Oslo 28.02.2018 Innledning Unio er i startfasen for utforming av en fremtidig politikk for økt IKT-sikkerhet. Politikken vil først og fremst rettes inn mot Unios 13 medlemsforbund, deres profesjoner og sektorer. Arbeidet er i en kunnskapsinnsamlingsfase og noen av svarene vil derfor være foreløpige og ufullstendige. Under noen av svarene har vi valgt å vise til konkrete tilbakemeldinger fra enkeltforbund. Unios forbund har gitt tilbakemelding på at det er behov for: økt kunnskap og kompetanse om hva som er trusselbildet felles arenaer hvor fagforbund og hovedorganisasjoner involveres i samfunnets totale IKT-sikkerhetsarbeid identifikasjon av hvilken rolle arbeidstaker siden kan og bør ha i dette arbeidet forpliktende og tett trepartssamarbeid langt bedre koordinering av IKT-sikkerhetsarbeidet, mindre sektortenkning at «ressursene finner hverandre» involvering og bevisstgjøring av tillitsvalgte og arbeidstakere 1. Hvilke lover og forskrifter som stiller krav til IKT-sikkerhet kjenner du til at din virksomhet må forholde seg til? Norsk Sykepleierforbund påpeker at de viktigste kravene de per i dag må forholde seg til er i personopplysningsloven med forskrifter. Denne vil fra og med mai 2018 bli avløst av personvernforordningen og en ny nasjonal lovgivning. Det norske maskinistforbund trekker i tillegg frem lov om elektronisk signatur, lov om opphavsrett til åndsverk, lov om behandlingsmåter i forvaltningssaker og lov om arkiv. 2. Kjenner du til andre krav eller retningslinjer til IKT-sikkerhet som din virksomhet må forholde seg til? Utdyp gjerne svaret. Norsk Sykepleierforbund henviser til at de har brukt ISO/IEC 27001 som bakgrunn for utforming av egne internkontrollprosedyrer. Akademikerforbundet viser til krav og retningslinjer fra Datatilsynet, f.eks. sikkerhet knyttet til pålogging i bl.a. medlemsregister, i og med at det å være fagorganisert er å anse som fortrolig og sensibel informasjon 3. Hva er din virksomhets vurdering av dagens regelverk innenfor IKT-sikkerhet? Oppleves regelverket for eksempel harmonisert, anvendelig, hensiktsmessig og forståelig? Utdyp gjerne svaret. Norsk Sykepleierforbund legger til grunn til personvernlovgivningen angir fornuftige krav til IKTsikkerhet og er forståelig. Det er ikke regelverket som er utfordrende med hensyn til IKT-sikkerhet, men det digitale trusselbildet i kombinasjon med at vi må få samtlige ansatte, tillitsvalgte og andre som opptrer på vegne av organisasjonen til å ta sikkerhet. Det norske maskinistforbund mener at dagens regelverk er for svakt og ikke er handlekraftig. Andre mener at det fungerer greit for dem.
4. Mener din virksomhet at det er områder i samfunnet hvor dagens regelverk innenfor IKTsikkerhet er utilstrekkelig? I så fall, hvilke områder og hvorfor? Forbundene våre har enten ingen kommentar eller peker at det muligens foreligger behov innenfor helse, barnevern og NAV. I tillegg trekkes det fra Det norske maskinistforbund frem at skandalen rundt Helse Sør-Øst tyder på svakheter. De trekker også frem sosiale medier som et usikkerhetsmoment. 5. Mener din virksomhet at dagens regelverk er hensiktsmessig med tanke på at IKT-sikkerhet går på tvers av sektorer og/eller landegrenser? Utdyp gjerne svaret. Norsk Sykepleierforbund mener at regelverket er hensiktsmessig innenfor EU, men skulle gjerne sett at flere land adopterte EUs lovgivning. Akademikerforbundet mener at dagens regelverk fungerer hensiktsmessig. Samtidig påpekes det at det kan være utfordringer for andre som jobber tverrsektorielt og internasjonalt. Det norske maskinistforbund oppfatter dette ikke som krevende, da de opererer etter egne regelverk hvor ingen data skal gå utenfor EU. 6. Mener din virksomhet at det er behov for en ny tverrsektoriell IKT-sikkerhetslov som stiller minimumskrav til IKT-sikkerhet i samfunnet? Eventuelt hvorfor og hva skal en slik lov omfatte? Svarene fra forbundene varierer. Enkelte mener at det ikke er behov for ytterligere lovgivning. Disse viser til at problemet ikke er lovgivningen, men mer opprettholdelse av god nok kompetanse til å håndtere det digitale trusselbildet. Andre mener at det er behov for en slik felles lov. 7. Mener din virksomhet at myndighetenes organisering er hensiktsmessig med tanke på at IKTsikkerhet går på tvers av sektorer og/eller landegrenser? Utdyp gjerne svaret. Norsk Sykepleierforbund etterlyser noe mer samarbeid innenfor bransjer/sektorer, og at initiativet til dette kom fra sentralt hold. Informasjon om trusselbildet og tiltak for å bedre IKT-sikkerheten er i dag veldig basert på relasjoner mellom personell knyttet til IKT-sikkerhet. Akademikerforbundet mener at det kan være hensiktsmessig å supplere de eksisterende instanser med et nasjonalt koordinerende ledd, som også har samarbeid internasjonalt 8. Hvordan opplever din virksomhet samarbeid og koordinering innenfor IKT-sikkerhet