Høringsinnspill fra Abelia: Meld. St. 38 IKT-sikkerhet - et felles ansvar

Like dokumenter
Høringsinnspill til IKT-sikkerhetsutvalget fra Abelia

Høringsinnspill fra Abelia til "Digital sa rbarhet sikkert samfunn" (NOU 2015:13)

Næringslivets Sikkerhetsråd Mot kriminalitet - for næringsliv og samfunn

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Anbefalinger om åpenhet rundt IKT-hendelser

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET: DO'S AND DON'TS. Gardermoen, 27. september Jørgen Dyrhaug Nasjonal sikkerhetsmyndighet

Innspill til arbeidet med en nasjonal strategi for kunstig intelligens

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

DET DIGITALE TRUSSEL- OG RISIKOBILDET

Høringsinnspill fra Abelia:

Nasjonal strategi for digital sikkerhet

Et fungerende og trygt Norge

VEST POLITIDISTRIKT Kriminalitetsbekjempelse i det digitale rom - Vest pd.

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Informasjonssikkerhet. Leif Skiftenes Flak Professor, instituttleder IS Universitetet i Agder

Hvordan beskytte seg mot en ny og fremvoksende trussel

STATSBUDSJETTET 2019 TILDELINGSBREV TIL NORGES FORSKNINGSRÅD

Forvaltning for samfunnssikkerhet

NOU 2015: 13. Digital sårbarhet sikkert samfunn

Digitalt sårbare elever. Fredrik Manne Institutt for informatikk, Universitetet i Bergen

IKT-sikkerhetsutvalget. NOU 2018: 14 IKT-sikkerhet i alle ledd

Organisering av beredskapen- DSB som samordningsmyndighet. Elisabeth Longva, Avdelingsdirektør DSB 25. April 2017

Informasjonssikkerhet og digitalisering

Utdannings- og forskningskomiteen. Budsjetthøringen statsbudsjett 2018

Oslo Innledning

Risikostyring på nasjonalt nivå

Dere vet alle hvorfor kampen mot den økonomiske kriminaliteten er så viktig:

POLITIET KRIPOS HØRINGSUTTALELSE - NOU 2018:14 OG UTKAST LOV FOR GJENNOMFØRING AV NIS-DIREKTIVET SAK 1 - NOU 2018:14

Mål og forventninger til beredskapen i Østfold. Trond Rønningen assisterende fylkesmann

Teknologi og digitalisering i transportsektoren

Gradert ROS. Fellesnemda 25 april Beredskapskoordinator Tore Sem, Ørland kommune

NSM NorCERT og IKT risikobildet

Næringslivets Sikkerhetsråd trusler, sårbarheter og kjenner vi vår risiko godt nok? Arne Røed Simonsen Seniorrådgiver

Statlige universiteter og høyskolers ansvar for IKT-sikkerhet og digital hendelseshåndtering

Informasjonssikkerhet i Norge digitalt Teknologiforum

«State of the union»

Til Justis- og beredskapsdepartementet. 22. mars 2019

Robuste byer i fremtidens klima. Elisabeth Longva, avdelingsleder Enhet for regional og lokal sikkerhet, DSB

Regelrådets uttalelse. Om: Høyring av forslag om endringar i reglane om informasjonshandsaminga i Skatteetaten Ansvarlig: Finansdepartementet

NASJONAL SIKKERHETSMYNDIGHET

NASJONAL SIKKERHETSMYNDIGHET

IKT-SIKKERHET I ALLE LEDD ORGANISERING OG REGULERING AV NASJONAL IKT SIKKERHET

NTLs tiltak mot svart økonomi. Ragnar Bøe Elgsaas, forbundssekretær

Risiko i et trygt samfunn

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Deres ref Vår ref Dato

Virksomhetsstrategi Justis- og beredskapsdepartementet

Gode råd til deg som stiller til valg

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Høringsinnspill fra Abelia: Høring av rapport fra arbeidsgruppe om like konkurransevilkår for offentlige og private aktører

Hva gjør vi hvis kommunikasjonen bryter sammen? Cyberangrep på ekom-infrastrukturen konsekvenser og beredskap. Erik Thomassen, DSB

Grunnleggende ikt-kompetanse - Store muligheter for testsentre. 29. oktober 2017 Bernt Nilsen Datakortet as

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

Når en statisk forvaltningskultur møter en dynamisk teknologiutvikling. Arild Haraldsen Partnerforum

Fra sikkerhetsledelse til handling ambisjoner og forventninger

Nøkkelinformasjon. Etatsstyring

Erfaringer fra terroranslaget 22. juli

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

GeoForum fellesmøte Felix konferansesenter 7. februar 2017

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Om kartlegging av digital sikkerhetskultur

Mennesker fornyer Slik endrer digitaliseringen Norge klarer stat og kommune å følge med? Vidar Lødrup, direktør kunnskapsledelse, 11.2.

