-Vi kan ikke si at vi ikke visste

IKT Norges administrerende direktør Øyvind Husby var tydelig i sine advarsler under Sikkerhetsdagene 2022 arrangert av Atea.

Bare i februar er det fire viktige hendelser. Den fjerde februar inngikk Putin og Xi Jinping en avtale om at landene skal støtte hverandre både mot Ukraina og Taiwan, og samarbeide mer i arbeid mot Vesten. Han nevner også krigen i Ukraina, og FN sin publisering av ny klimarapport den 28.februar. Men datoen som har størst betydning for Norge er 11. februar, da PST og NSM publiserte sin årlige trusselvurdering. Han mener det er flere ting i trusselbildet som går igjen år etter år, som for eksempel at Russland og Kina vil svekke det norske demokratiet (sett ved angrepene på Stortingets it-infrastruktur). De vil også påvirke politiske beslutninger, opinion og ytringsfrihet.

– Det er oppsiktsvekkende at det ikke får større oppmerksomhet i samfunnet. Hadde dette vært for 40 år siden så hadde vært en krigserklæring og og vel så det, med de midlene man hadde til rådighet. Trusselsituasjonen er krystalklar – vi kan ikke si vi ikke visste, sa Husby.

Sommerferien kan ikke komme i veien

Han mener Norge burde være mer på ballen når det gjelder sikkerhet. Vi har god oversikt over trusselbildet, og da må vi følge det opp. Han bruker angrepet mot Stortinget som eksempel. Det første angrepet mot Stortinget kom i oktober 2020, og den norske regjeringen sier det er Russland som står bak (noe de selv nekter for). I februar og mars 2021 kom det nye angrep, der blant annet 4000 eposter ble frastjålet Michael Tetschner. Denne gangen ble Kina sett på som opprinnelseslandet.

Stortinget fortalte at sommerferien kom i veien, noe Husby er svært skeptisk til.

– Én ting er å bruke ni måneder på å innføre totrinns-autentisering til 138 stortingsrepresentanter. Men det er ikke mulig at sommerferien kommer i veien – og hvis det var sånn, så kan du ikke si det, sa Husby.

Han påpeker også at da Norge skulle gå gjennom valgsystemet sitt, så valgte de et selskap som allerede var svartelistet av amerikanerne – disse også russiske.

– Av dumme ting å gjøre må jo dette være hvert fall pallplass, tenker jeg.

Husby har mange eksempler på ganger der sikkerheten svikter. Blant annet helseforetaket som bruker Windows 7, som hadde end of life i 2015. I tillegg til å være utrygt, må det brukes mange millioner på å opprettholde noe som har passert utløpsdato. Han sammenligner det med å invitere Russland og Kina til barnebursdag og styre dem rett i godteposen.

Sikkerheten må prioriteres

Han avslutter med en rekke anbefalinger for hvordan Norge burde håndtere it-sikkerhet i fremtiden. Det handler om kompetanse, kultur, ansvar og mangel på konsekvens om man ikke gjør noe. Det å miste en kundeliste innebærer et varsel til Datatilsynet, mens et dataangrep kan gå ubemerket hen. Det er noe Husby mener må inn i sikkerhetsloven: mer rapportering.

– Vi må ha samarbeid mellom myndigheter og og norsk sikkerhetsindustri. NSM har nesten ikke økt kapasiteten siste årene til tross for en eksplosiv vekst i trusselbildet, påpeker Husby.

– Men er det noen skal prioriteres så er det ikt og ikt-sikkerhet. Hvis du ikke har den så hjelper de ikke har kompetanse på de andre områdene, sa Husby.

Les hele saken i Computerworld (bak betalingsmur)