SÅRBARE: NSM-Sjef Kjetil Nilsen har sett offentlige virksomheter uten effektiv risikostyring og hendelseskontroll sist år, og det gjør dem ekstra sårbare for digitale hendelser. (Foto: Stig Øyvann)

SÅRBARE: NSM-Sjef Kjetil Nilsen har sett offentlige virksomheter uten effektiv risikostyring og hendelseskontroll sist år, og det gjør dem ekstra sårbare for digitale hendelser. (Foto: Stig Øyvann)

– Alvorlige eksempler på manglende kontroll

Nasjonal Sikkerhetsmyndighet har sett økende risiko og flere og mer alvorlige digitale hendelser i 2017, enn tidligere.

Nasjonal Sikkerhetsmyndighet (NSM) arrangerer i år sin årlige sikkerhetskonferanse i Oslo 20. og 21. mars. Samtidig lanserte NSM sin årlige rapport om trussel- og sikkerhetssituasjonen i Norge, «Risiko 2018».

Under åpningen av Sikkerhetskonferansen 2018 innledet direktøren i NSM, Kjetil Nilsen, med å fastslå at Norge står overfor en økende risiko for å bli rammet av sikkerhetstruende hendelser.

Større og mer alvorlige hendelser

Nilsen kunne dra fram flere konkrete sikkerhetshendelser fra året som gikk for å illustrere den økende risikoen i samfunnet. Både Helse Sør-Øst, Nødnettet, og løsepengeviruset Notpetya ble alle nevnt i Nilsens innledning.

Om Helse Sør-Øst-angrepet observerte NSM-sjefen følgende:

– Angrepet utfordrer norske myndigheters og norske virksomheters sikkerhetsarbeid. Det viser hvordan det tradisjonelle skillet mellom stats- og samfunnssikkerhet viskes ut.

– I løpet av det siste året har NSM koordinert håndteringen av større og mer alvorlige digitale hendelser enn i tidligere år, oppsummerte Nilsen.

Problematisk outsourcing

Selv om ikke Nilsen direkte koblet Helse Sør-Øst-angrepet med den generelle iveren etter å outsource it-tjenester som går over landet, også i økende grad i offentlig sektor, så påpekte han den økte risikoen som outsourcing fører med seg i mer generelle termer.

– Tjenesteutsetting er en attraktiv løsning for mange virksomheter. Denne utviklingen skaper digitale verdikjeder som er lange, komplekse, uoversiktlige, ofte internasjonale og til dels utenfor nasjonale myndigheters kontroll. Den totale digitale angrepsflaten øker, elementer som i utgangspunktet er godt sikret, eksponeres av sårbarheter hos svakt sikrete elementer i samme verdikjede, sa Nilsen.

– Risikoen vi står overfor i Norge øker fordi sårbarhetene blir flere, og vanskeligere å kontrollere, la han til.

Manglende styring og kontroll

Computerworld har tidligere merket seg at blant andre helseministeren har sagt at det var risikostyringen som var problemet i forbindelse med Helse Sør-Øst-saken, og ikke outsourcingen i seg selv, og det var også Nilsen innom i sitt velkomstinnlegg.

– Effektiv risikostyring og hendelseshåndtering er en mangelvare. Dette har vi sagt flere ganger i våre tidligere årlige rapporter. NSM ser alvorlige eksempler på manglende kontroll over risiko i offentlige virksomheter, blant annet med svært komplekse informasjonssystemer uten tilstrekkelig planlegging, risikostyring og hendelseshåndtering, sa Nilsen.

Han nevnte verken Helseforetaket eller for eksempel Nødnettet i denne sammenhengen, men dette er opplagte eksempler på problemet.

– Dette utgjør en alvorlig sårbarhet, og illustrerer behovet for grundige verdi- og risikovurderinger slik at ledelsen settes i stand til å iverksette riktige tiltak, minnet NSM-sjefen om.

Årets risikorapport fra NSM er nedlastbar som PDF-fil på NSMs nettsider.

Sikkerhet