IKT-STRATEGI

Teknologioptimist om dagen- bekymret om natten

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Karl Georg Øhrn (e.f.) avdelingsdirektør Trond Risa seniorrådgiver

HR-STRATEGI FOR FORSVARSSEKTOREN

Sikkerhet på akkord med personvernet? NOU 2015: 13

KARTLEGGING OG VURDERING AV VERDIER: MENNESKELIGE, TEKNOLOGISKE OG ORGANISATORISKE

MELD. ST. 33 ( ) NASJONAL TRANSPORTPLAN

Digitaliseringsstrategi

Slik kan du styrke sikkerhetskulturen med kommunikasjon

Gode råd til deg som stiller til valg

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Kartlegging av digital sikkerhetskultur Våre erfaringer

ET RÅDSLAG OM STRATEGI

Velkommen til Sevesokonferansen Åpningsforedrag. Anne Rygh Pedersen, Avdelingsdirektør DSB. 20.september 2018

Strategi for informasjonssikkerhet i helse- og omsorgssektoren

Fylkesmannen som regional beredskapsaktør forventninger jf. ny instruks

Justis- og beredskapsdepartementet

Det helhetlige utfordringsbildet

H VORDA N S K A P E STERKERE KOMMUNER?

Arkiv i en digital forvaltning

Sikkerhet og informasjonssystemer

NOU 2015: 13 Lysne-utvalgets anbefalinger til redusert digital sårbarhet i vannforsyningen

VIRKES INNSPILL TIL STORTINGSMELDING OM OFFENTLIGE ANSKAFFELSER. Nærings- og fiskeridepartementet Postboks 8090 Dep 0032 OSLO

Høring - NOU 2015: 8 Fremtidens skole. Fornyelse av fag og kompetanser.

Nasjonal CBRNEstrategi

1. Dagens plan- og bygningslov er lite egnet for å håndtere nasjonale akuttsituasjoner

Regelrådets uttalelse. Om: Forslag til endringer i tvisteloven - tvistelovevalueringen Ansvarlig: Justis- og beredskapsdepartementet

Helse- og omsorgsdepartementet St.meld. nr Samhandlingsreformen

SPISSKOMPETANSE GIR BEDRE INTERNREVISJON

Regjeringens digitaliseringsstrategi Fornye forbedre forenkle

Regelverksutvikling i DSB

Høring NOU 2016:19 Samhandling for sikkerhet

Utvalg Utvalgssak Møtedato. Kommentarer til Høring NOU : Ett politi - rustet til å møte fremtidens utfordringer

Transkript:

Stortingets Justiskomite Stortinget 0026 Oslo Oslo, 10.januar,2018 Høringsinnspill fra Abelia: Meld. St. 38 IKT-sikkerhet - et felles ansvar Abelia er NHOs landsforening for kunnskaps- og teknologibedrifter, og organiserer mer enn 2.100 virksomheter med over 49.000 årsverk. Vår visjon er "Drivkraft for kunnskapssamfunnet". Abelia viser til anmodning om høring til komiteen, og vedlegger her vårt skriftlige innspill. Innledning Digitalisering gir oss en mer effektiv offentlig sektor, et mer konkurransedyktig næringsliv, høyere produktivitet og en raskere omstillingsdyktig befolkning. Men digitalisering gjør oss også mer sårbare. Det er derfor positivt at Regjeringen i juni fjor la fram den første stortingsmeldingen som utelukkende omhandler IKT-sikkerhet; Meld.St.38 "IKT-sikkerhet - et felles ansvar". På et overordnet plan handler IKT-sikkerhet om å kunne beskytte den enkelte borger og nasjonen som helhet mot digitale sårbarheter og angrep. Abelia har gjennom flere år påpekt at både myndigheter og privat næringsliv må ta det digitale trusselbildet innover seg i større grad. Det er derfor prisverdig at både regjering og storting de senere årene har satt langt sterkere fokus på IKT-sikkerhet. Det har blant annet kommet flere rapporter som omhandler IKT-sikkerhet for eksempel NOU 2015:13 "Digital sårbarhet sikkert samfunn" også omtalt som Lysneutvalget, og Meld.St 10 (2016-2017) "Risiko i et trygt samfunn". IKT-sikkerhetsmessig var 2017 et ekstraordinært år. Vi hadde angrep som Wannacry med et historisk skadeomfang. Løsepengevirus og epost som angrepsmetode har ifølge NSM hatt et økende omfang 1 og stadig mer komplekse verdikjeder kan gjøre det mer utfordrende for virksomheter å ha nødvendig kontroll over sikkerheten. Året ble avsluttet med et sjeldent varsko fra norske sikkerhets- og etterretningstjenester der disse ga utrykk for at mangelen på kryptologer gjør det vanskelig å ivareta nasjonens statshemmeligheter. 2 Abelia mener Meld. St. 38 "IKT-Sikkerhet et felles ansvar" gir en god oversikt over dagens situasjonsbilde og hvilke tiltak som planlegges eller er satt i verk. Abelia slutter seg til store deler av stortingsmeldingen om IKT-sikkerhet og vil i dette høringsinnspillet belyse områder som bør forsterkes ytterligere eller som ikke er berørt. Disse utdypes under. Kortfattet ber Abelia Stortinget om at: IKT-sikkerhet blir obligatorisk fag på bachelorstudier for IKT Kapasiteten på masterutdanning innen IKT-sikkerhet økes 1 https://www.nsm.stat.no/globalassets/helhetlig_ikt-risikobilde_2017_orig_low.pdf 2 https://www.dn.no/magasinet/2017/12/01/1603/teknologi/norge-kan-snart-ikke-vokte-statshemmeligheterlenger

