Nærings- og handelsdepartementet

Samfunnets sårbarhet som følge av avhengighet til IT

– kortversjon av hovedrapport –

Oktober 2000

1 Innledning

Informasjons- og kommunikasjonsteknologien (IKT) har gitt mennesket store muligheter, gitt økonomisk vekst og nye kanaler for formidling av informasjon. Produksjon av varer og tjenester har blitt enklere, noe som igjen har ført til økt tilbud.

Teknologiutviklingen kan også medføre ulemper. Dagens økonomi og samfunn er blitt helt avhengig av denne teknologien. Teknologien er blitt en integrert del av systemene vi omgir oss med og som er med på å sikre vår velferd. Omfattende svikt i IKT-systemer og infrastruktur kan nå forstyrre vitale samfunnsfunksjoner på en måte som få av oss kan forutse. Selv enkel svikt i IKT-systemer kan føre til omfattende svikt innen viktige sektorer som energiforsyning, telekommunikasjon, drivstofforsyning, helse, betalingsformidling, næringsliv og nasjonens forsvar.

Det er derfor en samfunnsoppgave å tilstrebe at vi har den innsikt og handlekraft som må til for å oppnå mest mulig av godene og minst mulig av ulempene ved denne utviklingen.

Det har de senere år både nasjonalt og internasjonalt blitt satt et stadig økende fokus på samfunnets sårbarhet som følge av teknologiutviklingen. Flere land i den vestlige verden er nå i gang med å gjennomføre nasjonale tiltak innen området som følge av nasjonale analyser. USA er ett eksempel, der det i 1997 ble offentliggjort et arbeide "Critical Foundations – Protecting Americas Infrastructures", der samfunnets sårbarhet ble vurdert å være stor. Land som Sveits og Sverige har også kommet et godt stykke på vei.

I 1998 tok Statssekretærutvalget for IT (SSIT) initiativ til et underutvalg som skulle lage en rapport om status for IT-sårbarhetsarbeidet i Norge. Et resultat av dette arbeidet var at det i 1999 ble igangsatt et IT-sårbarhetsprosjekt for å studere området grundigere.

Som følge av en rekke funn og indikasjoner både nasjonalt og internasjonalt, og som alle tydet på en utvikling mot økt samfunnssårbarhet, ble det også i 1999 etablert et offentlig utvalg – Sårbarhetsutvalget. Oppgaven til dette utvalget var å studere samfunnets sårbarhet i et bredt perspektiv. Arbeidet med IT-sårbarhetsprosjektet er koordinert med Sårbarhetsutvalgets arbeid innenfor området IKT-sårbarhet.

I Sårbarhetsutvalgets NOU (2000:24) - "Et sårbart samfunn", som ble avgitt 4. juli 2000, er det klart uttrykt behov for tiltak for å redusere sårbarheten i samfunnet. Det er også lagt stor vekt på betydningen av IKT-sårbarhet for samfunnets sårbarhet, der utvalget foreslår en nasjonal strategi med et antall tiltak for å redusere denne sårbarheten.

I henhold til mandatet ble en "Underveisrapport" fra prosjektet oversendt Sårbarhetsutvalget 1. april 2000. "Underveisrapporten" og Sårbarhetsutvalgets NOU danner utgangspunkt for den strategi og de tiltak som foreslås av IT-sårbarhetsprosjektet, og som er beskrevet i denne rapporten.

IT-sårbarhetsprosjektet har vært forankret i Nærings- og handelsdepartementet og organisert med en prosjektgruppe og en styringsgruppe. Prosjektledere har vært Vigdis Olsen, Nærings- og handelsdepartementet (fra prosjektstart til 1. juli 2000) og Kjell Olav Nystuen, Forsvarets forskningsinstitutt (fra 1. juli – 30. oktober 2000). Prosjektets styringsgruppe har vært ledet av Eivind Jahren, Nærings- og handelsdepartementet.

2 Utfordringer mot morgendagens samfunn

2.1 Nye trusler

Samfunnet står i dag overfor et helt annet trusselbilde enn for få år siden. Dette gjelder både på den sivile og den militære delen av arenaen.

På den sikkerhetspolitiske arenaen har muren mellom øst og vest falt, og det er i dag vanskelig å konstruere noen sannsynlig nasjonalstatlig fiende mot Norge. Det betyr ikke at det i fremtiden ikke vil finnes mulige fiender. Derfor vil Norge også i årene fremover bruke store beløp på å utvikle det militære forsvaret, selv om dette antagelig vil få en annen innretning enn under den kalde krigen.

Den klare avhengigheten av teknologi har gjort samfunnet mer sårbart fordi det er blitt mulig å ramme samfunnet med enklere virkemidler enn tidligere. Dermed er det ikke lenger bare nasjonalstater og store ressursrike organisasjoner som kan inneha en slik kapasitet. Mulige aktører i dag og i fremtiden dekker derfor et mye videre spenn enn tidligere, fra enkeltindividene til nasjonalstatene. Derfor vil det i fremtiden også være vanskeligere å skille mellom trusler fra et militært maktapparat og trusler av mer sivil karakter.

En finner også en økte anvendelse og avhengighet av IKT-systemer på militær side. Dette har ført til at såkalte informasjonsoperasjoner i økende grad kommer inn som viktig del av de fleste nasjoners forsvarskonsepter. Det innebærer at det bygges opp militær kapasitet for både angrep mot og forsvar av militære og sivile informasjonsinfrastrukturer.

