Abelia

Innhold

Digital fremmedfrykt

#205

Vi må lære oss forskjellen på "uvedkommende" og "utlendinger", skriver Christine Korme i denne kommentaren.

Det siste året har det vært flere saker hvor utenlandske arbeidstakere har hatt tilgang til sensitive data om nordmenn og norske selskaper gjennom IT-kontrakter. Blant annet har 110 IT-ansatte i Asia og Øst-Europa hatt tilgang til sensitive helseopplysninger fra 2,8 millioner nordmenn i Helse Sør-Øst, mens indiske IT-ansatte hadde tilgang til nødnettet i strid med sikkerhetsloven. I begge saker er det uklart om informasjonen er blitt misbrukt, men dette er uansett alvorlige saker som fortjener oppmerksomhet slik at vi kan unngå lignende hendelser i framtiden.

Nasjonalitet uvesentlig

Det er imidlertid en kortslutning å legge skylden for disse hendelsene på "utlendinger". IT-ansattes pass har forsvinnende lite å si for alvorligheten i disse sakene. Man kan ikke hevde at sikkerhetsbristen hadde vært noe mindre hvis det hadde vært norske IT-ansatte som hadde fått uautorisert tilgang til sensitive data. Det er på ingen måte slik at utlendinger har misbruk av data som en del av arbeidsinstruksen, mens nordmenn automatisk er lojale til Dovre faller.

Man kan muligens tvert imot hevde at det er mer alvorlig hvis det er nordmenn som får feilaktig tilgang til sensitive opplysninger, fordi de kan ha større innsikt i hva de skal lete etter og hvordan informasjon kan misbrukes.

NAV bekreftet i fjor at flere titalls personer hvert år blir anklaget for uregelmessig sjekking av personopplysninger. En undersøkelse utført av Næringslivets Sikkerhetsråd viser at 28 prosent av norske bedrifter har utro ansatte. Dette dreier seg om alt fra CV-juks, tyveri, lekking av informasjon og spionasje. Samtidig vet vi at under halvparten av norske bedrifter foretar en identitetsjekk ved ansettelse.

Mer sikkerhetskompetanse

Det finnes utro tjenere mange steder i samfunnet, og det i seg selv er god grunn for å ha større fokus på IT-sikkerhet. Når uvedkommende får uautorisert tilgang til sensitive opplysninger ligger imidlertid ikke hovedansvaret på de IT-ansatte. Feil kan skyldes en rekke årsaker, og kanskje kunne en del av dem vært unngått dersom oppdragsgiver hadde sikret seg bedre. Det blir i alle fall galt når man nærmest gir utenlandske IT-ansatte ansvaret for sikkerhetsbristen, og deretter straffer og stigmatiserer dem enda en gang ved å kreve at det kun skal være norske IT-ansatte som skal håndtere norske sensitive data i fremtiden.

IT-sikkerhet handler ikke om passet til IT-ansatte. Det handler om å beskytte sensitive data fra "uvedkommende" med dårlige hensikter, og ikke "utlendinger". I tillegg handler det om økt satsing på sikkerhetskompetanse i et samfunn som blir stadig mer digitalisert.

Obligatorisk

De siste par årene har det kommet en rekke meldinger og rapporter som berører IT-sikkerhet: Digitalt sårbarhetsutvalg, Sikkerhetsutvalget, Datakrimstrategien og Samfunnssikkerhetsmeldingen. Samtlige fremhever mangel på IT-kompetanse generelt og IT-sikkerhetskompetanse spesielt. IT-sikkerhet er fortsatt kun valgfag ved de fleste institusjoner som underviser i IT-fag. Det burde være obligatorisk for alle som studerer teknologi. I dag mangler både politi, helsevesen og det private næringsliv nødvendig sikkerhetskompetanse. Mye tyder på at det får konsekvenser ved kontraktsinngåelser og gjennomføring av IT-prosjekter som involverer sensitive data. Vi trenger derfor langt flere med IT-sikkerhetskompetanse her i landet, ikke minst hos virksomheter som håndterer sensitive data.

Det er mangelen på denne kompetansen som gjør Norge mer sårbart. Ikke nasjonaliteten i passet til IT-ansatte som utfører prosjektene.

(Denne kommentaren er tidligere publisert i Dagens Næringsliv)

Lurer du på noe? Kontakt meg gjerne:

Fant du det du lette etter?

Fant du det du lette etter?

Gi oss gjerne en kommentar i tillegg - hvordan kan vi forbedre oss? Du er anonym med mindre du oppgir din e-postadresse slik at vi kan kontakte deg.

Takk for kommentaren!

Kommentar sendt

Hei!

Hei!

Vil du få vårt ukentlige nyhetsbrev på e-post?

Avmeldingen er mottatt!

Din e-post:

 

Meld deg på 1 nyhetsbrev: