Utvalgte hurtiglenker

    Historisk arkiv

    Historisk arkiv

    Nasjonal sikkerhetsdag 2010

    Historisk arkiv

    Publisert under: Regjeringen Stoltenberg II

    Utgiver: Fornyings-, administrasjons- og kirkedepartementet

    Tale/innlegg | Dato: 20.04.2010

    Av: Tidligere statssekretær Inger-Anne Ravlum

    - En god sikkerhetskultur i virksomhetene reduserer sjansen for at ansatte blir det svakeste ledd i sikkerhetsbarrierene. Teknologi, ressurser, risiko og trusler endrer seg over tid. Derfor er det så viktig at vi har oppmerksomhet på hvordan vi håndterer informasjon og IKT i egen virksomhet, sa statssekretær Inger-Anne Ravlum på Nasjonal sikkerhetsdag 2010.

    - En god sikkerhetskultur i virksomhetene reduserer sjansen for at ansatte blir det svakeste ledd i sikkerhetsbarrierene. Teknologi, ressurser, risiko og trusler endrer seg over tid. Derfor er det så viktig at vi har oppmerksomhet på hvordan vi håndterer informasjon og IKT i egen virksomhet, sa statssekretær Inger-Anne Ravlum på Nasjonal sikkerhetsdag 20. april 2010.

    Med forbehold om endringer under framføring:

     
    Kjære IT-entusiaster!

    Først av alt - takk for at jeg ble invitert til å åpne Nasjonal Sikkerhetsdag.

    IKT-Norge har overfor meg presentert dette arrangementet som ”en dugnad der offentlige og private bedrifter går sammen for å øke bevisstheten omkring informasjonssikkerhet i norske bedrifter.”

    Det er bra.

    Jeg gjennomførte sjøl for noen år siden en undersøkelse som skulle avdekke om virksomhetene forsto og fulgte personopplysningsloven. Det viste seg på den ene siden å være sørgelig lesning. På flere punkter svarte virksomhetene på en slik måte som måtte forstås slik at de i liten grad hadde satt seg inn i hvilke krav personopplysningsloven stiller til internkontroll og sikkerhet.

    På den andre siden var det svært få som ga uttrykk for at de mente personvern og beskyttelse av personopplysninger ikke var viktig. Det var altså gjennomgående en positiv holdning til personvern, men kunnskapen om hva som krevdes for å ivareta det, var mangelfull.

    Jeg vil anta at kanskje noe av det samme gjør seg gjeldende for informasjonssikkerhet generelt. De fleste av oss vil være enig i at det er viktig, men vi har ikke god nok kunnskap om hvor farene ligger eller hvordan vi skal beskytte oss.

    Derfor er det arbeidet dere gjør og den diskusjonen dere skal ha her i dag viktig. Informasjonssikkerhet angår den enkelte virksomheten, men det angår i høyeste grad også samfunnet som helhet.

    IT er ikke lengre en perifer eller ”nerdete” del av virksomheten. IT er en del av selve oppgaveløsningen. Det er bra fordi det øker effektiviteten, det gjør det mulig for oss – enten vi er i privat eller offentlig virksomhet – å løse oppgavene bedre og det øker tilgjengeligheten for kunder, brukere og allmennheten. Sånn sett er integreringen av informasjonsteknologien i selve oppgaveløsningen egentlig et gigantisk demokratiprosjekt.

    Samtidig øker sårbarheten. Den øker for den enkelte virksomheten, men også for samfunnet som helhet – ikke minst fordi vi integrerer systemene våre.

    Etter hvert som bruksområdene utvikler seg, øker også truslene. Det gjør informasjonssikkerheten til et større spørsmål enn tidligere virksomhetsintern sikkerhet.

    Jeg skal ikke belære dere om utviklinga innen cloud computing. Såpass har jeg skjønt, at det åpner for større fleksibilitet og effektivitet i datadrift. 

    Allerede i dag er det mange nettbaserte tjenester som benytter seg av den enorme infrastrukturen som skyene representerer. Selskapene sparer både utviklings- og driftskostnader og slipper store investeringer i egen it-infrastruktur.

    I følge BusinessWeek vil det globale markedet for cloud computing i løpet av de neste fire-fem år være på 95 milliarder dollar i året.  Mange it-analytikere tror cloud computing vil bety en stor og viktig endring i hvordan databehandling vil foregå. 

