Statssekretær Hans Antonsen

Kva er regjeringa si målsetting ved å fremme informasjonssikkerhet i organisasjonar

26. januar 2000

(Kontroll mot framføring)

Takk for dette høvet til å snakke om informasjonssikkerhet. Det er fint å sjå at arbeidet på dette området er kome godt i gong og at det pågår formidlingsaktivitetar slik som dette seminaret. Eg skal gjere greie for korleis vi i Nærings- og handelsdepartementet ser på arbeidet med sertifisering av informasjonssikkerhet.

Nærings- og handelsdepartementet har som kjend ansvaret for samordning av Regjeringa sin IT-politikk. I dette ligg også det overordna og koordinerande arbeidet med IT-sikkerhet. Derfor er det også at eg som statssekretær i dette departementet har fått glede av å opne dette seminaret.

Informasjonssikkerhet er – heldigvis – ikkje eit politisk stridstema. Eg skal likevel ikkje legge skjul på at det for meg som representant for Venstre er ei spesiell glede å opne eit seminar som har sertifisering av informasjonssikkerhet i organisasjonar som tema. I det stadige arbeidet i å finne gode personvernsaker for Lars Sponheim i forrige stortingsperiode, kom vi for omtrent fem år sidan over ein interessant artikkel i Computerworld.

Her kritiserte Datatilsynets direktør Georg Apenes at det ikkje var noe framdrift i det heile tatt i arbeidet med å få på plass sertifiseringsordningar for IT-sikkerhet. Dette var eit stort problem for Datatilsynet sitt arbeid for personvernet. Ifølgje Computerworld hadde denne saka vore på utgreiingsstadiet i departementa i snart femten år. Eg ser ikkje bort i fra at noen av de som er fagfolk og som kjenner denne saka, gjerne ville nyansert ei slik framstilling. Men la det ligge, det er ikkje poenget. Poenget er at det ifølge Computerworld – og sitert etter minnet – ”var vanskeleg å få noen i departementa til å uttale seg om saka, i frykt for at dei då ville få ansvaret for den vidare oppfølginga av den.”(!)

Sjølvsagt var det heilt umogleg for ein som da tilhøyrte opposisjonen å motstå freistinga til å bringe ei slik sak inn for Stortinget. Og som så ofte ellers når konfliktfylte personvernsaker kjem til behandling i Stortinget, så enda det med einstemmig tilslutning til at her må noe skje. Forhåpentlegvis var dette eit bidrag til at denne ordninga som er tema for dette seminaret nå er komen på plass.

Det er på høg tid.

Vi er nå inne i ei veldig brytningstid. Teknologiutviklinga gir nye mulegheiter for næringsliv, forvaltning og private borgarar. Internasjonalisering av økonomien skaper heilt nye relasjonar. Opne nett gjer at vi blir kopla opp mot nærsagt alle og einkvar. Denne utviklinga gjer samfunnet komplekst. Vi blir stadig meir avhengig av teknologien. Samtidig og av samme grunn blir samfunnet meir sårbart.

Denne utviklinga er sjølvsagt ikkje spesiell for Norge. Den pågår over heile verda, spesielt i dei europeiske landa, i Nord-Amerika og Asia. I ein rapport frå det amerikanske nasjonale forskingsrådet frå noen år tilbake blei det peika på at kommersielle datasystem bare tilbyr avgrensa sikkerhetsmekanismar og at dette reflekterer manglande oppmerksomhet og bevissthet om sikkerhet, truslar og måtar å beskytte seg på blant dei som utviklar systema, leiarane og i befolkninga generelt. Den vanlige forbrukaren har lita forståing for desse omgrepa og er knapt i stand til å velje produkt, bruke dei eller innrette seg slik at truslane ikkje blir ein realitet. Og sjølv om forbrukarane freistar å verne sine eigne system, kan dei bli kopla opp gjennom nettverk til andre som ikkje har same sikring. Svak sikring i eitt ledd kan dermed påverke sikkerheten til mange. Dette gjeld og for organisasjonar.

I ein slik situasjon er det nødvendig å heve det generelle bevissthetsnivået i befolkninga om behovet for sikre løysingar. Dessutan er det behov for rammevilkår og tiltak. Sertifisering av produkt, system og organisasjonar er eksempel på ein type tiltak som er så pass breie at dei rettar seg mot alle typar aktørar i samfunnet.

I Norge har vi sett det målet at vi skal bygge eit kunnskapsbaserte samfunn med høg utnytting av informasjonsteknologi. Det føreset trygg og sikker bruk av teknologien og skjerming av informasjon som flyt i netta. Vi har derfor forsert arbeidet med sikkerhet. Dette arbeidet går ikkje ut på å styre alle relasjonar. Derimot søker vi å utvikle fornuftige rammevilkår. Ordninga for sertifisering av IT-sikkerhet i organisasjonar inngår i eit sett av rammevilkår som nå er i ferd med å bli utvikla.

