Sikkerhetskonferansen 2012

- Informasjonssikkerhet  er først og fremst et lederansvar. Dette gjelder virksomheter i både offentlig og privat sektor. Ledelsen må erkjenne at informasjonssikkerhet er en kritisk faktor for å nå virksomhetens mål, sa statsråd Rigmor Aasrud på Næringslivets sikkerhetsråds sikkerhetskonferanse 2012.

Talemanus. Med forbehold om endringer under fremføring: 

 

Kjære sikkerhetsarbeidere!

Det er hyggelig å få lov til å åpne Næringslivet Sikkerhetsråds’ årlige sikkerhetskonferanse. Den 25. i rekken om jeg ikke tar helt feil. Denne konferansen er en av de viktigste møteplassene for alle som er opptatt av og sysselsatt med sikkerhet i næringslivet. Her blir man oppdatert på et bredt spekter av kriminalitets- og sikkerhetsutfordringer som næringslivet står ovenfor.

For de som kjenner meg godt vet at jeg er over gjennomsnittet interessert i sport. Sommeren i år har sånn sett vært travel. På forsommeren fulgte jeg ihuga med på fotball-EM. Så var det noen ukers hardt arbeid med regjeringsnotater og neste års statsbudsjett før jeg dro på ferie til London for å være tilstede på sommer-OL. I denne sammenheng var jeg så heldig at jeg fikk være tilstede under sluttspillkampene i damehåndball. Det hele endte med at de norske håndballjentene – som vi alle vet – sikret seg gullet etter en særdeles spennende finalekamp som først ble avgjort i de siste minuttene i andre omgang.

Finalen var en sterk opplevelse. Som gammel håndballspiller vet jeg at forut for en slik prestasjon ligger det uendelige mange timer i treningshallen med kondisjonstrening, innøving at spillertrekk og terping på detaljer. Om og om igjen. De spillerne som stilte til finalkampen denne lørdagen var 100 prosent mentalt og fysisk forberedt. De var bevisst sin rolle på laget. De ville være best når det gjaldt som mest.

Trekker vi en parallell til dagens tema – med blant annet konklusjonene fra 22. kommisjonens rapport friskt i minne – mener jeg at det nasjonale arbeidet med informasjonssikkerhet, og krisehåndtering, har visse likhetstrekk med toppidretten. Dette gjelder tilnærming til hvordan arbeidsoppgavene må forberedes og løses:

Skal vi være best når det gjelder så må rollene være fordelt i forkant. Rutinene må være drillet inn, mottiltak være i verksatt og – ikke minst – systemene må virke. Det er kun når sikkerhetsrutinene og systemene virker som forutsatt at det er det rom for improvisering.

I bunn og grunn er tilnærmingen til informasjonssikkerhet og krisehåndtering like opplagt som i toppidretten. Det er ikke mulig å bli god uten planlegging. Det kreves et godt treningsgrunnlag. Og man må som lag har trent på alle elementene i den oppsatte planen, om og om igjen, og bruke disse øvelsene aktivt for å bli stadig bedre.

Det jeg sier nå er basert på egen fersk erfaring. Riksrevisjonen la i 2010 fram en rapport med sterk kritikk av IKT-sikkerheten i regjeringskvartalet. Det ble påpekt alvorlige sikkerhetsmessige mangler ved den ikt-løsningen som Departementenes servicesenter (DSS) leverer til 13 departementer.

• Det var nødvendig å gjøre noen tydelige grep for å bedre informasjonssikkerhetenVi satte i gang et omfattende arbeid med å bedre den tekniske sikkerheten.
• DSS ble pålagt å starte arbeidet med etablere et nytt styringssystem for informasjonssikkerhet i DSS .
• Videre engasjerte vi Nasjonal sikkerhetsmyndighet (NSM) til å foreta en uavhengig og grundig sjekk av sikkerheten og teste robustheten mot ondsinnet inntrengning.
• For å sikre at vi ikke bare gjorde de riktige tingene, men også gjorde det rett, leide vi inn utenforstående eksperter, (Ernst & Young) til å kvalitetsikre arbeidet.

Jeg er glad for at det målrettede sikkerhetsarbeidet som har pågått i DSS det siste året har gitt konkrete resultater. I mai i år kunne den eksterne kvalitetssikreren rapportere om at den tekniske sikkerheten i DSS er betydelig forbedret. DSS etablerer også et styringssystem for informasjonssikkerhet som skal identifisere og redusere kritisk sikkerhetsrisiko i virksomheten.

Så har jeg satt i gang utredning av en ny ikt-løsning for alle departementene og statsministerens kontor. Dette følges nå opp med planlegging og prosjektering av en fremtidsrettet ikt-løsning der sikkerhet selvsagt står sentralt.

