"There are two kinds of people in America today: those who have experienced a cyber attack and know it, and those who have experienced an attack and don’t know it."
Frank Wolf

Nettet har endret hvordan vi lever og skaper verdier. Velmenende næringsdrivende, offentlige virksomheter og privatpersoner er ikke alene på nettet. En rapport fra Center for Strategic and International Studies anslår at nettkriminalitet koster verdensøkonomien svimlende 3.000 milliarder kroner årlig. Det åpne digitaliserte samfunnet er sårbart. Mye av skaden skyldes skjødesløshet med grunnleggende sikkerhetstiltak, men den samfunnsmessige tenkingen om beredskap må også tilpasses et nytt landskap. De mørke krokene på nettet er annerledes enn i den fysiske verden. Banditter med tastatur opptrer annerledes enn dem med pistol. Den som ranes på åpen gate, er smertelig klar over hva som skjer. Den som ranes for like store eller større verdier på nett, er det oftest ikke.

Bevæpnet med tastatur

De siste ukene av 2014 var preget av Aftenpostens funn av overvåkningsutstyr i sentrale deler av Oslo, en tydelig påminnelse om hvor sårbare vi er. For mer enn to år siden advarte en internasjonal ekspertkomité ledet av professor Jan Hesthaven ved Brown University: Norges manglende kunnskap på feltet må anses som hovedårsaken til sårbarheten. Komiteen konstaterte at gjentatte råd om å investere i forskning ikke er blitt fulgt og påpekte at sikkerhet i IT-systemer må være sentral i et nytt forskningsprogram for samfunnssikkerhet og risiko. Lite har skjedd.

Tidenes største ran

Overvåkningsavsløringene er alvorlige, men ikke unike. Det skjer flere identitetstyverier enn lommetyverier, og organisert svindel har flyttet seg til den digitale verden. Store norske bedrifter er blitt frastjålet sensitiv informasjon ved at hackere har tatt kontroll over ledelsens bærbare PCer, mens andre har vært utsatt for avansert cyberspionasje. Konsekvensene kan bli dramatiske: Kontrakter går tapt, virksomhetskritiske ideer stjeles. Forskningsdirektør Morten Irgens ved Høgskolen i Oslo og Akershus sier det slik: Cyberspionasje og tyveri av immaterielle rettigheter, av åndsverk, er den største overføring av velstand i menneskehetens historie.

Store mørketall

Hvordan møter vi så disse utfordringene? Det første steget må være en erkjennelse av vår sårbarhet. I følge Næringslivets sikkerhetsråds mørketallsundersøkelse har 1 av 2 norske bedrifter opplevd dataangrep, men bare 1 av 20 vet om angrepene. PCen, mobiltelefonen, trygghetsalarmen, skybaserte lagringssystemer, ja, selv spill og chatteprofiler kan hackes og utnyttes. Vi må fornye både måten vi tenker på og forholder oss til cyberkriminalitet.

Stor trussel, lite kunnskap

Kunnskap er avgjørende. Ved utgangen av 2014 hadde Norge blitt utsatt for 62 «hendelser» som satt cyberforsvaret i beredskap – en økning fra 58 året før. Trusselen fra sterke aktører som driver målrettet industrispionasje er også stor. I 2013 ble 51 alvorlige hendelser rapportert inn til Nasjonal sikkerhetsmyndighet (NSM). Sannsynlig underrapportering til tross: Tallene vitner om at både næringsliv og offentlig sektor i økende grad er utsatt for angrep. Det nasjonale etterslepet på forskning og utdanning innen informas­jons- og cybersikkerhet øker vår sårbarhet. Med unntak av Høgskolen i Gjøvik, som har en større gruppe som forsker på IKT-sikkerhet, er de norske miljøene små. Norske forskningsinstitutter har kompetanse og er unikt posisjonert for samspill mellom private og offentlige aktører i kunnskapsutviklingen. På kort sikt er det aller viktigste å få på plass midler til forskning på et område som i stadig større grad vil berøre oss alle. Næringslivet finansierer noe gjennom forskningsgruppen på Gjøvik, men det er ikke nok. Som landets øverste sikkerhetsmyndighet bør Justisdepartementet allokere forskningsmidler til åpen forskning på sivilsamfunnets sårbarhet og sikkerhet.

Politi og røver, ikke bare røver

Regjeringen satte i juni 2014 ned et digitalt sårbarhetsutvalg som skal kartlegge samfunnets sårbarhet og foreslå konkrete tiltak. Det er et godt grep. Underrapporteringen av datakriminalitet må inngå i vurderingene. Alt tyder på at politiet ikke i tilstrekkelig grad får datakriminalitet på sitt bord, og følgelig verken får opparbeidet nødvendig kompetanse eller tildelt tilstrekkelige ressurser til etterforskning. Ansvaret for IT-sikkerhet, beredskap og bekjempelse av kriminalitet ligger i Justisdepartementet, mens Kommunal- og moderniseringsdepartementet har ansvar for IKT-tjenester i staten. I tillegg har Samferdselsdepartementet det politiske ansvaret for infrastruktur og Kunnskapsdepartementet for forskning. Ansvarsdelingen gir mulighet for en bred tilnærming, men kan også være et hinder for en koordinert og offensiv satsing.

Sikkerhetskultur

Teknologien er også del av løsningen. Oppdaterte verktøy er avgjørende, men ikke tilstrekkelig. I møte med et nytt kriminalitetsbilde er det også viktig med oppdaterte rutiner og bevissthet. Truslene kan komme både utenfra og fra utro tjenere innenfra, men ofte handler det om at folk mangler kompetanse og gjør enkle feil: Åpner et vedlegg fra ukjent adressat, ukritisk deler informasjon, glemmer eller misforstår noe. Alle norske virksomheter jobber systematisk med HMS. Informasjonssikkerhet må bli en del av dette arbeidet.

IKT-sikkerhet – noe å leve av "etter oljen"

Høyteknologisk næringsutvikling står høyt på den politiske agendaen. Som konsekvens av våre ryddige samfunnsforhold, den høye grad av tillit vi nyter internasjonalt og våre sterke teknologimiljøer, har vi forutsetninger for å utvikle kompetanse og løsninger innen IKT-sikkerhet som verden vil ha behov for. Det vil ikke skje av seg selv. Vi må begynne med å ta igjen etterslepet, men dersom Norge satser på forskning og innovasjon på dette området, legger vi også grunnlaget for å omsette kunnskapen til ettertraktede produkter og tjenester, og kan trekke veksler på et av våre konkurransefortrinn: At vi er til å stole på.

Denne kronikken sto på trykk i ComputerWorld fredag 23. januar

Kontaktperson Håkon Haugli

hakon.haugli@abelia.no

+47 905 31 025