Del 3
Fundamentet for vekst

9 IKT-kompetanse og FoU

Utdanning, kompetanse og forskning innen IKT kan bidra til at Norge styrker sin konkurransekraft og befester sin posisjon som en av de best utviklede, kunnskapsbaserte og konkurransedyktige økonomiene i verden. Derfor er det viktig å ha tilstrekkelig tilgang på IKT-kompetanse på høyt utdanningsnivå, såkalt avansert IKT-kompetanse. I tillegg trenger vi fremragende forskning på IKT.

IKT er ikke bare viktig i IKT-næringen. IKT muliggjør omstilling og produktivitetsvekst i alle sektorer. Derfor er det viktig å sikre et IKT-faglig perspektiv i andre relevante profesjonsutdanninger, som helse og omsorg, energi, miljø, design og arkitektur, kriminalitetsbekjempelse og undervisning.

Regjeringen vurderer de mest aktuelle kompetansebehovene i et IKT-perpektiv til å være:

• Norge trenger kjernekompetanse innen informatikk som lett kan gis forskjellige anvendelser i næringsliv og offentlig sektor.

• Norge trenger tverrfaglige utdanninger i informatikk og enkelte sentrale fagområder med stor betydning for næringslivet og offentlig sektor.

• Forståelse av IKT er viktig i grunnutdanning og videreutdanning for alle yrkesgrupper. IKTs rolle i utdanningen må reflektere fremtidens behov fremfor dagens situasjon.

Det er viktig for Norge å ha tilstrekkelig tilgang på avansert IKT-kompetanse i næringsliv og i offentlig sektor.

• Grunnutdanningen bør bidra til å sikre samfunnet et godt rekrutteringsgrunnlag for avansert IKT-kompetanse på lengre sikt.

• Det er viktig med godt samarbeid og dialog mellom utdanningsinstitusjoner og næringsliv.

• De som har gjennomført en profesjonsutdanning bør være godt forberedt på en arbeidshverdag hvor digitale verktøy spiller en viktig rolle.

• Det bør være gode mekanismer for arbeidsinnvandring som bidrar til å utfylle behovet for avansert IKT-kompetanse.

• Forskningsmiljøer innen IKT som holder et høyt internasjonalt nivå, er viktig for norsk næringsliv og offentlig forvaltning. Det gjelder både IKT-grunnforskning og mer anvendt forskning på områder som er viktige for norsk næringsliv og offentlig forvaltning.

• IKT-FoU av høy kvalitet er viktig for nyetableringer og økt verdiskaping.

9.1 Avansert IKT-kompetanse

Medarbeidernes kompetanse er avgjørende i alle bedrifters arbeid for å skape verdier. I St.meld. nr. 44 (2008–2009) Utdanningslinja fremgår det at de menneskelige ressursenes andel av nasjonalformuen har økt betydelig de siste 25 årene og at de nå utgjør 80 prosent. Det er altså befolkningens kompetanse som er den viktigste faktoren for vekst. Tilgangen på utdannet arbeidskraft vil i stor grad bestemme næringsstrukturen i Norge. For å sikre høy verdiskaping er det derfor viktig at landet, uavhengig av fagfelt, har kompetanse til å huse bedrifter og næringer med høyt verdiskapingspotensial. Tilstrekkelig tilgang på avansert IKT-kompetanse er et ledd i å sørge for slik kapasitet. Regjeringen er derfor opptatt av at norsk samfunns- og næringsliv får tilgang på slik kompetanse. Dette vil utgjøre et viktig grunnlag for innovasjon og ny næringsutvikling både i IKT-næringen og i de næringer hvor IKT er viktig. God tilgang på relevant kompetanse kan muliggjøre flere nyetableringer og økt verdiskaping.

Ifølge fremskrivningene fra Statistisk sentralbyrå vil vi ha mangel på høyere grads teknologer fremover, også innen IKT. Den forventede knappheten på IKT-kompetanse kan derfor bli et hinder for næringsutvikling og måloppnåelse på flere politikkområder.

9.1.1 Behovene og etterspørselen hos bedriftene

Etterspørselen etter ingeniører og IKT-utdannede er høy, samtidig som det er få ledige arbeidstakere. Dette gjør IKT-arbeidere til en yrkesgruppe arbeidsgivere ofte vil ha problemer med å rekruttere. Utviklingen er ikke spesiell for Norge – også resten av Europa opplever at etterspørselen etter IKT-kompetanse øker, samtidig som det er nedgang i kandidatproduksjonen. NAVs bedriftsundersøkelse fra høsten 20121 viser at det er størst mangel på arbeidskraft innen ingeniør- og IKT-yrker. Informasjons- og kommunikasjonssektoren er en av de sektorene som rapporterer om størst rekrutteringsproblemer. I undersøkelsen svarte 16 prosent av bedriftene i denne sektoren at de har opplevd alvorlige rekrutteringsproblemer, det vil si at de har mislyktes med rekruttering de siste tre månedene. I tillegg oppgir 5 prosent av virksomhetene at de har ansatt noen med lavere eller annen formell kompetanse enn det de søkte etter.

Internasjonale undersøkelser viser at ansettelser innen IKT-industrien og ansettelser av IKT-spesialistkompetanse alene står for opp mot fem prosent av den totale arbeidsstokken i OECD-landene. Mer enn 20 prosent av alle arbeidstakere har jobber som defineres som IKT-intensive. Undersøkelser viser også at IKT-spesialister, for eksempel programmerere, utgjør 3–4 prosent av den samlede arbeidsstokken i de fleste OECD-land. Det fremholdes at det er behov for IKT-spesialister innen IKT-sektoren, men også innen andre deler av økonomien.2

Fremskrivninger

Fordi IKT inngår som en integrert del av mange fagområder, er det en utfordring å trekke ut statistikkinformasjon som er spesifikk for IKT-området.

Fremskrivninger fra Statistisk sentralbyrå viser at etterspørselen etter høyere grads teknologer, slik som sivilingeniører, forventes å øke frem mot 2030.3 Sysselsettingen av teknologer med lavere grads høyere utdanning forventes å stabilisere seg frem mot 2030. En studie fra Kunnskapsdepartementet fra 2010 viser at teknologer er blant de yrkesgruppene det vil bli størst økning i etterspørsel etter, sammen med lærere, realister, økonomer og helsefagarbeidere.4

9.1.2 IKT-utdanningen

Norge har både private og offentlige utdanningstilbud innen IKT. Utdanningen av kandidater på høyt nivå skjer i hovedsak ved de store universitetene, med NTNU og UiO som de største. NTNU og UiO utdanner til sammen omtrent 80 prosent av masterstudentene i datateknikk i Norge. Det er totalt rundt 30 norske institusjoner, hvorav tre private, som tilbyr informasjons- og datateknologistudier.

I 2010 ble det uteksaminert i underkant av 1000 kandidater i IKT-fag på bachelor- og masternivå i Norge.5 Antall uteksaminerte kandidater på dette nivået i 2010 er halvert siden 2004. På tross av den stadig økende etterspørselen etter IKT i samfunnet, har ikke interessen for IKT-studier på alle nivå kommet tilbake til 2004-nivå.6 Gjennom Samordna opptak lyser universitetene og høyskolene ut studietilbud. I 2011 ble det tilbudt i overkant av 3000 studieplasser i informatikk.

Søkertall fra Samordna opptak for 2012 viser en positiv økning i søknader til IKT og naturvitenskapelige fag. Det har vært 25 prosent økning på ingeniørfagene sammenlignet med 2011.

De statlige universitetene og høgskolene er selvstendige og har vide fullmakter til å opprette og nedlegge fag. I utviklingen av utdanningstilbudene tar institusjonene hensyn til hvilke faglige ressurser de har, det vil si antall lærere, og hvordan de kan sikre tilstrekkelig faglig kvalitet. I tillegg må de forholde seg til antall søkere til de ulike studiene. Det er i stor grad elevenes og studentenes valg som bestemmer utdanningstilbudet og dimensjoneringen av utdanningssystemet. Denne dynamikken gjør at det på noen områder kan oppstå et sprik mellom arbeidslivets behov og ungdommenes utdanningsvalg.

Hvorfor velger ikke flere IKT-utdanning?

Andelen ungdommer som søker IKT-fag har sunket kraftig siden 2004. Også internasjonalt tyder tallene på at det ikke er nok søkere til dette fagområdet. Til tross for at ungdom er svært hyppige brukere av internett, er det mindre enn 30 prosent av guttene og 15 prosent av jentene som planlegger for å studere IKT-relaterte studier på videregående nivå.7 Det er også en underrepresentasjon av kvinner i teknologifag i Norge.8

Vi har ikke god nok kunnskap om hvorfor antallet som søker seg til høyere IKT-utdanning har sunket så kraftig. Fremover bør vi derfor undersøke om det er særlige utfordringer knyttet til IKT-fag som man må ta tak i. Det er også viktig å vurdere tiltak som kan stimulere elevenes interesse for IKT- og teknologifag allerede i grunnskolen.

