Dokumentet i seg selv er viktig for å sette fokus på problemstillinger rundt informasjonssikkerhet, men aller viktigst blir den praktiske håndteringen av informasjonssikkerheten. Det er på tide med en ny plan og vi har tiltro til at FAD vil følge denne planen langt bedre opp en den forrige som Næringsdepartementet hadde ansvaret for sammen med flere andre departementer. At ansvaret ikke pulveriseres på mange departementer er svært viktig. IKT-Norge er spesielt opptatt av at offentlig informasjonssikkerhet blir satt på dagsordenen. Det offentlige må gå foran med et godt eksempel og det er ekstremt viktig at borgerne har tillit til offentlige tjenester. Misser vi her vil arbeidet med eNorge bli satt kraftig tilbake. Offentlig IT inneholder store mengder personopplysninger. Derfor må det offentlige hele tiden ligge I forkant.

Vi har tidligere opplevd at det offentlige stiller strenge krav helt til informasjonen blir overlevert til det offentlige, men så snart det er innenfor den offentlige ”døra” er det ikke lenger så nøye med sikkerheten. IKT-Norge ønsker derfor at det som en oppfølging av strategien lages klare regler for behandling av offentlige data og at det innføres en sertifiseringsordning. På lik linje med at alle ledere i AS’er må ta et HMS-kurs, bør alle offentlige ansatte som jobber med persondata og andre sensitive data gjennomgå et sertifiseringskurs. Men det hjelper lite med retningslinjer om de ikke blir fulgt i praksis. Vi har nylig sett at forvaltningen i England har dummet seg kraftig ut med å sende millioner av personopplysninger brent på CD’er i posten. IKT-Norge synes det er meget positivt at regjeringen nå lanserer en ny strategi og en strategi som forhåpentligvis forplikter. Vi blir alle berørt dersom ikke informasjonssikkerheten tas på alvor. For her gjelder virkelig loven om at det svakeste leddet kan ødelegge selv for den sterkeste.

Når Statsråd Heidi Grande Røys legger frem nye retningslinjer er vi ganske sikker på at det vil være generelle retningslinjer. I en IT-verden som er i konstant utvikling vil det være meningsløst å lage svært detaljerte retningslinjer. Samtidig er vi ganske sikre på at kritikerne vil kaste seg over meldingen å si at den er for generell. Det nye IT-direktoratet som lanseres i januar vil være det riktige verktøyet for pålegg og detaljstyring. Og ikke minst kontinuerlig oppfølging. Vi har nylig opplevd at samfunnskritisk infrastruktur ble satt ut av spill. Det vil helt sikkert skje igjen, men jo mer vi kan minimere risikoen, desto sjeldnere vil det skje. Vi husker vel alle tilbake til panikken da den første ondsinnede dataormen slo til. Laget av Robert Morris jr I 1988. Hans orm infiserte 5 prosent av Unix boksene på nettet, og sendte sjokkbølger til IT-aktører og brukere over hele verden. Eller da svært mange av oss ikke kunne motstå fristelsen til å åpne ”J love you mailen.” Vi kommer til å få tilsvarende overraskelser og tilsvarende kriser. Det er bare et tidsspørsmål før første store datasenteret vil bryte sammen. Det spår i alle fall Subodh Bapat, visepresident president I eco-computing teamet hos Sun Microsystems.

Forsvinner f.eks alle dataene I Statens lånekasse, vil kanskje mange juble, samtidig som det vil være totalt ødeleggende for systemet og tiltroen til data. Mange IT-sikkerhetsskandaler både i offentlig og privat sektor er knapt blitt kjent fordi de færreste ønsker å bli tatt med buksene på knærne. Skandaler er ikke hyggelig, men det positive er at vi kan lære av feilene og derfor er en åpnehetskultur viktig på dette området. Sikkerhet er et sammensatt problem og det offentlige kan selvsagt ikke ta ansvaret alene. Informasjonssikkerhet er et felles ansvar, men det er viktig at det offentlige går foran. I innledningen til retningslinjene står det: – ”Formålet med å utgi nasjonale retningslinjer for å styrke informasjonssikkerheten er å skape en felles forståelse for hvilke utfordringer vi står overfor, og identifisere områder der det er behov for å gjøre en ekstra innsats for å styrke den nasjonale informasjonssikkerheten.

Retningslinjene skal bidra til å fremme en bedre forståelse for hvordan alle brukere, utviklere og tilbydere av IKT (Informasjons- og kommunikasjonsteknologi) kan dra fordel, og bidra til utviklingen av, en sikkerhetskultur på området.” IKT-Norge mener at dette på en meget god måte setter agendaen for det arbeidet som skal og må gjøres. Alle virksomheter som eier samfunnskritisk IKT infrastruktur må innføre beskyttelsestiltak og etablere reserveløsninger som sikrer opprettholdelse av drift og leveranser. Beredskapen for håndtering av brudd i samfunnskritisk IKT-infrastruktur må styrkes både hos tilbydere og brukere.”

Her må det ikke bare bevissthet til, men det må også en betydelig sum med penger og IKT-Norge forutsetter at dette kommer som en post i Statsbudsjettet i årene som kommer til å følge dette opp. OPPFØLGING IKT-Norge ønsker som en konkret oppfølging at alle offentlige aktører innfører en egen sikkerhetsrevisjon og en egen sikkerhetssertifisering. Videre at alle AS’er i åreberetningen skal redegjøre for informasjonssikkerheten, på samme måte som de skal gi sin miljøredegjørelse.At det opprettes et ekspertsenter for å drive forskning og utvikling på informasjonssikkerhet og ikke minst at den offentlige prosessen med eID trappes betydelig opp. Her er vi allerede på overtid. eID er selve nøkkelen for å skape sikre offentlige løsninger som vil kunne rasjonalisere offentlig sektor og gi oss som brukere bedre og sikrere service. Det er satt av penger til dette i Statsbudsjettet, men da til videre utredning. IKT-Norge mener at prosessen med eID må fremskyndes.