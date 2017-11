Sikkerhetsloven må bli klarere, men det er ikke nok. Offentlige etater må ta IT-sikkerhet på større alvor.

NRK avslørte tidligere i år at deler av nødnettet har vært driftet fra India. PSTs etterforskning avdekket flere avvik fra Sikkerhetsloven. Saken måtte likevel henlegges, fordi det er uklart hva som skal til for å ilegge straff. Den uklarheten må fjernes.

Informasjonssikkerhet blir stadig viktigere, og nødnettsaken er bare ett av flere eksempler på at offentlige myndigheter ikke har innsett alvoret.

Nødnettet er et digitalt samband for blant annet politi, brannvesen og helsetjenesten, og dermed en bærebjelke for rikets sikkerhet. At selskapet Broadnet AS utsatte deler av driften til det indiske teknologiselskapet Tech Mahindra Ltd, åpnet for at ansatte i India kunne ha stengt ned deler av nødnettet, og påvirket norsk nødkommunikasjon. Det kunne fått svært alvorlige konsekvenser.

Bøe, Torstein / NTB scanpix

Når PST ber om et klarere lovverk, er det grunn til å lytte. Dersom det er uklart hvilke lovbrudd som er straffbare, bør loven justeres. Ny sikkerhetslov skal snart behandles i Stortinget, så bestillingen fra PST er godt timet.

Sikkerhetsloven er likevel ikke det viktigste virkemiddelet for å ivareta nødvendig informasjonssikkerhet.

Nødnettsaken avdekket blant annet at rådene Broadnet fikk fra offentlige etater ikke var gode nok, og at Direktoratet for nødkommunikasjon ikke hadde god nok kontroll med hvem som hadde tilgang til systemet.

PST slår fast at oppfølgingen av de private leverandørene var mangelfull, og at Broadnett ikke hadde forutsetninger for å følge sikkerhetsloven. Det er åpenbart at direktoratet har hatt for stor tillit til leverandørene.

Det er skandaløst at et indisk selskap har hatt mulighet til sette deler av det norske nødnettet ut av drift. Slike skandaler må føre til at rutinene skjerpes. Et klarere lovverk er nødvendig, men ikke tilstrekkelig for å hindre tilsvarende hendelser i fremtiden. Straff kan ikke rette opp i konsekvensene av alvorlige sikkerhetsbrudd.

Tillit et vanligvis et hedersord, men når det gjelder it-sikkerhet holder det ikke å stole på underleverandører. Tapt kontroll over nødnettet er en så alvorlig sikkerhetstrussel at de ansvarlige må helgardere seg.