Jeg er litt overrasket over at Janne Hagen i FFI på siste FFI-FORUM skal ha påpekt at vi har "...et fragmentert statlig ansvar for IT-sikkerhet" (NSM bloggpost, 1 April 2011. Tviler på det er noen aprilspøk). Jeg regner med hun da uttaler seg om den reelle etterlevelsen av sikkerhet i det offentlige, plasseringen av ansvar bør det da ikke være noen tvil om? Styrelederen heter Harald, adm.dir heter Jens, og generalforsamlingen heter Stortinget. De har ansvaret for sikkerheten.
Tilgi meg for introduksjonen, temaet er svært viktig. Bloggposten fra Kjetil Veire i NSM er da også umulig å la være å kommentere. Plasseringen av ansvaret for sikkerhet synes å være et evig diskusjonstema.
(Definisjonen av tilstrekkelig sikkerhet... Vel, DER har vi noe å diskutere til evig tid, men det er da også en helt annen diskusjon enn plassering av ansvar.)
La oss ta utgangspunkt i børsnoterte selskaper. Styret er meg bekjent kollektivt ansvarlig for at sikkerhet blir tilstrekkelig ivaretatt i en virksomhet. De vil normalt nøye seg med å gi det daglige ansvaret for sikkerheten til administrerende direktør, og verifisere at dette blir ivaretatt gjennom enten en internkontrollfunksjon og/eller lovpålagt ekstern revisjon. Det er naturlig at man derunder bygger et organisasjonskart som også har en linje- eller virtuell organisasjon hvor noen er utpekt til ha det daglige ansvaret for å ivareta sikkerhet innen ulike områder.
Det å la en minister få øverste ansvar for sikkerheten i staten tror jeg er en dårlig ide. Det kan vel ha skjedd at både Kongen, Statsministeren og Stortinget har overkjørt hverandre i ulike saker, men at en skarve minister skal ha mulighet til å toppe dem? Neppe. Jeg har da heller ikke møtt på mange sikkerhetssjefer som har talt styret eller administrerende direktør midt i mot, om de i det hele tatt har talerett fremfor disse.
Utfordringen ligger ikke i plasseringen av ansvaret, men i mandat, budsjett og myndighet. Gjennom mandatet vet du hva du skal gjøre. Med budsjettet får du muligheten til å gjøre det. Gjennom myndigheten får du muligheten til ulike sanksjoner dersom tilstrekkelige tiltak faktisk ikke blir gjennomført innenfor definerte rammer.
Selv må jeg innrømme at jeg flere ganger har skyldt på fraværet av ett eller flere av de 3 nevnte elementer når sikkerheten blir veiet og funnet for lett.
--
Erland Løkken, direktør i Næringslivets Sikkerhetsråd, sier at "det må etableres et senter med mandat til å koordinere private og offentlige aktører for forebyggende og avgrensende tiltak".
NorSIS har ikke det mandatet, men de har allikevel et mandat som kanskje er et steg i riktig retning.
Jeg har tidligere kritisert NorSIS og Nettvett (Post- og teletilsynet) for å ha vidt sprikende anbefalinger i forhold til passord. Slik jeg ser det har de svært overlappende oppgaver, og de har også jevnlig kontakt seg imellom. Jeg tror at min bloggpost kan ha påvirket dem til å koordinere sine anbefalinger på området, slik at staten fremstår med ett sett anbefalinger i en daglig utfordring de fleste av oss må forholde seg til. La meg her få presisere at jeg har en god dialog med spesielt NorSIS, og synes at de gjør et godt og ikke minst viktig stykke arbeid.
Jeg liker forslaget fra Erland Løkken, men trengs det virkelig enda et senter for å koordinere private og offentlige aktører? Kan vi ikke redusere litt istedenfor? Om jeg ikke tar feil, så har vel dette landet uoffisiell verdensrekord i antall organisasjoner i forhold til folketall.
Som jeg påpekte i forhold til Norsis og Nettvett, så er det en stor utfordring at ulike organisasjoner ser ikke ut til å snakke sammen. De overlapper hverandre innenfor "ansvarsområder", men har vidt forskjellige anbefalinger. Jeg vil helst unngå noen monolittisk tilnærming fra staten til alle aspekter innen sikkerhet, men de ulike departementer, direktorater og tilsyn har vel rimelig klart definerte mandater og ansvarsområder? Hva om vi fikk dem til å faktisk holde seg til dem, og kreve bedre koordinering dem imellom? Der har du muligens det senteret Erland Løkken burde etterspør: et senter som skal sørge for at alle tar sikkerhetsansvar innenfor sitt eget ansvarsområde, og koordinerer tversgående regler, aktiviteter og kontroller.
Et slikt senter kaller jeg ofte for "sikkerhetsavdeling".
Har du lest høringsuttalelsene til NSMs forslag til nasjonal strategi for cybersikkerhet? Feks den jeg skrev? Det er mye mer komplisert enn det som kommer frem her, blant annet rokker det ved grunnleggende prinsipper, som nærhetsprinsippet. Det er en god ide at vi etablerer et nasjonalt senter, men det må ikke bli noe annet enn et "meteorologisk institutt", altså kun varsling, ingen håndtering
ReplyDeleteNei, jeg har faktisk ikke lest den. Den er nok interessant, men akkurat som med #DLD og alt annet, så blir spørsmålet svært enkelt: "hvem betaler?". Inntil det er avklart, så skjer det ikke stort.
ReplyDelete