler og sårbarheter. Vi trenger derfor mer bevissthet om informasjonssikkerhet i samfunnet generelt. Et slikt nødvendig løft for informasjonssikkerheten er ikke en oppgave som regjeringen kan, eller skal, ta alene. Her vil det kreves en kraftig innsats fra mange forskjellige aktører. Jeg vil igjen minne om at informasjonssikkerhet i det daglige først og fremst er et leder- og virksomhetsansvar – både i privat og offentlig sektor.

I 2007 gav JD, FD, SD og FAD i felleskap ut Nasjonale retningslinjer for å styrke informasjonssikkerheten. Formålet med disse retningslinjene har vært å skape en felles forståelse for hvilke utfordringer Norge som nasjon står overfor, samt å få identifisert områder der det er behov for en ekstra innsats for å styrke informasjonssikkerheten.

Målgruppen for retningslinjene har vært statlige myndigheter, men oppfølgingen av retningslinjene er relevant også kommuner, fylkeskommuner, næringsliv, private organisasjoner, husstander og enkeltpersoner.

Retningslinjene omfattet perioden frem til 2010. Denne varigheten er nå forlenget ut 2011, mens det pågår et revisjonsarbeid. Målet med dette arbeidet er å identifisere og beskrive nye sikkerhetsutfordringer og trender, og justere retningslinjene for å ta hensyn til disse. De reviderte nasjonale retningslinjene skal dekke hele spekteret fra grunnleggende IKT-sikkerhet til beskyttelse av samfunnskritisk IKT-infrastruktur.

Retningslinjene skal holdes på et overordnet nivå. Vi planlegger også å etablere en egen handlingsplan, basert på innspill fra sektordepartementene, som mer konkret vil beskrive hvordan retningslinjene skal følges opp.

Vi er opptatt av en helhetlig satsing på å styrke den nasjonale informasjonssikkerheten. Vi er derfor blitt enige med Justisdepartementet og Forsvarsdepartementet om å ikke fragmentere dette arbeidet ved å utarbeide en egen cybersikkerhetsstrategi for samfunnskritisk infrastruktur. Forslaget til en cybersikkerhetstrategi – som noen av dere kanskje kjenner til – vil i stedet inngå som en del av grunnlagsmaterialet til utformingen av retningslinjene, spesielt innenfor behandlingen av spørsmål knyttet til samfunnskritisk IKT-infrastruktur.

Jeg har registrert at det ved flere anledninger har det blitt hevdet at det er for mange organer innen IKT-sikkerhet. I forbindelse med revisjonen av retningslinjene skal vi derfor foreta en gjennomgang av departementenes samordnings- og sektoransvar for IKT-sikkerhet for å se om det er behov for å justere, eventuelt presisere, nåværende ansvarsfordeling.

Revisjonsarbeidet skjer ikke som en lukket prosess. Jeg er opptatt av at alle sentrale aktører i offentlig og privat sektor skal få anledning til å komme med innspill på innretningen av, og innholdet i, retningslinjene og hvilke innsatsområder som bør prioriteres. Jeg oppfordrer derfor alle som er her i dag til å komme med innspill til hvordan dere mener at den nasjonale informasjonssikkerheten kan styrkes i årene som kommer.

Jeg ønsker dere lykke til med denne viktige konferansen og det viktige arbeidet dere gjør.
Takk for oppmerksomheten!