Produktråd Cybersikkerhetssenteret

Agenda

• Nytt fra Cybersikkerhetssenteret
• Justert produktstrategi for Cybersikkerhetssenteret
• Supplerende tildelingsbrev
• Felles kanal for deling og diskusjon rundt logg
• Eventuelt

Nytt fra Cybersikkerhetssenteret

Bjørn Helge Kopperud (Sikt) orienterte om budsjettet for Cybersikkerhetssenteret 2026, om status for rammeavtalene, hvor det i hovedsak er interesse for oppdrag knyttet til teknisk sikkerhet. Videre orienterte han om at Digitaliseringsstyret har bevilget felles investeringsmidler for å realisere kompetansefellesskap i sektoren for henholdsvis sikkerhetsledelse og IT-juss. I tillegg har vi fått stimuleringsmidler til øvelser.  

Produktrådet fikk kort orientering om status på førstkommende øvelse 20. mai, hvor fem virksomheter skal øve sammen. 

Videre orienterte Bjørn om ny tjenestestyringsmodell, digitaliseringsråd og fagråd erstatter digitaliseringsstyre, porteføljestyre og produktråd. I tillegg til kundeinvolvering gjennom nevnte råd er også brukermedvirkning viktig, og Cybersikkerhetssenteret tar sikte på å videreføre det velfungerende produktrådet til dette formålet. 

Produktrådet tar saken til orientering, og peker på at det er viktig å identifisere grenseoppgang og samarbeidsflater mot allerede etablerte instanser i sektoren når kompetansefelleskapene skal realiseres. 

Justert produktstrategi for Cybersikkerhetssenteret

Bjørn orienterte om produktstrategi for 2026, som er revidert i tråd med produktrådets innstilling i 2025. Revisjonen har blitt noe mer omfattende enn planlagt, og gjenspeiler det produktområdeleder ønsker å fokusere på i 2026 for å nå den omforente langsiktige ambisjonen til Cybersikkerhetssenteret. Se produktstrategien her.

Cybersikkerhetssenteret tar sikte på å tilby trusselindikatorer gjennom API før sommeren. I tillegg starter en pilot for plusskunder på Microsoft MTO med mål om å effektivisere søk på tvers og på den måten avdekke flere trusselindikatorer.

Produktstrategien bærer preg av at Cybersikkerhetssenteret ikke lenger har tilgang til en kommersiell loggplattform, og mye av vår tekniske kapasitet går med på etablering av alternativer for å ivareta nødvendige kapabiliteter.

Produktrådet stiller seg bak produktstrategien, og peker på at den er nøktern og internt orientert. Bred brukerinvolvering er nødvendig ved neste iterasjon for å sikre tilstrekkelig balanse mellom interne behov og ekstern relevans. Produktrådet legger i tillegg til at det er ønskelig å se på muligheter rundt en SOC-tjeneste for sektoren.

Supplerende tildelingsbrev

Sikt har mottatt supplerende tildelingsbrev nr. 1-2026 fra Kunnskapsdepartementet (KD) med oppdatert mandat for Cybersikkerhetssenteret. Se tildelingsbrevet her.

Bjørn redegjorde for innholdet og prosessen som har vært med NSM og KD, herunder at varsling fra Cybersikkerhetssenteret nå går direkte til KD fremfor HK-dir, og at det etableres varslingsrutiner med Helse- og kommune CERT slik at KD får varsler om hele kunnskapssektoren. 

Redegjørelsen berørte også pågående diskusjoner knyttet til rollefordelingen mellom Cybersikkerhetssenteret som sektorrelatert responsmiljø (SRM) og som tjenesteleverandør, samt spørsmål om betalingsmodell og kundeinvolvering. Produktrådet ga innspill på mulige konsekvenser og delte sine perspektiver på disse problemstillingene. 

Produktrådet anerkjenner at dette er sammensatte og krevende problemstillinger, der enkle løsninger er vanskelig å finne. Det er ikke gitt at alle hensyn lar seg forene, og rådet understreker viktigheten av at løsninger oppleves rettferdige for hele sektoren – og at de minste virksomhetene ikke glemmes. 

Produktrådet tar saken til orientering. 

Felles kanal for deling og diskusjon rundt logg

Universitetet i Oslo ønsker en felles kanal for deling av deteksjonsregler, kompetansedeling og erfaringsutveksling knyttet til arbeid med logg.  

Produktrådet peker på Mattermost som beste plattform, da mange av de som jobber med logg i sektoren allerede er til stede her.  

Cybersikkerhetssenteret legger til rette for at Mattermost kan brukes til formålet, primært gjennom den allerede etablerte kanalen #logg. 

Eventuelt

Bjørn informerte om kommende temamøte 17.mars: Leverandøravhengighet hvordan skal norsk kunnskapssektor forholde seg til problemstillingen. 

Neste møte(r) i produktrådet blir digitalt i juni og fysisk i september, i forbindelse med Kunnskapssektorens sikkerhetssamling.  

Dette er en oppsummering fra møte i produktråd for Cybersikkerhetssenteret som var i Teknostallen i Trondheim, 3. november.

Agenda

• lnformasjon fra Cybersikkerhetssenteret
• DataOPS
• Satsingsforslag
• Rammeverk for hendelseshåndtering
• Mulig utvidelse av Defender-integrasjonen
• Erfaringer fra øvelse Nullpunkt
• Planlagte aktiviteter og utfordringer i din virksomhet
• Eventuelt

Informasjon fra Cybersikkerhetssenteret

Bjørn Helge Kopperud (Sikt) orienterte kort om arbeidet i Cybersikkerhetssenteret, og ga en løypemelding på gjeldende produktstrategi. Produktstrategien skal justeres ved årsskiftet, i tråd med tidligere tilbakemeldinger fra produktrådet.

Det jobbes fremdeles med å sikre stabil, vedvarende finansiering av Cybersikkerhetssenteret.

Det er ansatt to nye medarbeidere i Cybersikkerhetssenteret, som vil styrke utviklingsteamet noe. Teamet har i en periode vært noe redusert som følge av økt satsing på felles plattformer i Sikt.

Bjørn presenterte en tidlig versjon av Cybersikkerhetssenterets inntekts- og utgiftsbudsjett for 2026.

Bjørn orienterte om at det er valgt tilbydere på utlyste rammeavtaler, og at karensperioden er over. Det jobbes nå med utforming av kontrakt, og informasjon til sektoren som skal publiseres før kontraktsperioden starter 1. desember.

Sikt har fått et oppdrag fra Utdanningsdirektoratet om å etablere en støttetjeneste for vurdering av informasjonssikkerhet, personvern og universell utforming av digitale læremidler, læringsressurser og plattformer. Oppdraget er knyttet til grunnopplæringen, og vil være organisert i samme produktområde som Cybersikkerhetssenteret. Produktrådet peker på at det er tilsvarende behov i høyere utdanning og forskning.

Produktrådet tok saken til orientering.

DataOPS

Sindre Pemmer Aalen (UiO) informerte produktrådet om status på loggplattformen «DataOps» som UiO har etablert i samarbeid med UiB. Plattformen skal også kunne brukes av andre virksomheter i sektoren, og det gjennomføres denne høsten en pilot i samarbeid med to virksomheter. Det er en intensjon om at Cybersikkerhetssenteret i sin rolle som SRM i fremtiden skal få tilgang til utvalgte logger etter avtale.

Det er en målsetting å åpne plattformen for flere kunder på plattformen i
løpet av andre tertial 2026. Sindre ga produktrådet innblikk i foreløpige prisberegninger, men orienterte om at disse ikke var endelig besluttet.

Produktrådet er positive til initiativet og tok saken til orientering.

Satsingsforslag

Bjørn presenterte satsningsforslaget om cybersikkerhet som ble sendt fra Sikt til Kunnskapsdepartementet 1. november. Satsingsforlslaget er tidligere behandlet i produktrådet, og tilbakemeldingene skal være hensyntatt. Endelig versjon blir distribuert til produktrådet i etterkant av møtet.

Produktrådet tar saken til orientering.

Rammeverk for hendelseshåndtering

Det er ikke startet noen formelle prosesser i kunnskapssektoren etter at NSM lanserte revidert nasjonalt rammeverk for håndtering av digitale angrep og cyberhendelser. Produktrådet har tidligere oppfordret Kunnskapsdepartementet til å gjennomføre en involverende prosess for å revidere det sektortilpassede rammeverket for hendelseshåndtering som forvaltes av HK-dir. Det er foreløpig uklart hvorvidt dette vil skje.

Dersom Kunnskapsdepartementet ikke ta initiativ til dette, vil produktrådet vurdere å ta initiativ til en egen involverende prosess i sektoren med mål om å komme frem til et felles, omforent ønske om hvilke oppgaver kunnskapssektorens fremtidige sektorvise responsmiljø skal favne.

Mulig utvidelse av Defender-integrasjonen

Steve Sporøy (USN) har foreslått å utvide dagens Defender-integrasjon til
også å omfatte Defender for Office 365 i tillegg til dagens Defender for Endpoint.

Produktrådet stiller seg bak forslaget og ber produktområdeleder vurdere å ta inn dette når produktstrategien etter planen skal revideres første halvår
2026.