Satsing på realfag

Realfagsstrategien Et felles løft for realfagene ble lansert i 2006. Hovedmålene for strategien er å øke interessen for realfag og teknologi og styrke rekruttering og gjennomføring på alle nivåer av utdanningssystemet. I tillegg skal norske elevers realfagskompetanse styrkes, og man ønsker å øke jenteandelen på studier i matematikk, fysikk, kjemi og teknologifagene. Gjennom strategien er det etablert et nasjonalt ressurssenter for realfagsrekruttering, RENATE-senteret. RENATE vil gjennom mentorer og rollemodeller vise ungdommer, foreldre og lærere at realfag og teknologi gir spennende, kreative og interessante yrkesmuligheter. Realfagsstrategien er siden lanseringen fulgt opp gjennom tre tiltaksplaner.

9.1.3 Næringslivets rolle

Næringslivet er mottakere av den IKT-kompetansen utdanningsinstitusjonene leverer. Virksomhetene har imidlertid også et selvstendig ansvar for å sikre at de har tilstrekkelig kvalifisert arbeidskraft til å dekke egne behov. Siden de fleste i morgendagens arbeidsliv allerede er i arbeidslivet, er det også viktig med gode vilkår for etter- og videreutdanning. Etter- og videreutdanningen gir ny relevant kunnskap. Arbeidstakere med bransjeerfaring kan på den måten tilegne seg IKT-kompetanse tilpasset behovene innen sin bransje. Det bør være enkelt for arbeidstakere å skaffe seg etter- og videreutdanning. Dette er noe som næringslivet også er opptatt av og fremhever som viktig. Etter- og videreutdanningen kan gjennomføres i virksomhetene, men det bør da være i dialog med utdanningsinstitusjonen.

Samarbeid mellom UH-sektoren og næringslivet

Som vi har sett, vil det være begrensninger i norsk kandidatproduksjon innen IKT fremover. Det er behov for IKT-kompetanse på mange områder i samfunnet. Flere fagområder skal kjempe om talentene. Dette er en utfordring som må følges nøye, og hvor løsningene i hovedsak må komme gjennom felles innsats fra utdanningsinstitusjoner, næringsliv og myndigheter.

I utdanningsmeldingen fra 2010 pekte regjeringen på det generelle behovet for samarbeid mellom utdanning og næringsliv.9 For å formalisere og styrke dette samarbeidet har alle statlige universiteter og høgskoler opprettet et Råd for samarbeid med arbeidslivet (RSA). Disse rådene skal ha representasjon av arbeidslivets parter, studenter og andre relevante aktører i nedslagsfeltet for institusjonen. Rådene skal også utarbeide strategier for samarbeidet med arbeidslivet. I strategiarbeidet skal man blant annet diskutere utvikling av gradsutdanninger og etter- og videreutdanning. Dette er en mekanisme som det er viktig å benytte seg av, men også å videreutvikle på IKT-området.

9.1.4 Internasjonalisering av utdanningen

I St.meld. nr. 14 (2008–2009) Internasjonalisering av utdanning vektlegger regjeringen tiltak for internasjonalisering både hjemme og ute. Fordi det meste av kunnskapsutviklingen i verden skjer utenfor Norge, er det viktig at norske utdanningsinstitusjoner og forskningsmiljøer har utstrakt internasjonal kontakt. Dette kan skje gjennom utveksling av studenter og lærekrefter, og gjennom forskningssamarbeid.

Norge er etter hvert et av de eneste europeiske landene som tilbyr gratis høyere utdanning også til studenter som kommer fra andre land enn EØS- og EU-landene. Dette har ført til at mange utenlandske studenter søker seg til studier i Norge. De utenlandske studentene representerer et viktig rekrutteringsgrunnlag for institusjoner som sliter med lave søkertall, kanskje særlig innenfor realfag.

Utlendingsdirektoratet (UDI) har fått gjennomført en undersøkelse som kartlegger i hvilken grad utenlandske studenter blir i Norge, og i hvor stor grad de inngår i den norske arbeidsstokken etter endt utdanning.10 Om lag 8 prosent av studentene ved norske institusjoner har utenlandsk statsborgerskap. Ca. 2 prosent av studentene høsten 2011 er utlendinger som studerer matematisk- naturvitenskapelige fag, teknologi eller ingeniørfag. Mange av de som studerer i Norge flytter etter endt utdannelse, men over halvparten (55 prosent) av de som kom fra såkalte 3. land (utenfor EU/EØS) i 2008 er fortsatt i Norge i dag. 25 prosent av de som kom fra EU/EØS-land er tilsvarende fortsatt bosatt i Norge i dag. Statistikken indikerer også at en stor del av de utenlandske studentene som arbeider i Norge i dag har jobber som er relevante og på høyt faglig nivå. Av studenter som kom til Norge i perioden 2000–2002 er 90 prosent enten i utdanning, i arbeid eller aktivt arbeidssøkende.

Kilde: NIFU Doktorgradsstatistikk, februar 2012

Internasjonal kontakt er viktig for at Norge som kunnskapsnasjon skal kunne konkurrere og samarbeide i et globalt utdannings- og arbeidsmarked.11 Senter for internasjonalisering av utdanning (SiU) forvalter flere typer programmer som støtter internasjonalt utdanningssamarbeid i dag. Regjeringen vil vurdere om det er behov for å styrke internasjonalt samarbeid innenfor IKT-kompetanse.

9.2 IKT-kompetanse i andre profesjoner

I takt med den økende digitaliseringen opplever stadig flere profesjoner som tidligere hadde lite innslag av IKT at digital kompetanse og bruk av digitale verktøy blir viktig. Innenfor stadig flere områder er ikke IKT lenger en støttefunksjon, men en kjernefunksjon. For å bidra til utviklingen og implementeringen av gode og innovative IKT-løsninger på slike områder, er det nødvendig å ha tilgang til personer med systemforståelse og høy teknisk kompetanse – kombinert med sektorkunnskap. Dagens fagutdanninger må også være egnet til å møte morgendagens behov. Det er derfor viktig å sørge for at IKT-perspektivet inngår i annen relevant profesjonsutdanning, samt utdanning også på lavere nivå. Det er blant annet dette som ligger til grunn for Meld. St. 13 (2011–2012) Utdanning for velferd, som omfatter helse- og velferdsområdet.

IKT i helse og omsorg

Det skjer store reformer i helse- og omsorgssektoren, slik det er beskrevet i kapittel 6. Reformene omfatter blant annet innføring av ny teknologi, slik som nettbaserte tjenester, mobile helse- og omsorgstjenester og smarthusløsninger. Slike omstillinger krever endret kompetanse hos helsepersonellet som skal bruke løsningene. Strukturen og innholdet i de helse- og sosialfaglige utdanningene må gjenspeile kompetansebehovet i tjenestene. Det er et spesielt behov for å tenke nytt innen de helse- og sosialfaglige utdanningene ved universiteter og høgskoler, blant annet for å gi studentene bedre grunnlag for å forstå og ta i bruk ny teknologi i helse- og omsorgstjenestene på alle nivåer.

IKT i kriminalitetsbekjempelsen

IKT blir i stadig større grad brukt i kriminell virksomhet. Flere og flere forbrytelser er rettet mot datasystemer, pc-er og mobiltelefoner. IKT blir derfor også stadig viktigere i kriminalitetsbekjempelsen. I tillegg er elektroniske spor eller databeslag en stadig mer sentral del av de fleste etterforskninger. Ulike trendrapporter spår en økning i datakriminalitet fremover. Politiet må arbeide for å sikre tilstrekkelig kompetanse til å avdekke, identifisere og håndtere datakriminalitet. Politiet må også være mer til stede på internett gjennom åpen patruljering og skjult spaning. Dette vil naturligvis kreve at politiutdanningen tilbyr nødvendig opplæring på IKT-områdene. I samråd med riksadvokaten opprettet Politidirektoratet våren 2011 en arbeidsgruppe som kartla hvordan politiet arbeider med datakriminalitet, elektroniske spor og med tilstedeværelse på internett. Mandatet var å finne ut hvordan politiet kan arbeide med dette i fremtiden.

Rapporten Politiet i det digitale samfunn12 har fokus på forbedringspunkter, og beskriver hvordan politiet arbeider med elektroniske spor, IKT-kriminalitet og politiarbeid på internett i dag. Den gir anvisninger om hvordan det kan arbeides med disse områdene fremover. Politiet vurderer tiltakene i rapporten, som blant annet omfatter behov for opplæringstiltak med hensyn til teknologiforståelse i alle ledd i politiorganisasjonen.

