Bruker vi sikkerhetsressursene riktig?

En vellykket digitalisering av statsforvaltningen krever at borgerne har tillit til de digitale løsningene. For å lykkes med dette må informasjonssikkerhet innarbeides i digitaliseringsprosjektene fra begynnelsen.

Offentlig sektor skal forenkles, fornyes og forbedres, og digitalisering er et viktig virkemiddel for å nå dette målet. Men hvordan ivaretas sikkerheten på veien mot målet. Legger virksomhetene tilstrekkelig vekt på sikkerhet i digitaliseringsprosjekter? Kommer sikkerhet tidlig nok på banen, eller legges det til som en ettertanke?

For å få svar på disse spørsmålene har Difi i samarbeid med Sintef utført en modenhetsstudie av sikkerhetsarbeidet i et utvalg offentlige digitaliseringsprosjekter. Studien er utført for at vi skal få et bedre kunnskapsgrunnlag for å styrke arbeidet med informasjonssikkerhet i offentlig sektor. Studien vil også gi et kunnskapsgrunnlag som vi senere kan bruke til å måle utvikling og effekt av tiltak vi iverksetter. Studien er relevant også for privat sektor. De fleste digitale løsninger for det offentlige utvikles eller driftes delvis av private virksomheter. 

Modenhetsstudien bygger på Building Security In Maturity Model (BSIMM), som er en global undersøkelse med tyngdepunkt i USA. BSIMM sier ikke hva du skal gjøre. Men den sier hva de største, de som har lykkes, gjør – og derfor hva som er beste praksis på området. Ved å bruke en slik global undesøkelse som utgangspunkt, får vi både en status for norsk offentlig sektor, og en mulighet for å sammenligne de norske resultatene med andre land. Hvordan ligger vi an i forhold til verden? Forholder vi oss til beste praksis?

Undersøkelsen viser at norsk offentlig sektor legger stor vekt på etterlevelse av lovkrav, standarder og retningslinjer. 85 prosent mener de har god kontroll på dette, mot 65 prosent globalt. Vi er aller best på å ha kontroll på dette i eget hus, men legger også stor vekt på å følge opp underleverandører på området. Dette er bra.

Men virksomhetene legger for liten vekt på sikkerhetsopplæring som er spesifikk for digitaliseringsprosjekter. Det er ikke bra.  Sikkerhetskompetanse er nødvendig for å stille gode sikkerhetskrav, designe trygge løsninger og ikke minst følge opp og kontrollere at kravene er oppfylt.

Selv om norsk offentlig sektor legger stor vekt på å etterleve fastsatte krav og standarder, er vi – i likhet med resten av verden – i mindre grad opptatt av å måle om sikkerhetstiltakene vi iverksetter har effekt. Måling er vanskelig og deltakerne i undersøkelsen uttaler at måling faktisk er blitt vanskeligere enn det var tidligere. Svært mange har prisverdig nok fulgt internasjonalt anerkjente råd for prosjektstyring og opplever at blant annet bruk av såkalt smidig prosjektstyring gir færre fast definerte kontrollpunkter. Da blir det vanskeligere å foreta adekvate målinger og spørsmålet er om sikkerhetsmetodene er tilpasset ny metodikk og nye måter å jobbe på.

Alle som har jobbet med sikkerhet vet at det kan være en utfordring å få tilstrekkelige ressurser til sikkerhetsarbeidet.  Årsaken kan være at man ikke lykkes med å synliggjøre koblingen mellom risiko, sikkerhetstiltak og virksomhetens mål. På spørsmål om dette svarer faktiske samtlige deltakere i undersøkelsen at de ikke har klart å påvirke budsjettildelingen ved å legge frem målinger eller (mangel på) resultater fra sikkerhetsarbeidet i digitaliseringsprosjekter.

Dette er et punkt vi må bli bedre på. Når offentlige virksomheter øker sin bruk av digitale løsninger, har innbyggerne krav på at sikkerheten er godt ivaretatt. Da er det helt nødvendig at vi lærer oss å måle effekten av arbeidet vi gjør. Bare på den måten klarer vi å disponere ressursene riktig og etablere sikkerhetsløsninger som virker.

Hele undersøkelsen publiseres på: infosikkerhet.difi.no.

Ingelin Killengreen, Difi