Forrige uke la Riksrevisjonen frem sin undersøkelse av Justis- og beredskapsdepartementets arbeid med digital sikkerhet. Listen over kritikkverdige forhold som trekkes frem er lang.
Blant annet slår Riksvisjonen fast at Mehls departement ikke har «ivaretatt pådriveransvar» for å sikre fremdrift i arbeidet med ny sikkerhetslov, ikke har sørget for god koordinering mellom ulike tilsynsmyndigheter eller fulgt opp Nasjonal strategi for digital sikkerhet.
Rapporten påpeker flere alvorlige mangler og de fleste funnene er ikke nye. Hva bør gjøres for å lukke disse?
At de fleste funnene ikke var nye, kombinert med et endret trusselbilde, gjør funnene mer alvorlige.
Når russiske myndigheter stenges ute fra de fleste arenaer der Norge deltar, øker Russlands behov for å innhente informasjon eller skade norske interesser gjennom digitale operasjoner. Målene vil være organisasjoner og virksomheter som er del av Norges kritiske samfunnsstruktur.
Mens opportunistiske angrep fra kriminelle trolig vil avta etter hvert som bedrifter på egen hånd ruster seg bedre mot angrep, er det grunn til å tro at angrep fra andre nasjoner vil øke. Det er derfor viktigere enn noen gang at vi nå løser de utfordringene som blir pekt på. For det finnes løsninger.
Hver enkelt virksomhet ̊selv må forsvare seg som best den kan mot digitale angrep. Få, om noen, private virksomheter, har kapasitet til å stå imot en statlig etterretningsoperasjon. Derfor trenger vi tettere og mer effektiv samhandling med myndighetene. Vi i KPMG har jobbet med mange virksomheter som har revet seg i håret over det de oppfatter som et virvar av offentlige instanser, og over hvor lite hjelp de får når de først er under angrep.
For at myndigheter og næringsliv sammen skal lykkes med veien videre, må man først være enige om nåsituasjonen. Rapporten fra Riksrevisjonen dokumenter at antallet aktører som har en rolle er betydelig, og med til dels overlappende ansvar.
Lokalt politi, Politiets sikkerhetstjeneste (PST), NC3/Kripos, sektorvise responsmiljøer, Nasjonal sikkerhetsmyndighet (NSM), Felles cyberkoordineringssenter (FCKS) og gjerne også Datatilsynet eller andre tilsynsmyndigheter, har en rolle. Ingen av disse aktørene vil i utgangspunktet komme på døren til virksomheten din for å hjelpe hvis du er utsatt for et digitalt angrep.
For at det skal investeres nok i en robust, digital infrastruktur og evne til å håndtere hendelser, må det være avklart hvem som har ansvar for de ulike områdene og hvem som skal bære investeringskostnaden. Private aktører vil ikke alene dimensjonere sine sikringstiltak på̊ en slik måte at de er gode nok øverst i «krisespennet».
Dagens dialog mellom sektorer, og myndighetens samhandling med næringslivet, er for preget av dugnadsånd og uklare strukturer. Fremtidige invitasjoner til samarbeid må være tydelige, velformulerte og forpliktende. Tiden for løse, dialogbaserte samhandlingsarenaer er forbi. Nå må gode intensjoner omsettes til handling.
(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.