Y2K + 10

Y2K + 10

KOMMENTAR: Ja, det gikk bra. Ja, ryddejobben var nødvendig. Ja, vi har dessverre fortsatt noe å lære av det vi gikk gjennom.

Denne uka har det gått nøyaktig ti år siden datoen 9.9.99. Vi oldinger som visste hva bits og bytes var allerede på nittitallet får noen flashbacks når vi ser denne datoen. Den første av tre dommedagsdatoer for it-systemene verden over - 09.09.99, 01.01.00, 29.02.00. Datoer som var forutsagt å skape store problemer i et samfunn som allerede da var relativt it-intensivt.

Som statens y2k-general opplevde jeg at det å gå på fest utover vinteren og våren 2000 var en vandring i etter hvert ganske forutsigbare kommentarer. "Masse arbeid til ingen nytte", "hysteriske reaksjoner på et lite problem" og "lurt av konsulentene" var typiske vurderinger.

Ryddejobb i forkant

Verden hadde neppe gått under om vi hadde prestert å bli tatt på senga av tusenårsskiftet. Men i gjennomgangen fra statlig side, kunne vi slå fast at store problemer hadde oppstått i Norge uten ryddejobben i forkant. Vi ville ha opplevd alvorlige problemer i Luftforsvaret, Hæren og Heimevernet. På samferdselsfeltet ville vi opplevd svikt i trafikkstyringen på veiene, bagasjehåndteringen ved flyplassene, og forsinkelser i togtrafikken. Det ville oppstått svikt i kritisk medisinsk utstyr og it-systemer ved flere sykehus. Det ville oppstått store problemer med beregning og utbetaling av stønader, trygder og pensjoner.

Min påstand i 2000 var at arbeidet hadde gitt to store nytteeffekter: For det første å unngå trøbbelet beskrevet over, for det andre å vekke mange ledere både i offentlig og privat sektor, når det gjaldt å se its betydning for virksomheten. Spesielt: Hvor sårbar virksomheten er hvis teknologien svikter, viktigheten av beredskapsplaner ved svikt, etc. Sårbarhetsutvalget (NOU 2000:24) bekreftet vurderingen av at y2k-arbeidet var et løft for bevissthet om it-sårbarhet og beredskapsfokus.

Våkent øye

Spørsmålet er hvor mange toppledere som har klart å beholde et våkent øye på it-sårbarhet siden den gang. Synovates undersøkelse, referert nylig i Computerworld, indikerer at toppledere engasjerer seg mer i it-spørsmål enn tidligere, men da kanskje først og fremst som et spørsmål om bruk av ressurser. At trusselbildet er minst like alvorlig som for ti år siden, er åpenbart. Noen utviklingstrekk er følgende:

  • Teknologiavhengigheten øker både i offentlig og privat sektor, knyttet til utviklingen av bl.a. produksjonsmetoder, medisinsk-teknisk utstyr, automatiserte saksbehandlingsløsninger og digital kommunikasjon og tjenesteyting.
  • Blant annet mer ekstremvær som følge av klimaendringer og tøffere krav til inntjening i kraftindustrien øker faren for strømbrudd, i følge DSBs sårbarhetsrapport for inneværende år.
  • Økt kompleksitet i it-infrastrukturen gjør det mer krevende å gjennomføre tilfredsstillende testing før nye systemer settes i drift, jf. Kredittilsynets (Kt) risikovurdering fra 2008.
  • Ondsinnet programvare som phishing og DDoS er fortsatt alvorlige trusler knyttet til nettbruk, spesielt sett i sammenheng med at web-applikasjonsutvikling ofte introduserer alvorlige sikkerhetshull (Kt, 2008).

Sett opp mot dette trusselbildet er det nedslående at kompetansen til å vurdere egen sårbarhet og stille krav til it-sikkerheten gjennomgående er lav, også hos samfunnskritiske virksomheter, i følge Post- og teletilsynets rapport fra februar i år.

Ditt ansvar

Difi ble i mai utfordret i denne spalten til å bidra til offentlig koordinering og krav på dette feltet. Mitt svar er: but of course. Det bør vi, det skal vi. Den viktigste samordningen vi gjør i dag skjer gjennom utviklingen av en felles eID-løsning for det offentlige. Det gir sammenheng, kvalitet og effektivitet i sårbarhetsarbeidet på et viktig felt.

Samtidig har vi viktige veiledningsoppgaver å ivareta på it-sikkerhetsfeltet. Og vi skal bidra til at nye, offentlige it-løsninger ivaretar arkitekturprinsippene, hvor i denne sammenhengen kravet om trygghet er særlig relevant. Difi skal sammen med andre myndigheter som Datatilsynet og NSM arbeide målrettet for å løfte temaet på en travel toppleders agenda. ¿men ansvaret, kjære topplederkollega, ligger hos deg!

Les om:

Sikkerhet