På de fleste området i livet sier vi at øvelse gjør mester. I det ligger det en forståelse av at vi lærer gjennom å prøve og feile. Gjennom å øve lærer vi å unngå feil i reelle situasjoner. Det gjelder også når vi skal håndtere sikkerhetshendelser.
I 2018 gjennomførte vi en undersøkelse om arbeidet med informasjonssikkerhet i statsforvaltningen. Den viste blant annet at virksomhetene øver for lite.
Nytt øvingstilbud
14. oktober 2020 lanserte regjeringen et øvingstilbud for alle norske virksomheter. Øvingstilbudet skal være med på å styrke den nasjonale digitale sikkerheten. Portalen ovelse.no inneholder et sett med øvelsesscenarioer utarbeidet i samarbeid mellom Digitaliseringsdirektoratet (Digdir), Norsk senter for informasjonssikring (NorSIS), Nasjonal sikkerhetsmyndighet (NSM), NTNU og Direktoratet for samfunnssikkerhet- og beredskap (DSB). Arbeidet ble ledet av DSB.
Som Justis- og beredskapsminister Monica Mæland sa på lanseringsdagen, er hensikten med øvingsscenarioene å øke bevisstheten omkring digitale sårbarheter og å gjøre virksomheter bedre forberedt på å håndtere hendelser.
Hvorfor øver vi?
På spørsmål om hvorfor det ikke øves nok, begrunner virksomhetene det med at de ikke har tid eller at det er for dyrt å gjennomføre øvelser. Øvingsportalen som nå er lansert, skal blant annet bidra til at terskelen for å øve blir lavere.
Portalen tar for seg 12 forskjellige diskusjonsoppgaver tilpasset små og store virksomhetene. En diskusjonsøvelse er en øvelse hvor et tenkt scenario er blitt beskrevet. Virksomhetene skal så diskutere seg frem til hvordan de vil løse scenarioet. Diskusjonsoppgavene er korte og enkle øvelser som lar seg gjennomføre i løpet av kort tid.
Gjennomføring av øvelser vil blant annet være med på å gi ansatte kunnskap og erfaringer, i tillegg til å bidra til bedre risikoforståelse, som igjen vil bidra til en bedre sikkerhetskultur. Erfaringer fra øvelser bør brukes til å forbedre beredskapsplaner, sikkerhetstiltak og risikovurderinger i virksomheten.
Et eksempel kan være en varslingsøvelse. Dette er en øvelse som tester om varslingssystem og -prosedyrer i din virksomhet fungerer. Gjennom forberedelse av en slik øvelse vil du ta for deg prosedyrer som allerede foreligger. Kanskje oppdager du at det er lenge siden prosedyrene ble oppdatert. Gjennomføring av selve øvelsen kan for eksempel avdekke at varslingslisten har navn på personer som ikke lenger er ansatt i virksomheten, eller at personene på listen ikke kjenner sine roller og sitt ansvar godt nok.
Samspill med andre aktiviteter i virksomheten
Planlegging og gjennomføring av øvelser bør være tett koblet til andre aktiviteter som en del av virksomhetens internkontroll. Det er viktig at erfaringer fra øvelser er i samspill med virksomhetens øvrige aktiviteter og benyttes til forbedring av virksomhetens arbeid med informasjonssikkerhet. Øvelser kan også være med på å avdekke behov for sikkerhetskompetanse og forbedring av sikkerhetskulturen.
Øvelser er et godt verktøy til å identifisere muligheter til forbedring av beredskapsplaner og andre sikkerhetstiltak. Vanligvis er det evalueringen av øvelsen i etterkant som blir aller nyttigst for virksomheten. Jevnlige øvelser vil dermed bidra til kontinuerlig forbedring av informasjonssikkerheten i virksomheten.
Øvelser er med andre ord ikke en hindring og et resurssluk, men et viktig bidrag til å øke effektiviteten i arbeidet med styring og kontroll.
Øver virksomheten din jevnlig, vil det bidra til at en ekte uønsket hendelse vil bli oppdaget tidlig, varslet effektivt og uten unødig opphold. Og ikke minst til at hendelsen blir håndtert på riktig nivå uten at virksomhetens produksjon og ressursbehov blir påvirket mer enn høyst nødvendig.
Øv deg bedre!
Vi utsettes stadig oftere for digitale trusler. Arbeidet med å ivareta den digitale sikkerheten er derfor en kontinuerlig prosess som må pågå hele tiden. Mange virksomheter tenker godt rundt sikkerhet og har gode rutiner.
Ved å bruke den nye øvingsplattformen aktivt vil din virksomhet bli bedre rustet til å stå opp mot de nye digitale truslene, og bidra til å styrke den nasjonale digitale sikkerheten.
Øv deg bedre!
Lykke til!
Zoya Shah
Zoya har erfaring med informasjonssikkerhet samt sikkerhet og beredskap fra offentlig og privat sektor. I Digitaliseringsdirektoratet har hun vært med å utvikle veiledning for bidra til å styrke arbeidet med informasjonssikkerhet i offentlige virksomheter.
Andre Meisingset
Øving til folket