Arne Sortevik (FrP) [12:19:16]: «Jeg viser til mitt spørsmål til skriftlig besvarelse nr. 1 394 den 30. juni 2008 om at 80 statlige og kommunale nettsteder har spredd virus. Igjen er det meldt om problemer med datasikkerhet knyttet til statens nettsider. Aftenposten melder 19. mars 2009 at utenforstående har lagt virus på departementale nettsider, virus som kan ødelegge folks PC. Det hevdes at statlig myndighet er advart og varslet, men uten at noe ble gjort.
Hva gjør statsråden for å sikre at statlige nettsider blir bedre sikret for brukerne og for å unngå datainnbrudd på offentlig nett?»
Statsråd Heidi Grande Røys [12:20:01]: La meg få starte med ei presisering når det gjeld Aftenposten si fyrsteside 19. mars 2009. Overskrifta var «Regjeringens nettsider sprer virus», og ho kan skape eit inntrykk av at det er Regjeringas offisielle sider som spreier virus. I artikkelen er saka riktig framstilt, men overskrifta og oppslaget sin karakter gjer det nødvendig å presisere at det ikkje er sider på regjeringa.no som er ramma av ulovleg hacking.
Det var dei gamle heimesidene til eit prosjekt som vart infisert med virus. Prosjektet sine sider har aldri vore plasserte på regjeringa.no-plattforma, men hos ein ekstern leverandør. Det har like fullt vore ei lenkje frå Barne- og likestillingsdepartementet sine nettsider til prosjektet. Etter at Barne- og likestillingsdepartementet vart gjort merksam på at sidene var infiserte med virus, sette departementet i verk tiltak for å få stengt sidene. Barne- og likestillingsdepartementet er einig i at sidene burde ha vore fjerna på eit tidlegare tidspunkt, men no er dei altså lagde ned.
Så tek representanten Arne Sortevik opp eit svært viktig tema, som han òg refererer til at han har teke opp i ein skriftleg korrespondanse med meg tidlegare, og det er viktig at dette vert debattert. Som eg svarte skriftleg til representanten Sortevik i fjor, er ei av dei største utfordringane våre at det er manglande forståing for informasjonstryggleik hos brukarane. Mange verksemder og einskildindivid undervurderer risikoen ved dårleg informasjonstryggleik. Vi ser ofte at dårleg informasjonstryggleik kjem av manglande forankring hos leiarar og prioritering hos leiarar i ei verksemd. Her er det behov for meir kunnskap og merksemd rundt det å ha ein god og solid informasjonstryggleik i verksemdene, men òg hos oss som enkeltbrukarar. Eg er difor glad for at Arne Sortevik igjen tek opp spørsmålet.
Så vedtok Regjeringa nasjonale retningsliner for å styrkje informasjonstryggleiken i 2007, og der slår vi fast at ansvarsprinsippet skal verte følgt, dvs. at kvart einskilt departement har ansvar for å følgje opp dei områda som det er peika på når det gjeld sitt ansvarsområde.
Ei av utfordringane vi har, er at det er stor dynamikk på området. Dei som utviklar virusa, er ofte eit hestehovud eller eit hovud framfor systemutviklarar og programutviklarar, og dei finn svakheiter og feil i operativsystema. Hackarane leiter heile vegen etter nye feil, og utnyttar dei nettopp til å spreie virus. Mottiltaket er difor å ha ein god tryggleikskultur og ei kontinuerleg utvikling av den tryggleikskulturen – ikkje tru at når ein har gjort det ein gong, så har ein gjort det ein gong for alle – og utvikle tryggleiksrutinar både hos verksemder og hos den enkelte brukar av IT.
Som eit av fleire oppfølgingstiltak frå mitt departement har eg i tildelingsbrevet til Direktoratet for forvaltning og IKT no i 2009 bedt om at dei innan september i år skal ha utarbeidd ein plan for korleis «Nasjonale retningslinjer for informasjonssikkerhet 2007–2010» skal setjast i verk i offentleg sektor.
Arne Sortevik (FrP) [12:23:20]: Takk for et bra svar. Kanskje er ikke hesten det riktige bildet – det er snarere dataormen som spreller litt i forkant.