IKT i utdanningssektoren

Å kunne bruke digitale verktøy er en av de grunnleggende ferdighetene elevene skal tilegne seg gjennom grunnopplæringen, og er integrert i kompetansemålene i alle fag. For å få til dette, bør lærerne ha kompetanse i pedagogisk bruk av IKT, beherske bruken av digitale læremidler og kunne integrere teknologibruken i undervisningen på en god måte.

De grunnleggende ferdighetene er forankret i rammeplan for grunnskolelærerutdanningene. En OECD-studie viser imidlertid at lærerutdanningene ikke tilbyr praksisbasert erfaring med IKT.13 Dermed får man gjennom utdanningen heller ikke demonstrert hvordan teknologien kan brukes effektivt i klasserommet. De lærerne som sjelden eller aldri benytter digitale læremidler i undervisningen mener selv at egen kompetanse er en viktig grunn til dette.14 Det er derfor viktig at også lærere som allerede er utdannet, oppdaterer seg på feltet.

Regjeringen har gjennomført en storstilt satsing på videreutdanning av lærere gjennom strategien Kompetanse for kvalitet.15 Målet med strategien er å øke antall lærere som har faglig og fagdidaktisk kompetanse med opp til 60 studiepoeng, og er målrettet mot fag og områder det særlig er behov for å styrke. Ettersom IKT ikke er et eget fag i grunnskolen, er det ikke prioritert som et eget fagområde. I stedet skal både den grunnleggende ferdigheten å kunne bruke digitale verktøy og pedagogisk bruk av IKT i faget inngå i alle kurs som tilbys.

Behovet for kunnskap om teknologi gjelder også for ansatte i barnehager. I den nye rammeplanen for barnehagelærerutdanningen står det at studenten ved endt studieløp skal ha bred kunnskap om barns gryende digitale ferdigheter.

IKT i offentlig forvaltning

Både statlig og kommunal forvaltning gjennomgår en omfattende digital fornying, blant annet med vekt på bedre samhandling mellom ulike IKT-systemer og virksomheter (se kapittel 8). For å nå målene om en digital forvaltning trengs robust infrastruktur, gjennomtenkte og velfungerende fellestjenester og felleskomponenter, og gode tilpasninger til virksomhetsspesifikke forhold.

En slik satsing krever offentlig ansatte med kompetanse innen spesialiserte fag, slik som IKT-arkitektur, systemutvikling, informasjonssikkerhet og personvern.

9.3 Arbeidsinnvandring

Selv om vi øker antallet uteksaminerte IKT-kandidater i årene fremover, vil det trolig ikke dekke etterspørselen etter IKT-kompetanse i samfunnet. Virksomheter som ikke får tak i den kompetansen de trenger, løser utfordringen på ulike måter. I noen tilfeller ansettes kandidater med utdanning på lavere nivå. Det kjøpes også tjenester fra konsulentfirmaer eller bemanningstjenester. Mange rekrutterer dessuten relevant kompetanse fra utlandet. Regjeringens arbeidsinnvandringspolitikk bygger på St.meld nr. 18 (2007–2009) Arbeidsinnvandring. Regjeringen ønsker å legge til rette for enkel og effektiv rekruttering av nødvendig arbeidskraft fra utlandet.

EØS-området vil være hovedarena for norske arbeidsgiveres rekruttering av arbeidskraft fra utlandet. . I 2009 ble kravet til arbeidstillatelser for EØS-borgere opphevet. I stedet ble det innført en registreringsordning, som innebærer at EØS-borgere som skal bo og arbeide i Norge i mer enn tre måneder må registrere seg hos politiet eller ved et servicesenter for utenlandske arbeidstakere.

Tredjelandsborgere, altså borgere fra land utenfor EØS- og EFTA-området, trenger fremdeles oppholdstillatelse for å arbeide i Norge. Tillatelse kan gis til faglærte arbeidstakere16 som har fått et konkret arbeidstilbud med norske lønns- og arbeidsvilkår. For å sikre rask rekruttering av arbeidskraft fra tredjeland, er det innført en ordning med tidlig arbeidsstart. Ordningen innebærer at arbeidstakere som har levert inn en fullstendig søknad om oppholdstillatelse, kan begynne å jobbe mens søknaden er til behandling.17 I tillegg er Utlendingsdirektoratet (UDI) pålagt å behandle 80 prosent av søknadene fra arbeidsinnvandrere innen fire uker.

For å bedre informasjonen til utenlandske arbeidstakere som ønsker å arbeide i Norge, er Arbeids- og velferdsdirektoratet i gang med å opprette en egen nettportal. Denne skal fungere som inngang for all relevant informasjon om arbeidsinnvandring og tjenesteimport. Videre er etaten i gang med å etablere et pilotprosjekt ved enkelte utenriksstasjoner for å informere om jobbmulighetene i Norge.

I Oslo, Stavanger og Kirkenes er det opprettet servicesentre for utenlandske arbeidstakere for å legge til rette for utlendinger som ønsker å jobbe i Norge.

Arbeidsdepartementet har bedt OECD om å gjennomgå de norske reglene og tiltakene og vurdere om de legger til rette for den ønskede arbeidsinnvandringen. Det er ventet at rapporten vil bli fremlagt høsten 2013.

9.4 IKT-forskning og utvikling

Regjeringens nasjonale strategi for IKT-FoU er under forberedelse. Det gis derfor bare en kort omtale av IKT-FoU i denne meldingen.

En nær kobling mellom undervisning og forskning bidrar til at utdanningen kan svare på endrede behov, samfunnets krav og vitenskapelige fremskritt.

I 2009 ble det utført forskning og utvikling (FoU) innen IKT for 8,7 milliarder kroner i Norge.18 Dette utgjorde om lag 20 prosent av de samlede utgiftene til FoU i Norge.

Næringslivet står for ca. 80 prosent av FoU innen IKT. Mesteparten av dette (ca. 90 prosent) dreier seg imidlertid om utviklingsarbeid. Omtrent halvparten av næringslivets FoU skjer i næringer som tradisjonelt benytter mye IKT, men som ikke naturlig defineres som del av IKT-sektoren – slik som petroleumsindustrien og bioteknologinæringen. Dette illustrerer IKTs betydning på tvers av sektorer og bransjer.

I 2012 ble det lagt frem en evaluering av Norges forskningsråd19 og en fagevaluering av norsk IKT-forskning20. Begge evalueringene gir uttrykk for at det er behov for å øke de offentlige investeringene i norsk IKT-forskning. Spørsmålet om bevilgninger til IKT-forskning vil håndteres i de ordinære budsjettrundene.

9.4.1 Virkemidler for IKT-FoU

Den offentlige IKT-forskningen skjer stort sett ved universiteter, høgskoler, forskningsinstitutter og i helseforetak. De største aktørene er NTNU og UiO, som til sammen sto for omtrent 75 prosent av universitetenes samlede forskningsinnsats på IKT i 2009.

Det offentlige bevilger ca. to milliarder kroner til forskning og utvikling innen IKT hvert år. En del av dette kommer som en andel av de årlige basisbevilgningene til universitetene og høgskolene. Bevilgningen går blant annet til å finansiere faste forsknings- og undervisningsstillinger.

Offentlige konkurransearenaer

Bevilgningene fra det offentlige går også til konkurransearenaene, hvor de beste prosjektene får finansiering. Konkurransearenaene gir mulighet for å stimulere til forskning på områder som har særlig samfunnsmessig betydning. Den viktigste aktøren i de offentlige konkurransearenaene er Norges forskningsråd. EUs rammeprogram for forskning utgjør den viktigste internasjonale arenaen.

Verdikt

Forskningsrådets Verdikt-program (Kjernekompetanse og verdiskaping i IKT) har vært det største norske IKT-programmet med offentlig støtte siden det ble etablert i 2007. Verdikt varer til 2014, og hadde et samlet budsjett på 180 millioner kroner i 2011. Forskningsrådet har startet et arbeid for å avklare den videre satsingen på IKT etter Verdikt avsluttes i 2014.

Brukerstyrt innovasjonsarena (BIA)

Brukerstyrt innovasjonsarena (BIA) er Forskningsrådets program rettet mot FoU i næringslivet. Det er en åpen konkurransearena, noe som betyr at prosjekter fra ulike områder konkurrerer om å få støtte på grunnlag av forskningskvalitet, innovasjonsgrad og verdiskapingspotensial. Prosjektene har med andre ord utspring i bedriftenes egne strategier og behov. Støtten er på 25–50 prosent av de samlede prosjektkostnadene. Prosjektene organiseres i konsortier hvor bedrifter og forskningsmiljøer samarbeider om resultatene. Kunnskaps-, teknologi- og IKT-næringen står for 20 prosent av porteføljen. IKT-prosjektene i BIA spenner vidt, fra programvare, sensorer og elektronikk til tjenester og utviklingsmetodikk. Offentlige virksomheter kan delta som partnere i BIA, men de kan ikke selv være søkere.

