Digitalt sårbarhetsutvalg

Utvalg som leverte sin utredning 30. november 2015

Regjeringen nedsatte i juni 2014 et utvalg som fikk i oppgave å kartlegge samfunnets digitale sårbarhet. Utvalget skulle foreslå konkrete tiltak for å styrke beredskapen og redusere den digitale sårbarheten i samfunnet.

Pressemelding: Digital sårbarhetsrapport lagt fram

NOU 2015:13 Digital sårbarhet – sikkert samfunn

Bakgrunn for arbeidet

IKT har skapt store endringer i samfunnet de siste tiårene. Gevinstene har vært betydelige for innbyggere, næringsliv og samfunnet som helhet.  Beskyttelse av det åpne og frie internett er avgjørende for verdiskapning og vekst. Avhengigheten av IKT i samfunnet, næringslivet og privat sammenheng er stor og økende. IKT utgjør nå grunnmuren for all samhandling på tvers av sektorer.

Denne utviklingen har gjort IKT til en strategisk sikkerhetsutfordring. Infrastrukturen som ligger til grunn for at tjenestene fungerer, har blitt kritisk for at samfunnet skal fungere normalt. Den raske utviklingen av IKT-teknologi fører til rask endring og fornyelse av eksisterende digitale løsninger. Ved både tilsiktede (kriminalitet, terror, spionasje) og ikke-tilsiktede hendelser (ulykker, naturhendelser) er det behov for å beskytte informasjonen og sørge for at våre nettverk og systemer er sikre og stabile til enhver tid.

Utvalgets sammensetning

  • Professor Olav Lysne (leder), Bærum
  • Forsker Janne Hagen, Ski
  • Professor Fredrik Manne, Fjell (Hordaland)
  • Senior strategisk rådgiver Åke Holmgren, Stockholm (Sverige)
  • Advokat Eva Jarbekk, Oslo
  • Avdelingsdirektør Einar Lunde, Mandal
  • Professor Kristian Gjøsteen, Trondheim
  • Vice President Sofie Nystrøm, Oslo
  • Government Affairs Manager Kristine Beitland, Oslo

I tillegg er det opprettet et sekretariat med deltakelse fra Justis- og beredskapsdepartementet, Direktoratet for samfunnssikkerhet og beredskap, Nasjonal sikkerhetsmyndighet og politidirektoratet.

Mandat

Internett og nye IKT-anvendelser har endret vår hverdag radikalt de siste 15-20 årene. IKT er i alt – i telefonen, bilen, panelovnen, postkassen og hvitevarene. Teknologien er i alle hjem, på de aller fleste arbeidsplasser, i operasjonsstuen på sykehuset, på kraftstasjonen og i politibilen. Enheter, maskiner og brukere kobles sammen på stadig nye måter, og bruken av internett som infrastruktur fortsetter å vokse. De fleste kritiske infrastrukturer og samfunnsviktige funksjoner er i dag digitalisert. Vår avhengighet av IKT i samfunnsmessige, næringsmessige og private sammenhenger er stor og økende.

Dette medfører nye sårbarheter i samfunnet. Med økende avhengighet mellom kritiske komponenter kan flere viktige samfunnsfunksjoner bli skadet eller lammet i utilsiktede hendelser som f.eks. en ulykke eller ekstremvær.  Samtidig har det digitale rom åpnet for nye tilsiktede og alvorlige trusler fra både statlige og ikke-statlige aktører. Kriminalitet, mellomstatlige kriser og konflikter har i stadig større grad digitale elementer i seg. Det digitale rom og de digitale tjenestene er koblet sammen på tvers av sektorer og på tvers av landegrenser. Det kan være ulike aktører som eier, har tilsyn med og driver de ulike infrastrukturene, og ansvarslinjene mellom dem oppleves ikke alltid som like klare.

Dette medfører en rekke utfordringer blant annet knyttet til personvern, rettssikkerhet, samfunnssikkerhet og kriminalitetsbekjempelse. Denne utviklingen har også stor betydning for myndighetenes informasjonsinnhenting og -bearbeiding og forebyggende virksomhet.

