Stopp. Tenk. Klikk.

I etterkant av 22. juli har mye av debatten om sikkerhet vært knyttet til fysisk sikkerhet.

Dette er en nødvendig diskusjon.

Dette betyr ikke at informasjonssikkerhet er mindre viktig.

Også på dette området er sikkerhetskultur og holdninger av stor betydning.

Sammen med lover og pålegg er dette helt nødvendig for å trygge den infrastrukturen og de dataene som norske virksomheter og samfunnet vårt har blitt helt avhengig av.

Utfordringene som norske virksomheter står overfor i dag er mange, og i stadig endring. Utviklingen går så fort i dag at mange virksomheter sliter med å henge med.

Infiserte pc-er og liten oversikt over sikkerhetsbrudd i egne nettverk er ikke et ukjent fenomen.

Mange virksomheter kjenner heller ikke de mobile løsningene de ansatte kobler seg inn i deres nett med. Angrep rettet mot ansatte ved såkalt sosial manipulering er også mer vanlig. Mange brudd på sikkerheten oppstår ved at brukeren blir lurt til å klikke på en lenke i en nettside.

Nye ikt-løsninger gir nye sårbarheter. Virksomhetene outsourcer stadig flere it-oppgaver, og i mange tilfeller også sikkerheten.

Kompleksiteten i de løsningene som tilbys gjør at bestillerkompetanse har blitt en ny utfordring. Skytjenester gjør at virksomhetene også har mindre kontroll enn tidligere over hvor virksomhetens informasjon befinner seg.

Dagens samfunn er helt avhengig av en velfungerende ikt-infrastruktur. Da må virksomhetene også vite hva de skal gjøre ved bortfall av tjenester, ved angrep og sikkerhetshendelser. Tjenestenektangrepene som vi er blitt kjent med den siste tiden, for eksempel ved målrettet overbelastning av båndbredden til en virksomhet, viser at man ikke lenger behøver stor kompetanse eller dyre ressurser for å ta ned tjenestene til store virksomheter.

I lengre tid har vi i Norge vært opptatt av at vi etterlever standarder og overholder lover og regler. Det er bra, men informasjonssikkerheten må settes ut i praksis. Policy og retningslinjer må implementeres, og virksomhetene må ha eget personell for å ivareta sikkerhetsarbeidet. Både det forebyggende arbeidet, håndtering av en hendelse både når den skjer og i etterkant, må kunne skje på en god måte. Dette avhenger av god risikoforståelse, godt planverk og jevnlige øvelser.

Opplæring og trening er nøkkelord. Gjennom risikoanalyser får virksomhetene en gjennomgang av hvilke trusler man står ovenfor, hvilke konsekvenser en sikkerhetshendelse kan få og hvor sannsynlig det er at hendelsen inntreffer. Planer må lages og personell og organisasjon må øves og testes. Hendelser vil inntreffe og da må vi være forberedt. Har man ikke gjort disse øvelsene i forkant kan dette få katastrofale følger.

Virksomhetens ledelse er ansvarlig for informasjonssikkerheten. Prioriteringer og styring av risiko knyttet til informasjonssikkerhet må derfor forankres der. Ledelsen må vise engasjement i arbeidet og bygge holdninger og kultur på arbeidsplassen som fremmer sikkerhet. Dette er et arbeid som tar tid, og ansvaret kan ikke delegeres. Det forebyggende sikkerhetsarbeidet må organiseres og styres fra ledelsen, og være en integrert del av virksomhetens ordinære styringssystem.

Oktober er utpekt som den nasjonale sikkerhetsmåneden i Norge. Hovedtema for årets kampanje er "Stopp. Tenk. Klikk". Mange virksomheter har allerede meldt seg på i dugnaden som NorSIS har satt i gang for å sette holdningsskapende arbeid på agendaen. Denne måneden vil det være seminarer, konferanser og tilbud om opplæring av ansatte i mange virksomheter i hele landet. Jeg oppfordrer alle virksomhetsledere til å melde på sin virksomhet i denne nasjonale dugnaden.

Regjeringen er opptatt av informasjonssikkerhet. Vi er nå i sluttfasen av arbeidet med en ny nasjonal strategi for informasjonssikkerhet slik at vi i tiden som kommer har et oppdatert og godt nasjonalt rammeverk for dette sikkerhetsarbeidet.

Rigmor Aasrud, fornyingsminister