Sæterbø viser til hendelsene i Østersjøen de siste ukene, med avkuttede fiberkabler, som eksempel på situasjoner der data kan bli utilgjengelige. Dette er også en situasjon som Nasjonal sikkerhetsmyndighet (NSM) adresserte i sin temarapport om nasjonal kontroll av IKT-tjenester for et drøyt år siden. Deres konklusjon var at: «… suverenitet og politisk handlefrihet kan bli utfordret dersom norske virksomheter ikke forbedrer den nasjonale kontrollen av viktige norske IKT-tjenester.» (Nasjonal kontroll av IKT-tjenester.pdf (nsm.no))
– Det NSM viser til, er at det kan være mange fordeler med bruk av utenlandske skytjenester, men samtidig kan slik bruk gjøre at tjenestene er utilgjengelige i en kritisk situasjon, sier Sæterbø.
Høyere beredskap
I starten av året la Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet frem sine åpne trussel- og risikovurderinger. I NSMs rapport fremhever de at «… En trusselbasert «føre var»-tilnærming er avgjørende. Det innebærer å iverksette tiltak som beskytter oss, før skaden inntreffer.»
I rapporten fra 2023 var de også inne på at økt bruk av utenlandske skytjenester gir nye sårbarheter og økt risiko utover virksomhetens eget domene. I november i år kom også deres temarapport om «Anskaffelser av datasentertjenester», der de sammen med Nasjonal kommunikasjonsmyndighet (Nkom) gir en innføring i sikkerhet ved fysiske datasenteranskaffelser, og dekker temaer som sikkerhetsstyring, risikovurdering og sårbarheter i leveransekjeden. (Les rapporten her)
Datasentre er en viktig del av den digitale infrastrukturen i Norge. Det å ha kontroll over datasentrenes lokalisering, drift og sikkerhet er avgjørende for å beskytte sensitive eller samfunnskritiske data og tjenester.
Anskaffelse av datasentertjenester 2024, Nasjonal sikkerhetsmyndighet (NSM)
– Det er som NSM påpeker, to viktige sider ved det å ha nasjonal kontroll på viktige IKT-tjenester. Det ene, som har fått mye oppmerksomhet, er tilgang til data. Det å sikre at ikke uvedkommende får tilgang til for eksempel persondata eller annen kritisk informasjon. Men, et annet viktig aspekt som NSM også fremhever, er å sikre at data og tjenester fungerer i alle scenarioer, fra vanlig drift i fredstid, til kriser og væpnede konflikter. Hvis slike tjenester helt eller delvis leveres fra utlandet, eller helt eller delvis driftes fra utlandet, er tjenesten utenfor norsk kontroll. Da kan vi som samfunn være sårbare, og rett og slett miste tilgang til kritiske systemer, sier Sæterbø.
Mister oversikt over data som fraktes ut av landet
I Norge stilles det klare krav til personopplysninger som sendes ut av landet. I Personopplysningsloven heter det at: «Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene». I praksis betyr det at persondata kan overføres til land innenfor EU/EØS, siden disse landene baserer seg på samme regelverk som Norge. (Lov om behandling av personopplysninger (personopplysningsloven) – Lovdata)
– Dersom du eksempelvis bruker en tjeneste for beredskap og krisehåndtering som driftes i Norge, men med en leverandør som eies av et selskap som ikke er begrenset av EUs direktiver, vil det påvirke hvem som har tilgang på dine data. Det samme er tilfelle om du bruker en skylagringstjeneste som ikke er bundet av EUs direktiver. For lovgivningen i landet der skylagringstjenesten hører hjemme kan ha stor betydning for hvem som har tilgang på dine data. Da er det ikke sikkert at din virksomhet overholder regler for personvern og GDPR, selv om du har valgt det som i utgangspunktet er en norsk leverandør. Det er med andre ord viktig å ha oversikt over hvor data blir lagret, hvor data blir prosessert og hvor tjenester blir levert fra, sier Sæterbø
Trusselvurdering
Politiets Sikkerhetstjeneste (PST) sin nasjonale trusselvurdering trekker spesielt frem virksomheter knyttet til forsvar, beredskap, politikkutforming eller teknologi som særlig utsatt. (NTV-2023 (pst.no))
– Allerede før Russlands invasjon i Ukraina, i trusselvurderingen for 2020 pekte PST på at land som Kina, Russland og Iran er aktører som ønsker å vite mer om hvordan vi driver krisehåndtering i Norge. Hvis det viser seg at din skybaserte tjeneste ender opp med å ha denne type nasjonaliteter på eiersiden, kan det i verste fall få uheldige konsekvenser. I rapporten fra 2024 understreket de cybertrusselen ytterligere, og sa at «Norske virksomheter, organisasjoner og privatpersoner vil bli utsatt for cyber-operasjoner fra statlige aktører i 2024.»
Trusselen i cyberdomenet er dynamisk og i stadig utvikling
Nasjonal trusselvurdering 2024, Politiets Sikkerhetstjeneste (PST)
– I ytterste konsekvens kan informasjon fra ditt beredskaps og krisehåndteringssystem bli brukt sammen med andre data, og bidra til at fremmede makter kan finne strukturer og svakheter i norsk måte å håndtere sikkerhet og beredskap på, sier Sæterbø, som viser til at utfordringer med å få IKT-tjenester under nasjonal kontroll, ikke er en særnorsk problemstilling:
– Flere andre europeiske land har etablert, eller er i ferd med å etablere, egne nasjonale skytjenester, sier han.
F24 Nordics sin tilnærming
F24 Nordics drifter CIM fra sikre datasentre i Norge i henhold til anbefalinger fra Nasjonal Sikkerhetsmyndighet (NSM). Datasentrene CIM driftes fra er ISO-sertifiserte, geografisk separerte og vi eier selv infrastrukturen.
Aktuelle lenker:
PST: Nasjonal trusselvurdering 2024
NSM: Risiko 2024
NSM: Anskaffelser av datasentertjenester
Jan Terje Sæterbø
Jan Terje Sæterbø er sikkerhetsleder i F24 Nordics. Han har vært med på å designe løsninger for digital krisehåndtering helt fra slutten av 1990-tallet og har ledet implementeringen av slike løsninger for en rekke både nasjonale og internasjonale aktører. Han har bakgrunn fra forsvaret og har mange års erfaring fra IT-bransjen både som leder og prosjektleder. Han har en bachelorutdannelse i beredskap og krisehåndtering fra Høgskolen i Innlandet og en master i kriseledelse og beredskap fra Nord Universitet.
Gratis e-bøker
Synes du det er vanskelig å komme i gang med ROS-analyse og beredskapsplanlegging, eller har du behov for å vite mer om hvordan du skal sikre god beredskap, varsling og krisekommunikasjon?
Våre gratis e-bøker gir deg en rekke gode råd og tips.
