Aktuelt

Som en sil

En svensk datalekkasje minner om tidligere saker her til lands. Terje Wold, KPMGs direktør for cybersikkerhet, er sikker på det finnes flere.

Av Sigve Indregard, journalist og Katinka Hustad, fotograf

---

Dette er saken

---

– I Sverige raser en IT-skandale, etter at det har lekket data ut av landet. Hva har skjedd?

– Transportstyrelsen har, som mange andre, satt ut driften av sine tjenester, i dette tilfellet til IBM. IBM har deretter satt ut selve driften til lavkostland i Øst-Europa . So far so good. Men så er det avdekket at det er gitt dispensasjon til avvik fra viktige lover og regler, for å kunne sette ut behandlingen av sensitiv og skjermingsverdig informasjon. Og så er det avdekket at personell som ikke skulle hatt tilgang, har fått det.

– Transportdata, det høres ikke akkurat ut som rikshemmeligheter. Hva er det som er så sensitivt?

– Det som er den store saken her, er informasjon om personer, bosteder og lignende. Det ble også rapportert om at de også hadde forsvarsinformasjon og personinformasjon om agenter, jagerfly og piloter, men Transportstyrelsen opplyser nå at de ikke hadde noen slike data. Men det er per nå ikke helt lett å vite nøyaktig hvilken informasjon som er kompromittert.

– Er dette en teknisk svikt eller en ledelsessvikt?

– Jeg jobber med det vi kaller cybersikkerhet i styrerommet, altså å plassere ansvaret i en organisasjon. Dette er ikke først og fremst et teknisk problem, men et lederproblem. Det var den tidligere direktøren, Maria Ågren, som signerte den ulovlige dispensasjonen. I de fleste tilfeller kan man tilskrive slike saker til dårlig planlegging og styring av informasjonssikkerhet fra ledersiden. Mange tenker seg at cybersikkerhet er et teknisk anliggende, som IT-sjefen skal ta seg av med brannmurer, antivirus og å skifte passord hver nittiende dag. Det er egentlig mer avgjørende med styring og ledelse av kultur, prosesser, avtaleinngåelser og leverandører.

– Statsminister Stefan Löfven kaller det et «havari». Et mistillitsforslag mot flere statsråder har nå flertall i Riksdagen. Det føles nesten nytt og forfriskende, at slike saker blir tatt på alvor?

– Det er ikke uventet, jeg har ventet på at det skulle skje. Vi har hatt saker i Norge som ligner, men man skal ikke mange år tilbake før cybersikkerhet ble behandlet som et rent teknisk anliggende. Det ble ikke så mye medieoppmerksomhet. Jeg vet ikke om jeg vil kalle det forfriskende, akkurat, men det er helt betimelig. Og ikke bare i denne saken; det finnes veldig mange virksomheter der ledelsen nå tar dette på alvor. I den årlige risikoanalysen fra Nasjonal sikkerhetsmyndighet skriver de igjen at det er et problem med manglende planlegging og styring av sikkerheten fra ledelsen i mange virksomheter.

– Så det finnes udetonerte bomber der ute?

Det er langt flere hendelser enn det man klarer å oppdage.

—   Terje Wold

– Ja, det er jeg helt sikker på. Vi vet fra undersøkelser, både internasjonalt og i Norge, at brudd på sikkerheten underrapporteres. I tillegg er det langt flere hendelser enn det man klarer å oppdage. Vi kan være ganske sikre på at vi bare ser toppen av et isfjell.

– I Norge har vi hatt saken om Helse Sør-Øst, som ikke hadde kontroll med hvem som hadde tilgang til pasientjournalene, og nødnett-saken, der tilfeldige indiske IT-arbeidere kunne stenge deler av nødnettet. Er disse sakene mindre alvorlig enn det som har kommet frem i Sverige, eller burde de blitt større også her hos oss?

– Det er vanskelig å rangere dem, men jeg synes alle disse er alvorlige. Det disse sakene har felles, er at de handler om at IT-medarbeidere i utlandet har hatt tilgang til systemer eller informasjon de ikke burde hatt tilgang til. Dette blir særlig viktig og alvorlig når det gjelder samfunnskritisk informasjon. Men digitalisering og sikkerhet kan komme til å bli et tema i valgkampen også. Jeg registrerte at Jonas Gahr Støre hadde et utspill.

