Del 2
Sentrale områder i arbeidet med IKT-sikkerhet

5 Et felles ansvar

Illustrasjon: M. Sylstad, NSM.

Kilde: Bilde hentet fra Visible Earth/NASA.

Alle virksomheter har ansvar for å ivareta egen IKT-sikkerhet. Hver enkelt statsråd har et overordnet ansvar for å ivareta IKT-sikkerheten i egen sektor. Justis- og beredskapsdepartementet har samordningsansvaret for IKT-sikkerhet i sivil sektor. Departementet skal utforme regjeringens politikk for IKT-sikkerhet, herunder etablere nasjonale krav og anbefalinger på IKT-sikkerhetsområdet for både offentlige og private virksomheter. Berørte fagdepartement, myndigheter og næringslivet skal involveres i dette arbeidet. Krav skal i nødvendig grad være hjemlet i lov og forskrift. Ansvar for IKT-sikkerhet er nærmere beskrevet i punkt 6.4 i Meld. St. 10 (2016–2017) Risiko i et trygt samfunn og i kongelig resolusjon av 10. mars 20171.

I Meld. St. 10 (2016–2017) ble det påpekt at både enkeltmennesker og virksomheter har et ansvar for hvordan egne handlinger kan påvirke andres sikkerhet. Dette gjelder også innenfor IKT-sikkerhet.

Samfunnets avhengighet av IKT gjør det nødvendig med et godt samarbeid mellom private selskaper og offentlige virksomheter, på tvers av landegrenser og mellom sivile og militære virksomheter. På nasjonalt nivå vil særlig Forsvarsdepartementet, Utenriksdepartementet og Justis- og beredskapsdepartementet styrke sitt samarbeid på området.

Det fremgår av Meld. St. 10 (2016–2017) at regjeringen skal utarbeide en ny nasjonal strategi for IKT-sikkerhet. I tillegg skal det utarbeides en handlingsplan med konkrete tiltak. Arbeidet ledes av Justis- og beredskapsdepartementet og Forsvarsdepartementet. Denne stortingsmeldingen vil utgjøre en viktig plattform for den kommende strategien. Den nye strategien vil ha en bredere tilnærming til utfordringene enn tidligere nasjonale strategier på området. Styrket samarbeid mellom Justis- og beredskapsdepartementet, Forsvarsdepartementet og Utenriksdepartementet samt behovet for styrking av sivilt–militært, offentlig–privat og internasjonalt samarbeid vil vektlegges.

Regjeringen vil videreutvikle Nettverk for informasjonssikkerhet2 for å sikre at strategiske spørsmål knyttet til IKT-sikkerhet i Norge og internasjonalt blir diskutert og koordinert. Det vil være et sentralt verktøy for Justis- og beredskapsdepartementets samordningsansvar for IKT-sikkerhet i sivil sektor, for Forsvarsdepartementet i sivil–militære spørsmål knyttet til nasjonal IKT-sikkerhet og for Utenriksdepartementet i deres koordinerende rolle i utenrikspolitiske spørsmål knyttet til det digitale rommet.

Sentrale tiltak:

• utarbeide en ny nasjonal strategi for IKT-sikkerhet, inkludert en handlingsplan

• etablere et forum for offentlig – privat samarbeid for å støtte opp under det nasjonale arbeidet med IKT-sikkerhet

• videreutvikle Nettverk for informasjonssikkerhet for å sikre at strategiske spørsmål om IKT-sikkerhet i Norge og internasjonalt blir diskutert og koordinert

• videreutvikle totalforsvaret og øke motstandsdyktigheten i samfunnskritiske funksjoner, blant annet innenfor robuste kommunikasjonssystemer

5.1 Offentlig–privat samarbeid

Verken myndighetene, næringslivet eller den enkelte borger kan møte utfordringene i det digitale rommet alene. Offentlig og privat sektor har ulike kapasiteter, kunnskaper og kompetanse som kan utfylle hverandre, til tross for ulike virksomhetsmål. Det pågår allerede mye offentlig–privat samarbeid for å forebygge, avdekke og håndtere digitale hendelser. Et styrket samarbeid mellom myndigheter og privat sektor vil kunne bidra til bedre situasjonsforståelse, bedre beslutninger og bedre tilgang til flere ressurser som kan utfylle hverandre.

Regjeringen vil opprette et eget forum for offentlig–privat samarbeid for å støtte opp under det nasjonale arbeidet med IKT-sikkerhet. Deltakere i forumet vil være relevante representanter fra myndigheter, næringsliv, akademia og interesseorganisasjoner. Det skal primært være eiere eller forvaltere av kritisk infrastruktur eller kritiske samfunnsfunksjoner, eller sentrale aktører innenfor IKT-sikkerhet. Forumet skal kunne foreslå tiltak og gi råd til myndighetene.

I arbeidet med en ny nasjonal strategi for IKT-sikkerhet ønsker regjeringen en bred involvering av både offentlige og private aktører. Forumet for offentlig–privat samarbeid vil delta i arbeidet med den kommende nasjonale IKT-strategien.

5.2 Internasjonalt samarbeid

Internasjonalt samarbeid er avgjørende for utviklingen av globale retningslinjer og for å redusere og bekjempe trusler i det digitale rommet. Norge har egeninteresse av gode og forutsigbare rammevilkår i det digitale rommet. Vi har samtidig en grunnleggende og langsiktig interesse av et sikkert, robust, åpent og fritt digitalt rom. Det er derfor viktig for Norge å være med på å utforme de internasjonale rammevilkårene og spillereglene som former dette rommet. Det inkluderer utviklingen av normer for statlig opptreden, internasjonalt samarbeid for å bekjempe IKT-kriminalitet og internasjonalt samarbeid om styrket IKT-sikkerhet.

Utvikling av internett og digitale tjenester og produkter foregår imidlertid i all hovedsak gjennom private selskap og forsknings- og utviklingsmiljøer. I tillegg er selve ryggraden i internett, den globale digitale infrastrukturen, i all hovedsak i privat eie. Dette bidrar til konkurranse, innovasjon og utvikling. Samtidig betyr det at sentrale beslutninger om det digitale rommet i stor grad blir fattet av kommersielle og ikke-statlige aktører utenfor de tradisjonelle mellomstatlige arenaene vi kjenner. Denne utviklingen tilsier et økt behov for både offentlig–privat og internasjonalt samarbeid.

Meld. St. 37 (2014–2015) Globale sikkerhetsutfordringer i utenrikspolitikken viser til en kraftig økning i IKT-kriminalitet når flere utviklingsland tilkobles internett. I mange land er ikke forebyggende IKT-sikkerhet prioritert eller god nok. Norge kan spille en viktig rolle ved å bistå med kapasitetsbygging i utviklingsland, slik at flere land i større grad evner å håndtere digitale utfordringer og digitale trusler. I stortingsmeldingen foreslås også flere andre tiltak for det utenrikspolitiske arbeidet, blant annet at det skal utarbeides en internasjonal cyberstrategi for Norge. Strategien skal tydeliggjøre regjeringens overordnede mål innenfor hele spekteret av internasjonal politikk for det digitale rommet, der IKT-sikkerhet er ett av flere elementer.

Utviklingen og implementeringen av EUs strategi for et digitalt indre marked vil ha stor betydning også for Norge gjennom EØS-tilknytningen. Strategiens tre pilarer er 1) å bedre forbrukernes og bedriftenes muligheter for e-handel, 2) å forbedre rammevilkårene for digitale nettverk og tjenester og 3) å digitalisere industrien og legge bedre til rette for informasjonsdeling på tvers av sektorer og landegrenser.

