Statsråd rigmor Aasruds tale til konferansen. Med forbehold
om endringer:
Først av alt; Takk for at jeg fikk lov til å komme hit, og honnør
til programkomitéen for å ha fått på plass et spennende, aktuelt og
bredt program.
Det er nå gått ni uker siden bomba eksploderte utenfor Høyblokka.
Det uvirkelige ble virkelig. Sammen med massakren på Utøya har
bombeangrepet på regjeringskvartalet preget en hel nasjon. Åtte
mistet livet i regjeringskvartalet. 69 ble skutt på Utøya. Som
nasjon er vi merket for alltid.
Midt i denne uvirkelige situasjonen var det mange som fikk
krevende oppgaver med å håndtere krisa både når det gjaldt folk,
bygninger og administrativt støtteapparat. Terroraksjonen førte også
til at regjeringens kriseråd ble innkalt. Det ble i denne sammenheng
iverksatt et omfattende arbeid med å innhente og systematisere
nødvendig informasjon slik at vi så raskt som mulig kunne få
oversikt over situasjonen.
Nå i ettertid har det slått meg hvor avhengige vi var
i forbindelse krisehåndteringen, både lokalt og nasjonalt, av de
elektroniske tjenestene og all den informasjonen som flyter rundt i
Internett-universet.
I forbindelse med krisehåndteringen var det å sikre stabilitet,
tilgjengelighet og kvalitet i regjeringskvartalets IKT-tjenester og
-ressurser en sentral oppgave. Umiddelbart etter eksplosjonen i
regjeringskvartalet foretok derfor IKT-ledelsen i Departementenes
servicesenter (DSS) en sjekk av om IKT-systemene fortsatt var oppe,
og om fjernaksessen fungerte som den skulle. Vi erfarte at de
dupliserte IKT-systemene så ut til å fungere som normalt, men at
IKT-driftssentralen i R4 – det regjeringsbygget som ligger nærmest
høyblokka – hadde skader. Omfanget av skadene i R4 førte til at DSS
besluttet straks å overføre styringen av IKT-driften i
regjeringskvartalet fra R4 til IKT-driftssentral nr. 2 på annen
lokasjon.
Departementene hadde stort behov for hjelp og bistad med IKT-tjenester de
påfølgende dagene etter hendelsen, og vi måtte oppbemannet
brukerassistansen for å kunne håndtere den økte etterspørselen.
Mange hadde behov for å komme inn på nettverkene via fjerntilgang og
serverparken i regjeringskvartalet ble derfor dimensjonert slik at
den kunne håndtere dette.
God informasjonsflyt ut til publikum var også et viktig element i
regjeringens krisehåndtering. DSS bidro i denne sammenheng med å
etablere en ordning for rask og direkte publisering av informasjon
på Regjeringen.no fra alternative lokasjoner.
En av erfaringene jeg sitter igjen med fra terroraksjonen 22.
juli er at betydningen av å ha tilgang til sikre og stabile
IKT-systemer ikke må undervurderes. Disse tjenestene er helt
avgjørende ��� som erfaringene fra terroraksjonen viste – for å få
tilgang til den nødvendige informasjon slik at de rette valgene kan
tas til rett tid i en kritisk situasjon. Heldigvis var det etablert
gode rutiner for krisehåndtering.
Vi erfarte at kriseplanlegging, beredskap og tekniske sikringer
er viktig. Men like viktig er det at ledelsen i virksomheten også
sørger for å bevisstgjøre og motivere de ansatte til å følge opp
gjeldende rutiner, regler og retningslinjer som bygger opp under god
IKT-sikkerhet. Klare ansvarslinjer, holdninger, etikk og en
organisasjonskultur som fremmer sikkerhet er også viktige. En
velfungerende hverdagssikkerhet er en grunnforutsetning for å kunne
håndtere mer alvorlige hendelser effektivt.
Hvem skal ta ansvar for informasjonssikkerheten i
samfunnet?
Samfunnet er avhengig av IKT og Internett.
Informasjonssikkerheten blir dermed en stadig viktigere faktor. Hvem
er det så som skal ta ansvar for informasjonssikkerheten i
samfunnet? Historisk har en av statens viktigste roller vært å sørge
for sikkerheten for sine innbyggere. Utbredelse av IKT og den
omfattende digitaliseringen av det norske samfunnet har skapt nye
utfordringer med hensyn til hvordan staten i praksis skal ivareta
sitt ansvar, og – ikke minst – hvordan vi tenker organiseringen av
samfunnssikkerheten generelt.