Erfaringer fra øvelse Nullpunkt

Made Ziius (Sikt) delte erfaringer fra øvelse Nullpunkt som ble gjennomført for fem virksomheter den 15. oktober.

Produktrådet ga tilbakemelding om at det er ønskelig med bredere erfaringsdeling etter slike øvelser, som for eksempel i form av webinar eller del av trusselrapporten.

De anbefalte også at Sikt deler sine erfaringer med beredskapsrådet.

Produktrådet takket for erfaringsdelingen, og tok saken til orientering.

Planlagte aktiviteter og utfordringer i din virksomhet

Alle møtedeltakere delte pågående aktiviteter og identifiserte utfordringer knyttet til sikkerhetsarbeid i egen virksomhet. Disse blir senere delt skriftlig med Cybersikkerhetssenteret som tar med seg innspillene i utarbeidelse av ny produktstrategi, samt planleggingen av kommende aktiviteter og arrangement på kort og mellomlang sikt.

Eventuelt

Ingen saker til eventuelt.

Dette er en oppsummering fra møte i produktråd for Cybersikkerhetssenteret som var digitalt, 10. september fra 12.00–14.30.

Agenda

• NSMs nye rammeverk og Cybersikkerhetssenterets produktstrategi
• Risikohåndteringsplan
• Satsningsforslag
• Presentasjon av trusselrapport
• Status MS365 og Sentinel
• Status på anskaffelse av sikkerhetspartner
• Utsending sårbarhetsrapport
• Kort orientering om mulig darkweb monitoring tjeneste

NSMs nye rammeverk og Cybersikkerhetssenterets produktstrategi

Produktområdeleder Bjørn Kopperud informerte om Nasjonal sikkerhetsmyndighet (NSM) sitt reviderte rammeverk håndtering av digitale angrep og cyberhendelser som ble publisert i slutten av juni. Kunnskapsdepartementet (KD) vil gjennomføre en prosess i sin sektor for å oppdatere det sektortilpassede rammeverket for håndtering av IKThendelser, og har blitt oppfordret til sektorinvolvering. Det er fremdeles ikke klart når denne prosessen vil starte.

Produktrådet stiller seg bak anbefalingen om å utsette revisjon av produktstrategien til første halvår 2026. Det er imidlertid ønskelig at små, åpenbare endringer gjøres denne høsten – som for eksempel å fjerne etablering av ny loggløsning.

Risikohåndteringsplan

Bjørn Kopperud og André Gaustad orienterte om status på årets risikohåndteringsplan. KD har gitt HK-dir og Sikt et felles oppdrag om å levere en plan for å redusere risikoen i Kunnskapssektoren, basert på HK-dir sin risiko- og tilstandsvurdering for 2024.

Risikohåndteringsplanen vil ha et 3-4 års perspektiv og skal realiseres innenfor eksisterende økonomiske rammer. Planen skal leveres til KD innen 1. oktober 2025.

André og Bjørn ba produktrådet om innspill til det videre arbeidet med risikohåndteringsplan og hadde følgende spørsmål: Bjørn Helge Kopperud og André Gaustad (HKdir)

• Hvilke tiltak mener produktrådet bør videreføres eller iverksettes for å få ned risikoen innen sikkerhet og beredskap i kunnskapssektoren?
• Hva må til for at tiltakene skal ha effekt i virksomhetene? Og hvordan kan den måles?
• Andre innspill?

Produktrådet drøftet de ulike tiltakene som er nevnt i risikohåndteringsplanen og kom med tilbakemelding om at det er viktig å få med de tekniske sikkerhetstiltakene inn som anbefalt tiltak, men at det samtidig er viktig at det blir fulgt opp og verifisert i dialogen mellom virksomhetene og HK-dir i fremtidig kartleggingsarbeid.

Flere uttrykker at de setter pris på konkrete tilbakemeldinger på hva de kan bli bedre på, fremfor en generisk tilbakemelding. Produktrådet tar saken til orientering.

Satsningsforslag

Bjørn H. Kopperud presenterte tidligere satsingsforslag og ba om forslag til hvilke nye satsingsforslag eduCSC bør sende inn i år.

Produktrådet opprettholder sin anbefaling om å bruke totalforsvaret som argumentasjon for at det bør utløses midler til sikring av kunnskapssektoren. Etter noe diskusjon er produktrådet omforent om at følgende tema bør utforskes i det videre arbeidet med satsingsforslaget:

• Lettvekts sikkerhetsoperasjonssenter (miniSOC)
• Sektorøvelse
• Vern mot tjenestenektangrep (Ddos)

Ovennevnte punkter samsvarer med satsingsforslaget som ble sendt i fjor.

