Abelia

Innhold

Det enkle er ikke alltid det beste

#205

Direktør med ansvar for digitalisering og fornying, Christine Korme. Foto: Esben Johansen.

IT-sikkerhet kan ikke reduseres til et ja eller nei til outsourcing. Det er en forenkling som kan få alvorlige konsekvenser.

Økt digitalisering er nødvendig for økt produktivitet, styrket konkurranseevne og en effektiv offentlig sektor som yter gode velferdstjenester. Dersom vi tror at norske IT-løsninger og norske ansatte er de eneste trygge, risikerer vi en digital nedkjølingseffekt – rett og slett fordi vi er avhengige av andre lands IT-eksport for å få de norske IT-hjulene til å gå rundt.

Norsk IT-næring er i verdensklasse, men vi kan ikke være selvforsynte på dette området. IT er en internasjonal bransje der noen land og selskaper er bedre innen enkelte områder enn andre. På samme måte som vi ønsker å eksportere IT-løsninger på områder der Norge er i verdenstoppen, må vi importere løsninger når andre lager dem bedre. Vi kan ikke være best på alt.

Løsningen på usikre IT-prosjekter er ikke å holde utenlandske aktører ute eller drive all utvikling i offentlig regi. Svaret er å gjøre prosjektene sikrere. Vi har klart å implementere og ivareta strenge krav til sikkerhet i internasjonale bransjer før, enten det er olje, shipping eller flytransport. Nå må vi gjøre det samme innen IT.

Strenge krav til IT-sikkerhet krever først og fremst økt kompetanse hos beslutningstakere. En rekke utvalg og utredninger har påpekt at Norge har en mangel på IT-kompetanse generelt og på sikkerhetskompetanse spesielt. Denne mangelen får konsekvenser ved kontraktsinngåelser og gjennomføring av IT-prosjekter som involverer sensitive data. Derfor bør IT-sikkerhet bli obligatorisk på alle IT studier, noe det ikke er ved et flertall av landets institusjoner. I tillegg trengs flere studieplasser, master- og doktorgrader i IT-sikkerhet.

Sikkerhetskunnskap er mangelvare i både private og offentlige ledergrupper. Når uvedkommende får uautorisert tilgang til sensitive opplysninger, slik vi har sett flere ganger i sommer, ligger ikke hovedansvaret på de IT-ansatte. Feil kan skyldes en rekke årsaker, og kanskje kunne en del av dem vært unngått dersom oppdragsgiver hadde riktig kompetanse eller sikret seg bedre.

Det blir uansett galt når man gir utenlandske IT-ansatte ansvaret for sikkerhetsbristen, og deretter straffer og stigmatiserer dem enda en gang ved å kreve at det kun skal være norske IT-ansatte som skal håndtere norske sensitive data. Det er en feilslutning å tro at alle norske IT-løsninger er sikre, mens alle utenlandske ikke er det.

IT-sikkerhet handler ikke om nasjonaliteten i passet. Det handler om å beskytte sensitive data fra "uvedkommende", ikke "utlendinger". Det handler om å ha stilt krav til, og ha kontroll over, hvilke personer som har tilgang til hva, hvor og når og hvordan det kan dokumenteres.

Mangel på kunnskap om IT-sikkerhet i kombinasjon med en redsel for utenlandske selskaper og arbeidere kan gi en vegring mot å ta i bruk internasjonale innovative løsninger fordi "noe kan skje". Det er en digital fremmedfrykt Norge ikke har råd til.

Denne kommentaren sto på trykk i Finansavisen 7. august 2017

Lurer du på noe? Kontakt meg gjerne:

Fant du det du lette etter?

Fant du det du lette etter?

Gi oss gjerne en kommentar i tillegg - hvordan kan vi forbedre oss? Du er anonym med mindre du oppgir din e-postadresse slik at vi kan kontakte deg.

Takk for kommentaren!

Kommentar sendt

Hei!

Vil du få vårt ukentlige nyhetsbrev på e-post?

Takk for påmeldingen!

Din e-post:

 

Meld deg på 1 nyhetsbrev: