9 IKT-sikkerhet

9.1 Innledning

Utviklingen av IKT har skapt store endringer i samfunnet de siste tiårene. Gevinstene har vært betydelige både for innbyggere, næringsliv og samfunnet som helhet. Samtidig blir IKT-systemer stadig viktigere, mer integrert i alle deler av samfunnet og utgjør en stadig større del av det som er kritisk for at samfunnet skal fungere normalt. Befolkningen er i mange sammenhenger avhengig av IKT for å få utført en tjeneste. IKT utgjør nå grunnmuren for all samhandling på tvers av sektorer og IKT har derfor blitt en strategisk sikkerhetsutfordring. Infrastrukturen som ligger til grunn for at tjenestene fungerer har blitt kritisk for samfunnet.

Økt bruk av IKT-systemer gjør at samfunnet blir mer sårbart. Truslene mot IKT-systemene øker, og angrepene blir stadig mer avanserte. God forebyggende IKT-sikkerhet blir derfor stadig viktigere for samfunnssikkerheten. Våre nettverk og systemer må være sikre og stabile til enhver tid. Næringslivet, forvaltningen og befolkningen må ha tillit til at de digitale tjenestene i samfunnet fungerer.

I dette kapitlet gis det en redegjørelse for hvordan regjeringen vil ivareta den nasjonale IKT-sikkerheten. Kapitlet beskriver eksisterende sikkerhetsutfordringer og tiltak regjeringen vil iverksette.

9.2 Sikkerhetsutfordringer og trender

Sikkerhetsutfordringene omfatter alle nivåer i samfunnet, fra beskyttelse av enkeltpersoners pc-er og mobile enheter, til beskyttelse av systemer som er avgjørende for samfunnskritiske funksjoner.

Noen av de utfordringene og trendene som kjennetegner dagens situasjon er:

Internett og mobile enheter. Økt utbredelse av internett og bruken av nye datasystemer, styringssystemer for industri, mobiltelefoner, minnepinner, sosiale medier og lesebrett har gjort oss mer effektive, men samtidig mer sårbare.

Driftsavbrudd stadig mer kritisk. Samfunnet har blitt mer sårbart for selv kortere driftsavbrudd i systemer og nett. Betydningen av en sikker og robust IKT-infrastruktur har således blitt større.

Nye tjenesteplattformer og uoversiktlighet. Økt bruk av nye typer tjenesteplattformer som for eksempel nettbaserte tjenester og bruk av nettskyen, skaper en uoversiktlighet som kan gjøre det mer krevende for brukere av denne teknologien å vurdere risiko og sårbarhet, samt dokumentere egen sikkerhet.

Større bruk av utenlandske tjenesteleverandører. Norske virksomheter setter i økende grad ut drifts- og systemutviklingsoppgaver til leverandører som befinner seg i andre land og på andre kontinent. Dette reiser en rekke sikkerhets- og beredskapsutfordringer. Lokale driftsforhold og andre lands regelverk og praksis på området kan for eksempel avvike fra norske krav til sikker IKT-drift. Nasjonalt tilsyn og mulighetene til å føre kontroll med hvordan den utkontrakterte virksomheten håndterer data kan bli svekket.

Et marked for kriminalitet. Internett og mobile enheter har ført til en større risiko for å bli utsatt for datakriminalitet. Det eksisterer i dag et undergrunnsmarked lett tilgjengelig på internett for kjøp og salg av informasjon, samt omsetning av verktøy for å utføre datakriminalitet. De som utfører kriminell virksomhet utnytter dette i stadig større grad.

Store krav til bevissthet og kompetanse. Nye tjenester og enheter stiller store krav til kompetansen hos vanlige brukere. Det er krevende for eiere av kritisk infrastruktur å ha tilstrekkelig bevissthet og kunnskap om sårbarheter, infrastrukturenes gjensidige avhengigheter, og hva den enkelte virksomhet må gjøre for å beskytte infrastrukturen. Den økte kompleksiteten i systemer og nett har gjort det vanskeligere for bestillere av IKT-systemer å stille klare og presise krav til sikkerhet.

Personvern og identitetsmisbruk. Personvernet blir også utfordret av nye måter å kommunisere og bruke informasjonssystemer og nett på. Misbruk av identitet er en økende utfordring for både privatpersoner, virksomheter og myndighetene.

Spionasje og sabotasje – en økende trussel. Tendensen til målrettede og profesjonelle datainnbrudd mot kritiske IKT-systemer er økende. Målrettede spionasjeangrep rettet mot vitale nasjonale sikkerhetsinteresser utgjør nå en betydelig utfordring. Både sivile etater, militære enheter og private selskaper blir utsatt for spionasje og sabotasje. Mange stater utvikler evne til å drive etterretning og krigføring mot kritisk infrastruktur. Det må tas høyde for at sofistikerte sabotasje- og påvirkningsangrep vil bli rettet mot samfunnskritiske informasjonsressurser, herunder datasystemer som styrer industriprosesser og kritisk infrastruktur.

Stadig flere saker håndteres av NorCERT

NSMs avdeling NorCERT (Norwegian Computer Emergency Response Team) håndterer stadig flere IKT-hendelser i Norge, og antallet saker har blitt tredoblet fra 2007 til 2011. Mange av sakene er håndtert med enkle grep eller videreformidling av informasjon til andre aktører nasjonalt og internasjonalt. Det kan også ta måneder med analyse og arbeid for å håndtere de mest alvorligste tilfellene, som digital spionasje.

Kilde: NSM

Dataspionasje mot Norge

I 2011 oppdaget NorCERT en serie målrettede dataangrep mot olje- og gassektoren, energisektoren og forsvarsindustrien. Samme aktør stod trolig bak en rekke forsøk på spionasje. Spesiallagde e-poster ble sendt til utvalgte personer for å stjele alt fra dokumenter til industritegninger, brukernavn og passord. Det er første gang norske myndigheter avdekker et så omfattende og bredt dataspionasjeangrep.

Internasjonalt. Informasjonssikkerhet er et område som mange land og internasjonale organisasjoner fremhever som stadig mer viktig for økonomisk vekst, samfunnssikkerhet generelt, samt nasjonal og internasjonal sikkerhetspolitikk. Mange land har utarbeidet egne strategier og retningslinjer for arbeidet med informasjonssikkerhet. De enkelte lands gjensidige forpliktelser overfor fellesskap og allianser understrekes mer og mer i denne sammenheng.

Svakheter i informasjonssikkerheten. Riksrevisjonen har tidligere avdekket store svakheter i informasjonssikkerheten i statsforvaltningen, jf. Dokument 1 (2010–2011). Mørketallsundersøkelsen 2010, Informasjonssikkerhet og datakriminalitet fra Næringslivets sikkerhetsråd har påpekt at datasikkerheten er sviktende og at det har vært liten eller ingen forbedring de siste årene. Rapport om sikkerhetstilstanden 2011 fra NSM slår fast at viktige IKT-systemer ofte ikke er godt nok sikret. Regjeringen vil derfor styrke arbeidet med forebyggende sikkerhet og IKT-sikkerhet på tvers av samfunnssektorene.

9.3 Tiltak for å styrke informasjonssikkerheten

For å være i stand til å møte økte trusler og sårbarheter, vil arbeidet med forebyggende sikkerhet og IKT-sikkerhet på tvers av samfunnssektorene styrkes. Regjeringen har i Forsvarets langtidsplan, Prop. 73 S (2011–2012) Et forsvar for vår tid, lagt opp til at NSM skal videreutvikles som det sentrale direktorat for beskyttelse av informasjon og infrastruktur av betydning for samfunnskritiske og andre viktige samfunnsfunksjoner.

Styrket håndtering av dataangrep

NorCERT er Norges nasjonale senter for å varsle og koordinere håndteringen av alvorlige dataangrep. Varslingssystem for digital infrastruktur (VDI) gir myndighetene mulighet for varsling og verifisering av alvorlige og koordinerte angrep mot samfunnsviktig IKT-infrastruktur.

Gjennom Forsvarets langtidsplan legger regjeringen opp til en styrking av NorCERT for å sette norske virksomheter i stand til å oppdage og håndtere alvorlige dataangrep. Det legges opp til å øke NorCERTs evne til å få varslet stadig flere norske virksomheter som har blitt rammet eller står i fare for å bli rammet av dataangrep. NorCERT har i 2012 fått nye og tidsriktige lokaler, som vil understøtte styrkingen.

Etablering av responsmiljøer mot dataangrep

En viktig forutsetning for effektiv håndtering av IKT-hendelser er at det etableres sektorvise responsmiljøer, eller såkalte CSIRTer (computer security incident response team). Det siste året har både justissektoren og helsesektoren tatt grep for etablering av slike miljøer. Fra før har universitets- og høgskolemiljøet samt Forsvaret sine egne responsmiljøer. I tiden fremover skal det arbeides for å etablere responsmiljøer i de ulike sektorene. Som en minimumsløsning skal det etableres et kontaktpunkt i sektoren for alvorlige IKT-hendelser og prosedyrer for varsling internt i sektoren og opp mot NorCERT. Utover dette må sektorene selv vurdere hva slags behov de har for å håndtere IKT-kriser og hvordan de eventuelt skal skalere opp sine responsmiljøer. Norge vil dermed kunne bli bedre i stand til å møte og takle de økte truslene.

Internasjonalt samarbeid

Norge har de senere årene etablert en rekke bi- og multilaterale samarbeidsrelasjoner knyttet til IKT-sikkerhet. Både NATO og EU etablerer egne kapasiteter for å oppdage og å håndtere hendelser. I denne sammenheng deltar Norge i øvelser både i NATO og i EU. I tillegg er det et stadig tettere samarbeid med andre staters etterretnings- og sikkerhetstjenester og CERTer.

Styrke innsatsen mot datakriminalitet

Datakriminalitet er i kraftig vekst. Både Norge og andre land har opplevd alvorlige angrep på IKT-systemer de senere årene. Forfalskning og salg av kredittkortnumre og personopplysninger, samt distribusjon av bilder/film av seksuelle overgrep mot barn på internett er eksempler på andre alvorlige former for datakriminalitet som stadig begås her til lands. Dårlig informasjonssikkerhet bidrar til datakriminalitet. Politiet står på sin side overfor store utfordringer. Det er en utfordring at polititilstedeværelsen på nettet ennå ikke er god nok. Kriminalitet begått på internett er derfor vanskelig å avdekke. Politiet er i stor grad avhengig av publikumstips og anmeldelser. I tillegg unngår mange å anmelde datakriminalitet, i følge mørketallsundersøkelser. Bekjempelsen er også utfordrende fordi sakene ofte er tidkrevende og grenseoverskridende både nasjonalt og internasjonalt, samt at det er store forskjeller i de 27 politidistriktene med hensyn til politiets kompetanse, kapasitet og spesialisering innen datakriminalitet.

For å møte de utfordringer denne kriminalitetsformen innebærer, er en rekke tiltak nødvendig. Innen justissektoren er det nylig iverksatt tiltak. Stortinget bevilget i 2012 15 mill. kroner til Kripos til forebygging og bekjempelse av internettrelatert kriminalitet. Videre bevilget Stortinget blant annet 20 mill. kroner til PST, som setter PST bedre i stand til å foreta dypdykk og analysere informasjon på åpne kilder på nettet. Justis- og beredskapsdepartementet vurderer også andre tiltak for å øke politiets kompetanse og kapasitet på området. Det foregår for tiden et nødvendig kartleggingsarbeid i POD i samarbeid med Riksadvokaten vedrørende politiets håndtering av datakriminalitet, politioppgaver på nett og behandling av elektroniske spor. Rapporten ferdigstilles i løpet av 2012. PST på sin side har igangsatt et prosjekt som ser nærmere på eget ansvar og egen rolle ved nettverksangrep. Begge arbeider ferdigstilles i løpet av 2012, og vil være viktige underlagsdokumenter for Justis- og beredskapsdepartementets tiltaksvurdering. I departementets arbeid med den såkalte Resultatreformen – Videreutvikling av politi- og lensmannsetaten, som det tas sikte på å legge frem for Stortinget i løpet av 2012, vil beskrivelsen og drøftingen av politiets oppgaveløsning også omfatte området datakriminalitet.

9.3.1 Nasjonale retningslinjer for informasjonssikkerhet

Gjeldende nasjonale retningslinjer for informasjonssikkerhet har vært underlagt en revisjon som varslet i Fornyings- administrasjons- og kirkedepartementets Prop. 1 S (2011–2012). De nye reviderte retningslinjene lanseres i løpet av 2012. De vil dekke hele spekteret fra grunnleggende IKT-sikkerhet til beskyttelse av de mest samfunnskritiske informasjonssystemene. Hovedtenkningen i NSMs forslag til nasjonal strategi for cybersikkerhet i 2009, og innspill fra høringsrunden til denne, har inngått som en viktig del av grunnlagsmaterialet til utformingen av retningslinjene.

Det legges opp til å holde retningslinjene på et overordnet nivå, og fokusere på innsatsområder fremfor konkrete sikkerhetstiltak. I arbeidet med revisjonen har det blitt påpekt at et vellykket IKT-sikkerhetsarbeid vil innebære at:

• alle aktører er kjent med risikobildet, og sikrer sine systemer og nett i henhold til dette

• myndighetene legger aktivt til rette for at den nasjonale IKT-infrastrukturen er godt sikret, gjennom rett organisering, tilstrekkelig ressursbruk, gode rammevilkår og effektive tiltak

• private og offentlige virksomheter bygger sikkerhet og robusthet inn i sin informasjonsinfrastruktur for å sikre egen virksomhet og for å beskytte sine kunder og brukere

• den enkelte bruker tar et selvstendig initiativ for å beskytte sin identitet, sitt eget personvern og sine egne økonomiske verdier på nett

I forbindelsen med revisjonen er det pekt på syv områder som vil bli vurdert nærmere som strategiske prioriteringer når det gjelder arbeidet med å styrke informasjonssikkerheten:

• ivareta informasjonssikkerheten på en mer helhetlig og systematisk måte

• styrke IKT-infrastrukturen

• sørge for en felles tilnærming til informasjonssikkerhet i statlig sektor

• sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser

• sikre samfunnets evne til å forebygge, avdekke og etterforske datakriminalitet

• kontinuerlig innsats for bevisstgjøring og kompetanseheving

• høy kvalitet på nasjonal forskning og utvikling innenfor informasjonssikkerhet.

9.3.2 Økt vektlegging av forebyggende sikkerhet

Forsvarets langtidsplan, Prop 73 S (2011–2012), fremhever at det er behov for å motvirke sårbarhetene i det norske samfunnet gjennom økt vektlegging av forebyggende sikkerhet knyttet til all samfunnskritisk informasjon og infrastruktur. NSMs tilsynsaktivitet er innrettet mot å hjelpe virksomhetene til å styrke sitt eget sikkerhetsarbeid.

En god objektsikkerhet er en forutsetning for informasjonssikkerheten. Både datasentre, kabler og kritiske digitale knutepunkt som noder, må beskyttes både fysisk og digitalt. Forskrift om objektsikkerhet trådte i kraft 1. januar 2011 og skal implementeres over en treårsperiode.

Departementene skal utpeke objekter i egen sektor innen 2012, og objekteier skal iverksette egenbeskyttelsestiltak innen utløpet av 2013. Regelverket bidrar til en tverrsektoriell tilnærming til beskyttelse av blant annet kritisk infrastruktur, og skal sikre at man også tar hensyn til avhengigheteter på tvers av sektorer i samfunnet. NSM skal i samarbeid med fagdepartementene ivareta nødvendig koordinering i utvelgelsesprosessen, gi råd og veiledning, og føre tilsyn. En god objektsikkerhet er også en forutsetning for informasjonssikkerheten. Både datasentre og kritiske digitale knutepunkt som noder må beskyttes både fysisk og digitalt.

Det fremgår i langtidsplan for Forsvaret at det er behov for å øke NSMs rådgivnings- og veiledningskapasitet for å tilrettelegge for at sikkerhetslovens krav om utvelgelse og klassifisering av objekter gjennomføres som forutsatt, og at nødvendige egenbeskyttelsestiltak implementeres.

