Statssekretær Anne-Lise Hilmen

NIF-konferansen om datasikkerhet, 04.10.96

Myndighetenes utfordringer innen datasikkerhet

La meg først få takke for invitasjonen til å komme til denne konferansen. Dere utgjør en viktig gruppe for å få til sikker bruk av informasjons- og kommunikasjonsteknologi, og det gleder meg at Norske sivilingeniørers forening har tatt initiativet til denne konferansen.

Jeg skal innlede om myndighetenes utfordringer innen datasikkerhet. Jeg vil tilnærme meg dette spørsmålet i tre bolker:

• Først vil jeg si noe om det utgangspunkt som tiltak og ordninger for datasikkerhet må bygge på.
• Deretter vil jeg gjøre rede for hva slags arbeid som for tiden prioriteres, med utgangspunkt i ADs engasjement.
• Til slutt vil jeg legge frem mitt syn på hva som er utfordringene i myndighetenes arbeid på dette området.

1 Utgangspunktet for tiltak og ordninger for datasikkerhet.

Når det gjelder utgangspunktet for tiltak og ordninger for datasikkerhet, kan flere forhold nevnes. Det gjelder (foil)

• behovet for å skape tillit til de ordninger og tiltak som gjennomføres;
• det gjelder det brede spekter av tiltak som synes å være nødvendig;
• det gjelder bevisstheten om hvem som har ansvar for hva;
• og det gjelder forholdet til det globale samfunn vi er en del av.

La meg først gå til spørsmålet om tillit. Vi er nå vitne til en voldsom utvikling i bruken av informasjons- og kommunikasjonsteknologi. Denne utviklingen er i de fleste industrialiserte land sett på som en kraft med økonomiske, næringspolitiske, samfunnsmessige og sosiale muligheter og konsekvenser . Vi ser at visse problemer kan oppstå i kjølvannet av utviklingen, men vi ser primært det positive i den og ønsker å påvirke bruken av teknologien slik at de negative konsekvensene blir færrest mulig. Regjeringen ønsker at elektronisk kommunikasjon og bruk av nett som infrastruktur for samhandling skal bli like akseptert, tillitvekkende og ha samme juridiske holdbarhet som som tradisjonell papirbasert skriftlig kommunikasjon og dokumentasjon.

Dårlig datasikkerhet er ett av de forhold som kan bremse bruken av kommunikasjonsnett og informasjonsteknologi. Andre slike forhold er blant annet problemene knyttet til personvern og opphavsrett. Datasikkerheten er viktigere nå enn før fordi nye situasjoner og teknologiske problemer dukker opp som følge av sammensmeltingen av teknologier, endrede reguleringsregimer, nye produkter og tjenester og økt oppmerksomhet om utviklingen både i offentlig og privat sektor.

Bredden i utviklingen gjør at man kanskje bør se tiltak og ordninger i et bredere perspektiv. La meg gi et eksempel: Tidligere sa man gjerne at sikkerhetstiltak skal bygge på risikoanalyse og avpasses deretter. Analyse og tiltak ble gjerne ansett som et anliggende for den enkelte virksomhet eller bedrift. Vi skal fortsatt ha fokus på virksomheten og bedriften og vi skal fortsatt foreta analyser og utforme tiltak avpasset til dem. Men når det man skal sikre, er informasjon som også flyter i nett mellom personer, bedrifter og over landegrenser, ja da får sikkerhetsspørsmålene i tillegg en ny dimensjon Det er ikke mulig for en bedrift å gi ordre til en annen om at informasjon skal sikres og behandles på bestemte måter. Heller ikke kan Norge regulere og bestemme sikring og behandling av informasjon i andre land. I stedet må vi bygge tillitsskapende ordninger som markedet aksepterer og som bygger på avtaler og omforent politikk landene imellom. Disse tiltakene og ordningene blir dermed også av en annen karakter enn de tradisjonelle sikkerhetstiltakene.