Det var også ytret ønske fra enkelte om at Informasjonssikkerhet/GRC med fordel kan være en del av satsingsforslaget.

Tilbakemeldingene fra produktrådet tas med i det videre arbeidet og forankringen av satsingsforslaget. Produktrådet vil bli involvert digitalt før satsingsforslaget sendes til Kunnskapsdepartementet i slutten av oktober.

Presentasjon av trusselrapport

Made Ziius presenterte hovedtrekkene i trusselrapport for andre tertial.

Produktrådet ga tilbakemelding om at de anbefaler å inkludere UiO/NTNU i forkant av utsendelse for sammenstilling av data. Cybersikkerhetssenteret tar med innspillene fra produktrådet i det videre arbeidet.

Produktrådet tar saken til orientering.

Status MS365 og Sentinel

Made Ziius orienterte kort rundt status på proof-of-concept (POC) med Sentinel og Lightouse. Produktrådet tar saken til orientering.

Status på anskaffelse av sikkerhetspartner

Tobias Paulsen orienterte om status på anskaffelse av sikkerhetspartner. Fristen for innsending av tilbud fra leverandører av sikkerhetstjenester utløp 22. august. Vi har mottatt 15 tilbud, hvorav 14 oppfyller kravene som er satt i utlysningsdokumentet.

Tidslinje for anskaffelsen:

• 20.06.2025: Kunngjøring i Doffin/TED
• 15.08.2025: Frist for å stille spørsmål til konkurransegrunnlaget
• 22.08.2025 kl. 12.00: Frist for å levere tilbud
• Uke 25–38: Evaluering av tilbud
• 22.09.2025: Valg av leverandør og meddelelse til leverandører
• 03.10.2025: Utløp av karensperiode
• 06.10.2025: Kontraktsinngåelse
• 06.11. 2025: Tilbudets vedståelsesfrist

Produktrådet tar saken til orientering.

Utsending av sårbarhetsrapport

Tobias Paulsen orienterte om utsending av sårbarhetsskann. I dag mottas månedlige rapporter via e-post, en jobb som utføres manuelt av CERT. Rapportene legges også automatisk i portalen, med mål om å erstatte den manuelle utsendingen.

Cybersikkerhetssenteret ønsker nå å avslutte utsending via e-post, og la kundene hente rapportene selv i portalen. Tilgang til portalen krever Feide-innlogging. Et fåtall kunder har ikke Feide og må i så fall benytte Feide-hotell.

Produktrådet stiller seg bak styrt avvikling av epost som distribusjonsmetode for trusselrapporten. Trusselrapporten vil kun være tilgjengelig via Cybersikkerhetssenteret sin portal i fremtiden.

Kort orientering om mulig darkweb monitoring tjeneste

Rune Sydskjør orienterte om mulighet for darkweb monitoring tjeneste fra Switch (Sveitsisk NREN). De tilbyr å selge denne tjenesten til vår sektor også og har vist hvordan tjenesten virker i webinar onsdag 27. august.

Det finnes flere kommersielle aktører som tilbyr lignende tjenester også og Cybersikkerhetssenteret har blant annet vært i kontakt med SOCradar som sier de tilbyr "special pricing for educational institutions".

Produktrådet stiller seg positivt til at det gjennomføres en Proof-of-concept (POC), og forutsetter dette for å kunne avklare om det er behov og betalingsvilje tjenesten i sektoren.

Dette er en oppsummering fra møte i produktråd for Cybersikkerhetssenteret som var digitalt, 8. mai fra 12.00–14.00.

Agenda

• Status nøkkelleveranser og ambisjoner 2025
• Fra lokalskann til lokalt sårbarhetsskann
• Rammeavtale med kommersielle sikkerhetspartnere
• Nasjonalt rammeverk for håndtering av digitale angrep og cyberhendelser
• Satsingsforslag cybersikkerhet
• Prisøkning sertifikattjenesten
• Eventuelt

Status nøkkelleveranser og ambisjoner for 2025

Produktområdeleder Bjørn Kopperud redegjorde for status på nøkkelleveranser og ambisjoner for inneværende år som beskrevet i Cybersikkerhetssenterets gjeldende produktstrategi. Produktrådet takket for gjennomgangen, og konkluderte med atde er fornøyde med rapportert aktivitetsnivå og fremdrift.

Fra lokalskann til lokalt sårbarhetsskann

Tobias Paulsen presenterte dagens skann av endepunkter i lokalnett, samt den planlagte videreutviklingen med mål om å levere en tjeneste som også avdekker sårbarheter. Resultatene fra lokalt sårbarhetsskann skal kunne behandles i Cybersikkerhetssenterets portal på lik linje med sårbarhetsstyringen knyttet til det eksisterende eksterne sårbarhetsskannet.

