Kan de internasjonale tech-gigantene ivareta vår nasjonale sikkerhet? Under Arendalsuka diskuterte eksperter hvordan vi best kan beskytte oss mot cybertrusler.
– Det handler om å ødelegge, skape kaos og forvirring. Det er ikke nytt at nasjonalstatlige aktører gjør det, men det er nytt at de er så aggressive i cyberdomenet.
Uttalelsen kommer fra salgssjef for offentlig sektor i Microsoft Norge, David Hansen. Sammen med Bjørn Tore Markussen, teknologi- og IKT-direktør i Forsvaret, og Svenn Richard Andersen fra Nasjonalt cybersikkerhetssenter NSM, er han på Arendalsuka for å belyse temaet.
Tietoevry arrangerte flere debatter på Aleppo Stasjon under Arendalsuka. Foto: TUM Studio
"Kan de internasjonale tech-gigantene ivareta vår nasjonale sikkerhet?" var tittelen på debatten Tietoevry Tech Services arrangerte på Aleppo Stasjon i Arendal. Dette var et av Tietoevrys åtte arrangementer i løpet av en hektisk uke.
Debattleder Sigrun Hansen Bock, Head of Cybersecurity i Tietoevry, poengterer at kriser og krig har skapt en økende bevissthet rundt digital sikkerhet. Risikoen for cyberangrep mot militære og sivile mål er en helt annen enn for få år siden. Spørsmålet er hvordan vi best kan beskytte oss.
Sikkerhetsloven fra 2018 har som mål å beskytte Norges nasjonale sikkerhetsinteresser, mens digitalsikkerhetsloven fra 2023 bygger på EUs NIS-direktiv og setter krav til digital sikkerhet for kritisk infrastruktur.
Men er lovverket tilstrekkelig? Og hvilken rolle skal private aktører spille i denne beskyttelsen?
Hansen i Microsoft understreker hvor stor utfordringen faktisk er:
– Vi ser daglig 30 milliarder forsøk på cyberangrep globalt, noe som setter enorme krav til oss som leverandør av skytjenester. Nasjonalstatlige aktører har blitt stadig mer aggressive i bruken av cyberangrep som et strategisk verktøy, og det er en risiko vi må ta på alvor, sier han.
Det finnes lover og regler for hvordan vi oppfører oss i krig, men ikke i cyberkrig. -David Hansen, Microsoft
Hansen påpeker at innsiderisiko fortsatt er en av de største truslene mot digital sikkerhet.
– Ofte er det ikke fiendtlige nasjoner, men våre egne ansatte, som – enten bevisst eller ubevisst – utgjør en risiko for virksomheten. Sikkerhetskulturen på arbeidsplassen må være en integrert del av det daglige arbeidet, ellers blir vi sårbare, advarer han.
Forsvaret har rundt 3000 teknologer og forvalter og drifter 700 informasjonssystemer.
– Vi fokuserer blant annet på de avanserte truslene med statlig backing. Hver dag er cyberforsvaret i defensive operasjoner for å beskytte oss mot disse, sier Bjørn Tore Markussen.
Bjørn Tore Markussen i Forsvaret. Foto: TUM Studio
Han trekker også fram forsøkene fra spesielt Russland og Kina på å skaffe seg tilgang på norsk teknologi med formål å styrke eget militærvesen. Det er en pågående kamp for å verne om våre teknologiske hemmeligheter.
For å stoppe disse truslene er vi avhengig av å samarbeide med nasjonale partnere, og med andre nasjoner. -Bjørn Tore Markussen, Forsvaret
Markussen påpeker hvor kritisk det er at hele verdikjeden – både digitale og fysiske leverandører – fungerer sømløst sammen.
– Vi har et ansvar for å bygge tillit og transparens, både internt i Forsvaret og med våre partnere. Tidlig i høst starter vi to helt sentrale forprosjekter: det ene er en modernisering av vår digitale grunnmur med Forsvarets sikre plattformer, det andre en modernisering av vår ERP-løsning. Vi kommer til å jobbe sammen med alle de store skyleverandørene for å få dette til å fly, sier han.
Svenn Richard Andersen fra NSM forteller at de globale kostnadene knyttet til cyberangrep i 2024 estimeres til svimlende 100.000 milliarder kroner.
– Dette betyr at det er dyrt å forsvare seg, og at stadig flere ser muligheten for å tjene penger på cyberangrep. Cybersikkerhet handler ikke bare om statssikkerhet, men også om økonomisk sikkerhet.
Hansen i Microsoft tar til orde for en klarere regulering på digitaliseringsområdet. Men også at man må være en bevisst kunde i møte med skyleverandørene.
Vi har kunder som er blant dem med de tydeligste reglene for hva de ikke kan ha i sky, som samtidig er de beste til å bruke skytjenester. De som ikke har like klare regler er gjerne de dårligste. -Sigrun Hansen Bock, Tietoevry Tech Services
Andersen mener at jusen og reguleringene alltid vil ligge etter, og at hver enkelt virksomhet må gjøre selvstendige vurderinger.
