FOST – gjennomgang av sakskompleks

Statsadvokaten har som kjent henlagt saken om mulig uhjemlet overvåkning.

Det hele startet da Forsvarsdepartementet i januar 2008 mottok en skriftlig bekymringsmelding fra Nasjonal sikkerhetsmyndighet (NSM). Meldingen gjaldt metodebruken i daværende Forsvarets sikkerhetsavdeling, FSA, senere Forsvarets sikkerhetstjeneste (FOST), knyttet til noen enkeltstående saker. NSM orienterte også Stortingets kontrollutvalg for etterretnings-, overvåkings- og sikkerhetstjeneste – EOS-utvalget – om saken i møte den 29. februar 2008.

På bakgrunn av denne bekymringsmeldingen ble det fra departementets side bedt om en skriftlig redegjørelse fra forsvarssjefen.  Redegjørelsen ble gitt i et brev 31. mars 2008. Departementet hadde i denne sammenheng også et møte med forsvarssjefen og FOST, hvor sakene ble grundig gjennomgått.

På bakgrunn av forsvarssjefens redegjørelse og det avholdte møtet, fant departementet ikke grunnlag for å forfølge de konkrete enkeltsakene videre. Så langt departementet kunne se, hadde det ikke foregått uhjemlet virksomhet fra FOSTs side i disse konkrete sakene. Det må her presiseres at dette ikke er de samme sakene som Kripos har etterforsket.

EOS-utvalget ble informert om departementets vurdering av disse hendelsene i brev av 15. april 2008. Samtidig ble forsvarssjefens redegjørelse oversendt.
EOS-utvalget valgte da å sette i gang egne undersøkelser av de nevnte saker på bakgrunn av bekymringsmeldingen fra NSM. Denne undersøkelsen redegjøres det nærmere for under.

Selv om departementet på sin side ikke fant grunnlag for å forfølge saken videre, viste arbeidet som ble gjort, at det var behov for å se nærmere på enkelte uavklarte spørsmål knyttet til roller og oppgaver for FOST. Departementet nedsatte derfor våren 2008 en intern arbeidsgruppe som fikk i oppgave å se nærmere på disse spørsmålene. Denne arbeidsgruppen avga sin rapport i januar i år. I rapporten ble det understreket at hvor viktig det er at FOST må virke som en robust og kompetent enhet. Dette må FOST være for at forsvarssjefen skal kunne ivareta sitt ansvar for forebyggende sikkerhet i Forsvaret.

På bakgrunn av blant annet anbefalingene fra denne rapporten har departementet iverksatt en rekke tiltak. Det har vi gjort for å avklare spørsmål knyttet til roller og oppgaver i FOST, samt å styrke kontrollen med virksomheten.

Iverksatte tiltak fra departementet
Som en følge av dette ble det satt i gang et arbeid med en ny instruks for FOST. 5. juni i år sendt ut et utkast til ny instruks om sikkerhetstjeneste i Forsvaret på intern høring i forsvarssektoren. Et bearbeidet utkast til instruks ble sendt på alminnelig høring den 2. november i år, med høringsfrist 5. januar 2010.

I utkastet er det lagt betydelig vekt på å trekke opp klare rettslige rammer for utøvelsen av sikkerhetstjeneste i Forsvaret. Spesielt med hensyn til den enkeltes rettssikkerhet og personvern. En god sikkerhetstjeneste er svært viktig for å opprettholde en tilfredsstillende sikkerhetstilstand i militær sektor. Dette gjelder både nasjonalt og internasjonalt. Samtidig er det av avgjørende betydning at denne type tjeneste utøves innenfor de rettslige rammer som er satt, og at virksomheten har den nødvendige tillit og troverdighet i samfunnet.