Et annet forhold gjelder det brede spekter av tiltak som er nødvendig for å få god sikkerhet. Når informasjonsteknologein og nye kommunikasjonsmåter blir alminnelig brukt i samfunnet, så vil spørsmål knyttet til sikkerhet måtte reises i svært mange sammenhenger. La meg trekke frem noen momenter:

• Spørsmålet om en egen sertifiseringsordning for IT-sikkerhet er ett moment. Når teknologibruken blir så utbredt at den gjennomsyrer samfunnet og man ser at sikkerhetsproblemer dukker opp i kjølvannet av denne bruken, bør da myndighetene gjøre noe, og i såfall hvilken rolle bør myndighetene ha? På andre områder, f eks elektriske produkter, er det bred enighet om at det er nødvendig med tiltak for å sikre brukerne mot farlige produkter. Dette skjer ved norsk sertifisering/typegodkjenning av elektriske produkter gjennom et apparat som er godkjent (akkreditert) av norske myndigheter og der ordningen samvirker med de i andre land. Bør vi ha tilsvarende ordninger for sikkerhetssertifisering i Norge?
• Et annet moment gjelder behovsdekningen. Bred bruk av IT i samfunnet innebærer at enkeltpersoner og virksomheter i offentlig og privat sektor bruker IT daglig og til mange forskjellige gjøremål. Det betyr at brukerne har ulikeartede behov, og - som vi alle vet - ulikeartede behov vil ofte måtte dekkes på ulikeartede måter. Dette innebærer at vi trolig vil se utvikling av et variert spekter av sikkerhetstjenester og produkter.
• Et tredje moment angår organisatoriske og administrative ordninger, også internt i de enkelte virksomheter. Vi vet alle at sikkerhetsproblemene ikke bare kan løses ved tekniske tiltak eller ordninger av typen sertifisering. Det trengs produkter, systemer, administrative ordninger, kompetanse, mm. Dessuten trengs økt bevissthet om sikringstiltak i den enkelte virksomhet og i det daglige virke.

Vi aner altså konturene av et bredt spekter av produkter, tjenester, tiltak og ordninger. Til sammen kan dette kalles en slags infrastruktur for IT-sikkerhet.

Et tredje forhold gjelder bevisstheten omkring hvem som har ansvar for å gjøre hva. Når enkeltpersoner og virksomheter i privat og offentlig sektor er jevne brukere av IT og gjennom dette konfronteres med sikkerhetsspørsmål, blir ansvarsspørsmålet viktig. Hvilket ansvar har den enkelte bruker? Den enkelte virksomhet eller organisasjon? Og hva med det offentlige? Bør noe reguleres, og på hvilken måte? Vi har allerede lov og forskrift på personvernområdet som gjelder for hele samfunnet. Det samme gjelder en rekke lovbestemmelser som pålegger taushetsplikt for visse andre typer av informasjon. Dessuten har vi i statsforvaltningen regelverk og retningslinjer for beskyttelse av informasjon som er gradert etter Sikkerhetsinstruksen og Beskyttelsesinstruksen.

Når det gjelder sikkerhetsarbeidet i statsforvaltningen, vil jeg understreke at den enkelte virksomhet har et hovedansvar for sikkerhet i egen virksomhet. Sikkerhetsansvaret og risikovurderingen ligger til linjen, slik som ansvaret for oppgaveløsingen i sin alminnelighet og ansvaret for å etterleve de lover og regler som gjelder. Det er ikke norsk forvaltningstradisjon at det for særskilte tverrsektorielle problemområder legges et overordnet ansvar for etterlevelse av regelverk til de aktører som fungerer på tvers av sektorene. Vi bør allikevel kunne stille krav til de som forvalter tverrgående regelverk, at de (foil)

• kontinuerlig vurderer behov for nytt regelverk og revisjon av eksisterende,
• kontinuerlig vurderer behovet for samarbeidsordninger med tilknyttede forvaltningssektorer, og at de
• bidrar for å tilrettelegge for en IT-basert forvaltning, klargjør krav, driver informasjonsarbeid og kompetanseutvikling og tolker eget regelverk.

Generelt for offentlig og privat sektor er det over lenger tid blitt hevdet at sikkerhet er et ledelsesansvar og at tiltak og ordninger må bygges inn i organisasjonens daglige virke. Men nye bruksformer, spesielt bruk av kommunikasjonsnett, gir nye sikkerhetsutfordringer og reiser spørsmål om nye typer aktører som leverer nye tjenester. Den pågående diskusjon om etablering av såkalte "tiltrodde tredjeparter", som jeg skal komme tilbake til, kan tjene som eksempel her. Hvilken rolle og hvilket ansvar bør slike aktører ha?

