Flere av de 17 datasentrene, som selv har vurdert sin egen digitale sikkerhet, skårer jevnt over høyt innen sikkerhetskultur, IKT- og verdikartlegging.    

Når det gjelder regelmessige sikkerhetsoppdateringer av servere og klienter, og overvåkning og rapportering av uønskede hendelser, er resultatet derimot langt dårligere. 

– Flere datasenteroperatører bør iverksette tiltak for å heve sikkerheten på disse områdene. Vi forutsetter at den enkelte datasenteroperatør gjennomgår sin rapport og gjør disse vurderingene knyttet til egen virksomhet, sier seksjonssjef for tilsyn og beredskap i Nkom, Sander Norrøne Ask.

Må følge Ekomloven

Datasentrene i undersøkelsen er valgt ut basert på størrelse, geografisk plassering og datasentertype. Ekomloven, som trådte i kraft i fjor, pålegger alle operatørene å oppfylle datasenterforskriften for å ivareta den digitale sikkerheten.  

Ettersom regelverket er nytt, er det stort behov for veiledning av de som skal tilpasse seg den, mener Nkom.

– Datasenter er en viktig del av den digitale infrastrukturen i landet vårt, og det er viktig at de følger kravene til digital sikkerhet. Vi anbefaler at alle datasenteroperatører, også de som ikke var underlagt tilsynet, å gjennomføre NSMs cybersjekk. Så skal vi i Nkom sørge for å gi veiledning og gjennomføre tilsyn, sier Norrøne Ask. 

Om tilsynsrapporten:

  • Nkoms tilsynsrapport er basert på datasenteroperatørenes egen vurdering av den digitale sikkerheten.
     
  • De utvalgte datasentrene er plukket ut for å representere bredden av datasentre, med tanke på hyperscale (store, dedikerte datasenter), colocation (samlokaliseringsdatasenter) og edge (mindre installasjoner), samt geografisk beliggenhet.
     
  • Operatørene har benyttet NSMs verktøy Cybersjekk for å kartlegge egen virksomhet, og gitt seg selv en poengsum fra 1 til 10 innen de ulike kategoriene som er undersøkt.
     
  • Tilsynsrapporten skal sjekke modenheten i bransjen med fokus på IKT-sikkerhet, være veileder for bransjen og legge grunnlaget for fremtidige tilsyn. 
     
  • De 17 datasentrene som har deltatt i undersøkelsen er anonymiserte, for ikke å utlevere virksomhetenes sårbarheter og beskytte eventuelle sensitive interne forhold.