Av Bente Hoff, avdelingsdirektør for Nasjonalt cybersikkerhetssenter (NCSC) i Nasjonal sikkerhetsmyndighet. Innlegget stod på trykk i Finansavisen 1. februar.

Vi i Nasjonal sikkerhetsmyndighet leser med interesse teknologisjef Nils Ove Gamlems innlegg i Finansavisen 24. januar. Han gir uttrykk for at dersom man kun følger sikkerhetsrådene fra NSM, vil den generelle økningen i datainnbrudd ikke bare fortsette, men bli verre enn i fjor.

Vi tar gjerne en debatt om våre sikkerhetsråd, men Gamlem presenterer både uriktige og unyanserte påstander.

Gamlem skriver at NSM har for lite fokus på at avansert teknologi er nødvendig for å stanse avanserte cyberangrep. Vi er enige i at teknologi er en del av svaret. Modernisering av IT-porteføljen og bruk av ny teknologi til å skape motstandsdyktighet er nødvendige virkemidler.

Allikevel er det slik at vi, gjennom vårt arbeid med å avdekke og skadebegrense alvorlige dataangrep, ser at norske virksomheter som rammes, alt for ofte ikke har implementert grunnleggende sikkerhetstiltak. På samme måte som god håndhygiene er basisen for god folkehelse, kommer NSM også i fremtiden til å snakke om nødvendigheten av å ha det grunnleggende på plass.

Gamlem hevder også at våre fire sikkerhetsråd til virksomheter vil medføre «både flere og større sikkerhetsbrudd». Det stemmer at NSM i 2015 kom med fire effektive råd mot dataangrep. Disse rådene ble prioritert fra en liste med andre anbefalinger. Fire råd var egnet kommunikasjonsmessig for virksomheter/personer som var langt nede på modenhetsskalaen innen IKT-sikkerhet. Vi erfarer at mange virksomheter fortsatt har en lang vei å gå med å bedre egen sikkerhetstilstand. Da er elementære råd et godt startpunkt.

NSM har i alle år gitt ut mye mer enn fire råd. Vi kan nevne NSMs Grunnprinsipper for IKT-sikkerhet, utdypende anbefalinger om tjenesteutsetting, bruk av skytjenester, sikker e-post, passordråd, IKT- sikkerhet ved reise/ferie, løsepengevirus og phishing. Rådene er basert på mange års erfaring og observasjoner gjort av NSM og offentlige og private virksomheter i Norge og utland.

At «trusselbildet er mer avansert enn for flere år siden» er helt åpenbart korrekt, og noe vi beskriver i vår årlige rapport «Helhetlig digitalt risikobilde». At «god sikkerhet etableres i samspillet mellom mennesker, kompetanse, gode prosesser og rutiner for håndtering» stemmer godt med det vi skriver i en rekke publikasjoner. NSM har år etter år sagt, skrevet og forklart at IKT-sikkerhet må sees i sammenheng med øvrig virksomhetsstyring. Alt dette ligger åpent tilgjengelig på våre hjemmesider.

Teknologi og oppdaterte råd er med andre ord utvilsomt svært viktig i sikkerhetsarbeidet, og en del av andre nødvendige tiltak i arbeidet for bedre digital sikkerhet i vårt samfunn. Dette har vært, og kommer til å være, et fokusområde for NSM.