Mens en angriper tidligere var henvist til å anvende fysiske virkemidler er spekteret av mulige virkemidler i dag betydelig bredere. Av disse er de såkalte logiske virkemidlene de mest fremtredende. Med slike virkemidler kan man med hjelp av datamaskiner med spesiell programvare angripe funksjonene til andre datamaskiner. En angriper kan gjennom kommunikasjonsnettverk trenge seg inn i datasystemer som styrer vitale infrastrukturer som telekommunikasjon og kraftforsyning, og forstyrre eller hindre funksjonen til disse. Konsekvensen for samfunnet kan bli svært alvorlig. Enkel tilgjengelighet til virkemidlene gjør det også enklere for kriminelle enkeltindivider og organisasjoner å nå frem til sine mål, enten i ren vinnings hensikt eller med ønske om å vise seg frem for et spesielt miljø.

Dersom datasystemene er tilknyttet Internett, noe som i økende grad er vanlig selv innenfor viktige produksjonssystemer, vil slike angrep i prinsippet kunne gjennomføres fra et hvilket som helst sted i verden. IKT-systemene er dermed blitt våpenplattformer for den som søker å skade en nasjon, en virksomhet eller et enkeltindivid.

I et hvert IKT-system er eksperten en viktig faktor, det vil si den eller de som står for installasjonen eller den daglige driften av systemet. Dersom en angriper klarer å påvirke denne til å utføre illegale operasjoner vil også angriperen ha store muligheter for å lykkes. Kombinasjonen av slike sosiale virkemidler og logiske virkemidler vil for angriperen være svært virkningsfull.

En finner i dag en rekke eksempler der selv enkeltindivider har vært i stand til å trenge seg inn i vitale IKT-systemer for samfunnet. Ett eksempel på dette er en 14-åring som fra gutterommet var i stand til å ta kontroll med damluker i et kraftforsyningsanlegg i Canada. Det har så langt ikke vært påvist at terrororganisasjoner eller nasjonalstater har stått bak massive strukturerte angrep, selv om det er hevdet at slike angrep til en viss utstrekning ble benyttet i Kosovokonflikten i 1999.

IKT-systemenes økende innebygde kompleksitet utgjør også i seg selv en alvorlig trussel. Systemene er nå så sammensatt at det ofte vil være "umulig" å holde oversikt over strukturene i disse. De vil dekke store geografiske områder – gjerne hele verden, og de vil kunne spenne over mange virksomhetsområder. Enkle tekniske feil eller ytre påvirkninger fra natur eller individer vil kunne sette igang kjedevirkninger som ikke er forutsett. Svikt som følge av selv enkle tekniske feil eller feiloperasjoner fra mennesker kan raskt bli omfattende og fatale. Dette kan bli enda mer alvorlig dersom den initierende hendelsen kommer fra en kalkulerende fiende. På den annen side kan denne kompleksiteten også gjøre det vanskelig for en angriper å være sikker på å nå sitt mål. Usikkerheten som følge av denne kompleksiteten utgjør uansett et alvorlig problem fordi nettopp systemoversikt er en klar forutsetning for å oppnå sikre systemer.

2.2 Teknologiens sårbarhet

Det blir av enkelte hevdet at utviklingen går mot økt sårbarhet, mens andre igjen hevder at teknologiene som utvikles i seg selv er robuste, og at systemene der disse teknologiene inngår derfor også er robuste. Det er imidlertid ingen automatisk sammenheng mellom egenskapene til et system og egenskapene til teknologien som er anvendt i systemet med hensyn til sårbarhet.

Ett eksempel på dette er "internett-teknologien", som blant annet benyttes i Internett. Denne har isolert sett mange robuste egenskaper for framføring av informasjon i et nett. Ideelt sett vil informasjonen kunne finne frem selv om nettets struktur ødelegges betydelig. Dette er likevel til lite hjelp dersom nettet som knytter det hele sammen ikke er i stand til å håndtere alle mulige brukere og formidle den trafikken disse genererer. Nettet vil da i stedet kollapse. Selv om teknologien også har egenskaper som gjør at nettet vil bygge seg opp igjen, vil det likevel igjen kollapse hvis ingen gjør noe med det underliggende problemet. Forutsetningen for at teknologien skulle fungere i et robust system var da også opprinnelig at man skulle ha kontroll med hvem som skulle ha tilgang til nettet og hva det skulle brukes til. Ingen har i dag kontroll med hvem som bruker Internett eller hva det brukes til. På denne måten blir den i utgangspunktet robuste teknologien satt inn i en arkitektur og i et system som er svært sårbart.

Hvordan den enkelte operatør av IKT-systemer setter sammen teknologier i tekniske arkitekturer og systemer er derfor minst like viktig for sårbarheten som at teknologiene i seg selv er robuste. Med en utvikling mot mer og mer markedsstyrte løsninger tyder mye på at utviklingen går mot økt sårbarhet. En tydelig trend går mot at markedsaktørene er opptatt av enkeltfeil, men i mindre grad er opptatt av flere samtidige feil og svikt.

Noen hovedtrender innenfor teknologi, teknologianvendelse og sårbarhet er:

Liberalisering og avmonopolisering av sentrale infrastrukturer som telekommunikasjon og kraftforsyning har ført til at en økende del av infrastrukturen drives etter rene kommersielle kriterier, i tillegg til at den også i økende grad er privat eid.

