Grete Faremos tale på Sikkerhetskonferansen 2013

Tale på Sikkerhetskonferansen 2013, arrangert av Næringslivets Sikkerhetsråd.  (Med forbehold om endringer under framføring.)

 

Innledning

Kjære alle sammen!

Det er en glede for meg å være til stede her i dag og åpne dag én av årets sikkerhetskonferanse.

Næringslivets sikkerhetsråd har som hovedoppgave å forebygge kriminalitet i og mot næringslivet. Det fordrer et godt og tett samarbeid mellom næringslivet og myndigheter. Sikkerhetskonferansen bidrar nettopp til dette. Det er bra at så mange deltar.

Det er et spennende program vi står foran i dag.

Blant annet får vi snart presentert den nye KRISINO-undersøkelsen, med en rekke interessante funn om virksomheters syn på og holdninger til sikkerhet. Og vi får høre fra Kripos om situasjonsbildet når det gjelder den organiserte kriminaliteten og hva de ser som fremtidens utfordringer.

Disse to presentasjonene sett i sammenheng tegner et interessant bilde som vi må forholde oss til - sammen. Informasjonen kommer 2 år etter 22.7 med terrorangrepene på Høyblokka og Utøya og ett år etter terrorangrepet på oljeanlegget In Amenas i Algerie.

Tar vi nok forholdsregler?  Sikrer vi våre interesser godt nok? Vårt tillitsbaserte samfunnsmodell utfordres på ulike vis.  Vi settes på nye prøver.

Næringslivet må møte denne utfordringen med solide risikovurderinger og følge opp disse med målrettede tiltak.

La meg forklare nærmere:

Norge er et attraktivt marked – det skapes store verdier i norske virksomheter.  Vår økonomi er åpen og mange internasjonale aktører opererer i Norge. Norge er også attraktiv for kriminelle.  Kriminelle har grenseløse muligheter.  De er proffe og bedre organiserte - de samarbeider over grensene.

Lokal kunnskap er viktig - også for internasjonale kriminelle.  At KRISINO fokuserer på utro tjenere på innsiden av virksomhetene er derfor viktig.

Og hvem er våre ansatte? Det er økt tilgang på falske dokumenter, og bruk av folk uten oppholdstillatelse som arbeidskraft – særlig i visse bransjer.  Men spør norske arbeidsgivere fortsatt særlig etter ID/solid dokumentasjon?  Ny teknologi gjør svindel med dokumenter lettere enn før og krever årvåkne ledere  i virksomhetene.

Nye, teknologiske verktøy brukes til som hjelpemidler til å begå både ny og mer tradisjonell kriminalitet.  Teknologien gjør kriminelle handlinger mer anonyme.

Og da er det bekymringsfullt at KRISINO-undersøkelsen i 2013 viser en lavere andel av de private virksomhetene som har en skriftlig risikovurdering av kriminalitet i eller mot virksomheten, enn det var i 2009. Det handler om tryggheten, både for de ansatte og selve virksomheten.

Vi har eksempler fra nær fortid som viser den ytterste konsekvensen av for dårlig risikoerkjennelse. I morgen vil Statoil-sjef Helge Lund dele de erfaringer Statoil har gjort etter terrorangrepet mot In Amenas og hvordan selskapet jobber for å styrke kvaliteten på sikkerhetsarbeidet.

Og som 22. juli-kommisjonen pekte på: Én av grunnene til at angrepene 22. juli kunne finne sted, var mangelfull risikoerkjennelse hos dem som satt med beredskapsansvar. Noe av det viktigste vi har gjort for å endre kultur og holdninger etter 22. juli, er å integrere sikkerhet- og beredskapstankegangen i det daglige arbeidet, både i departementene og i underliggende etater.

Tillit

KRISINO-undersøkelsen viser også at:

• Ni prosent av virksomhetene mener å kjenne til korrupsjon i egen bedrift
• 14 prosent mener å kjenne til prissamarbeid i egen bransje
• Flere mener risikoen for å bli tatt for skatteunndragelse er økt.

