Cybersikkerhet – hvem har ansvaret?

Førsteside  »  Politikk  »  Cybersikkerhet – hvem har ansvaret?
10. sep. 2012 En kommentar ›› Anders B. WerpFacebooktwittermail

Det er tankevekkende å lese trusselvurderinger fra NATO. Her framgår det at forsvarsalliansen vurderer cyberangrep som en av de mest alvorlige truslene medlemsstatene står overfor. Med noen av de mest vidtrekkende økonomiske og nasjonale sikkerhetsutfordringer i det 21. århundre. (Kilde: Koordineringsgruppen for IKT-risikobildet (2010). Bakgrunnsnotat Cybersikkerhet 2010–06–01.)

Cybersikkerhet i Norge: Strategi fra 2003, retningslinjer utgått på dato i 2010, ansvar fordelt på 11 departementer. Foto: lucianotb, stock.xchng

Dagens samfunn blir i økende grad avhengig av datateknologi og digital infrastruktur. Teknologien er en forutsetning for mange viktige funksjoner og tjenester, og tilgang til mye viktig informasjon. Men dette er teknologi og nettverk som også har svakheter, som potensielt er sårbart for kriminell utnyttelse og angrep som setter systemer og viktige samfunnsfunksjoner helt eller delvis ut av spill.

NorCERT, den nasjonale enheten for koordinering av håndtering av alvorlige dataangrep, melder om en årlig vekst på 33 % i antall saker de håndterer.

Fra Politiets sikkerhetstjenestes trusselvurdering fremgår det at det er økende aktivitet fra andre lands etterretningstjenester og private selskaper rettet mot Norge. Internett-basert etterretning brukes i stadig større grad. Stadig mer sensitiv informasjon ligger tilgjengelig på nettet.

Cyberkriminalitet har vokst kraftig de siste årene, og det er flere internasjonale, kriminelle organisasjoner som er svært aktive. Og vi snakker om enorme verdier i denne sammenhengen. Nøkterne analyser indikerer at det i global sammenheng dreier seg om årlige forretningstap som følge av cyberkriminalitet på rundt 1 000 mrd. kroner. Beløpet er trolig større, og det øker raskt.

Fagmiljøene melder om at langt fra alle hendelser av datainnbrudd og dataangrep blir rapportert. Dette skyldes for det første at bedriftene eller organisasjonene aldri oppdager at uvedkommende har vært inne i deres systemer. For det andre er det mange som unnlater å rapportere hendelsen av frykt for tap av omdømme.

Trusselbildet har en stor spennvidde. Fra identitetstyveri på sosiale medier, som kan oppleves svært ubehagelig og krenkende for de berørte, og helt til detonasjon av en kjernefysisk ladning i høyere luftlag (HEMP-High-Altitude Electromagnetic Pulse), hvor den elektromagnetiske pulsen vil ødelegge både elektrisk infrastruktur og elektronikk i et enormt omfang over store områder. De fleste scenarier beskriver at resultatet av et vellykket HEMP-angrep vil være et sammenbrudd i nesten alle samfunnsfunksjoner i de land som rammes.

I tillegg til de bevisste, menneskeskapte truslene mot informasjonssystemer og infrastruktur ser man at ekstremvær, naturkatastrofer, solstormer og menneskelig svikt ved kritiske anlegg også utgjør en reell risiko.

Hva gjør regjeringen?

I denne situasjonen hadde Høyre forventet at regjeringen viet cybersikkerhet stor oppmerksomhet når Justisdepartementet i juni la fram sin stortingsmelding om samfunnssikkerhet (Meld. St. 29(2011-12)).

Men nei, her avsees kun noen få sider med situasjonsbeskrivelse. Før konklusjonen om betydningen av å samordne samfunnets innsats og beredskap trekkes med at ”I lys av den fremvoksende betydningen av sårbarheten i IKT, vil det foretas en fornyet vurdering av ansvarsforholdene mellom departementene». Javel…?!

Dette holder ikke.

Man har ikke klart å foreta en tydelig ansvarsfordeling mellom departementene. Jeg tror ikke dette skyldes at man ikke ser behovet (dette er tydelig beskrevet i Langtidsmeldingen for Forsvaret), men snarere at man skygger unna en vanskelig prioritering.

Stortingsmeldingen er en viktig melding. Men regjeringen har allerede varslet at det vil komme en ny melding for å innarbeide konklusjonene fra 22. juli-kommisjonen. Kommisjonen påviser grunnleggende svikt i viktige deler av samfunnssikkerheten. Stortingsmelding 29 gravde tydeligvis ikke dypt nok i sin beskrivelse av hvordan vi kan gjøre samfunnet tryggere.

Forsvaret

Langtidsmeldingen for Forsvaret, «Et forsvar for vår tid», Prop. 73 S (2011–2012), legger opp til at cyberforsvaret langt på vei blir en fullverdig forsvarsgren i vår militære styrkestruktur. Dette er et positivt tiltak, og i den militære strukturen må det føre til at oppmerksomhet og innsats konsentreres og koordineres på en effektiv måte.

Erfaring fra nyere tids krigs- og konfliktsituasjoner viser at cyberoperasjoner rettet mot sivil IKT-infrastruktur kan forventes å være en del av et militært anslag fra en statspart. I andre tilfeller er det uhyre vanskelig å identifisere hvorvidt angriper er en sivil eller militær aktør. I begge typer situasjoner er tradisjonelle grenser mellom sivil og militær sektor å anse som tilnærmet irrelevante, og tilgjengelige responsmuligheter må være tilpasset dette.