Det etableres en langsiktig plan for å bygge opp og vedlikeholde forskningskapasitet Det opprettes 1000 studieplasser for IKT i året over en fire års periode, en del av disse plassene bør øremerkes IKT-sikkerhet. Etablere en ordning med KompetanseFunn etter modell av SkatteFunn for å insentivere bedrifter til å investere i kompetanse hos allerede ansatte, deriblant i IKT-sikkerhet Behovet for en folkeopplysningskampanje som har som målsetting å bedre IKTsikkerhetskulturen i Norge drøftes. Det etableres et nasjonalt cybersikkerhetssenter under politiet som gir politiet ansvaret, verktøyene og ressursene for å arbeide mot kriminalitet i cyberspace på samme måte som det håndterer kriminalitet i den fysiske verden Det opprettes et felles nasjonalt situasjonsrom for angrep på nasjonal kritisk infrastruktur slik at angrep kan håndteres samlet og ut fra en felles situasjonsforståelse. Kompetansemangel er en sikkerhetstrussel Lysneutvalget påpekte i sin rapport at mangel på sikkerhetskompetanse har vært tatt opp av en rekke utvalg tidligere, inkludert Sårbarhetsutvalget i 2000. Abelia har tidligere omtalt kompetansemangelen innen IKT generelt og IKT-sikkerhet spesielt, som en varslet krise 3 Dersom vi ønsker å redusere den digitale sårbarheten i Norge er det svært viktig å begynne med et omfattende kompetanseløft. Vi trenger IKT-sikkerhetskompetanse i absolutt hele læringsløpet. Abelia stiller seg bak forslagene til tiltak i stortingsmeldingen og ser særlig fram til den varslede kompetansestrategien for IKT-sikkerhet som også skal vektlegge behovet for forskning. Flere av de foreslåtte tiltakene i Lysneutvalgets rapport burde imidlertid vært tatt med i stortingsmeldingen, deriblant forslagene om å gjøre IKT-sikkerhet til obligatorisk fag på bachelorstudier for IKT, øke kapasiteten på masterutdanning innen IKT-sikkerhet og etablere en langsiktig plan for å bygge opp og vedlikeholde forskningskapasitet på området. Den manglende IKT-kompetansen generelt og IT-sikkerhetskompetansen spesielt, svekker justissektoren, den svekker den almene tilliten til vår rettsoppfatning og den gjør oss som nasjon mer sårbare. Abelia ser at fokuset på ikt-sikkerhet fra både regjering og storting har tiltatt de par siste årene. Det er blant annet kommet flere studieplasser for IKT-sikkerhet på CCIS på Gjøvik, flere IKT-studieplasser generelt og flere rekrutteringsstillinger. Dette er svært positivt, men er etter Abelias mening ikke nok. I stortingsmeldingen omtales en undersøkelse fra NIFU skrevet på oppdrag for Justis- og beredskapsdepartementet. Her framskrives tilbuds- og etterspørselssiden til år 2030 med en mangel på vel 4.000 personer med IKT-sikkerhetskompetanse. Abelia mener det bør opprettes 1000 studieplasser for IKT i året over en fire års periode og at en del av disse plassene bør øremerkes IKTsikkerhet for å i større grad etterkomme etterspørselen etter kompetanse i markedet. Kompetanseheving av allerede ansatte Det siste året har det vært flere saker hvor uvedkommende har hatt tilgang til sensitive data om nordmenn og norske selskaper gjennom IKT-kontrakter hos blant annet Helse Sør-Øst og Direktoratet for nødkommunikasjon. Det er alvorlig hvis det på bakgrunn av disse sakene utvikler seg en ubegrunnet frykt for å kjøpe tjenester fra det private markedet eller tjenesteutsetting i offentlig sektor generelt. Mangel på kunnskap om IKT-sikkerhet kan medføre at beslutningstakere vegrer seg 3 https://www.abelia.no/bransjer/ikt/sikkerhet/nyheter/en-tikkende-ikt-bombe/ 2