Skattefunn

Skattefunn er en skattefradragsordning for næringslivet. Norske bedrifter med forsknings- eller utviklingsprosjekter har rett til skattefradrag for kostnader knyttet til forskning og utvikling (FoU). Formålet med ordningen er å stimulere til mer FoU i næringslivet, og dermed økt innovasjon. IKT viser seg ofte å være tema, også for bedrifter som ikke tilhører IKT-sektoren. I 2011 var IKT det mest brukte temaet i Skattefunn, med 1384 prosjekter, foran temaene tjenester (637), bioteknologi (345), miljøteknologi (281) og innovasjon i og for offentlig sektor (107). Målt etter sektorer med flest skattefunnprosjekter var IKT-sektoren igjen størst, med 683 prosjekter, foran marin/sjømat (405) og petroleum (365). Prosjekter i IKT-sektoren var i 2011 forventet å gi et skattefradrag på 481 millioner kroner. Forventet skattefradrag for andre sektorers IKT-prosjekter er i samme størrelsesorden.

Små og mellomstore bedrifter21 kan få 20 prosent fradrag for kostnader knyttet til FoU-prosjekter, mens store bedrifter kan få 18 prosent fradrag. Øvre grense for kostnader som kan inngå i fradragsgrunnlaget er 5,5 millioner kroner per år for egenutført FoU og 11 millioner kroner for summen av egenutført FoU og innkjøp fra godkjente FoU-institusjoner. Utformingen bidrar til at særlig små og mellomstore bedrifter drar nytte av ordningen.

Nærings-ph.d.

Nærings-ph.d. er en treårig doktorgrad som stipendiaten tar i en bedrift. Stipendiaten er ansatt i bedriften, og doktorgradens problemstilling har klar relevans for virksomheten. Bedriften får gjennom nærings-ph.d. ny kompetanse og bedre kontakter innenfor akademia.

Bedrifter som inngår avtale om nærings-ph.d. får et årlig økonomisk tilskudd fra Norges forskningsråd som tilsvarer 50 prosent av stipendiatsatsen. Det er en forutsetning at kandidaten som ansettes blir tatt opp på et ordinært doktorgradsprogram ved universitet eller høgskole. Ordningen kan være et godt alternativ for bedrifter som ikke har ressurser til å delta i større forskningsprosjekter.

Det har vært en jevn stigning i antall teknologiprosjekter knyttet til nærings-ph.d. – totalt 43 prosent av prosjektene er teknologiprosjekter, og et stort antall av disse har innslag av IKT. Mange av IKT-prosjektene utføres i tilknytning til olje- og gassteknologi, noen mot helse- og omsorgssektoren, og det er også prosjekter som retter seg mot lærerutdanningen og kognitiv teknologi. For 2012 er det satt av midler til omtrent 40 nye prosjekter innenfor ordningen.

Framover vil offentlig sektor ha stort behov for avansert IKT-kompetanse, særlig knyttet til digitalisering og omstilling. Mange aktører både ved forskningsinstitusjonene og i offentlig virksomhet har etterlyst en finansieringsmekanisme tilsvarende, og i tillegg til, nærings-ph.d. Her delfinansierer den offentlige aktøren et doktorgradsløp for egne ansatte innenfor kunnskapsområder som er viktige for virksomheten. Regjeringen har i Meld. St. 18 (2012–2013) Lange linjer – kunnskap gir muligheter annonsert at den vil følge opp dette ved å få utredet en ordning tilsvarende nærings-ph.d. også for offentlige virksomheter. I oppfølgingen av Digital agenda vil det derfor være aktuelt å vurdere en pilot for en slik ordning, spesielt rettet inn mot tema og problemstillinger knyttet til IKT i offentlig sektor. Arbeidet med dette vil gjennomføres innefor gjeldende budsjettrammer. I første omgang vil det være behov for å utrede innretning, avgrensning og omfang av en slik ordning, i samarbeid med Norges forskningsråd.

9.4.2 Strategi for IKT-FoU

St.meld. nr. 30 (2008–2009) Klima for forskning peker på IKT som ett av tre FoU-områder der det er behov for særskilte strategier. Målet er å sikre fremragende forskningsresultater og nasjonal kompetanse på et høyt nivå.

En internasjonal ekspertkomité har nylig gjennomført en evaluering av norsk IKT-forskning. Evalueringen viser at det er god kvalitet på den nasjonale forskningen, men at det fortsatt er rom for forbedringer. En viktig anbefaling er at Norge trenger en nasjonal strategi som angir retningen for forskningsinnsatsen.

10 IKT til å stole på

Allerede i Sårbarhetsutvalgets rapport fra 2000, NOU 2000: 24 Et sårbart samfunn, slås det fast at IKT-systemene er blitt en av samfunnets bærebjelker, og at samfunnet er blitt mer sårbart for svikt i disse systemene. Siden den gang er IKT-systemer blitt stadig mer sentrale, mer integrert i alle deler av samfunnet og viktigere for at samfunnet skal fungere normalt. Forebyggende IKT-sikkerhet er derfor en viktig del av samfunnssikkerheten, og vi må ha på plass systemer og rutiner for å forebygge og håndtere uønskede hendelser knyttet til IKT. Dette er viktig for at alle skal ha tillit til de IKT-løsningene som tilbys, både fra private aktører og fra det offentlige. Vi vet fra e-handel at tillitt til sikkerhet i for eksempel betalingsløsninger har stor innvirkning på hvor mange som tar løsningene i bruk (se kapittel 4.2). Uten tillit vil utbredelsen av IKT bli mindre, og omstillingen i både næringsliv og offentlig sektor vil forsinkes.

Personvernet blir også utfordret av nye måter å kommunisere og bruke informasjonssystemer og nett på. Misbruk av identitet er en økende utfordring for privatpersoner, virksomheter og myndighetene. Det er viktig at brukere av norske offentlige tjenester kan føle seg trygge på at deres personopplysninger ikke kan komme på avveie eller misbrukes.

Regjeringen har fire overordnede mål for informasjonssikkerhetsarbeidet:

• styrket samordning og felles situasjonsforståelse

• robust og sikker IKT-infrastruktur i hele samfunnet

• sterk evne til å håndtere uønskede IKT-hendelser

• høy kompetanse og sikkerhetsbevissthet

Med informasjonssikkerhet menes at informasjonen oppbevares sikkert, at den behandles riktig og at den er tilgjengelig ved behov. Det er viktig at informasjon ikke avsløres for uvedkommende, og at kun personer som har rett til det, får tilgang til informasjonen. På fagspråket kalles dette konfidensialitet. Informasjonen og informasjonsbehandlingen skal videre være fullstendig, nøyaktig og gyldig – også kalt integritet. IKT-systemene skal dessuten oppfylle bestemte krav til stabilitet, slik at informasjonen er tilgjengelig ved behov. Sistnevnte omtales gjerne som tilgjengelighet.

Informasjonssikkerhet er en kontinuerlig prosess. Den raske teknologiske utviklingen gjør at det stadig dukker opp nye sikkerhetsutfordringer i takt med introduksjon av nye produkter og tekniske løsninger, og endrede bruksmønstre. Sikkerhetsutfordringene omfatter alle nivåer i samfunnet, fra beskyttelse av enkeltpersoners pc-er og mobile enheter (som mobiltelefon eller nettbrett), til beskyttelse av systemer som er avgjørende for samfunnskritiske funksjoner.

Riksrevisjonen har tidligere avdekket en god del svakheter i informasjonssikkerheten i statsforvaltningen.22 Nasjonal sikkerhetsmyndighet slår fast i Rapport om sikkerhetstilstanden 2011 at samfunnsviktige IKT-systemer ofte ikke er godt nok sikret, og at truslene som virksomhetene blir utsatt for, øker. Mørketallsundersøkelsen™, fra Næringslivets sikkerhetsråd viser at gapet mellom trusler og sikkerhetstiltak øker i både offentlig og privat sektor. Samtidig blir virksomhetene stadig mer avhengige av IKT.

Informasjonssikkerhet er et område som blir stadig viktigere for økonomisk vekst, samfunnssikkerhet og nasjonal og internasjonal sikkerhetspolitikk. Mange land har utarbeidet egne strategier og retningslinjer for arbeidet med informasjonssikkerhet. Også i Norge har regjeringen utarbeidet en egen strategi for informasjonssikkerhet.23 Strategien er en oppfølging av de tidligere retningslinjene for informasjonssikkerhet, og den vil bli fulgt opp gjennom en handlingsplan som vil revideres etter behov.

Arbeidet med informasjonssikkerhet har høy prioritet i regjeringen.