Vi ser altså for oss et bredt spekter av tiltakt og ordninger i sikkerhetsfeltet, men vi har ennå ikke tatt stilling til hvordan de bør se ut og når de bør tre ikraft. Det kan allikevel slås fast at myndighetene vil måtte bære sin del av ansvaret for sikkerhet, men ikke myndighetene alene. Den enkelte organisasjon vil være ansvarlig for å ivareta sikkerheten innen eget virksomhetsområde, og det enkelte individ vil ha et ansvar for å etterleve regelverk og interne bestemmelser. Dessuten vil næringslivet ha et ansvar for å få frem sikkerhetsprodukter.

Jeg vil også understreke betydningen som vårt samkvem med andre land har for utvikling av tiltak og ordninger for datasikkerhet. Idag handler og kommuniserer vi i utstrakt grad over landegrensene, og det er norsk politikk at vi skal fortsette med dette. Da er det nødvendig at vi utformer tiltak og ordninger for datasikkerhet slik at de kan samvirke med tilsvarende i andre land. Hvis ikke slikt teknisk og organisatorisk samvirke fungerer, så vil heller ikke elektronisk basert handel og annen kommunikasjon fungere.

2 Prioriterte oppgaver

På de områder der Administrasjonsdepartementet er engasjert, omfatter de prioriterte oppgavene (foil)

• arbeidet under Rådet for IT-sikkerhet,
• spørsmål vedr sertifiseringsordning for IT-sikkerhet,
• strategiutvikling,
• sikkerhet i statens tverrsektorielle nett(1)
• spørsmål vedr bruk av kryptering, og
• internasjonalt samarbeid.

Fordi flere departementer og etater er berørt, har Administrasjonsdepartementet etablert Rådet for IT-sikkerhet som et drøftings- og koordineringsorgan for slike spørsmål. Her deltar

• Statsministerens kontor
• Justisdepartementet
• Samferdselsdepartementet
• Nærings- og energidepartementet
• Forsvarsdepartementet
• Sosial- og helsedepartementet
• Finansdepartementet
• og Administrasjonsdepartementet

samt

• Datatilsynet,
• Forsvarets overkommando
• Statens teleforvaltning
• Riksarkivaren
• Statens forvaltningstjeneste
• og Statskonsult.

Rådet ledes av AD. Det er meningen å bruke rådet til å vurdere om ulike spørsmål bør utredes og komme med anbefalinger til de rette myndigheter. Aktører i privat og kommunal sektor vil bli trukket inn i drøftingene eller bli hørt i saker som angår dem. Om nødvendig vil spørsmålene bli drøftet i Statssekretærutvalget for IT og i Regjeringens IT-utvalg.

Rådet ønsker å arbeide med konkrete spørsmål samtidig som det parallelt utvikler et helhetlig bilde av utfordringer vedr datasikkerheten i statsforvaltningen og nødvendige tiltak. Rådet ser at det er viktig å ta hensyn til grenseflaten mellom offentlig og privat sektor når sikkerhetsløsninger skal utformes.

Rådet har prioritert spørsmålet om behovet for en sertifiseringsordning for sikrere dataløsninger. En utredning om dette ventes ferdig før sommeren 1997. Dette spørsmålet er viktig å få avklart både av hensyn til å få etablert eventuelle ordninger i Norge, men også for at utviklingen i Norge skal kunne samordnes fornuftig med den internasjonale utviklingen. I EU pågår det for tiden et arbeid med å utforme forslag til en europeisk ordning for gjensidig godkjenning av sertifikater på IT-sikkerhetsfeltet. Det er en målsetting at vi fra norsk side skal kunne delta i en slik europeisk ordning, som på sikt trolig vil bli utvidet til å bli en internasjonal ordning for godkjenning av sikkerhetssertifikater. Jeg vil i forbindelse med sertifisering også gjøre oppmerksom på de europeiske evalueringskriteriene for IT-sikkerhet (ITSEC). Disse kriteriene er vedtatt av EUs ministerråd som anbefalte evalueringskriterier i Europa. Gjennom vedtak i EØS-komiteen våren 1996, er kriteriene gjort gjeldende som anbefalte kriterier også i Norge. Dette betyr at norske virksomheter i offentlig og privat sektor bør bruke kriteriene når sikkerhetsløsninger planlegges og sikkerhetsssystemer og -produkter skal anskaffes. I de vedtakene som er fattet om ITSEC, ligger det også at man skal søke å samordne de europeiske kriteriene med øvrige internasjonale. Her er det igang et samarbeid melom EU og USA/Canada. En høringsversjon av felleskriteriene, de såkalte "Common Criteria" (CC) foreligger nå til høring internasjonalt.

