Kommentar: Alt som kan digitaliseres, bør ikke digitaliseres

Tittelen lyder som reaksjonært opprop, men er kjernen i en anbefaling fra et amerikansk ekspertteam som har vurdert hvordan kritiske samfunnsfunksjoner kan beskyttes mot cyberangrep.

Av: Erik Nord og Jørn Bremtun, partnere i Nord & Bremtun Cybersecurity Communication.

Digitaliseringen av offentlige virksomheter og tjenester pågår for fullt. Under mantraet «alt som kan digitaliseres, skal digitaliseres» er det iverksatt flere programmer og initiativ. I Stortingsmeldingen «Digital Agenda» fra 2016 slår fast at «de fleste kritiske infrastrukturer og samfunnsviktige funksjoner er i dag digitalisert». I årene fremover vil sensorteknologi og tingenes internett legge grunnlag for omfattende tjenesteinnovasjon. Såkalt smarte byer vil blant annet benytte digitale og automatiserte løsninger på områder som energistyring, eldreboliger (velferdsteknologi) og trafikkavvikling. Løsninger som kan spare budsjetter, liv og miljø.

Digitaliseringspådrivere har gode kort på hånden. Bedre og langt mer tilgjengelig tjenester for innbyggerne, individuell tilpasning og automatiserte prosesser uten papirbunker, uforståelige søknadsskjemaer og høye administrasjonskostnader. Sensorteknologi og tingenes internett gjør det mulig å innhente, analysere og benytte data, for eksempel værdata, for å ta gode beslutninger innenfor sektorer som energiproduksjon, landbruk, fiskeoppdrett og trafikkavvikling.

Statsminister Erna Solberg er etter eget utsagn en grunnleggende optimist, men etter konferansen EVRY Insight 28. mai i år uttalte Solberg til NRK: «Det som bekymrer og opptar meg mest er at vi må ha god nok sikkerhet i det som er livsnødvendige systemer rundt oss».

Også i USA er myndighetene i økende grad opptatt av digital sårbarhet. Bare i løpet av de to siste årene er det anslått at cyberangrepene kjent som WannaCry og NotPetya alene har kostet landet 5 milliarder dollar, og i tillegg kommer alle spekulasjonen om valgpåvirkning og misbruk av persondata. Den store frykten er at cyberangrep kan lamme grunnleggende infrastruktur som strøm, vann, radio/tv-, tele- og datakommunikasjon, og dermed lamme samfunnet og sette liv i fare.

Seniorstrateg Andy Bochman ved Idaho National Laboratory, USAs ledende senter for atomenergi, publiserte helt nylig en artikkel i maiutgaven av Harvard Business Review. Her kommer han med en klar advarsel: «Her er den brutale sannheten: Det spiller ingen rolle hvor mye organisasjonen bruker på den nyeste cybersecurity-maskinvare, -programvare eller -opplæring, eller om den har separert de mest kritiske systemene fra resten. Dersom virksomhetskritiske systemer er digitale og tilkoblet internett på en eller annen måte (selv om du tror de ikke er, er det høyst sannsynlig at de er), kan de aldri bli helt trygge. Punktum.»

Bochman mener virksomheter som leverer samfunnskritiske tjenester må identifisere de funksjonene som kan lamme virksomheten, og i størst mulig grad isolere dem fra internett. Bruken av digital teknologi på disse områdene bør i størst mulig grad begrenses, mener han, og heller overlates til manuelle rutiner som er skjøttet av pålitelige mennesker.

Rådet kan oppfattes reaksjonært og ekstremt, men det grunnleggende rådet er det verdt å lytte til: Om en funksjon er så kritisk at den kan slå ut hele virksomheten er det høyst risikabelt å la den være eksponert mot internett. Og uansett hvor mye man beskytter en funksjon gjennom sikkerhetsprogramvare og overvåkning, så er sikkerheten aldri 100 prosent. Offentlige og private virksomheter bør derfor vurdere positive digitaliseringseffekter opp mot kostnadene og følgekonsekvensene av å bli satt ut av spill. Dernest må ansvarlige ledere tenke igjennom og ha en plan for å håndtere en situasjon der kritiske funksjoner er lammet som følge av cyberangrep.

Det danske rederiet Maersk fikk erfare dette på mest mulig dramatisk vis i fjor. Skadeprogrammet (malware) NotPetya satte 4000 servere, 2500 PCer og 2500 applikasjoner ut av spill. Alt måtte installeres på nytt. Det tok rekordraske ti dager, men i denne perioden måtte laste- og losseavtaler og nye ordre for en flåte på over 300 skip håndteres manuelt.

Totalt har rederiet anslått at angrepet kostet et sted mellom 250 og 300 millioner dollar i direkte og indirekte kostnader.

Digitalisering må ikke skje i naivitet. Når selv det beste teknologiske forsvar ikke kan eliminere faren for et cyberangrep er det påkrevet at det gjennomføres konsekvensutredninger før digitalisering – og en plan B for å håndtere en kritisk situasjon.