10.1 Situasjon og utfordringer

Når man snakker om trusler mot informasjonssikkerheten, tenker mange på datakriminalitet eller krigføring i det digitale rommet («cyber war»). Trusler mot informasjonssikkerheten kan imidlertid være både tilsiktede og utilsiktede og kan like gjerne handle om utilsiktet skade på fysisk infrastruktur som sabotasje mot datasystemene.

Samfunnet er blitt mer sårbart for korte driftsavbrudd i systemer og nett. Dette skyldes blant annet økt kompleksitet, hvor flere systemer samhandler og er avhengig av hverandre. Eksempler på dette er overvåkings- og styringssystemer i prosessindustrien, avanserte målesystemer i strømnettet, og signalanlegg og styringssystemer for trafikk.

10.1.1 Sikring av fysisk infrastruktur

Statistikk fra Post- og teletilsynet viser at bruken av mobiltelefon har økt fra 12 prosent av telefontrafikken i 2001, til 72 prosent i første halvår 2012. Stadig flere bruker mobiltelefon som sin eneste telefon. I dag brukes telenettet til utveksling av alt fra enkle tekstmeldinger og telefonsamtaler, til styring av komplekse industrisystemer.

Virksomheter og enkeltpersoner tar i økende grad i bruk skytjenester, det vil si nettbaserte tjenester for lagring og behandling av informasjon. Bruken av nettsky øker avhengigheten av internett som infrastruktur.

IKT-infrastrukturen er avhengig av strømforsyning. Tilbydere av IKT-infrastruktur og -tjenester har i varierende grad beskyttet seg mot uregelmessig tilførsel av strøm. De som har beskyttet seg har i hovedsak bare beskyttet seg mot korte strømbrudd. Sikker og forutsigbar tilgang på strøm vil være særlig kritisk for tilbyderne av IKT-infrastruktur og for virksomheter som er avhengig av IKT. Denne avhengigheten representerer en vesentlig sårbarhet i samfunnet.

Trusler mot infrastrukturen

I fremtiden kan vi regne med hyppigere og mer ekstreme hendelser som store nedbørsmengder, stormer, tørke, flom og skred. Det vil skje gradvise endringer i form av temperaturøkninger, stigninger i havnivå og nedbørsøkninger. Resultatet kan blant annet bli hyppigere og større skogbranner og flere brudd og skader på den fysiske infrastrukturen.

En annen årsak til brudd i fysisk infrastruktur er menneskelige feil, oftest i form av at en kabel brytes i forbindelse med gravearbeider eller ved arbeid på IT-systemer. Dette kan skyldes uforsiktighet, at det er ikke er gjort tilstrekkelige undersøkelser i forkant av arbeidet, eller at dokumentasjonen har vært mangelfull.

Et viktig tiltak for å forebygge negative konsekvenser av både naturhendelser, uhell eller sabotasje er å sørge for tilstrekkelig sikring av kritisk infrastruktur. Dersom infrastrukturen klassifiseres som et skjermingsverdig objekt etter regelverket, må det iverksettes sikringstiltak som skal forebygge identifiserte trusler og mulige hendelser – både tilsiktede og utilsiktede. God sikring av kritisk informasjonsinfrastruktur er en viktig forutsetning for informasjonssikkerheten.

Behovet for sikkerhet må veies opp mot hensynet til miljø og samfunnsøkonomi når infrastrukturen planlegges og bygges ut. Hensyn til miljø og samfunnsøkonomi blir ofte vektlagt ved etablering av infrastruktur, slik at det eksempelvis legges til rette for at flere aktører følger samme trasé for fremføring av kabler, bruker felles master for antenner, og at det tekniske utstyret for flere aktører kan samlokaliseres. Erfaringer viser at dette kan gå på bekostning av sikkerhetshensyn. Samtidig vil sikringstiltak for én type infrastruktur kunne gi beskyttelse for annen infrastruktur som følger samme trasé. Et eksempel er at skredsikring av en vei også bidrar til å sikre kabler som er lagt langs den samme veien.

10.1.2 Trusler mot IKT-systemer

Uforutsette hendelser og menneskelige feil

Ikke-planlagt nedetid i IKT-systemer kan skyldes eksterne angrep, men det kan også skyldes uforutsette hendelser og menneskelige feil. Menneskelige feil opptrer i mange former, og kan være svært vanskelige å forutse. Ofte kan en hendelse tilskrives en menneskelig feil som har skjedd lenge før hendelsen inntreffer.

Feil i IKT-systemer kan skyldes at man ikke har hatt tilstrekkelig tid til testing, eller at man ikke har testet de riktige tingene. Det kan også skyldes feilvurderinger, for eksempel i dimensjoneringen av systemene, eller at IKT-systemet blir bruk til andre formål enn opprinnelig tenkt. Av og til oppstår nye og mer alvorlige feil når man skal forsøke å rette opp den første feilen. Ikke-planlagt nedetid kan også skyldes feil i produksjonen av maskinvare eller komponenter som ikke er blitt oppdaget i kvalitetssikring eller testing tidligere.

For virksomhetene er det viktig å etablere rutiner for å unngå menneskelige feil. Likevel er det stor sannsynlighet for at en utilsiktet hendelse vil oppstå – enten fordi det skjer noe man ikke hadde tenkt seg på forhånd, det oppstår en kombinasjon av flere uforutsette omstendigheter, eller fordi rutinene man har etablert ikke blir fulgt. Det er derfor viktig at man har planer og rutiner for hva som skal gjøres når en hendelse inntreffer – uavhengig av årsak.

Kilde: Statistikk over antall saker håndtert i NorCERT operasjonssenter

Dataangrep og datakriminalitet

Økt utbredelse av internett og mobile enheter har ført til en større risiko for å bli utsatt for dataangrep og datakriminalitet. Tendensen til målrettede og profesjonelle datainnbrudd mot kritiske IKT-systemer er økende. Ofte benytter angriperne sikkerhetshull i program- og maskinvare. Både sivile etater, militære enheter og private selskaper blir utsatt for spionasje og sabotasje. Mange land utvikler evne til å drive krigføring i det digitale rom (cyberspace).

I de årlige trusselvurderingene fra myndighetene blir det konstatert at trusselen knyttet til IKT-basert spionasje og sabotasje har økt de siste årene. Mange land bygger opp etterretnings- og angrepsevne til bruk i og mot IKT-infrastruktur. Målet med aktivitetene kan være å skaffe seg tilgang til, manipulere eller fjerne sensitiv informasjon.

Nasjonal sikkerhetsmyndighets avdeling NorCERT oppdager stadig flere IKT-hendelser i Norge. Antall håndterte IKT-hendelser er tredoblet fra 2007 til 2011. I tillegg er sakene som behandles mer alvorlige og krever mer oppfølging.

Datakriminalitet er en samlebetegnelse for en rekke ulike kriminelle handlinger som omfatter både tilfeller der IKT-verktøy benyttes til å begå kriminalitet, og situasjoner der kriminelle handlinger rettes mot data og datasystemer i seg selv. Typiske eksempler er vinningskriminalitet som bedragerier i forbindelse med netthandel, identitetsmisbruk, tjenestenektangrep, datainnbrudd, skadeverk på viktige informasjonssystemer og infrastruktur og elektronisk spionasje. Tyveri og misbruk av identitet har blitt en økende utfordring både for privatpersoner, virksomheter og myndigheter.

Det eksisterer i dag et undergrunnsmarked, lett tilgjengelig på internett, for kjøp og salg av informasjon, samt omsetning av verktøy for å utføre datakriminalitet. Dette har medført at selv personer uten spesiell IKT-kompetanse kan gjennomføre angrep.

Ikke alle angrep kommer utenfra. Det kan også være ansatte som står bak tyveri av data eller skade på systemer og data. For eksempel kan det være ansatte eller tidligere ansatte som har blitt fristet av bestikkelser, blitt utsatt for utpressing, eller som ønsker å ta hevn på nåværende eller tidligere arbeidsgiver.

10.2 Strategiske prioriteringer

Regjeringen har satt opp sju strategiske prioriteringer som skal møte utfordringene vi står overfor på sikkerhetsområdet. Prioriteringene skal sikre at vi når målene som er satt for informasjonssikkerhetsarbeidet:

Helhetlig og systematisk ivaretakelse av informasjonssikkerheten

Private og offentlige virksomheter skal ivareta informasjonssikkerheten helhetlig og systematisk. Dette krever bevisst bruk av styringssystemer for informasjonssikkerhet som er basert på anerkjente standarder. Hvilke tiltak som innføres, må avveies ut fra risiko og virksomhetens betydning for samfunnet. Kritisk infrastruktur, som kraftnett og elektroniske kommunikasjonsnett, skal prioriteres spesielt.