Liberalisering og markedsutsetting fører til et sterkere behov for informasjonsutveksling mellom kommersiell og teknisk del av virksomhetene – også mot omverdenen gjennom det globale Internettet. Dette fører igjen til behov for å knytte sammen IKT-systemer som tidligere var fysisk adskilt, noe som øker utsattheten og sårbarheten til blant annet vitale samfunnsinfrastrukturer og produksjonssystemer.

Teknologiutviklingen skjer i et tempo som gjør det vanskelig for myndighetene og andre beslutningstakere å ha tilstrekkelig og tidsriktig kompetanse og informasjon om utviklingen. Disse står følgelig i fare for å gjennomføre tiltak som er i utakt med den til enhver tid gjeldende trusselsituasjonen. Til og med aktørene selv har i dag problemer med oversikten. Samtidig øker kompleksiteten, ikke minst på grunn av at de gjensidige avhengighetene mellom ulike typer systemer øker sterkt i omfang. Det krever høy kompetanse å sikre IKT-systemer, en kompetanse som i dag er mangelvare.

Med utviklingen av Internett og systembrukernes ønske og behov for å være tilknyttet dette nettet, er IKT-systemene blitt globalt tilgjengelige og de nasjonale grensene utgjør ikke lenger noen begrensning i informasjonsflyten – på godt og ondt. En mulig trussel fra hvor som helst i verden gjør det vanskeligere å finne ut av hvem som står bak et eventuelt angrep, samtidig som det også kan være vanskelig å avgjøre hvem angrepet egentlig er rettet mot. Gjennom åpne og sammenknyttede nettverk kan en person, organisasjon eller stat gjennomføre angrep fra nær sagt hvor som helst i verden.

Teknologien blir i økende grad åpen. Det vil si at kommunikasjon mellom systemer skjer i henhold til omforente standarder. Dette er positivt for brukerne fordi disse lettere kan samhandle, men det kan også være negativt fordi det kreves mindre kunnskap for å gjennomføre angrep mot systemene. Sterke og svake egenskaper ved systemene blir mer kjent for allmennheten.

Det er en trend mot økt sentralisering der viktige datamaskiner og nettverksknutepunkt legges til et fåtall geografiske steder. Dette fører til at operatøren av systemene kan bruke viktig spisskompetanse mer effektivt, men vil samtidig gjøre systemet mer sårbart overfor ulike former for trusler mot disse stedene. Alle eggene samles i en kurv. På den annen side blir disse punktene mindre ressurskrevende å beskytte fysisk fordi de ligger på færre steder.

Det er også en sterk trend mot sentralisert drift av IKT-systemer. Telenett kan i dag godt kontrolleres elektronisk fra andre land, noe som allerede er en realitet hos enkelte teleoperatører. Det samme kan driftsfunksjoner i datasystemer. Det er også en trend mot at både IKT-systemene og driften av disse settes bort (outsources) til egne spesialiserte virksomheter, innenfor eller utenfor landet grenser. Dette gir i utgangspunktet større mulighet til både sikker og effektiv drift, men gir også sterk avhengighet til den som har det sentraliserte driftsansvaret og dennes sikkerhetskompetanse. Muligheten til selv å ha kontroll over egen virksomhets sårbarhet reduseres.

Det har vist seg at enkelte leverandører innen IKT har oppnådd tilnærmet monopol. Ulempene ved slikt monopol ligger ikke bare i markedsmakten og økte kostnader i mangel av konkurranse, men også i avhengighet og stort nedslagsfelt for konsekvenser dersom noe skulle gå galt.

Disse utviklingstrekkene har samlet sett både negativ og positiv virkning på sårbarheten i IKT-systemene. Trenden vurderes å gå mot at systemene blir relativt driftssikre og robuste mot enkelthendelser med middels til høy intensitet. Det vil si hendelser som en operatør "forventer" vil skje, og som det vil utgjøre et konkurransefortinn i markedet å beskytte seg mot. For flere samtidige hendelser vurderes utviklingen derimot å gå mot betydelig økt sårbarhet. Denne sårbarheten blir markert høyere dersom utfordringene i tillegg kommer fra villede trusseltyper, der mennesker eller organisasjoner har intensjon om å gjøre skade.

2.3 Truslenes betydning

Hvilket trusselbilde vi i dag og i fremtiden vil være stilt overfor kan være vanskelig å bedømme. Det rapporteres stadig i dagspressen om nye sikkerhetsbrudd i banker, sykehus og andre enkeltvirksomheter. Vi ser også stadige rapporter om at svikt i teleoperatørenes nett fører til svikt i viktige samfunnsfunksjoner som lufttrafikk, nødnummertjenestene osv. Enkelte store ulykker og naturødeleggelser de senere årene har også ført til svikt i IKT-systemer, primært som følge av fysisk svikt i telenettene. Vi vet at det i forbindelse med de olympiske vinterlekene på Lillehammer var rettet trusler mot IKT-systemene. Et omfattende sikkerhetsopplegg innen denne delen av arrangementet hindret imidlertid slike anslag, som klart ville gitt en angriper godt omdømme i sine kretser. Frem til i dag ser det ut til at konsekvenser som følge av rene fysiske uhell og uværssituasjoner har hatt størst betydning.

Mange uhells- og uværssituasjoner de senere årene har imidlertid vist at samfunnets avhengighet til IKT-systemene er i ferd med å bli svært stor. Det har også vist seg at systemkompleksitet og sentralisering av systemer og kompetanse har ført til at den enkelte sviktsituasjonen har vart lengere enn hva man i utgangspunktet kunne forvente ut fra hendelsens art. Menneskers feilvurderinger av komplekse systemer har vært en årsak til dette.