IKT-sikkerhet inngår i pilar 2, der to av tiltakene er å arbeide for å styrke IKT-sikkerhetsbransjen og integrere sikkerhet i en tidlig fase av ny teknologiutvikling. Det tredje og mest omfattende tiltaket er å vedta og gjennomføre EU-direktivet om nettverks- og informasjonssystemsikkerhet (NIS-direktivet). Direktivet setter krav til medlemslandenes arbeid med IKT-sikkerhet, til virksomheter som leverer tjenester som er essensielle for det indre markeds samfunnsmessige og økonomiske aktiviteter, og til tilbydere av enkelte digitale tjenester. Norge er invitert inn i flere samarbeidsfora om det videre arbeidet med gjennomføring av direktivet. Justis- og beredskapsdepartementet representerer Norge i arbeidet. Se nærmere om NIS-direktivet under punkt 22.5.

EUs byrå for nettverks- og informasjonssikkerhet (ENISA) utvikler generelle anbefalinger innenfor IKT-sikkerhet, bidrar til utvikling av regelverk og retningslinjer og samarbeider med operative enheter i Europa. Norge deltar i ENISA uten stemmerett. Gjennomføringen av NIS-direktivet vil styrke byrået ved at det får tildelt rollen som faglig knutepunkt for det nettverket av nasjonale fagmyndigheter som direktivet etablerer. Norsk deltakelse i ENISA blir derfor enda viktigere enn det er i dag.

Som en del av midtveisgjennomgangen av strategien for det digitale indre markedet la EU-kommisjonen i mai 2017 frem sin plan for å revidere strategien for cybersikkerhet fra 2013. Samtidig skal ENISA evalueres. Evalueringen skal berede grunnen for en mulig revisjon av byrået.

Internasjonalt samarbeid om IKT-sikkerhet foregår også i andre internasjonale fora og i mellomstatlige organisasjoner som NATO, OECD og FN, men også i samarbeid med næringslivet, akademia og samfunnet for øvrig. Se omtale av NATO under punkt 5.3. Regjeringen vil delta og bidra aktivt for å løse globale utfordringer relatert til IKT-sikkerhet.

5.3 Sivilt–militært samarbeid

En endret sikkerhetspolitisk situasjon, kombinert med hybride3 trusler, aktualiserer sivilt–militært samarbeid i det digitale rommet mer enn noen gang. Forsvarssektoren og sivil sektor benytter i økende grad felles IKT-infrastruktur, og tjenester kjøpes av kommersielle aktører. Det innebærer at også digitale sårbarheter er felles. Et godt samarbeid mellom sivile og militære myndigheter er avgjørende.

Det moderniserte totalforsvarskonseptet omfatter gjensidig støtte og samarbeid mellom Forsvaret og det sivile samfunn. Konseptet omhandler forebygging, beredskapsplanlegging, krisehåndtering og konsekvenshåndtering i hele krisespekteret fra fred via sikkerhetspolitisk krise til væpnet konflikt. Det er ikke lenger en forutsetning at beredskapslovgivningen trer i kraft, for at støtten kan sies å være innenfor rammen av totalforsvarskonseptet.4

Regjeringen besluttet i november 2016 at Justis- og beredskapsdepartementet skal etablere et program for videreutvikling av totalforsvaret og øke motstandsdyktigheten i samfunnskritiske funksjoner. Bakgrunnen for å igangsette dette arbeidet er NATOs forventninger til medlemslandene om å styrke robustheten i samfunnskritiske funksjoner, vedtatt i NATO i februar 2016.5

NATO setter i større grad enn tidligere sivilt beredskapsarbeid og sivilt–militært samarbeid på dagsordenen. Årsaken er at sivil beredskap, krisehåndtering og robuste kritiske samfunnsfunksjoner er en forutsetning for det enkelte lands, og dermed alliansens, samlede beredskap og forsvar. Robust og tilgjengelig IKT-infrastruktur er nødvendig for å opprettholde alle kritiske samfunnsfunksjoner og en innsatsfaktor i NATOs grunnleggende forventninger til medlemslandene.

I 2016 signerte Norge en revidert samarbeidsavtale med NATO om beskyttelse mot digitale trusler. Avtalen sikrer informasjonsdeling mellom partene, noe som øker både Norges og NATOs evne til å verne IKT-systemer mot digitale angrep.

NATOs stats- og regjeringssjefer sluttet seg til en felles cybererklæring under NATO-toppmøtet sommeren 2016. For NATO og medlemslandene er det viktig å arbeide for økt IKT-sikkerhet på tvers av sektorer i samfunnet og mellom land. Norge må følge opp de forpliktelsene som ligger i cybererklæringen.

6 Forebyggende IKT-sikkerhet – virksomheters egenevne

Regjeringen er opptatt av å legge til rette for at virksomheter kan øke egenevnen til å forebygge uønskede digitale hendelser. Svaret på utfordringene innebærer ikke bare økte ressurser eller styrking av kapasitet. Hensiktsmessige regelverk og hensiktsmessig organisering står også sentralt for å sikre våre verdier.

Virksomheter er avhengige av komplekse digitale verdikjeder, og andres sårbarhet blir til egen sårbarhet. Det er nødvendig at virksomheter har tilstrekkelig oversikt over egen sårbarhet. En god oversikt setter virksomheten i stand til å vurdere hensiktsmessige tiltak.

Sentrale tiltak:

• nedsette et utvalg som skal utrede rettslig regulering på IKT-sikkerhetsområdet og organisering av tverrsektorielt ansvar

• legge bedre til rette for at virksomheter kan vurdere og prioritere tiltak innenfor IKT-sikkerhet gjennom systematisering og utvikling av anbefalinger og krav

• utvikle og vedlikeholde et godt og tilgjengelig kunnskapsgrunnlag som gjør enkeltindivider, virksomheter og myndigheter i stand til å treffe riktige tiltak for å opprettholde tilstrekkelig sikkerhet i sine IKT-systemer

6.1 Rettslig regulering på IKT-sikkerhetsområdet

I Meld. St. 10 (2016–2017) Risiko i et trygt samfunn vises det til at norske virksomheter må forholde seg til ulike regelverk om IKT-sikkerhet. Noen regelverk er sektorspesifikke, mens andre er tverrsektorielle. Regelverkene har til dels ulike formål og hensyn og benytter ofte ulike begrep og metoder. Den raske digitaliseringen av samfunnet har ført til at reguleringer og lovgivning ikke alltid er tilpasset dagens behov.

Digitaliseringen har de siste årene bidratt til langt flere tverrsektorielle utfordringer. Flere av disse utfordringene knytter seg til sikkerhetsmessige forhold. Det kan være ulik forståelse av trussel- og risikobildet i sektorene og manglende oversikt over hvordan sikkerheten i egen sektor også kan få konsekvenser for andre sektorer. Dette kan føre til fragmentert regulering og manglende helhetstenkning i utformingen av krav til IKT-sikkerhet, noe som også gjør det utfordrende for virksomhetene å holde oversikt over og etterleve de ulike kravene.

EUs NIS-direktiv pålegger medlemsstatene å sørge for et minimumsnivå for den nasjonale IKT-sikkerheten. Direktivet skal sørge for at hvert medlemsland har en enhetlig og tverrsektoriell tilnærming til IKT-sikkerhet. Det er åpning for ulike løsninger i ulike land for de fleste sektorer.