I løpet av høsten vil rådet for IT-sikkerhet begynne arbeidet med å utvikle et helhetlig bilde av utfordringer og aktuelle tiltak for å bedre IT-sikkerheten i s tatsforvaltningen. Et slikt strategiarbeid vil neppe gå ut på å utforme den store og endelige strategi, men snarere å vurdere og prioritere hvilke tiltak det haster med å ta tak i, sørge for utredninger på utvalgte områder og oversende forslag til de rette myndigheter. Det ligger an til at man vil se sikkerhet i statsforvaltningen i et bredt perspektiv, der også statsforvaltningens grenseflater til kommunal og privat omverden tas i betraktning. Et strategiarbeid langs disse linjer vil kunne komme til å inneholde vurderinger om f eks (foil)

• ekstern godkjenning versus internkontroll,
• behovet for sertifiseringsordninger,
• bruk av kryptering,
• offentlig infrastruktur for administrasjon av kryptonøkler,
• bruk av avansert kortteknologi i staten,
• vurdering av regelverkstilstanden, mm.

I AD arbeider vi dessuten med sikkerhet i statens tverrsektorielle nett. (foil) De 3 nettene Administrasjonsdepartementet har ansvar for, er: Departementsnettet, Statens regionale informasjonsnett (SRI) og Statens sentrale informasjonsnett (SSI). Disse 3 nettene er knyttet sammen, med sikkerhetsbarrierer innbyrdes mellom dem og mellom nettene og den øvrige omverden, slik som mot Internett. De 3 nettene omfatter omtrent 110 virksomheter, med tilsammen vel 10.000 ansatte.

Sikkerhet i statens tverrsektorielle nett er en prioritert oppgave. Men det er et problem at enkle og tilstrekkelige sikkerhetsløsninger ikke foreligger som hyllevare. For tiden foregår utprøving av den norskutviklede krypteringsbrikken - NSK (Norsk Standard/Sikker Krypto), og norskutviklet krypteringsutstyr i Departementsnettet. I dette nettet er det høye krav til sikkerhet fordi informasjon som er gradert etter Sikkerhetsinstruksen og Beskyttelsesinstruksen bør kunne flyte i nettet. Det er meningen å utvide prøvebruken av NSK-baserte produkter i statens tverrsektorielle nett. Inntil det foreligger en mer overordnet strategi for kryptobruken i statsforvaltningen, jfr. det arbeid som jeg nevnte vil pågå i Rådet for IT-sikkerhet, vil vi trolig være noe avventende med omfattende bruk av kryptoløsninger. Dette vil imidlertid kunne avhenge av hvor lenge vi må vente før kryptostrategien kommer på plass.

På det operative plan arbeides det i statens tverrsektorielle nett med å heve sikkerhetsnivået på flere områder, noe som også omfatter revisjon av sikkerhetsplaner og utforming av internkontrollopplegg m.m. Med mange virksomheter tilkoblet et slikt felles nett, er det også i denne sammenheng viktig å understreke linjeansvaret. Det betyr at den enkelte virksomhetsleder er ansvarlig for datasikkerheten i sin virksomhet etter de retningslinjer som er gitt gjennom lover, forskrifter, direktiver og enkeltvedtak fattet av overordnet myndighet. Linjeansvaret innebærer også at ved tilknytning til eksterne datanett må virksomhetens ledelse identifisere og ivareta det ansvar som følger med en slik tilknytning, og samtidig vurdere om det sikkerhetsnivå som tilbys gjennom nettet er tilstrekkelig for vedkommende virksomhet.