Styrking av IKT-infrastrukturen

IKT-infrastruktur som understøtter samfunnskritiske funksjoner, skal være robust og pålitelig slik at uønskede hendelser og handlinger i størst mulig grad kan unngås. For at dette skal lykkes er det nødvendig å klargjøre hva som er de viktigste funksjonene og tjenestene i samfunnet, og hvilke virksomheter som er ansvarlig for disse. Gjennom dette vil en også få et bilde av hva som er kritisk infrastruktur for virksomhetene, og dermed for samfunnet som helhet. Et slikt arbeid vil forenkle den overordnede styringen og oppfølgingen av samfunnssikkerheten. Det vil også kunne bidra til å styrke risikostyringen hos sektormyndigheter og i enkeltvirksomheter, og å styrke kontinuitetsplanleggingen i samfunnskritiske virksomheter.

En felles tilnærming til informasjonssikkerhet i statsforvaltningen

Befolkningen, næringslivet og forvaltningen selv skal ha tillit til at fagsystemer og elektroniske tjenester i statlig sektor er sikre og pålitelige. Risiko- og sårbarhetsanalyser skal ligge til grunn for iverksetting av alle IKT-sikkerhetstiltak i statsforvaltningen.

Samfunnet skal ha evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser

Norge skal ha en døgnkontinuerlig, proaktiv operativ beredskap for å kunne forebygge, oppdage og koordinere håndteringen av alvorlige IKT-hendelser. Dette krever tett samarbeid mellom myndighetene og relevante virksomheter, særlig de som eier eller drifter infrastruktur. Samarbeidet må omfatte både tilsiktede og utilsiktede hendelser, slik som teknisk eller menneskelig svikt, ulykker eller naturkatastrofer.

Samfunnet skal ha evne til å forebygge, avdekke og etterforske datakriminalitet

De som utøver datakriminalitet skal ikke kunne forberede eller gjennomføre kriminelle handlinger uten betydelig risiko for å bli oppdaget og straffeforfulgt. Myndighetene skal fortsette å bygge opp kapasitet for å kunne avdekke datakriminalitet som direkte eller indirekte kan få innvirkning på rikets sikkerhet eller vitale nasjonale interesser.

Kontinuerlig innsats for bevisstgjøring og kompetanseheving

Innbyggere, ansatte og ledere i norske virksomheter skal være sikkerhetsbevisste og må få tilført økt kompetanse knyttet til informasjonssikkerhet.

Høy kvalitet på nasjonal forskning og utvikling innenfor informasjons- og kommunikasjonssikkerhet

Norske forskningsmiljøer skal være i forkant på forskning på ulike aspekter ved informasjons- og kommunikasjonssikkerhet. Det skal stimuleres til norsk deltakelse på internasjonale arenaer.

10.3 Informasjonssikkerhet og personvern i offentlige digitale løsninger

Økt digitalisering i offentlig sektor innebærer også at informasjonssikkerhet blir viktigere (se kapittel 8). Fremover skal Difi styrke sitt arbeid innen IKT-sikkerhet i statlig sektor. Det skal blant annet etableres et kompetansemiljø i Difi som skal være pådriver for, og bidra til, bedre styring og kvalitetssikring av informasjonssikkerheten i statsforvaltningen.

Behandling av personopplysninger er en nødvendig forutsetning for at forvaltningen skal kunne utøve offentlig myndighet og tilby tjenester. Det er viktig å ivareta innbyggernes personvern i størst mulig grad. Offentlige myndigheter bør være foregangsaktører i arbeidet med å forsvare innbyggernes personvern, og særlig ta hensyn til problemstillinger rundt personvern.

Et viktig personvernprinsipp er at man kun skal innhente og behandle de personopplysningene som er nødvendige for utførelsen av den tjenesten man tilbyr. Dersom tilbyderne av forskjellige offentlige tjenester skal gis tilgang til enkelte felles sett med personopplysninger, er det viktig at systemene gir gradert tilgang etter roller og forhåndsbestemt adgangsnivå. Gjennomføringen av regjeringens digitaliseringsprogram vil kreve nye IKT-løsninger på flere områder. Det er viktig at disse løsningene får gode systemer for identitetsforvaltning og tilgangsstyring.

10.4 Ansvaret for IKT-sikkerhet

Det nasjonale samfunnssikkerhets- og beredskapsarbeidet har gjennom flere år vært basert på prinsippene om ansvar, likhet og nærhet.24

• Ansvarsprinsippet betyr at den myndighet, virksomhet eller etat som har ansvar for et område til daglig, også har ansvar for beredskap og for å opprettholde driften ved kriser og katastrofer.

• Likhetsprinsippet betyr at den organisasjon man opererer med under kriser skal være mest mulig lik den organisasjon man har til daglig.

• Nærhetsprinsippet innebærer at kriser skal håndteres på et lavest mulig nivå organisatorisk. Den som har størst nærhet til krisen, vil vanligvis være den som har best forutsetninger for å forstå situasjonen og dermed være best egnet til å håndtere den.

I krisesituasjoner har det vist seg at det også er stort behov for å se samfunnets totale ressurser i sammenheng. Det er avgjørende at alle myndigheter og virksomheter samarbeider på tvers av sektorer i arbeidet med forebygging, beredskap og krisehåndtering. I Meld. St. 29 (2011–2012) Samfunnssikkerhet introduserer derfor regjeringen et nytt prinsipp, samvirkeprinsippet:

• Samvirkeprinsippet sier at en myndighet, virksomhet eller etat har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering. Samvirke skal ikke bare skje mellom offentlige virksomheter – private organisasjoner og andre frivillige er også viktige samarbeidspartnere.

10.4.1 Departementenes ansvar for IKT-sikkerhet

Fagdepartementene har et overordnet ansvar for å ivareta sikkerheten i IKT-infrastrukturen i egen sektor, og for at det forebyggende arbeidet med IKT-sikkerheten i sektoren er tilfredsstillende. Dette innebærer å identifisere kritisk infrastruktur, iverksette forebyggende tiltak og beredskapstiltak, planlegge krisehåndtering og å følge opp arbeidet med informasjonssikkerhet i egne underliggende etater.

Den raske teknologiutviklingen og den stadig større betydningen av IKT-sikkerhet i samfunnet gjør at det er behov for å gjennomgå disse ansvarsforholdene jevnlig for å vurdere om det er behov for justeringer. Enkelte departementer har et særskilt ansvar knyttet til IKT-sikkerhet. I forbindelse med revisjonen av Nasjonale retningslinjer for informasjonssikkerhet ble ansvaret til disse departementene spesielt vurdert for å se om ansvarsdelingen fremdeles var den beste.

Justis- og beredskapsdepartementets rolle på sikkerhetsområdet er endret siden forrige gang det ble foretatt en vurdering. Departementet har fått et tydeligere ansvar for å ivareta helheten i regjeringens politikk for samfunnssikkerhet. Regjeringen overfører derfor ansvaret for forebyggende informasjonssikkerhet i sivil sektor fra Fornyings-, administrasjons- og kirkedepartementet til Justis- og beredskapsdepartementet. Samferdselsdepartementet vil fortsatt ha ansvar for ekomnett og -tjenester – inkludert internett. Forsvarsdepartementet vil fortsatt ha ansvar for militær sektor.

Etter endringene vil departementenes rolle være:

Justis- og beredskapsdepartementet har samordningsansvar for samfunnets sivile sikkerhet. Ved siden av å initiere, utvikle og gjennomføre tiltak gjennom egne virkemidler, er departementet en pådriver og koordinator overfor andre sektormyndigheter. Departementet sørger for resultatoppfølging av politikken for samfunnssikkerhet i alle deler av samfunnet. IKT-sikkerhet inngår som en sentral og integrert del av dette koordineringsarbeidet.

Fornyings-, administrasjons, og kirkedepartementet er ansvarlig for koordinering av regjeringens IKT-politikk. Departementet har et særskilt ansvar for å arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Ansvaret omfatter blant annet valg av felles standarder, bruk av styringssystemer for informasjonssikkerhet og veiledning på et overordnet nivå. I tillegg skal departementet legge til rette for en bedre koordinering av etatenes arbeid med informasjonssikkerhet og bidra til samordnede løsninger.

Forsvarsdepartementet har ansvar for alt arbeid med IKT-sikkerhet knyttet til militær sektor - inkludert det forebyggende arbeidet. Forsvarsdepartementet har etatsstyringsansvar for Nasjonal sikkerhetsmyndighet, og forvaltningsansvaret for sikkerhetsloven.

Samferdselsdepartementet har, med sitt forvaltningsorgan Post- og teletilsynet, ansvar for IKT-sikkerheten knyttet til elektroniske kommunikasjonsnett og -tjenester.

