Norden står midt i en tid med enorme geopolitiske spændinger, stigende cyberkriminalitet og trusler mod vores kritiske infrastruktur. Samtidig oplever store nordiske it- og teleselskaber, at det er svært og langsomt at få sikkerhedsgodkendt medarbejdere, som netop arbejder med at drive og beskytte kritisk digital infrastruktur.
En del af forklaringen er, at vi fortsat arbejder ud fra fire forskellige modeller i Norge, Sverige, Finland og Danmark. Det skaber forsinkelser, svækker beredskabet og gør det vanskeligere at reagere hurtigt, når trusselsbilledet skærpes.
Nu fortæller Telenor, hvad udfordringerne betyder i praksis, og hvorfor det svækker Danmarks digitale beredskab.
Problemet med sikkerhedsgodkendelser på tværs af Norden
I dag har Sverige, Finland, Danmark og Norge hver deres tilgang til sikkerhedsgodkendelse, klassifikation, adgangsstyring og definitionen af kritisk infrastruktur. Det er et stort problem for de virksomheder, der opererer på tværs af Norden og som beskytter store dele af vores kritiske digitale infrastruktur.
Forskelle i krav og procedurer i de fire lande betyder, at hvert land kræver en separat sikkerhedsgodkendelse – selv for medarbejdere fra samme koncern, der udfører identiske opgaver. I værste fald kan processen tage 1–1,5 år fra den første ansøgning om sikkerhedsgodkendelse, fordi en sikkerhedsgodkendelse først skal igangsættes i medarbejderens hjemland og derefter verificeres i et andet nordisk land.
Resultatet er dyr, langsom og ineffektiv drift og beskyttelse af vores digitale infrastruktur på tværs af grænserne. Norden har brug for fælles sikkerhedsgodkendelser, hvis vi skal beskytte os selv. Vi må sikre, at eksperter, data og ressourcer kan bevæge sig gnidningsfrit på tværs af grænserne, præcis som cybertruslerne allerede gør.
“En sektor, hvor minutter kan være afgørende”
Lars Thomsen er direktør i Telenor, der er ansvarlig for at bygge og drifte vores alle sammen digitale infrastruktur. Han har igennem mange år været bekendt med problematikken.
”Udfordringen handler grundlæggende om, at de rammer, som regulerer adgang til at arbejde med kritisk digital infrastruktur, ikke er tilpasset den virkelighed, sektoren står i i dag,” fortæller Lars Thomsen og eksemplificerer:
”Noget så grundlæggende som arbejdskraftens fri bevægelighed besværliggøres simpelthen af lange og uensartede processer for opholdstilladelser, sikkerhedsgodkendelser og autorisation på tværs af lande. Når adgang til nøglekompetencer forsinkes, svækkes vores evne til hurtigt at reagere på hændelser, genetablere drift og beskytte samfundskritiske digitale tjenester. I en sektor, hvor minutter kan være afgørende, er det et sikkerhedsproblem.”
Lars Thomsen forklarer, at det i praksis betyder, at man – på trods af fælles teknologier og tæt nordisk samarbejde – ikke altid kan bruge de rette kompetencer, når behovet opstår, eller bruge de samme systemer på tværs af landegrænser i Norden:
”Vi oplever, at godkendelser og adgangsrettigheder håndteres forskelligt fra land til land, også selv om kravene i substansen ofte ligner hinanden. Og det er jo ikke kun vores egne medarbejdere. Vores leverandører med specialiserede kompetencer møder også lange sagsbehandlingstider for sikkerhedsgodkendelser. Det skaber flaskehalse, forsinker projekter og reducerer vores samlede beredskab.”
I praksis betyder de nationale regler, at sikkerhedsgodkendelser ofte ikke kan bruges på tværs af landegrænser, selv når der er tale om medarbejdere fra samme koncern, som har mange års erfaring og allerede er godkendt i et andet nordisk land.
Det kan for eksempel føre til, at en medarbejder med mange års erfaring i Telenor Danmark og en dansk sikkerhedsgodkendelse ikke kan tiltræde en tilsvarende stilling i Telenor Norge, fordi godkendelsen ikke kan overføres. I ventetiden kan virksomhederne i praksis være afskåret fra at bruge egne interne specialister på tværs af Norden.
Hvis en krise rammer, svækkes vi uden de rette specialister
Konsekvensen er i værste fald, at virksomhederne ikke altid kan flytte de rigtige ressourcer hurtigt nok, hvis en krise rammer. Hvis nettet i et nordisk land bliver lammet, kan man eksempelvis ikke sende erfarne eksperter fra et andet land af sted med det samme for at hjælpe med at genoprette driften. Det svækker både reaktionsevnen og beredskabet, netop i en tid, hvor minutter kan være afgørende.
I Telenors Nordic Security Report peger man på behovet for en mere koordineret og pragmatisk nordisk tilgang til sikkerhed og beredskab. Her opfordrer Telenor således de nordiske lande til hurtigt at blive enige om fælles standarder og til at anerkende hinandens sikkerhedsgodkendelser for nøglefunktioner i kritisk digital infrastruktur.
Det samme peger IT-Branchen sammen med de andre nordiske brancheforeninger på. Læs om de fire initiativer, vi hurtigst muligt bør igangsætte.
Vil du vide mere om IT-Branchens nordiske samarbejde?
De fire centrale nordiske brancheorganisationer for it og teknologi har lanceret et nordisk initiativ, der skal styrke vores fælles forsvar, digitale modstandskraft og cybersikkerhed. Læs mere her.