– Vi har sett at store aktører har hatt alvorlige informasjonssikkerhetsbrudd, selv om de i utgangspunktet jobber for at det ikke skal skje. Det har blant annet skjedd i Statoil, i forbindelse med nødnettet, i Helse Sør-Øst og i Transportstyrelsen i Sverige, blant annet. Det har vi lært av.
Annonse
Når avdelingsdirektør for IKT i Politidirektoratet, Cato Rindal, denne uka legger fram politiets nye IKT-strategi, vies datasikkerhet mye oppmerksomhet. Etter en rekke dyrkjøpte erfaringer i offentlig sektor, der utenlandske IT-ansatte har fått tilgang til sensitive data og opplysninger, ønsker nå politiet å være krystallklare på hva som skal være retningslinjene for utviklingen av datasystemer i norsk politi.
Derfor stiller Politidirektoratet strenge krav til sikkerhet i sin nye IKT-strategi:
Alle politiets data skal lagres og prosesseres i Norge.
All utvikling, forvaltning og drift av politiets IKT-løsninger skal skje fra Norge.
Alle som har tilgang til data, drifter, utvikler eller forvalter IKT-løsninger som ansatt i eller etteravtale med politiet, skal ha taushetsplikt, uttømmende og utvidet politiattest og nødvendig sikkerhetsklarering avhengig av hva slags informasjon de har tilgang til.
Leverandører til politiet på IKT-området kan kun ha ett nivå med underleverandører.
De samme sikkerhetsmessige rammene som gjelder for politiet vil gjelde for hele leverandørkjeden.
– Selv om arbeidsprosessene deres er lagt opp til at man skal unngå det, ser vi at solide virksomheter har endt med problemer på sikkerhetsområdet. Og når informasjon har endt opp steder der den ikke skal, er det ofte vanskelig å rette opp i det. Derfor ønsker vi å sette opp føre-var-prinsipper, sier Wilfred Østgulen, sjef for seksjon for strategi og arkitektur i Politidirektoratets IKT-avdeling.
– Det er et faktum at trusselbildet har blitt mer alvorlig. Det sier både Nasjonal sikkerhetsmyndighet, E-tjenesten og PST. Disse føre-var-prinsippene legges til grunn også når vi bruker markedet, forsikrer Rindal.
Ble utfordret av de ansatte. Nå kutter de konsulenter og vil gjøre mer internt.
Da arbeidet med nye IKT-strategier for politietaten startet for over et år siden, var arbeidet i stor grad rettet mot hvordan man kunne bruke markedet i større grad og hvordan nye IKT-løsninger kunne finansieres. Det skapte uro internt, enkelte fryktet en ny strategi først og fremst hadde som mål å føre til økt outsourcing, med følger det kunne få både for IKT-sikkerheten og for arbeidsforholdene til de ansatte i Politiets IKT-tjenester.
I september i fjor, endret imidlertid strategiarbeidet karakter. Mandatet ble utvidet. IKT-strategien som nå ligger på bordet, innebærer en omvending. Nå tar den for seg organiseringen av IKT-arbeidet i politiet som helhet. Det er nødvendig for at politiet virkelig skal vite hvordan de kan realisere digitale løsninger raskere, som er målet med IKT-strategien.
– Dersom vi ønsker å ha en reell dialog med markedet, må vi vite hvordan IKT-funksjonen politiet skal være. Hvem skal gjøre hva? Hvordan skal leveransemodellene skal være? Derfor gikk vi tilbake til drøftingsmøtene på nytt og endret mandatet. Gjennom våren og høsten hadde vi en rekke møter med blant annet NAV, Statens pensjonskasse, IKT-avdelingene i svensk politi og andre, der vi spurte hvordan de løste det. Det gjorde at vi så at vi måtte ha en mer helhetlig strategi for hvordan politiet skal jobbe med IKT, før vi går ut i markedet, forteller Østgulen.
Når den endelige strategien ligger på bordet, kan det altså late til at de kritiske røster har fått gjennomslag. Flere personer som for et år siden var kritiske til strategiarbeidet og som fryktet for både arbeidsplasser og IKT-sikkerhet, uttrykker overfor Politiforum at de nå er fornøyde med resultatet.
I den nye strategien heter det blant annet at mer av IKT-utviklingen innen politiets kjerneoppgaver skal skjer internt i politiet. Det vekker varme følelser hos blant annet tillitsvalgte og i verneapparatet.
– Vi skal drive mer utvikling selv. Særlig innenfor våre kjerneoppgaver som forebygging, straffesaksbehandlingen og etterretning. Vi ser at her er det få gode løsninger å kjøpe i markedet, fordi politiet er unike. Så får vi heller finne andre IKT-områder hvor vi kanskje kan finne mer hyllevare ute i markedet, sier Rindal.
