Utvalgte hurtiglenker

    Historisk arkiv

    Historisk arkiv

    Workshop - revisjon av nasjonale retningslinjer for informasjonssikkerhet

    Historisk arkiv

    Publisert under: Regjeringen Stoltenberg II

    Utgiver: Fornyings-, administrasjons- og kirkedepartementet

    Tale/innlegg | Dato: 23.11.2011

    Av: Tidligere statssekretær Tone Toften

    Ledere må erkjenne at informasjonssikkerhet er viktig for å nå virksomhetens mål, sa statssekretær Tone Toften på workshop i forbindelse med revisjon av nasjonale retningslinjer for informasjonssikkerhet.

     

    Med forbehold om endringer under framføring:

    Først av alt - takk for at jeg fikk lov til å komme hit til åpningen av denne workshopen i forbindelse med revisjon av nasjonale retningslinjer for informasjonssikkerhet.

    Innledning
    Regjeringen er opptatt av informasjonssikkerhet. IKT er i dag en integrert del av samfunnet, og har blitt en uunnværlig del av vårt liv. Hvem kan for eksempel forestille seg en hverdag uten internett, nettbank og mobiltelefon? IKT ”driver” store deler av samfunnet, og har blitt en viktig innsatsfaktor for å lykkes på områder som er viktige for Regjeringen enten det handler om sysselsetting, næringsutvikling eller en sterk og god offentlig sektor.

    For å lykkes med våre ambisjoner på dette området har vi behov for beskytte våre nettverk og systemer slik at de er sikre og stabile til enhver tid. Befolkningen må ha tillit til at de digitale tjenestene i samfunnet fungerer.

    Myndighetene har en sentral rolle når det gjelder å legge til rette for og påvirke måten IKT utvikles og tas i bruk på i samfunnet. Dette gjør vi gjennom blant annet gjennom utforming og håndheving av lover og forskrifter, tilsyn, og gjennom råd og veiledning. Vi har gjennom årene også gitt ut flere strategier og retningslinjer som skal sørge for at vi har en helhetlig nasjonal tilnærming til de sikkerhetsutfordringene som vi ser på dette området.

    Trusselbildet er i stadig bevegelse
    Informasjonssikkerhet er en kontinuerlig prosess. Det som var god sikkerhet i går er ikke nødvendigvis godt nok i dag eller i morgen. Vi må vedlikeholde og oppdatere teknisk kunnskap og sikkerhetsbevissthet dersom vi skal oppnå full effekt av innsatsen på området. Den raske teknologiske utviklingen gjør at det stadig dukker opp nye sikkerhetsutfordringer i takt med introduksjon av nye produkter og tekniske løsninger, og endrede bruksmønstre.

    Alle datasikkerhetseksperter er i dag enige om at kritisk infrastruktur som for eksempel strømnett og vannverk, bank- og finansvesen, transport- og helsevesen samt olje- og gassektoren kan være opplagte mål for IKT-angrep. Vi har også flere eksempler på at hackere har vært i stand til å stenge offentlige myndigheters hjemmesider, stjele militære hemmeligheter og fysisk ødelegge viktig samfunnsinfrastruktur som strøm og vannforsyning. Tusenvis av menneskeliv kan settes i fare når sykehus settes ut av drift eller når folk står uten strøm, vann og varme, for ikke å nevne de økonomiske konsekvensene dersom de finansielle aktivitetene tas ned.

    Formålet med retningslinjene
    Opp gjennom årene har vi sett at norske virksomheter og enkeltpersoner har undervurdert risikoen ved dårlig informasjonssikkerhet. Flere undersøkelser, for eksempel Næringslivets sikkerhetsråds mørketallsundersøkelser, har vist at IKT-sikkerhetsarbeidet ikke er tilstrekkelig forankret i virksomhetens ledelse. Flere norske virksomheter gjennomfører ikke risiko- og sårbarhetsanalyser, de foretar ikke verdivurderinger, og mange virksomheter mangler også en IKT-sikkerhetspolicy.

    Dette er ikke en tilfredsstillende situasjon. For at vi som samfunn skal kunne nyttiggjøre oss av teknologien må det arbeides målrettet med informasjonssikkerhet i hele samfunnet. I tillegg må vi legge om våre tenke- og handlemåter slik at vi utvikler en god sikkerhetskultur. Dette vil kreve langsiktig strategisk tenkning på sentralt hold, samt kunnskap og kompetanse om informasjonssikkerhet – både i virksomhetene og i befolkningen.