for å ta i bruk nettsky, frykter samarbeid med internasjonale selskaper, eller utsetter innovative løsninger fordi "noe uforutsett kan skje". En slik frykt vil hemme og forsinke den digitaliserings- og effektiviseringstakten det er behov for i offentlig sektor. Løsningen på utfordringen med utkontraktering av IKT-prosjekter er ikke å stille krav til at selskaper og ansatte skal være norske, holde utenlandske aktører ute og drive all utvikling i offentlig regi. Svaret må være å sørge for at prosjektene blir sikrere. Det skjer blant annet når det offentlige opptrer som gode bestillere og gjør nødvendige risikoanalyser hvilket krever kompetanse utover dagens nivå. Abelia merker seg at hovedtrekkene i ehelsedirektoratets rapport om tjenesteutsetting er i tråd med disse synspunktene. 4 Utfordringene rundt tjenesteutsetting viser at det eksisterer et behov for å heve IKTsikkerhetskompetansen hos allerede ansatte. Abelia støtter oppfordringen i Stortingsmeldingen (Kap 8.5) om at arbeidsgivere i både privat og offentlig sektor må prioritere etter- og videreutdanning av medarbeidere for å heve IKT-sikkerhetskompetanse. I privat sektor mener vi at en ordning med KompetanseFunn etter modell av SkatteFunn vil være en god insentivordning for å motivere bedrifter til å satse på nødvending kompetanseheving blant annet innen IKT-sikkerhet. Generell kompetanse Mange hendelser og angrep kunne vært forhindret ved at hver enkelt av oss oppdaterer de ulike enhetene våre og er flinkere til å lage og skjule passord. Når dette gjøres i for liten grad, kan det skyldes at vi ikke forstår at handlingene til hvert enkelt individ kan beskytte oss kollektivt. Mørketallsundersøkelsen viser at manglende sikkerhetsbevissthet og kompetanse var medvirkende årsak til at 47 prosent av virksomhetenes mest alvorlige hendelser oppsto. 5 De fleste av oss har forstått gevinsten av vaksineprogrammer, men vi er fortsatt et stykke unna samme bevissthet rundt IKT-sikkerhet. Abelia har derfor tatt til orde for en folkeopplysningskampanje som har som målsetting å bedre IKT-sikkerhetskulturen generelt i Norge. Bevissthet rundt sisteledds-sikkerhet I kapitel 6 drøftes virksomhetenes egenevne til informasjonssikring. Et tema som burde løftes ytterligere frem i den sammenheng er kompetanse og bevissthet rundt sisteledds-sikkerhet. Informasjonssikring i alle ledd er nødvendig. Lav bestillerkompetanse når for eksempel avhending av databærende aktiva skal tjenesteutsettes medfører en stor risiko for at informasjon kommer på avveie. Sikkerhetsloven m/forskrifter sier noe om krav til behandling og sikker sletting av informasjon, men dette gjelder gradert informasjon. Når det gjelder virksomheter som ikke er underlagt Sikkerhetsloven, er kompetansen og forståelsen høyst varierende, selv om også disse er underlagt både lovgivning som forutsetter at data er slettet, og andre behov for å ivareta egne både materielle og immaterielle verdier. Sikkerheten er aldri bedre enn det svakeste ledd. Håndtering av digitale angrep I stortingsmeldingens kapitel 20 gjennomgås Lysneutvalgets forslag til håndtering av digitale angrep. Abelia mener at flere av utvalgets forslag burde vært fulgt opp i stortingsmeldingen. For å illustrere behovet kan to undersøkelser nevnes. Den store kriminalitets- og sikkerhetsundersøkelsen i næringslivet viser i år at norske selskaper har mistillit til politiets innsats og evne til å håndtere kriminalitet 6. Hvert tiende norske selskap anmelder ikke kriminalitet fordi 69 prosent av selskapene 4 https://www.nrk.no/norge/e-helse_- det-er-fritt-frem-for-utflagging-av-it-i-helse-norge-1.13802322 5 https://www.nsr-org.no/moerketall/ 6 https://www.nsr-org.no/getfile.php/dokumenter/nsr%20publikasjoner/krisino/krisino%20rapport%202017_5_final.pdf 3

