Regjeringen overser sikkerhetsrisiko
Dataormen «Conficker» kostet PDMT 30-50 millioner kroner.
11. mars var politiets datanett utsatt for det mest omfattende angrepet noen sinne. Dataormen «Conficker» kostet PDMT 30-50 millioner kroner. Allerede i 2005 ble regjeringen varslet - uten å gjøre noe.
I 10 dager var det store problemer og nær full produksjonsstans for mange av politiets 16 000 PC-er. Operasjonssentralene fikk begrenset med informasjon som politipatruljene trengte i kritiske situasjoner. Saksbehandlere bare delvis tilgang til sitt arbeide. Og etterforskere fikk i sterkt begrenset grad håndtert etterforskningsdokumenter.
Alt dette som følge av en lenge varslet krise. Uten at det får konsekvenser for noen. 29. mai i år leverte Politiets data- og materielltjeneste en hemmeligstemplet rapport til politidirektøren. Der var årsaken til «Conficker-krasjen» beskrevet. Og der var øyeblikkelige behov beskrevet.
Men siden har det vært stille i det offentlige rom. Og i mellomtiden går toget for å påvirke endelig behandling av revidert nasjonalbudsjett. For på det fremlagte forslag til revidert nasjonalbudsjett har ikke regjeringen avsatt en krone til å gjøre noe med den overhengende sikkerhetsrisikoen i politiets datanett.
Kostbart
Dette kan bli dyrt. I Gartner-rapporten som ble fremlagt av PDMT i 2005, var det anslått at det ville koste 172 millioner kroner å få modernisert infrastrukturen i politiets datanett. Hva regjeringens sommel foreløpig har kostet, vet trolig ingen.
De 30 millionene som Conficker-krasjen kostet er bare toppen av isfjellet. I dette anslaget er ikke tatt med i beregningen hva det kostet i produksjonstap å ha mange tusen medarbeide gående uten tilgang til datasystemene. Det er tidligere gjort kjent at en modernisering av datanettet ville føre til ni millioner i årlige besparelser i strømbruk, 150 datastillinger kunne frigjøres til å få politikraft, og det ville bli redusert behov for innkjøp av PC-er. Årlig besparelse ni millioner. I stedet brukes det nå store summer på konsulenttjenester for å få laget spesial «patcher» til antivirusprogrammene. Fordi de gamle NT 4.0-serverne ikke klarer å håndtere moderne virusprogrammer. Men selv spesialpatchene hjalp ikke denne gangen.
Mye tyder på at politiet er godt i gang med å bruke samme sum som en investering hadde kostet til å lappe på en pill rotten infrastruktur.
- Det er å kaste penger ut av vinduet når politiet flikker på et gammelt opplegg i stedet for å gjøre det helt og skikkelig med noe som er tilpasset den nye arkitekturen, sa leder for IKT-drift hos PDMT Torhild Silseth til Politiforum i fjor.
Ikke tid
Men justisminister Knut Storberget hadde ikke tid til å forklare Politiforums lesere hvorfor regjeringen ikke fant penger til dette på revidert. I stedet svarte Justisdepartementets presse- og informasjonsenhet følgende:
- Muligheten for nye satsinger i forbindelse med revidert nasjonalbudsjett er svært begrenset. For 2009 må dette også ses i sammenheng med at budsjettet for 2009, inkludert Regjeringens tiltakspakke, allerede er svært ekspansivt.
Uakseptabel risiko
- Det er en realitet at politiets IT-infrastruktur er utdatert, og det er økende tendens til ulike former for driftsproblemer. Dette er svært alvorlig, og det er risiko for driftsproblemer som har konsekvenser for flere virksomhetsområder og som vil ramme politiets normale tjenesteproduksjon. Virushendelsen tidligere i år er et eksempel på dette. Ikke minst er driftsproblemer alvorlig i forhold til politiets beredskap og krisehåndtering som forutsetter stabil og sikker tilgang til informasjonssystemer for å støtte politiets operasjoner, sier seksjonssjef Geir Smith-Meyer Johannessen.
- Politidirektoratet jobber opp mot departementet for å få avklaringer vedrørende nødvendig finansiering. Dersom utgiftene til fornyelse av IT-infrastrukturen må dekkes over politiets ordinære budsjett, vil gjennomføringen forsinkes samtidig som det vil måtte føre til tilsvarende reduksjon i driftsbudsjettene til politidistriktene og særorganer. Uansett må fornyelsen gjennomføres snarest, ytterligere utsettelse innebærer etter direktoratets oppfatning en uakseptabel risiko, sier avdelingsdirektør i Politidirektoratet Arnt Inge Rolland.
Infrastruktur må moderniseres
- Generelt kan vi si at politiet har tekniske løsninger som er sammensatt av teknologi fra et stort tidsrom. Dette gir sikkerhetsmessige utfordringer. Det ser ut som om det er lettere å få penger til utvikling av nye dataløsninger enn til drifting av systemene, sier kommunikasjonsdirektør Espen Strai i PDMT til Politiforum.
Gartnerrapporten viste allerede i 2005 at politiet har en dataløsning som er billig i drift, men som har høy risiko. Spørsmålet er om politiet er stedet for å ta høy risiko på driftssikkerhet og datainnbrudd. Stai sier at «Conficker-angrepet» bekrefter de risikoanalysene som Gartnerrapporten ga.
- Svakhetene ved dagens infrastruktur går ut over sikkerheten i systemene, og angrepet har synliggjort akkurat det som risikoanalysene fortalte ville skje.
Sterkt beklagelig
PDMT-direktør Lars Henrik Bøhler mener det er sterkt beklagelig at regjeringen ikke har funnet midler på revidert nasjonalbudsjett for å styrke politiets satsing på IKT-sikkerhet.
Det mye omtale #2-konseptet ble, uventet for Bøhler, ikke tildelt ekstra midler på årets reviderte nasjonalbudsjett. Politidirektoratet har bevilget 41 millioner kroner for å kunne starte opp #2-prosjektet i 2009. Dette har ikke vært friske midler som er øremerket til dette formålet, men de er tatt fra PODs ordinære driftsbudsjett. Nå blir det mindre til operativ politivirksomhet. - Dette er meget uheldig for IKT-sikkerheten i politiet. Vi vet alle hva som skjedde da politinettet nylig ble angrepet av virus. Med denne defensive holdningen fra regjeringens side, blir infrastrukturen i politiets IKT-systemer satt mange år tilbake. Nå må vi vente mellom tre og fem år før vi er i mål. Med litt ekstra drahjelp fra regjeringen kunne vi halvert ventetiden, sier Lars Henrik Bøhler.
- Politiet blir daglig angrepet av virus. Vi kan ikke forsikre oss om at det som skjedde tidligere i år ikke vil skje igjen, sier Bøhler.