Gjeldende planer

Den nasjonale strategien for informasjonssikkerhet er fra 2003. I denne fordeles ansvaret for å ivareta informasjonssikkerheten på elleve departementer, basert på daværende departementsstruktur.

I 2007 ble det utarbeidet nasjonale retningslinjer for å styrke informasjonssikkerheten. Disse retningslinjene gjaldt fram til 2010. Fire departementer stod bak disse retningslinjene: Justisdepartementet, Forsvarsdepartementet, Samferdselsdepartementet og det daværende Fornyings- og administrasjonsdepartementet. Retningslinjene er nå utgått på dato, men arbeidet med å oppdatere disse pågår.

I tillegg er det en lang rekke statlige etater som arbeider med informasjons- og cybersikkerhet, enten som en del av et større arbeidsområde eller som spesialfelt.

Hva må til?

Det er viktig at regjeringen får klargjort på en tydeligere måte enn i dag hvem som har det overordnede ansvaret for å ivareta landets informasjons- og cybersikkerhet, og dermed hvem som har ansvaret for å håndtere hendelser og kriser.

Dette åpner også for forsterkning og etablering av fagmiljøer flere steder i offentlig forvaltning, både i sivil og militær sektor. Men det skal ikke være tvil om hvor det overordnede ansvaret ligger. Dette er for å sikre at ressurser og kompetanse blir brukt på en mest mulig målrettet og effektiv måte.

Høyre etterlyser også en helhetlig og overordnet strategi for å forsterke innsatsen innen forebygging, oppdagelse og hendelseshåndtering, informasjonsdeling, etterretning og etterforskning av hendelser innen cyberområdet.

En strategi må beskrive samarbeidet mellom privat og offentlig sektor. I det norske næringslivet er det flere kompetansemiljøer av høy internasjonal standard. En strategi for økt informasjonssikkerhet bør omhandle hvordan man kan organisere et samspill basert på felles interesser, herunder gjerne etablere et gjensidig forpliktende samarbeid.

Oppbygging av kompetanse på dette fagfeltet er av avgjørende betydning. Noen miljøer utmerker seg, blant annet Høgskolen på Gjøvik, men målrettet innsats og virkemiddelbruk fra overordnet myndighet etterlyses.

En strategi for cybersikkerhet må beskrive ønsket nivå for utholdenhet og robusthet i samfunnskritiske datasystemer ut fra kjente trusler fra cyberkriminalitet og belastning som følge av cyberangrep. Nivået for utholdenhet og robusthet må beskrives for opprettholdelse av tjenestetilbud, den fysiske maskinparkens funksjonalitet og ikke minst for den digitale infrastrukturens kommunikasjonsevne.

Videre må en strategi legge til rette for å delta i et bredt internasjonalt samarbeid. Målrettede datakriminelle, hackere og angripere opererer helt uten hindring av geografiske landegrenser. Det foregår mye internasjonalt arbeid som er viktig og nyttig, særlig i NATO, men også i EU.

En gjennomgang og vurdering av lovverket er også nødvendig, for å se om dette er tilpasset de aktuelle utfordringene og truslene mot informasjonssikkerheten. I internasjonal rett er det en diskusjon og økende styrke i argumentasjonen for at man på nasjonalt nivå kan bli gjort indirekte medansvarlig dersom man ikke har iverksatt tilstrekkelige tiltak for å hindre cyberangrep. For eksempel at en hacker-gruppe i et land kompromitterer en norsk server, og fjernstyrer denne til å utføre at cyberangrep mot et tredjeland. Dermed kan Norge bli indirekte ansvarlig for hendelsen. Alle konklusjoner er ikke trukket i diskusjonen om et lands indirekte ansvar. Men diskusjonen aktualiserer betydningen av de juridiske virkemidlene i norske myndigheters arbeid for å styrke informasjonssikkerheten (Kilde: NATO Defence College: Research paper ISSN 2076-0949).

Høyres forslag

Før sommerferien fremmet Høyre følgende forslag:
«Stortinget ber regjeringen legge fram en nasjonal strategi for styrket informasjons- og cybersikkerhet. Strategien må klargjøre ansvars- og oppgavefordelingen innen dette feltet på departementsnivå.»

Forslaget ble fremmet av undertegnede og mine partikolleger Ine M. Eriksen Søreiede, Andrè Oktay Dahl, Svein Harberg og Lars Myraune.

Hovedmålet med vårt forslag er å begrunne at det er viktig og påtrengende nødvendig med en tydeligere anvarliggjøring og ansvarsfordeling på toppnivå.

Forslaget er ikke konkluderende – noe vi pleier å være når vi fremmer representantforslag. Høyre ønsker nemlig med dette å invitere til en bred politisk enighet på dette viktige temaet. Det som dessverre er mønsteret, er at opposisjonens forslag nedstemmes i Stortinget, for etter en stund å gjenoppstå som regjeringens eget forslag.

Jeg håper invitasjonen aksepteres av regjeringen i denne saken. Den er etter min mening for viktig til å inngå i et politisk spill.

Tag: , ,

Kommentarer

Legg igjen et svar

Disse sidene benytter informasjonskapsler (cookies). mer informasjon

Dette stedet bruker informasjonskapsler (cookies) for å gi den best mulige brukeropplevelsen. Hvis du fortsetter å bruke dette stedet uten å endre dine innstillinger for informasjonskapsler eller trykker "Jeg forstår", aksepterer du dette.

Lukk