Risikabel inaktivitet fra regjeringen

Førsteside  »  Politikk  »  Risikabel inaktivitet fra regjeringen
30. nov. 2012 Ingen kommentarer ›› Anders B. WerpFacebooktwittermail

For noen dager siden hadde jeg en interpellasjon til justisministeren. Den tok opp følgende spørsmål vedrørende bruk av komponenter fra Kina i vår kritiske infrastruktur: «Norske myndigheter har ikke vurdert Huaweis leveranser i henhold til sikkerhetslov eller lov om elektronisk kommunikasjon. Hvordan vurderer statsråden dette fraværet av sikkerhetsmessig myndighetskontroll av kritisk infrastruktur?»

Bakgrunn

Høyre med sterk kritikk av regjeringen for manglende prioritering av landets datasikkerhet. Foto: stortinget.no

I Norge er sentrale deler av mobilnettet levert av kinesiske Huawei. Både Telenor og NetCom bruker denne leverandøren til kjernen av sine mobilnett. Mobilnettet benyttes i et økende antall anvendelser og er en del av et lands kritiske infrastruktur.

I et moderne samfunn er vi avhengige av tillit til telekommunikasjons-systemene og leverandørene av disse. Både samfunnskritiske funksjoner, næringsliv og privatlivet berøres nesten kontinuerlig av disse systemene.

Samtidig vet vi at disse digitale systemene er under konstant angrep av hackere, kriminelle og ulik spionvirksomhet.

Alle brukere og eiere av digitale informasjonssystemer har et selvstendig ansvar for å ivareta sikkerheten og integriteten på sine PCer, sin mobiltelefon eller nettbrett.

Men forsvaret mot disse digitale angrepene blir vanskelig, og kanskje umulig, dersom vi ikke kan stole på kjernen, på selve infrastrukturen som binder disse komplekse teknologisystemene sammen. Blir sikkerheten kompromittert her, hjelper det ikke om den enkelte PC eller nettbrett har verdens beste sikkerhetsprogrammer eller at brukeren følger alle sikkerhetsregler.

Derfor er sikkerhet i kritisk, digital infrastruktur svært viktig. Dette har blitt tydeligere og tydeligere de siste årene. Derfor mener Høyre at kontrollen av sikkerheten her er et myndighetsansvar.

Spørsmålet er om regjeringen i tilstrekkelig grad ivaretar dette ansvaret. Høyre mener regjeringen ikke gjør det.

Hva svarte justisministeren, egentlig?

Overraskende lite. Etter å ha hørt debatten og lest referatet flere ganger, så styrkes min assosiasjon til Nils Kjærs berømte skuespill «Det lykkelige valg». Her snakker nemlig hovedpersonen Celius åndsfraværende i femte akt, om «Den demokratiske mellemvej mellem næsten noget og absolut intet

Her er det mest konkrete som kom ut av statsrådens tre innlegg og totalt 16 minutters taletid:

  • Det pågår for tiden en gjennomgang av sikkerhetsloven.
  • Det bekreftes at Nasjonal sikkerhetsmyndighet, NSM, allerede i 2010 vurderte at sikkerhetsloven og lov om elektronisk kommunikasjon ikke var tilstrekkelige til å dekke hele risikobildet. (Denne advarselen er ikke fulgt opp av regjeringen, se nedenfor.)
  • Det pågår en nasjonal prosess hvor hvert enkelt departement skal utpeke skjermingsverdige objekter innen sitt myndighetsområde.
  • Sikkerhet knyttet til samfunnets bruk av informasjons- og kommunikasjonsteknologi tar norske myndigheter meget alvorlig.
  • Alle må erkjenne sitt ansvar for god sikkerhet, også næringslivet selv.
  • Bevilgningene til NorCERT er økt.

Andre land

For noen måneder siden anbefalte en enstemmig etterretningskomite i Representantenes hus i USA å utelukke kinesiske telekom-selskaper fra å levere komponenter til landets infrastruktur.

Australia har nylig ekskludert det kinesiske selskapet Huawei fra å konkurrere om visse kontrakter vedrørende utbygging av deres nasjonale bredbåndsnettverk.

Storbritannia har implementert kostbare sikkerhetsprosedyrer for de delene av deres infrastruktur som bygger på utstyr fra Huawei.

Tysklands nasjonale forsknings og utdanningsnettverk har utelukket Huawei fra å delta i konkurransen om å oppgradere deres nettverk.

Hvorfor går flere og flere land til det skritt å utelukke kinesiske telekom-selskaper fra sin kritiske infrastruktur?

Full tilgang for kinesiske myndigheter

Vil kinesiske myndigheter bruke sine fullmakter, og kreve at selskaper utleverer informasjon om andre lands kritiske infrastruktur? Foto: Peter Fuchs/Flickr

Kinesisk lovgivning gir kinesiske myndigheter svært kraftige og inngripende fullmakter til overstyring av og innsikt i landets telekom-selskaper. Dette er særlig knyttet til to forhold.

For det første skal alle selskaper i Kina ha en komité oppnevnt av kommunistpartiet, hvis oppgave er å ivareta såkalte nødvendige forhold for aktiviteter i regi av kommunistpartiet.

For det andre kan kinesiske myndigheter kreve ubegrenset inspeksjon og utlevering av informasjon og utstyr fra selskaper, organisasjoner og enkeltpersoner.

Kina er verdens største diktatur og en kommunistisk ettpartistat. Kinesiske myndigheter står helt fritt til å bruke virkemidler slik de selv bestemmer ut fra de nevnte lovparagrafene. Ut fra et trusselbilde/behovsanalyse kommunistpartiet selv definerer. Det som er bestemt av partiet blir ikke overprøvet av en kritisk presse, en folkevalgt forsamling eller et uavhengig rettsvesen. Derfor er de to nevnte virkemidlene viktige og bekymringsfulle. Dette skiller kinesisk telekomindustri fra konkurrerende selskaper med opprinnelse i demokratiske land.

