Bekymret for norsk it-sikkerhet

Nasjonal Sikkerhetsmyndighet er bekymret for at manglende it-sikkerhet i norske virksomheter åpner for informasjonslekkasje til etterretningsaktører.

I Nasjonal Sikkerhetsmyndighets (NSM) Risikovurdering 2006, skriver organet at de gjennom sin tilsynsaktivitet, har avdekket at flere virksomheter ikke sørger for at egne ikt-systemer i tilstrekkelig grad er sikret.

Mangelfull prioritering, ledelsesforståelse og kompetanse er medvirkende årsaker. NSM finner dette bekymringsfullt.

- Det er slik at de store volum av informasjon finnes i elektroniske lagringsmedia. Da er det viktig med god sikkerhet. Vi har avdekket at flere har ikt-systemer ikke har tilstrekkelig sikkerhet, forteller rådgiver Hans Morten Synstnes i NSM til Computerworld.no.

Han legger til at både regelverk og veiledning er på plass. Utfordringen er at virksomhetene tar dette på alvor.

Stort sett offentlig

Virksomhetene det her er snakk om er de som er underlagt Sikkerhetsloven. Ifølge Synstnes gjelder dette primært offentlige virksomheter som NRK, departementer, direktorater, fylker og kommuner.

- De som har sikkerhetsgradert informasjon må forholde seg til loven, samt de som utformer slik informasjon, opplyser Synstnes.

"Sett i lys av den foreliggende etterretningstrusselen skulle man forvente at virksomhetene forsikret seg om at egne ikt-systemer er sikret i henhold til de forventninger lovverket stiller. Dersom ikt-systemene ikke er godt nok sikret vil skjermingsverdig informasjon eller objekter kunne bli eksponert for uautorisert personell, herunder etterretningsaktører", skriver NSM i rapporten.

Advarer mot minnepinner

En utfordring tilknyttet ikt-sikkerhet er bruk av små lagringsenheter som minnepinner. NSM opplyser at det dessverre finnes eksempler på at gradert informasjon er hentet ut av graderte ikt-systemer via en minnepinne, og i neste omgang sendt over internett.

- Det finnes mange små lagringsenheter med stor kapasitet, og det er endel bruk som ikke er i henhold til god sikkerhet. Vi har flere eksempler på dette, men det er nok mørketall her også, sier Synstnes.

NSM dekker to viktige funksjoner innen ikt-sikkerhet gjennom det nyetablerte NorCert og Sertit-ordningen. NorCert skal bli et nasjonalt koordinerende organ for å håndtere alvorlige ikt-hendelser i internett-tilknyttede systemer av betydning for kritisk infrastruktur.

Sertit er en sertifiseringsordning for it-produkter i henhold til internasjonale standarder. Bruk av sertifiserte produkter er et viktig bidrag for å oppnå en best mulig ikt-sikkerhet, ifølge NSM.

Mer informasjon om Sertit finner du her.