Den nye digitalsikkerhetsloven er nå ute på høring. Loven pålegger samfunnskritiske aktører å ta større ansvar for cybersikkerhet og være bedre rustet mot cyberangrep. Noen vil kanskje si at de burde tatt dette ansvaret for lenge siden. Nå tvinges de til det, og det gjenstår å se om dette faktisk vil gi de ønskede resultatene eller om det bare vil føre til en overfladisk etterlevelse av kravene.
Den nye digitalsikkerhetsloven er tydeligere og mer konkret enn tidligere sikkerhetsforskrifter. Mens den gamle sikkerhetsloven ble kritisert for å være ullen – med utydelige krav om "tilstrekkelige tiltak" uten å definere hva det innebærer – setter den nye loven konkrete krav. Dette inkluderer blant annet krav til multifaktorautentisering, risikovurdering og konkrete hendelseshåndteringsplaner.
Loven er et nødvendig tillegg for å få bedrifter til å ta cybersikkerhet på alvor. Likevel bekymrer det meg at det i høringsutkastet ikke er noen pålegg om at virksomheter må gjøre vurderinger av hvilken risiko de kan akseptere. Departementet anerkjenner at det er fornuftig at tilbydere har en oversikt over kriterier for risikoaksept og hvilke tiltak som iverksettes for å redusere risikoen til et akseptabelt nivå, men mener samtidig at dette kan være unødvendig byrdefullt for virksomhetene.
Hvordan i all verden skal virksomheter kunne vite hva som er tilstrekkelige tiltak dersom de ikke har et bevisst forhold til hvilken risiko de kan akseptere? Dette er etter min mening en grunnleggende svakhet i lovverket. Vi må kunne forvente at ledere som forvalter samfunnskritiske tjenester tar ansvar for forsyningssikkerheten.
Vi fikk nylig et godt eksempel på hvor galt det kan gå da tekniske problemer hos Telenor gjorde at nødnumrene ikke virket. Selv om det viste seg at problemene oppsto på grunn av vedlikehold, ikke cyberangrep, burde det være en vekker for alle. Driftsavbrudd kan få store konsekvenser, i verste fall tap av menneskeliv. Det burde være motivasjon i seg selv til å gjøre alt man kan for å unngå det.
Rapportering av sikkerhetshendelser er en sentral del av den nye loven. Virksomheter vil være forpliktet til å gi grundige rapporter om hendelser fortløpende, slik at erfaringer kan deles og alle kan lære av hverandre.
Alt for mange sikkerhetshendelser blir holdt hemmelig fordi det er noe skamfullt med å innrømme at man har blitt utsatt for cyberangrep. Forhåpentligvis vil denne holdningen endres med den nye loven, slik at vi ser at erfaringsutveksling gjør at vi alle kan være bedre forberedt.
De fleste tar på seg bilbelte når de setter seg inn i en bil, uten at de nødvendigvis har opplevd en bilulykke før. Det går på automatikk selv om vi aldri forventer at en ulykke skal skje denne gangen heller. Til sammenligning kreves det som oftest et vellykket hackerangrep før bedrifter ser behovet for en godt gjennomarbeidet responsplan.
Det virker som de fleste håper på det beste snarere enn å forvente det verste. Hvis alle bedrifter hadde vært forberedt fra starten med en gjennomtenkt hendelseshåndteringsplan, kunne mange samfunnsmessige konsekvenser ha blitt unngått. Hvorfor må det så ofte en katastrofe til før folk tar trusselen på alvor?
Å lage en god responsplan krever litt arbeid, men gevinsten av å stille forberedt når katastrofen skjer er enorm. Du kan lese mer om hvordan en responsplan utarbeides her.
Særlig er det viktig at loven stiller krav til operasjonell teknologi (OT). Altfor lenge har cybersikkerhetsbudsjettene gått til IT, mens OT – de fysiske systemene som styrer produksjonsprosesser – har blitt oversett. Dette til tross for at OT utgjør kjernen i mange samfunnskritiske funksjoner.
Visste du at for produksjonsbedrifter går i gjennomsnitt kun 5 % av budsjettet for cyber-sikkerhet til OT mens 95% går til IT? Det er et alvorlig problem at mange selskaper ikke engang har et cybersikkerhetsbudsjett for OT. Dette vitner om en urovekkende mangel på forståelse for egen risiko, en holdning som er farlig når det gjelder samfunnskritiske funksjoner.
Les også: Sikkerhet og overvåking i produksjonsnettverket gir mindre produksjonsstans
Noen hevder at kravene i den nye loven er altfor strenge, men realiteten er at vi trenger dem. Riksrevisjonen har pekt på at det er skremmende lett å få tilgang til informasjon og data fra samfunnskritiske aktører. Kritisk infrastruktur skal beskytte mennesker – og vi har allerede sett tilfeller der ransomware-angrep har ført til dødsfall. Likevel sitter man igjen med spørsmålet: Er det nok å pålegge krav uten samtidig å bygge kompetanse og forståelse i hele organisasjonen?
Strengere krav er bare en del av løsningen, og uten en forståelse for hvorfor disse kravene eksisterer, er det fare for at aktørene kun gjør det minimale for å unngå bøter. Ansatte er en av de største sårbarhetene i bedrifter, og de fleste cyberangrep kommer inn den veien. Det er derfor avgjørende å bygge en sikkerhetskultur i hele bedriften.
Les også: Implementering av en kultur for cybersikkerhet i hele organisasjonen
Digitalsikkerhetsloven krever at hele samfunnet går sammen i en slags "tvungen dugnad". Dette er et ord som gir assosiasjoner til fellesskap og frivillighet, men i denne sammenhengen er det for mange langt ifra frivillig. Vi må erkjenne at vi alle har et ansvar, og at ingen bedrift er isolert fra samfunnsansvaret.
Forsikringsselskapene dekker kanskje tap av materielle verdier, men de dekker ikke samfunnskonsekvensene av at innbyggerne står uten vann eller mat. Det er derfor på sin plass at ledelse og styrer med den nye loven stilles til personlig ansvar for å imøtekomme kravene, og ikke lenger kan lene seg på cyberforsikring.
Les også: NIS2 – Det holder ikke lenger med en cyberforsikring
Til syvende og sist handler dette om ansvar. Digitalsikkerhetsloven er et verktøy for å sørge for at kritisk infrastruktur og samfunnsfunksjoner forblir operative, selv når de møter de stadig økende cybertruslene. Men vil lovens krav i seg selv være nok til å oppnå reell motstandsdyktighet? Sammen, ved å øke bevisstheten, dele informasjon, og forberede oss på det verste, kan vi kanskje sikre at samfunnet ikke kollapser – men står stødig gjennom stormene. Men det krever mer enn bare lovpålagte tiltak; det krever en ekte vilje til å forstå, lære og tilpasse seg trusselbildet vi står overfor.