9.4 Ansvarsfordeling på IKT-området

9.4.1 Virksomhetenes ansvar

IKT-sikkerhet er først og fremst et virksomhetsansvar. Dette følger av ansvarsprinsippet, som innebærer at den som har et ansvar for en virksomhet under normale forhold, også har et ansvar ved en krisesituasjon. I praksis innebærer dette at primæransvaret for sikring av informasjonssystemer og nettverk ligger hos eieren.

For å sikre en optimal organisering av samfunnssikkerhets- og beredskapsarbeidet har regjeringen bestemt at samvirkeprinsippet skal bygges inn som et bærende element på linje med allerede eksisterende prinsipper om ansvar, nærhet og likhet. Samvirkeprinsippet stiller krav til at myndighet, virksomhet eller etat har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering.

9.4.2 Fagdepartementenes ansvar

Fagdepartementene har et overordnet ansvar for å ivareta sikkerheten i sektorens IKT-infrastruktur, og at det forebyggende arbeidet med IKT-sikkerheten i sektoren er tilfredsstillende. Dette innebærer at hvert enkelt fagdepartement har ansvar for å:

• identifisere kritisk infrastruktur i egen sektor og sørge for tilfredsstillende sikring av denne

• vurdere, beslutte og iverksette tiltak av forebyggende karakter i egen sektor

• forberede beredskapstiltak (jf. beredskap, krise og krig)

• planlegge for (og evt. iverksette) krisehåndtering innen egen sektor

• føre tilsyn med, og følge opp, arbeidet med informasjonssikkerheten i egne underlagte etater og i egen sektor

I praksis vil de fleste av disse oppgavene bli utført av etatene/underlagte ledd, ettersom det er disse som best kjenner til virksomhetens avhengighet til viktige informasjonssystemer og infrastruktur.

9.4.3 Departementer med et særlig ansvar for IKT-sikkerhet i dag

Fornyings-, administrasjons- og kirkedepartementet har i henhold til kgl.res. 17. desember 1997 ansvaret for å koordinere arbeidet med forebyggende IT-sikkerhet. I følge St.meld. nr. 22 (2007–2008) innebærer koordineringsansvaret at departementet skal være en pådriver overfor fagdepartementene på IT-sikkerhetsområdet, og tilføre merverdi til aktiviteter i regi av fagdepartementene. Videre skal Fornyings-, administrasjons- og kirkedepartementet identifisere og følge opp sektorovergripende spørsmål, samt initiere og koordinere tiltak av tverrsektoriell karakter. Departementet har også et ansvar for å utarbeide oversikter og strategier for utvikling av den overordnede politikken på fagområdet. Som fagdepartement, arbeider Fornyings-, administrasjons- og kirkedepartementet for at IT-sikkerhet skal bli en sterkere integrert del av ulike politikkområder, samt at IT-sikkerhet i sterkere grad blir inkludert på forskningssiden.

Forsvarsdepartementet har ansvar for alt arbeid med IKT-sikkerhet knyttet til militær sektor, inkludert det forebyggende arbeidet. Forsvarsdepartementet har etatsstyringsansvar for NSM, og forvaltningsansvaret for sikkerhetsloven.

Justis- og beredskapsdepartementet har et samordnings- og tilsynsansvar for samfunnets sivile sikkerhet. Departementets ansvar for IKT-sikkerhet er avgrenset til dette generelle samordningsansvaret, og det overordnede faglige ansvar for den forebyggende sikkerhetstjeneste i sivil sektor. NSM har en faglig rapporteringslinje til Justis- og beredskapsdepartementet på sivil side.

Samferdselsdepartementet har som sektordepartement ansvar for IKT-sikkerheten knyttet til elektroniske kommunikasjonsnett og – tjenester, herunder internett. Dette reguleres gjennom lov om elektronisk kommunikasjon med forskrifter. Post- og teletilsynet har, som myndighetsorgan under Samferdselsdepartementet, et særskilt ansvar knyttet til sikkerhet og beredskap i elektroniske kommunikasjonsnett og -tjenester.