Det er på denne bakgrunn behov for en gjennomgang som kartlegger samfunnets digitale sårbarheter slik at vi kan få et solid faglig grunnlag for ytterligere å styrke og samordne vår beredskap. Gjennomgangen skal gi et grunnlag for å vurdere tiltak som støtter opp om overordnede mål som å trygge liv og helse, økonomisk vekst og sosial utvikling, rettigheter og eiendom, sikre ivaretagelse av lov og orden, nasjonale sikkerhetsinteresser, rettsstatlige prinsipper, personvern og demokratisk styresett.

Utvalgsarbeidet skal basere seg på eksisterende kunnskapsgrunnlag om dagens og fremtidens utfordringer. Utvalget kan be om særskilte utredninger fra eksperter/ekspertgrupper på enkeltområder.

Utvalget skal ikke vurdere nasjonale regler for datalagring vedtatt ved lov 11. april 2011 nr. 11 eller konsekvensene for norsk rett av EU-domstolens avgjørelse i saken om datalagringsdirektivet.

Utvalget skal utrede følgende:

  1. Utvalget skal beskrive de digitale sårbarheter som Norge står overfor i dag og i nærmeste fremtid. Sårbarheter innen kritiske samfunnsfunksjoner og kritisk infrastruktur, blant annet elektronisk kommunikasjon, kraftforsyning og bank- og finansielle tjenester, og de gjensidige avhengigheter mellom disse, skal spesielt analyseres nærmere. Utvalget skal vurdere hvilke konsekvenser denne sårbarheten kan få for enkeltmennesker, næringsliv og samfunnssikkerheten. I denne forbindelse skal utvalget også se på sivilt-militært samarbeid og samarbeid mellom offentlige og private aktører.

  2. Utvalget skal beskrive aktuelle problemstillinger knyttet til sikring av informasjon, derunder eventuell manglende kontroll i egen virksomhet med leverandører. Utvalget skal redegjøre for tiltak som bør settes i verk for å hindre at informasjon blir behandlet rettsstridig eller på annen måte blir kompromittert.

  3. Utvalget skal beskrive de sentrale folkerettslige rammer for grenseoverskridende informasjonsinnhenting. Videre skal utvalget identifisere de internasjonale arenaer hvor folkerettslige problemstillinger i det digitale rom diskuteres, og som er av særlig relevans for Norge og norske interesser.

  4. Utvalget skal vurdere de digitale sikkerhetsutfordringene ved IKT-kriminalitet, spionasje, sabotasje og terror. Utvalget skal beskrive behovet for å kunne avdekke, håndtere og etterforske digitale angrep. Utvalget skal beskrive de dilemmaer som må tas hensyn til i denne sammenheng, særlig knyttet til næringsutvikling, demokratisk deltakelse og forholdet mellom personvern og informasjonsinnhenting.

  5. Utvalget skal foreta en prinsipiell vurdering av hvordan samfunnet bør forholde seg til håndtering av digital sårbarhet. Utvalget skal vurdere effekt sett opp mot kostnader og ulemper ved risikoreduserende tiltak (proporsjonalitet), balansen mellom forebyggende tiltak og evne til skadereduksjon ved faktiske hendelser, samt hvilken grad av sårbarhet samfunnet bør være beredt til å leve med.

  6. Utvalget skal beskrive hvordan relevante allierte og andre sammenlignbare land arbeider med å redusere denne sårbarheten, med særlig vekt på virkemidler som har overføringsverdi til norske forhold. 

  7. På denne bakgrunn skal utvalget komme med forslag til tiltak som kan bidra til å redusere sårbarheten. De anbefalte tiltakene kan være av regulatorisk, strukturell, organisatorisk, teknologisk eller kompetansemessig karakter.

  8. Utvalget skal utrede administrative, økonomiske og andre vesentlige konsekvenser av sine anbefalinger. Minst ett forslag skal baseres på uendret ressursbruk.

  9. Dersom det er behov for å gjøre mindre endringer i mandatet så skal utvalget ta dette opp med Justis- og beredskapsdepartementet som kan beslutte disse.

  10. Utvalget skal levere sin utredning i form av en NOU til Justis- og beredskapsdepartementet innen 27. november 2015. Innstillingen skal utarbeides i en form som egner seg til å bli sendt på en offentlig høring. De delene av utvalgets arbeid som vil omfatte gradert informasjon, vil måtte behandles av en begrenset del av utvalgets medlemmer. Disse må ha nødvendig sikkerhetsklarering. Materiale som er gradert utarbeides i separate vedlegg.