Bare én av tre statlige virksomheter – og så få som én av fem norske virksomheter – øver på beredskapen knyttet til informasjonssikkerhet. Dette er urovekkende.

I andre og tredje kvartal 2014 håndterte Nasjonal sikkerhetsmyndighet (NSM) nesten like mange alvorlige dataangrep som i hele 2013. Både norske banker og energisektoren ble utsatt for omfattende angrep. Dette går frem av innholdet i NSMs siste kvartalsrapport. Det er ikke lenger slik at det er et spørsmål om man blir utsatt for angrep – det er et spørsmål om når. God beredskap er det som gjør en virksomhet i stand til å håndtere alle uforutsette hendelser, dataangrep inkludert.

Da er det skremmende å se at undersøkelsen Bruk av IKT i staten viser at selv om over 70% av statlige virksomheter har beredskapsplaner på plass, er det kun én av tre som tar seg tid til å øve på disse planene. Mørketallsundersøkelsen – som inkluderer både privat og offentlig sektor – viser enda tristere tall. Kun én av fem rapporterer at de gjennomfører jevnlige beredskapsøvelser.

Så hvorfor er det så viktig å øve? Det er fint å ha planer. For all del. Men i en krisesituasjon har du ikke tid til å lete etter planene. I en krisesituasjon agerer du på refleks og intuisjon. For at planene skal ha noen effekt må de sitte i ryggmargen. Det oppnår man bare ved å øve og teste ut planer jevnlig.

På nasjonalt nivå øver man stadig mer på digital beredskap. Norge deltar i øvelser i regi av Nato. Høsten 2013 trente Telenor, Cyberforsvaret, Nasjonal sikkerhetsmyndighet (NSM), Politiet, Post- og teletilsynet, EVRY, DNB og SpareBank1 sammen i to dager på å takle en alvorlig cyberkrise.

Vi i Difi arrangerer årlige felles øvelser i staten. Formålet vårt med å gjøre det er todelt: å øve sammen for å sette fokus på gjensidige avhengigheter som er en konsekvens av digitalisering, men også å få virksomhetene til selv å gå hjem og øve. Skal vi håndtere en større krise sammen, må hver enkelt være forberedt.