Lavere tillit til «internettsikkerhet» - er det så nøye?

Innbyggerundersøkelsen 2021 som gjennomføres av Direktoratet for forvaltning og økonomistyring (DFØ) ble publisert tidligere i november. Den viser at folks tillit til at myndighetene ivaretar det som i undersøkelsen kalles «internettsikkerheten» er synkende. Det samme gjelder tilliten til at informasjon som samles inn av myndighetene kun brukes til formålet som er oppgitt, og ikke kommer på avveie eller misbrukes.

Er synkende tillit et problem?

Den høye tilliten innbyggerne i Norge har til myndighetene, er et klart fortrinn – det er en ressurs som er avgjørende for å lykkes med reformer og i krisesituasjoner, som under koronapandemien.

Tillit er også nødvendig for at vi skal lykkes med å skape en enklere, digital hverdag for folk gjennom gode, digitale tjenester. Regjeringens Digitaliseringsstrategi kaller det sammenhengende tjenester. I strategien brukes forskjellige livshendelser som eksempler. Når du får et barn, skal starte en ny virksomhet, opplever et dødsfall eller driver en frivillig organisasjon skal du slippe å oppgi de samme opplysningene til det offentlige flere ganger. Og du skal slippe å henvende deg til mange ulike etater for å få gjort det du skal.

Sammenhengende tjenester krever økt deling av opplysninger om deg og meg – deling av data. Da er vi avhengige av at folk stoler på at det offentlige deler opplysninger seg imellom på en trygg måte. Vi trenger at folk har tillit til at opplysninger om dem ikke havner på feil sted.

Så når tilliten til «internettsikkerhet» og til at data ikke kommer på avveie synker, må vi ta det på alvor.

Digitalisering kan sette tilliten på prøve

Paradoksalt nok kan digitaliseringen som er nødvendig for å gjøre samhandlingen med det offentlige enklere gjennom gode, digitale tjenester som skaper tillit også bidra til å sette tilliten på prøve. Det skjer dersom folk for ofte opplever at opplysninger kommer på avveie. Skal vi unngå å tape mer tillit må vi sørge for at det skjer så sjelden som mulig.

Det viktigste vi kan gjøre for å unngå at det skjer er å jobbe for best mulig informasjonssikkerhet, hver dag.

Internettsikkerhet: Et diffust begrep

Dette er spørsmålet som ble stilt i undersøkelsen: Hvor gode eller dårlige mener du myndighetene er til å ivareta internettsikkerheten; at opplysninger ikke misbrukes / kommer på avveie.

«Internettsikkerhet» som begrep kan være vanskelig å forstå. Ofte snakkes det også om «personvern», «digital sikkerhet», «IKT-sikkerhet» og «cybersikkerhet». For mange inneholder begrepet tanker om både personvernregler, hacking, virus-angrep og forskjellig annet. Det finnes mange eksperter som gir råd og veiledning om disse forskjellige aspektene ved internettsikkerheten. For eksempel finner du eksperter på personvern i Datatilsynet og Nasjonal sikkerhetsmyndighet kan alt fra tiltak mot hacking og virusangrep, til sikkerhetsstyring..

Andre del av spørsmålet - «at opplysninger ikke misbrukes/kommer på avveie» handler om det vi i Digitaliseringsdirektoratet er eksperter på: informasjonssikkerhet - men bare en liten del av den. Når vi snakker om informasjonssikkerhet, snakker vi om tre hovedprinsipper:

• Konfidensialitet: at informasjon ikke blir kjent for uvedkommende
• Integritet: at informasjon ikke blir endret utilsiktet eller av uvedkommende
• Tilgjengelighet: at informasjon er tilgjengelig ved behov

Spørsmålet i undersøkelsen handler mest om konfidensialitet, altså om å stole på at informasjon ikke kommer på avveie. Men de to andre prinsippene er like viktige for både tillit og evnen til å skape gode tjenester:

Vi som innbyggere må være trygge på at ingen «tukler» med opplysningene om oss (integritet). Og informasjon om oss må være tilgjengelig for de som faktisk trenger den for å gjøre møtet vårt med det offentlige enklere, for eksempel når vi får et barn, skal starte en bedrift eller opplever et dødsfall i familien (tilgjengelighet).

Det er viktig at virksomheter i forvaltningen ser disse tre prinsippene i sammenheng!

Når det går galt

Feil og uønskede hendelser skjer. I Bergen kommune fikk foreldre ved skoler tilgang til opplysninger om andres barn. Stortinget har opplevd flere dataangrep. Østre Toten kommune fikk store problemer med å levere tjenester til innbyggerne etter et omfattende datainnbrudd.

Det er alvorlig når personopplysninger og annen informasjon kommer på avveie eller blir utilgjengelig. Like viktig er at flere hendelser, blant annet den i Østre Toten, viser at en virksomhet kan bli satt nesten helt ut av spill hvis informasjonssikkerheten ikke er god nok.

Det er ikke vanskelig å forstå at slike hendelser kan ha bidratt til at tilliten går ned.

Men hvor stor grunn til bekymring er det? Det er viktig å understreke at det jobbes aktivt med å forbedre informasjonssikkerheten i offentlige virksomheter. Tall fra SSB viser for eksempel til en generell forbedring på områdene som omhandler tiltak som en del av internkontroll for informasjonssikkerhet blant kommuner og fylkeskommuner. Den viser at det går riktig vei, selv om det fortsatt er rom for forbedring.

Hvordan bli bedre?

Sikkerhetsbrudd vil skje også i fremtiden, men vi må forebygge flest mulig av dem. Når hendelser oppstår, må vi må håndtere dem best mulig.

Da må kommuner og statlige etater øve regelmessig, jobbe jevnt og trutt med å øke medarbeidernes kunnskap, og gjøre informasjonssikkerhet til en integrert del av virksomhetsstyringen. Det er mange som gir god hjelp og veiledning, og flere virksomheter synes det er vanskelig å finne fram blant aktørene. For å gjøre jobben litt lettere samarbeider vi tett i et eget nettverk for å utarbeide felles og samordnet veiledning.

Vi tilbyr blant annet:

• en veileder om hvordan sikkerhetskultur kan kartlegges, utviklet sammen med NorSIS.
• dilemmatrening som kan tilpasses din virksomhet, slik at dere blir bedre rustet til å møte og håndtere informasjonssikkerhetstrusler.
• veiledningen Internkontroll i praksis – informasjonssikkerhet, som viser hvordan du får informasjonssikkerheten til å bli en del av internkontrollen i virksomheten.
• Stifinneren – et digitalt verktøy som viser deg, etappe for etappe, veien mot god styring av informasjonssikkerhet.

Så ja – det er nøye!

God informasjonssikkerhet er en forutsetning for tillit fra befolkningen, og en forutsetning for vellykket digitalisering. Vellykket digitalisering bidrar både til bedre tjenester for deg og meg og til effektivisering av offentlig sektor. Blir tilliten fra befolkningen for lav setter det begge deler i fare. Når tilliten til «internettsikkerhet» synker, synker indirekte også tilliten til informasjonssikkerheten, og det er bekymringsfullt.

Derfor må forvaltningen jobbe målrettet med informasjonssikkerhet. Det arbeidet skal vi i Digdir, sammen med våre samarbeidspartnere, fortsette å legge til rette for.

Har du eller din virksomhet lyst til å bidra til informasjonssikkerhetsarbeidet i forvaltningen? Eller er det noe du savner fra oss? Da vil vi høre fra deg! Ta kontakt på infosikkerhet@digdir.no, eller legg igjen en kommentar under dette innlegget.