Sikkerhet og personvern i den digitale tidsalder:

Om sikkerhet og sårbarhet i samfunnet

Statssekretær Øystein Bø i Forsvarsdepartementet holdt dette innlegget på Sikkerhetsutvalgets dagsseminar 28. april 2016. Samfunnets sikkerhet og den enkeltes personvern er grunnleggende verdier i en demokratisk rettsstat. Men hvordan kan disse verdiene beskyttes og ivaretas parallelt? Er det en motsetning mellom å ivareta sikkerhet og individers frihet? Hvor går grensen for hva staten kan foreta seg med nasjonal sikkerhet som begrunnelse?

*Sjekkes mot fremføring*

Kjære alle sammen,

De siste årene har vi fått en bredere offentlig debatt i Norge om forholdet mellom sikkerhet og personvern.

En debatt som reiser mange viktige og vanskelige problemstillinger:

Hva skal stater og deres etterretningstjenester ha lov til å gjøre?

Hva slags informasjon kan de innhente?

Hvem får tilgang til den?

Har vi egentlig kontroll over hva de driver med?

Er det greit å ofre personlig frihet til fordel for bedre sikkerhet?

Er det nødvendig å gjøre det?

Hvor går grensa mellom legitim etterretning og overgrep mot borgeres personvern?

#

Jeg er glad for at vi har fått økt oppmerksomhet rundt disse viktige spørsmålene.

Samtidig mener jeg at vi fortsatt er altfor lite opptatt av dem.

Både som samfunn og som privatpersoner.

Utbredelsen av informasjons- og kommunikasjonsteknologi har gitt oss fantastiske muligheter.

Informasjon skapes, lagres, finnes og deles uendelig mye raskere og mer effektivt enn før, uavhengig av geografisk avstand.

Bedrifter, offentlige virksomheter, helsevesen, politi, forsvar, industri – alle lagrer og deler vital informasjon elektronisk.

Sosiale medier har skapt en helt ny måte å kommunisere på. Mediene har ikke lenger monopol på den offentlige debatten. Det finnes ikke lenger noen praktiske begrensninger på muligheten til åpenhet og informasjonsdeling.

Vi legger ut ufattelig mye informasjon om oss selv. Bilder og opplysninger som tidligere var forbeholdt familie og venner, er tilgjengelige for hele verden.

Det samme er våre nettverk, hvem vi kjenner og hvordan vi kjenner dem.

Mange blåser i personverninnstillingene. Vi orker ikke å lese tjue sider med liten skrift uansett. Vi trykker ok og satser på at det går greit. Uten å egentlig ane hva vi har gitt Facebook og Google lov til å samle inn – og eie - av informasjon om oss.

Om hvem vi er, hvor vi er, hva vi leser, søker etter, hvem vi møter og hva vi driver med.

Vi gjør det fordi fordelene er så mange. Vi kan holde kontakten med folk vi kjenner, og treffe andre mennesker med like interesser. Vi kan finne en kjæreste. Vi kan handle hva som helst, delta i debatter, få bekreftelse, dele minner og informasjon, tilfredsstille vår nysgjerrighet og følge med. Bare med et tastetrykk.

Men teknologi som forener og beriker, kan også brukes til å splitte og ødelegge.

#

Regjeringen besluttet sommeren 2014 å nedsette et utvalg som skulle kartlegge samfunnets digitale sårbarheter, det såkalte Lysneutvalget. Utvalgets rapport ble lagt fram i fjor høst og beskriver nettopp dette. Hvor avhengige vi er av IKT og hvor sårbare vi har blitt på grunn av det.

E-tjenesten konstaterer i sin åpne vurdering - «Fokus 2016» -  at trusselen mot Norge og norske interesser har vært økende i flere år og at utviklingen i 2015 ikke har vært noe unntak. Nasjonal sikkerhetsmyndighet fremhever digital spionasje som en stor risiko i årene fremover.