Selv om informasjonssikkerhet først og fremst er et virksomhets- og sektoransvar, krever det stadig mer nettverksbaserte samfunnet en helhetlig tilnærming. IKT-infrastrukturen og sikkerhetsutfordringene går på tvers av etablerte virksomheter og sektorer. En effektiv beskyttelse av IKT-infrastrukturen vil forutsette god samordning mellom myndighetene, næringslivet og den enkelte bruker.

Ulike sektorregelverk fanger i tillegg opp krav og tilsyn når det gjelder informasjonssikkerhet i de respektive sektorer. Oppfølging av kritiske IKT-systemer innen kraftforsyningen fanges opp i for eksempel Norges vassdrags- og energidirektorats kravstilling og tilsynsvirksomhet.

I lys av den fremvoksende betydningen av sårbarheten i IKT, vil det foretas en fornyet vurdering av ansvarsforholdene mellom departementene.

9.4.4 Etablerte samordningsaktiviteter på tvers av sektorer

Som ledd i samordningen av arbeidet med IKT-sikkerhet er det opprettet flere arenaer. I det følgende gis det en kort oversikt over de mest aktuelle sett ut fra et samfunnssikkerhetsperspektiv.

Koordineringsgruppen for IKT risikobildet

I 2008 ble det etablert en koordineringsgruppe mellom Etterretningstjenesten, PST og NSM (EOS-tjenestene). Koordineringsgruppen for IKT risikobildet er opprettet for å gjøre EOS-tjenestene bedre i stand til å håndtere IKT-hendelser, og for å bidra til en mer helhetlig forståelse og vurdering av IKT-risikobildet. Koordineringsgruppen har etablert et betydelig samarbeid.

NSM leder gruppen, og har ansvaret for å forebygge defensivt mot spionasje, sabotasje og terror, og koordinere håndteringen av alvorlige dataangrep. Etterretningstjenesten har ansvaret for vurderingen av trusselen mot Norge og norske interesser fra fremmede stater, organisasjoner og individer. PST skal forebygge og etterforske de hendelsene der det er mistanke om at fremmede stater står bak. I tillegg skal PST vurdere trusselen mot Norge og norske interesser.

Koordineringsutvalget for forebyggende informasjonssikkerhet

I 2004 ble Koordineringsutvalget for forebyggende informasjonssikkerhet etablert (KIS). KIS er et tverrsektorielt koordineringsorgan for regelverksforvaltere og tilsynsmyndigheter med ansvar innen informasjonssikkerhet. Koordineringsutvalgets arbeidsfelt omfatter både alminnelig IKT-sikkerhet, og spørsmål knyttet til rikets sikkerhet, vitale nasjonale sikkerhetsinteresser og kritiske samfunnsfunksjoner. KIS ledes av Fornyings-, administrasjons- og kirkedepartementet, med nestlederverv i Justis- og beredskapsdepartementet og sekretariat i NSM. KIS fungerer som arena for informasjonsutveksling og erfaringsdeling. Utvalget har ingen beslutningsmyndighet. Hovedtyngden av arbeidet i KIS har foregått i underlagte arbeidsgrupper, som har blitt opprettet etter hvert som behov har oppstått. Det vil bli tatt en nærmere gjennomgang av nåværende samordningsaktiviteter for å se om disse fungerer etter hensikten.

Kompetansesenter for informasjonssikkerhet ved Høyskolen i Gjøvik

Ved Høgskolen i Gjøvik er det etablert et norsk kompetansesenter i informasjonssikkerhet kalt "Centre for Security Economics and Technology" (CSET). Senteret har kommet i stand etter initiativ fra aktører innen politi, justis, forsvar, forvaltning, industri, personvern og akademia. Justis- og beredskapsdepartementet er opptatt av arenaer som dette kompetansesenteret der flere sentrale aktører innen samfunnssikkerhetsarbeidet møtes. Det er nedsatt en arbeidsgruppe som skal se på aktuelle tiltak mot IKT kriminalitet. Det er forventet at rapport fra gruppen vil foreligge i løpet av 2012. I samarbeid med Forsvarsdepartementet og Fornyings- administrasjons- og kirkedepartementet og underlagte etater, herunder Kripos, PST, Politiets data- og materielltjeneste og Politihøgskolen, vil departementet se nærmere på hvordan Høgskolens kompetanse kan utvikles og være en bidragsyter.