Gjeldende personopplysningslov har tverrsektorielle regler om IKT-sikkerhet. Også EUs nye personverndirektiv stiller krav til IKT-sikkerheten.

I NOU 2016: 19 Samhandling for sikkerhet foreslår utvalget en forbedret systematikk for regulering av forebyggende nasjonal sikkerhet (se boks 6.1). Utvalget foreslår et utvidet virkeområde i forhold til dagens sikkerhetslov.

Det er behov for å vurdere om dagens rettslige regulering av nasjonal IKT-sikkerhet er hensiktsmessig innrettet. Regjeringen vil nedsette et utvalg som skal kartlegge relevant sektorspesifikt og tverrsektorielt regelverk innenfor IKT-sikkerhet. Det skal vurderes om eksisterende regelverk er konsistent, og ivaretar de nye digitale samfunnsutfordringene. Det skal vurderes om det er behov for harmonisering av eksisterende lovverk. Videre skal utvalget utrede behovet for og eventuelt foreslå en nasjonal IKT-sikkerhetslov. Utredningen skal være avgrenset mot bestemmelser, organisering og myndighet som følger av sikkerhetsloven og forslag til ny sikkerhetslov.

6.2 Organisering av tverrsektorielt ansvar

Regjeringen vil i forbindelse med utredningen om rettslig regulering på IKT-sikkerhetsområdet (se punkt 6.1) også utrede organisatoriske forhold, som for eksempel tverrsektoriell koordinering, rådgivning, tilsyn, varsling av hendelser og utarbeiding av sikkerhetskrav.

Digitaliseringen har større grad av avhengighet og sammenknytning mellom offentlig og privat, sivilt og militært og mellom ulike samfunnssektorer. Trussel- og sårbarhetsbildet endrer seg raskt samtidig som vi får et stadig mer komplekst samfunn. Dette skaper flere utfordringer for myndighetene, blant annet når det gjelder kompetanse og ressurser.

Utnyttelsen av fellesskapets ressurser må optimaliseres for å oppnå god IKT-sikkerhet. Utvalget skal vurdere om ansvar, roller og oppgaver er hensiktsmessig fordelt og organisert mellom etater med tverrsektorielt ansvar på IKT-sikkerhetsområdet. Utvalget skal også se på muligheter for koordinering, samarbeid og synergieffekter mellom offentlig og privat sektor slik at nasjonal IKT-sikkerhet ivaretas og styrkes.

6.3 Systematisering og utvikling av anbefalinger og krav

Myndighetene kommer med en rekke anbefalinger og krav på IKT-sikkerhetsområdet. Det pågår mye systematisk og godt arbeid med å implementere disse (se boks 6.2 om oppfølging av nasjonale krav og anbefalinger innenfor IKT-sikkerhet i Klima- og miljødepartementet). Det kan imidlertid være krevende for virksomheter å forholde seg til omfanget av anbefalinger og krav. Regjeringen vil derfor gjennom den kommende handlingsplanen til nasjonal strategi for IKT-sikkerhet legge til rette for at virksomheter på en enklere måte kan vurdere og prioritere tiltak innenfor IKT-sikkerhet ut fra virksomhetenes størrelse og modenhetsnivå.6

Kommunal- og moderniseringsdepartementet vurderer, i samarbeid med Justis- og beredskapsdepartementet, hvordan IKT-sikkerhetsarbeidet i statsforvaltningen bør videreutvikles. Sentrale anbefalinger fra Handlingsplan for informasjonssikkerhet i statsforvaltningen (2015–2017) vil bli innarbeidet i den kommende handlingsplanen til nasjonal strategi for IKT-sikkerhet.

Nasjonal sikkerhetsmyndighet (NSM) har i 2017 startet arbeidet med å etablere et rammeverk for tiltak innenfor IKT-sikkerhet, basert på anerkjente standarder og definerte grunnprinsipper. Rammeverket vil bli videreutviklet for å reflektere endringer i teknologi og risiko. Formålet er å etablere et sett med de viktigste tiltakene for sikring av samfunnsviktige IKT-løsninger. Dette arbeidet vil være et viktig grunnlag for regjeringens kommende handlingsplan, og det vil sammen med rammeverk for digital hendelseshåndtering (se punkt 7.2) gi en helhet i arbeidet med IKT-sikkerhet i Norge.

NSM vil i 2017 også etablere en arena for erfaringsoverføring, slik at offentlige og private virksomheter i større grad skal få koordinerte, tilrettelagte og hensiktsmessige råd og veiledning på IKT-sikkerhetsområdet. Regjeringen vil fortsette å støtte Norsk senter for informasjonssikring (NorSIS) (se boks 6.3) i sitt arbeid. NorSIS er en viktig bidragsyter som gir råd og veiledning til små og mellomstore virksomheter og skaper økt bevissthet i befolkningen om IKT-sikkerhetsutfordringer.

Illustrasjon: M. Sylstad, NSM.

6.4 Tjenesteutsetting

Mange virksomheter velger å anskaffe IKT-tjenester fra en eller flere eksterne leverandører i stedet for å produsere dem selv. Leveransene kan gjennomføres internt i virksomheten eller eksternt av nasjonale eller internasjonale leverandører. Det kan også være kombinasjoner av disse.

Tjenesteutsetting av IKT-tjenester til profesjonelle aktører vil kunne gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Det kan også gi lavere og mer forutsigbare kostnader og bidra til bedre prioritering av virksomhetens kjerneområder. Dette fordrer at virksomheten besitter kompetanse til å følge opp leverandører de setter ut tjenester til. Samtidig må virksomheten være bevisst hvilke verdier som eksponeres ved tjenesteutsetting, og iverksette nødvendige tiltak. Behovet for konfidensialitet, integritet og tilgjengelighet bør særlig vektlegges i vurderingene, og hvilke lover, krav og regler som gjelder for sektoren nasjonalt og internasjonalt.

Det eksisterer i dag få skyleverandører med anlegg i Norge. Tjenesteutsetting ved bruk av skytjenester innebærer derfor at lagring og prosessering primært utføres på skyleverandørens anlegg utenfor Norge og dermed utenfor nasjonal kontroll. En nærmere omtale av tjenesteutsetting og skytjenester finnes i punkt 22.10. Se boks 6.4 for IKT-tjenesteutsetting i helsetjenesten.

Regjeringen er opptatt av at virksomhetene er bevisste ved bruk av tjenesteutsetting og følger råd og anbefalinger. Det er utarbeidet flere veiledere for å rettlede virksomheter som vurderer tjenesteutsetting, blant annet av Datatilsynet, Direktoratet for forvaltning og IKT (Difi), Direktoratet for e-helse, NorSIS og Uninett. NSM skal også utarbeide en temarapport om tjenesteutsetting i løpet av 2017.

6.5 Inntrengingstester

Kartlegging og forsøk på inntrenging skjer kontinuerlig mot enheter koblet på internett. Inntrengingstesting er et effektivt tiltak for å avdekke sårbarheter og teste motstandskraften i IKT-systemer. Dette gjøres gjennom målrettet søk, analyse og forsøksvis utnyttelse av sårbarheter, feil og mangler. Sårbarheter i infrastruktur tilknyttet internett kan også utføres ved bruk av kartleggingsverktøy, som for eksempel Allvis NOR (se boks 6.5).

