Akseptabel cyberrisiko?

Fremlegging av de åpne trusselvurderingene 2021. Fra venstre: Sjef Etterretningstjenesten Nils Andreas Stensønes, Sjef Politiets sikkerhetstjeneste Hans Sverre Sjøvold, Sjef Nasjonal sikkerhetsmyndighet Kjetil Nilsen. Foto: Torbjørn Kjosvold / Forsvaret

Vi kan ikke fjerne all risiko, men vi kan redusere den til et akseptabelt nivå.

Av: Simen Bakke, senior informasjonssikkerhetsrådgiver og fagprofil i UTSYN

Tom Røseth skriver i sitt svar i DN 27. mars til mitt innlegg 18. mars at etterretning i cyberdomenet er viktig fordi «full sikring i praksis ikke er mulig overfor kapable statlige cyberaktører som Russland og Kina.»

Røseth har rett i at risikoen for vellykkede cyberangrep- og innbrudd ikke kan reduseres til null. Spørsmålet er imidlertid om denne risikoen i dag er innenfor akseptabelt nivå?

Dersom vi undersøker de to siste års rapporter fra Riksrevisjonen, Stortingets eget kontrollorgan, ser vi at Utenriksdepartementet, helseforetakene, politiet, Oljedirektoratet, Norfund samt NVE og kraftsektoren har fått kritikk for mangelfullt arbeid med forebyggende IKT-sikkerhet. Et flertall har mottatt sterk kritikk for arbeidet med å forebygge dataangrep.

Flere av virksomhetene er samfunnskritiske og forvalter grunnleggende nasjonale funksjoner, som er sikkerhetslovens betegnelse på noen av statens viktigste funksjoner. Mangelfull IKT-sikkerhet hos virksomhetene representerer dermed ikke bare en risiko for den enkelte, men for staten som helhet og dens evne til å fungere i fred, krise og krig.

Vi kan ikke fjerne all risiko, men vi kan redusere den til et akseptabelt nivå. Dersom vi ikke lukker sårbarheter hos kritiske virksomheter ved bruk av moderne prinsipper for IKT-sikkerhet og sikring, blir behovet for å ettergå trusselaktørene ved hjelp av etterforskning og etterretning, større. I særdeleshet i cyberdomenet hvor geografiske avstander har liten betydning, og spesielt nå som vi står overfor en mer krevende sikkerhetspolitisk situasjon.

Trusselaktørene, enten de opererer på vegne av kriminelle eller stater, vil med større sannsynlighet lykkes med sine operasjoner dersom grunnsikringen ikke befinner seg på et akseptabelt nivå. Ved at hver enkelt virksomhet reduserer risiko gjennom forebyggende tiltak, vil restrisikoen som må håndteres av politiet, PST, Etterretningstjenesten og Nasjonal sikkerhetsmyndighet i etterkant av nettverksaktivitet, cyberangrep- og innbrudd, reduseres.

 

Innlegget ble først publisert i DN 7. april 2021.