I 2017 brukte norsk politi rundt 1,4 milliarder kroner på kjøp av IKT-tjenester i markedet. 10 prosent av etatens budsjett går til IKT. Fortsatt vil det være behov for enkelte tilleggsbevilgninger for å ta igjen etterslepet politiet ser i eldre dataverktøy og infrastruktur fra 2000-tallet, men IKT-toppene mener at antall kroner som går til IKT nå er på et akseptabelt nivå. Det vil være nok for å kunne drive den utviklingen man ønsker framover, tror de.
– Vi tror at økonomisk sett har de pengene vi trenger. Men vi må omdisponere bruken av pengene.
Et grep, er å kutte i antall konsulenter, ifølge IKT-strategien: «Det vil øke antall ansatte, men redusere kostnadene», heter det.
– Det innebærer blant annet at vi bytter ut konsulenter og vil ansette egne ressurser. Blir det vakanser på et område, kan vi vri det over til en ledig stilling på områder hvor vi trenger å styrke kompetansen i politiet, forklarer IKT-direktør Rindal.
Vil unngå at fagmiljøer går solo
Ansatte Politiforum har snakket med tidligere, har også vært bekymret for at styringa av IKT-utviklinga i politiet har fått for lite plass. Det finnes konkrete eksempler på at fagavdelinger i Politidirektoratet har kjøpt inn datasystemer til sine spesifikke fagområder, uten at det innebærer muligheter for lisenser og bruk i andre deler av etaten.
Slike tilfeller, der man tenker silobasert og som kan gjøre at politiet ender opp med et uoversiktlig landskap av en rekke dataverktøy, ønsker IKT-sjefene i POD å unngå. De sier at de har fått med seg hele ledelsen i politiet på sin strategi, som innebærer at det nå vil lages en reguleringsplan for hvordan nye dataløsninger skal utvikles.
– Vi vil unngå at noen kjører solo og kjøper løsninger som ikke kan brukes av andre i politiet. En slags reguleringsplan kan være en løsning på det. Digitalisering har fått et tydelig fotavtrykk i hele politiets virksomhetsstrategi. Vi har gått gjennom de rapportene som har vært skrevet om teknologisituasjonen i politiet, og til slutt stilt oss spørsmålet om hvordan vi kan realisere digitaliseringsbehovet vårt. Nå har vi fått en strategi som skal bidra til å svare på tre hovedproblemstillinger: Finansiering, kapasitet og kompetanse, og tempo for å realisere nye dataverktøy, sier Rindal.
Politiet ønsker nå å modernisere måten de utvikler datasystemer og applikasjoner på. I stedet for store, langvarige prosjekter, ønsker man å følge trenden i IKT-bransjen. Det betyr at dataløsninger skal leveres kontinuerlig, gjennom hyppige og mindre leveranser.
– Metoden for å produsere IKT-systemer har endra seg. Det må vi endre oss etter, også for å kunne hente ny og attraktiv kompetanse. Ved å fortelle arbeidsmarkedet at vi vil drive arbeidsprosesser på denne måten, forteller vi også at vi er en attraktiv arbeidsplass. Man vil ikke stagnere faglig sett av å jobbe med IKT i politiet, mener Østgulen.
– Vi ser faktisk nå at noen ansatte som forlot politiet for en tid siden, er på vei tilbake. De ser at politiet har et stort potensiale for interessante arbeidsoppgaver og -metoder, sier Rindal.
– Og hvordan har dere tenkt å bruke markedet framover?
– Vi peker på noen spesifikke områder i strategien. Markedet skal for eksempel støtte politiet i å drive innovasjon. Politiet skal ikke drive grunnleggende teknologiinnovasjon. I tillegg skal vi blant annet bruke markedet for å gjøre de eksisterende avtalene våre bedre, sier Rindal.
Får skryt fra ansattrepresentanter
Den nye IKT-strategien får varm mottakelse fra blant tillitsvalgte og vernetjenesten, som har vært involvert i arbeidet. Hovedverneombud for politiet Audun Buseth har sittet i styringsgruppa for den nye IKT-strategien.
– Fokuset og konklusjonene har endret seg i svært positiv retning i tiden mellom oppstart og den endelige IKT-strategien. Jeg opplever at hensynet til risiko og etatens behov er tatt på alvor i løpet av prosessen, sier Buseth.
Fagforeningene og ansatte har blitt hørt, mener han.
– Kritiske innspill fra fagforeninger og medarbeidere er tatt hensyn till. Det skal IKT-sjefen i POD ha ros for, sier Buseth.
Det samme inntrykket har lokallagsleder i Politiets Fellesforbund i Politiets IKT-tjenester, Polya Vitkova Johansen.
– Vi er fornøyde med den besluttede IKT-strategien. Med tanke på utgangpunktet i denne saken, har POD vist evne til å lytte og endre retning. Det har vært avgjørende med bred involvering både fra PIT, fra særorgan og fra fagforeningene. En viktig konsekvens av denne strategien er at PITs rolle er nå også definert og dette bidrar til PIT kan rigges etter politiets behov og sørge for at vi besitter den nødvendige kompetansen for de løsningene vi skal utvikle selv, sier Johansen.