av Roar Thon

Statssekretær i Justis- og beredskapsdepartementet Gjermund Hagesæter uttalte i dag til Dagens Næringsliv at regjeringen er bekymret for at dataangrep holdes hemmelig. De ønsker en holdningsendring hos norske bedrifter. 

Nasjonal sikkerhetsmyndighet har på oppdrag fra Justis- og beredskapsdepartementet utarbeidet anbefalinger hvor hvordan offentlige og private virksomheter bør vurdere åpenhet om IKT-hendelser. Anbefalingene er laget i samarbeid med Direktoratet for forvaltning og IKT (Difi), Norsk senter for informasjonssikring (NorSIS), Politidirektoratet (POD) og Næringslivets sikkerhetsråd (NSR).

Mange vurderinger som bør gjøres

Det vil være mange hensyn som skal tas med i en virksomhets vurdering av hvorvidt de bør være åpne om hendelser de er/har vært utsatt for i det digitale rom. Likevel er NSMs klare anbefaling at åpenhet innenfor forsvarlige rammer vil ha stor samfunnsmessig nytte. Formålet med deling av informasjon om IKT-hendelser er å sette andre virksomheter og myndighetene i stand til å forebygge, avdekke og håndtere hendelser. Gjennom deling av informasjon legger virksomheten også til rette for selv å kunne motta bistand til håndtering av hendelsen. Deling av informasjon om hendelser tilrettelegger for læring og bedre forebygging, både i egen virksomhet og hos andre.

Nå betyr ikke åpenhet en automatikk i at virksomheter skal være åpne om alt, til alle. NSM har i sin anbefaling delt åpenhet inn i tre ulike kategorier.

  • Enkelte hendelser kan være underlagt en lovbestemt rapporteringsplikt, og åpenheten vil da bestå i at virksomheten rapporterer hendelsen til et eller flere myndighetsorganer. 
  • Åpenhet kan bestå av målrettet deling av informasjon med berørte aktører, og slik være en forutsetning for en god håndtering.
  • Åpenhet vil kunne omfatte en offentliggjøring av hendelsen for eksempel i media.

 Flere regelverk stiller krav til rapportering av IKT-hendelser. Dette gjelder for eksempel:

  • Rapportering til NSM om hendelser av betydning for rikets sikkerhet eller vitale nasjonale sikkerhetsinteresser, i henhold til sikkerhetsloven. 
  • Rapportering til Datatilsynet ved IKT-hendelser som har medført uautorisert utlevering av personopplysninger, i henhold til forskrift til personopplysningsloven.
  • Rapportering til ulike tilsynsmyndigheter, i henhold til regelverk innenfor den enkelte sektor.

 Stor samfunnsmessig nytte

Offentlighet om IKT-hendelser vil ha stor samfunnsmessig nytte. Gjennom proaktiv offentliggjøring synliggjøres behovet for god sikkerhet, og hva som faktisk skjer på internett. Dette vil bidra til økt sikkerhetsbevissthet både hos virksomhetene og i samfunnet. Større grad av offentlighet om hendelser vil også bidra til å vise at for eksempel dataangrep kan ramme alle virksomheter i offentlig og privat sektor, og således å avmystifisere dette. En stor grad av offentlighet rundt IKT-hendelser vil legge til rette for en åpenhetskultur og gjøre det enklere for andre virksomheter å informere om hendelser hos seg. Gjennom offentliggjøring blir det også lettere å oppnå aksept og forståelse for behovet for god informasjonssikkerhet i offentlige og private virksomheter og i samfunnet som helhet.

På den annen side må offentliggjøring av informasjon om IKT-hendelser praktiseres på en slik måte at taushetspliktbestemmelser ivaretas. De samfunnsmessige fordeler av offentliggjøring må også vurderes opp mot mulige negative konsekvenser, for eksempel om offentlighet kan utnyttes av trusselaktører til handlinger som kan ha store negative konsekvenser. Offentliggjøring bør heller ikke skje der dette kan være ødeleggende for en forsvarlig håndtering av saken.

Er virksomheten i tvil om hendelsen bør offentliggjøres eller ikke, kontakt ekspertmiljøer som for eksempel egen sektor CERT, NorCERT, Næringslivets sikkerhetsråd (NSR) eller NorSIS for å motta råd og veiledning

Du kan lese anbefalingene i sin helhet her.

Du kan også lese et tidligere blogginnlegg om åpenhet – "Kan dere ikke bare komme ut av skapet, vær så snill!"