Tobias ba produktområdet om innspill til tjenesteutviklingen, og tilbakemelding på mulig betalings- samarbeidsmodell.

Produktrådet drøftet teknologivalg og eksisterende løsninger som er i bruk i sektoren i dag. De ga tilbakemelding om at tjenesten bør kunne realiseres uavhengig av nettverkssensorer av hensyn til nødvendige nettverkstilganger. Produktrådet er positive til en samlet sårbarhetsstyring i portalen, og ytret ønske om videreutvikling av tilgangsstyring for at flere kan ta denne i bruk. Det må fremgå tydelig i portalen hvorvidt sårbarheter er funnet i sårbarhetsskann fra lokalnettet eller fra internett.

Produktrådet ble orientert om at dette vil bli en betalt tilleggstjeneste, og delte informasjon om kostnadsnivå på eksisterende løsninger som er i bruk hos virksomhetene i dag. Produktrådet er positive til utviklingen av tjenesten.

Rammeavtale med kommersielle sikkerhetspartnere

Tobias orienterte om det pågående arbeidet med rammeavtaler. Det er planlagt å inngå en eller flere avtaler som dekker følgende hovedområder:

• Hendelseshåndtering
• Teknisk/operativ sikkerhet
• Informasjonssikkerhet og personvern

Alle virksomheter som er tilknyttet cybersikkerhetssenteret skal kunne benytte rammeavtalen, i tillegg til cybersikkerhetssenteret selv. Utlysning av anbudskonkurransen er planlagt i juni, og tilbud skal evalueres i september med påfølgende signering i løpet av høsten.

Produktrådet ga tilbakemelding på enkelte punkter i svarskjema og kravspesifikasjonen, og takket for orienteringen. Produktrådet er positive til det videre arbeidet med rammeavtalen.

Nasjonalt rammeverk for håndtering av digitale angrep og cyberhendelser

Bjørn Helge Kopperud orienterte om det pågående arbeidet med nasjonalt rammeverk for håndtering av digitale angrep og cyberhendelser. Dette er en videreutvikling av dagens rammeverk for hendelseshåndtering av IKT-sikkerhetshendelser forvaltet av Nasjonal sikkerhetsmyndighet (NSM). Det er ventet at forslaget til nytt nasjonalt rammeverket blir effektuert i løpet av de nærmeste månedene.

Produktrådet diskuterte potensielle muligheter og konsekvenser et nytt rammeverk kan ha for vår sektor. De peker på at rammeverket vil kunne hjelpe med å definere hvilke oppgaver som skal ligge til cybersikkerhetssenteret i rollen som sektorvist responsmiljø for høyere utdanning og forskning, og hvordan dette skal finansieres.

Produktområdeleder orienterte om at det er Kunnskapsdepartementet og/eller Direktoratet for høyere utdanning og kompetanse som må initiere og lede arbeidet med å konkretisere hvordan det nye rammeverket skal operasjonaliseres i kunnskapssektoren. Både produktområdeleder og produktrådet er opptatt av at virksomhetene i sektoren involveres i dette arbeidet. Produktrådet tar saken til etterretning.

Satsningsforslag cybersikkerhet

Bjørn orienterte om tidligere satsningsforslag, omfang og innhold i disse. Han orienterte også om at porteføljestyret for data og infrastruktur har bedt om å bli orientert om eventuelle fremtidige satsingsforslag som sendes til Kunnskapsdepartementet innen informasjonssikkerhet.

Produktområdeleder ba produktrådet gi sin tilrådning til hvorvidt Sikt skal sende satsingsforslag innen sikkerhet for perioden 2027–2030 og eventuelle konkrete innspill til dette.

Produktrådet drøftet tidligere satsningsforslag og hvorvidt det skal søkes midler til tidligere foreslåtte tiltak. Produktrådet tilrår å sende satsingsforslag, og at totalforsvar bør være et gjennomgående tema i dette.

Produktområdeleder tar med innspill som kom frem i møtet og utarbeider forslag til satsingsforslag som behandles på produktrådsmøtet i september. Målsettingen er å sende et
satsingsforslag som produktråd og porteføljestyre kan stille seg bak, med håp om at forslag fra en samlet sektor gir gjennomslagskraft og økt sannsynlighet for tilsagn av midler.