I offentlige og private organisasjonar blir store mengder informasjon av ulik art behandla og lagra. Mye av denne informasjonen er sensitiv. Vi snakkar ikkje bare om persondata, men også om økonomisk informasjon, om forretningsinformasjon og annan sensitiv informasjon. Det er viktig at slik sensitiv informasjon blir forvalta på ein forsvarlig måte. Det er også viktig å erkjenne at forvaltning av sensitiv informasjon fordrar opplegg som omfattar heile organisasjonen, medrekna teknologiske innretningar, administrative rutinar og ansvaret for leiinga

Formålet med ordninga for sertifisering av IT-sikkerhet i organisasjonar er å styrke IT-sikkerheten i offentlig og privat sektor og derved skape tillit til elektronisk handel og kommunikasjon i heile samfunnet. Når ein vanlig borgar, eller eit firma, eller eit offentlig organ forheld seg til ein organisasjon som er sikkerhetssertifisert, vil han kunne vite at bestemte sikkerhetsmessige krav er oppfylt og at organisasjonen er vurdert av ein uhilda tredjepart.

Vi har all grunn til å tru at spørsmålet om kven som vinn fram i eit samfunn der stadig meir av informasjonen blir behandla elektronisk, det vil vere eit spørsmål om tillit.

Sertifisering av IT-sikkerheten i ein organisasjon vil bygge tillit ford det set eit kvalitetsstempel på organisasjonen. Sertifiseringa vil krevje ein ressursinnsats, men denne bør sjåast på som ei langsiktig investering. Avgjerda om at organisasjonen skal sertifiserast vil naturlig bli fatta av leiinga i organisasjonen, og leiinga vil såleis vere involvert. Det vurderer vi som naturlig og positivt.

Eit anna forhold som det er viktig å understreke er at dei enkelte aktørane sjølv må ta ansvar for sikkerheten sin. Trusselbildet er i endring og truslane aukar. Det er svært vanskelig å spå på generelt grunnlag korleis mottiltak bør utformast og settast i verk Det er derfor heilt nødvendig at dei enkelte aktørane sjølv vurderer trusselbildet og utformar aktuelle mottiltak. Dei må sjølv ta ansvar!

Vi meiner at ordninga for sertifisering av IT-sikkerhet i organisasjonar vil føre til auka sikkerhet. Vi har støtta oss til den utgreiinga som blei utført av det tidlegare Rådet for IT-sikkerhet. I høringsrunden gav 8 av 10 høringsinstansar uttrykk for at ei slik ordning var viktig og burde etablerast. Vi har også følgt råda vi har fått om at ordninga må vere frivillig, at den må vere basert på forretningsmessig grunnlag med stor grad av sjølvfinansiering og at det må leggast internasjonale kriterium til grunn for sertifiseringa. Vi meiner at brukarane er dei som best veit kvar skoen trykker og har derfor etablert ein brukarstyrt styringskomite. Ordninga skal evaluerast etter 2 år.

I dag er det mogeleg å bryte seg inn i databasar og datasystem, tappe nett, følgje med i den enkelte sin kommunikasjonen med omverda, - i det heile skaffe seg ulovlig tilgang til alle typar informasjon. Som de vel veit er sikkerhet avhengig av ei rekke forhold, så som fysiske og logiske produkt, personar som handterer dei, rutinane dei arbeider etter, organisasjonen dei verkar innanfor, måtar systema samvirkar på, standardar, mm.

I NHD meiner vi at det er nødvendig å sjå på det samla sikkerhetsbildet. Vi har derfor sett i verk fleire tiltak for å bygge sikkerhet i samfunnet over ein brei lest. Vi ønskjer å heve sikkerhetsnivået på alle ledd, og vurderer dette som eit naturlig svar på utviklinga i samfunnet og i teknologien. Sertifisering av IT-sikkerhet i organisasjonar utgjer eitt tiltak i eit slikt større heile. Eg skal gå litt inn på denne heilskapen.

Sertifiseringsordningane

La meg begynne med sertifiseringsordningane. Som de kanskje veit har vi etablert to ordningar for sertifisering av IT-sikkerhet, - ei for sertifisering av IT-sikkerhet i organisasjonar, som dette seminaret er vigd til, og ei anna for produkt og system. Ordninga for produkt og system er også ei frivillig ordning, basert på omfattande grad av sjølvfinansiering og sertifiseringsorgan som driv verksemda si på forretningsmessige prinsipp. Denne ordninga er noko meir omstendelig enn den for organisasjonar, og det er etablert ein sertifiseringsmyndighet som er lagt til Forsvarets overkommando/Sikkerhetsstaben. Etablering av ordninga er forsinka. Det skyldast i hovudsak vanskar med å få rekruttert kvalifisert personale i Forsvarets overkommando. Vi reknar med at denne ordninga kan vere etablert i løpet av hausten dette året.

Dei to ordningane utfyller kvarandre. Ordninga for produkt og system er teknisk innretta, mens den andre gjeld organisasjon, administrasjon, kultur og rutinar. Begge ordningane er kopla opp mot internasjonale ordningar for gjensidig godkjenning av sertifikat. For begge ordningar finst det stabile evalueringskriterium, dvs. standardar, - for sertifisering i organisasjonar blir nytta som kjend Britisk Standard (BS) 7799, mens ordninga for produkt og system legg til grunne dei europeiske kriteriuma (ITSEC) som ventelig vil bli avløyste av dei såkalla Common Criteria (CC) som allereie er tatt i bruk i Nord-Amerika, Australia og nokre av EU-landa.

