Cybersikkerhet: – Mye godt er sagt, men for lite godt er gjort

IKT-Norge deltok i dag på Stortingets høring om stortingsmeldingen om Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet (Meld. St. 9 (2022-2023))

– Vi er i en alvorlig og ekstraordinære situasjon. Riksrevisjonen har i flere ulike rapporter varslet om kritikkverdige forhold knyttet til digital sikkerhet og motstandskraft. Vi må gjøre mer, innsatsen må koordineres bedre, samarbeidet mellom privat og offentlig sektor må styrkes, og ansvaret må bli tydeligere. Både på lang, mellomlang og kort sikt. Lite av disse utfordringene svarer Stortingsmeldingen på, sa IKT-Norges administrerende direktør Øyvind Husby under høringen på Stortinget. 

– I Norges arbeid med cybersikkerhet generelt, og også i denne Stortingsmeldingen spesielt, er mye godt sagt, men for lite godt gjort. Jeg har lyst til å legge til: Det er typiske norsk å være god … på situasjonsbeskrivelse, sa Husby.

Det er typiske norsk å være god … på situasjonsbeskrivelse.

IKT-Norge pekte på 6 konkrete områder som bør styrkes for å bedre den digitale motstandskraften:

1. Kompetanse

I meldingen skriver regjeringen at kunnskap og kompetanse er avgjørende for kollektiv motstandskraft. Dessverre har ikke regjeringen vist vilje til å prioritere dette: Norge trenge flere med IKT utdanning – men regjeringen har varslet kutt i antall studieplasser innen IKT. Vi må ha flere doktorgradstudenter innen cybersikkerhet som kan sikkerhetsklareres og jobbe i Norge. Vi må se på kompetansen i de nordiske landene samlet og  alle ledere i stat og kommune må f.eks. pålegges å ta NSMs grunnkurs i cybersikkerhet som et minimum.

2. Teknologi

Regjeringen peker i melding på kvanteteknologi, kunstig intelligens og datavitenskap som viktige teknologier for nasjonal sikkerhet. IKT NORGE er helt enige i beskrivelsen, men regjeringen har ikke fulgt dette opp med handling: Norge fikk sin første AI strategien for 3 år siden – men ingenting har skjedd etter dette. Norge er eneste landet i Norden som ikke har en egen kvantedata-strategi. I tillegg kommer det tilbakevendende punktet om kompetanse, spesielt innen teknologi  og behovet for utdanning av flere med realfag.

Det foregår et teknologisk kappløp mellom demokratiske og autoritære allianser. Konsekvensene av å ikke ha et teknologisk forsprang vil direkte true våre verdier og vår nasjonale sikkerhet. Det er derfor avgjørende at teknologisk innovasjon prioriteres høyere fremover.

3. Autonomi

Det er hverken mulig eller ønskelig med nasjonal autonomi. Derimot er det er det ekstremt viktig med regional autonomi og allianse-autonomi. Norge må raskest mulig få på plass et omfattende og forpliktende samarbeid i Norden. IKT-Norge foreslår at Norge må få plass en sikkerhetsklarering av personell på tvers i Norden. Vi må se på Norden som en enhet når det gjelder redundans av kritiske komponenter i den digitale infrastrukturen og vi må se på lagring av data i et Nordisk perspektiv. Krigen i Ukraina har lært oss mye, bl.a.at det ikke er sikkert å lagre alle data, og ha ha alle kritiske systemer, kun i sitt eget land.

4. Lover og regulering

Sikkerhetsloven må faktisk implementeres i alle sektorer. Det er nå tre år siden den trådte i kraft, men i følge Riksrevsjonens rapport har ikke Justisdepartementet god nok oversikt over statusen i de ulike sektorene, eller kontroll på når den faktisk vil være ferdig implementert. 

NIS 2 må forberedes godt og implementeringsplanen til Norge må på plass så fort som mulig. Det skaper både forutsigbarhet for berørte aktører og høynet beredskap.

5. Internasjonalt samarbeide

Norge har vært verdens beste på analog fredsarbeid i 50 år. Nå må vi ha ambisjon om å bli best på digitale fredsarbeide. Vi burde brukt plassen vår i Sikkerhetsrådet til nettopp å tatt den posisjonen. Norge er blant verdens mest digitale samfunn, og er dermed også blant de mest sårbare. Samtidig har vi erfaring og kompetanse vi må utnytte til å ta en ledende rolle internasjonalt.

6. Kultur og ledelse

Riksrevisjonens mange avsløringer har vi oss at:

• Vi  mangler en felles situasjonsforståelse og en sikkerhetskultur
• Vi mangler evne og vilje til å sanksjonere. Når frister ikke nås, når aktiviteter ikke blir gjennomført, når nødvendig lederskap ikke blir utført
• Vi mangler en tydelig ledelse og rolleavklaring som sikrer riktige beslutninger til riktig tid i en krise
• Og vi mangler en trygghet for en effektive hendelseshåndtering og kriseledelse når de store og omfattende angrepene kommer.

Dette dreier seg ikke først og fremst om innføring av nye lover og regler – men om kunnskap, kultur – og ledelse. Vi har vært, og er, grunnleggende naive i vår tilnærming til digital og hybride trusler både mot Norge som nasjon, men også mot norske institusjoner og næringsliv.  Vi trenger mer kompetanse, bedre kultur og ledelse.

Opptak av høringen kan sees her. IKT-Norge var først ute. 

Hele IKT-Norges innspill kan leses her.