Prisøkning sertifikattjenester

Bjørn orienterte om prisøkning på sertifikattjenesten som cybersikkerhetssenteret videreselger fra Geant. Dette som følge av ny underleverandør. Prisøkningen er på om lag 10.000 EUR
årlig, og vil bli hentet inn gjennom påslag på abonnementsprisen med virkning fra januar 2026. Berørte virksomheter vil bli orientert per brev før sommeren.

Prisøkning fra leverandør til Sikt gjelder fra 1. mai 2025, men av hensyn til økonomisk forutsigbarhet for kundene blir økte utgifter inneværende år dekket av Sikt sine økonomiske reserver. Produktrådet tar saken til orientering.

Eventuelt

Produktområdeleder orienterte om samarbeid med BOTT digital sikkerhet så langt i 2025. Det er gjennomført flere møter for økt felles forståelse, og det er etablert samarbeid knyttet til
loggløsning og webinarer.

Produktrådet planlegger neste møte i september, og dette vil gjennomføres digitalt. I tillegg planlegges det et fysisk møte i forbindelse med Utsikt-konferansen i begynnelsen av november.

Cybersikkerhetssenteret avklarer møtedatoer og inviterer til møtene før sommeren.

Produktrådet evaluerte møtet og var fornøyde med både
sakspapirer og møtegjennomføring.

Dette er en oppsummering fra møte i produktråd for Cybersikkerhetssenteret som var digitalt, 7. februar fra 12.30–14.30.

Agenda

• Ny loggløsning
• Status for sertifikattjenesten
• Trusselrapport tredje tertial 2024
• Rammer for samling 2025

Ny loggløsning

Made Ziius fra Cybersikkerhetssenteret presenterte hovedpunktene fra arbeidet som er gjort i arbeidsgruppen for ny loggløsning i sektoren. Arbeidsgruppen har konkludert med at det er to loggplattformer som tilfredsstiller identifiserte behov: Opensearch og Loki/Grafana.

Bjørn Kopperud fra Cybersikkerhetssenteret orienterte om økonomien knyttet til dagens loggplattform (Falcon Logscale), og at under 20% av tilknyttede virksomheter benytter tilbudet til tross for at det er det billigste alternativet i markedet.

Produktrådet drøftet alternativene, og syntes spesielt den økonomiske situasjonen er utfordrende. Konsekvenser og alternativer knyttet til en eventuell avvikling av en sentral loggplattform i sektoren ble diskutert.

Produktrådet antar at den totale kostnaden for kunnskapssektoren knyttet til logg vil øke som følge av en eventuell avvikling, og at det generelle sikkerhetsnivået vil bli lavere. Dette er en uheldig utvikling, men en konsekvens av at det er utfordrende å få virksomhetene i sektoren til å slutte seg til en felles løsning.

Produktrådet peker på at man har prøvd å sentralisere logger i sektoren de seneste årene, men at man ikke har lykkes med å høste gevinster fra dette arbeidet i den grad man forventet. Årsakene til dette er flerfoldige og sammensatt.

Tilrådning

Produktrådet tilrår at Cybersikkerhetssenteret utforsker hvorvidt det er mulig å få til økonomisk bærekraft i alternativene arbeidsgruppen har jobbet frem. Dersom en felles loggplattform ikke er økonomisk gjennomførbart tilrår produktrådet at dagens tjenestetilbud avvikles når avtalen med dagens leverandør løper ut ultimo desember 2025, og at man utforsker andre muligheter for samarbeid knyttet til utveksling av erfaringer, kompetanse og deteksjonsregler knyttet til logg i sektoren.

Produktrådet er opptatt av at det legges til rette for et godt samarbeid knyttet til logg i fremtiden, og takker arbeidsgruppen for det gode arbeidet som er gjort

Rammer for samling 2025

Axel A. Hanslien fra Cybersikkerhetssenteret presenterte de foreløpige skissene og alternativene for Kunnskapssektorens Cybersikkerhetssamling 2025. Hanslien orienterte om at det er to alternativer som diskuteres internt i Sikt: En samling som er lik fjorårets Cybersikkerhetssamling og en samling som er bredere, med fokus på flere produktområdet og tjenester fra Sikt.

Produktrådet diskuterte og kom med innspill til format, innhold og organisering.

Status og erfaringer med sertifikattjenesten

Øyvind Eilertsen fra Cybersikkerhetssenteret orienterte om situasjonen rundt bytte av sertifikatleverandør for Cybersikkerhetssenteres tilknyttede virksomheter.

Produktrådet tar informasjonen til etterretning.

Trusselrapport T3 2024

Ivar Friheim fra Cybersikkerhetssenteret presenterte foreløpig utkast av Cybersikkerhetssenterets trusselrapport for tredje tertial 2024. Trusselrapporten publiseres i uke 7.

