Informasjonstryggleik på alvor

Kronikk av fornyings- og administrasjonsminister Heidi Grande Røys i Dagsavisen 6. desember.

Som privatpersonar legg vi igjen informasjon om oss sjølve i ulike samanhengar. Vi betaler rekningar, vi registrerer eigedelar hos forsikringsselskap og vi legg igjen informasjon om helsa vår hos fastlegen og på norske sjukehus. Då er det viktig at vi har tillit til at informasjonen vert handtert på ein forsvarleg måte. Denne hausten har det vore mykje merksemd om kor sårbare vi er i informasjonssamfunnet.

19. juli i år peikte Aftenposten på at det er mogeleg å tappe offentlege og private nettbaserte tenester for personleg informasjon. Nokre få veker seinare var den såkalla Tele2-skandalen eit faktum. Tilnærma 60 000 namn og personnummer var på avvegar og frykta for misbruk var stor.

Sidan har det vore eksponert fleire saker. I Ålesund vart nærmare 70 klagesaker frå sosialklientar ved ein feil lagde ut på Internett av kommunen sjølv, i følgje Sunnmørsposten. 21. november i år åtvara Nasjonalt tryggingsorgan (NSM) om at grupper på Facebook kan utgjere ein risiko for tryggleiken. - Når 1200 personar er registrerte under gruppa «politiet» på Facebook, må ein vere klar over at slike opplysningar kan vere sensitive og interessante også for framand etterretning, terrororganisasjonar, kriminelle grupper og hackarmiljø, sa Roar Thon i NSM

Og sist men ikkje minst viste brannen på Oslo S. 28. november kor sårbare vi er. Pasientar måtte utsetje planlagde operasjonar fordi sentralen ikkje hadde telefonsamband, transport kunne ikkje bestillast, og politiet på Sentrum politistasjon måtte ta inn meldingar med papir og blyant då heile datasystemet vart sett ut av spel.

Sakene har det til felles at dei rettar søkjelyset mot at person- og verksemdssensitiv informasjon som kjem i feil hender kan bli misbrukt og at brot på informasjonsstraumen kan få store konsekvensar for verksemder og for samfunnet som heilskap. Informasjonstryggleik handlar om å verne informasjonen, systema den vert lagra i og nettet den vert transportert i. Det er leiarane som ber det største ansvaret for å vareta informasjonsvernet.

Regjeringa vil at det skal verte lettare både for offentlege og private verksemder å vareta informasjonsvernet. Derfor har vi utarbeidt Nasjonale retningslinjer for informasjonstryggleik. Retningslinjene slår fast at informasjonstryggleik vert stadig viktigare, men nye trendar og truslar gjer arbeidet stadig meir krevjande, og det er ikkje hol i informasjonssystema som utgjer dei største problema. Dette er nokre utfordringar:

Stadig fleire tenester innanfor stadig fleire samfunnsområde vert støtta av IKT.  Dette inneber at ein blir stadig meir avhengig av teknologien i den einskilde verksemda, mellom verksemder, mellom samfunnssektorar og på tvers av landegrenser. Når vi vert meir avhengige av IKT og Internett vert vi òg meir sårbare for driftsavbrot. Brannen på Oslo S er ein demonstrasjon av dette.

Målretta, skreddarsydde, og profesjonelle angrep utgjer ein stadig større risiko for informasjonsvernet. Angriparane er motiverte av finansiell vinning, dei opererer i det skjulte og dei vert stadig meir profesjonelle når dei jaktar på konfidensielle data.
Utfordringane knytte til informasjonstryggleik vert forsterka av at stadig fleire tek i bruk PC og Internett utan å vere medvitne om korleis dei skal handtere informasjon på ein sikker måte. Ei spennande utvikling ved Internett er overgangen frå ein informasjonsvev til ein deltakingsvev.  Vi må samstundes vere medvetne om at denne utviklinga opnar for ei ny type sosial interaksjon der deling av informasjon kan utgjere ein trussel for personar eller verksemder.

Mange verksemder og enkeltindivid undervurderer risikoen ved dårleg informasjonstryggleik, dei forankrar ikkje tryggingsarbeidet i tilstrekkeleg grad i leiinga til verksemda og dei manglar sårbarheits- og risikoanalysar. Dei aller fleste verksemdene i offentleg og privat sektor har i dag etablert ei rekkje tekniske innretningar som brannmur, antivirus mm for å møte tryggingsutfordringane. Det er bra, men informasjonstryggleik handlar ikkje berre om kva for tekniske løysingar ein vel. Det handlar like mykje om fordeling av ansvar og oppfølging av rutinar og planverk. Ei av dei største utfordringane for informasjonsvernet er manglande medvit om tryggleik hos brukarar. Ny teknologi, auka kompleksitet i informasjonssystema, nye former for kriminell verksemd og nye bruksmønster fører til større behov for bevisstgjering, informasjonsdeling og opplæring i dei ulike tryggleiksutfordringane.

Denne kunnskapen må haldast ved like og oppdaterast dersom ein skal oppnå full effekt av den innsatsen som vert lagd ned på området. Det dukkar stadig opp nye problem i takt med introduksjon av nye tekniske løysingar og endra bruksmønster i denne samanhengen. Denne kunnskapen kan i dag kjøpast i marknaden. Det finst også ei rekkje gratistenester på Internett. Myndigheitene har bl.a. etablert Norsk senter for informasjonssikring (NorSIS) i tillegg til at Post- og teletilsynet har ei rekkje opplysnings- og rettleiingsaktivitetar, inkludert tryggingsportalen Nettvett.no. Desse tenestene kan fungere som eit godt utgangspunkt for det vidare IKT-tryggingsarbeidet som den einskilde verksemda sjølv må leggje ned i denne samanhengen.

Informasjonstryggleik er eit leiaransvar. Leiinga av kvart enkelt verksemd, offentleg eller privat, må innsjå at informasjonstryggleik er ein kritisk faktor for å nå verksemda sine mål. Regjeringa gjer leiarar merksame på nasjonale prioriteringar, slik at vi saman kan bidra til å styrkje informasjonstryggleiken i landet.