a. mellom myndighetsorganer med ansvar for IKT-sikkerhet? Noen av de forbundene som har svart mener enten de ikke har ikke grunnlag for å vurdere dette eller at spørsmålet ikke er relevant for dem. Det norske maskinistforbund er mer dystopiske og mener at myndighetene er svært svake både på å samarbeide på tvers og med andre aktører. b. mellom myndighetene og private aktører? Norsk Sykepleierforbund uttaler at de gjerne skulle ha hatt mulighet til å koble oss på samarbeidet knyttet til nasjonal sikkerhetsmyndighet, slik at man kunne fått bistand til å forebygge og håndtere eventuelle IKT-sikkerhetshendelser. Andre forbund oppfatter ikke spørsmålet som relevant for dem. Det norske maskinistforbund mener at myndighetene er svært svake på å samarbeide. 9. Hvordan mener din virksomhet at myndighetene kan forbedre samarbeid og koordinering innenfor IKT-sikkerhet? Enkelte forbund etterlyser bedre koordinering av veiledningsmateriell, vurderinger av trusselbildet og varsler om spesifikke trusler. Andre viser igjen til at det kan være hensiktsmessig å supplere de eksisterende instanser med et nasjonalt koordinerende ledd, som også har samarbeid internasjonalt. Å etablere forpliktende samarbeid gjennom et trepartssamarbeid pekes på som nødvendig.
10. Mener din virksomhet at det er behov for organisatoriske endringer på myndighetsnivå for å møte dagens og de fremtidige IKT-sikkerhetsutfordringene? Utdyp gjerne svaret. Forbundene som har svart henviser til svarene under punkt 8b eller mener at man må handle fremfor å utrede over tiår, med katastrofale innkjøp av IKT som ikke virker / er gått ut på dato. 11. Mener din virksomhet at det er områder innenfor IKT-sikkerhet som mangler myndighetsansvar? Utdyp gjerne svaret. Forbundene som har svart henviser til svar skissert under punkt 8b, uttaler at de ikke vet eller mener at det skjer mye prat fremfor handling. 12. Hvordan mener din virksomhet at IKT-sikkerheten i samfunnet kan styrkes gjennom offentligprivat samarbeid? Norsk Sykepleierforbund viser til at det bør være mulig å få til et tettere samarbeid knyttet til trusselbildet, varsel om sårbarheter og behov for patching av løsninger, samt bistand ved eventuelle hendelser. Akademikerforbundet mener at IKT-sikkerheten kan styrkes gjennom offentlig privat samarbeid, f.eks. må leverandører av internett og brukere av systemer ha en felles forståelse av utfordringsbildet og være enige om tiltak som bedrer sikkerheten. Det dreier seg om systemets stabilitet samt også sikring mot f.eks. hacker-, virus- og terrorangrep. Kompetanseheving er påkrevet. 13. Får din virksomhet i dag dekket behovet for råd og veiledning innenfor IKT-sikkerhet? Hvem er de viktigste råd- og veiledningsaktørene? Enkelte større forbund viser til at de i dag bruker uformelle nettverk og leverandører av sikkerhetsprogramvare. Behovet for råd og veiledning er veldig personavhengig og vil være sårbart ved utskifting av nøkkelpersonell. De viser også til at det finnes gode veiledere knyttet til interkontroll hos DIFI og datatilsynet. Mindre medlemsforbund uttaler at de per i dag ikke mottar råd da de aldri har fått tilbud om dette, men holder seg oppdatert på eget initiativ. Da benytter de ulike eksperter/leverandører i forbindelse med drift av hjemmeside, medlemsregister, datapark, saksbehandlersystem og arkiv. 14. Hvordan vurderer din virksomhet kompetansesituasjonen i samfunnet på IKTsikkerhetsområdet? Norsk Sykepleierforbund mener at det er for lite fokus og kompetanse knyttet til sikkerhet hos de fleste leverandører av IT-systemer. Dette fører til at det i stor grad er de selv som må sikre at krav til sikkerhet blir ivaretatt ved utvikling av løsninger, samt sørge for at løsningene blir forsvarlig patchet. Det er også for få som har god nok kompetanse på sikkerhet mellom skytjenester og egne driftede systemer. Her er den enkelte virksomhet i stor grad overlatt til seg selv og må definere både nivå og krav til integrasjonene. Andre forbund henviser til utfordringene i Helse Sør-Øst som tegn på kompetansesituasjonen virker svært varierende. Enkelte forbund beskriver kompetansesituasjonen som elendig. 15. Mener din virksomhet at dagens lover og forskrifter gir tilstrekkelig grunnlag for å ivareta IKTsikkerhet ved tjenesteutsetting? Utdyp gjerne svaret. Norsk Sykepleierforbund mener at regelverket er for så vidt tilstrekkelig, men at det trengs bedre veiledninger med hensyn til «best practise» for integrasjoner, standardavtaler og muligens også godkjenning/sertifisering av ulike tilbydere. Det bør jobbes kontinuerlig med dette, da det stadig utvikles nye løsninger og samarbeidsplattformer. Det gjelder å forsøke å forutse fremtidige «hull» og sårbarhetsområder. Norsk maskinistforbund er klare på at stortingsmeldingen om IKT-sikkerhet som behandles i Stortinget må følges opp med handling, midler og tiltak.
