9 Cybersikkerhet – i Norge og globalt
I dette underkapittelet presenteres undersøkelsen Global Cybersecurity Index (GCI), som gjennomføres regelmessig av International Telecommunication Union (ITU) og noen av resultatene fra gjennomføringen i 2017. Hensikten med å ta med dette i vegkartet er å:
- gi et perspektiv på utviklingen av cybersikkerhet globalt.
- sette Norges fokus og kunnskap om cybersikkerhet i en internasjonal sammenheng.
- vurdere om noen områder innen cybersikkerhet peker seg ut som ekstra viktige for Norge.
9.1 Innledning
Hensikten med GCI er å kartlegge verdens nasjoners forpliktelser og engasjement innen cybersikkerhet for å spre bevissthet rundt temaet. ITU har 193 medlemsland og har kartlagt cybersikkerhet internasjonalt siden 2013. Rapporten fokuserer ikke på industri, men er ment for å gi et totalbilde fra hvert enkelt land.
Rapporten understeker viktigheten av fokus på cybersikkerhet internasjonal ved at om lag 12 milliarder enheter har internettilkobling i 2020, og at behovet for sikring øker kraftig med antallet enheter etter som de i større og større grad kobles sammen. Det at omtrent en prosent av alle sendte e-poster er ondsinnede er en advarsel om å bruke tilkoblede enheter og infrastruktur i industri uten å sørge for en god cybersikkerhet. Utpressing etter cyberangrep er dessverre ikke uvanlig, og flere og flere bedrifter opplever å bli bedt om å betale store pengebeløp for å få låst opp igjen sine IT-systemer etter et cyberangrep.
9.2 Om undersøkelsen
Hovedformålet med GCI-undersøkelsen er å evaluere
- nivået av landenes innsats og engasjement innen cybersikkerhet sammenlignet med andre land, hvordan denne innsatsen er fundamentert samt utvikling over tid.
- nivået av cybersikkerhet globalt og regionalt.
- kontraster i cybersikkerhetsengasjement rundt omkring i verden.
Undersøkelsen baserer seg på å vurdere innsats og engasjement for cybersikkerhet innenfor følgende fem områder:
- rettslig rammeverk
- teknisk rammeverk
- organisatorisk koordinering
- kapasitetsutvikling basert på utdanning og agenter i offentlig sektor
- nettverk for informasjonsdeling og samarbeid.
Resultatene av evalueringen innen hvert av disse fem områdene blir så lagt sammen til en totalscore, Global Cybersecurity Index (GCI), som igjen brukes til å dele inn medlemslandene i tre grupper:
- Initiell fase (land med score under 50-prosentilen). 96 land havnet i denne kategorien i 2017.
- Modningsfase (land med score mellom 50- og 90-prosentilen). 77 land havnet i denne kategorien i 2017.
- Ledende nivå (land med score over 90-prosentilen). 21 land havnet i denne kategorien i 2017.
9.3 Resultater fra undersøkelsen
Rapporten fra 2017-undersøkelsen viser at fokus på cybersikkerhet varierer veldig sterkt globalt. Innenfor de ti landene med høyest score er alle regioner representert (se liste over definerte regioner under Figur 1). Store kontraster sees altså ikke bare mellom regioner, men også innad i regioner. Dette tyder på at sammenhengen mellom geografi og fokus på cybersikkerhet er underordnet andre faktorer. Figur 1 viser en grafisk fremstilling av hovedresultatene fra 2017 for hver nasjon opp mot ICT Development Index.
I undersøkelsen fra 2017 kom Norge ut på en 11. plass globalt. Blant landene over på listen (topp 10) har Norge høyest ICT Development Index (Norge er lengst til høyre av de 11 lengst opp i grafen), hvilket indikerer at vi har forholdsmessig høyere kompetanse på andre områder innen IKT enn på cybersikkerhet.
I tillegg til svak sammenheng med geografi viser rapporten at sammenhengen med generell styrke innen IKT også er relativt svak. Mer konkret kan en si at om en deler landene i to etter GCI-score, så er det relativt liten forskjell i spredningen av ICT-index. I Figur 2 kan en se at Europa har mange land som er langt fremme innen IKT generelt, men som henger etter når det kommer til fokus på cybersikkerhet (mange land befinner seg i nedre, høyre kvadrant). De tre landene med høyest GCI i Europa i 2017 var Estland, Frankrike og Norge.
Spesifikt om Norges score
I rapporten fra 2017 faller Norge innenfor kategorien ledende, dvs. over 90-prosentilen, med en GCI på 0,78. Dette resultatet, oppsummert i Tabell 1, er et gjennomsnitt av de fem områdene undersøkelsen evaluerer.
|
GCI-score |
rettslig rammeverk |
teknisk rammeverk |
organisatorisk koordinering |
kapasitets-utvikling basert på utdanning og agenter i offentlig sektor |
nettverk for informasjons-deling og samarbeid |
Cybersikkerhet i Norge |
0,78 |
0,96 |
0,89 |
0,64 |
0,81 |
0,57 |
Som vi ser drar området rettslig rammeverk opp i forhold til de andre områdene. Dette henger sammen med at vi i Norge har et relativt høyt fokus på personvern og at privat eller personlig bruk av internett skal være sikker. Forskningsrapporten The Norwegian Cyber Security Culture, gjennomført av NorSIS i 2016[1], dreier seg også i stor grad om dette, noe som kan tyde på at nordmenn assosierer cybersikkerhet med sosiale medier og personlig informasjon mer enn tingenes internett og industri.
Hvor forberedt er industrien i Norge på fremtiden?
Resultatet fra GCI-undersøkelsen inngår i en større rapport fra 2018, Readiness for the Future of Production fra World Economic Forum, som evaluerer hvor forberedt industrien i ulike land er på fremtiden. Sammenligning av GCI opp mot vurderingen i denne rapporten viser at Norge er relativt langt fremme på cybersikkerhet i forhold til industri og industriell bruk av teknologi generelt. Dette tyder på at teknologisk spisskompetanse mot industri kan være en utfordring for Norge, hvor cybersikkerhet ikke er et unntak.
______________________________
[1] https://norsis.no/wp-content/uploads/2016/09/The-Norwegian-Cybersecurity-culture-web.pdf
9.4 Oppsummering
- I 2017 ble Norge ranket som nummer 11 på verdensbasis og nummer 3 i Europa når det gjelder satsing på cybersikkerhet.
- Arbeid innen lov og rett drar opp betraktelig i forhold til andre evaluerte områder, noe som tyder på at området innen cybersikkerhet som vi er best på i Norge er personvern.
- En forskningsrapport fra NorSIS om norsk kultur for cybersikkerhet tyder også på dette.
- Basert på ICT Development Index ser det også ut som at Norge er lenger fremme innen andre IKT-områder enn cybersikkerhet.
- Til slutt, basert på en rapport fra World Economic Forum, har Norge et relativt stort potensial for en mer fremtidsrettet industri, og i lys av de andre observasjonene ser det ut som at økt industrirettet kompetanse innen cybersikkerhet ser ut til å være en del av dette potensialet.