Gambler med sikkerhet
Ledere i privat og offentlig sektor gambler med sikkerheten når de ikke krever sertifiserte og godkjente produkter fra IKT-industrien, mener senioringeniør Lars Borgos i Nasjonal Sikkerhetsmyndighet (NSM)
Grunnen til at lederne setter sikkerheten på spill, er at de ikke har tilstrekkelig kunnskap om IKT-løsningen som anskaffes, og fordi det er vanskelig å avgjøre om sikkerhetskravene er tilfredsstilt.
Det skriver senioringeniør Lars Borgos i et debattinnlegg i Aftenposten. Videre argumenterer han for å innføre en sertifiseringsordning for IKT-bransjen.
IKT-bransjen utenfor
Borgos peker på at det tenkes sikkerhet i de fleste ledd i samfunnet: Sykkelhjelmer, lekeapparater, barneseter, redningsvester og lyspærer er sertifisert etter gitte standarder. Industrien er vant til sertifiseringskrav etter nasjonale eller internasjonale standarder, og ordningen er betryggende både for produsent og kunde.
I IKT-bransjen derimot, fungerer det ikke på samme måte. Borgos mener dette er betenkelig, når samfunnet blir stadig mer avhengig av at IKT-produkter fungerer som forutsatt og at de er gode nok på sikkerhet.
"Ledere i privat og offentlig sektor gambler med sikkerheten når de ikke krever samme type godkjennings- og sertifiseringsordninger her som for andre produkter.", skriver han.
Trusler overalt
Ifølge Borgos er truslene mot IKT-systemer i dag så tallrike og uoversiktlige at det er vanskelig å ta innover seg for den vanlige bruker: Hackere går til angrep på nettbanker og kredittkortselskaper, og ID-tyverier er et økende problem.
Han skriver at sikkerhetsselskapet Panda Labs hevder at 72 prosent av alle bedrifter i en undersøkelse hadde ondsinnet programvare i nettverkene sine, til tross for oppdaterte sikkerhetssystemer. I tillegg har mange datasystemer sårbarheter som lett kan utnyttes.
- Dette kan føre til betydelige merkostnader, tapt arbeidstid, tapt informasjon, tapt tillit og svekket konkurranseevne, skriver han.
- Kravene vil øke
Borgos tror kravene til IKT-sikkerhet bare vil øke fremover, og viser til USA og Japan der det nå stilles krav til sertifisering av IKT-produkter. Også flere europeiske land krever sertifisering av for eksempel elektronisk ID og elektroniske pass, og Tyskland krever at elektroniske helsekort sertifiseres.
De dårliges fortrinn
Iføge Borgos er dagens datamarked i en posisjon hvor selger sitter med all kunnskap om produktet, og kunden lite. - Og i et slikt marked kan dårlige produkter utkonkurrere de virkelig gode. Han peker på at utvikling av gode sikkerhetsløsninger kan være både tidkrevende og kostbart, noe som kan medføre at de dårligst sikrede produktene både blir billigst, og kommer raskere på markedet.
Ved at kundene blir mer krevende og fremmer krav til IKT-sikkerhet, tror Borgos industrien vil bli nødt til å tilpasse seg et mer krevende marked.
Han tror sertifiserte produkter kan gjøre norsk industri mer konkurransedyktig, og mener det er på tide å gjøre et krafttak i IKT-sektoren.
Ifølge Borgos er Sertit, en norsk og internasjonalt anerkjent sertifiseringsmyndighet for IT-sikkerhet, et virkemiddel som kan være verdt å ta i bruk.
(Aftenposten.no)
"