Digitale etterretningsoperasjoner har økt dramatisk i omfang. Dette ser vi stadig eksempler på.  Fremmede stater, grupper og aktører søker kunnskap om politiske, økonomiske, teknologiske eller militære forhold i Norge. 

Målet med slike operasjoner er å få tilgang til sensitiv informasjon, påvirke beslutninger og å undersøke muligheter for å kunne sabotere kritisk infrastruktur.

Den stadig økende digitaliseringen gjør at risikoen for sikkerhetstruende hendelser mot Norge er blitt mer reell.

Dette er en utvikling vi må ta på alvor. Hvilket realistisk mulighetsrom har vi så for å kunne redusere denne trusselen?

I et overordnet samfunnsperspektiv, sier Lysne-utvalget, vil en forsvarlig ivaretakelse av utfordringer på sårbarhets- og sikkerhetsområdet være avgjørende for å opprettholde rettsstatens og demokratiets grunnleggende verdier. Intet mindre.

Regjeringen prioriterer arbeidet med sikkerhet i samfunnet svært høyt. Vi må gjøre det vi kan for å motvirke denne risikoen, og sørge for å være best mulig forberedt.

Sikkerhet vs. personvern

Fra et statsvitenskapelig perspektiv kan vi utlede en logisk argumentasjonsrekke som følger:

Statens fremste oppgave er å ivareta innbyggernes sikkerhet.

Derfor vil staten ønske å ha best mulig oversikt og kontroll over forhold som kan true vår sikkerhet, både innenfor og utenfor landets grenser.

For å ha det er staten avhengig av informasjon.

Informasjon som gir kunnskap, innsikt og forståelse om det som skjer blant oss og rundt oss.

I dag finnes mesteparten av denne informasjonen i det digitale rom. Den deles gjennom digitale kanaler og skjules gjennom kryptering.

Og det byr på vanskelige utfordringer og dilemmaer, både politisk, juridisk og teknologisk, noe også Lysne-utvalget peker på.

Dette er kanskje spesielt tydelig i dag, hvor vi er stilt overfor så mange, og så komplekse, sikkerhetsutfordringer ingen vet utfallet av.

Men det hjelper lite å vite hva som foregår hvis vi ikke er i stand til å gjøre noe med det.

Vi må kunne forebygge, forutse og håndtere en rekke trusler, fra hybrid krigføring og voldelig ekstremisme til organisert kriminalitet, spionasje og cyberangrep.

Også her møter vi på vanskelige politiske, juridiske og teknologiske utfordringer og dilemmaer.

#

For det er jo slik at statens behov for kontroll kan komme i konflikt med retten til personvern, ytringsfrihet og andre helt grunnleggende deler av demokratiet.

I dette ligger et potensielt motsetningsforhold som viser viktigheten av demokratisk kontroll.

For hvis hovedrasjonalet for statens sikkerhetstiltak er å sikre vårt demokrati og verne vårt samfunn, kan den ikke i sitt arbeid bryte med demokratiske prinsipper og rettigheter.

Og slik begå overtramp mot de verdier den skal beskytte.

#

Temaet er krevende. Uansett hvor store ressurser eller vidtgående virkemidler vi setter inn for å forebygge sikkerhetstruende hendelser, kan vi ikke garantere et risikofritt samfunn.

Tiltak må derfor balanseres både mot en samfunnsmessig kost-nytte-vurdering og mot verdier det er viktig å beskytte.

Lysne-utvalget viser til at det er nødvendig med avveininger og balanse mellom hensyn som nasjonal sikkerhet på den ene siden, og den enkelte borgerens personvern og ytringsfrihet på den andre.

Vi skal være svært varsomme med en endring av maktbalansen mellom stat og borger i favør av staten. Men det vil være ulike oppfatninger av hvor dette balansepunktet bør ligge, og hva som bør være et rimelig og forsvarlig sikkerhetsnivå.

Utgangspunktet må uansett være at staten ikke skal bruke mer inngripende midler og metoder enn det som er nødvendig, slik det også er presisert i dagens sikkerhetslov.