IKT-systemenes og infrastrukturenes økende kompleksitet gjør at det i fremtiden må forventes at komplekse sviktsituasjoner vil oppstå med økende hyppighet. Fysiske ødeleggelser i IKT-infrastruktur som følge av endringer i klimasituasjonen kan også bidra til et mer sammensatt trusselbilde enn tidligere. En må også forvente at den teknologiske utviklingen vil føre til et enda større mangfold av virkemidler for logiske angrep. Hvilke aktører som vil ha motiv til å anvende slike virkemidler er derimot mer usikkert. Det som synes sikkert er at kapasitet for slike angrep finnes allerede i dag. En god illustrasjon på dette siste er et forsøk gjennomført av USAs myndigheter i 1997. Her gjennomførte 35 spesialister, med tilgang til Internett og under dekke av å være en utenlandsk fiende, i løpet av kort tid logiske angrep som kunne skadet både sivile og militære mål i USA. Blant annet var de i stand til å mørklegge store deler av landet.

Det er derfor forbundet med stor usikkerhet å vurdere fremtidig trusselnivå mot IKT-systemer og infrastrukturer i samfunnet. En må vurdere det som er mulig opp mot hva man mener er sannsynlig når beslutninger om beskyttelsestiltak skal tas. Den omfattende krigen synes å være langt unna, men nye aktører kan komme på banen raskere enn vi aner og med betydelig kapasitet, særlig når det gjelder nyere former for angrepsvirkemidler. For samfunnet er det viktig at beskyttelsen er noenlunde balansert opp mot den konsekvens en mulig trussel ville kunne få, både i forhold til enkeltvirksomheter og samfunnet som helhet. Det er derfor trolig nødvendig å differensiere beskyttelsesnivået etter den kritikalitet det enkelte IKT-systemet har for den infrastrukturen det betjener og samfunnet. Dette synes i utgangspunktet å være en enkel sak, men utgjør i virkeligheten en svært sammensatt utfordring blant annet på grunn av gjensidig avhengighet mellom de ulike systemene.

3 Samfunnets avhengighet av teknologien

Produksjonen av de fleste varer og tjenester er i dag på en eller annen måte avhengig av IKT-systemer. Dette kan være som del av selve produksjonsprosessen eller som del av et omkringliggende driftsapparat for å gjøre varen eller tjenesten tilgjengelig for brukeren. IKT utgjør en viktig del av tjeneste- og vareproduksjon i en rekke vitale samfunnssektorer. Basert på erfaringer fra år 2000-arbeidet er følgende sektorer vurdert å være kritisk for samfunnet:

• Telekommunikasjon
• Kraftforsyning
• Transport
• Olje- og drivstofforsyning
• Betalingsformidling
• Politi
• Redningstjenesten
• Helsesektoren
• Trygdesektoren
• Forsvaret

Som del av IT-sårbarhetsprosjektet har hver ansvarlig sektormyndighet foretatt en vurdering av risiko knyttet til de funksjonene som inngår i hver enkelt sektor. I disse vurderingene er det et gjennomgående trekk at avhengigheten av IKT-systemer er betydelig, både i form av den enkelte virksomhetens avhengighet av egne IKT-brukersystemer og i form av avhengighet av offentlige teletjenester. Robust tilgang til telekommunikasjon viser seg dermed å være svært viktig for IKT-sårbarheten innen de fleste sektorene. Teletjenestene er igjen avhengig av IKT-systemer for å fungere. Robust kraftforsyning er også viktig for at all IKT-infrastruktur skal fungere. Fordi kraftforsyningen også er sterkt avhengig av IKT-systemer for å fungere forsterkes også bildet av samfunnets avhengighet av IKT.

Forholdet mellom IKT-systemer generelt, telekommunikasjonssystemer og kraftforsyningen illustrerer også en utvikling mot økt gjensidig avhengighet på tvers av virksomheter og bransjer, der alle egentlig er avhengig av hverandre sine IKT-systemer.

Det er vanskeligere å få et klart bilde av hvor sårbar den enkelte sektor og funksjon i virkeligheten er. Særlig gjelder dette de enkelte vurderingene av sannsynlighet for svikt, der det fremkommer ulike oppfatninger for de enkelte virksomhetene. Det som er mer tydelig er at dersom det først skulle gå galt, selv om dette blir vurdert som usannsynlig, vil konsekvensene kunne bli betydelig allerede i dag.

Sektorer som i vurderingene fremstår med høy konsekvens dersom svikt skulle oppstå, samtidig som at sannsynlighet for svikt vurderes å være betydelig (middels) er:

• Telekommunikasjon (drifts- og støttesystemer)
• Kraftforsyningen (styring av overføringsnett)
• Tele- og elektronisk kommunikasjon ved sykehus

Sektorer der konsekvensen vurderes også å være høy dersom svikt skulle oppstå, men der sannsynligheten for at svikt vurderes å være liten er:

• Olje- og gassektoren (prosessfunksjonen på land og mottak)
• Luftfart (trafikkstyring)
• Jernbane (tele- og signalsystemer)

For mange av sektorene tyder innspillene imidlertid på at avhengigheten til IKT-systemer – og dermed konsekvensene av svikt – vil øke betydelig i tiden fremover. Fremtiden representer dermed også en vesentlig usikkerhet.