Det er i instruksutkastet derfor blant annet satt uttrykkelig krav til notoritet, altså ettersporbarhet, i saksbehandlingen på alle nivå i organisasjonen. Både egenkontroll og tilsyn og kontroll fra tilsynsmyndighetene skal kunne gjennomføres på en enkel og hensiktsmessig måte. I tillegg er det satt klare retningslinjer for behandling av personopplysninger i tråd med de krav som stilles i personopplysningsloven med forskrifter. Instruksen stiller også et krav om at alle saker av særlig viktighet eller prinsipiell karakter, skal forelegges Forsvarsdepartementet for godkjennelse.

Departementet vil så snart som mulig, etter at vi har mottatt alle høringsinnspill til høringsutkastet, ferdigstille den nye instruksen slik at denne kan tre i kraft kort tid over nyttår. Som nevnt vil personvernhensynet og den enkeltes rettssikkerhet være et sentralt og gjennomgående tema for den nye instruksen.

Som et ledd i den styrkede kontrollen fra departementet er det besluttet at det skal gjennomføres jevnlige inspeksjoner av FOST. Dette ble varslet i brev fra departementet den 18. mai i år til Forsvarsstaben.

Denne forsterkede kontrollen med FOST betyr ikke at forsvarssjefen er fratatt det alminnelige kontrollansvaret. Departementets kontroll med FOST vil skje gjennom forsvarssjefen. Departementets direkte kontroll kommer derfor i tillegg til forsvarssjefens egen kontroll. Dette vil bidra til å styrke den tilliten forsvarssjefen også er avhengig av at FOST har utenfor Forsvarets organisasjon.

Den 4. september gjennomførte departementet i denne sammenheng en inspeksjon av FOST sitt Senter for beskyttelse av kritisk infrastruktur (FSKI) på Jørstadmoen. Formålet med denne inspeksjonen var å få en direkte orientering om FOSTs system for internkontroll, og da særlig innenfor feltet nettverksovervåking.
Under inspeksjonen ble det gjennomført samtaler med personell på ulike ledernivå og på operatørnivå.

Gjennomgående tema for samtalene var spørsmål knyttet til rolleforståelse, mandat, instruksverk, opplæring, kompetanse, samt daglig virke og hendelseshåndtering.  Denne inspeksjonen har ikke noen sammenheng med etterforskningen Kripos har gjennomført. Men har blant annet bidratt til et utvidet grunnlag for utkast til ny instruks. 

På bakgrunn av denne inspeksjonen ble det utarbeidet en rapport med anbefalte tiltak for å bedre internkontrollen i virksomheten. Rapporten, med nærmere oppfølgingsoppdrag, ble oversendt forsvarssjefen den 16. november i år. Departementet vil følge opp oppdragene i den ordinære etatsstyringsprosessen.

I tillegg til dette har departementet besluttet at det skal etableres et eget forum med faste møter under departementets ledelse. I forumet vil det være fast deltakelse fra FOST og Nasjonal sikkerhetsmyndighet. Etterretningstjenesten vil delta ved behov. Formålet med dette samarbeidsforumet er å kunne drøfte sikkerhetsrelevante spørsmål i militær sektor.

(Dette utvalget kommer som et tillegg til KRU hvor FOST ikke er deltager)

EOS-utvalgets undersøkelse av FOST
Som nevnt innledningsvis gjennomførte EOS-utvalget egne undersøkelser av de konkrete sakene som det ble vist til i bekymringsmeldingen fra NSM. EOS-utvalget sendte sin undersøkelses rapport til departementet 17. juni i år. I rapporten ble det pekt på uklarheter knyttet til metodebruk og regelverk.

Videre ble det pekt på at det i FOST eksisterer en liten grad av bevissthet knyttet til rollen som Forsvarets sikkerhetsmyndighet. Denne rapporten er av EOS-utvalget gradert HEMMELIG.

Den 6. oktober ga daværende forsvarsminister Anne-Grete Strøm-Erichsen en foreløpig tilbakemelding på utvalgets rapport. I dette brevet ble det redegjort for hvilke tiltak som er igangsatt fra departementets side for å styrke kontrollen med FOST. Samtidig ble det også sendt et brev til Høyres stortingsgruppe v/ Erna Solberg.