– Burde vi slutte å sette ut tjenester?

– Det høres ekstra dramatisk ut når det er snakk om at utlendinger uten pass, sikkerhetsklarering og autorisering har hatt tilgang. Men virksomhetene kommer til å fortsette å sette ut tjenester. Det er heller ikke slik at systemene av seg selv blir sikrere bare fordi noen med et norsk pass drifter systemet i Norge. I disse sakene handler det om brudd på rutiner, lover og regler for hvem som skal ha tilgang. Det å sette ut tjenester er ikke et onde i seg selv, men det gjør det mer krevende å følge lover og regler for tilgang.

– Roar Thon i Nasjonal sikkerhetsmyndighet (NSM) sa til Klassekampen denne uken at han ønsker «nasjonal kontroll» med informasjonen. Men internett består jo fysisk av utenlandskproduserte, mystiske bokser vi ikke har kontroll på: Trafikken strømmer gjennom amerikanske rutere, mobilmastene er kinesiske, og alt styres med amerikansk programvare. Må vi bli helt Nord-Korea og nasjonalisere alt, om vi vil ha privatliv? Hvordan skal vi trekke grensen?

– Når NSM uttaler seg, skal man lytte. I IT-systemene er det lange verdikjeder, med mange leverandører fra mange land. Det går ikke an å flagge hjem, å flytte alt inn i en egen datahall og lukke det inne. Det kunne man for en generasjon siden, men ikke i dag. Men jeg ser Thons poeng om at vi trenger nasjonal styring og kontroll når tjenester skal settes ut. Det foreligger lover, regler og retningslinjer i dag, problemet er at de ikke følges. Også sikkerhetsloven, som er til revidering, vil stille strengere krav til nasjonal kontroll. Mindre oversikt gir mindre mulighet til å styre. Men det går ikke å holde all informasjonen i Norge.

Reglene krever at lederne har oversikt. Men med så mange leverandører og underleverandører og underunderleverandører, lar det seg egentlig gjøre? Eller lager vi oss en fiksjon om sikkerhet og styring?

– Deler av virksomhetene, innenfor for eksempel helse og transport, er fagsystemer som kan lukkes på egne nett og servere. Men alle disse virksomhetene er – og må være – på internett. Da er det viktig med styring. Det krever gode analyser av informasjonen og hvilke trusler og sårbarheter som den er utsatt for. Men jeg skjønner godt at mange bedrifter er overveldet. I tillegg til dette med drift handler cybersikkerhet også om hacking, spionasje og innbrudd.

– Jeg lærer barna mine at når noe finnes digitalt, et bilde, for eksempel, må man regne med at det blir lagret, gjenfunnet og spredt senere. Bør vi vurdere å analogisere for å holde data privat?

– Det hadde kanskje vært ønskelig, men den veien går det ikke. Myndighetene og bedriftene vil ha økt digitalisering. Vi omgir oss med teknologi, og vi elsker den. Det blir mer av den. Det vi i stedet må gjøre, er for det første å få leverandørene til å bygge sikkerhet inn i produktene. Så må lederne i bedriften – og foreldrene i familiene – bygge en god sikkerhetskultur. Barn må forstå hva internett er og hvilke risikoer som finnes. Lederne i bedrifter må bygge opp kompetanse og drive risikostyring. Kravene finnes allerede, men virksomhetene har ikke tatt det så alvorlig. Sikkerhet er blitt sett på som en hemsko og en brems. Vi må se på sikkerhet som en mulighet for innovasjon. Først når vi får kontroll på sikkerheten, kan vi virkelig digitalisere samfunnet.

– Og kanskje det hjelper litt at en slik sak skaper politisk krise?

– Det er klart, når en slik sak truer en regjering, får folk opp øynene for at dette er viktig. Når skaden først har skjedd, er det veldig bra at saken kommer ut i offentligheten, slik at andre kan lære av den. Vi klarer aldri å sikre oss ett hundre prosent, men vi kan redusere risikoen ved å gjennomsyre virksomhetene med en god sikkerhetskultur.

Les om de politiske sidene av den svenske skandalen: Löfvens vågale utvei.

Mer fra Aktuelt