I denne forbindelse kan det også nevnes at Administrasjonsdepartementet og Kommunenes Sentralforbund nå vurderer å igangsette et fellesprosjekt kalt "Forvaltningsnettprosjektet", der formålet er å etablere enkel og sikker informasjonsutveksling innen hele offentlig sektor. Jeg har ikke anledning til å gå noe nærmere inn på dette prosjektet her og nå. Jeg vil bare kort si at en evt. prosjektgjennomføring trolig vil medføre økt bevissthet om IT-sikkerhet i offentlig sektor.

La meg også nevne to andre saker som nå er på dagsorden i AD, men der arbeidet skjer i internasjonal regi. Det ene gjelder OECDs arbeid med å utvikle retningslinjer for en global politikk for bruk av kryptering. Det andre dreier seg om EUs arbeid med å utvikle et konsept for et europeisk nettverk av såkalte "tiltrodde tredjeparter". For Norge er disse to arbeidene komplementære.

I OECD har man de senere årene utredet ulike spørsmål i forbindelse med utvikling av den globale informasjons- og kommunikasjonsinfrastrukturen og det samfunn som vokser frem i kjølvannet av denne utviklingen. Bakgrunnen er fremveksten av Internett, den begynnende bruk av elektroniske hjelpemidler i global handel og industri og økt kommunikasjon mellom enkeltidivider på global basis. Det er i OECD stor enighet om at sikkerheten må utvikles for å skape tillit til utstrakt bruk av elektroniske hjelpemidler, og at bruk av kryptering vil være et vesentlig virkemiddel for å styrke sikkerheten.

Kryptering brukes til (foil)

• å sikre konfidensialitet i elektronisk kommunikasjon, i elektronisk handel, for å beskytte elektronisk lagrede data og for å verne mot kriminalitet;
• digital signatur,(foil) som blant annet innebærer å sørge for autentisitet, dvs at sendere og mottakere er de de gir seg ut for å være, integritet, dvs at data og informasjon er korrekt og ikke er urettmessig endret, og stadfesting ("non-repudiation"/ikke-fornekting) av at transaksjoner har funnet sted, budskap sendt og mottatt, mv.

Mens kryptering tidligere var et anliggende for forsvaret og etterretningsverdenen, er kryptering nå ansett å være et verktøy også i sivil sektor. Det er imidlertid meningsforskjeller om hvordan man skal praktisere bruken av kryptering. I utlandet, spesielt i USA, men også i EU, ønsker næringslivet og endel organisasjoner i sivil sektor at man helst har full frihet til å bruke alle slags krypteringshjelpemidler uten innblanding fra myndighetene. Mens landenes myndigheter, som tenker på hvordan man skal bekjempe organisert kriminalitet, sørge for hensynet til rikets sikkerhet og skape forhold der de enkelte landenes krypteringsordninger kan samvirke over landegrensene, ønsker å lage ordnede forhold omkring slik fri bruk slik at myndighetene kan få tilgang til kryptert innhold etter rettskjennelse.

Det arbeid som nå pågår i OECD, tar sikte på å utvikle omforente retningslinjer for å utforme en politikk for bruk av kryptering i landene. Retningslinjene vil være veiledende overfor de enkelte land, som nødvendigvis må stå fritt til å utforme den politikk de selv mener er hensiktsmessig. Så også i Norge. Dette OECD-arbeidet pågår nå og jeg kan derfor ikkegå inn i detaljene på det nåværende tidspunkt.

Det andre forholdet dreier seg om EUs arbeid med å utforme et opplegg for et europeisk nettverk av tiltrodde tredjeparter. Hensikten med dette er først og fremst å fremme og sikre kommunikasjon og handel i EUs indre marked, men også i Europa som helhet og på global basis. En tiltrodd tredjepart er en aktør med tillit i markedet, - en slags notarius publicus. Man tenker seg at slike tredjeparter skal kunne administrere og verifisere (offentlige) krypteringsnøkler, tidsstemple meldinger, identifisere og bekrefte avsendere og mottakere og at meldingene faktisk er sendt eller mottatt, garantere at meldinger ikke er endret av uvedkommende, levere bevismateriale i tvistesaker, mm.. Man tenker seg videre at det i de enkelte landene eksisterer flere slike tredjeparter som er godkjent (akkreditert) av nasjonale myndigheter, og at tredjepartene er knyttet sammen i et europeisk nettverk. Et handlingsprogram er under utforming i Kommisjonen i EU, men er sterkt forsinket. Norge deltar i dette arbeidet.

