Vurderer risiko opp mot nytte

Det sier Erik Liaklev, leder for IT-seksjonen i Politidirektoratet (POD).

Fordi politiets systemer i utgangspunktet er skapt for å brukes i sikre omgivelser på politistasjoner og lensmannskontorer, med rutiner og kontroll på bruken, ligger det en stor utfordring i å sørge for sikker tilgang på mobile enheter.

– Når politiets systemer blir tilgjengelige på mobile plattformer, så tar vi dem ut i det offentlige. Da er det mulig å sjekke systemer hjemme, i bilen og på toget, og dermed blir situasjonen en helt annen for informasjonssikkerheten. Hvordan skal vi legge til rette for at ingen uvedkommende får tilgang til systemene? Hva om noen stjeler en Ipad som er pålogget? spør han.

Må tenke sikkerhet

Mobiliti, som skal erstatte Scireduct, ble lansert i sommer. Systemet er tilgjengelig både på PC, Mac, Ipad og Iphone, samt andre mobile enheter som bruker Androids operativsystem.

I dag er de fleste av politiets systemer tilgjengelige på Mobiliti, mens POD har valgt å ikke tilgjengeliggjøre andre.

– Det er vurderinger vi må gjøre i hvert enkelt tilfelle, sier Liaklev.

– Hvert enkelt system inneholder forskjellig informasjon, og da må vi gjøre en risiko- og sårbarhetsanalyse (ROS) for hvert system. Konkret gjennomfører vi i dag risikovurderinger for BL og TTA. Disse vil kunne være utslagsgivende for en del andre, fortsetter han.

En utfordring med BL, er at systemet forholder seg til hele 17 andre registre, deriblant DNA-registeret og Folkeregisteret.

– Da må hver av de 17 systemeierne akseptere å legge BL på Mobiliti. De skal gjennom en workshop for å gå gjennom risikopunkter, som vi har skissert opp på et notat, forklarer Liaklev.

Han understreker at både POD og PDMT ser at det ligger stor nytte i å ha mobil tilgang til politisystemene, og sier de ikke ønsker å framstå som «bremseklosser» for utviklingen.

– Men vi må tenke på informasjonssikkerheten, og har ansvaret for å ivareta systemene på riktig måte. Samtidig er vi innstilt på å akseptere en viss risiko. Denne risikoen må veies opp mot nytteverdien, og er verdien større enn risikoen, så vil vi anbefale opp mot toppledelsen at dette er en risiko vi må akseptere, sier Liaklev.

Tar totalvurdering

Dette kan for eksempel innebære at enhetene blir kryptert og utstyrt med programvare for sletting av enheten dersom den stjeles, eller knyttes opp mot begrensninger for hvor en kan bruke den mobile enheten.

– For eksempel at en ikke kan bruke den på toget. Det blir fort store avisoppslag om noen sjekker politiregistre fra toget, og slik kan vi ikke ha det. Dette må være avklart før vi kan gi råd til politidirektøren.

Liaklev sier det legges opp til en totalvurdering av Mobiliti i løpet av de nærmeste månedene, for å avklare hvilke systemer som skal være tilgjengelige. I den forbindelse ønsker de tilbakemeldinger fra de som har prøvd ut systemet, for å finne ut hva som er bra, og hva som er dårlig.