Men hva som i dag er nødvendig sett opp mot de trusler som det moderne samfunnet står overfor, er jo det store spørsmålet.

#

Det er viktig med åpenhet og kontroll.

Befolkningen må være trygge på at staten ikke misbruker sin makt.

For der befolkningen i stor grad har innsyn i hva staten foretar seg på de fleste områder, kjennetegnes en stor del av arbeidet med nasjonal sikkerhet nettopp av det motsatte.

Derfor er det så avgjørende at de såkalt hemmelige tjenestene, PST, E-tjenesten og NSM, er underlagt demokratisk kontroll. Også utover den som utøves av departementer og ansvarlige statsråder.

Her spiller EOS-utvalget en helt sentral rolle.

Det er utviklet en gjensidig respekt og forståelse mellom utvalget og de hemmelige tjenestene, noe jeg mener er en forutsetning for godt samarbeid og god kontroll.

Gjennom sitt arbeid bidrar utvalget i betydelig grad til å styrke tjenestenes legitimitet i befolkningen, noe også evalueringsutvalget har fastslått.

Revisjonen av sikkerhetsloven

Men både statens sikkerhets- og etterretningsarbeid og den demokratiske kontrollen med dette må være forankret i et solid lovverk.

Et lovverk som balanserer forholdet mellom kontroll og personvern, og mellom Statens rett til inngripen og folkets frihet.

Et lovverk som er tilpasset den tiden vi lever i, men som også ser framover.

Forsvarsdepartementet har over en lengre periode arbeidet sammen med Justis- og beredskapsdepartementet med å forbedre dagens sikkerhetslov.

Dette er et krevende arbeid, men det er viktig for samfunnssikkerheten, og derfor en viktig sak for regjeringen.

Vi har ikke råd til å vente. Men vi har heller ikke råd til å ikke gjøre denne jobben godt nok.

Derfor ble det høsten 2014 besluttet å dele arbeidet i to faser.

Vi må raskt få på plass endringer vi er enige om og som haster, samtidig som vi jobber med å lage en ny lov.

Sikkerhetsutvalget, ledet av Kim Traavik, og arrangør av dagens seminar, ble oppnevnt med oppdrag om å utrede et nytt lovgrunnlag for forebyggende nasjonal sikkerhet.

Mandatet er bredt, nettopp fordi vi ser behov for nytenkning på dette området. Sikkerhetsutvalget skal avgi en rapport i form av en NOU i løpet av høsten i år.

Jeg ser fram til utvalgets vurderinger og anbefalinger, og til å få et godt grunnlag for å sikre et helhetlig, solid og framtidsrettet forebyggende regelverk som tar høyde for teknologisk utvikling, demografiske endringer og et endret sikkerhetsbilde.

#

I mellomtiden har vi fremmet en lovproposisjon til Stortinget med enkelte endringer i sikkerhetsloven det er viktig å få raskt på plass.

Ett av forslagene er å lovfeste dagens praksis når det gjelder Nasjonal Sikkerhetsmyndighets ansvar for den nasjonale responsfunksjonen for alvorlige dataangrep mot kritisk infrastruktur, det som kalles NorCERT, og det nasjonale varslingssystemet for digital infrastruktur, forkortet VDI.

De merknader Datatilsynet hadde i høringsrunden, og som særlig gikk på hensynet til personvernet, har vi så langt mulig søkt å ivareta.

Behandling av personopplysninger er tydelig avgrenset til det som er nødvendig for å oppdage, verifisere, analysere og håndtere alvorlige IKT-angrep mot kritisk infrastruktur.

I proposisjonen foreslår vi også at eiere av kritisk infrastruktur skal ha en plikt til å vurdere risikoen for spionasje og sabotasje ved anskaffelser til slik infrastruktur, og å varsle myndighetene dersom risikoen vurderes som ikke ubetydelig. Dette skal bidra til å gjøre Norge mindre sårbart.