Brevet til EOS-utvalget ble 3. november fulgt opp av et gradert brev som redegjør for Forsvarsdepartementets syn på de enkeltsakene utvalget har undersøkt. Av hensyn til at dette omhandler sikkerhetsgradert informasjon, kan det ikke redegjøres nærmere for disse sakene.

Kripos-etterforskningen
Når det gjelder de to sakene som KRIPOS har etterforsket, dreide det seg om overvåkning av datatrafikk gjennomført av personell i FOST.

I august 2008 ble Forsvarsdepartementet informert om at FOST hadde observert irregulær datatrafikk fra regjeringskvartalet. Departementet foretok da undersøkelser for å klarlegge om denne observasjonen stammet fra den krypterte trafikken mellom Forsvarsdepartementet og Statsministerens kontor. Våre undersøkelser viste at datatrafikken ikke stammet fra denne linjen, men fra en linje til et annet sted i regjeringskvartalet. Samtidig ble det fra departementets side undersøkt om det i dette tilfelle var utført handlinger i strid med gjeldende instruks for FOST.

I regelverket har FOST adgang til å utføre teknisk overvåkning på datasystemer i Forsvaret. Derimot har FOST ikke adgang til å bruke inngripende metoder. For eksempel telefonavlytting eller kontrollere innholdet i datatrafikken. Dette er noe som eventuelt tilligger de hemmelige tjenestene innenfor definerte rammer som disse har.

Mens disse undersøkelsene pågikk, ble departementet i april i år gjort kjent med en mulig uhjemlet overvåkning av internettforbindelsen til Slottet.

Forsvarsdepartementet valgte 17. april å anmode politiet om å etterforske begge disse to tilfellene av mulig uhjemlet overvåkning av usikret datatrafikk, utført av personer i FOST. Departementet ba samtidig om at etterforskningen også skulle kartlegge om dette var enkeltstående hendelser, eller om saksforholdet hadde et større og mer systematisk omfang. 

Kripos har avsluttet sin etterforskning og statsadvokaten har kommet med sin avgjørelse. Saken henlegges da intet straffbart forhold anses bevist. En slik henleggelse innebærer i realiteten en full renvasking av FOST.

Når det gjelder etterforskningen som Kripos har gjennomført, ingen sammenheng med de første bekymringsmeldingene eller EOS-utvalgets undersøkelser å gjøre. Forsvarsdepartementets arbeid med nye retningslinjer og instruks er sammenfallende i tid, men ikke i sak.
     
Hvilke hemmelige tjenester har vi?
Etterretnings-, overvåkings- og sikkerhetstjenestene, de såkalte hemmelige tjenestene eller EOS-tjenestene, består av Etterretningstjenesten (E-tjenesten), Nasjonal sikker-hetsmyndighet (NSM) og Politiets sikker¬hetstjeneste (PST). De tre tjenestene har alle til formål å ivareta nasjonale sikkerhetsinteresser – rikets sikkerhet. Det er helt grunn-leggende for et samfunn, for friheten og demokratiet, at det eksisterer beskyttelses¬mekanismer som hindrer utenforstående krefter i å motarbeide disse verdiene. Dette er en meget viktig oppgave, og det må stilles særlige krav til denne type virksomhet. Samtidig er det av sentral betydning at retts¬sikkerhetshensyn, som personvern for den enkelte, blir ivaretatt ved at det settes klare rammer for utøvelsen av tjenestenes virksomhet.

Forsvaret har en særskilt rolle når det gjelder å verne om landets selv¬stendighet og frihet. Det er derfor også nødvendig at Forsvaret har en egen sikkerhetstjeneste for å sikre Forsvarets virksomhet på en be¬tryggende måte, både nasjonalt og internasjonalt. FOST er imidlertid ikke en del av de hemmelige tjenester, men er en sikkerhetstjeneste innenfor virksomheten Forsvaret. FOST har derfor ikke et eget lovgrunnlag, slik som de tre EOS-tjenestene.

