Home » Digitalisering » Pilarer for digital sikkerhet
Sponset

Regjeringen har pekt ut retningen for den videre digitaliseringsreisen i stortingsmeldingen om den nasjonale digitale grunnmuren.

Digitalisering er et begrep som spenner vidt, og berører både eksisterende og nye typer tjenester som ikke har vært mulig tidligere. Disse nye typene tjenester kan være vanskelig å forutse før man har utviklet fundamentet de skal stå på. Digitalisering betyr i så måte noe forskjellig for hver eneste virksomhet som begir seg ut på denne reisen. Men for å bære den digitale grunnmuren vil det være en del sikkerhetspilarer, og enkelte av disse er felles for alle.

Risikovurdering og sikkerhetsstyring som en integrert del av ledelsen

En opplagt kandidat er god sikkerhetsstyring i de ulike virksomheter, med fokus på den økende risikoen knyttet til digitalisering av tjenester. Mange virksomheter har kanskje tenkt at de også må «komme i gang med digitalisering», så ikke de blir hengende etter konkurrentene. Men siden begrepet favner om mye, så kan det være krevende å tenke nøye gjennom hva digitalisering betyr for de. Dermed starter de ambisiøse prosjekter og innkjøp som de under normale omstendigheter hadde brukt mye lenger tid på å vurdere, ikke minst for å forstå hvilken risiko som følger med. For man trenger å gjøre gode analyser og risikovurderinger før man digitaliserer, så man forstår de sikkerhetsmessige konsekvensene og kan ta forholdsregler. God og uavhengig sikkerhetsstyring kan hjelpe med å ivareta det.

Et presist trusselbilde

Allerede i sikkerhetsloven fra 2019 har norske virksomheter med samfunnsviktig funksjon fått et økt ansvar for å gjøre grundige risikovurderinger, og for å iverksette nødvendige tiltak for å ivareta sikkerhet. En sentral komponent i en risikovurdering er trusselbildet. Myndighetene påpeker i stortingsmeldingen viktigheten av å bevare balansen mellom verdier på den ene siden, og sikkerhetstiltak på den andre. I denne sammenheng må verdier forstås som risikoen knyttet til en gitt tjeneste, herunder trusselen mot den.

Bortfall av en virksomhets funksjoner og tjenester kan få alvorlige konsekvenser, både for virksomheten selv og for kunder. Det er derfor viktig å sikre disse forsvarlig. Dog er det også viktig at man har en god forståelse av trusselbildet. Tendensen til å promotere sikkerhetstiltak basert på konstruerte problemstillinger har et eget begrep: Fear, Uncertainty and Doubt (FUD). Dette kan skje bevisst eller ubevisst. Spesielt når man ikke har god kjennskap til teknologien eller metoder trusselaktører bruker, kan det være fristende å tilskrive aktørene høyere evne og vilje enn det som kanskje er tilfellet, for å sikre at man ikke blir stående som skyldig dersom et angrep man ikke forutså finner sted. Men samfunnet baserer seg i stadig økende grad på teknologiske tjenester. Skal man underholde et stort antall vagt definerte trusler, vil kostnadene fort bli uforholdsmessige, og underholder man bare enkelte av de vil man forskjellsbehandle. Virksomheter må derfor bygge et presist og konkret trusselbilde mot de nye og moderniserte tjenestene.

Myndighetskrav som skalerer godt med økt bruk av teknologi

Norske myndigheter har poengtert viktigheten av at samfunnsviktige funksjoner tar økt ansvar for å ivareta sikkerhet i sine tjenester, herunder følge opp sine underleverandører. Med økt bruk av teknologi, og med svært spesialiserte leverandører, er det en umulig oppgave å ha kompetansen eller ressursene til å foreta denne type revisjon selv. Her er det viktig at det tillates bruk av sertifiseringsorganer som kan gjøre jobben med å kvalitetssikre leverandører én gang på vegne av alle norske virksomheter.

Tempoet i digitalisering vil øke raskt med teknologien som nå vil tas i bruk. Måten vi tenker sikkerhet på må samsvare med dette. Selv om dette krever mer av oss både som myndighet og virksomhet, så vil det også resultere i grundige, presise, automatiserte løsninger for operasjonalisering av de ulike sikkerhetsstrategier.

Av Tor Saltveit

Neste artikkel