Norge er et avansert velferdsamfunn. Demokratiske og åpne prosesser har bidratt til et inkluderende og tillitsfullt samfunn som vi setter stor pris på. Vi har høy tillit til hverandre – også på det økonomiske området.

Vi regner med at folk opererer innenfor lovverket, på like vilkår. Med samme spilleregler og konkurransevilkår.

Vi må klare å opprettholde denne tilliten og likevel ta nødvendige forholdsregler i pakt med utviklingen.

Skatt. Det heter at vi betaler vår skatt med glede. Vi vet at det  gode fellesskapet må finansieres. Vi må gjøre det  sammen etter evne.  Da må man samtidig oppleve at det har konsekvenser å bryte reglene. Derfor er det positivt at KRISINO tyder på at flere mener at risikoen for å bli tatt for skatteunndragelser har økt. Vi kan ikke la det oppstå områder hvor oppfatningen blir at «her gjelder i praksis ikke lovverket – for ingen forholder seg til det». I bunn og grunn dreier dette seg om intet mindre enn å bevare vår samfunnsmodell.

Hva vil det si å ta vårt åpne og tillitsbaserte samfunn på alvor? 

Jo, det vil si at man skal ha gode mekanismer for å avdekke tilfeller der tilliten brytes. At man kjenner til de truslene fra omverdenen man står overfor. At man fører kontroll med egen virksomhet. At man samarbeider med politiet. 

Bekjempe økonomisk kriminalitet

Politiet på sin side må gjøre sin jobb. For å løfte frem arbeidet mot økonomisk kriminalitet ble det i 2005 etablert Økoteam i alle politidistriktene. Etter modell fra ØKOKRIM skulle politidistriktene etablere en flerfaglig bemanning bestående av jurist, etterforsker og revisor. Medarbeiderne på økoteamet skulle skjermes og ha felles kontorplass.

Politidirektoratet har kartlagt både status og utfordringer i politidistriktene, syv år etter ordningen ble innført. Rapporten viser at økoteamene gir effektiv kriminalitetsbekjempelse og fungerer godt i politidistriktene hvor intensjonen med ordningen er oppfylt. Men måten politidistriktene organiserer sin innsats på, er veldig ulik. Rapporten viser at langt over halvparten av distriktene fortsatt ikke oppfyller de tre grunnsteinene: flerfaglig kompetanse, skjerming og samlokalisering. Dette er ikke godt nok, og det viser at vi har viktig arbeid foran oss.

Skal vi møte utfordringene i kriminalitetsutviklingen må økoteamene ta steget videre til robuste fagenheter. Dette er spørsmål det er naturlig å se på i oppfølgingen av politianalysen – den brede gjennomgangen av norsk politi som nå er på høring.

Forsterket samarbeid med politiet

En forutsetning for et godt samarbeid er å ha kunnskap om hvordan kriminaliteten finner sted og hvem som utøver den. Så må denne kunnskapen formidles og deles.  Det gir også det beste grunnlaget for å forebygge kriminaliteten. Forebygging må være et felles ansvar. Næringslivet besitter betydelig kompetanse og har mye informasjon om vinningskriminalitet. Samtidig har politiet informasjon som næringslivet kan bruke i sitt arbeid.

Samarbeidet mellom næringslivet og politiet er faktisk styrket på flere områder den siste tiden. Fra juli i år er det ansatt en næringslivsrådgiver i Kripos som skal være et fast kontaktpunkt for næringslivet. Rådgiveren skal bidra til bedre utvekslingen av operativ informasjon slik at næringslivet får bedre kunnskap og kompetanse om kriminalitetsutviklingen. Samtidig skal næringslivet gi informasjon om lovbrudd og omstendighetene rundt disse som skal styrke kunnskapen og kompetansen hos politiet.

I mai ble det fastsatt en ny instruks for Politiets Samordningsorgan for bekjempelse av alvorlig, organisert, distrikts- og grenseoverskridende kriminalitet. Samordningsorganet skal årlig invitere representanter for næringslivet til å drøfte behovet for samarbeid.