De tre hemmelige tjenestene er avhengig av å ha tillit i samfunnet og i forhold til det politiske systemet. Eksisterer det ikke en slik tillit og det er uro omkring tjenestene og deres virksomhet, er dette svært skadelig for tjenestene selv og de funksjoner de skal utføre i samfunnet. Forsvarsdepartementet er svært opptatt av at også FOST, i likhet med de tre hemmelige tjenestene, har tillit i samfunnet og i det politiske systemet.

Hovedforskjellen mellom EOS-tjenestene og FOST
Det er viktig å ha for øye hovedforskjellen mellom de tre hemmelige tjenester og FOST. De tre tjenestene er selvstendige statlige enheter som driver sin virksomhet regulert i lov, henholdsvis etterretnings¬tjeneste¬loven, politiloven og sikkerhetsloven. Virksomheten til FOST baserer seg derimot ikke på et selvstendig lovgrunnlag. Forsvaret, som etat, er imidlertid en virksomhet som er underlagt sikkerhetsloven. Enhver slik virksomhet plikter etter denne loven å utøve forebyggende sikkerhetstjeneste i henhold til bestemmelsene gitt i sikkerhetsloven eller i forskriftene til loven.

Forsvaret er den helt klart største virksomheten som sikker¬hetsloven gjelder for. Bl.a. gjennomføres det ca. 25 000 sikkerhets¬klareringer årlig. FOST, som egen enhet i Forsvaret, må ses i lys av dette.

Etteretningstjenesten (E-tjenesten)
E-tjenesten har sitt lovgrunnlag i Lov om etterretningstjenesten av 20. mars 1998, med utfyllende bestemmelser i instruks av 31. august 2001. Loven definerer tjenesten som en utenlandsetterretningstjeneste, som skal fremskaffe og analysere informasjon som angår norske interesser i forhold til fremmede stater, organisasjoner eller individer. Tjenesten utarbeider på denne bakgrunn trusselanalyser og etterretningsvurderinger som bidrag til å sikre viktige nasjonale interesser, som bl.a. utformingen av norsk utenriks-, forsvars- og sikkerhetspolitikk.

Etterretningstjenesteloven slår fast at tjenesten ikke kan overvåke eller på annen fordekt måte innhente informasjon om norske fysiske eller juridiske personer på norsk territorium. Som et ledd i departementets kontroll med E-tjenesten, er det opprettet et eget kontrollutvalg.

Dette ledes av departementet, men består for øvrig av forsvarssjefen, sjefen for E-tjenesten,  Riksrevisjonen og Forsvarsdepartementet. Denne ordningen har vært gjeldende svært lenge.

Politiets sikkerhetstjeneste (PST)
PST er den nasjonale sikkerhetstjenesten, og er organisert som et eget politiorgan direkte underlagt Justisdepartementet. Tjenesten har til opp¬gave å samle og analysere informasjon, og treffe tiltak mot forhold som kan true nasjonens sikkerhet.

PSTs oppgaver fremgår i hovedsak av politiloven, straffeloven og egen instruks, og består i å forebygge og etterforske lovbrudd mot nasjonens sikkerhet og selvstendig-het. Populært sagt har PST ansvaret for rikets ”indre sikkerhet”, mens E-tjenesten har ansvaret for rikets ”ytre sikkerhet”.

Nasjonal sikkerhetsmyndighet (NSM)
NSM har sitt lovgrunnlag i Lov av 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (sikkerhetsloven) med tilhørende forskrifter.
Sikkerhetsloven gjengir i hovedsak de oppgavene som NSM er pålagt å utføre. Disse er i korthet å koordinere de forebyggende sikkerhetstiltak, samt å kontrollere og føre tilsyn med sikkerhetstilstanden i virksomheter som faller inn under loven (i hovedsak forvaltningsorganer), og eventuelt gi pålegg om forbedringer.

