Arbeidet med sikkerhetsspørsmål i offentlig sektor har i de senere årene gjennomgått en positiv utvikling. Sikkerhetsperspektivet har fått større plass i forbindelse med strategiske IT-prosjekter og ved implementering av ny teknologi, samtidig som kommunikasjon og støtte til samfunn og næringsliv både er blitt tydeliggjort og mer omfattende.
Gjennom skjerpet lovgivning både på nasjonalt og EU-plan har ulike tilsynsmyndigheter fått mer myndighet og større ansvar. Iblant har dette imidlertid gitt opphav til harde debatter om ansvar og ansvarsfordeling, blant annet med hensyn til korrekt håndtering av data under og etter anskaffelser, kontroller av etterlevelse over tid og i hvilke former skytjenester kan benyttes.
Denne artikkelen er en del av den lengre rapporten “Sikkerhetsutfordringer i digitaliseringens tid”.
Last ned rapporten + verktøy for sikkerhetsvurdering
Blikkene løftes
I både offentlig og privat sektor er blikkene løftet, og mange større virksomheter ser i dag bortenfor bransjespesifikke oppfatninger rundt risikoer i forbindelse med digitalisering. Fra offentlig hold har opprustingen av svensk totalforsvarsevne og den gråsoneproblematikken som er blitt gjenstand for oppmerksomhet i forbindelse med ulike nasjonale sikkerhetsdebatter, for eksempel fremtidens 5G-nett og det nye nasjonale cybersikkerhetssenteret, bidratt til større enighet.
I Radars nylig gjennomførte målinger av hindre i sikkerhetsarbeidet betraktet private aktører støtten (råd, tips, hjelp) fra nasjonale myndigheter som det minste hinderet. Mangler hos leverandører av sikkerhetsløsninger og forsinkede oppdateringer av applikasjoner opplevdes som mer problematisk i denne sammenheng. Dette har dermed gitt mange statlige aktører og institusjoner en stadig sterkere profil.
Positiv stemning for en statlig sky
Radars siste datainnsamling, innen både offentlig og privat sektor, viste massiv støtte blant IT-beslutningstakere i offentlig sektor for en løsning som vil innebære statlige skytjenester. Hele 54 prosent er positivt innstilt, mens kun 7 prosent er negative til en statlig sky. Det at de øvrige 39 prosent er nøytrale er heller ikke overraskende, ettersom omfattende usikkerhet til en stor del ligger til grunn for granskingen.
Selv om mye av arbeidet med cyber- og informasjonssikkerhet i offentlig sektor har en politisk dimensjon, virker det som om styringen og initiativene driver utviklingen fremover. Opprettelsen av et cybersikkerhetssenter og innføringen av en cyberverneplikt tyder på at cybersikkerhet har fått en riktigere plassering høyere på dagsorden.
Man måler ikke slik man evalueres
Selv om informasjons- og cybersikkerhet står høyt på dagsorden, antyder Radars data relativt store forskjeller i hvordan IT-organisasjonen opplever at man måler og evaluerer eget arbeid sammenlignet med hvordan virksomheten for øvrig evaluerer det samme.
Driftsstabilitet målt i antall problemer/hendelser samt tilgjengelighet er et sentralt målepunkt hos 71 prosent av IT-organisasjonene, mens bare 19 prosent av virksomheten for øvrig bruker dette for å måle sin IT. I stedet er kostnader uttrykt som budsjettoppfyllelse samt kunde- og brukertilfredshet vanligere når virksomheter i offentlig sektor evaluerer sin IT-organisasjon. Forskjellene kan delvis forklares med at diskusjoner om budsjetter og prosjektkostnader skjer regelmessig og bredt, noe som også gjelder for bruker- og kundetilfredshet.
Driftsforstyrrelser og avbrudd blir først viktige variabler for virksomheten utenfor IT-organisasjonen når virksomheten blir rammet eller sannsynligheten for det øker, for eksempel i forbindelse med endringsprosesser.
Strategi og etterlevelse er en stor utfordring
Ifølge IT-organisasjoner i offentlig sektor finner man de største sikkerhetsutfordringene innen det strategiske og operative området. Det omfatter blant annet etablering av en struktur med rutiner for etterlevelse samt opplæring og kompetanseheving for styrket informasjonssikkerhet.
Radars data viser at de fleste forebyggende tiltak er under innføring eller allerede på plass. Drøyt 44 prosent i offentlig sektor oppgir at øvelser i krise- og ulykkeshåndtering er under innføring, og en nesten like stor andel jobber kontinuerlig med etterlevelsesspørsmål. Det er en stor forskjell i forhold til tidligere og kan sammenlignes med den aktuelle opprustingen av vår totalforsvarsevne ned til samfunnskritiske instanser.
Satsinger på det strategiske og operative sikkerhetsarbeidet er ikke unikt for offentlig sektor, men kan også leses ut av den generelle markedsutviklingen for produkter og tjenester knyttet til cybersikkerhet. Særlig merkbar er trenden hos virksomhetene som Radar vurderer som sikkerhetsmodne. Disse virksomhetene investerer en mindre andel i tekniske sikkerhetsløsninger og stadig mer i operative sikkerhetsløsninger.
Klarere retningslinjer er etterspurt
At strategi og etterlevelse har blitt mer ressurskrevende er delvis en reaksjon på økt kompleksitet. I noen tilfeller har denne kompleksiteten gitt opphav til stor usikkerhet. Et eksempel på dette er bruken av visse skytjenester sett i lys av den amerikanske Cloud Act. Usikkerheten skyldes til en viss grad en ubalansert FUD-retorikk (Fear, Uncertainty, Doubt) kombinert med relativt ferske hendelser i offentlig sektor.
Tydeligere retningslinjer styrker forutsetningene for en vellykket digitalisering og reduserer samtidig risikoen for problemer. Derfor er det positivt at man fra statens side har valgt å undersøke spørsmålet. Uansett om det gjelder implementering av AI-løsninger i mindre skala, eller lagring av informasjon i større skala, trengs det retningslinjer og avklaringer rundt bruken av sky-tjenester i offentlig sektor.
Vi vil trolig se hardt tiltrengte forandringer på sentralt nivå når det gjelder strategi og retningslinjer, Men før det skjer er det viktig å ikke bli for passiv og defensiv siden det kan føre til større risiko og generelt, redusert sikkerhet.
Last ned rapporten + verktøy for sikkerhetsvurdering
Les også:
Sikkerhet i en digitaliseringsbølge
Sikkerhet og skytjenester
Webinar: State of security in the Nordics