Justis- og beredskapsdepartementet anbefaler bruk av inntrengingstester. En rekke virksomheter har fulgt anbefalingen, og i de aller fleste tilfeller har dette avdekket alvorlige sårbarheter og bidratt til at disse er blitt håndtert.

Virksomheter som er underlagt sikkerhetsloven, kan be NSM om slik bistand. NSM har gjennomført slike tester blant annet i Justis- og beredskapsdepartementet, Forsvarsdepartementet og Utenriksdepartementet. Andre virksomheter kan benytte private selskaper til å utføre testingen. Ulike sektorer kan også bygge opp egen kompetanse til å gjennomføre tester, slik som for eksempel Norsk Helsenett SF har gjort. Systematisk gjennomføring og oppfølging av slike tester vil kunne redusere sårbarheten i systemene til virksomheter og gjøre dem mer motstandsdyktige mot digitale angrep.

Regjeringen oppfordrer samfunnskritiske virksomheter til å benytte inntrengingstester for å avdekke sårbarheter og teste motstandskraften i egne IKT-systemer.

6.6 Kunnskapsgrunnlag

I den senere tid er det produsert flere analyser om digital sårbarhet. Disse tjener flere formål. De bidrar til folkeopplysning og bevisstgjøring, men er først og fremst et beslutningsgrunnlag for myndigheter og virksomhetsledere med tanke på å utforme politikk og tiltak for å redusere sårbarheter.

I 2015 utarbeidet NSM rapporten Helhetlig IKT-risikobilde for første gang. Rapporten utgis årlig. Hensikten med de årlige rapportene er å skape et felles situasjonsbilde som gjør virksomheter og myndigheter i stand til å treffe riktige tiltak. I tillegg skal den være et verktøy for virksomheter i deres arbeid med å utarbeide risikovurderinger. NSM har fått i oppdrag å videreutvikle rapporten i samarbeid med andre relevante virksomheter.

Eksempler på andre analyser er NorSIS’ årlige rapport om trusler og trender. Rapporten viser sikkerhetsutfordringer som både enkeltpersoner og samfunnet for øvrig må forholde seg til. I tillegg utarbeides det årlige analyser av blant annet Politiets sikkerhetstjeneste, Etterretningstjenesten, Kripos, Direktoratet for samfunnssikkerhet og beredskap (DSB), Finanstilsynet og Nasjonal kommunikasjonsmyndighet (Nkom). Ulike sektorers og virksomheters risikoanalyser, evalueringer etter øvelser og hendelser, forskning på området og vurderinger fra privat næringsliv bidrar til den totale oversikten. Analysene har noe ulik tilnærming og ulike målgrupper, men ofte er det et gjennomgående tema at utfordringene på IKT-sikkerhetsområdet er tverrsektorielle.

Regjeringen vil utvikle, vedlikeholde og støtte opp om et godt og tilgjengelig kunnskapsgrunnlag som gjør enkeltindivider, virksomheter og myndigheter i stand til å treffe riktige tiltak.

6.7 Kultur, ledelse og holdninger

I Meld. St. 10 (2016–2017) Risiko i et trygt samfunn fremhever regjeringen betydningen av kultur, ledelse og holdninger for samfunnssikkerheten i Norge. Hvordan vi forholder oss til risiko, og hvor godt vi er forberedt på en alvorlig hendelse, påvirkes av våre holdninger og den kulturen vi er en del av. Ikke minst gjelder dette for IKT-sikkerhet. Sikkerhet var lettere å vurdere da det som skulle sikres, var noe fysisk, håndfast og stabilt. Låsbare skap og fysiske hindre lar seg lett forstå. I den digitale verden kan man bli mer fremmedgjort når det gjelder sikkerhet. Vi har ikke lenger den samme oversikten over sårbarhetsbildet. Et digitalt angrep vil ofte ikke være synlig for den som blir rammet. Behovet for å øke bevisstheten om sårbarhet og sikkerhetstrusler, samt øke kompetansen til den enkelte, blir stadig mer relevant.

God styring av sikkerheten i virksomhetene legger grunnlaget for tilfredsstillende sikring av verdier. Ledelsesforankring av sikkerhetsarbeidet samt forpliktelse gjennom avsetting av ressurser til sikring av informasjon og informasjonssystemer er viktig. All sikring starter med en verdivurdering – hvilke innsatsfaktorer og verdier er viktige for vår virksomhet, samarbeidspartnere, samfunnet som helhet etc. Strukturerte verdi- og risikovurderinger gir oversikt over verdier og i hvilken grad disse er utsatt for risiko. Vurderingene er både et styringsverktøy – hva må gjøres for å oppnå et tilfredsstillende sikkerhetsnivå – og de bidrar til risikoerkjennelse i virksomhetene.

Regjeringen vil arbeide for at sikkerhetskulturen i virksomheter og samfunnet generelt forbedres, blant annet ved kompetansehevende tiltak og bedre risikoerkjennelse.

6.8 Personvern og forebyggende IKT-sikkerhet

Når sikkerhetstiltak skal utarbeides, må tiltakets mulige konsekvenser for personvernet vurderes. I den grad tiltaket får konsekvenser for personvernet, stilles det i nasjonale og internasjonale regelverk nærmere krav til gjennomføring av tiltakene. I NOU 2016: 19 Samhandling for sikkerhet ble forholdet mellom forebyggende sikkerhet og personvern beskrevet. Utvalget listet opp fem punkter med prinsipper og retningslinjer som ble lagt til grunn for arbeidet med å utrede en ny lov om forebyggende nasjonal sikkerhet. Listen kan tjene som utgangspunkt også for arbeidet med IKT-sikkerhet:

• presisjon i formuleringen av hjemmel for sikkerhetstiltaket (lovkravet)

• vurdere hvilken effekt man får ved sikkerhetstiltaket, sett opp mot allerede eksisterende tiltak (formålsmessighet)

• vurdere forholdsmessigheten mellom den sikkerhetsmessige effekten og hvor mye tiltakene griper inn i personvern og rettssikkerhet (forholdsmessighet)

• vurdere alternative og mindre inngripende tilnærminger som kan gi samme effekt (subsidiaritetsprinsippet)

• etablere tilstrekkelige personvern- eller rettssikkerhetsgarantier der det gjøres inngrep i den enkeltes rettssfære (prosessuelle mekanismer)

Som nevnt under punkt 6.5 anses inntrengingstesting som et godt IKT-sikkerhetstiltak. Mange IKT-systemer behandler personopplysninger. Dette er et eksempel på et sikkerhetstiltak der de nevnte prinsippene må anvendes før iverksettelse, og der sikkerhetshensyn må avveies mot personvernhensyn.

7 Avdekke og håndtere digitale angrep

Regjeringen er opptatt av å styrke vår nasjonale evne til å avdekke og håndtere digitale angrep. Digitale angrep kan være krevende å oppdage og kan i ytterste konsekvens utgjøre en trussel mot nasjonale interesser og krenkelse av norsk suverenitet. Aktørene kan være andre stater, organiserte ikke-statlige grupperinger og private rettssubjekter. Målet til angriperne kan være å begå vinningskriminalitet, drive utpressing eller ødelegge eller endre informasjon eller funksjonalitet. Det kan også være å skaffe seg informasjon om stats- og forretningshemmeligheter, forskningsresultater eller teknologiske nyvinninger fra kommersielle bedrifter. Problemstillingene er ofte globale, og risikoen for straff og konsekvenser er lav.

