Informasjonssikkerhet - når det gjelder

Det er nå gått syv uker siden bomben eksploderte utenfor Høyblokka i regjeringskvartalet. Det uvirkelige ble virkelig. Sammen med massakren på Utøya har bombeangrepet på regjeringskvartalet preget en hel nasjon. Åtte mistet livet i regjeringskvartalet. 69 ble skutt på Utøya. Som nasjon er vi merket for alltid.

Midt i denne uvirkelige situasjonen var det mange som fikk krevende oppgaver med å håndtere krisa både når det gjaldt folk, bygninger og administrativt støtteapparat. Terroraksjonen førte også til at regjeringens kriseråd ble innkalt. I denne sammenheng ble det iverksatt et omfattende arbeid med å få innhentet og systematisert nødvendig informasjon slik at vi så raskt som mulig kunne få en oversikt over situasjonen.

En av mine erfaringer fra disse hektiske timene og dagene er hvor viktig det var med rask tilgang til livskritisk informasjon i forbindelse med krisehåndteringen.   Informasjonssikkerhet innebærer, kort og godt, at vi får tak i informasjonen når vi trenger den, at den er korrekt og enkelt tilgjengelig.  Og det var den, takket være god planlegging og flott innsats fra folkene i departementsfellesskapet.

Selv om regjeringskvartalet fikk alvorlige skader maktet Departementenes servicesenter (DSS) å sørge for at de kritiske IKT-systemene hele tiden var oppe, og at fjernaksessen fungerte som den skulle. Departementenes etterspørsel etter IKT-tjenester og -bistand var stor i de påfølgende dagene etter hendelsen, og brukerassistansen og serverparken i regjeringskvartalet måtte raskt dimensjoneres slik at den kunne håndtere alle departementene som nå måtte koble seg på regjeringskvartalets nettverk via fjernaksess. God informasjonsflyt ut til publikum var også et viktig element i regjeringens krisehåndtering. DSS etablerte i denne sammenheng en ordning som sørget for rask og direkte publisering av informasjon på Regjeringen.no fra alternative lokasjoner.

DSS ekstraordinære innsats i forbindelse med terroraksjonen 22. juli var etter min vurdering en sterkt medvirkende årsak til at regjeringsapparatet kunne fungere under og etter den dramatiske situasjonen som oppstod i regjeringskvartalet denne ettermiddagen. Gode interne rutiner for krisehåndtering i DSS sørget for dette. Her er vi også ved kjernen av det som er godt arbeid med informasjonssikkerhet – det skjer ikke over natten.  God planlegging, gode rutiner, klare ansvarslinjer – alt dette må være på plass for å sikre at informasjon, systemer og nettverk er beskyttet på en hensiktsmessig måte.

Nå har tiden kommet for å kartlegge hva som skjedde, og hvordan oppfølgingen av denne hendelsen ble håndtert sentralt og lokalt. Mange stiller i denne sammenheng spørsmål om den nasjonale beredskapen var godt nok organisert. Denne vurderingen ønsker jeg å overlate til 22.julikommisjonen. Min erfaring etter terroraksjonen er imidlertid at betydningen av å sikre og beskytte kritiske IKT-systemer ikke må, eller kan, undervurderes. Informasjonen lagret i ulike IKT-systemer er i dag helt avgjørende for at en myndighet eller virksomhet skal kunne nå sine strategiske mål. Ledelsen i virksomheten må være trygge på at de har tilgang til nødvendig informasjon hvis en kritisk situasjon skulle oppstå.
 
Vi har nå igangsatt en revisjon av de nasjonale retningslinjer for å styrke informasjonssikkerheten. Et av målene med dette arbeidet er blant annet å identifisere nye sikkerhetsutfordringer og trender. IKT og Internett utvikler seg i et stadig raskere tempo – og vi må holde tritt med denne utviklingen, særlig når det gjelder informasjonssikkerhet. Et sentralt punkt i denne sammenheng er etter min mening å sørge for at de samfunnskritiske IKT-systemer og nettverk blir beskyttet slik at de er robuste og stabile, og har kapasitet til å håndtere den økte belastningen ved ekstraordinære hendelser, slik som den vi opplevde 22. juli.

For at dette skal skje, må alle ta et ansvar for informasjonssikkerheten. Mannen i gata for hjemme PCen, bedriftsledere for sine systemer og kobling til Internett, forvaltningen for sine systemer og nettverk. Eiere av kritisk IKT-infrastruktur har et spesielt ansvar – om de er i privat eller offentlig sektor. Jeg har registrert at det har kommet utspill om et sikkerhetsdepartement som kan ta hele dette ansvaret. Jeg vil ikke ta stilling til slike utspill her og nå, men vil bare minne om at informasjonssikkerhet i det daglige er først og fremst et leder- og virksomhetsansvar – både i privat og offentlig sektor. Intet departement kan overta dette ansvaret på vegne av alle. Samtidig er det grunn til å se på koordineringsbehov for informasjonssikkerhet, særlig i forvaltningen, men også nasjonalt. Dette er ett av spørsmålene som vurderes i forbindelse med det igangsatte arbeidet med revisjon av Nasjonale retningslinjer for informasjonssikkerhet.

I mellomtiden – tenk sikkerhet og planlegg for det utenkelige – for det kan dessverre skje.