Aktiver Javascript i din nettleser for en bedre opplevelse på regjeringen.no

Høringssvar fra NUPI - Norsk utenrikspolitisk institutt

Dato: 30.01.2019

Svartype: Med merknad

NUPI vil i det følgende svare på høring om Lov om Etterretningstjenesten datert 12.11.2018. Vi vil kun fokusere på deler av høringsnotatet, og primært det som dreier seg om digitale sårbarheter og ønsket om å gi Etterretningstjenestens «tilrettelagt tilgang til grenseoverskridende elektronisk kommunikasjon». Slik vi ser det er dette det viktigste aspektet ved lovforslaget, sett fra et sikkerhetspolitisk ståsted.

Høringsuttalelsen er utarbeidet av NUPIs senter for forskning på cybersikkerhet, og ført i pennen av forskningsgruppeleder Karsten Friis. NUPIs fokus på cybersikkerhet er naturlig nok primært den internasjonale dimensjonen av dette, slik som bruken av digitale våpen, forsøk på internasjonal regulering, IKT-sikkerhet i utviklingsland, privat-offentlig relasjoner mv. Det er viktig å understreke at det følgende er basert på sikkerhetspolitiske vurderinger og vår forskning på feltet. Juridiske aspekter berøres ikke.

Om trusselbildet

Vi finner at beskrivelsen av det digitale trusselbildet under punkt 7.5.2.5, 11.6.2, mv. er god. Ettersom samfunnet blir stadig mer digitalisert og «smart», øker også de digitale sårbarhetene, også for forskningsinstitusjoner som NUPI. Da er det viktig at den digitale infrastrukturen i samfunnet og i staten er gjort så sikker som mulig (NOU 2015:13). Vi ser at stater i dag i økende grad bruker digitale våpen til å spionere og kartlegge kritisk infrastruktur. Det har også vært flere tilfeller av digital sabotasje, altså at man lammer store deler av et samfunn gjennom hacking – med store økonomiske og samfunnsmessige konsekvenser (Powers & Jablonski, 2015; Kello, 2017).

Etterretningstjenesten har en viktig rolle i å bidra til denne sikkerheten – sammen med NSM, PST og andre aktører. Det er likevel denne nødvendig at det tas ytterligere grep for å bedre etterretningskapasiteten også på dette felt. Fravær av helhetlig internasjonal regulering på feltet gjør behovet større, likeledes gjelder det faktum at Norge kan rammes som et resultat av sammenkobling med andre land.

Vi mener også at vurderingene som gjøres av departementet under punkt 11.7.4.2. er korrekte. Et «nullalternativ», altså å videreføre dagens situasjon, er ikke et reelt alternativ. Det vil gjøre at Norges sikkerhet er prisgitt godviljen hos andre land til å dele essensiell og tidskritisk informasjon. I tillegg til de momenter som departementet legger frem under dette punktet, kan et bevisst valg om ikke å styrke nasjonal etterretning på digital kommunikasjon sende et uheldig signal om at Norge tar lett på slik sikkerhet. Det kan igjen vanskeliggjøre samarbeid med andre land, da de kan bli mindre villige til å dele informasjon. Norge bør ikke bli et «svakt ledd» i det vestlige sikkerhetssamarbeidet.

Bruk av digitale våpen offensivt

Et tilstøtende moment er bruken av digitale våpen offensivt. I høringsnotatet heter det at (pkt 7.10): «Effektoperasjoner kan gjennomføres både i det fysiske og digitale rom, ved bruk av menneskebaserte eller tekniske kapasiteter. Operasjonen må ha et selvstendig rettslig grunnlag, i og med at virksomheten ikke hjemles i lov om Etterretningstjenesten.» Videre: «Etterretningstjenesten har det nasjonale ansvaret for å planlegge og gjennomføre offensive cyberoperasjoner, herunder cyberangrep (Computer Network Attack), samt koordinere mellom offensive og defensive cybertiltak i Forsvaret. Etterretningstjenesten har også ansvaret for å forestå etterretningsmessig attribusjon av utenlandske trusselaktører ved alvorlige cyberoperasjoner rettet mot Norge eller norske interesser. Rettslig sett faller disse oppgavene utenfor rammen av en lov som dreier seg om innhenting og behandling av informasjon.»