Produktrådet likte godt formatet på rapporten og syntes det var fint med eksempler.

Evaluering av møtet

Dette var det første heldigitale produktrådsmøtet i Cybersikkerhetssenteret. Tidsbruken var god, alle fikk fremme sine synspunkter og møtet ble avholdt på en effektiv måte. En kombinasjon av fysiske og digitale møter kan være hensiktsmessig. Ved å ha digitale møter kan rådet møtes oftere. For større, mer komplekse saker kan det være nyttig å møtes fysisk.

Eventuelt

Paul Christian Sutter vil i løpet av 2025 erstatte Frode Lilledahl som Utdanningsetaten i Oslo kommune sin representant i produktrådet.

Neste møte berammes etter behov.

Neste møte i produktråd for Cybersikkerhetssenteret blir på Scandic Lerkendal i Trondheim, 25. november fra 10.30–15.00.

Agenda

• 10.30: Satsingsforslag, ved Bjørn H. Kopperud
• 10.45: Budsjett 2025, ved Bjørn H. Kopperud
• 11.15: Innspill trusselrapporter, ved Ivar Friheim
• 11.30: Lunsj
• 12.30: Produktstrategi, ved Ellen Wagnild-Antonsen
• 13.45: Løypemelding – rammeavtaler, ved Tobias Paulsen
• 14.15: Løypemelding – logganalyse, ved Made Ziius
• 14.45: Evaluering av møtet
• 15.00: Vel hjem

Satsingsforslag

Produktrådsleder Bjørn H. Kopperud orienterte produktrådet om satsingsforslaget som ble sendt 1. nov 2023.

Rådet kom med tilbakemeldinger til satsingsforslaget hvor spesielt SOC/MINI-SOC ble fremhevet som et positivt forslag. Produktrådet stilte spørsmål ved hvorvidt SOC er en del av SRM-rollen eller tjenesteleverandørrollen. Produktrådet påpekte at det er Sikt som ISP og ikke Cybersikkerhetssenteret som bør være ansvarlig for finansiering og forvaltning av et eventuelt fremtidig DDoS-vern.

Budsjett 2025

Produktrådsleder Kopperud orienterte om Cybersikkerhetssenterets budsjett for 2025. Produktrådet tilrådde budsjettet.

Innspill trusselrapporter

Teamleder i Cybersikkerhetssenterets Data & Analyseteam Ivar Friheim orienterte om arbeidet som har blitt gjort med utarbeidelsen av
Cybersikkerhetssenterets trusselrapport.

Produktrådet mener at trusselrapporten er et nyttig og viktig tilskudd til arbeidet som gjøres med å sikre sektoren. De etterspør mer innsikt om innsidetrusler, og at Cybersikkerhetssenteret i enda større grad tilbyr refleksjoner knyttet til fremtidige fremtidsscenario og sannsynlig utvikling av trusler i sektoren. Produktrådet ønsker et oppsummerende kapittel skrevet for toppledelsen ved virksomhetene.

Produktstrategi

Ellen Wagnild-Antonsen presenterte nytt forslag til revidert produktstrategi for Cybersikkerhetssenteret, og inviterte produktrådet til å komme med innspill og kommentarer.

Produktrådet kommenterte at ny form og fremstilling er bedre enn gjeldende versjon av produktstrategien. De ønsker en reduksjon i antall kolonner i dokumentet, da spesielt ambisjoner og fokusområder går litt inn i hverandre. Hvorvidt visjon og langsiktig ambisjon kan slås sammen for å forenkle ble også diskutert.

Produktrådet kom med en rekke tilbakemeldinger på innholdet i produktstrategien, og imøteser revidert versjon i starten av desember.

Løypemelding – rammeavtaler

Tobias Paulsen fra Cybersikkerhetssenteret orienterte produktrådet om status på arbeidet med rammeavtaler. Det er i ferd med å etableres en arbeidsgruppe med representasjon fra sektoren som skal vurdere innretning på anbudskonkurransen som skal utlyses og konkluderes i løpet av 2025.

Produktrådet ønsker arbeidsgruppen lykke til med arbeidet.

Løypemelding – logganalyse

Made Ziius fra Cybersikkerhetssenteret orienterte produktrådet om det pågående arbeidet med å identifisere mulige erstatninger til dagens logganalyseverktøy Falcon Logscale. Dagens kontrakt går ut i desember 2025, og behov knyttet til lagring og analyse av logger må ivaretas i andre systemer for berørte virksomheter fra januar 2026.

Det er etablert en arbeidsgruppe med representanter fra sektoren som skal anbefale alternative løsninger. Produktrådet vil få en rapport i første kvartal 2025, og vil da få anledning til å komme med sin tilrådning.