4 Strategi og tiltak for å redusere samfunnets sårbarhet

4.1 Behovet for sikring av IKT-systemer

Utviklingen innen teknologi, teknologiavhengighet og trusler gjør det nødvendig for det moderne samfunnet å treffe tiltak for å redusere samfunnets sårbarhet. Dette gjelder uavhengig av om samfunnet befinner seg i fred, krise eller krig. Det foreslås derfor en overordnet målsetning for det videre arbeidet med IKT-sårbarhet og kritisk infrastruktur:

Å etablere robusthet i IKT-infrastruktur på et nivå som gjør det lite sannsynlig at viktige samfunnsfunksjoner stanses i en normalsituasjon. I en krise- eller krigssituasjon skal robustheten være tilstrekkelig til å opprettholde kritiske funksjoner.

For å realisere dette målet er det nødvendig med en helhetlig strategi, der det legges avgjørende vekt på de spesielle utfordringene IKT-sårbarhet stiller til samarbeid, informasjonsutveksling og fleksibilitet. Strategien må inneholde tiltak som har innebygd en høy grad av dynamikk og som gjenspeiler områdets raske utvikling.

Strategien må videre inneholde tiltak som den enkelte virksomhet normalt selv ikke finner det hensiktsmessig å stå for. Dette kan være fordi virksomheten i sitt eget perspektiv ikke finner dette økonomisk regningssvarende, eller at dette praktisk sett ikke er mulig å gjennomføre for den enkelte.

Fordi det er aktørene i markedet som til enhver tid har best forutsetninger for å kjenne teknologien og systemene, er det er en fundamental forutsetning at strategien skal være et supplement til kreftene i et åpent fungerende konkurransemarked.

4.2 Strategi for å redusere samfunnets IKT-sårbarhet

Offentlig og privat sektor har felles utfordringer og et gjensidig avhengighetsforhold innen IKT-sårbarhet. Staten har ansvar for stabilitet, trygghet og et velordnet samfunn. Privat sektor er i første rekke leverandør av viktige infrastrukturtjenester for samfunnet, men er også avhengig av et effektivt økonomisk system for å operere i det nasjonale og det globale markedet. Det kan få store økonomiske konsekvenser for enkeltpersoner, virksomheter og offentlige etater hvis IKT-systemene deres er utilgjengelige eller ikke virker som forutsatt. I det følgende beskrives elementer som foreslås å inngå i en strategi for å redusere samfunnets IKT-sårbarhet:

Partnerskap mellom private og offentlige myndigheter

Det bør etableres et partnerskap mellom myndighetene og virksomheter, som enten står for drift eller som er avhengig av IKT-infrastruktur. Dette er et overordnet prinsipp for flere av de tiltak som foreslås, og setter fokus på nødvendigheten av samarbeid, gjensidig tillit og utveksling av informasjon. Ikke minst er dette viktig i en utvikling der flere og flere operatører av vital samfunnsinfrastruktur går over fra å være offentlige forvaltninger til å bli private virksomheter. Her finnes det også en gråsone med virksomheter som helt eller delvis er eid av det offentlige, men som er pålagt å drive sin virksomhet etter rene kommersielle kriterier.

Informasjonsutveksling

I tillegg til et behov for informasjonsutveksling gjennom et partnerskap, er det også et stort behov for å utvikle fleksible og dynamiske mekanismer for innbyrdes informasjonsutveksling mellom ulike typer virksomheter innenfor IKT-området, både private og offentlige. Én viktig årsak til dette er at de gjensidige avhengighetene mellom de ulike virksomhetenes infrastruktur øker betydelig. Det vil si at virksomhetene i økende grad er avhengig av hverandre. Kompetanse og kunnskap er en annen viktig årsak. Kompleksiteten som ligger i systemer og infrastruktur er etter hvert blitt så stor at ingen kan ha full oversikt. I en slik situasjon vil et forum for informasjonsutveksling og samarbeide være svært viktig. Dette gjelder både mellom virksomheter innen samme bransje og mellom ulike typer bransjer.

Økt varslingsevne

Internett er nå i bruk innen alle deler av det norske samfunnslivet. Vesentlige deler av det norske samfunnsmaskineriet er i dag også en del av det globale nettverk, selv innenfor drift og produksjon av vitale infrastrukturtjenester. Dersom systemene ikke er godt nok beskyttet vil disse være enkle å trenge inn i og angripe. Mange operatører av kritisk infrastruktur har i dag ikke tilstrekkelig informasjon om verken sårbarhet eller trusler til å reagere raskt i en kritisk situasjon.

Det vurderes derfor å være behov for gjennom tiltak å tilrettelegge for teknisk overvåking, varsling og håndtering av sikkerhetshendelser mellom virksomheter. Viktige typer informasjon som må utveksles som del av et samarbeide dreier seg om inntrufne hendelser, om nye trusler og om alvorlige tilfeller av svikt i systemer. I kritiske situasjoner er det viktig for aktørene med rask varsling og informasjonsutveksling med andre aktører. Dette er nødvendig for at den enkelte aktør skal kunne respondere raskt med tidsriktige virkemidler i takt med at nye trusler kommer opp. Ikke minst vil et partnerskap med myndighetene gi mulighet for at det løpende blir utviklet gode og tidsriktige trusselvurderinger.