– Du kan ikke regulere deg bort fra risikoen. Spørsmålet er hva som er riktig grad av beskyttelse. Vi som myndigheter må komme med råd og veiledning også der regelverket ikke gir entydige svar, fortsetter han.
Sigrun Hansen Bock i Tietoevry Tech Services, Microsofts David Hansen, Forsvarets Bjørn Tore Markussen i bakgrunnen. Foto: TUM Studio
Markussen mener samarbeid, gjensidig forståelse og kunnskap er avgjørende. Han har nylig møtt både Microsoft, Oracle, Amazon og Google for å se hvordan deres løsninger fungerer på ulike områder.
– Det er helt åpenbart at skyleverandørene, med det som skjer nå rundt zero trust, kryptering og high assurance computing, vil gi oss fortrinn som vi er nødt til å være med på.
Det er viktig at dialogen mellom oss og Microsoft, mellom oss og Forsvaret, eller mellom oss og de små og mellomstore bedriftene er slik at vi kan gjøre grensedragninger der det trengs, sier Andersen fra Nasjonalt cybersikkerhetssenter NSM.
Hansen mener at det ikke går an å vente på nye lover og reguleringer når ting er uklart.
– Det å ikke ta beslutninger på dette området er også å ta en beslutning, og det er den som gjør deg sårbar. Alle virksomhetene som har hatt problemer av betydelig art i det siste, har en fellesnevner: De har forsøkt å klare det alene med lokale kapasiteter.
Han understreker at det finnes skytjenester man kan ta i bruk selv om man er underlagt sikkerhetsloven eller annen særlovgivning.
– Vi har altfor mange virksomheter som har en stor avstand mellom hvor de ønsker å være og hvor de faktisk er. Departementene i Norge fikk eposten sin i sky i fjor sommer, i politiet har de det ikke ennå. Og så er det mye mer enn eposten det gjelder. Avstanden fra å ville til å gjøre må ned.
Debatten styrer inn på behovet for en egen nasjonal sky. NSMs anbefaling til Justis- og beredskapsdepartementet i fjor høst var en kombinert løsning: Å etablere en nasjonal skytjeneste på norsk jord, underlagt norsk jurisdiksjon, og en skyløsning levert av et fåtall kommersielle virksomheter som skal eie, levere, videreutvikle og drifte disse tjenestene.
12.-16. august forvandlet mer enn 2000 arrangementer og et samlet publikum på rundt 120.000 mennesker Arendal til en sydende arena for meningsutveksling innen politikk, samfunns- og næringsliv. I år var det særlig stor interesse for KI og sikkerhet. Foto: TUM Studio
– Det er fullt mulig å bygge en egen sky i Norge, men det er ikke nødvendigvis det beste alternativet. Spørsmålet er hvordan man vurderer behovet for at noe er underlagt enda sterkere grad av nasjonal kontroll enn det de kommersielle skyleverandørene kan tilby, sier Andersen.
Markussen ønsker en nasjonal sky velkommen:
Vi må spre eggene i flere kurver, en av disse kan være en nasjonal sky. Samtidig ser vi behovet for internasjonale standarder og rammeverk.
For Andersen er det viktig at fokuset ikke bare rettes mot de aller spisseste løsningene i Forsvaret.
– Spørsmålet er hvordan vi fra myndighetshold kan bidra til å løfte sikkerheten for alle de andre også, de som uansett kommer til å kjøpe rent kommersielle løsninger.
Hansen etterlyser på sin side en klarere målsetning fra de ulike virksomhetene:
– Jobben må gjøres, og teknologien Microsoft har tilgjengelig er skalert for å ta høyde for de mest alvorlige sikkerhetstruslene vi kjenner. Den er robust og tilpasningsdyktig. Og jeg tror at Norge som andre land vil se at vi kan lage systemer som dekker autonome operasjonelle behov til å fungere uavhengig av et ragnarok.
Markussen vil ha fart på arbeidet med å styrke cybersikkerheten i alle sektorer.
– Med alt som skjer rundt oss nå, er det et 'push for urgency'. Og det er ikke bare krigen i Ukraina som setter totalforsvar på agendaen igjen. Innovasjonstakten er Ukrainas viktigste våpen i krigføringen. Det haster også for oss i Norge å få opp innovasjonstakten.
Sigrun Hansen Bock opplever at Tietoevrys kunder stiller ulike krav basert på varierende tolkninger av sikkerhetskrav i nye reguleringer.
– I stedet for å diskutere hvor strengt lovverket er, mener jeg at vi heller må snakke mer sammen om hvorfor vi må bygge et effektivt digitalt forsvar. Da kan sikkerhetstiltakene bli mer målrettede for virksomheter som ikke har jobbet direkte med statssikkerhet tidligere, sier hun.
Innhold publisert av: Digi.no