IT-sikkerhet og mangelende kompetanse i kommunene
Thomas Tømmernes, IT-sikkerhetsekspert Atea
Myndighetene må forandre lovverket så bøtene fra Datatilsynet brukes til å utbedre it-sikkerheten.
IT-sikkerhet i kommunene
For ikke lenge siden hadde justisministeren og kommunalministeren et møte med kommunene og Kommunenes Sentralforbund (KS) for å sette fokus på it-sikkerheten i kommunene.
– For oss er det viktig at kommunene kan stå enda bedre rustet til å forebygge og håndtere digitale angrep som kan få store konsekvenser for innbyggerne, sa justis- og beredskapsminister Emilie Enger Mehl (Sp).
Men dette er ikke første gang myndighetene har satt fokus på dette – og med rette.
Etter angrepene på Østre Toten, sendte KS ut brev til alle kommuner i Norge om hva de måtte få på plass av løsninger for å bedre it-sikkerheten. Vi i Atea fikk disse tilsendt fra flere kommuner over hele landet, som ba oss forklare de hva punktene betydde og hvordan man skulle utbedre dagens løsning. Dette førte til en rekke webinar for både enkeltkommuner og kommunesamarbeid, som hadde fått høre om sjekklisten fra KS.
Mangel på folk
Det som kom tydeligst frem i dialogene vi hadde med de offentlige virksomhetene, var mangel på nok ressurser med sikkerhetskompetanse og verktøy til å følge med på hva som skjer.
I Norge mangler vi i dag 1900 ressurser for å fylle de rollene samfunnet trenger innenfor it-sikkerhet. Tallet stiger til 4300 i 2030, og da har vi ikke tatt med alle de behovene som OT-IOT og 5G vil være med på å skape framover.
Har ikke oversikt
I alle dialoger vi har hatt har tilhørerne identifisert seg med at de ikke har oversikt over dagens situasjon, ei heller har logg og rapportering på plass, og de mangler både ressurser og kompetanse til å utføre dette selv. Utfordringen disse står overfor, er at de ikke har midler til å bygge en motstandsdyktig løsning. Dette har ført at de brøt med GDPR-lovverket og fikk bøter fra Datatilsynet. Med andre ord i tillegg til å ikke ha midler til å utbedre datasikkerheten, har de fått en bot som tømmer budsjettene ytterligere.
Bøtene bør øremerkes
Det er vel og bra at GDPR-bøter skal få flere virksomheter til å gjøre de riktige prioriteringene. Men når vi ser at de mangler midler og ressurser, blir vel en bot på toppen det samme som å sparke noen som ligger nede.
For hvor går pengene fra overtredelsesgebyr som Datatilsynet gir? De går til det offentlige, på samme måte som penger fra en bot går til det offentlige.
Mulig tilnærmingen kan oppfattes naivt, men jeg mener at myndighetene må forandre lovverket så bøtene fra Datatilsynet, heller må brukes på å rydde opp og utbedre kvaliteten på løsningen. På denne måten vil utsatte virksomheter, først og fremst bli pålagt å benytte pålegget til å utbedre motstandsdyktigheten og ivareta personopplysningene i egen virksomhet.
Kilde: Thomas Tømmernes, IT-sikkerhetsekspert Atea
