av Bente Hoff

Innlegget har tidligere stått på trykk i Finansavisen.

De aller fleste virksomheter vil i 2018 svare bekreftende på at digitalisering er et viktig satsingsområde. Digitalisering skaper nye måter å levere tjenester på, og er en viktig drivkraft for forenkling og forbedring av privat så vel som offentlig sektor.

Nasjonal sikkerhetsmyndighet(NSM) ser samtidig at trusselbildet i det digitale rom er forverret de siste årene. Trusselaktørene blir stadig flere og dyktigere, og verktøy og metoder som tidligere var forbeholdt nasjonale aktører er nå allemannseie.  Samtidig blir IKT-systemene vanskeligere å beskytte. En av årsakene er at innføring av nye tjenester medfører økt kompleksitet. I løpet av det siste året har NSM koordinert håndtering av større og mer alvorlige digitale hendelser enn før. I lys av dette fremstår norske virksomheter som lite motstandsdyktige.

Det er derfor naturlig å stille spørsmålet om digitaliseringen må bremses.  Har vi en hastighet som gjør at risikoen for den enkelte virksomhet og for samfunnet ikke ligger på et forsvarlig nivå? Dette er et komplekst spørsmål som det ikke kan være et entydig svar på. I mange tilfeller kan digitaliseringen gå raskere enn i dag med fullt akseptabel risiko. Det avhenger av om man har kontroll på hva man gjør, og at beslutninger tas på et tilstrekkelig informasjonsgrunnlag. Med bakgrunn i NSMs kunnskap om risiko og kjente sårbarheter i det digitale rom ser vi dessverre ofte at virksomhetene ikke har tilstrekkelig kontroll. Noen av årsakene til dette er mangel på sikkerhetskompetanse, utdaterte og komplekse IKT-systemer og manglende oversikt over avhengigheter.

Digitalisering er en måte å effektivisere, automatisere og forbedre det man gjør, og de valgene ledelsen tar er kjernen i sikkerhetsarbeidet.  Alt for ofte møter NSM overraskelse fra ledelsen etter et større datainnbrudd «Ups, jeg var ikke klar over at dette var tilstanden hos oss» eller «Ups, jeg var ikke klar over at dette var en risiko». Sikkerhetskompetanse er en viktig forutsetning for å digitalisere. Den samme kompetansen er en mangelvare i samfunnet, i mange virksomheter og ikke minst på ledernivå. 

Ny funksjonalitet legges gjerne til på eksisterende IKT-systemer og muliggjøres gjennom sammenkoblinger av flere systemer.  En tommelfinger-regel er at nye og oppdaterte IKT-systemer gir best sikkerhet.  En annen er atøkt kompleksitet gir økt risiko. Digitaliseringen medfører derfor økt risiko og nye sårbarheter.

Ofte mister virksomhetene oversikten over IKT-systemene i digitaliseringsprosessen, og svakt sikrede punkter kan utnyttes av de som ønsker det.  Det er ikke mulig å ha kontroll på hvem som har tilgang til hva med mindre man har kontroll på hvor data er lagret og på alle sammenkoblinger. En konsekvens er at før man beslutter å tjenesteutsette drift av enhver IKT-løsning må man ha kontroll på virksomhetsarkitekturen og tilgangsstyringen i IKT-systemene. 

Det mest krevende er kanskje å ha oversikt over avhengigheter utenfor egen organisasjon. Med økende kompleksitet i sammenkoblede digitale verdikjeder er det utfordrende for  virksomhet og leverandør å se konsekvenser av de beslutninger de gjør. Til en viss grad kan nasjonal regulering adressere dette, men det er også kritisk at den enkelte virksomhet prioriterer kartlegging av avhengigheter som en del av digitaliseringsarbeidet.

Endring og videreutvikling av organisasjoner og IKT-systemer vil alltid medføre risiko.  Noe risiko må aksepteres for å få de nødvendige gevinstene, men hastigheten må tilpasses forholdene. NSM erfarer for ofte at farten medfører høyere risiko enn virksomheten selv er klar over, og vi ser alvorlige eksempler på manglende kontroll.  Digitaliseringen krever både gass og brems på riktig sted. Basert på det vi ser i NSM bør bremsepedalen brukes oftere enn i dag.