Forslaget innebærer også at Kongen i statsråd kan sette vilkår, eller i ytterste fall stanse, anskaffelser til kritisk infrastruktur der risikoen for spionasje eller sabotasje vurderes som for høy.

Det er viktig at myndighetene har de nødvendige verktøyene for å kunne gripe inn, dersom hensynet til Norges sikkerhet krever det. Jeg tror likevel at virksomhetene som eier kritisk infrastruktur vil ta det nødvendige samfunnsansvaret. Bestemmelsen er derfor ment som en «nødbrems».

Regjeringen styrker samfunnssikkerheten

I løpet av de siste årene har regjeringen bidratt med en betydelig økning av ressursene til både Politiets sikkerhetstjeneste, etterretningstjenesten og NSM. En viktig grunn til det er nettopp de økte sikkerhetsutfordringene i denne digitale tidsalderen. Men også den generelt usikre sikkerhetspolitiske situasjonen vi står overfor.

NSM foreslo i sitt sikkerhetsfaglige råd, som vi mottok i fjor, en rekke tiltak for å styrke sikkerheten. Mange av forslagene har som formål å redusere digitale sårbarheter.

Forslagene blir nå vurdert nærmere i forbindelse med arbeidet med ny langtidsplan for Forsvaret. Her er det viktig at vi prioriterer godt, med sikte på best mulig sikkerhet for hver krone. 

Et annet viktig område vi ser på er etterretningstjenestens tilgang til digital informasjon i fibernettet. De elektroniske signalene har i stor grad flyttet seg fra luften, via radio og satellitt, til sjø- og landbaserte fiberoptiske kabler. Det representerer en stor utfordring for tjenesten, fordi den ikke lenger har tilgang på den samme informasjonen som før; Informasjon den trenger for å kunne avdekke og forebygge trusler fra fremmede aktører.

Forsvarsdepartementet har derfor nedsatt et uavhengig utvalg, ledet av professor Lysne (som dere forstår er vi veldig begeistret for professor Lysne), for å kartlegge prinsipielle grensedragninger for innhenting av etterretningsinformasjon om fremmede aktørers elektroniske kommunikasjon inn og ut av Norge.

Det er viktig å understreke at spørsmålet om det skal tilrettelegges for at Etterretningstjenesten eventuelt skal få tilgang til tele- og datatrafikken, ikke er et spørsmål om endring i rammene for hva slags informasjon tjenesten kan innhente.

Det handler om hvorvidt den skal kunne ha tilgang til den samme informasjonen som i dag, der denne faktisk finnes. De allerede fastsatte rammene vil gjelde som før. Dette gjelder også forbudet mot fordekt informasjonsinnhenting mot norske personer. Dette reiser likevel flere prinsipielle spørsmål knyttet til blant annet ivaretakelsen av personvern og den personlige frihet i det digitale rom det er nødvendig å kartlegge. Vi er tilbake i det klassiske dilemmaet mellom sikkerhet og personvern, mellom Statens rett til inngripen og folkets frihet.

Utvalget skal levere sin utredning før sommeren. Den vil være åpen og offentlig. Vi ønsker på den måten å bidra til en informert og bred offentlig debatt om disse viktige spørsmålene.

#

Det er en styrke ved vårt samfunn at vi åpent diskuterer slike ting. Vi tar det kanskje som en selvfølge, men i veldig mange land ville det vært utenkelig.

For demokrati er ingen naturlov. Og en demokratisk stat eksisterer ikke for sin egen del. Den er noe vi har skapt sammen for å skape trygghet, stabilitet, velferd og like muligheter for alle statens innbyggere.

Som politikere er vi gitt tillit til å forvalte den godt, på folkets vegne, basert på klare demokratiske verdier og prinsipper. Nettopp derfor er det så viktig at vi har slike åpne debatter som Sikkerhetsutvalget er vert for her i dag. Fordi vår sikkerhet og vår frihet gjelder oss alle.

Bruk denne dagen godt!

Takk for oppmerksomheten og lykke til med seminaret!