Hva gjør vi med datasikkerheten?

Informasjon fra offentlig sektor er interessant for utenforstående som ikke har gode hensikter.

NRK kunne i august fortelle om datainnbrudd ved Norges Handelshøyskole (NHH). E-postadresser og passord var kompromittert. NHH hadde ikke passet på å oppgradere sine systemer.

Trolig hadde skolen hatt fokus et annet sted: på GDPR (EUs personvernforordning). For skolen sendte ikke beskjed til tidligere studenter om at deres gamle konto og passord var kommet i hackernes hender.

Kanskje var e-post og kontaktinformasjon slettet i tråd med personvernregler?

Eksempelet viser to ting: data og informasjon fra offentlig sektor er interessant for utenforstående som ikke har gode hensikter, og et regelverk som GDPR er ikke nok til å skape datasikkerhet.

Les også: PST har startet etterforskning av IT-angrepet mot Stortinget

Fanger den offentlige debatten om datasikkerhet opp de viktige problemstillingene? Eller er vi mest opptatt av GDPR, mens hackere løfter ut viktig informasjon fra offentlige virksomheter gjennom bakdøren?

I et prosjekt gjennomført for Norsk Tjenestemannslag (NTL) og Fagforbundet har Fafo sett på hva et utvalg statlige virksomheter og kommuner tenker om skytjenester, innkjøp og kompetanse. Velger de å kjøpe skytjenester, å drifte egne data selv eller å dele på oppgavene i et offentlig samarbeid?

Et sentralt spørsmål er hvilken kompetanse vi faktisk trenger i offentlig sektor og hva den skal brukes til.

Regjeringen har gjennom flere år lagt til rette for at offentlig sektor skal ta i bruk skytjenester der dette er tilgjengelig på markedet. «Det offentlige skal i utgangspunktet ikke gjøre selv det som markedet kan gjøre bedre og mer effektivt», heter det i Digitaliseringsrundskrivet. Samtidig legger regjeringen til rette for en samordning av IKT-tjenester og infrastruktur i det offentlige.

Les også: Nye Veier registrerer mobilen din langs veien – Datatilsynet er bekymret

Arbeidet med E-helse er ett eksempel. Vi kan kalle det en blandingspolitikk: litt marked og litt sentralisering. Markedet for skytjenester domineres i dag av amerikanske internasjonale selskaper.

De leverer supre tjenester og vi lar dem ta hånd om offentlige data så lenge de oppfyller krav i GDPR.

De statlige virksomhetene og kommunene vi snakket med pekte på flere utviklingstrekk de må forholde seg til når de skal planlegge den framtidige IKT-driften.

1) IKT levert som skytjenester er framtidens driftsmåte. Foreløpig gjør pris, individuell tilpasning av tjenesten og risiko for å bli låst til én leverandør, at offentlige virksomheter holder igjen.

2) Data fra kjerneaktiviteten i virksomheten er verdifull og må forvaltes på en sikker måte. Dataene kan ikke uten videre legges ut i en allmenn skytjeneste.

3) For offentlige virksomheter er det avgjørende å ha kompetanse på digital drift av kjernevirksomheten, samt innkjøpskompetanse der man velger å kjøpe tjenester.

I Tyskland tenker man annerledes. Der har Forbundsdagen bestemt at staten skal bygge sin egen skytjeneste – die Bundescloud.

Tyske myndigheter mener private skytjenester ikke garanterer god nok sikkerhet og frykter tysk avhengighet av store internasjonale selskaper eller fremmede makter. En egen skytjeneste skal gi Tyskland digital autonomi.

Les også: Skeptisk til skjerm i matpausar på skolen: – Vi sit for mykje stille. Det er eit folkehelseproblem

Er digital autonomi mulig? USAs handelskrig og rivalisering med Kina har lært oss at bruk av elektronisk utstyr kan ha sikkerhetspolitiske implikasjoner.

Amerikanske tiltak mot Huawei er et eksempel. Da Washington Post i februar i år avslørte at amerikansk og tysk etterretning hadde brukt sveitsisk krypteringsutstyr til å spionere på andre stater, kunne Nasjonal sikkerhetsmyndighet fortelle Dagens Næringsliv (15/2) at myndighetene i Norge ikke har villet gå utenlands for å kjøpe kryptoutstyr.

«Vi har hatt fokus på nasjonal kontroll av krypto helt siden vi fikk denne industrien oppe og gå i Norge på 1950-tallet».

Hvorfor tenker vi ikke slik når det gjelder offentlige data i dag? Offentlige virksomheter ser at eierskap til data og kompetanse til å håndtere og bruke data har enorm verdi. Trolig er data nøkkelen både til nasjonal sikkerhet og framtidig økonomisk vekst og utvikling.

Dersom vi i Norge ikke tar del i datahåndteringen vil vi heller ikke lære. Sitter vi i dag med nesen i GDPR og glemmer å heve blikket mot den digitale framtiden?

PS! Du leser nå en åpen artikkel. For å få tilgang til alt innhold fra Dagsavisen, se våre abonnementstilbud her.