Sett fra et stats- og samfunnssikkerhetsperspektiv er den største trusselen de aktørene som har ressurser til å gjennomføre handlinger som vi ikke oppdager, som oppdages for sent, som kan forårsake skader på kritisk infrastruktur, eller som kan påvirke demokratiske prosesser. I denne kategorien finner vi ofte statlige aktører, særlig andre lands sikkerhets- og etterretningstjenester.

En utfordring kan være at det oppstår usikkerhet og utilstrekkelig koordinering mellom myndighetsaktører som har ansvar for å bekjempe alvorlige digitale angrep. Regjeringen er derfor opptatt av å legge til rette for samarbeid og deling av informasjon.

Sentrale tiltak:

• videreutvikle det nasjonale varslingssystemet for digital infrastruktur (VDI) for å øke evnen til å avdekke digitale angrep

• etablere og videreutvikle et nasjonalt rammeverk for digital hendelseshåndtering som fører til mer effektiv håndtering og bedre samvirke mellom aktører

• etablere et informasjonsdelingsarbeid for å bedre samarbeidet mellom offentlige og private virksomheter ved digitale hendelser og etablere en teknisk plattform for deling av informasjon

• utrede og konkretisere hvordan en form for digitalt grenseforsvar kan etableres og lovreguleres

• gjøre politiet bedre i stand til å bekjempe kriminalitet i det digitale landskapet

• øke den nasjonale evnen til å motstå alvorlige digitale angrep gjennom videreutvikling av samarbeidet mellom Etterretningstjenesten, NSM, PST og politiet for øvrig

• forbedre NSMs evne til å analysere alvorlige digitale angrep mot samfunnskritisk infrastruktur og informasjon

7.1 Varslingssystemet for digital infrastruktur

Evnen til å avdekke og håndtere digitale angrep avhenger av et samspill mellom myndigheter, sektormiljøer og offentlige og private virksomheter. NSM drifter den nasjonale responsfunksjonen for alvorlige digitale angrep mot kritisk infrastruktur og er ansvarlig for å organisere og drifte det nasjonale varslingssystemet for digital infrastruktur (VDI). VDI er et nettverk av sensorer som er plassert hos både offentlige og private virksomheter som eier kritisk infrastruktur. Informasjon fra sensorene bidrar til en nasjonal evne til tidlig deteksjon og verifikasjon av koordinerte og målrettede angrep. Regjeringen ønsker å oppgradere sensorteknologien i VDI.7

Regjeringen fremmet i Prop. 97 L (2015–2016) Endringer i sikkerhetsloven et forslag om å lovfeste virksomheten som i dag utøves av NSM gjennom NorCERT og VDI. Ved behandlingen av Innst. 352 L (2015–2016) vedtok Stortinget at NSM skulle ha ansvaret for en nasjonal responsfunksjon og et varslingssystem for digital infrastruktur. Regjeringen vurderte også i denne sammenheng om det burde etableres en hjemmel for å kunne pålegge enkelte virksomheter med kritisk infrastruktur å tilknytte seg VDI. På bakgrunn av høringsinstansenes tilbakemeldinger kom regjeringen til at et slikt pålegg måtte utredes nærmere og ses i sammenheng med en vurdering av den fremtidige finansieringsmodellen for NorCERT og VDI.

Illustrasjon: M. Sylstad, NSM.

7.2 Rammeverk for digital hendelseshåndtering

Regjeringen er opptatt av at samvirket mellom aktører for å håndtere alvorlige digitale angrep styrkes. Regjeringen har besluttet at det skal etableres et nasjonalt rammeverk for å håndtere digitale hendelser. En første versjon av rammeverket ferdigstilles i 2017 (se boks 7.1). Rammeverket beskriver den nasjonale strukturen for hvordan Norge organiserer seg for å håndtere digitale hendelser. Det vil bidra til at relevante aktører effektivt kan utøve sitt ansvar i en koordinert nasjonal respons ved et digitalt angrep. Rammeverket skal også beskrive rutiner for varsling og informasjonsdeling, og etablere et enhetlig begrepsapparat. Rett informasjon til rett tid er avgjørende for at virksomheter skal kunne forebygge, avdekke og håndtere digitale hendelser, og for at de har et riktig situasjonsbilde. Deling av informasjon mellom virksomheter, responsmiljøer, departementene og NSM er avgjørende for dette.

For å sikre at alle relevante aktører mottar korrekt varslingsinformasjon og settes i stand til å gjøre nødvendige tiltak, har myndighetene besluttet at det skal etableres sektorvise responsmiljøer. Responsmiljøene skal ha oversikt i egen sektor, være informasjonsknutepunkt for alle relevante virksomheter og være sektorens bindeledd mot NSM. Sektorvise responsmiljøer er en sentral forutsetning i rammeverket for nasjonal hendelseshåndtering. Sektorvise responsmiljøer er omhandlet flere steder i del III.

Et utkast til rammeverk ble benyttet under den nasjonale øvelsen IKT16 i november 2016. Erfaringer fra øvelsen blir nå benyttet i arbeidet med å ferdigstille rammeverket (se oversikten over foreløpige funn i boks 7.2).

Dersom det oppstår svikt i kritiske samfunnsfunksjoner på grunn av digitale angrep, vil det medføre behov for krisehåndtering på samfunnsnivå av en rekke aktører, som beredskapsetater, kommuner eller frivillige organisasjoner, tilsvarende som for andre hendelser som rammer kritiske samfunnsfunksjoner.

7.3 Informasjonsdeling

Informasjonsdeling er avgjørende for å avdekke og håndtere digitale angrep. Dette har et forbedringspotensial og var et sentralt tema i Lysneutvalgets utredning. Utvalget mente det var et uutnyttet handlingsrom for deling av informasjon. NSM har derfor fått i oppdrag å igangsette et arbeid for å bedre samarbeidet og informasjonsflyten knyttet til digital hendelseshåndtering i Norge. Målet for arbeidet er å sikre at det kan gjøres vurderinger av digitale hendelser på tvers av sektorer, og å sikre toveis informasjonsutveksling og koordinering mellom NSM og ulike responsmiljøer. Regjeringen er særlig opptatt av å få til et godt offentlig–privat samarbeid på området, og relevante aktører fra offentlig og privat sektor skal derfor involveres i arbeidet. Arbeidet skal også se på hvordan informasjon og samvirke kan forbedres utover de virksomheter som i dag fanges opp av nasjonalt rammeverk for digital hendelseshåndtering.

NSM har også iverksatt flere tiltak knyttet til informasjonsdeling. NSM samler responsmiljøer sektorvis hver måned for gjennomgang av digitale hendelser, samt diskusjon av utviklingsbehov og policyavklaringer for samarbeidet. Det gjennomføres også ukentlig videokonferanse med responsmiljøene i de ulike sektorene. Det er et mål å samle alle disse responsmiljøene om et felles rapporteringsformat.

NSM har utarbeidet et ugradert nasjonalt situasjonsbilde, tilgjengelig via en portal med påloggingsmulighet for responsmiljøene i de ulike sektorene og nasjonale beslutningstakere. Formålet er at informasjon skal kunne deles raskt og sikkert. Portalen ble testet under øvelse IKT16, og erfaringene viste at portalen ble en viktig kilde til informasjon. Våren 2017 ble portalen operativ på ugradert plattform, og NSM vurderer mulighetene for å utvikle en tilsvarende portal på graderte kommunikasjonsplattformer. I løpet av 2017 vil NSM også utvikle løsninger for automatisert deling av varsler og teknisk informasjon med responsmiljøene i de ulike sektorene. NSM utveksler ukentlige rapporter med de nordiske landenes CERT-funksjoner.

