1: Hvorfor er det viktig for dere som bedrift/virksomhet at det finnes sertifiseringer og standarder tilknyttet varer og tjenester?
For oss er svaret innlysende. Vi er det norske medlemmet i ISO og standarder er jobben vår. Det finnes en rekke nasjonale og internasjonale standarder som skal bidra til å verne samfunnet mot hendelser som kan true verdier, funksjoner, liv og helse. Eksempler på dette er ISO 22230 for bedre koordinering mellom nødetater og at norsk offentlig sektor anbefaler bruk av ISO 27001, den internasjonale standarden for IT-sikkerhet.

Standarder er en slags «beste praksis». Noe av standardene kan man sertifisere seg etter, og sertifiseringer bidrar til styrket omdømme, troverdighet og kompetanse.

2: Hva er viktig å tenke på når man handler varer og tjenester på tvers av landegrenser?Å bruke internasjonale standarder gir enklere tilgang til nye markeder for norske aktører. Norske bedrifter som handler på tvers av landegrenser må forholde seg til internasjonale retningslinjer og direktiver. Europeiske standarder utarbeides for å følge opp krav i direktivene. Disse utgir vi i Norge som Norsk Standard, og bruker man disse ivaretar man også direktivkravene. Ved å delta i utviklingen av standarder påvirker man innholdet samtidig som man holder seg oppdatert og vil styrke konkurransekraften sammenliknet med konkurrenter som ikke deltar.

3: Hvilke sikkerhetskrav bør det stilles til bruker av varer ogtjenester?
Vi tror utfordringene knyttet til sikkerhet i dag kanskje er størst på digitale plattformer. Dette er problemstillinger som berører alle virksomheter uavhengig av sektor eller størrelse. Regjeringens digitale sårbarhetsutvalg, Lysneutvalget, kom før jul med sin NOU «Digital sårbarhet – et sikkert samfunn», og anbefaler bruk av internasjonalt anerkjente standarder for å oppnå effektive sikkerhetstiltak. Utvalget påpeker at standarder kan omfatte både organisering av sikkerhetsarbeidet, kompetansetiltak og konkrete tekniske sikkerhetsløsninger.

4: Hvilke krav bør stilles til utdanning og kompetanse for leverandør av denne typen varer og tjenester?
Det er behov for å styrke kompetansen innenfor IKT-sikkerhet, og det er en underdekning av IKT-sikkerhetseksperter. I Standard Norge arbeides det målrettet med å løfte kompetansen i undervisningsinstitusjonene om fordelene som ligger i bruken av internasjonale standarder.

Et tiltak vi jobber med er styrket samarbeid med NTNU, Gjøvik og CCIS (senter for cyber- og informasjonssikkerhet). Et mål blant andre er å få standardisering inn som en del av masterstudiet og få til prosjekter knyttet til IKT-sikkerhet, cyber security og samfunnssikkerhet. Hensikten er å bidra til økt kompetanse hos kommende yrkesutøvere på området.

5: Hvilke er de største utfordringene i bransjen, og hvordan kan disse best mulig løses?
Standard Norge har kartlagt behov innenfor IKT-sikkerhet og personvern, og har fem råd som kan styrke IKT-sikkerhet og personvern i samfunnet.

  • Det er behov for styrket offentlig-privat samarbeid.
  • Ekspertisen på IKT-sikkerhet kan utnyttes bedre gjennom økt kunnskapsdeling.
  • Misforståelser kan unngås gjennom utvikling av et felles språk og begrepsapparat.
  • For Norge vil det lønne seg å ta i bruk internasjonale standarder framfor å lage særnorske løsninger.
  • Det trengs uavhengige arenaer, som Standard Norge, der interessentene kan delta for å komme fram til gode felles løsninger.

 

1: Hvorfor er det viktig for dere som bedrift/virksomhet at det finnes sertifiseringer og standarder tilknyttet produkter og tjenester?
Kompetanse er selve bærebjelken i vår virksomhet innen informasjonssikkerhet.  Vi leverer løsninger og tjenester hvor kunden forutsetter at vi besitter markedets beste kompetanse.  Sertifiseringer viser at vi har forutsetninger for å kunne levere løsninger og tjenester innen informasjonssikkerhet til kunder hvor sikkerhet er kritisk for deres virksomhet.