på forhånd tror sakene blir henlagt. Hvert femte selskap sier rett ut at de ikke anmelder på grunn av «manglende tillit til politiets kompetanse». Dette gjør ikke kun at kriminelle får unødvendig stort spillerom, men at politiet ikke får dannet seg et totalbilde av kriminalitetskomplekset. Selv om disse tallene gjelder kriminalitet generelt vet vi fra Mørketallsundesøkelsen i 2016 7 at bildet er nokså likt for datainnbrudd og uønskede hendelser. Over en fjerdedel av norske virksomheter opplevde uønskede sikkerhetshendelser i løpet av 2016.. Virksomhetene forteller at hendelsene fører til produktivitetstap i 4 av 10 tilfeller (i form av tapte arbeidstimer). Kun 9% av virksomhetene som utsettes for angrep tar saken videre til politiet. Det tilsier at det skjuler seg betydelige mørketall, og for kriminelle nettverk er denne typen angrep mot norske virksomheter i praksis straffefrie. Det er Abelias inntrykk at det er uklart for mange av våre medlemsbedrifter hvor de skal henvende seg, hvem som har det overordnede ansvaret og hvor de kan få hjelp ved eventuelle hendelser. Undersøkelsene nevnt over kan tolkes som et utrykk for slik usikkerhet. Lysneutvalget påpeker at ansvarsfordelingen mellom etater og departementer i offentlig sektor er omfattende og kompleks. For privat sektor fortoner det seg uoversiktlig hvem som har hvilke roller og ansvar, hva slags informasjon som kan deles, og hvilke verktøy som skal tas i bruk for utveksling av informasjon. Dette er en lite tilfredsstillende situasjon for dem som opplever at de er i en krise. Abelia støttet Lysneutvalgets mindretall som foreslo å etablere et nasjonalt cybersikkerhetssenter under politiet som et felles kontaktpunkt til hjelp ved hendelser. Abelia kan ikke se hvorfor håndteringen av angrep i det digitale rom skal følge andre rutiner for roller og ansvar enn ved angrep på fysiske verdier. Eller som Telenor sier det så treffende i sin rapport Digital Sikkerhet 2017 8 : ".politiet bør bli gitt ansvaret, verktøyene og ressursene som skal til for å arbeide mot kriminalitet i cyberspace fra a til å, på samme måte som de håndterer kriminalitet i den fysiske verden. Det betyr å gi politiet et helhetlig ansvar for alt fra forebygging, håndtering og etterforskning av cyberkriminalitet. I flere år har behovet for et «nasjonalt cyber crime center» i politiet et såkalt NC3 vært etterspurt. Det har ikke blitt realisert ennå". Angrep på nasjonal kritisk infrastruktur Telenor påpeker i sin rapport at det ved angrep på kritisk nasjonal infrastruktur er uklart hvem som har det totale overordnede ansvaret for IKT-sikkerhet. Det er ingen enkelt myndighetsaktør som har ansvaret for og leder hendelser i cyberspace i dag etter Telenors mening. Trusselaktører som ønsker å sette nasjonale samfunnsfunksjoner ut av spill angriper ikke i henhold til sektorprinsippet, da bør heller ikke vår evne til å svare kun være basert på dette prinsippet. Samfunnets avhengighet av IKT gjør det nødvendig med samarbeid på tvers av landegrenser, mellom offentlige og private aktører og mellom sivile og militære. Abelia mener i likhet med Telenor at det bør opprettes et felles nasjonalt situasjonsrom for angrep på nasjonal kritisk infrastruktur slik at angrep kan håndteres samlet og ut fra en felles situasjonsforståelse. Med vennlig hilsen, 7 https://www.nsr-org.no/getfile.php/bilder/m%c3%b8rketallsunders%c3%b8kelsen/morketallsundersokelsen_2016.pdf 8 https://www.telenor.no/om/digital-sikkerhet/ 4

5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding