.

Dybde

Forvaltningens digitale lokfører

Slagordet til Difi er ”Vi får omstilling til å skje”. Spørsmålet er om direktoratet bygger sikre og vanntette skott når de får denne omstillingen til å skje.
  • Gunn Kvalsvik
  • Difi/Fredrik Leijon

For å finne svar, har Samfunnsviteren intervjuet seksjonssjef for informasjonssikkerhet og datadeling i Difi, Øyvind Grinde.

 

– Slagordet vårt refererer til vårt oppdrag om å utvikle og fornye offentlig sektor der vi er en pådriver for at staten og kommunene tar i bruk ny teknologi for å drifte arbeidsoppgavene mer effektivt. Vi vil gi bedre tjenester til innbyggere og næringsliv med mindre bruk av ressurser, forklarer han.

 

– Går teknologisering og moderniseringen noen ganger på bekostning av sikkerhet?

– Digitalisering innebærer alltid en form for risiko. Men husk at det ikke er slik at man går fra hundre prosent sikre systemer til noe veldig usikkert. Også manuelle ordninger er sårbare. Tenk på de gamle helsejournalene der alle opplysningene stod på kartotekkortet. Dersom du for eksempel ble syk i en annen by og legen ikke hadde tilgang til helseopplysninger, kunne det i verste fall føre til dødsfall. Dagens system hindrer dette gjennom å gjøre helseopplysningene tilgjengelig for helsepersonellet som har behov for dem, og i motsetning til papirjournalene føres det automatisk oversikt over hvem som har fått tilgang til hva. Helseopplysninger har kommet på avveie i papirjournalenes tid, og de kan komme på avveie eller hackes i digitale løsninger, men vi må sørge for at sannsynligheten for at det skal skje er så liten at vi synes det er akseptabelt, sier Grinde.

 

Kommunene må klare seg selv

Siden oppstarten i 2008 har Difis mandat vært det samme. Utfordringen er at stadig flere av de offentlige oppgavene digitaliseres, og dermed har oppgavene vokst.

 

– Ja, vi har mye å holde på med. I tillegg til offentlig sektor har vi også samarbeid med private bedrifter og ideelle organisasjoner. Dette gjør vi ved å dele det meste av det vi produserer av veiledninger og kurstilbud til alle, sier seksjonssjefen.

 

– Dere er rundt 300 ansatte i Difi, fordelt mellom Oslo og Leikanger. Er dere mange nok, og hvor stor andel jobber med informasjonssikkerhet?

– Nei, Difi har ikke vokst proporsjonalt med den teknologiske veksten, men satsingen på informasjonssikkerhet er styrket. I Statsbudsjettet for 2013 fikk Difi en styrking på 12 mill. kr for å etablere et kompetansemiljø for informasjonssikkerhet. Per i dag er vi en seksjon på 14 av 300 som har informasjonssikkerhet og datadeling som et eget område. Det er altså disse jeg leder. Informasjonssikkerhet er selvsagt prioritert. Primært har vi fokus på statlig sektor.

 

– Så kommunene må klare seg selv? Er det fornuftig?

– Kommunene er selvstendige enheter med eget ansvar. Vi gir selvsagt gode innspill til digitale løsninger, guider med omsyn til lover og regler, utarbeider veiledere og holder kurs også for kommunalt ansatte. Kommunene varierer mye i størrelse og kompetanse, så det er en utfordring å støtte dem på en god måte. Det bør også nevnes at kommunene har KS som en viktig støttespiller når det gjelder datasikkerhet, sier Grinde.

Seksjonssjef for informasjonssikkerhet og datadeling i Difi, Øyvind Grinde.

 

Datasikkerhetsjungelen

I Norge har vi flere instanser som jobber med sikring av data. Vi spør Difis sikkerhetsmann hvorvidt det er snakk om overlappende instanser, om det er noen felt som behandles mer stemoderlig enn andre og om det er en form for konkurranse mellom enhetene.

 

– Det kan kanskje virke litt ustrukturert utenfra, og for noen år siden var nok oppgavene våre mer overlappende rett og slett fordi landskapet var nytt. I dag er det oversiktlig; vi har klare ansvarsområder og snakker godt sammen. I praksis kan vi, litt grovsortert, si at NSM (Nasjonal sikkerhetsmyndighet) står for rikets sikkerhet. Difi guider offentlig sektors behov for informasjonssikkerhet. Så har vi NorSIS (Norsk senter for informasjonssikkerhet) og Datatilsynet på personopplysninger og individnivå, og til sist KS og KiNS (Kommunal Informasjonssikkerhet) som hjelper kommunene.

 

– Har DIFI erfaringer med datainnbrudd?

– Så langt har vi få sikkerhetshendelser i forvaltningen. Jeg tror at det handler om gode løsninger kombinert med at de kriminelle ikke så lett tjener penger på å bryte seg inn i offentlige databaser. Ved for eksempel ID-tyveri, som handler om å gi seg ut for å være en annen, vil det å tømme en bankkonto være mer attraktivt enn å stjele folks personopplysninger. Mye av vår informasjon er ikke så omsettelig, og den som er det, er bedre sikret, forklarer Øyvind Grinde.

 

– Enkelte mener at politikernes digitaliseringskrav går på bekostning av sikkerhet. Er du enig i dette?

– Nei, jeg synes ikke det. Ofte kan de digitale løsningene bli sikrere enn de papirbaserte løsningene de erstatter. Husk at datasikring foregår på ulike sikkerhetsnivå. Mens for eksempel militærinformasjon må sikres svært godt, vil en søknad om støtte til kortfilm være i den andre enden av skalaen – altså på et nivå med mindre sikkerhetsbehov. Sikkerhet koster, og derfor må vi prioritere hvor mye ressurser vi skal legge i den når vi bygger teknologiske løsninger, sier han.

 

Åpenhet som mål

Difis forvaltningssikkerhetsmann forklarer at fokuset til Difi er åpne løsninger og deling, og ikke lukking. Det handler om demokrati og om å la folk få innsikt i det forvaltningen driver med og lagrer. Stolt forteller han at Norge skårer høyt på «Global Open Data Index», der Norge har klatret fra tiendeplass til femteplass.

 

– Data skal deles og gjøres tilgjengelig. Å få ting til å skje, handler blant annet om å gjøre informasjon tilgjengelig og å la folk få et eierskap til den. Et godt eksempel er kartdata som i dag er åpen for alle. Dette er et hjelpemiddel for både offentlige og private instanser, noe som gjør samfunnet mer effektivt.

Fakta om Difi:

Direktoratet for forvaltning og IKT (Difi) er underlagt Kommunal- og moderniseringsdepartementet (KMD). Fagstyringsansvaret for fagområdet offentlige anskaffelser ligger hos Nærings- og fiskeridepartementet (NFD).

Difi ble opprettet 1. januar 2008

Kilde: Difi

 

– Jamfør hendelsen i Sverige i sommer; lagres også deler av offentlig norsk informasjon i utlandet?

– Igjen, her er det ulik grad av sikring. Informasjon som handler om rikets sikkerhet har strengere krav til sikring og lagres i Norge, mens for eksempel mye av informasjonen som kommuner har i sine databaser, ikke får unntak for EØS-regelverket om fri konkurranse, og dermed må kommunene likestille norske og europeiske leverandører. Ofte lønner det seg for enhetene å la andre drifte og lagre data. For eksempel kan innbyggere selv velge leverandør av digital postkasse, som forvaltes av Difi, og en av leverandørene er dansk og lagrer posten i Danmark. Dette krever gode avtaler og tett dialog og oppfølging av leverandøren. Vi vet hvem som går inn på systemene, kjenner alle underleverandører og har regelmessige gjennomganger av sikkerheten, forklarer Grinde.

 

Det handler til syvende og sist om sannsynlighetsberegninger, sier Difis sikkerhetsmann. Det handler om å ta sjanser for å lage bedre systemer og om å ta ut alle gevinstene digitalisering kan gi. Han forteller om kjernejournalen som har samlet helseinformasjon om alle landets innbyggere. Journalen er effektiv og høyner kvaliteten på helseinformasjon fordi informasjon deles, men også fordi vi kan gå inn å se hva som står om oss selv og eventuelt rette opp feil.

 

En måte å sikre at virksomhetene, både private og offentlige, tar gode valg av blant annet underleverandører på er å tilby veiledningsmateriell og kurs.

 

– Vi opplever at toppledere innimellom er propper i systemet når datasikring diskuteres og avgjørelser skal tas. Derfor ser vi at opplæring av ledere er en god prioritering. Det bør også nevnes at alle instanser er pålagte til å drive internkontroll på informasjonssikkerhetsområdet som baserer seg på anerkjente standarder, sier Grinde.

 

Er vi naive?

 

– Det kan virke som om sikkerhet innimellom må vike. Sover du godt om natten?

– Jeg sover godt fordi jeg mener Difi og resten av forvaltningen tar sikkerhet veldig på alvor. Sikring tas alltid med som en del av vurderingskriteriene. Sammen med andre lager vi også scenarier som gjør at vi er forberedt på mulige angrep. Den siste store nasjonale øvelsen hadde som bakteppe at ID-porten ble gjort utilgjengelig. Her lærte vi mye, men opplevde også at vi er ganske godt rustet.

 

– Hva skjer for eksempel om en datakriminell kidnapper Difis direktør? Er vi ille ute da?

– Da ville de kriminelle gjort dårlig forarbeid. For det første sikres informasjon i mange ledd, og for det andre driftes ikke systemene internt. Direktøren har rett og slett ikke tilgang til systemene, og det er mange dørstokker som må krysses før informasjonen ville blitt tilgjengelig.

 

– Jeg regner med dere også samarbeider internasjonalt og lærer av hverandre. Hvor relevant er dette?

– Alle land organiserer digital informasjon forskjellig. I Storbritannia er alt tilgjengelig gjennom en felles portal. Andre land har etablert egne IT-departement, noe som blant annet gir mer makt og kanskje også mer gjennomslagskraft, men flytter fokus fra oppgaven som skal løses til hvordan den skal løses. Estland blir trukket fram som best i digitaliseringsklassen. Oppskriften deres er høy IT-kompetanse samtidig som de kunne starte fra nesten null, siden de ble selvstendige igjen først tidlig på 1990-tallet. Det er altså ikke så lett å sammenligne seg med andre, avslutter Øyvind Grinde.