7.4 Digitalt grenseforsvar

Utfordringene med å avdekke digitale angrep berører også spørsmålet om et digitalt grenseforsvar i Norge. Forsvarsdepartementet nedsatte i 2016 et utvalg (Lysne II) for å utrede de prinsipielle sidene ved en eventuell tilgang for Etterretningstjenesten til digital kommunikasjon inn og ut av Norge. Utredningen peker på utviklingstrendene i samfunnet som aktualiserer behovet for nye etterretningsmetoder med innsyn i datastrømmer som krysser den norske landegrensen. Nesten all trafikk har flyttet seg fra radio og satellitt til digitale signaler i kabler. Etterretningstjenesten har i dag ingen systemer for å kontrollere digital kommunikasjon over landegrensen, og den har liten eller ingen egen tilgang til informasjonen som flyter i kommunikasjonskablene.

Utvalget leverte sin rapport 26. august 2016 og anbefalte innføring av et digitalt grenseforsvar med klar innramming og meget strenge kontrollmekanismer for å ivareta personvernet. En rekke aktører har engasjert seg i den offentlige debatten, og motstridende synspunkter er blitt fremmet i en omfattende høringsrunde.

Regjeringen mener at det er behov for å styrke Norges evne til å beskytte seg mot ytre trusler i og ved bruk av det digitale rommet, og at det er behov for å etablere en form for digitalt grenseforsvar. Regjeringen vil derfor utrede og konkretisere hvordan et digitalt grenseforsvar kan etableres og lovreguleres. I en slik utredning vil det være avgjørende å finne en balanse mellom den sikkerhets- og etterretningsmessige effekten et digitalt grenseforsvar kan få, og de personvernrelaterte spørsmålene som en slik tilgang reiser. Regjeringen tar sikte på at et høringsnotat med lovforslag kan sendes på høring i 2018.

7.5 IKT-kriminalitet

IKT-kriminalitet øker i omfang. IKT-kriminalitet deles ofte inn i kriminalitet rettet mot selve IKT-systemene, og kriminelle handlinger begått ved hjelp av IKT.

Flere rapporter og utredninger viser behov for å styrke politiets kompetanse og kapasitet på området. I politiets egen omverdensanalyse fra 2015 pekes det på at tempoet i teknologiutviklingen er så høyt at politiet hele tiden utfordres. Utviklingen stiller nye krav til politiets oppgaveløsning, i form av både mer spisset kompetanse og ny teknologi.

Justis- og beredskapsdepartementet utarbeidet i 2015 en strategi for å bekjempe IKT-kriminalitet. Dette er departementets første strategidokumentet på feltet, og det retter seg blant annet mot å styrke kompetanse og kapasitet, bygge kunnskap, styrke forskningen og kartlegge teknologiske behov og løsninger.

Ett av tiltakene i strategien er å etablere et nasjonalt senter for å forebygge og bekjempe IKT-kriminalitet. Lysneutvalget støttet forslaget om et nasjonalt senter med en særskilt bistandsfunksjon for å støtte politidistriktene både polititaktisk og påtalefaglig. Politidirektoratet (POD) har utarbeidet et konkret forslag til hvordan det kan etableres et slikt senter i politiet for å forebygge og bekjempe IKT-kriminalitet, herunder hvilke oppgaver som skal legges til senteret, organisatorisk forankring og ressursbehov. Forslaget innebærer at politiet må avsette betydelige ressurser. For noen funksjoner må behovet dekkes ved ekstern rekruttering av kompetanse som politiet ikke har i dag. Forslaget må derfor behandles i det ordinære budsjettarbeidet, og vurderes opp mot andre viktige tiltak.

Regjeringen er opptatt av at digital kompetanse må bygges i alle politidistrikt slik at politiet har tilstrekkelige forutsetninger for å bekjempe IKT-kriminalitet. I det digitale rommet har politi og påtalemyndighet mindre muligheter for å pågripe, tiltale og iretteføre. Det medfører at politiets innsats i enda større grad enn ellers må rettes mot forebyggende arbeid, etterretning, avdekking, stansing og gjenoppretting av lovlig situasjon ved tilstedeværelse i det digitale rommet.

Verktøyene for å håndtere digitale spor må være oppdaterte i tråd med den teknologiske utviklingen, og politiets etterforskningsmetoder må holde tritt med de kriminelles bruk av moderne teknologi. For at politiet skal ha nødvendig kompetanse, må politiutdanningen styrkes. Det gjelder både grunnutdanningen og etter- og videreutdanningen. Ansatte uten politiutdanning, herunder spesialister med høy teknologisk spisskompetanse bør få politifaglig tilleggsutdanning. Som del av Justis- og beredskapsdepartementets strategi av 2015 for å bekjempe IKT-kriminalitet har POD utarbeidet en egen strategi for digital kompetanseheving.

Regjeringen har også gitt politiet viktige verktøy i kampen mot alvorlig kriminalitet gjennom lovendringer. Stortinget vedtok i juni 2016, på grunnlag av Prop. 68 L (2015–2016) Endringer i straffeprosessloven mv. (skjulte tvangsmidler), å gi politiet utvidet adgang til å benytte skjulte tvangsmidler ved etterforskning, avverging og forebygging av alvorlige lovbrudd. Utvidelsene gjelder blant annet metoder som kommunikasjonskontroll, hemmelig ransaking, romavlytting, teknisk sporing og kameraovervåking. Lovendringene trådte i kraft 17. juni 2016. I tillegg åpnes det for bruk av et nytt skjult tvangsmiddel i form av dataavlesing. Disse reglene trådte i kraft 9. september 2016. Den 5. april 2017 la regjeringen dessuten frem et forslag til Stortinget om lovendringer som vil sikre politiet tilgang til mobiltelefoner, nettbrett og andre datasystemer som åpnes ved fingeravtrykk og annen biometrisk autentisering.

Bakgrunnen for disse lovendringene og forslagene er et endret kriminalitets- og trusselbilde og den teknologiske utviklingen. Terrorfaren har økt betraktelig, alvorlig og organisert kriminalitet brer om seg, og kryptert kommunikasjon blir stadig mer vanlig. Det må legges til rette for at politiet har de nødvendige virkemidlene til å kunne beskytte borgerne og samfunnet effektivt i tråd med kravene i politiloven § 2, samtidig som det må tas tilstrekkelig hensyn til borgernes vern mot inngrep.

Et regjeringsoppnevnt utvalg overleverte 18. mai 2017 sin utredning om organisering og oppgaveløsning i politiets særorganer.8 Utvalget har vurdert fremtidige modeller, og har i vurderingen lagt stor vekt på politiets evne til styrket bekjempelse av IKT-kriminalitet. Utredningen blir sendt på bred høring.

7.6 Koordinering mellom NSM, Etterretningstjenesten, PST og politiet for øvrig

Regjeringen understreker betydningen av et tett og godt samarbeid mellom NSM, Etterretningstjenesten, PST og politiet for øvrig. Det er nødvendig med hurtig informasjonsutveksling og effektive mekanismer for å etablere et felles situasjonsbilde ved digitale angrep. Det vil kunne bidra til at nødvendige mottiltak blir identifisert og iverksatt raskest mulig.

