av Roar Thon

I dag har jeg tjenestegjort i Nasjonal sikkerhetsmyndighet (NSM) i 16 år. Fra jeg møtte som yrkesoffiser 1 august i 2003 i det da åtte måneder «gamle» direktoratet NSM, frem til 2019 har det skjedd mye i Norge. Ikke minst på sikkerhetsfronten.

Det er ikke bestandig det oppleves slik. Mange av oss som arbeider med sikkerhet som fag kan kjenne på en sterk frustrasjon over at ting ikke er bra nok, ikke sikkert nok. Mange av oss har sikkert noen klare individuelle ønsker om den ene tingen som skulle vært fikset.

I frustrasjon over at vi enda ikke har fått til akkurat det vi ønsker oss mest er det lett å glemme at det stadig skjer positive ting. For det har faktisk skjedd en del på de 16 årene jeg har hatt det privilegium å arbeide sammen med høyt profesjonelle, faglig dyktige og motiverte sikkerhetskollegaer i og utenfor NSM.

Lavere trussel- og risiko?

Det har skjedd mye positivt på sikkerhetsfronten i løpet av 16 år. Større forståelse for behovet for å sikre seg. Økte rammer, mer ressurser og økt oppmerksomhet for sikkerhet i seg selv. Jeg har ikke et statistisk grunnlag for å hevde det, men påstår likevel at antall mennesker som nå arbeider med sikkerhet på fulltid i Norge har fordoblet seg flere ganger i løpet av 16 år.

Betyr det at totalsummen av digitale trusler og risiko er lavere enn for 16 år siden? På ingen måte. Dersom noen forventer at det skulle være tilfelle, glemmer de en vesentlig ting. Sikkerhet er ikke et statisk produkt, det er en kontinuerlig prosess som må tilpasses det til enhver endrede trussel- og risikobilde som gjelder for enkeltindividet, virksomheter og samfunnet.

Den teknologiske utviklingen, økt digitalisering, og en verden i stadig endring har gjort sitt til at det stadig dukker opp nye forhold som påvirker trussel- og risikobildet. Tilgang på informasjon har alltid vært historisk viktig og det bør heller ikke overraske oss at forskjellige krefter forsøker å skaffe seg så mye informasjon som mulig. Desto flere verdier som befinner seg i digital form, jo flere kjeltringer kommer etter verdiene med digitale verktøy. Det bør ikke overraske oss.

Sikrere teknologi, men…

Til tross for at man kanskje ikke skulle tro det når man leser aviser og andre medier, har teknologien også blitt sikrere. Det er betydelige positive sikkerhetsmessige forskjeller i operativ systemer og programvare fra 2003 versjoner til 2019. Men vi er på ingen måte i mål. Ny teknologi er sikrere, men introduserer også nye sårbarheter og konsekvenser vi kanskje ikke har tenkt på tidligere.

Fra motspillere til medspillere

Jeg syntes også å merke en endring i mentaliteten i selve sikkerhetsarbeidet. Vi har i større grad gått fra å være nei-folket. De som alltid setter foten ned og erklærer alle nye produkter og løsninger for galskap i sikkerhetsmessig forstand. Jeg opplever en viss positiv trend til at sikkerhet bidrar inn i en større helhet som faktisk er med på å skape verdier. Om vi enda ikke kan beskrives som ja-folket, så er vi nok mer på vei til å bli tja-folket som sier at dette må vi kunne få til på en eller annen måte.

Vi trenger mer sikkerhet i samfunnet, men vi må ikke glemme at vi trenger god sikkerhet. De to tingene er ikke nødvendigvis det samme.

Vi kan bli sikrere, men aldri helt sikker

Er det et ord jeg selv etter 16 år fortsatt irriterer meg over, så er det ordet sikker. Det er et ord som bidrar til en utfordring som vi fortsatt sliter med. Troen på at  er vi sikre. Eller at det bare er å kjøpe denne PC-en, kjøpe dette produktet eller gjøre dette tiltaket så er du sikker.

Dette handler om hvordan vi kommuniserer sikkerhet og jeg har selv sikkert brukt ordet sikkert en rekke ganger. Det eneste vi kan gjøre er å bli sikrere og vi kan trolig formidle det på en bedre måte.

Når noen spør meg om skytjenester er sikkert, så er jo det bokstavelige svaret NEI. Men det er jo selvsagt ikke det riktige svaret. Skytjenester kan for mange være sikrere enn hva de selv greier å få til i egen virksomhet. Skytjenester kan som med det meste annet, gjøres sikkert nok. Det sentrale spørsmålet er bare hva som er sikkert nok? Det finnes ikke et ensartet klart svar som passer for alle, selv om de grunnleggende sikkerhetstiltakene er viktig for alle. Men det som var sikkert nok i 2003 er ikke automatisk sikkert nok i 2019 og det som var sikkert nok 2019 vil ikke være det i 2035.

Hvor er vi 2035?

Apropos 2035. I løpet av den tiden kan det ha skjedd mye spennende på sikkerhetsfronten. Hvor langt har vi kommet med kunstig intelligens. Hvordan stort er Big Data blitt og blir det misbrukt? Hvor lange må passordene våre være? Er det slutt med kryptovirus og er det fortsatt mulig å gjennomføre CEO svindler i 2035?

Det er interessant å både drømme, tenke og forberede seg på fremtiden, men når det gjelder sikkerhet kan vi ikke ta pause i påvente av fremtiden. For her er det en ting jeg ikke ser en endring på siden 2003. Behovet for grunnsikring. Det er spennende å snakke om ting som kan skje i fremtiden, men enda viktigere er å hindre det som skjer akkurat nå.

Her er dessverre erfaringen at veldig mange har helt grunnleggende mangler i sine sikkerhetstiltak, mens istedenfor å endre den situasjonen, bruker ressurser på noe som er nytt og litt spennende, og som kanskje ikke medfører en stor risiko. Enda.  Dessverre er det den enkleste veien til målet som gjelder for de fleste trusselaktører. Mangel på elementær grunnsikring blir den raskeste veien inn.

Så har vi blitt noe sikrere med årene? På mange måter ja, på andre måter nei. Men jeg tror at noe av det viktigste er å erkjenne at sikkerhetsarbeidet aldri tar slutt og vi er i kontinuerlig endring. Det som fungerte i dag, fungerer ikke nødvendigvis i morgen. Derfor er det kanskje positivt at sikkerhetsfolk ikke er fornøyd med tingenes tilstand i dag og stadig streber etter bedre sikkerhet.

Så vi stanser ikke opp nå – vi fortsetter litt til.

For sikkerhets skyld.