– Mye av jobben handler om å holde ledelsen informert. Det må være en rød tråd fra strategi og planlegging ned til teknisk infrastruktur, og det er min oppgave som informasjonssikkerhetsansvarlig. Hensikten er å øke bevisstheten om behovet for sikring av informasjon, og spesielt i forbindelse med kjernevirksomheten vår.
Leiv Engelschiøn er informasjonssikkerhetsansvarlig i Statsbygg. Det har han vært siden 1. mars i år, da stillingen ble formelt opprettet.
– Dette gir oss én å henge bjella på; én som sikrer at vi har et styringssystem for informasjonssikkerhet, og som kan sikre at vi har et program knyttet til oppfølging av sikkerhetsarkitektur og implementering. Tidligere lå dette gjerne hos IT-sjef og andre, som en del av øvrige oppgaver. Det er ikke lenger tilstrekkelig. Det trengs et høyere nivå og økt bevissthet om sikkerhet. Et mareritt ville være om et byggeprosjekt ble stanset grunnet et løsepengevirus. Informasjon er blitt et stadig mer attraktivt angrepsmål.
– Oppgaven begynner å bli så stor at vi har sett at det var behov for en stilling som den jeg har. Oppgaven min kan ikke være en deloppgave i andre posisjoner. Vi ønsker jo i disse dager å ha alt digitalt: Alt skal digitaliseres. Dette skaper nye muligheter til å jobbe mer effektivt, men samtidig må vi holde all risiko på et minimum.
– En annen viktig oppgave er å sikre tilstrekkelig opplæring av brukere, slik at vi er best mulig rustet til å håndtere et angrep eller brudd på informasjonssikkerheten.
En viss grad av tillit
– Det er ingen tvil om at vi har en del bygg som er spesielt skjermingsverdige, og Regjeringskvartalet hører til blant dem. Aktiviteten som foregår der er underlagt sikkerhetsloven. Det betyr at det gjelder spesielle regler for hvordan informasjon skal behandles. Det er både lover og forskrifter som slår inn. Et spesielt regime gjelder, som gjør at det er vanskelig å komme utenfra og få tilgang til den type informasjon.
– Det er veldig mange ledd involvert i et slikt byggeprosjekt. Det kan være en bygningsarbeider som har behov for en tegning, digitalt på et nettbrett, på byggeplass. Derfra når det videre opp, gjennom entreprenør, rådgivere, arkitekter og opp til byggherre. Vi deler ut informasjon etter behov. Du får ikke mer enn hva du i utgangspunktet trenger.
– I et vanlig byggeprosjekt er det slik at vi har en avtale med en entreprenør, som igjen må sørge for at de har ivaretatt informasjonssikkerheten i sin organisasjon. Da må vi stille krav. Til en viss grad er dette basert på tillit. Det er så og si umulig for oss å ha full kontroll på samtlige som er involvert i et hvert byggeprosjekt.
– I forbindelse med spesielle bygg, som Regjeringskvartalet, er situasjonen som nevnt en annen. Sikkerhetsregimet er av en helt annen karakter. Dette er imidlertid ganske spesielt. Det er ikke mange slike prosjekter, som har denne type gradering. I andre prosjekter er reglene slik at entreprenører og andre vi samarbeider med må stille med eget, kontrollert utstyr til sine medarbeidere. Vi ønsker å unngå bruk av eget, privat utstyr.
Deler gjerne erfaringer
– Statsbygg er veldig interessert i å dele erfaringer og samarbeide med andre aktører i næringen. Vi ser det slik at vi aldri blir bedre enn det svakeste leddet i et byggeprosjekt. Hvis et selskap vi samarbeider med ikke har tilstrekkelig sikkerhet, løper vi også en risiko. Mange ønsker å kunne jobbe mest mulig sømløst, altså samhandle med minst mulig restriksjoner. De ønsker å jobbe slik som de mener er mest mulig effektivt for dem. Da vil vi måtte balansere hva vi kan tillate, og hva som ikke er mulig. På én side skal vi ta vare på sikkerheten, og på den andre skal vi sørge for mest mulig fleksibilitet og samhandling alle parter i mellom. Vi ønsker jo et mest mulig effektivt prosjekt. Statsbygg jobber mye med å gå opp disse linjene.
Lytter til fagfolk
– Jeg tviler på om en bedrift kan overleve fremover, med mindre de har god kontroll på og har plassert ansvaret for oppfølging av informasjonssikkerhet. Virksomhetene bør også skaffe seg noen samarbeidspartnere som kan bistå når det oppstår en hendelse som må håndteres. Vi følger med på risikovurderinger, både fra Nasjonal sikkerhetsmyndighet (NSM), Politiets sikkerhetstjeneste (PST) og etterretningstjenesten. De er alle tydelige på at brudd og angrep på informasjonssikkerheten er et økende problem.
– Mitt råd til de som driver med informasjonssikkerhet er å sørge for at ledelsen har tilstrekkelig fokus på området. Ledelsen må være klar over hva slags trusler og utfordringer virksomheten risikerer, dersom informasjonen i eget hus ikke er under kontroll. Arbeidet med informasjonssikkerheten må starte på toppen. Hvis det ikke begynner der, vil du aldri kunne gjøre en god nok jobb. Ledelsen må signalisere nedover i selskapet at dette er viktig, og at dette blir tatt på alvor.