IKT-hendelser kan ramme hardt i verdens mest digitaliserte land

Norge er verdens mest digitaliserte land. Det gjør oss også sårbare. Foto: Lise Åserud / NTB scanpix

Norge er så gjennomdigitalisert at det gjør oss særlig sårbare for cyberkriminalitet og IKT-uhell, viser en ny rapport fra Nasjonal sikkerhetsmyndighet (NSM).

Nasjonal sikkerhetsmyndighet (NSM) advarer om at Norges sårbarhet øker i takt med at landet blir stadig mer gjennomdigitalisert.

Torsdag la de fram rapporten «Helhetlig IKT-risikobilde» under åpningen av Nasjonal sikkerhetsmåned på Hotel Continental i Oslo.

Ifølge det finske forskningsprogrammet Etlatieto er Norge nå det mest digitaliserte landet i verden.

– Mobile enheter, tjenesteutsetting og internasjonalisering knytter et flyktig, flerdimensjonalt, internasjonalt og dermed uoversiktlig nett av sårbarheter til produksjon av mange tjenester. NSM vurderer at denne utviklingen, der «alt henger sammen med alt», utgjør en strukturell samfunnsmessig sårbarhet, sier assisterende direktør Annette Tjaberg i NSM.

Forventer forverring

Rapporten viser til hvordan 63.000 norske Telia-abonnementer sommeren 2016 mistet nettilgang på grunn av vedlikeholdsarbeid i Sverige, og hvordan rundt 800 flygninger og 75.000 passasjerer ble rammet i mai i år da British Airways mistet strømmen ved et lokalt nettsenter, noe som rammet selskapets backup-systemer.

NSM advarer om at uønskede hendelser i de digitale verdikjedene, uansett om det skyldes feil eller angrep, kan ramme samfunnet på alle nivåer og i ytterste konsekvens true samfunns- og statssikkerheten.

– Det vil være svært krevende å holde oversikt over sårbarheter gjennom hele verdikjeden. Når vi i tillegg ser at trusselaktørene utvikler sine metoder raskere enn vi utvikler og tar i bruk mottiltak, mener NSM at risikobildet forverres og forventer at samfunnskonsekvensene av IKT-hendelser vil øke, sier Tjaberg.

En ny trend innen cyberkriminalitet er at aktørene i større grad retter sine angrep mot underleverandører for å få tak i deres kunders data, pekes det på i rapporten

Risiko ved tjenesteutsetting

Den økende trenden med å tjenesteutsette IKT-tjenester blant offentlige og private virksomheter de siste årene, øker også risikoen, fordi det gir enda mindre kontroll over verdikjedene.

NSM fraråder likevel ikke bruk av tjenesteutsetting, men understreker at det krever god risikovurdering og høy bestillerkompetanse. I rapporten vises det til flere saker hvor det har vært mangelfull risikovurdering ved tjenesteutsetting:

I mai i år avdekket NRK at IKT-arbeidere i Asia og Øst-Europa har hatt tilgang til datasystemet til Helse sør-øst. Det førte til at lederen for en av helseforetakets underselskaper trakk seg fra stillingen og det kom krav fra flere hold om at øverste leder for helseforetaket, Cathrine Lofthus, måtte gå av. I Sverige måtte generaldirektør Maria Ågren i Transportstyrelsen gå av etter at det ble kjent at teknisk personell uten sikkerhetsklarering i en rekke østeuropeiske land hadde tilgang til Transportstyrelsens registre, inkludert førerkortregistrert og to av politiets hemmelige nettverk, samt at personell i Serbia kunne følge trafikk mellom Transportstyrelsen og 34 svenske myndigheter gjennom et ekstra sikret myndighetsnettverk.

NSM advarer også i rapporten om at det i Norge utdannes for få personer innen IKT-sikkerhet og at dette kan utgjøre en nasjonal sårbarhet fremover.