Personvern og kybersikkerhet går ikke hånd i hånd

Personvern for kyberbaserte tjenester forutsetter høy grad av kybersikkerhet. Samtidig krever kybersikkerhet innsamling av informasjon som potensielt kan skade personvernet. Ved utforming av retningslinjer og design av systemer er vi avhengige av å balansere kybersikkerhet på den ene side og personvern på den annen side.

Norske rådgivende etater og organer fokuserer hovedsakelig enten på kybersikkerhet eller på personvern, og i liten grad på balansen mellom dem. Det er ytterst bekymringsfullt fordi det er i balansen at noe av hovedutfordringen ligger.

Kybersikkerhet kan enkelt forklares som sikkerhet mot uønskete hendelser forårsaket via internett, mens grunnlovens paragraf 102 definerer personvern som følger:

• Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon.
• Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller.
• Statens myndigheter skal sikre et vern om den personlige integritet.

Det er langt enklere å lage et sikkert system hvis man kan overvåke fritt uten å ta personvernhensyn. Det er også langt enklere å sørge for godt personvern hvis det ikke foreligger krav til kybersikkerhet utover hva som kreves for å sikre personvernet. Dessverre er vi nesten alltid i den langt vanskeligere situasjon at kravene til personvern tilsynelatende er i strid med kravene til sikkerhet.

Det er uklart hvor i det offentlige vi kan få hjelp. Det er også uklart hvilken etats ansvar det er å hjelpe. Vi har sett nærmere på følgende publikasjoner med håp om i det minste å finne henvisninger til relevante råd og retningslinjer:

1. Personvern: tilstand og trender 2016 (62 sider), publisert av Datatilsynet.
2. Trusselvurdering 2016 (12 sider), publisert av Politiets sikkerhetstjeneste (PST).
3. Mørketallsundersøkelsen 2016 (24 sider), publisert av Næringslivets sikkerhetsråd (NSR).
4. Helhetlig ikt-risikobilde 2016 (56 sider), publisert av Nasjonal sikkerhetsmyndighet (NSM).
5. Trusler og trender 2016 (28 sider), publisert av Norsk senter for informasjonssikring (Norsis).

Kort oppsummert, den første fokuserer på personvern, den andre fokuserer på nasjonal sikkerhet, de to neste er i stor grad opptatt av kybersikkerhet, mens den siste er noe mer balansert, men dreiet mot kybersikkerhet. Ser man nærmere på disse publikasjonene er det påfallende i hvor liten grad de adresserer konflikten mellom kybersikkerhet og personvern.

Det er langt enklere å lage et sikkert system hvis man kan overvåke fritt uten å ta personvern-hensyn.

Mer spesielt, et søk på termen "sikkerhet" i (1) gir to relevante treff, mens et søk på "personvern" i (2), (3), (4) og (5) gir henholdsvis null, tre, en og tre treff. Et søk på den mer generelle termen "personopplysning/data" gir for (2), (3), (4) og (5) henholdsvis null, fire, seks og ti treff.

En ting er å informere om hvilke lover og regler som gjelder og hvordan de kan håndheves hver for seg, noe annet er den praktiske utfordringen å utforme retningslinjer og designe systemer i henhold til disse. Norske etater og organer med fokus på kybersikkerhet og personvern synes å fokusere på det første, hver spesialisert innenfor sin egen "nisje".

Det synes nærliggende å spørre: Lider norske etater og organer med fokus på kybersikkerhet og personvern av et silosyndrom, hvor ingen tar det reelle ansvaret for helheten?

Ketil Stølen, sjefsforsker for kyberrisiko ved Sintef og og professor II ved Universitetet i Oslo.