Er det greit å sparke noen som ligger nede?
Myndighetene må forandre lovverket så bøtene fra Datatilsynet brukes til å utbedre it-sikkerheten.
Vi teller 2022 og det begynner å bli mange år siden jeg vokste opp ved siden av Frognerparken i Oslo, som på den tiden i langt større grad var et skogholt enn den designede parken vi har i dag. På den tiden hadde vi noen regler. Og en av de reglene man ikke fravek, var at skulle to hanekyllinger brake sammen på vei hjem fra Majoren eller Frognerparken-cafe, var kampen over når den ene parten enten ba om nåde eller var nede for telling. Man kan si at det eksisterte en «gentlemans agreement». Og siden familien min ofte ferierte både i Valdres, Drangedal og i Rørvik i Nord-Trøndelag, vet jeg at de samme reglene var kutymen rundt omkring i landet. Du sparker ikke noen som ligger nede.
IT-sikkerhet i kommunene
For ikke lenge siden hadde justisministeren og kommunalministeren et møte med kommunene og Kommunenes Sentralforbund (KS) for å sette fokus på it-sikkerheten i kommunene.
– For oss er det viktig at kommunene kan stå enda bedre rustet til å forebygge og håndtere digitale angrep som kan få store konsekvenser for innbyggerne, sa justis- og beredskapsminister Emilie Enger Mehl (Sp).
Men dette er ikke første gang myndighetene har satt fokus på dette – og med rette.
Etter angrepene på Østre Toten, sendte KS ut brev til alle kommuner i Norge om hva de måtte få på plass av løsninger for å bedre it-sikkerheten. Vi i Atea fikk disse tilsendt fra flere kommuner over hele landet, som ba oss forklare de hva punktene betydde og hvordan man skulle utbedre dagens løsning. Dette førte til en rekke webinar for både enkeltkommuner og kommunesamarbeid, som hadde fått høre om sjekklisten fra KS.
Mangel på folk
Det som kom tydeligst frem i dialogene vi hadde med de offentlige virksomhetene, var mangel på nok ressurser med sikkerhetskompetanse og verktøy til å følge med på hva som skjer.
I Norge mangler vi i dag 1900 ressurser for å fylle de rollene samfunnet trenger innenfor it-sikkerhet. Tallet stiger til 4300 i 2030, og da har vi ikke tatt med alle de behovene som OT-IOT og 5G vil være med på å skape framover.
Har ikke oversikt
I alle dialoger vi har hatt har tilhørerne identifisert seg med at de ikke har oversikt over dagens situasjon, ei heller har logg og rapportering på plass, og de mangler både ressurser og kompetanse til å utføre dette selv. Utfordringen disse står overfor, er at de ikke har midler til å bygge en motstandsdyktig løsning. Dette har ført at de brøt med GDPR-lovverket og fikk bøter fra Datatilsynet. Med andre ord i tillegg til å ikke ha midler til å utbedre datasikkerheten, har de fått en bot som tømmer budsjettene ytterligere.
Bøtene bør øremerkes
Det er vel og bra at GDPR-bøter skal få flere virksomheter til å gjøre de riktige prioriteringene. Men når vi ser at de mangler midler og ressurser, blir vel en bot på toppen det samme som å sparke noen som ligger nede.
For hvor går pengene fra overtredelsesgebyr som Datatilsynet gir? De går til det offentlige, på samme måte som penger fra en bot går til det offentlige.
Mulig tilnærmingen kan oppfattes naivt, men jeg mener at myndighetene må forandre lovverket så bøtene fra Datatilsynet, heller må brukes på å rydde opp og utbedre kvaliteten på løsningen. På denne måten vil utsatte virksomheter, først og fremst bli pålagt å benytte pålegget til å utbedre motstandsdyktigheten og ivareta personopplysningene i egen virksomhet.