NSM, Etterretningstjenesten og PST har tidligere samarbeidet innenfor rammene av Cyberkoordineringsgruppen. Gruppen hadde regelmessige møter og fremskaffet informasjon og beslutningsgrunnlag til den operative og strategiske ledelsen om trusler og sårbarheter i det digitale rommet. Kripos og Cyberforsvaret deltok i en utvidet del av dette samarbeidet, og Cyberkoordineringsgruppen kunne utvides med representanter fra andre relevante aktører ved behov.

Som beskrevet i Meld. St. 10 (2016–2017) Risiko i et trygt samfunn fikk NSM, Etterretningstjenesten og PST høsten 2016 i oppdrag å etablere et Felles cyberkoordineringssenter, som en videreutvikling av Cyberkoordineringsgruppen.

Felles cyberkoordineringssenter ble opprettet 31. mars 2017 som et permanent, samlokalisert fagmiljø med representanter fra NSM, Etterretningstjenesten og PST. Senteret skal bidra til å øke den nasjonale evnen til å motstå alvorlige digitale angrep og understøtte strategisk analyseproduksjon og vedlikeholde et helhetlig trussel- og risikobilde for det digitale rommet. Senteret er ikke et selvstendig organ med egen beslutningsmyndighet, og etableringen innebærer ingen endringer i rettsgrunnlag, fullmakter, roller eller oppgaver. Informasjonsdelingen som foregikk mellom Cyberkoordineringsgruppen og Forsvaret, videreføres mellom Felles cyberkoordineringssenter og Forsvaret.

NSM, Etterretningstjenesten og PST har tidligere fått oppdrag om ytterligere å forbedre samarbeidet og øke informasjonsutvekslingen mellom tjenestene og Kripos med hensyn til håndtering av digitale angrep og kriminalitet i det digitale rommet. Tjenestene og Kripos har foreslått overfor Justis- og beredskapsdepartementet og Forsvarsdepartementet at også Kripos bør inngå som en permanent deltaker i Felles cyberkoordineringssenter. Forslaget er til vurdering hos departementene.

7.7 Åpenhet om digitale angrep

Regjeringen er opptatt av at det skal være åpenhet om digitale angrep. På oppdrag fra Justis- og beredskapsdepartementet har NSM tidligere utarbeidet anbefalinger for hvordan åpenhet om digitale angrep bør vurderes. Retningslinjene ble utformet i samarbeid med Difi, POD, NorSIS og Næringslivets Sikkerhetsråd.

Åpenhet danner grunnlag for læring og bidrar til å sette virksomhetene bedre i stand til å forebygge, avdekke og håndtere hendelser. Det gir også virksomheter og myndigheter bedre forutsetninger for å forstå utfordringene i det digitale rommet. Samtidig må offentliggjøring og deling av informasjon praktiseres på en slik måte at taushetspliktbestemmelser ivaretas, og fordelene må vurderes opp mot mulige negative konsekvenser. Regjeringen oppfordrer både offentlige og private virksomheter til å følge anbefalingene om åpenhet.

7.8 Analysekapasitet

Alvorlige digitale angrep er blitt mer avanserte og vanskeligere å oppdage. Det er tid- og kompetansekrevende å gjennomføre analyser av slike angrep. Til tross for økt egenevne i virksomhetene til å håndtere hendelser, har høyere kompleksitet i den enkelte hendelse ført til en betydelig etterspørsel etter NSMs analysekompetanse. Samtidig har NSM begrenset analysekapasitet til å møte denne etterspørselen. Regjeringen vil derfor styrke den nasjonale kapasiteten ved å forbedre NSMs evne til å avdekke og analysere alvorlige digitale angrep mot samfunnskritisk infrastruktur og informasjon, jf. Prop. 151 S (2015–2016) Kampkraft og bærekraft.

8 IKT-sikkerhetskompetanse

Regjeringen ønsker å legge til rette for å styrke IKT-sikkerhetskompetansen i Norge og arbeide for at kompetansebehovene for IKT-sikkerhet i samfunnet og næringslivet blir ivaretatt.

IKT-sikkerhetskompetanse er en knapp ressurs nasjonalt og internasjonalt. Behovet for mer og bedre utdannet IKT-sikkerhetspersonell er understreket både i Lysneutvalgets utredning, i Meld. St. 10 (2016–2017) Risiko i et trygt samfunn og i Meld. St. 27 (2015–2016) Digital agenda for Norge. Regjeringen har de siste årene lagt til rette for bedre utdanningskapasitet og økt forskning på IKT-sikkerhet.

Sentrale tiltak:

• etablere en nasjonal kompetansestrategi for IKT-sikkerhet, der blant annet behovet for studieplasser og forskningssatsning vurderes

• gjennom den påbegynte fagfornyelsen i grunnopplæringen, vurdere hvorvidt IKT-sikkerhet er tilstrekkelig inkludert i den grunnleggende digitale kompetansen elevene skal tilegne seg

• styrke IKT-sikkerhetskompetansen i tilsyn

• legge vekt på systematisk oppfølging og læring etter både øvelser og hendelser, også ved digitale hendelser

8.1 Nasjonal kompetansestrategi for IKT-sikkerhet

Det fremgår av Meld. St. 10 (2016–2017) at regjeringen vil utarbeide en nasjonal kompetansestrategi innenfor IKT-sikkerhet. Målet med strategien er å legge til rette for langsiktig oppbygging av kompetanse. Strategien vil omhandle tiltak for å styrke den nasjonale kapasiteten innenfor forskning og utdanning. Den vil også omhandle bevisstgjøringstiltak rettet mot befolkningen og virksomheter.

IKT-sikkerhetskompetanse har inngått i flere ulike strategier, stortingsmeldinger og andre dokumenter tidligere, men dette er første gang det utvikles en strategi som omhandler kompetanseutfordringen under ett.

For å gi et godt grunnlagsmateriale til den kommende kompetansestrategien for IKT-sikkerhet er Norsk institutt for studier av innovasjon, forskning og utdanning (NIFU) gitt i oppdrag å kartlegge fremtidens behov for IKT-sikkerhetskompetanse i arbeidslivet (se boks 8.1). Rapporten som utarbeides, skal bidra til å identifisere gapet mellom tilgjengelig kompetanse og etterspørselen etter den.

Justis- og beredskapsdepartementet vil i samarbeid med blant annet Kunnskapsdepartementet ha ansvar for å utvikle strategien. For å sikre god forankring vil regjeringen legge til grunn at relevante aktører skal involveres i arbeidet. Arbeidet med kompetansestrategien vil også bli sett i sammenheng med behovet for å øke IKT-kompetansen generelt og avansert IKT-kompetanse spesielt.9

8.2 Grunnskole og videregående opplæring

Digital kompetanse har blitt en viktig del av grunnskolen og videregående opplæring. I utviklingen av elevenes digitale kompetanse er det viktig at det i tillegg til mulighetene som finnes i teknologien, også er fokus på trygg bruk. Elevene må forstå behovet for oppdatering av programvare, jevnlige sikkerhetskopier og farene ved ukritisk bruk av nedlastet programvare og nettbaserte tjenester.

Regjeringen følger opp dette gjennom Meld. St. 28 (2015–2016) Fag – Fordypning – Forståelse – En fornyelse av Kunnskapsløftet. I oppfølgingen vil det vurderes hvorvidt IKT-sikkerhet er tilstrekkelig inkludert i den grunnleggende digitale kompetansen elevene skal tilegne seg. Relevante fagplaner for videregående opplæring vil også vurderes i oppfølgingen av meldingen.