Misforstå meg ikke. Staten, og sikkerhetsmyndighetene, har
fortsatt det overordnede ansvaret for den nasjonale sikkerheten, men
for å kunne sikre innbyggerne på en god måte i dagens digitale
samfunn, har staten nå i enda større grad blitt mer avhengig av
innbyggernes egen hjelp.
Myndighetene bidrar til informasjonssikkerheten i samfunnet
gjennom blant annet utforming og håndheving av lover og forskrifter,
retningslinjer, tilsyn, og gjennom råd og veiledning. Men
vi forventer at organisasjoner, virksomheter og næringsliv bidrar
aktivt til sikkerhetsarbeidet gjennom å følge opp myndighetenes
krav. I tillegg må virksomhetene på eget initiativ satse på
veiledning, informasjons- og motivasjonsarbeid av egne ansatte. Folk
flest må også ta sin andel av ansvaret. De må bli mer bevisste sin
egen bruk av Internett, og ta initiativ for å beskytte sine PC-er,
mobiler og IPad-er, samt egne data.
Reviderte retningslinjer for informasjonssikkerhet
Samfunnet tar stadig ny teknologi i bruk. Samtidig avdekkes
det nye trusler og sårbarheter. Vi trenger derfor mer bevissthet om
informasjonssikkerhet i samfunnet generelt. Et slikt nødvendig løft
for informasjonssikkerheten er ikke en oppgave som regjeringen kan,
eller skal, ta alene. Her vil det kreves en kraftig innsats fra
mange forskjellige aktører. Jeg vil igjen minne om at
informasjonssikkerhet i det daglige først og fremst er et leder- og
virksomhetsansvar – både i privat og offentlig sektor.
I 2007 gav JD, FD, SD og FAD i felleskap ut Nasjonale
retningslinjer for å styrke informasjonssikkerheten. Formålet med
disse retningslinjene har vært å skape en felles forståelse for
hvilke utfordringer Norge som nasjon står overfor, samt å få
identifisert områder der det er behov for en ekstra innsats for å
styrke informasjonssikkerheten.
Målgruppen for retningslinjene har vært statlige myndigheter, men
oppfølgingen av retningslinjene er relevant også kommuner,
fylkeskommuner, næringsliv, private organisasjoner, husstander og
enkeltpersoner.
Retningslinjene omfattet perioden frem til 2010. Denne varigheten
er nå forlenget ut 2011, mens det pågår et revisjonsarbeid. Målet
med dette arbeidet er å identifisere og beskrive nye
sikkerhetsutfordringer og trender, og justere retningslinjene for å
ta hensyn til disse. De reviderte nasjonale retningslinjene skal
dekke hele spekteret fra grunnleggende IKT-sikkerhet til beskyttelse
av samfunnskritisk IKT-infrastruktur.
Retningslinjene skal holdes på et overordnet nivå. Vi planlegger
også å etablere en egen handlingsplan, basert på innspill fra
sektordepartementene, som mer konkret vil beskrive hvordan
retningslinjene skal følges opp.
Vi er opptatt av en helhetlig satsing på å styrke den nasjonale
informasjonssikkerheten. Vi er derfor blitt enige med
Justisdepartementet og Forsvarsdepartementet om å ikke fragmentere
dette arbeidet ved å utarbeide en egen cybersikkerhetsstrategi for
samfunnskritisk infrastruktur. Forslaget til en
cybersikkerhetstrategi – som noen av dere kanskje kjenner til – vil
i stedet inngå som en del av grunnlagsmaterialet til utformingen av
retningslinjene, spesielt innenfor behandlingen av spørsmål knyttet
til samfunnskritisk IKT-infrastruktur.
Jeg har registrert at det ved flere anledninger har det blitt
hevdet at det er for mange organer innen IKT-sikkerhet. I
forbindelse med revisjonen av retningslinjene skal vi derfor foreta
en gjennomgang av departementenes samordnings- og sektoransvar for
IKT-sikkerhet for å se om det er behov for å justere, eventuelt
presisere, nåværende ansvarsfordeling.
Revisjonsarbeidet skjer ikke som en lukket prosess. Jeg er
opptatt av at alle sentrale aktører i offentlig og privat sektor
skal få anledning til å komme med innspill på innretningen av, og
innholdet i, retningslinjene og hvilke innsatsområder som bør
prioriteres. Jeg oppfordrer derfor alle som er her i dag til å komme
med innspill til hvordan dere mener at den nasjonale
informasjonssikkerheten kan styrkes i årene som kommer.
Jeg ønsker dere lykke til med denne viktige konferansen og det
viktige arbeidet dere gjør.
Takk for oppmerksomheten!