Jeg har skrevet et utfyllende blogginnlegg om dette tidligere.

Hva gjør regjeringen?

Det var ikke de kinesiske selskapene som var hovedsaken i min interpellasjon. Heller ikke kinesiske myndigheters muligheter og virkemidler til å overstyre selskapene og til å hente ut samfunnskritisk informasjon om andre lands datasystemer. Selv om dette er grunnen til at stadig flere land som stiller grunnleggende spørsmål til om kinesiske selskaper bør levere komponenter til kritisk infrastruktur eller til andre samfunnskritiske systemer.

Hovedsaken i interpellasjonen var fraværet av sikkerhetsfokus i regjeringen når det gjelder utøvende informasjonssikkerhet.

De samme kritiske spørsmålene som stilles av andre land, ble ikke stilt av den norske regjering ved etableringen av ny teknologi i vårt mobilnett.

De samme kritiske spørsmålene er fortsatt ikke stilt av regjeringen.

Dette føyer seg inn i et mønster hvor regjeringen mangler fokus og helhetlig tilnærming til informasjonssikkerhet. For eksempel er nasjonal strategi for informasjonssikkerhet helt fra 2003, nasjonale retningslinjer for informasjonssikkerhet gikk ut i 2010. Ansvaret for informasjonssikkerheten er fordelt på hele 11 departementer.

La meg utdype

På spørsmål fra Høyre framgår det nemlig at Forsvarsdepartementet, som forvalter sikkerhetsloven, overhodet ikke har foretatt en sikkerhetsvurdering ved etableringen av ny teknologi i mobilnettet. Svaret fra statsråden er at «Konkrete anskaffelser til mobilnettet, og sikkerhets- og risikovurderinger fra nasjonale sikkerhetsmyndigheter i denne sammenheng, ligger derfor utenfor mitt ansvarsområde», sitat slutt. Forsvarsministeren henviser til Justis- og beredskapsdepartemetet. Men forsikrer om at «Sikkerhet og risiko knyttet til samfunnets bruk av informasjons- og kommunikasjonsteknologi er noe norske myndigheter tar meget alvorlig».

Høyre stilte derfor det samme spørsmålet til Justis- og beredskapsdepartementet. Vi observerte undrende at spørsmålet ble oversendt fra Justis- til Samferdselsdepartementet. Undringen og bekymringen økte kraftig når vi leste svaret derfra. Samferdselsdepartementet har nemlig heller ikke på noe punkt vurdert om bruk av kinesisk teknologi i mobilnettet var problematisk i forhold til lov om elektronisk kommunikasjon, ekomloven. Det henvises tvert om til tilbydernes ansvar. Men også denne statsråden forsikrer om at «Sikkerhet i nett og tjenester er noe som norske myndigheter tar svært alvorlig».

Disse forsikringene fra regjeringen tror ikke lenger Høyre på. Fagre ord gir ikke trygghet og robusthet i vår kritiske infrastruktur. Det er det kun handling og aktiv oppfølging som gjør. Regjeringen har verken utvist handling eller oppfølging.

Stortingets Kontroll- og konstitusjonskomite sendte nylig et brev med flere kritiske spørsmål om samme sak til Justis- og beredskapsdepartementet.

I svaret framkommer det at NSM allerede i 2010 vurderte om sikkerhetsloven og ekomloven hadde mekanismer for å redusere risiko som beskrevet. NSMs konklusjon var at det forelå en risiko, men at ingen av regelverkene var anvendelige.

Så skriver justisministeren nå, nesten tre år senere, at «Dette er en problemstilling jeg vil se nærmere på».

Ingenting BLE gjort av regjeringen for å redusere risiko som følge av de alvorlige signalene fra NSM.

Ingenting ER gjort av regjeringen for å redusere risiko.

Høyres svar

Høyres vil prioritere arbeidet med å styrke informasjonssikkerheten. Foto: Intel Free Press/Flickr

Dette er Høyres tilnærming:

  • Se på mulighetene for i enda større grad å likestille militære og sivile sikkerhetskrav og kriterier til komponenter som brukes i  kritisk, digital infrastruktur.
  • Definere myndighetenes ansvar for sikkerheten i kritisk, digital infrastruktur. Høyre mener at myndighetene skal ha et ansvar. Dagens regjering praktiserer tydeligvis en tilnærmet ansvarsfrihet for myndighetene.
  • Utarbeide en nasjonal strategi for informasjonssikkerhet. Foreta en fullstendig gjennomgang av relevant lovverk i tråd med denne strategien.
  • Tydeliggjøre det politiske ansvaret på departementsnivå.
  • Legge til rette for oppbygging av kompetanse innen informasjonssikkerhet, gjennom utdanning og forskning.
  • Etablere forpliktende samarbeid med private aktører og fagmiljøer for å styrke landets informasjonssikkerhet og integriteten i kritisk, digital infrastruktur.
  • Delta aktivt i det internasjonale arbeidet for bedre informasjonssikkerhet, både på militær og sivil side.

Tag: , , ,

Legg igjen et svar

Disse sidene benytter informasjonskapsler (cookies). mer informasjon

Dette stedet bruker informasjonskapsler (cookies) for å gi den best mulige brukeropplevelsen. Hvis du fortsetter å bruke dette stedet uten å endre dine innstillinger for informasjonskapsler eller trykker "Jeg forstår", aksepterer du dette.

Lukk