Arena for å drøfte sikkerhetsspørsmål

Vi har også etablert ein arena for å drøfte sikkerhetsspørsmål. Det gamle Rådet for IT-sikkerhet er nå lagt ned og erstatta av eit nytt Forum for IT-sikkerhet som er eit breiare samansett drøftingsforum med representantar frå akademia og privat sektor. Professor Jon Bing ved Institutt for Rettsinformatikk vove Universitetet i Oslo er leiar for Forumet. Forumet har faste medlemmer, men vil ventelig arrangere opne møte og seminar. Forumet er nettopp oppnemnd, og vil venteleg starte arbeidet sitt i neste månad.

Sårbarhet i IT-samfunnet

Vi er også i gong med eit prosjekt som skal legge fram forslag til strategi og tiltak for arbeidet med å gjere samfunnet så robust som mogeleg mot truslar som følgjer av at samfunnet blir stadig meir avhengig av IT. Prosjektet går parallelt med, og skal gi innspel til utgreiinga i Sårbarhetsutvalget som Justisdepartementet har nedsett og som blir leidd av Kåre Willoch. Det vil her bli lagt særskild vekt på å verne kritisk infrastruktur mot typiske truslar i informasjonssamfunnet. Sikkerhetsarbeid, i ulike former, vil bli ein viktig del av dette.

Kryptopolitikk

Vi har dessutan nylig starta eit arbeid med å klargjere ulike spørsmål knytta til bruk av kryptering i samfunnet. Kryptering er som kjend ein teknikk som ikkje lenger bare blir brukt i forsvar og den gamle tids etterretning, men som også blir nytta i sterkt aukande grad til sikring, autentisering med meir i all slags digital databehandling og kommunikasjon. Vi ønskjer ei open og uttrykt holdning til bruk av sterk kryptering i heile samfunnet, samtidig som det blir tatt omsyn til ei rekke andre legitime interesser så som personvernet, kriminalitetsbekjemping og omsynet til sikkerheten i riket.

I botn for ein norsk kryptopolitikk må det ligge ei forståing av at kryptert kommunikasjon fordi den er sikker kommunikasjon er eit gode for samfunnet, og at innskrenkingar i dette må vere svært godt grunngjeve.

Elektroniske signaturar

Nærings- og handelsdepartementet arbeider også for tida med å etablere rammevilkår for elektronisk handel. Mens arbeidet med sertifisering, sårbarhet, kryptopolitikk, og liknande kan sjåast på som innsats av kvalitetssikrande og førebyggande art, kan arbeidet med elektronisk signatur sjåast på som eit arbeid med formål å stimulere til å utnytte mulegheitene som utviklinga byr på. Ein ny lov om elektronisk signatur er under utforming. Den vil vere hovudinstrumentet for å gjennomføre EU-direktivet om elektronisk signatur. Den nye lova, eller forskriftene til den, vil stille krav til tryggingstiltak og opplegg for at elektroniske signaturar skal kunne aksepterast på same måte som skriftlige signaturar.

Målet vårt er å leggje fram eit slikt lovforslag for Stortinget tidleg i haust.

Internasjonalt arbeid

I alt det vi gjer i Nærings- og handelsdepartementet på sikkerhets - og sårbarhetsområdet, søker vi å innrette politikk og tiltak som er i samsvar med politikk og tiltak i det internasjonale miljøet vårt. Vi erkjenner at vi er ein del av eit stadig meir integrert internasjonalt system og at dette gjeld spesielt i den informasjonsteknologiske verda. Vi deltek derfor aktivt i arbeid som pågår i EU, OECD og bilateralt, spesielt med dei nordiske landa.

I tillegg til det meir generelle arbeidet i Nærings- og handelsdepartementet skjer det også ting i andre departement på dette området. Arbeids- og administrasjonsdepartementet gjer ein innsats for å betre sikkerheten i forvaltninga, Finansdepartementet arbeider med sikkerhet i finanssektoren, Olje- og energidepartementet i oljesektoren, Sosial- og helsedepartementet i helsesektoren, og så vidare. Standardisering er viktig, og dette arbeidet blir tatt hand om av Norsk Teknologistandardisering (NTS).

Nærings- og handelsdepartementet arbeider i hovudsak med å utforme rammevilkår. I dette arbeidet legg vi vekt på å få til løysingar som kan verke både for det offentlige og det private, i sivil sektor og i nokon grad også i forsvarssektoren, og vi søker å støtte oss til organisasjonar og bedrifter i privat sektor.

Ordninga for sertifisering av IT-sikkerhet i organisasjonar er viktig ved at den er generell og grip over heile samfunnet. Eg ønskjer dykk lykke til med sikkerhetsarbeidet i tida framover og håper arbeidet vil resultere i betre informasjonssikkerhet i heile samfunnet.

Takk for merksemda !

Lagt inn 26. januar 2000 av Statens forvaltningsteneste, ODIN-redaksjonen