IKT-kriminalitet

Den amerikanske forfatteren Henry David Thoreau skrev allerede på 1850-tallet at «mennesket blir styrt av sine verktøy».  Jeg lurer på hva han ville sagt, dersom han tok T-banen en alminnelig dag i Oslo, og så alle passasjerene fordypet i hver sin lille smarttelefonskjerm.

Informasjons- og kommunikasjonsteknologien er integrert i alt vi gjør, både i offentlig og privat sektor. Da er det en naturlig konsekvens at den også er integrert i den organiserte kriminaliteten. Som Kripos vil komme nærmere inn på senere i dag, har organiserte kriminelle kastet seg over teknologien. For eksempel har terskelen for å benytte skadelig programvare sunket betraktelig. Dette medfører at flere vil bli utsatt for datakriminalitet med tap av store pengesummer og/eller sensitiv informasjon som konsekvens.

Vi har besluttet å nedsette en arbeidsgruppe som skal utarbeide utkast til en nasjonal strategi for å bekjempe IKT-kriminalitet. Hovedformålet er å angi hvilken retning og hvilke prioriteringer som skal ligge til grunn for myndighetenes arbeid på dette området. Målet er at de som utøver datakriminalitet, ikke skal kunne forberede eller gjennomføre kriminelle handlinger uten betydelig risiko for å bli oppdaget og straffeforfulgt.

I dette arbeidet er næringslivet en viktig samarbeidspartner.

Kripos har også etablert en egen gruppe for å følge hendelser på internett. En god beredskap forutsetter at dataetterforskere er tilgjengelige og kompetente. Derfor skal Kripos ha og videreutvikle spesialkompetanse innenfor internett og elektroniske spor.

Informasjonssikkerhet

Det har vært viktig for regjeringen å løfte informasjonssikkerheten høyere opp på den politiske agendaen. Vi har overført samordningsansvaret for IKT-sikkerhet for sivil side av samfunnet til Justis- og beredskapsdepartementet. Dermed kan departementet se helheten i IKT-sikkerhetsarbeidet på tvers av sektorene, og se det i sammenheng med samfunnssikkerheten og kriminalitetsbekjempelsen for øvrig.

IKT har blitt en strategisk sikkerhetsutfordring. Dårlig IKT-sikkerhet har store konsekvenser for rikets sikkerhet, for staten, norsk næringsliv og norske borgere.

De som kan stå bak trusler i det digitale rom, spenner fra statlige etterretnings- og sikkerhetstjenester, via tradisjonelle militære motstandere, globale næringsinteresser, terrorist- og ekstremistgrupper til organiserte hackergrupper og enkeltpersoner.

Antallet saker som Nasjonal sikkerhetsmyndighet (NSM) håndterer i det digitale rom, øker raskt: Fra nærmere 1500 i begynnelsen av 2011 til om lag 2500 i slutten av 2012. Dette er ikke bare et uttrykk for økt aktivitet i seg selv, men også resultat av at vi har forbedret evnen til å oppdage og rapportere om slike hendelser. NSM ser en ganske jevn kvartalsvis økning i totalt antall håndterte hendelser. Så langt viser utviklingen ingen tydelige tegn til å avta. Spesielt bekymringsfullt er det kraftig økende antall målrettede angrep mot norsk industri og norske interesser som er tydelig innrettet på å innhente sensitiv informasjon. Det NSM klassifiserer som alvorlige hendelser, har økt fra under 10 i 2007 til nærmere 50 i 2012.

For å møte denne utviklingen skal Norge ha en operativ beredskap for å kunne forebygge, oppdage og håndtere alvorlige IKT-hendelser.

NSM ble i 2013 styrket med 33 millioner kroner for å bedre den nasjonale beredskapen for alvorlige IKT-hendelser. I dette ligger blant annet at NorCERT, senteret for håndtering av alvorlige dataangrep, skal være døgnbemannet. Vi vil også styrke politiets tilstedeværelse ved senteret. Dette vil bedre samhandlingen og sikre at politiet involveres på et tidligst mulig tidspunkt i håndteringen av hendelser.