Utdanning og kompetanseutvikling

Bevisstheten og kunnskapen om IKT-sårbarhet og sikkerhet er generelt for lav i mange organisasjoner og virksomheter. Personer som arbeider med IKT-sikkerhet blir ofte enslige svaler innen virksomhetene. Det er derfor behov for å etablere nettverk med andre som arbeider med det samme for å beholde motivasjon og få faglige oppdateringer, for dermed å kunne gjøre en enda bedre jobb. Det har oppstått et kompetansegap i forhold til hvor komplekse IKT-systemene er blitt, og i forhold til utfordringene som det nye trusselbildet gir. Det landsomfattende utdanningstilbudet innen IKT-sikkerhet bør styrkes, og det bør bygges opp mer spissede utdanningstilbud ved enkelte av institusjonene.

Forskning og utvikling

I dag finner vi ingen koordinert sivil analysevirksomhet eller statistikkinnhenting i Norge. Med unntak av hva som foregår innen enkelte bedrifter og i enkelte rene teknologiske miljøer, skjer det lite forskning på området. Mye av det som foregår er også lite tilgjengelig fordi det foregår i lukkede kommersielle miljøer. Det norske fagmiljøet på området er relativt svakt, selv om det er under oppbygging. Det er derfor behov for å iverksette tiltak for styrket forskningsaktivitet.

Sikring av infrastrukturer som er av vital betydning for samfunnets øvrige IKT-systemer

Enkelte infrastrukturer er av helt vital betydning for samfunnets øvrige IKT-systemer og bør derfor tillegges ekstra stor betydning. Dette gjelder i første rekke offentlig telekommunikasjon, som inkluderer så vel tradisjonelle teletjenester som anvendelsen av Internett som kommunikasjonstjeneste. Også en vel fungerende kraftforsyning er en fundamental forutsetning for at IKT-systemene i samfunnet skal kunne fungere.

Dette gjør det nødvendig for de respektive fagmyndighetene å stille krav til sikkerheten innen disse infrastrukturene som går lenger enn hva de enkelte infrastruktureierne finner bedriftsøkonomisk lønnsomt, og å kontrollere at kravene blir oppfylt. Disse kravene må innbefatte ulike former for tiltak rettet mot fysiske og elektroniske, så vel som logiske trusler.

Tilpasning av lover og regler

For myndighetene vil det være en utfordring å utvikle et juridisk rammeverk som fremstår som relevant og slagkraftig i forhold til den dynamikk i samfunnsutviklingen som informasjons- og kommunikasjonsteknologien skaper. Mange lover og regler er i dag ikke tilpasset utviklingen og de nye mekanismene som informasjonssamfunnet har ført med seg. En sentral utfordring på dette området er avveiningen mellom enkeltindividets frihet og behovet for kollektiv beskyttelse.

Telemyndigheten henviser for øvrig til en kommende gjennomgang av telelovgivningen med formål å oppdatere denne i forhold til åpningen av telemarkedet og den gradvise integrasjonen mellom media-, tele- og IT-sektorene.

4.3 Tiltak for å realisere strategien

Det foreslås følgende tiltak for å realisere denne strategien:

Senter for informasjonssikring (SIS)

Som et av hovedtiltakene for å realisere strategien foreslås det etablert et Senter for informasjonssikring (SIS). Et grunnprinsipp for tiltaket er partnerskapet mellom myndighetene og ulike offentlige og private virksomheter. Senteret bør ha som overordnet målsetting å koordinere deler av innsatsen for å styrke IKT-sikkerheten og bidra til en mer robust IKT-infrastruktur. Senteret bør være et ressurs- og kompetansesenter for offentlige og private aktører. Det foreslås at senteret også blir tillagt operative oppgaver.

Det foreslås at SIS tillegges følgende hovedoppgaver, som i utstrakt grad vil være overlappende og innbyrdes avhengige:

• Gjennomføring av trusselanalyser og utarbeidelse av kortsiktig og langsiktig varsling til deltagerene.
• Operativt meldings- og håndteringssenter for sikkerhetsbrudd, som gir deltagerne mulighet til å respondere raskt med tidsriktige virkemidler.
• Utvikle kompetansenettverk og forestå informasjonsspredning og annet holdningsskapende arbeid overfor deltagerne.
• Bidra til generell informasjonsspredning med mål å styrke generell IKT-sikkerhetskompetanse og holdningsskapende arbeid i samfunnet som helhet.
• Forestå en aktiv dialog med institusjoner innenfor forskning og utvikling.
• Forestå kontakt og samarbeid med tilsvarende organisasjoner i andre land.

Deltagelsen i SIS bør være så bred som mulig. Virksomheter som bør inngå som deltagere eller ressurser i et SIS er ulike myndighetsorgan, private og offentlige infrastruktureiere, offentlig forvaltning og næringslivet for øvrig. Det er viktig å sørge for en balansert deltagelse uten at enkelte sektorer eller bransjer blir for tunge. Det er videre viktig å sørge for at senteret gjennom deltagende virksomheter blir tilført den nødvendige kompetansen, samtidig som at senteret ikke dupliserer eksisterende aktiviteter i andre organer.

SIS foreslås organisert på en ikke-profitt og ikke-kommersiell basis, der aktiviteten finansieres med bidrag fra medlemmene og Staten. Ett eksempel på en mulig organisasjonsform er en stiftelse. Organisasjonen må tilføres styringsmekanismer som gjør at medlemmene og Staten i fellesskap løpende kan sørge for at virksomheten får en formålstjenlig utvikling.

