Vi får ny sikkerhetslov med tilhørende forskrift. Den kommende NoUen fra IKT-sikkerhetsutvalget ser på om dagens regulering er hensiktsmessig for å oppnå forsvarlig nasjonal IKT-sikkerhet, og om vi har en hensiktsmessig fordeling og organisering av tverrsektorielt ansvar. Regjeringen har nylig sendt ny lov om etterretningstjenesten på høring. Mener alle noe med sikkerhet, eller er det mest image og trendy å snakke om?

Ny etterretningslov

Den nye etterretningsloven presenterer et behov for fangst av data for at etterretningstjenesten skal avdekke angrep mot Norge. Det er i hovedsak snakk om metadata som gir kunnskap om kommunikasjon og utfordrer personvernet, også når data er kryptert. Der beskyttelse mot utenlandske krefter tidligere handlet om å beskytte landegrensen mot militære kjøretøyer handler det nå om angrep man ikke kan se. Noen vil hevde at det er nødvendig at etterretningstjenesten får hente inn data slik det foreslås, andre vil hevde at det i seg selv er en trussel mot sikkerhet og personvern. Har begge rett?

Vaksine mot IT-sikkerhetsrisiko?

Sikkerhet handler også om tiltak som direkte beskytter akkurat deg eller meg. Både fordi hver enkelt av oss selv har et behov for økt beskyttelse. Hver enkelt av oss utgjør et ledd i kjeden, og siden kjeden er ikke sterkere enn det svakeste leddet kan man sammenligne med det å ta vaksiner. IT-sikkerhet handler også om å kollektivt bidra til at fiendtlig kode ikke spres. De som ikke tar sikkerhet på alvor kan kanskje sammenlignes med vaksinemotstandere. De som nekter å ta vaksiner setter ikke bare seg selv, men også samfunnet forøvrig i fare. Bør det være lovlig eller ikke å ikke være vaksinert mot it-sikkerhetsrisiko? Noen vil hevde at det er opp til den enkelte selv å velge om de skal sikre systemene sine eller ikke, andre vil hevde at de ikke kan tillates å utsette andre for risikoen. Har begge rett?

NotPetya

Maersk, verdens største rederi, har erfart hva det betyr å ikke ta sikkerhet på alvor. I juni 2017 ble Maersk rammet av NotPetya. De ansatte fikk ikke logget på, driftskritiske systemer var nede og utilgjengelige. Hvordan blir man rammet av NotPetya? Ved å ikke holde systemene oppgradert.

Maersk ble reddet av et strømbrudd i Ghana, domenekontrolleren der ble ikke rammet. Noen vil hevde at det er opp til Maersk selv å velge om de skal sikre systemene sine eller ikke, andre vil hevde at de ikke kan tillates å utsette samfunnet for risikoen. Har begge rett?

Hva så i 2019?

Sikkerhet er ikke noe som males utenpå som en ny farge. Sikkerhet er avhengig av security by design og skikkelig sikkerhetskultur.

Lar beslutningstagere seg imponere av SoMe-kampanjer med virale festligheter satt sammen av et raust byrå, eller hører de på it-sikkerhets miljøer?

Vil sikkerhetsmyndighetene dele informasjon og kunnskap om pågående trusler?

Er kommunikasjonsavdelingen klar med et spinn om at det var den ondsinnede hackeren som oppdaget en sikkerhetssvikt som er problemet, eller vil vi heller se at de som oppdager sikkerhetsbristene lyttes til og takkes fremfor å bli truet til taushet?

Beslutningstagere må tenke, planlegge og handle langsiktig. Beslutninger må baseres på kompetanse om teknologi, risiko, mennesker og sikkerhet. Behovet for sikkerhet vil øke og behovet må dekkes om vi selv skal kunne velge svar på det enkle spørsmål om vi WannaCry?

All we are saying is give security a chance.

Denne kommentaren ble opprinnelig publisert i Computerworld 21. november 2018.