10.4.2 Virksomhetenes ansvar

Flere regelverk pålegger virksomheter å ha et styringssystem for informasjonssikkerhet. Dette fremgår blant annet av e-forvaltningsforskriften som gjelder i hele offentlig sektor. Forskrift til personopplysningsloven gjelder både privat og offentlig sektor. I tillegg gjelder sikkerhetsloven i hele offentlig sektor og bestemte deler av privat sektor. I flere av regelverkene er det krav om at sikkerheten skal være tilpasset risikoen.

Det kan være mange faktorer i arbeidshverdagen som kompliserer virksomhetenes sikkerhetsarbeid:

• Stadig flere arbeidstakere vil selv velge hvilken mobil enhet (datamaskin, nettbrett, mobiltelefon) de skal arbeide på, og de veksler mellom å bruke utstyret på jobb og hjemme. Dette øker kompleksiteten i sikkerhetsarbeidet og gjør det vanskelig å vurdere risiko og sårbarhet, og å dokumentere egen sikkerhet.

• Norske bedrifter setter i økende grad ut drifts- og systemutviklingsoppgaver til leverandører som befinner seg i andre land og på andre kontinent. Lokale driftsforhold og andre lands regelverk og praksis på området kan avvike fra norske krav til sikker IKT-drift.

• Mange virksomheter har egenproduserte – ofte bransjespesifikke – eller spesialtilpassede systemer hvor det kan være vanskelig å få oversikt over konsekvensen av å installere en sikkerhetsoppdatering. Oppdateringer kan også medføre stans i produksjon og leveranser.

• Det er ikke uvanlig at virksomheter har spesialtilpassede systemer som kjører på plattformer som ikke lenger støttes av produsenten. Det vil i slike tilfeller ikke komme oppdateringer for å tette sikkerhetshull. Oppdatering til ny plattform vil kunne kreve betydelige ressurser for å erstatte gammel program- og maskinvare og å tilpasse systemene. I de fleste tilfeller vil det være mer hensiktsmessig å utvikle nye, mer moderne systemer, men dette krever som regel både tid og penger.

Før bedrifter setter i gang sikkerhetstiltak, gjennomfører de gjerne en risiko- og sårbarhetsanalyse. En slik analyse skal vurdere sannsynligheten for at en hendelse skal inntreffe opp mot hva som vil bli konsekvensen dersom det skjer. Tiltak settes i verk etter en kost-/nytte-vurdering. Ofte vil det spille en rolle hvor mye bedriftens kunder er villige til å betale for den økte sikkerheten.

Mange virksomheter – også private selskaper som banker og teleselskaper – forvalter imidlertid systemer som regnes som en del av den kritiske infrastrukturen. I slike tilfeller stiller de enkelte fagmyndighetene krav om kontinuitet i driften for de aktuelle systemene. Ved hendelser innenfor elektronisk kommunikasjon, som feil i programvare, bortfall og brudd på internettjenester, mobiltelefonitjenester og lignende, er det et krav at virksomhetene skal varsle Post- og teletilsynet.

Offentlig forvaltning

Det er viktig at forvaltningen selv gjør gode risiko- og sårbarhetsvurderinger. Datatilsynet, Nasjonal sikkerhetsmyndighet og Riksrevisjonen har avdekket svakheter i forvaltningens risikovurderinger. Det er påpekt at eksisterende sikkerhetstiltak ofte er fragmenterte og lite systematiske, og at arbeidet med informasjonssikkerhet verken er tilstrekkelig forankret i virksomhetens ledelse eller godt integrert i virksomhetsstyringen. Økt bruk av internasjonale sikkerhetsstandarder i statsforvaltningen vil kunne bidra til bedre helhet og systematikk i sikkerhetsarbeidet.

Det vil bli vurdert å stille krav til statlige virksomheter om bruk av standarder for informasjonssikkerhet. Informasjonssikkerhet kan med fordel være en integrert del av virksomhetens helhetlige styringssystem for kontinuerlig forbedring av arbeidsprosesser, måloppnåelse, HMS, miljøledelse, samfunnsansvar med mer.

Prinsippet om ansvar for informasjonssikkerheten i egen organisasjon blir utfordret av virksomhetenes nye måter å samarbeide på. Offentlige virksomheter vil dele eller gjenbruke felles funksjonalitet, også kalt felleskomponenter, i langt større grad enn tidligere (se kapittel 8.2). I et slikt perspektiv vil vurderinger av informasjonssikkerheten være helt sentrale. Blant annet vil en ikke lenger kunne basere seg på virksomhetens egen sikkerhetspolicy alene. Trenden med etablering av felleskomponenter, som Altinn og ID-porten, bidrar til økt profesjonalisering av sikkerhetsarbeidet, men stiller også skjerpede krav til koordineringen.

10.4.3 Den enkelte brukers ansvar

Den enkelte brukeren er i mange tilfeller blitt et av de viktigste forsvarsleddene mot tilsiktede IKT-hendelser. Dette gjør at kravene til brukerne øker. De forventes å kjenne igjen falske nettsider, falske e-poster, falske antivirusprogrammer, suspekte bilder og infiserte vedlegg. I tillegg skal det installeres sikkerhetsverktøy og sikkerhetsprogrammer som brukeren ikke nødvendigvis har forutsetninger for å kunne betjene. Dette er en stor utfordring.

Bruk av nettsamfunn og sosiale nettverk skaper også en rekke sikkerhetsutfordringer. Både brukere og virksomheter må bli mer bevisste disse. Det trengs kunnskap om personvern og potensielle farer. I tillegg er det behov for en bevisstgjøring om den enkeltes ansvar for å hindre spredning av ondartet programkode, med de konsekvensene slik spredning kan ha for brukeren, arbeidsgiver eller andre brukere på nettet. Informasjon fra sosiale nettverk kan gi verdifull bakgrunnsinformasjon til en angriper. Slik informasjon kan blant annet benyttes til sosial manipulering. Denne type angrep, der angriperen for eksempel bruker elementer av frykt, tillitsbygging og lokkemidler, blir stadig mer utbredt.

Mangelfull sikkerhet hos privatpersoner kan også få konsekvenser for samfunnssikkerheten. Sentralt i denne sammenheng står bruken av botnet. Botnet er et nettverk bestående av titusentalls av trojanerinfiserte pc-er som er kontrollert av kriminelle aktører uten eiernes viten. Disse brukes til å utføre såkalte tjenestenektangrep, der et nettsted blir oversvømt av tilgangsforespørsler, går i stå og derfor ikke kan levere tjenesten. Disse angrepene brukes blant annet for utpressing av penger eller av politiske motiver.

Pc-er kontrollert av kriminelle kan også brukes til ulovlig formidling av stjålne personopplysninger eller kredittkortinformasjon. Den stjålne informasjonen selges videre på det illegale markedet, og brukes blant annet til identitetstyveri, utpressing og svindel rettet mot kredittkort og nettbanker. Kriminelle kan også benytte så kalte proxy-servere som gjør det mulig å omgå kriterier for lovlig tilgang til ulike tjenester på nett, eller som skjuler identiteten til den som kontakter et nettsted.

Selv om den enkelte har et ansvar for å utøve kritisk sans på nett, er dette vanskelig dersom man ikke har tilstrekkelig kunnskap og kompetanse. Både myndighetene og den enkelte arbeidsgiver har et ansvar for å sørge for at det finnes informasjon tilgjengelig, og for å arbeide for økt bevisstgjøring om informasjonssikkerhet. Det er mange offentlige og private aktører som arbeider aktivt for å øke sikkerhetskompetansen i befolkningen (se kapittel 2.2.1). Selv om det i dag er flere aktører som samarbeider, vil bedre koordinering kunne styrke arbeidet ytterligere.

11 God og treffsikker virkemiddelbruk

Det overordnede målet for regjeringens næringspolitikk er å legge til rette for størst mulig samlet verdiskaping i norsk økonomi og arbeid for alle. Lønnsomme bedrifter gir trygge arbeidsplasser. Næringspolitikken er viktig for norsk IKT-sektor og gjennomføringen av Digital agenda, men også for virksomheter som baserer seg på innovasjon og forretningsutvikling gjennom IKT – uten å være en del av det vi tradisjonelt betegner som IKT-sektoren.

IKT-sektoren bør som øvrige deler av næringslivet ha gode, generelle rammebetingelser. De viktigste er effektiv skattlegging, infrastruktur, kompetanse (både grunnleggende, anvendt kompetanse og avansert kompetanse), kapitaltilgang og andre mekanismer som fremmer innovasjon og konkurranseevne. I tillegg har tiltak som offentlige innkjøp og anskaffelser, standardisering og IKT-arkitektur, og utviklingen av nye, digitale fellesløsninger fra offentlig sektor betydning for IKT-bransjen (se kapittel 8). Utover de generelle rammebetingelsene utøves næringspolitikken gjennom det næringsrettede virkemiddelapparatet.