I TIFKOM-rapporten (Telesikkerhet og –beredskap i et fritt konkurransemarked) er det foreslått at det i Norge etableres et nytt beredskapsorgan for telesektoren. Dette organet bør sammen med andre sektorvise beredskapsorgan knyttes nært opp mot et SIS i saker som angår IKT-sikkerhet.

For offentlig virksomhet bør det organiseres en egen enhet. Det er en viktig oppgave å mobilisere og informere statsforvaltningen, kommunale og fylkeskommunale virksomheter. I dag rapporterer disse i liten grad om aktuelle hendelser, og det er god grunn til å tro at det skjer en omfattende underrapportering fra det offentliges side.

Styrket innsats for forskning og utvikling

IKT-sårbarhet og -sikkerhet er et relativt nytt fagområde i Norge hvor det innen sivil sektor finnes liten forskningsinnsats. Med dette følger en klar mangel på kompetanse innen området. Det vurderes derfor å være et betydelig behov for samordnet innsats på flere felt innen området. Det foreslås etablert et strategisk forskningsprogram innen IKT-sårbarhet og -sikkerhet. Et slikt strategisk program bør også følges opp i brukerstyrte forskningsprogram med bevilgninger til prosjekter innen IKT-sårbarhet og sikkerhet. Det er viktig at privat næringsliv deltar i denne forskningsinnsatsen, noe som også er i tråd med partnerskapstankegangen.

Forskningsinnsatsen innen IKT-sårbarhet foreslås å ha fire hovedmål:

• Grunnleggende kompetanseoppbygging i samfunnet innen IKT-sårbarhet og -sikkerhet.
• Øke kunnskapsnivået innen offentlig forvaltning for å styrke beslutningsgrunnlaget i spørsmål som gjelder IKT-sårbarhet og -sikkerhet.
• Øke bevissthets- og kompetansenivået i virksomheter som i sin produksjon av varer og tjenester er avhengig av sikre IKT-systemer.
• Sørge for at det utvikles ulike former for sikkerhetsmekanismer på ulike organisatoriske og tekniske nivå som på sikt vil kunne bidra til å styrke sikkerheten i IKT-systemer.

Innen hvilke områder det er behov for spesiell forskningsinnsats vil måtte være gjenstand for en løpende vurdering. Det vurderes i dag å være behov for forskning innen et bredt spekter fra samfunnsmessige og kulturelle aspekter til mer teknologiske aspekter. Her inngår utvikling av analysemetoder og trusselvurderinger som sentrale problemområder.

Utdanning og økt kompetanse

Et av hovedproblemene innen IKT-sikkerhet i dag vurderes å være manglende bevissthet og kompetanse. Kompetent personell innen fagområdet er en mangelvare, og det er følgelig behov for å styrke IKT-utdanningen med fokus på sikkerhet på alle nivåer, fra videregående skole til universitet. Det foreslås en modell hvor sikkerhet integreres i IKT-utdanningen, og blir en større del av denne enn det en finner i dag. Dette vil bidra til å styrke kompetansenivået innen IKT-sikkerhet i det brede. I tillegg er det behov for spesialkompetanse ved at IKT-sikkerhet etableres som eget fag ved enkelte universiteter og høyskoler.

Mange av de som i dag er engasjert i drift av IKT-systemer har enten ingen formell bakgrunn for dette eller har en utdanningsbakgrunn som er foreldet. Det er derfor viktig at det også legges opp til videre- og etterutdanning innen området. Dette kan skje på en generell IKT-plattform eller innenfor en bransjeutdanning.

Risiko- og sårbarhetsanalyser

Risiko- og sårbarhetsanalyser blir i stadig økende grad viktige som et instrument for å ta hånd om sårbarhets- og sikkerhetsspørsmål i samfunnet. Slike analyser brukes i dag i utstrakt grad i blant annet deler av prosessindustrien, der virksomhetene i Nordsjøen har gått foran. Også i norske kommuner har en tatt i bruk slike analyser, men på et høyere virksomhetsnivå.

Det bør derfor arbeides for at risiko- og sårbarhetsanalyser blir tatt i bruk av virksomheter som er avhengig av IKT-systemer. Slike analyser bør også anvendes av myndighetsorganer med overordnet tilsynsansvar. Det må imidlertid utvikles hensiktsmessige metoder og verktøy for dette.

Brukerrettede tiltak

Selv om det innen de enkelte infrastrukturene settes i verk ulike tiltak for å redusere sårbarhet, vil disse aldri kunne bli tilstrekkelig robuste stilt overfor enhver mulig utfordring. Derfor er det viktig også å rette tiltak direkte mot sluttbrukerne, som befinner seg i enden av verdikjeden. Målgruppen sluttbruker dreier seg om alt fra privatpersoner til virksomheter i næringsliv og offentlig forvaltning.

Det er viktig å sørge for at sluttbrukeren til en hver tid er klar over hvor sårbar vedkommende er på områder denne vanskelig selv kan ha full kunnskap om eller kan ha mulighet til påvirke. Sluttbrukerne bør også på en egnet måte få informasjon om tilgjengelige teknikker for å redusere egen sårbarhet. Dette kan gjøres gjennom utvikling av ulike typer veiledere. Det bør fra samfunnets side også legges til rette for at sluttbrukeren skal kunne ta i bruk tiltak, som for eksempel nødvendige infrastrukturer for bruk av elektroniske signaturer.

