Tidligere i høst offentliggjorde Riksrevisjonen en rapport om Forsvarets informasjonssystemer. Rapporten ga et nær rystende bilde av manglende datasikkerhet i sentrale it-systemer i forsvarssektoren. Den ble viet stor oppmerksomhet både i pressen og i sentrale politiske miljøer. Både forsvarsministeren og forsvarssjefen uttaler at de deler riksrevisjonens virkelighetsforståelse.

Olav Lysne
Olav Lysne

Sett utenfra ser saken ut som en skandale hvor de som har ansvaret for den, både er enige om alvorlighetsgraden og sier at de har vært klar over situasjonen i lang tid. Det er derfor fristende å kvesse pennen og skrive flammende innlegg om den hjelpeløsheten forsvarssektoren viser på det digitale området.

Haakon Bryhni
Haakon Bryhni

Men det er få som er i posisjon til å kaste stein uten at det singler i glass. Det er ikke lenge siden det ble offentlig kjent at både stortingsrepresentanter og deres støtteapparat ikke benyttet tofaktorautentisering på datasystemer som de vitterlig brukte hver eneste dag. For halvannet år siden kom Riksrevisjonen rapport som var svært kritisk til ikt-sikkerheten i kraftforsyningen.

Nylig kunne Aftenposten avsløre at norske myndigheter har gitt et russiskkontrollert selskap tilgang til enorme mengder data om den norske havbunnen. De fikk også informasjon om et område av militærstrategisk betydning.

For et par år siden gjennomførte Riksrevisjonen simulerte dataangrep i helsesektoren. De oppdaget at de dataangrepene de prøvde, ville gi høy grad av kontroll over ikt-infrastrukturen i tre av fire helseregioner, og tilgang til store mengder sensitive helseopplysninger i alle regionene.

Det spørsmålet vi må stille oss nå, er ikke hvem som er ansvarlig for situasjonen i forsvarssektoren.

Når vi finner lignende problemer i helsesektoren, kraftsektoren, olje og gassektoren og på Stortinget, må vi stille oss spørsmålet om hvorfor det blir slik nesten overalt. Hvorfor regner vi med å finne noe som ligner på en skandale hver gang datasikkerheten undersøkes i en offentlig sektor?

En nærliggende grunn er av strukturell art. Ansvaret for sikkerhet generelt, og ikt-sikkerhet spesielt, ligger til hvert enkelt sektordepartement, og det er liten felles logikk i hvordan departementene arbeider med dette. Hvert departement vil typisk ha det meste av sin oppmerksomhet rettet mot departementets fagområder, og ressurser benyttet på ikt-sikkerhet vil være ressurser som ikke er tilgjengelig for hovedoppdraget.

I sivil sektor ligger et spesielt mandat til Justisdepartementet, som har et samordnende ansvar, men de har ingen virkemidler til å få et motvillig departement til å samarbeide. Utenfor sivil sektor har forsvarssektoren ansvaret for seg selv, og denne sektoren har altså nå blitt gjenstand for Riksrevisjonens krasse kritikk.

Det er to mulige veier ut av denne situasjonen. Den ene er at sektordepartementene hver for seg lever opp til borgeres forventninger på ikt-sikkerhetsområdet. Det vil imidlertid kreve mye av dem. Vi har nemlig ikke etablert en digital allmenndannelse som sikrer at også beslutningstagere har grunnleggende forståelse innen ikt-sikkerhet. En typisk beslutningstager vil derfor oppleve fremmedgjøring i møte med utfordringer på dette feltet.

Skal du velge mellom å bruke ressurser på å løse et samfunnsoppdrag du forstår, og å bruke de samme ressursene på å løse et problem du ikke helt forstår, er det opplagt at det problemet du ikke forstår, vil tape.

På lang sikt er det derfor avgjørende at forståelse av ikt-sikkerhet inngår i allmennkunnskapen på en slik måte at man kan ta for gitt at beslutningstagere har samme fortrolighet i møte med ikt-sikkerhetsspørsmål, som de vil ha i møte med for eksempel trafikksikkerhet. De vil da kunne forventes å ta begge temaene på like stort alvor.

På kort sikt kan vi neppe forvente at problemet med statlig ikt-sikkerhet vil løses av sektordepartementene hver for seg. Det eneste som vil kunne ha rask effekt, er at man fra politisk hold er villige til å ta beslutninger som går på tvers av sektorene. Dette kan innebære å gi Justisdepartementet og Nasjonal sikkerhetsmyndighet større oppgaver og sterkere virkemidler på tvers av sektorene enn de nå besitter.

Det kan også innebære at man fra politisk hold fremtvinger et sterkere samarbeid fagdepartementene imellom.

Så kan man naturligvis hevde at det ikke er slik norsk statsforvaltning fungerer. Men på ikt-sikkerhetsområdet er det vel ingen som lenger mener at norsk statsforvaltning fungerer godt?

(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.