16. Hvilke erfaringer har din virksomhet med IKT-sikkerhetstilsyn, som tilsynsobjekt eller som tilsynsmyndighet? De forbundene som har svart enten ingen eller liten erfaring. Norsk Sykepleierforbund har kun fått noe veiledning fra Datatilsynet knyttet til konkrete problemstillinger og hendelser. Veiledning fra tilsynet ble i denne anledning opplevd som god. 17. Hvilke tiltak mener din virksomhet er de viktigste for å forbedre IKT-sikkerheten i samfunnet? Samarbeid om overvåkning, varsling og håndtering av eventuelle hendelser. Samarbeid om overvåkning, varsling og håndtering av eventuelle hendelser og sentrale samarbeidsprosjekter blant miljøer med spisskompetanse trekkes frem. Økt behov for kompetanse fremfor partipolitisk spill og at sikkerhet blir brukt som en salderingspost blir etterlyst. 18. Kjenner dere til land som har organisert og regulert IKT-sikkerhet på en hensiktsmessig måte som utvalget bør se nærmere på? Utdyp gjerne svaret. Ingen forbund kjenner til dette. Oppsummering og avsluttende kommentarer Ut fra dialog med medlemsforbund oppsummerer Unio at debatten om IKT-sikkerhet i Norge i for stor grad foregår på toppene i ulike i offentlige etater, teknologi-miljøer og næringsliv. Mye tyder på at myndighetenes organisering av sikkerhets- og beredskapsarbeidet og oppfølgingen av Gjørvkommisjonens anbefalinger har vært svak og i liten grad har bidratt til at ressursene finner hverandre. Det er behov for bedre koordinering, etablering av en felles forståelse av trusselbildet, mindre silo-tenkning og betydelig kompetanseheving innenfor de ulike sektorene og samlet. Fagprofesjonene som Unio representerer blir i liten involvert i samfunnets totale IKTsikkerhetsarbeid på «sine» sektorer eller på tvers av sektorer. Unio mener at det er et særlig behov tverrsektoriell kompetanse og samarbeid i sikkerhetsarbeid. Norge er blant de landene hvor ny teknologi tas raskest i bruk, men uten at sikkerhetstenkningen rundt denne økte bruken holder tritt. Det digitale sårbarhetsutvalgets utredning viste at vi er et av de landene der endringen i risiko- og sårbarhetsbildet derfor har kommet lengst. Etterspørselen etter personer med avansert IT-sikkerhetskompetanse er større enn dagens tilbud av personer som besitter denne kompetansen. Behovet for kvalifisert arbeidskraft har de siste årene vært langt større enn tilgangen på kandidater til viktige jobber innen IT-sikkerhet. NSM konkluderer i egen rapport at det er særlig to utfordringer når det gjelder datasikkerhet; kunnskapen omkring ITsikkerhet i Norge er liten, samtidig som sikkerhetsproblematikken ikke har nok fokus fra toppledelsen i private og offentlige virksomheter. Unio mener at Universiteter og høyskoler bør innrette tilbudet slik at IKT-sikkerhet blir en del av profesjonsutdanningene og annen utdanning utenfor teknologifeltet. Justis- og beredskapsdepartementet nedsatte i 2016 et utvalg for å se på funksjon og kapasitet blant politiets særorganer. Utvalget omtaler bekjempelse av IKT-kriminalitet som en hovedutfordring for politiet. Utvalget overleverte sin utredning til Justis- og beredskapsdepartementet i mai 2017, og utredningen er sendt på høring. Etablering et eget senter for cybercrime underlagt politiet svarer på
sett og vis på deler av det behovet som våre forbund etterlyser når det gjelder samlede og nasjonale kompetansemiljø. Unio mener at det bør vurderes å etablere tverrsektorielle sentra som involverer arbeidslivet og sivilsamfunnet som ledd i forebyggende tenkning Liz Helgesen seniorrådgiver André Oktay Dahl seniorrådgiver