Regjeringen la i desember i fjor frem en Nasjonal strategi for informasjonssikkerhet med en tilhørende handlingsplan. Målet er å peke ut retningen og hvilke prioriteringer som skal ligge til grunn for informasjonssikkerhetsarbeidet i de nærmeste årene.

Oppfølgingen av strategien og handlingsplanen krever et godt samarbeid. Både næringsliv og myndigheter må bidra – særlig når det gjelder samfunnets evne til å forebygge, varsle om og etterforske datakriminalitet.

Informasjonssikkerhet – kompetanseløft

Teknologien utvikler seg raskt. Det er derfor viktig med forskning, kompetanseutvikling og kunnskapsoverføring på området.

Stortinget har understreket betydningen av at det etableres norske kompetansemiljøer innen informasjonssikkerhet. Dette er også fremhevet i den nasjonale strategien for IKT-forskning og -utvikling i perioden 2013–2022. Vi ser også at IKT-sikkerhet er et prioritert område internasjonalt, blant annet innenfor EUs forskningsprogrammer.

Jeg har merket meg et økt påtrykk fra forskningsmiljøene for å satse på forskning og utvikling innen IKT-sikkerhet. Justis- og beredskapsdepartementet vil i tiden fremover se nærmere på hvordan vi kan bidra på dette viktige feltet.

Nasjonal sikkerhetsmåned

Et annet viktig instrument i regjeringens satsing innen informasjonssikkerhet er NorSIS – Norsk Senter for informasjonssikring. NorSIS jobber for at informasjonssikkerhet skal bli en naturlig del av hverdagen og vil nå i oktober gjennomføre Nasjonal sikkerhetsmåned. Jeg anbefaler dere alle å gå inn på deres nettside for denne kampanjen – Sikkert.no. Der finner dere mer informasjon og verktøy som gjør at norske virksomheter kan bedre informasjonssikkerheten.  Justis- og beredskapsdepartementet vil selv ta i bruk opplæringspakken som tilbys, for å gi ansatte konkrete råd og tips om informasjonssikkerhet.

Fidusprisen

Det pågår mye godt sikkerhetsarbeid hver dag både i private og offentlige virksomheter. I dag har jeg fått muligheten til å overreke Fidusprisen til en verdig vinner.

For femte gang deler NorSIS ut Fidusprisen. Formålet med Fidusprisen er å skjerpe bevisstheten hos privatpersoner og i næringslivet om behovet for informasjonssikkerhet. Navnet er hentet fra latin og betyr «tillit» eller «tiltro». Prisen går til en bedrift eller en offentlig virksomhet som har utmerket seg innenfor informasjonssikkerhet.

Årets nominerte er SAS, Norwegian, Komplett.no og Finn.no.

Juryen har i sin vurdering i år lagt stor vekt på å finne aktører som gjør det særlig godt innen egen bransje og som kan vise til store forbedringer i folkets oppfatning. 

Om vinneren sier juryen:

• Vinneren er i en egen klasse innen sin bransje og nyter stor tillit i befolkningen.  Vinneren etterlever kjente standarder for informasjonssikkerhet og jobber for å få en sertifisering innen området. Bransjen er eksponert for kriminelle som gjennomfører avanserte angrep, vinneren involverer derfor sine kunder og ser på opplæring som en viktig faktor for å kunne levere sikre og pålitelige løsninger.
• Vinneren hedres med Fidusprisen 2013 for sin evne til å prioritere sikkerhetsarbeidet og ha forankret sikkerhetsarbeidet i øverste ledelse, for sitt arbeide med sikkerhetskultur, sin vilje og evne til prioritering av informasjonssikkerhet i praksis og for sine aktiviteter for å bidra til informasjon og opplæring av sine kunder.

Vinneren av Fidusprisen 2013 er Komplett.no.