3 Utfordringene

Vi står overfor flere utfordringer innen datasikkerhet. De største dreier seg om (foil)

• hvordan vi på en god måte kan balansere de ulike interesser og hensyn som er involvert,
• hvordan politikk og tiltak kan samordnes slik at de ikke blir motstridende,
• hvordan vi kan få til et godt og nødvendig samarbeid mellom myndigheter og privat sektor og
• hvordan vi kan lage ordninger i Norge som samvirker med tilsvarende i andre land.

Balansering av hensyn og interesser er noe av det politikk går ut på. Når det gjelder datasikkerhet ser slik balansering ut til å bli den viktigste utfordringen for myndighetene. De interesser og hensyn vi snakker om, omfatter blant annet hensynet til(foil)

• personvernet,
• sikker og effektiv handel nasjonalt og internasjonalt,
• åpenhet i samfunnet, som ledd i demokratiets utvikling,
• sikre løsninger i samfunnet, blant annet for å redusere sårbarheten,
• kostnadseffektive og brukervennlige løsninger, og
• myndighetenes behov for innsyn.

Flere av disse hensynene står i motsetning til hverandre. For eksempel vil

• hensynet til personvernet lett stå i motsetning til krav om utveksling av personopplysninger i forbindelse med elektronisk handel og kommunikasjon;
• utforming av sikre løsninger og opplegg generelt, vil kunne stå i motsetning til ønsket om å skape et demokratisk samfunn der informasjon flyter mest mulig fritt;
• ønsket om å sikre best mulig vil alltid stå i et motsetningsforhold til de ressurser som er tilgjenglig for formålet;
• myndighetenes ønske om innsyn, blant annet for å bekjempe organisert kriminalitet, vil stå i et motsetningsforhold til personvernet og ønsket om å skape transparente løsninger internasjonalt;
• og sikring av den kommunikasjon og informasjonsflyt som generelt skjer i samfunnet vil lett kunne lede til kostbare, ineffektive og lite brukervennlige løsninger som kan hindre utviklingen av informasjonssamfunnet.

Det gis ingen enkle svar på disse spørsmålene, som må finne sin løsning etter moden overveielse og på en slik måte at partene innen og mellom de enkelte land kan akseptere dem.

Den andre hovedutfordringen angår koordinering av politikk og tiltak. Sikkerhet angår alt og alle. Derfor har vi ikke en myndighet eller en instans som sitter med hovedansvaret, men flere departementer og etater. (foil)

• Justisdepartementet har det overordnede ansvaret for personvernet som Datatilsynet er tilsynsmyndighet for, og overvåkningen som Overvåkningspolitiet har ansvaret for;
• Forsvarsdepartementet har det overordnede ansvar for sikkerheten i forsvaret og rikets sikkerhet, herunder ansvar for det forebyggende sikkerhetsarbeid i statsforvaltningen, med Forsvarets overkommando som rette myndighet;
• Nærings- og energidepartementet har det overordnede ansvar for sertifiseringsordninger i Norge, der Norsk Akkreditering og Justervesenet er fagorganene;
• Samferdselsdepartementet har et hovedansvar for sikkerheten i telenettene, med Statens teleforvaltning som myndighet og Telenor med flere som operatører;
• Kulturdepartementet har ansvaret for opphavsrettsspørsmål og saker som gjelder vår kulturarv, herunder arkivspørsmål der Riksarkivaren er tilsynsmyndighet;
• Administrasjonsdepartementet har et overordnet ansvar for utvikling av forvaltningen og sikkerheten i statens tverrsektorielle nett med Statens forvaltningstjeneste som driftsansvarlig.

Og det kan sikkert nevnes flere ansvarsområder med tilhørende fagmyndigheter der sikkerhetsspørsmålene slår inn. Det er trolig ingen aktuell løsning å omorganisere og samle ansvaret på ett sted. Det betyr at vi står overfor betydelige utfordringer i å samordne politikk og tiltak.