I praksis er det ofte vanskelig å skille mellom defensive og offensive operasjoner i det digitale rom. I internasjonal litteratur brukes begrep som «forward defence», som en slags «proaktiv snoking», der poenget er at i dagens pågående digitale konflikter er man ofte nødt til å gjøre dette for å kunne forsvare egne systemer (Sulmeyer, 2018; Smeets 2018). Etterretningsaktivitet mot andre lands nettverk er med andre ord en integrert del av eget digitalt forsvar, som et føre-var eller varslingstiltak. Gitt den høye graden av gradering rundt disse spørsmålene, kjenner vi ikke arbeidsdelingen mellom PST, NSM og Etterretningstjenesten her, men det kan være krevende å opprettholde konkrete og formelle skiller mellom innhenting, effektoperasjoner og sikringstiltak i det digitale rom.

Videre har spørsmålet om offensive cyber operasjoner i fredstid både etiske og sikkerhetspolitiske dimensjoner. Dette er vanskelige diskusjoner, i og med at det omhandler avansert teknologi og er preget av hemmelighold internasjonalt. Ikke desto mindre er de potensielle sikkerhetspolitiske implikasjonene av en global økning av offensive cyber operasjoner trolig negativ. Det kan i verste fall undergrave det digitale roms enorme økonomiske, sosiale og kunnskapsmessige potensial. Spørsmålene fortjener derfor en løpende debatt (Klimburg, 2016).

Vi er usikre på om disse aspektene er tilstrekkelig utredet i og hensyntatt i høringsnotatet.

Informasjon som handelsvare

Det er også relevant å understreke at den offentlige diskusjonen rundt etterretning i det digitale rom til tider er misvisende. Data er på mange måter en internasjonal handelsvare. Man bør legge til grunn at store deler (eller all) norsk digital kommunikasjon allerede i dag blir samlet opp av både andre lands etterretningstjenester og kommersielle aktører som driver systemene.

Debatten handler altså ikke om vår digitale kommunikasjon skal kunne samles opp eller ikke. Det blir den i stor grad allerede, men snarere om av hvem og hvordan informasjon kan samles. Selv om det faktum at datatrafikken allerede er plukket opp av andre ikke i seg selv legitimerer at norske myndigheter skal gjøre det samme, er poenget at spørsmålet om personvern ikke er et enten/eller. Debatten handler om at norske myndigheter, ved Etterretningstjenesten, også skal kunne samle og gjøre søk i dette materialet, og hvordan dette i så fall bør gjøres.

Teknologinøytral

Et viktig moment her er at loven gjøres så teknologinøytral som mulig. Utviklingen av maskinlæring, autonome systemer, krypteringsteknikker, kunstig intelligens, kvantemaskiner med videre, vil kunne endre trusselbildet raskt. Avanserte algoritmer brukes allerede for å søke i data og oppdage digitale angrep, noe som gjør kontroll og styring enda mer krevende.

Loven, instruksen og det øvrige systemet må utformes slik at den kan være relevant også om fem eller ti år, og at man besitter relevant kompetanse for å ivareta lovens intensjon og formål. I denne sammenhengen er det ikke minst viktig at Stortingets overvåkningsorgan for de hemmelige tjenestene, EOS-utvalget, styrkes på ressurs- og kompetansesiden. Deres mandat, tekniske kompetanse og kapasitet må gjøre dem i stand til å utføre den type kontroll som er nødvendig.

Referanser:

Kello, Lukas (2017): The Virtual Weapon. London: Yale University Press.

Klimburg, Alexander (2017): The Darkening Web. New York: Penguin

NOU 2015:13 (Lysne I-utvalget): Digital sårbarhet – sikkert samfunn — Beskytte enkeltmennesker og samfunn i en digitalisert verden.

Power, Shawn M. & Jablonski, Michael (2018): The Real Cyber War. Chicago: University of Illinois Press

Smeets, Max (2018): “The Strategic Promise of Offensive Cyber Operations”, Strategic Studies Quarterly, Fall 2018

Sulmeyer, Michael (2018): “How the U.S. Can Play Cyber-Offense”, Foreign Affairs, Thursday, March 22, 2018.

Til toppen