11.1 Virkemiddelapparatet

De næringsrettede virkemidlene skal utløse samfunns- og bedriftsøkonomisk lønnsomme prosjekter som ellers ikke ville blitt iverksatt, uavhengig av bransje. Hensikten med et næringspolitisk virkemiddel er at det skal bidra til bedre utnyttelse av samfunnets ressurser enn hva som hadde vært tilfellet dersom virkemiddelet ikke hadde vært tatt i bruk. I dette ligger det at markedet fortsatt skal være den viktigste kilden til kapital for nye prosjekter, mens det offentlige skal kunne bidra der markedet svikter. Virkemiddelapparatet skal ikke være eneste finansieringskilde for de prosjektene som finansieres, men skal bidra til å utløse privat kapital i prosjektet. Kun unntaksvis vil den offentlige finansieringen utgjøre mer enn 50 prosent av et prosjekts kostnader. Innovasjon Norge, SIVA og Norges forskningsråd forvalter en stor andel av regjeringens næringsrettede virkemidler. De er opprettet blant annet for å motvirke markedsvikt knyttet til små og mellomstore bedrifter, forskning, utvikling og innovasjon. Samtidig er ikke markedssvikt alene en god nok begrunnelse til å iverksette offentlige tiltak.

For å legge til rette for god virkemiddelbruk har regjeringen skissert åtte kriterier som næringspolitiske virkemidler bør vurderes mot:25

• Det må foreligge markedssvikt som hemmer verdiskaping og vekst i samfunnsmessig forstand.

• Markedssviktens konsekvenser må være større enn kostnaden ved å gripe inn i markedet.

• Virkemiddelet som implementeres må være egnet til å korrigere markedssvikten på en ønsket måte.

• Det skal være et klart definert mål på hva virkemiddelet skal bidra til.

• Det må ikke være alternative virkemidler som er bedre i stand til å oppfylle virkemiddelets mål.

• Utvalgskriteriene for når virkemiddelet vil bli brukt skal være tydelige og forutsigbare.

• Det skal være enkelt å administrere virkemiddelet, slik at kostnadene med å ta det i bruk er små i forhold til gevinstene som oppnås.

• Aktørene som søker å komme inn under virkemiddelet må kunne forvente en klar avgjørelse innen rimelig tid.

Ettersom IKT både er en viktig næring i seg selv, og er av stor betydning for andre næringer, vil disse kriteriene også være viktige for IKT-sektoren.

11.1.1 Innovasjon Norge

Innovasjon Norge er en sentral aktør i det næringsrettede offentlige virkemiddelapparatet. Selskapet har kontorer i alle fylker unntatt Akershus, og om lag 30 kontorer i utlandet. Innovasjon Norge forvalter virkemidler innen finansiering, nettverk, kompetanse, rådgivning og profilering. De fleste av virkemidlene i Innovasjon Norge er i utgangspunktet bransjenøytrale. Det er de beste og mest samfunns- og bedriftsøkonomisk lønnsomme innovative prosjektene som skal støttes, samtidig som enkelte ordninger i Innovasjon Norge kan ha andre målsettinger. I Meld. St. 22 (2011–2012) Verktøy for vekst – om Innovasjon Norge og SIVA varslet regjeringen at den blant annet vil:

• forenkle Innovasjon Norges virkemiddelportefølje for å sikre at selskapets brukere enkelt kan orientere seg i selskapets programmer og tjenester

• utvikle dagens tilbud på kapital i bedrifters tidlige fase

• styrke Innovasjon Norges arbeid med internasjonalisering, med små og mellomstore bedrifter som den viktigste målgruppen

• etablere en profesjonell og robust funksjon i det offentlige virkemiddelapparatet – Invest in Norway – for å ta i mot utenlandske henvendelser om etableringer av investeringer i Norge

• etablere nytt investeringsmandat for Investinor, jf. omtale nedenfor

• etablere nye landsdekkende såkornfond, jf. omtale nedenfor

11.1.2 SIVA

Hovedmålet for SIVA – Selskapet for industrivekst SF – er å bidra til innovasjon og næringsutvikling i alle deler av landet. Dette gjør selskapet gjennom eiendomsvirksomhet og utvikling av sterke regionale innovasjons- og verdiskapingsmiljøer. Eksempler på SIVAs aktiviteter er programmer knyttet til næringshager og inkubatorer, og eierskap i innovasjonsselskaper og i fysisk infrastruktur. Inkubatorer vil ofte være det mest attraktive virkemiddelet for nye bedrifter innen IKT. Disse tilbyr et fysisk miljø (lokaler), rådgivning og støttetjenester for å bidra til at gründere kan videreutvikle lovende forretningsideer.

11.1.3 Investinor

Investinor er et investeringsselskap som tilbyr egenkapital til lovende bedrifter i tidlig fase gjennom direkte investeringer. Investeringene skal foretas på kommersielt grunnlag og på like vilkår som private investorer. Totalt er Investinor tilført 3,7 milliarder kroner i egenkapital fra staten. IKT er per 2. kvartal 2012 den nest største sektoren for Investinor, målt i antall investeringer. I tillegg har store deler av Investinors øvrige portefølje IKT som en viktig del av produktet eller tjenesten.

I Meld. St. 22 (2011–2012) presenterte regjeringen en justering av satsingsområdene for Investinor, fra fokus på utvalgte bransjer som energi, miljø, reiseliv, marin og maritim til at Investinor skal prioritere lønnsomme investeringer i sektorer:

• med næringsmiljøer med internasjonale komparative fortrinn

• som ivaretar utnyttelse av viktige naturressurser

• som ivaretar utnyttelse av ny teknologi og kompetanse

• som bidrar til mindre miljøbelastning og menneskeskapte klimaendringer

Dette kan dreie seg om investeringer innen blant annet miljøteknologi, energi, marint næringsliv, maritim sektor, reiseliv, IKT og bio- og helseteknologi.

11.1.4 Andre viktige næringspolitiske tiltak

Meld. St. 22 (2011–2012) Verktøy for vekst – Om Innovasjon Norge og SIVA SF varslet også andre nye, viktige tiltak:

Etablering av nye landsdekkende såkornfond

Såkornfond er et virkemiddel for å sikre tilførsel av kompetent kapital til nye, innovative og internasjonalt konkurransedyktige bedrifter i tidlig fase, gjennom samarbeid mellom staten og private investorer.

IKT er et spesielt viktig investeringsområde for såkornfond. Prosjektene har ofte relativt kort tid til markedet, er middels kapitalkrevende og internasjonalt skalerbare. Det er også god tilgang på IKT-prosjekter. Av de fire etablerte landsdekkende såkornfondene har ett IKT som spesielt satsingsområde. De andre fondene investerer også i IKT-tunge prosjekter. Disse fondene er i praksis fullinvestert, og investerer i liten grad i nye prosjekter.

Regjeringen vil derfor at det skal opprettes inntil seks nye landsdekkende såkornfond. Det er lagt opp til at hvert fond skal være på om lag 500 millioner kroner, der staten og private går inn med halvparten av kapitalen hver. Staten bidrar også med risikoavlastning til de private investorene for å utløse deres kapital og kompetanse. Bransjepraksis er at fond spesialiserer seg på enkelte bransjer for å fokusere ressursene, og dermed sikre best mulig lønnsomhet. Fondenes satsingsområder vil bestemmes av fondsforvalternes kompetanse og investorenes interesse. I tillegg til IKT vil også energi, miljøteknologi, marin sektor, bio- og helseteknologi og reiseliv kunne være interessante områder for fondene å investere i. Det er et mål å opprette fond i alle landsdeler. I revidert nasjonalbudsjett for 2012 ble det bevilget midler til statlig deltakelse i to nye fond.

Nettverk for forretningsengler

En forretningsengel er en privat investor som bidrar med kapital, kompetanse og nettverk inn i nye bedrifter, som oftest på bakgrunn av egen erfaring som gründer. Nettverk mellom forretningsengler kan bidra til å synliggjøre forretningsengler som en investorgruppe overfor potensielle gründere med kapital- og kompetansebehov. Samtidig kan nettverkene bidra med økt kompetanse og investeringsevne til investorene. Regjeringen har varslet at de ønsker å støtte opprettelse og videreutvikling av nasjonale nettverk for denne typen investorer.

Strategi for småbedrifter

88 prosent av IKT-bedriftene i Norge har én til fire ansatte. Det betyr at satsingen på småbedrifter er viktig. Regjeringen vil følge opp strategien Små bedrifter – store verdier, hvor det er lansert 64 konkrete tiltak som skal bedre hverdagen for små og mellomstore bedrifter. Blant de viktigste er tiltak for forenkling. Målet med strategien er at bedriftene skal bruke minst mulig tid på pålagte, administrative oppgaver, og mest mulig tid på å drive og utvikle virksomheten.