NSMs tilsynsmyndighet skjer bl.a. gjennom revisjoner, såkalt monitorering eller overvåkning, inntrengningstesting og tekniske sikker¬hetsundersøkelser.  Det er kun NSM som, etter sikkerhetsloven, har an¬ledning til å foreta monitorering. I praksis innebærer dette avlytting av tale eller avlesing av elektroniske signaler. Det er også et vilkår etter loven at den aktuelle virksomheten skal gi NSM tillatelse til slik monitorering. Formålet med tiltaket skal i så fall være å kontrollere at skjermingsverdig informasjon blir håndtert på en korrekt og betryggende måte i de in¬for¬masjonssystemer som benyttes. I tillegg skal virksomhetens ansatte på forhånd orienteres om slik kontroll. 

NSM har dessuten en viktig tilleggsoppgave i å drifte Norwegian Computer Emer¬gency Response Team (NorCERT), som gir varsel om og bistår med håndtering av IKT-relaterte angrep mot samfunnskritsk infrastruktur.
NSM ble etablert i 2003 som et sivilt direktorat med ansvar for fore¬bygg¬ende alminnelig sikkerhet, samtidig som Forsvarets overkommandos sikkerhetsstab (FO/S) ble nedlagt. NSM overtok de strategiske og tverrsektorielle (både militær og sivil sektor) funksjoner til FO/S. En ny avdeling under forsvarssjefen (nåværende FOST) overtok FO/S sine oppgaver som rådgiver og utøvende ledd for forsvarssjefen knyttet til hans ansvar for sikkerheten i Forsvaret.

NSM er administrativt underlagt Forsvarsdepartementet. Samtidig er det etablert en faglig ansvarslinje til Justisdepartementet i sivil sektor, i tillegg til den faglinje som er til Forsvarsdepartementet i militær sektor.

Forsvarets sikkerhetstjeneste (FOST)
FOST er underlagt forsvarssjefen, og har sin virksomhet beskrevet i instruks fra forsvarssjefen av 15. oktober 2004. FOST er opprettet for å ivareta forsvarssjefens ansvar for sikkerhetstjenesten i Forsvaret. FOST er en del av forsvarssjefens organisasjon, direkte underlagt sjefen for Forsvarsstaben.

FOST skal bidra til å beskytte Forsvarets operasjoner og operative evne mot sikkerhetstruende hendelser og virksomhet, herunder etterretning, sabotasje, terror, informasjonsoperasjoner og kriminalitet. Dette gjøres ved å holde oversikt over det risikobildet som omgir Forsvaret og norsk militær aktivitet hjemme og ute, og ved å iverksette forebyggende tiltak og håndtere sikkerhetstruende hendelser mot Forsvaret. Målgrupper er sjefer, sikkerhetspersonell og den enkelte ansatte i Forsvaret, samt leverandører av sikkerhetsgraderte anskaffelser. I media har det blitt fremstilt at NSM skal ha kommet med bekymring om at FOST skal ha anskaffet avansert utstyr for telefonavlytting. Det understrekes at for operasjoner i utlandet er FOSTs virksomhet på dette området avgjørende for personellets sikkerhet, og Forsvaret har i den forbindelse kjøpt spesielt og avansert utstyr. Denne type virksomhet skal Forsvaret selvsagt ikke foreta i Norge utover i øvelsesøyemed. Alle aktører er i slike situasjoner informert.

FOST har, i tillegg til oppgaver innenfor den forebyggende sikkerhetstjenesten i Forsvaret, også blitt tildelt oppgaver innenfor militær kontra¬etterretning, samt vakt og sikring. Den største enkeltoppgaven er knyttet til personellklareringer i Forsvaret.