Lovverk og kriminalitetsbekjempelse

Det er vanlig å betegne ett Internett-år som sju vanlige år – utviklingen går svært raskt. Lovforberedelse er imidlertid en grundig prosess som kan ta flere år. Lovutformingen står i fare for å bli akterutseilt i forhold til det samfunnet lovene skal regulere. Det vurderes derfor å være et behov for å innføre mekanismer som gjør at lovforberedelse på dette feltet kan skje raskere.

En hovedutfordring er å sørge for at strafferammen for lovovertredelser på området blir tilpasset hvor alvorlig angrepet er både for den som blir rammet direkte og samfunnet.

En annen hovedutfordring er at lovverket er nasjonalt, mens systemene rekker over landegrensene. For Internett-angrep eksisterer ikke landegrenser, noe som kompliserer politiarbeidet og stiller krav til internasjonalt samarbeid og etterforskning. En hacker kan være fra et land Norge ikke har utleveringsavtale med. Dette reiser også spørsmål om informasjon på Internett kan lovreguleres eller om nettet er et anarki. Hvis man ønsker å publisere noe på Internett som er ulovlig i ett land, kan man benytte seg av tjenestetilbydere (ISPer - Internett Service Providers) i et annet land hvor dette er lovlig.

Enda en hovedutfordring er personvernet og hvordan forholdet mellom teknologi og individ bør reguleres. Dagens utstrakte bruk av kort og mobiltelefon gjør at vi legger igjen stadig flere elektroniske spor. Av mange grunner kan det være ønskelig å koordinere og koble informasjon om enkeltmennesker for å bedre informasjonskvaliteten, og for å fremskaffe mer kunnskap om den enkelte borger. Men dette medfører også vanskelige dilemmaer i forhold til personvernhensynet.

4.4 Sikring av vitale samfunnsinfrastrukturer

Telekommunikasjon og kraftforsyning utgjør infrastrukturer av fundamental betydning for de øvrige IKT-systemene i samfunnet. Det er derfor en statlig oppgave å sikre den innsikt og handlekraft som må til for å oppnå en tilstrekkelig robusthet. Gjennom forskjellige virkemidler er det nødvendig med tekniske og organisatoriske tiltak for å sikre disse infrastrukturene. Disse dekker tiltak som sikring av IKT-baserte produksjonssystemer mot logiske angrep, fysisk beskyttelse av viktige komponenter i systemene, beredskapsplanlegging og lignende. Gjennomføringen av disse sektortiltakene er en forutsetning for at strategien som er presentert ovenfor skal ha full nytte.

5 Nasjonal beredskap og totalforsvaret

Som et resultat av erfaringene fra den annen verdenskrig bygger vi i dag vårt forsvar på totalforsvarskonseptet. I et lite land som Norge fant man det nødvendig å samordne innsatsen ved at de samlede ressursene på både sivil og militær side skal kunne benyttes i forsvaret av landet når dette utsettes for en ytre trussel. En viktig oppgave for det sivile beredskap er å støtte Forsvaret med forsyninger, mens en annen er å legge til rette for at det sivile samfunn skal kunne fungere best mulig i krise og krig. Det sivile beredskap innbefatter i sin ytterste konsekvens det meste av tjeneste- og vareproduksjon fra næringslivet og offentlig forvaltning.

Forsvaret er i ferd med å gjennomgå omfattende strukturelle endringer. Endringer i Forsvarets strukturer og operasjonsmønstre medfører økende behov for å være mobil og flyttbar, både innenfor og utenfor landets grenser. Tilgangen til sikker informasjon og informasjonsutveksling blir stadig viktigere både for Forsvaret og virksomhetene som inngår i det sivile beredskap. I tillegg til at informasjon er viktig for å organisere en militær operasjon, benyttes informasjon også i økende grad som en effektivitetsmultiplikator i operasjoner på slagmarken.

Dette har blant annet ført til at det er satt i gang en studie av fremtidens kommunikasjonsinfrastruktur for Forsvaret – MilKom. I studien legges det vekt både på brukerbehov og tekniske løsninger, og en arbeider med et tidsperspektiv fram til 2020. Det legges vekt på også å inkludere de viktigste aktørene innen det sivile beredskap som tjenestebrukere, samtidig som at det også vurderes å benytte deler av sivil teleinfrastruktur som del av Forsvarets informasjonsinfrastrukturer. Størst mulig ressursutnyttelse er et viktig mål - en trend som også gjør seg gjeldende i andre land.

Forsvaret blir dermed også mer avhengig av sivile informasjonsinfrastrukturer for sin egen kjernevirksomhet, noe som også medfører at disse infrastrukturene i økende grad vil være utsatt som mål i en militær konflikt. Fremtidens trusselbilde vil være mangfoldig og sammensatt. Som tidligere beskrevet vil dagens og morgendagens samfunn være sårbart på en annen måte en tidligere, og trusselbildet vil endres deretter. Dette setter krav til utformingen av landets fremtidige forsvar, der det ikke minst vil kreves økt samspill mellom det vi i dag ser som separate sivile og militære ansvarsområder. Morgendagens digitale samfunnsøkonomi kan for en angriper være et like verdifullt mål som overtakelse av landområder.

Den filosofi som den foreslåtte strategien bygger på vurderes i utgangspunktet å være uavhengig av totalforsvarets videre utvikling. Denne er enkelt basert på å oppnå størst praktisk mulig sikring av samfunnets informasjonsinfrastrukturer i fred, krise og krig. Det er likevel klart at totalforsvarets fremtidige virksomhet og behov må ses i nær sammenheng med og samordnes med de tiltak som inngår strategien.