Retningslinjene som ble presentert onsdag, skal fram mot 2010 fungere som offentlig strategi for å styre mest mulig klar av blant annet datakriminalitet, vanskjøtting av sensitive data og situasjoner lik den store deler av Østlandet ble offer for etter kabelbrannen på Oslo S nylig.
– Et stort skritt framover fra forrige gang, er dommen fra Paul Chaffey, leder i interesseorganisasjonen Abelia.
Utskjelt forgjenger
Retningslinjene etterfølger riktignok den utskjelte Nasjonal strategi for informasjonssikkerhet fra juni 2003. Denne ble slaktet blant annet av Riksrevisjonen, som påpekte at ansvaret for gjennomføringen av de ulike punktene var så utvannet at lite eller ingenting ble fulgt opp i praksis.
– Ansvar er et problematisk begrep innen forvaltning. Det bør ikke deles, men utdeles. De nye retningslinjene er kortere, som er et sunnhetstegn i seg selv. Selv om bildet ikke er klokkeklart denne gangen heller, er det positivt at koordineringen av det forebyggende arbeidet nå ligger hos ett departement. Det øker sjansen for at formuleringene igjen leder til forskrifter, lover og bevilgninger på sikt, sier Chaffey til TU.no.
Les også:
Klart for regjeringens IKT-beredskap
Sårbare Norge
Fornyingsminister Heidi Grande Røys gjorde ikke noe forsøk på å skjule at Norge har store utfordringer foran seg når det gjelder informasjonssikkerheten. Brannen på Oslo S har ikke uventet en viss gjenklang i de nye retningslinjene. Øverste punkt under kapittelet "Innsatsområder" lyder slik:
"Alle virksomheter som eier samfunnskritisk IKT-infrastruktur må innføre beskyttelsestiltak og etablere reserveløsninger som sikrer opprettholdelse av drift og leveranser."
– Hendelsen på Oslo S er et godt bilde på hvor sårbart samfunnet er blitt, og at IKT-avhengigheten har økt. Da jeg først hørte om det på morgenen, tenkte jeg: "Nå har jeg mange ansatte som ikke kommer seg på jobb". Siden ble det klart at problemene også rammet samfunnskritiske områder som politi og sykehustransport. Nå er det viktig å få på plass rutiner, bevissthet og kompetanse om sikkerhet, sa Grande Røys.
Politiet kunne unngått datatrøbbel
Politiet 2006: – Strømbrudd lite sannsynlig
Få svar
Paul Chaffey er glad for at regjeringen også trekker fram behovet for kompetanseheving og å etablere en kultur for sikkerhet i virksomhetene. Han mener de nye retningslinjene bidrar med det man kan forvente av et overordnet dokument: Få svar, men en grei analyse av utfordringene som venter.
Det synet støttes av generalsekretær Per Morten Hoff i IKT Norge.
– Også denne planen er generell i formen, men det var forventet. Det digitale trusselbildet endrer seg raskt. Da nytter det heller ikke å gå ned på detaljnivå i et slikt dokument. Vi er først og fremst fornøyde med at regjeringen igjen setter søkelys på et voksende problem, sier Hoff til TU.no.
Han forventer også at det nye IT-direktoratet som skal være operativt i januar, vil ta over en del av den mer konkrete oppfølgingen.
Utålmodig om eID
Andre sentrale punkter i regjeringens plan, er større bruk av risiko- og sårbarhetsanalyser samt koordinering av varsling og hendelseshåndtering når sikkerhetsbristen er et faktum.
Det videre arbeidet med elektronisk identitetshåndtering og elektronisk signatur er også nevnt som eget satsingsområde.
Men for lite og for sent, mener Per Morten Hoff.
– Det skal bevilges 20 milioner kroner til ytterligere utredning av disse spørsmålene. Jeg sier ikke nødvendigvis at det er galt, men nå er det på tide å gå over i en mer praktisk fase av arbeidet. Vi er utålmodige og mener dette må skje fort. Svært mange land har dette på plass allerede, og dermed har vi også fordelen av å kunne lære av andre, sier Hoff til TU.no.