Det vil også være en hovedutfordring å få til et godt samarbeid og en riktig forståelse av hva som er myndighetenes oppgaver og hva som aktørene i privat sektor bør gjøre. For at sikkerheten skal bli god, må myndighetene utforme gode rammebetingelser. Det betyr fornuftige regelverk og avtaler, og ordninger i forhold til andre land. Dessuten må staten innrette seg slik at den ikke blir til byrde for næringsliv og private aktører når disse skal kommunisere og utveksle informasjon med statsadministrasjonen. På den annen side må næringsliv og industri sørge for at sikkerhetsprodukter og -løsninger utvikles, omsettes og anvendes på en måte som er i overensstemmelse med regelverk og felles mål. For å få dette til må privat sektor beskrive sine sikkerhetsbehov, og myndigheter og næringsliv må samarbeide om felles løsninger. Fordi interessene og hensynene kan være i motstrid, må politikken utformes i forståelse med alle berørte parter.

Den siste hovedutfordringen jeg vil nevne gjelder Norges forhold til andre land. Vi må nok erkjenne at den teknologiske utviklingen - dvs nettutviklingen, utviklingen av produkter og tjenester, herunder de som gjelder sikkerhet - i hovedsak drives frem av andre land. For at vi skal kunne delta internasjonalt, - i handel og annet samvirke, må vi sørge for at de sikkerhetsløsninger og ordninger som vi lager her hjemme er forenlige med og kan samvirke med de i utlandet. I første rekke må vi være på linje med det som utvikles i EU og regi av OECD. Dette vil innebære at vi må delta i utformingen på en aktiv måte. Er vi tilbakeholdne med å delta, har vi også mindre sjanse til å påvirke det som utformes internasjonalt. Og vi har noe å bidra med, selv om vi ikke er dominerende når det gjelder sikkerhetsprodukter. Vi har en velutviklet elektronisk infrastruktur i Norge som gir oss et godt erfaringsgrunnlag; vårt næringsliv er internasjonalt rettet; vi har spisskompetanse på viktige områder; og på de områder der vi har norske sikkerhetsprodukter, så står disse ikke tilbake for tilsvarende utenlandske. Norske myndigheter ønsker å delta i utvikling av internasjonale rammebetingelser og vi vil arbeide for å legge til rette for norsk deltakelse i utviklingsprosjekter i EU. Vi ønsker også at norsk industri og næringsliv deltar i internasjonale utviklings- og forsøksprosjekter innen sikkerhetsfeltet.

Til slutt vil jeg minne om at vi har brukt mange ti-år, ja flere generasjoner på å utvikle annen slags norsk infrastruktur til det det er idag, inkludert de organisatoriske og administrative forhold som knytter seg til en samfunnsmessig infrastruktur. Når vi nå snakker om datasikkerhet, som angår de sikkerhetsmessige sider ved samfunnets IT- og kommunikasjonsinfrastruktur, der utviklingen har eksplodert spesielt de siste ti årene, så la oss si til oss selv at det kanskje kan være fornuftig å bruke noen tid til å få på plass alle elementer i sikkerhetsopplegg og varige ordninger.

Takk for oppmerksomheten.

Foil 1

Utgangspunktet for tiltak og ordninger for datasikkerhet

• Tiltak og ordninger som skaper tillit
• Et spekter av tiltak og ordninger - en infrastruktur for sikkerhet
• Bevissthet om ansvar
• Det globale informasjons-samfunnet

Foil 2

Prioritert arbeid

• Rådet for IT-sikkerhet
• Utredning av behovet for sikkerhetssertifisering
• Strategi for IT-sikkerhet i staten
• Sikkerhet i statens tverrsektorielle nett
• Bruk av kryptering
• Internasjonalt samarbeid

Foil 3

Utfordringene

• Balansering av hensyn og interesser
• Koordinering av politikk og tiltak
• Samarbeid mellom myndigheter og privat sektor
• Samvirke med andre land

1(1)Med statens tverrsektorielle nett mener jeg Departementsnettet, Statens regionale informasjonsnett (SRI) og Statens sentrale informasjonsnett (SSI).