I svaret på mitt spørsmål fra i fjor pekte statsråden med referanse til Telenors Security Operations Centre og Nasjonal sikkerhetsmyndighet på, som statsråden også nå var inne på, at mange norske virksomheter både i privat og offentlig sektor – herunder også kommunene hvor det har vært en del betenkelige eksempler – ikke foretar jevnlig oppdatering av sine sikkerhetsløsninger. Det ble også svart fra de to sikkerhetsenhetene at mange norske virksomheter rett og slett mangler gode regler og rutiner for oppfølging av IT-sårbarhet. Mener statsråden at staten har gode regler for dette, og at oppfølgingen av IT-sårbarhet i statlig virksomhet er god på bakgrunn av at vi altså blir mer og mer nettbasert både ut mot offentligheten og også i operativ statlig tjeneste?
Statsråd Heidi Grande Røys [12:24:28]: Ja, eg meiner at vi har gode nok regelverk, men så skal reglane følgjast, og ein viktig del av å følgje eit regelverk handlar om å ha kompetanse, som òg representanten Sortevik er inne på. Og det er det som er utfordringa i denne sektoren, for eg trur dei fleste bedriftsleiarar er opptekne av at folk låser dørene når dei går, lèt att glaset, og at glasa er med lås, så det ikkje vert innbrot.
Så har ein eit litt for naivt forhold, både i privat og i offentleg sektor, til kva som faktisk kan skje i datamaskinar. Vi har sett det i løpet av vinteren. Helse Vest, som òg representanten Sortevik kjenner svært godt, har hatt store problem. Politiet sitt system har vore sett ut av drift, og Nasjonal sikkerheitsmyndigheit får melding om målretta angrep mot myndigheitspersonar kvar veke. Foreløpig har ikkje dei klart å slå ut noko, men det betyr iallfall at vi som har ansvaret for Regjeringskvartalet, gjennom DSS, heile vegen må ha fokus på kontinuerleg godt tryggleiksarbeid. Det er det førebyggjande arbeidet som er viktig, og så skal vi sjølvsagt òg kunne handtere hendingar når dei oppstår, men det er altså det førebyggjande arbeidet som er viktig, og då har vi gode nok reglar, og så må praksis følgje regelverket.
Arne Sortevik (FrP) [12:25:46]: Igjen takk til statsråden for et godt svar.
Statsråden peker selv på to hendelser som også er en del av bakgrunnen for at jeg tar opp spørsmålet og problemstillingen på denne måten. Den ene var da Helse Vest i januar ble omfattende rammet av datavirus, slik at pasientene måtte vente på behandling fordi legene ikke fikk tilgang til røntgenbilder, og det virket som om man var totalt uforberedt på virusangrep av slike dimensjoner. Senere har vi også hatt problemer med virus i politiet. Altså har to viktige samfunnsinstitusjoner som svært mange er avhengige av hver dag, hatt problemer med å være operative, fordi man har vært rammet av virus. Det understreker hvor alvorlig dette problemet er, og at det er nødvendig å løfte både bevisstheten til problemene og hjelpemidler for å motvirke slike problemer.
Vi fikk en ny påminnelse sist mandag, mandag den 30. mars, i samme avis, Aftenposten, som jeg innledningsvis har referert til, om at det også er kriminalitet knyttet til dette gjennom organiserte kriminelle nettverk som angriper norske datamaskiner. Hvordan vil statsråden gi Stortinget tilbakemelding om arbeidet med å bedre datasikkerheten i offentlig og statlig virksomhet?
Statsråd Heidi Grande Røys [12:27:18]: Det som det er viktig å slå fast, er at her har den enkelte sektoren ansvaret sjølv, og det er eit leiaransvar i sektorane at ein har ein god tryggleikskultur i si bedrift. Dei som har god tryggleikskultur og gode system, vert det mykje vanskelegare å ramme av den typen hacking og virus som desse har opplevd.
Vi har ulike instansar på ulike nivå som skal handtere det. Det som ligg under meg, er noko som heiter NorSIS, som ligg på Gjøvik, som skal ha det førebyggjande ansvaret. Vi arrangerer årleg noko vi kallar ein nasjonal tryggleiksdag, i lag med Post- og teletilsynet, i lag med IKT-Norge og, som sagt, med NorSIS, som vi finansierer, og det handlar rett og slett om å få merksemda rundt det og å få plassert ansvaret. Til no har eg sett forholdsvis få statlege leiarar på dei nasjonale tryggleiksdagane – eg har delteke på tre. Og eg trur at noko av kjernen i problemet er at førebels er det nok for få leiarar som opplever dette sterkt nok til at dei ser det som sitt problem. Det er det mitt ansvar å ta tak i og jobbe vidare med, for å få den statlege toppleiargruppa til å ta det ansvaret.