    Et av Regjeringens bidrag i denne sammenheng har vært å utgi, og følge opp, Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010. Formålet med å gi ut disse retningslinjene har vært tredelt. De skal bidra til:

    • Å skape en felles forståelse for hvilke utfordringer vi står over for.
    • Identifisere hvilke områder det er behov for å gjøre en ekstra innsats.
    • Å fremme en bedre forståelse for hvordan alle kan dra fordel av, og bidra til, utviklingen av en kultur for informasjonssikkerhet.

    Retningslinjene har tre overordnede mål:

    1. Robust og sikker kritisk infrastruktur og støttesystemer for kritiske samfunnsfunksjoner.
    2. Utvikling av en sikkerhetskultur.
    3. En befolkning med høy kompetanse og kunnskap om informasjonssikkerhet. Fremme FoU innen området.

    Retningslinjene har hatt 11 innsatsområder som alle bygger opp under retningslinjenes tre overordnede mål. Retningslinjenes primære målgruppe har vært statlige myndigheter, men oppfølgingen av retningslinjene innsatsområder har berørt kommuner, fylkeskommuner, næringsliv, private organisasjoner, husstander og enkeltpersoner.

    Innholdet i dokumentet er – på grunn av fagområdets dynamikk – modent for revisjon. Regjeringa har derfor besluttet å igangsette en revisjon av de nasjonale retningslinjene.

    Revisjonsarbeidet er nå godt i gang, og arbeidsgruppen har i dag invitert til en workshop slik at dere, med den kompetansen og den bakgrunnen dere har, skal få anledning til å bidra inn i prosessen med å oppdatere og fornye innholdet.

    Som statssekretær i et departement med ansvar for den forebyggende informasjonssikkerheten er det spesielt viktig for meg å påpeke at ledere har et spesielt ansvar for å ivareta informasjonssikkerheten. Ledere - enten det er i offentlig eller privat sektor - må erkjenne at informasjonssikkerhet er viktig for å nå virksomhetens mål. Ledere har et spesielt ansvar for å skape bevissthet om informasjonssikkerhet i egen virksomhet. De har et ansvar for kulturen i virksomheten. God sikkerhet forutsetter at de ansatte følger gode rutiner og prosedyrer. En god sikkerhetskultur i virksomhetene reduserer sjansen for at ansatte blir det svakeste ledd i våre sikkerhetsbarrierer. Bevisstgjøring er en kontinuerlig prosess. Teknologi, ressurser, risiko og trusler endrer seg over tid. Derfor er det så viktig at vi har oppmerksomhet på hvordan vi håndterer informasjon og IKT i egen virksomhet.

    Med nasjonale retningslinjer for informasjonssikkerhet ønsker Regjeringen at det skal bli lettere både for offentlige og private virksomheter å ivareta informasjonssikkerheten i egen virksomhet og i samfunnet som helhet.

    Det fremtidige arbeidet med IKT-sikkerhet må primært være innrettet mot vern og utvikling av informasjonssystemer og nett. I tillegg handler IKT-sikkerhet om å innføre nye tenke- og handlemåter ved bruk av informasjonssystemer og nett, og ved utveksling og informasjon. Innsatsen som gjøres på dette området vil også bidra til å styrke personvernet.

    Avslutning: Alle har et ansvar for å bidra til utviklingen av en sikkerhetskultur
    Regjeringen ønsker å bidra med for å styrke sikkerheten i informasjonssystemer og nett. Regjeringen kan imidlertid ikke gjøre denne jobben alene. Den enkelte bruker og virksomhet må selv legge ned en innsats. Jeg vil derfor oppfordre den enkelte til å være bevisst sikkerhetsproblemene.  Innarbeiding av en sikkerhetskultur vil kreve både lederskap og omfattende deltakelse.

    En koordinert og effektiv deltakelse fra næringsliv, sentrale og lokale myndigheter og den enkelte forutsetter en felles forståelse av utfordringene. Min oppfordring i denne sammenheng er at vi får på plass et utstrakt samarbeid – et partnerskap – mellom offentlig og privat sektor der man i fellesskap bruker de tilgjengelige ressursene til å trekke mot det samme målet: Et sikkert IKT-samfunn for alle!

    Med denne oppfordringen vil jeg takke for meg, og ønske dere lykke til med dagens workshop. Takk for oppmerksomheten.

    Til toppen