For å styrke arbeidet med sikkerhet i etterkant av 22. juli etablerte jeg 1. august 2012 en ny avdeling i Fornyingsdepartementet, Avdeling for bygg, sikkerhet og tjenester, blant annet for å styrke og konsolidere sikkerhetsarbeidet.

Avdelingen har blant annet ansvaret for arbeidet med gjenoppbygging av regjeringskvartalet, koordinering og styring av felles sikringstiltak for regjeringskontorene, unntatt Forsvarsdepartementets ledelsesbygg, og IKT-sikkerhet. DSS er også tilført økte midler og stillinger til sikkerhetsarbeidet, også IKT-sikkerhet. Vi har også styrket vår egen stab med kompetanse på dette området.

God ledelse og tilstrekkelige ressurser er en nøkkel til suksess. Ved å etablere en avdeling som samler sikkerhetsarbeidet styrker vi sikkerhetsledelsen i departementsfellesskapet.

Arbeidet med IKT-sikkerheten i regjeringskvartalet og erfaringene fra 22. juli har vist oss betydningen av at ledelsen i virksomheten, enten det er i offentlig eller privat sektor, erkjenner at sikkerhetskultur må være høyt oppe på agendaen til enhver tid.

Gjørv-kommisjonen er også opptatt av dette. Kommisjonen mener at ledere i forvaltningen må gripe fatt i holdninger og kultur og sikre risikoerkjennelse og gjennomføringsevne for alt sikkerhets- og beredskapsarbeid i forvaltningen. Dette er kommisjonens viktigste anbefaling og det er et godt råd. Jeg tror vi alle, ikke bare forvaltningen, gjør rett i å vurdere disse anbefalingene.

Regjeringen er opptatt av informasjonssikkerhet
Sikre og stabile IKT-systemer er i våre dager helt avgjørende for å nå virksomhetens mål. Ledelsen i alle virksomheter må derfor sørge for å bevisstgjøre og motivere de ansatte til å følge opp gjeldende rutiner, regler og retningslinjer som bygger opp under god sikkerhet i egen virksomhet og i samfunnet generelt. Det nytter ikke med gode tekniske sikringer alene. Klare ansvarslinjer, holdninger, etikk og en organisasjonskultur som fremmer sikkerhet, er like viktige. Dette vil jeg sette fokus på fremover.

God informasjonssikkerhet er en forutsetning for at alle aktører, på hver sin måte, kan ta ut det store gevinstpotensialet som ligger i bruk av IKT. Dette gjelder både for næringslivet, offentlig sektor og i samfunnet for øvrig.

Økt bruk av IKT og Internett har ført til at samfunnet som helhet har blitt mer sårbart for selv korte driftsavbrudd i systemer og nett. Beskyttelse av sikkerhetsgradert eller sensitiv informasjon som blir forvaltet i datasystemene, har også blitt en stadig viktigere oppgave for mange. Det er en sterkt økende tendens til at kriminelle aktører benytter målrettede, skreddersydde og profesjonelle angrep i forsøk på å skaffe seg informasjon eller systemkontroll.

En av de største utfordringene for informasjonssikkerheten er en manglende sikkerhetsbevissthet hos brukerne. Vi er godt kjent med at mange virksomheter og enkeltindivider undervurderer risikoen ved dårlig informasjonssikkerhet. Vi har opp igjennom årene altfor mange eksempler på dårlig informasjonssikkerhet i virksomheter som følge av mangel på interne rutiner, bevissthet eller kompetanse som i sum har ført til en sikkerhetssvikt.

For å bøte på dette problemet mener jeg at vi trenger vi et kontinuerlig fokus  på sikkerhetskulturen. Det er viktig at alle får en felles forståelse for hvilke utfordringer vi står overfor, og hva den enkelte selv kan bidra med for beskytte seg selv, eller andre, mot aktuelle sikkerhetstrusler.

Hvem er det så som skal gå foran og vise vei i denne sammenheng? Informasjonssikkerhet  er først og fremst et lederansvar. Dette gjelder virksomheter i både offentlig og privat sektor. Ledelsen må erkjenne at informasjonssikkerhet er en kritisk faktor for å nå virksomhetens mål. Ledelsen må også legge til rette for at det skjer en kontinuerlig bevisstgjøring av og motivasjon hos de ansatte for å arbeide med å styrke virksomhetens informasjonssikkerhet.

De ansatte i virksomheten må få en generell forståelse for hvorfor det er behov for å iverksette gode sikkerhetstiltak, rutiner og prosesser.  En god sikkerhetskultur i virksomhetene vil minske sjansen for at de ansatte, eller enkeltindivider, utgjør det svakeste ledd i våre sikkerhetsbarrierer. Slik motivasjon og bevisstgjøring må skje i takt med hvordan teknologi, ressurser, risiko og trusler utvikler seg.