Produktrådet drøftet hvorvidt det er formålstjenlig å skille på sikkerhetslogger og øvrige logger, og ba Ziius ta med seg problemstillingen inn i det videre arbeidet.

Produktrådet ønsket arbeidsgruppen lykke til med arbeidet.

Evaluering av møtet

Produktrådet mente at saksliste, møtegjennomføring, utsendelse av saksdokumenter og diskusjonsklima fungerte godt denne gangen.

Eventuelt

Produktrådsleder Bjørn H. Kopperud ga en kort orientering om et relativt akutt og sannsynlig leverandørbytte knyttet til utstedelse av sikkerhetssertifikater.

Fysisk møte i Trondheim 17. september 10.30 til 18. september 15.00.

Agenda

• Velkommen[innerBlocks]
• Omvisning[innerBlocks]
• Revisjon av produktstrategi
• Satsingsmidler 2026
• Logg: Lagring, monitorering og analyse
• Evaluering og fremtidige møter

Velkommen

Produktrådsleder Bjørn H. Kopperud ønsket velkommen til den første samlingen for produktrådet.

Medlemmene fikk bli litt bedre kjent med hverandre gjennom et par øvelser, og alle fikk gi innspill til hvilke forventninger de har som medlemmer i rådet.

Mandatet, spesifikt formål, oppgaver og ansvar, til produktrådet ble gjennomgått, samt en kort intro til Cybersikkerhetssenterets rolle, oppgaver og strategiske utfordringer.

Omvisning og presentasjon av Cybersikkerhetssenteret

Produktrådet fikk en omvisning i lokalene til Cybersikkerhetssenteret. I tillegg holdt Rune Sydskjør, Emil H. Flakk, Ivar Friheim og Bjørn H. Kopperud presentasjoner om hhv. CERT/SRM, verktøy og integrasjoner, data og analyse og kunde og compliance.

Revisjon av strategi

Ellen Wagnild-Antonsen holdt en kort introduksjon til behovet for ny produktstrategi for Cybersikkerhetssenteret, samt hvilke pågående prosesser som vil være med på å påvirke retningen til både Cybersikkerhetssenteret og strategien fremover.

Bjørn H. Kopperud gjennomgikk dagens produktstrategi, og rådet diskuterte hva som er det viktigste arbeidet til Cybersikkerhetssenteret.

Produktrådet kommenterer at produktstrategien er for bred, samt at den kunne vært organisert/sortert etter f.eks. NSMs grunnprinsipper eller annet eksisterende rammeverk.

Det pekes også på av flere i rådet at basisfinansieringen er for lav til at Cybersikkerhetssenteret skal kunne levere en bærekraftig tjeneste. Produktrådet er positive til at Cybersikkerhetssenteret utforsker muligheten til å inngå en felles rammeavtale med sikkerhetspartner, og da særlig innenfor hendelseshåndtering. Fordelene med en slik rammeavtale bør tydeliggjøres.

Satsingsmidler 2026

Produktrådsleder Bjørn H. Kopperud gikk gjennom sak Satsingsmidler 2026-2028, med tilhørende diskusjon om hvorvidt det skal sendes satsingsforslag, og hva det skal satses på.

Produktrådet er positive til at det utformes og sendes satsingsforslag for perioden 2026–2028 derom det ikke utløses økte midler til Cybersikkerhetssenter for forskning og utdanning høsten 2024. Det bør ikke sendes satsingsforslag kun for å søke om driftsmidler. Konkrete mål, gevinster og effekter for kunnskapssektoren må synliggjøres.

Logg: Lagring, monitorering og analyse

Produktrådsleder Bjørn H. Kopperud presenterte behov og utfordringer knyttet til dagens loggløsning (Falcon LogScale), samt en gjennomgang av alternative løsninger.

Produktrådet tilrår at Cybersikkerhetssenteret ikke setter i gang en anbudsprosess for et kommersielt logganalyseverktøy, men heller utforsker alternative løsninger – med fokus på sektorsamarbeid og SOC basert på Lighthouse og Sentinel som flere i sektoren allerede benytter.

Evaluering og fremtidige møter

Produktrådet hadde en runde på refleksjoner og evaluering av dagens møte, samt en diskusjon på fremtidige møtepunkt. Rådet ønsker i utgangspunktet å møtes fysisk to ganger i året, gjerne i forbindelse med andre allerede avtalte møtepunkt/reiser. Utenom de fysiske møtene er det ønskelig med regelmessige, korte videomøter – kombinert med chat i f.eks. Mattermost for helt konkrete spørsmål/tema.

Neste møte blir 25. november i Trondheim.