    Denne teknologien vil, når den er klar, representere store muligheter for både store og små bedrifter. Selv små bedrifter kan da utvikle tjenester som tidligere ville væt umulig om ikke bedriften selv kunne investere i kostbar serverkapasitet. Dette kan bety mange nye og interessante tjenester i årene som kommer.

    I tillegg har jeg skjønt at det også berører sentrale sikkerhetsaspekter for virksomhetene og at mange derfor nøler.
    - Mye utvikling gjenstår før stabilitet, sikkerhet og oppetid er tilfredsstillende for skeptiske IT-sjefer.
    - Hvor virksomhetskritisk kan informasjonen være før vi velger å legge den ut?
    - Hvordan skal vi sikre personvernet?
    - Og hvem har egentlig ansvaret for sikkerheten?

    En velkonstruert sky kan være robust og gi brukerne bedre vern enn om de hadde hatt i sine egne, separate datasystemer. Konsentrasjonen av data gjør likevel skyen enda mer tiltrekkende for angripere.

    Utviklinga i retning av cloud computing kan forsterke truslene. En liten feil ett sted kan få store konsekvenser. Men nettopp fordi vi er oppmerksom på det, kan det også bidra positivt til sikkerhetstenkinga.

    Nettskyer kan derfor bidra til en videreutvikling av sikkerhetsløsninger, en større bevissthet om ansvarsfordelingen og om intern sikkerhetskultur hos brukerne. Det vil i tilfelle være positive sidevirkninger.

    Tilbydere av nettsky-løsninger må kunne løse flere kritiske utfordringer som knytter seg til for eksempel tjenestenes stabilitet og sikkerhet før brukere vil være villige til å overlate forvaltning og drift av bedriftens eller etatens interne data til eksterne aktører.

    Samtidig må brukere forstå og akseptere sin del av ansvaret for sikkerhetsfunksjonene til produkter og tjenester.

    Etter hvert som fordelene ved nettskyer for effektivitet og fleksibilitet blir åpenbare, må den enkelte virksomhet vurdere hva som er risikoen, hva som påvirker risikoen og hva som kan gjøres for å redusere den.

    For de største sikkerhetsutfordringene er vel fremdeles lav prioritering av sikkerheten internt i virksomhetene. Det dreier seg om manglende internkontroll, dårlige rutiner og ledere og ansatte som ikke overskuer at egne handlinger kan legge informasjonssystemene eller sensitiv informasjon åpent for andre. Dette dreier seg om sikring av PC, mobil og minnepinne. Økt bruk av mobile enheter vil forsterke dette.

    Nye trusler og sårbarhetsfaktorer avdekkes kontinuerlig. Innføring av stadig ny teknologi gjør at vi trenger økt bevissthet om informasjonssikkerhet generelt.

    Informasjonssikkerhet er et virksomhetsansvar – både i privat og offentlig sektor.

    En god sikkerhetskultur i virksomhetene reduserer sjansen for at ansatte blir det svakeste ledd i sikkerhetsbarrierene. Teknologi, ressurser, risiko og trusler endrer seg over tid. Derfor er det så viktig at vi har oppmerksomhet på hvordan vi håndterer informasjon og IKT i egen virksomhet.

    FADs oppgave er å se problemstillingene på tvers. Det er ikke vi som kan ivareta informasjonssikkerheten. Det må hver enkelt virksomhet gjøre – også de statlige. Likevel står vi overfor noen felles utfordringer og problemstillinger.

    Noen av disse kan være slik at løsninger har større effekt om flere bidrar og flere trekker i samme retning. Andre områder kan være slik at de angår alle, men ingen egentlig opplever at de har ansvaret.

    Jeg vil ikke si at svaret på alle slike utfordringer er FAD. Men det er kanskje i slike tilfeller et IKT-departement i alle fall kan utgjøre en forskjell.

    Derfor kom gjerne med innspill – ikke til hvordan departementet kan gjøre jobben – men hvordan vi kan legge til rette for at flere kan trekke i lag og til at kunnskap og erfaringer kan brukes av flere.

    Lykke til med ”dugnaden der offentlige og private bedrifter går sammen for å øke bevisstheten omkring informasjonssikkerhet i norske bedrifter.”

    Takk for meg!

     

     

    Til toppen