Regjeringen lanserer ny nasjonal strategi for informasjonssikkerhet
I løpet av kort tid vil regjeringen lansere en ny nasjonal strategi for informasjonssikkerhet. Strategien vil dekke hele spekteret av oppgaver fra grunnleggende IKT-sikkerhet til beskyttelse av de mest samfunnskritiske informasjonssystemene. Noen av dere kjenner kanskje Nasjonal sikkerhetsmyndighets forslag til nasjonal strategi for cybersikkerhet som kom i 2009. Hovedtenkningen i denne – og innspill fra høringsrunden har inngått som en viktig del av grunnlagsmaterialet ved utforming av den nasjonale strategien for informasjonssikkerhet.

Utviklingen av informasjonsteknologi går meget raskt og regjeringen legger derfor den nasjonale strategien på et overordnet nivå, og peker på noen utvalgte områder.

Et vellykket nasjonalt informasjonssikkerhetsarbeid vil innebære at alle aktører er kjent med risikobildet, og sikrer sine systemer og nett i for å møte truslene man står overfor. Det er her sentralt at myndighetene legger aktivt til rette for at den nasjonale IKT-infrastrukturen er godt sikret gjennom rett organisering, tilstrekkelig ressursbruk, gode rammevilkår og effektive tiltak.

Når vi snakker om forebyggende informasjonssikkerhet i samfunnet vil jeg som IT-minister også vektlegge at alle private og offentlige virksomheter selv må gjøre en innsats på informasjonssikkerhetsområdet. Det er viktig at virksomhetene på eget initiativ bygger sikkerhet og robusthet inn i sin informasjonsinfrastruktur. Først og fremst for å sikre egen virksomhet og egne verdier, men også for å beskytte sine kunder og brukere.

Myndighetene spiller en sentral rolle på dette området, men vi forutsetter også at den enkelte bruker selv tar et selvstendig initiativ for å beskytte sin identitet, sitt eget personvern og sine egne økonomiske verdier på nett.

Regjeringen ønsker å sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser. Vi har i denne forbindelse blant annet opprettet et tettere nordisk CERT-samarbeid for gjensidig utveksling av slik informasjon mellom de nordiske landene. Vi vil også styrke samfunnets evne til å forebygge, avdekke og etterforske datakriminalitet. Videre skal det være en kontinuerlig innsats for bevisstgjøring og kompetanseheving i hele samfunnet. Og til sist, det skal være høy kvalitet på nasjonal forskning og utvikling innenfor informasjons- og kommunikasjonssikkerhet.

Jeg vil komme tilbake til hvordan arbeidet skal organiseres og hvilke oppgaver som skal prioriteres når jeg lanserer strategien senere i år.

Avslutning
Vi har sett at utviklingen av IKT har skapt store endringer i samfunnet de siste tiårene. Gevinstene har vært betydelige både for innbyggere, næringsliv og samfunnet som helhet.  IKT-systemer blir stadig viktigere, mer integrert i alle deler av samfunnet og utgjør en stadig større del av det som er kritisk for at samfunnet skal fungere normalt. Befolkningen er i mange sammenhenger avhengig av IKT for å få utført en tjeneste. IKT utgjør nå grunnmuren for all samhandling på tvers av sektorer.

Økt bruk av IKT-systemer gjør at samfunnet blir mer sårbart. Truslene mot IKT-systemene øker, og angrepene blir stadig mer avanserte. God forebyggende informasjonssikkerhet blir derfor stadig viktigere for samfunnssikkerheten.

Som vi husker fra håndballjentenes OL-innsats slet de innledningvis med å finne ut av motstanderne, sette forsvaret og få de innøvde trekkene til å fungere.  I løpet av turneringen så vi hvordan de spilte seg opp, fikk samhandlingen til å fungere. Da kom resultatene.

Det samme gjelder arbeidet med informasjonssikkerhet. Nye sikkerhetsutfordringer vil komme. Disse må vi raskt oppdage. Vi må finne de rette mottrekkene. Og til sist må en god sikkerhetskultur være etablert i alle ledd. På denne måten kan vi  møte utfordringene på området på en god måte.

I debattene under denne konferansen vil dere forhåpentligvis komme dypere i drøftelsen av fordelene og ulempene ved bruk av den digitale teknologien. Jeg håper at disse drøftelsene blir fruktbare, og at de bidrar til at informasjonssikkerheten får større oppmerksomhet i norske virksomheter og samfunnet som helhet fremover.

Lykke til med konferansen, og takk for oppmerksomheten!