I dag, torsdag 1. mars 2018, runder fagdirektøren for sikkerhetskultur i Nasjonal Sikkerhetsmyndighet (NSM) 1000 foredrag om sikkerhetsrelaterte temaer. I forbindelse med «jubileet» tok NRKbeta kontakt, og spurte hvilke problemstillinger han mener samfunnet står overfor i dag.

Menneskelig adferd er den viktigste faktoren

Et av de gjennomgående temaene Thon bruker mye energi på å forklare, er at digitale sikkerhetsutfordringer i all hovedsak ikke handler om teknologi. For man kommer ikke unna det menneskelige aspektet i dagens sikkerhetslandskap.

– Når jeg hører ordet dataangrep tenker jeg alltid at det er mennesker som angriper andre mennesker med teknologiske verktøy.

I en tid hvor soldater røper hemmelige militærposisjoner via treningsapper, er det lett å tenke at dette er et teknologisk problem. I mange tilfeller blir det derimot for enkelt å skylde på teknologien.

Det underliggende problemet er ofte manglende forståelse for hva som lagres, deles og hvilken mulighet man har til å styre dette.

Blir mindre hemmelig

NSM er en av de tre hemmelige tjenestene vi har i Norge, og historisk sett er det nettopp hemmelighold som har vært et gjennomgående tema hos disse tjenestene. I senere år har NSM derimot åpnet opp litt, og har blitt et semitransparent vindu inn i det norske etterretningsapparatet.

– Slik jeg ser det har vi gradvis blitt en sikkerhetstjeneste med større grad av åpenhet og med tjenester som i enda større grad kommer hele samfunnet til nytte, skriver Thon.

Roar Thon begynte som yrkesoffiser i den hemmelige tjenesten tilbake i 2003. Han gikk etter hvert gradene til seniorrådgiver, før han endte opp i dagens stilling som fagdirektør for sikkerhetskultur.

Han forstod raskt at sikkerhetsopplysning var et tema som lå nært hans hjerte.

I kraft av sin rolle bruker han mye tid på å forklare hvordan trusselbildet ser ut i den digitale sfæren, både for statlige aktører og privatpersoner.

Vi må finne en god balanse mellom behovet for sikkerhet og personvern, samtidig som vi må være i stand til å utnytte de fantastiske mulighetene som teknologien gir oss. Roar Thon

Veldig mye i samfunnet har forandret seg siden Thon begynte å forkynne digital sikkerhet for 15 år siden, men hans grunnrefleksjoner er i stor grad like aktuelle i dag som da han startet:

– Den menneskelige faktoren i sikkerhetsarbeidet, sammen med behovet for bedre informasjonssikkerhet i samfunnet, er fortsatt de viktigste områdene vi jobber med, mener Thon.

Thon innrømmer samtidig at NSM har gått gjennom en kulturendring internt. Fokuset på hemmelighold og skremmeri har blitt vesentlig nedtrappet i senere år, og Thon uttrykker at fokus på opplysning og veiledning i de aller fleste tilfeller er mer hensiktsmessig:

– Går jeg tilbake til 2003 var jeg nok veldig flink til å gjøre som resten av sikkerhetsbransjen; Spre frykt og skape redsel for alt det forferdelige som kunne skje. Det kan fortsatt skje forferdelige ting. Men jeg håper for NSM og egen del at vi er blitt flinkere til å gi råd og veiledning med fokus på løsninger istedenfor for «bare» å spre frykt.

For mye fokus på datainnbrudd

En av Thons kjepphester er at media ofte legger veldig mye fokus på datainnbrudd, men at innbrudd ikke nødvendigvis er det aspektet ved informasjonssikkerhet som får størst følger. Mangel på integritet og tilgjengelighet kan i mange tilfeller være minst like kritisk for både privatpersoner og bedrifter:

– Å rette et lys på datainnbrudd er viktig. men tap av tilgjengelighet til informasjon, systemer og plattformer er kritisk. I et samfunnsperspektiv er det oppskriften på en alvorlig samfunnskrise. Derfor syntes jeg det er for snevert at debatter om alt fra tjenesteutsetting til alvorlige cyberhendelser bare dreier seg om konfidensialitet.

Det samme kan sies om dataintegritet: Om man havner i en situasjon der man ikke lenger vet om informasjon har blitt manipulert eller endret, kan følgene være katastrofale.

Thon er optimistisk, og mener at både vi som samfunn og enkeltindivider har blitt flinkere til å tenke på personvern og sikkerhet. Basert på forespørslene Thon får, mener han at det er en økende interesse for bevisstgjøring rundt personvern og digital sikkerhet i alle lag av samfunnet, og at dette får følger for kommersielle sikkerhetsaktører som bruker skremselstaktikker:

– Det er gledelig, for vi trenger ledere som forstår sitt ansvar når det gjelder sikkerhet. Det utfordrer sikkerhetsbransjen til å skulle kommunisere eller «selge» sikkerhet på et annen måte. Nå må vi faktisk bidra med noe som er konkret og relevant for virksomhetene. Tiden for å skremme bør være forbi.

Samtidig er det noen skjær i sjøen, og det er fortsatt stor avstand mellom hva mennesker bekymrer seg for, og hva de ender opp med å gjøre: