Norge mangler nasjonale krav til datasikring

– Mange norske bedriftsledere undervurderer risikoen for hacking og gjør seg sårbare for angrep. Det trengs nasjonale cyberretningslinjer.

Det sier Sigurd Heier, direktør sikkerhet og beredskap hos den nordiske konsulentbedriften Rejlers. Heier er tidligere oberst i Hæren, og har blant annet vært prosjektleder for utvikling av Cyberretningslinjer for forsvarssektoren. I mange år var ledet han tjenesteleveransene av sikre samband og kommunikasjonsløsninger til Forsvaret.

I fjor avslørte norske myndigheter mer enn 22 000 dataangrep mot norske bedrifter og offentlige etater. Nasjonal sikkerhetsmyndighet (NSM) betegner økningen som urovekkende. Heier etterlyser nasjonale cyberretningslinjer for beskyttelse av cyberdomener i private og offentlige virksomheter. De bør omhandle sikkerhetskrav, nasjonale ambisjoner, rolleavklaring og ansvarsfordeling. Cyberdomenet i sin natur sektorovergripende, og må behandles som det.

– Vi er for blåøyde i forhold til trusselsituasjonene vi står overfor. Samfunnet vårt er bygd på en kultur av åpenhet og gjensidig tillit. Det gjenspeiler seg i våre bedrifter og samfunnsinstitusjoner. Dessverre er det stadig flere som vil utnytte den åpenheten til egen vinning, og det må vi gardere oss bedre mot enn vi gjør i dag, sier Heier.

Kontroll på egne data

Som et av verdens mest digitaliserte land er Norge, ifølge Heier, blitt mer sårbart for angrep. Data og bedriftshemmeligheter kan bli stjålet. Viktig infrastruktur som jernbane, telekom og strømforsyning kan rammes gjennom hacking. Heier er skeptisk til at stadig flere store offentlige og private foretak outsourcer IKT-tjenestene til utlandet for å spare kostnader.

– Det er en sikkerhetsmessig utfordring å gi slipp på kontrollen over egne data. Bedriftsledere bør stille seg følgende spørsmål; hvor ligger våre data, hvem har tilgang til dem og hvor godt beskyttet er de? Hvis svarene de får ikke er betryggende, bør de sikre seg bedre, sier Heier og legger til:

– Norge vil oppleve flere og mer alvorlige dataangrep på bedrifter og infrastruktur i årene som kommer. Det gjelder å være forberedt på det som kommer.

Sikrer Follobanen

Heier sier det sivile samfunn har mye å lære av Forsvaret når det gjelder tilnærmingen til sikkerhet og beredskap. I dag har Heier ansvar for beredskaps- og sikkerhetsarbeidet på Follobane-prosjektet, i Bane Nor. Den nye dobbeltsporede jernbaneforbindelsen Oslo-Ski er kostnadsberegnet til 26 milliarder kroner, og inkluderer en 20 kilometer lang tunnel, i tillegg til sidespor og stasjonsanlegg.

Som sikkerhetsansvarlig i et av norgeshistoriens største samferdselsprosjekter, jobber Heier for å overføre sikkerhetsrutiner fra det militære til det sivile liv.

– I dette prosjektet, med store anbudsprosesser, har det vært viktig å beskytte informasjon og hindre lekkasjer og industrispionasje. Vi opererte blant annet med lukkede datanettverk, uten Internettforbindelser for å unngå hacking. Dessuten har vi en streng adgangskontroll til våre anlegg. Rutinene kan virke strenge, og anbudskontorene har av enkelte blitt betegnet som ”Sigurds bunker”, men det har sin misjon, sier Heier.

Når anlegget en dag står ferdig, blir Follobanen en viktig del av jernbanenettet i Oslo-regionen. Da er det viktig å ha etablert gode sikkerhetsrutiner som gjør det vanskelig for utenforstående å ramme togtrafikken, for eksempel gjennom sabotasje eller hacking. 

– Vi jobber mye med den enkelte medarbeiders holdninger til sikkerhet og beredskap. Vi kan alle bli mer årvåkne og melde fra dersom vi oppdager noe unormalt eller mistenkelig på egen arbeidsplass. Mindre hendelser som ikke oppleves som truende, kan være små stikkoperasjoner som kun skal teste beredskapen vår, sier Heier.

Gir råd 

Heier leder en avdeling i Rejlers som har spesialisert seg på å rådgi ledere om sikkerhetsrutiner. De utfører sårbarhetsanalyser og foreslår tiltak for sikring av data og anlegg. Rejlers bistår dessuten med å få på plass beredskapsplaner og rutiner for krisehåndtering.

Hans avdeling samarbeider tett med de andre fagmiljøene i Rejlers-konsernet, blant annet innenfor elkraft, telekom og samferdsel. Heier opplever at bedriftsledere er blitt mer opptatt av cybersikkerhet. Han tror medieoppslag om cyberkriminalitet og advarsler fra norske sikkerhetsmyndigheter den siste tiden har hatt god effekt.

– Vi trenger mer oppmerksomhet rundt dette. Kunnskap om sikkerhet og en bedriftskultur som dyrker årvåkenhet i alle ledd, er viktige byggesteiner i arbeidet med å trygge våre felles verdier, sier Heier.

Foto: Carl-Frederic Salicath