Skriftlig spørsmål fra Emilie Mehl (Sp) til samfunnssikkerhetsministeren

Dokument nr. 15:971 (2018-2019)
Innlevert: 13.02.2019
Sendt: 14.02.2019
Besvart: 20.02.2019 av samfunnssikkerhetsminister Ingvil Smines Tybring-Gjedde

Emilie Mehl (Sp)

Spørsmål

Emilie Mehl (Sp): Etter hackerangrepet mot Visma kommenterte sikkerhetsekspert i Nordic Choice Hotels at "dette er klassisk industrispionasje", men Visma leverer også en mengde tjenester til offentlig sektor.
Har samfunnssikkerhetsministeren oversikt over i hvilken grad kommuner, NAV eller andre offentlige instanser, som er kunder hos Visma eller lignende selskaper, vil kunne rammes av angrep mot disse, og på hvilken måte er en sikkerhets- eller risikoanalyse tilgjengelig for de delene av offentlig sektor som benytter slike tjenester?

Begrunnelse

6. februar meldte NRK.no at det norske dataselskapet Visma hadde blitt utsatt for hackerangrep. Internasjonale granskere i Recorded Future mente at det er hackere som jobber for kinesisk etterretning som står bak angrepet. Det kan være svært vanskelig å finne ut hvem som står bak avanserte dataangrep, men disse vil uansett innebære en betydelig sikkerhetsrisiko for at data og sensitiv informasjon kan komme i uønskede hender.

Ingvil Smines Tybring-Gjedde (FrP)

Svar

Ingvil Smines Tybring-Gjedde: Den teknologiske utviklingen skaper nye og endrede risikoer og utfordringer. Fremmedstatlig etterretningsaktivitet mot offentlige og private virksomheter samt data- og IKT-relatert kriminalitet, utgjør de fremste digitale truslene mot det norske samfunnet. Underleverandører og kontraktører blir i økende grad utsatt for målrettede aksjoner.
Å ivareta digital sikkerhet er først og fremst et virksomhetsansvar. Regjeringen lanserte Nasjonal strategi for digital sikkerhet i slutten av januar nå i år. I strategien er en av målsetningene at virksomheter har en risikobasert tilnærming mot uønskede digitale hendelser, og bruker anerkjente rammeverk, standarder og styringssystemer for digital sikkerhet.
Både leverandører av tjenester, og virksomheter som benytter tjenester fra leverandører har et ansvar for å foreta nødvendige risikovurderinger. Det innebærer at leverandører må gjøre risikovurderinger knyttet til hvilke verdier de forvalter. Virksomheter som benytter leverandører må gjøre risikovurderinger for hvilke verdier de setter bort til andre for å forvalte.
Myndighetene skal legge til rette for at virksomheter kan beskytte seg mot uønskede digitale hendelser, både for å ivareta egen sikkerhet og for å øke samfunnets samlede robusthet. Offentlige myndigheter har kommet med flere råd og anbefalinger de siste årene for å øke virksomheters egenevne til å beskytte seg mot og håndtere uønskede digitale hendelser. Blant disse er Nasjonal sikkerhetsmyndighets Grunnprinsipper for IKT-sikkerhet og Direktoratet for forvaltning og ikt sin Internkontrollveileder. I tillegg utgir Nasjonal sikkerhetsmyndighet, Etterretningstjenesten og Politiets sikkerhetstjeneste årlige risiko- og trusselvurderinger som virksomheter har tilgang til.
I Nasjonal strategi for digital sikkerhet er det 10 anbefalte tiltak for å øke virksomheters egenevne. Disse er utarbeidet i et samarbeid mellom offentlige og private virksomheter, og er et godt utgangspunkt for virksomheter for hvilke vurderinger de må gjøre innenfor digital sikkerhet. I tillegg vil jeg ha et tett samarbeid med sektoransvarlige statsråder for å påse at offentlige etater og virksomheter med ansvar for viktige nasjonale funksjoner følger opp den digitale sikkerheten.
Den nasjonale strategien er tilgjengelig for alle på regjeringen.no – se lenke:
https://www.regjeringen.no/no/dokumenter/nasjonal-strategi-for-digital-sikkerhet/id2627177/