2: Hva er viktig å tenke på når man handler tjenester og produkter på tvers av landegrenser?
Kravene til sikkerhetsløsninger øker dramatisk med bruk av nye tjenester hvor virksomheten ikke lenger har kontroll over egne data. Økt bruk av «public cloud» (skytjenester) hvor data lagres og behandles utenfor virksomhetens kontroll og store endringer i hvordan og hvor brukere behandler og lagrer data innebærer høyere risiko for datatyveri eller manipulasjon av data. 

3: Hvilke sikkerhetskrav bør det stilles til bruker av produkter/tjenester?
Penetrasjonstesting, hvor vi benytter samme metoder som en potensiell inntrenger, viser at det aldri er et spørsmål om det er mulig å bryte seg inn hos en kunde for å ta kontroll over data eller systemer. De eneste faktorene viser seg å være tid og innsats. Ofte finner vi at det svakeste leddet er ansatte i virksomheten.  Dette er en faktor vi aldri vil kunne eliminere. Opplæring og bevisstgjøring av ledelse og ansatte er helt avgjørende faktorer i kampen mot datakriminalitet.

4: Hvilke krav bør stilles til Utdannings/kompetanse for leverandør av denne typen produkt/tjenester?
Alle leverandører av sikkerhetsløsninger og tjenester bør kunne dokumentere formalkompetanse.  Det er også avgjørende at leverandørene kan vise til relevant praktisk erfaring innen informasjonssikkerhet.

5: Hvilke er de største utfordringene i bransjen, og hvordan kan disse best mulig løses?
Jeg tror de største utfordringene for IT-sikkerhetsbransjen fremover blir tilgang på kompetente ressurser.  Det finnes nok ingen enkel løsning på dette problemet, men jeg blant annet at kundene kan stimulere markedet ved å velge mindre og spesialiserte aktører som har fokus på sikkerhet fremfor store generalister.  Gjensidig avhengighet stimulerer ofte positivt, driver utviklingen videre og gir ofte gode resultater.

 

1: Hvorfor er det viktig for dere som bedrift/virksomhet at det finnes sertifiseringer og standarder tilknyttet produkter og tjenester?
Internasjonale sertifiserte produkter signaliserer kvalitetskrav som er oppfylte, dette er spesielt viktig innen sikkerhetsprodukter, i tillegg har mange land sine egne sertifiseringer innen sikkerhet som Norge, Nasjonale sikkerhetsmyndigheter, NSM, der er produktene tilleggs testet mot økt sikkerhet og robusthet. Produkter godkjent av NSM bør brukes hvis de er tilgjengelig på markedet.

2: Hva er viktig å tenke på når man handler tjenester og produkter på tvers av landegrenser?
Å ha lokal service i nærheten er viktig ved kjøp av produkter og tjenester innen sikkerhet, svikter noen elementer må det finnes hjelp i nærheten, ellers kan deler eller hel virksomheter måtte stoppe.

3: Hvilke sikkerhetskrav bør det stilles til bruker av produkter/tjenester?
Noen grunnleggende krav om sunn fornuft.  Brukarene har frem til nå ofte blitt et offer for kompliserte og krevende rutiner som de må igjennom for å kunne utføre sitt arbeid. 

Nå må brukere bli flinkere til å stille krav om brukervennlighet samtidig som sikkerheten er i varetatt. Brukere skal ikke bli mindre effektive i sitt arbeid selv om sikkerhets kravene øker.

4: Hvilke krav bør stilles til Utdannings/kompetanse for leverandør av denne typen produkt/tjenester?
Innen sikkerhet segmentet bør en velge produkter  som er utviklet og produsert i landet og godkjen av NSM, ettersom der er antageligvis en god kompetanse for å supportere kunden og ev. gjøre gode tilpasninger hvis nødvendig.  Ellers er det krevende for norske bruker som ofte må velge utalandske produkter og tjenester, som ikke helt passer.

5: Hvilke er de største utfordringene i bransjen, og hvordan kan disse best mulig løses?
Det viktigeste er å undersøker hvor er vi mest sårbare, og uten tvil er de bærbare enhetene som tas ut og inn i sikret miljø, på reiser, til kunder og hjem/hytte, for å kunne utføre arbeidet effektivt. Disse enheten må sikres slik at de ikke blir bærer av  ondsinnet programvare når de kommer tilbake i bedriften. I tillegg må de sikkers slik at sensitiv informasjon, som forretningshemmeligheter eller personal informasjon,  ikke kommer på avveie.  Hvis uhellet skulle inntreffe og en mistet PCen, må PCen være sikret mot inntrengere som er ute etter å skade bedriften.