8.3 Høyere utdanning

For å minske gapet mellom tilbud og etterspørsel på IKT-sikkerhetsområdet er det avgjørende at det utdannes nok mennesker med relevant kompetanse.

Regjeringen har de siste årene fulgt opp både Meld. St. 27 (2015–2016) og Lysneutvalget gjennom å øremerke flere studieplasser til IKT og IKT-sikkerhet. I revidert nasjonalbudsjett for 2015 ble 45 studieplasser øremerket IKT og 200 studieplasser andre teknologi- og realfag. I budsjettet for 2016 ble det fordelt 100 studieplasser til IKT. I revidert nasjonalbudsjett for 2016 ble 65 studieplasser øremerket IKT-sikkerhet og 135 studieplasser øremerket helse- og IKT-utdanning. For 2017 ble 500 studieplasser for ett kull øremerket til IKT, og ved fordeling av studieplassene ble institusjonene blant annet bedt om å ta hensyn til behov for IKT-sikkerhet.

Stadig flere utdanningsinstitusjoner legger inn emner om IKT-sikkerhet som en del av IKT-utdanninger. Det er også viktig at IKT-sikkerhets- og personvernsrelaterte problemstillinger er en del av andre utdanninger, for eksempel jus, økonomi og ledelse.

De siste årene har det vært en betydelig økning i søkningen til IKT-utdanninger. Dette bidrar til økt konkurranse om studieplassene, noe som kan gi økt kvalitet og raskere gjennomstrømming. På sikt vil de øremerkede studieplassene medføre en betydelig økning av antallet kandidater med IKT- og IKT-sikkerhetskompetanse.

Regjeringen vil utarbeide en nasjonal kompetansestrategi for IKT-sikkerhet. Strategien skal blant annet vurdere behovet for studieplasser.

Illustrasjon: M. Sylstad, NSM.

Kilde: Bilde hentet fra Colourbox.

8.4 Forskning

Norge er avhengig av å bygge fremragende og varige forskningsmiljøer innenfor IKT-sikkerhet. Det er flere gode forskningsmiljøer på IKT-sikkerhet i Norge, for eksempel Forsvarets forskningsinstitutt, NTNU Center for Cyber and Information Security (CCIS) på Gjøvik, Simula Research Laboratory og universitetene i Oslo og Bergen.

Forskningsrådets program IKTPLUSS og EUs program Horizon 2020 finansierer det meste av IKT-sikkerhetsforskningen i Norge i dag. Regjeringen oppfordrer næringslivet og offentlig sektor til i større grad å involvere seg i forskning, både som bestillere og som partnere. Ordninger som nærings-ph.d. og offentlig ph.d. er etablerte, men har potensial for å bli brukt mer.

I Justis- og beredskapsdepartementets FoU-strategi for samfunnssikkerhet (2015–2019) er trygg digitalisering av samfunnet et prioritert forskningstema innenfor justissektoren. I strategien beskrives også partnerskap med forskningsinstitusjoner som et viktig virkemiddel. Gjennom utvidet kontakt mellom forskning, utdanning, myndigheter og sluttbrukere øker muligheten for gjensidig dialog som kan gi mer treffsikre og anvendbare prosjekter.

Gjennom IKTPLUSS bevilget regjeringen i 2015 150 mill. kroner til IKT-sikkerhetsprosjekter. Dette er prosjekter som nå er i full gang. Regjeringen har også økt antall rekrutteringsstillinger (postdoktor- og stipendiatstillinger) til realfag og teknologi. I statsbudsjettet for 2017 er 16 nye rekrutteringsstillinger ved universiteter, høgskoler og instituttsektoren øremerket til IKT-sikkerhet. Regjeringen foreslår i Revidert nasjonalbudsjett 2017 å bevilge midler til ytterligere 4 nye rekrutteringsstillinger til NTNU. Rekrutteringsstillingene skal gå til CCIS på Gjøvik. Nye rekrutteringsstillinger vil bidra til å styrke forskning og kunnskap om IKT-sikkerhet.

Justis- og beredskapsdepartementet finansierer også forskning på samfunnssikkerhetsfeltet generelt. Den største satsingen foregår i regi av forskningsprogrammet SAMRISK ved Norges forskningsråd. Programmet har som mål å bidra til bedre motstandskraft, forebygging, beredskap, redningsarbeid, krisehåndtering og læring. SAMRISK er et sektorovergripende og tverrfaglig program. Programmets aktiviteter sees også i sammenheng med NordForsks satsing på samfunnssikkerhet og EUs sikkerhetsforskning.

Regjeringen vil utarbeide en nasjonal kompetansestrategi for IKT-sikkerhet. Strategien skal blant annet vurdere behovet for forskning på området.

8.5 Etter- og videreutdanning

Det er viktig at det gis tilbud om etter- og videreutdanning til personer som har behov for IKT-sikkerhetskompetanse på arbeidsplassen. Etter- og videreutdanning kan organiseres fleksibelt og på den måten nå mange, for eksempel gjennom IKT-støttede, desentraliserte og samlingsbaserte utdanninger. Det er viktig at det er god kontakt mellom tilbydere og oppdragsgivere ved utvikling av slike kurs, slik at tilbudene blir i samsvar med arbeidsmarkedets behov.

Regjeringen mener både studiepoenggivende etter- og videreutdanning, sertifiseringskurs og andre målrettede IKT-sikkerhetskurs er nødvendig. Skal vi på kort sikt ha mulighet til å heve IKT-sikkerhetskompetansen i samfunnet, må det være et bredt tilbud tilpasset ulike brukere. Det fordrer at utdanningsinstitusjoner og kurstilbydere har tilstrekkelig kapasitet og tilbud, og at arbeidsgivere setter av ressurser til at ansatte kan ta etter- og videreutdanning.

Regjeringen oppfordrer arbeidsgivere i både offentlig og privat sektor til å prioritere etter- og videreutdanning av medarbeidere for bygge tilstrekkelig IKT-sikkerhetskompetanse i virksomhetene.

8.6 Kompetansen i tilsyn

Tilsyn er et virkemiddel for myndighetene for å etterse at regler og krav etterleves av virksomhetene. Den tekniske utviklingen og kontinuerlige endringer i måten IKT-systemer brukes, leveres og driftes på, krever økt IKT-sikkerhetskompetanse hos tilsynsmyndigheter. Blant annet peker Lysneutvalget på dette i sin utredning. Det er i dag et potensial for økt samarbeid mellom tilsynene om IKT-sikkerhet for å bedre kompetansen.

For å forbedre IKT-sikkerheten og kvaliteten på IKT-sikkerhetstilsyn som gjennomføres i de ulike sektorene, vil Justis- og beredskapsdepartementet og Forsvarsdepartementet utrede og etablere en felles arena for de ulike sektorenes mest sentrale tilsynsmyndigheter. Hensikten er å bidra til informasjonsutveksling og kompetanseoverføring og på denne måten øke kvaliteten på sektorenes tilsyn med IKT-sikkerhet. NSM vil lede arenaen. Se også punkt 22.7.

Det er et mål at tilsynene selv skal ha økt kompetanse til å utføre tilsyn på IKT-sikkerhetsområdet. NSM skal, sammen med sektortilsynene, vurdere å etablere en sentral kapasitet med IKT-sikkerhetskompetanse som skal benyttes som en ressurs for tilsynsmyndighetene. Denne sentrale kapasiteten kan bestå av personer fra tilsynene. Det kan også vurderes om det finnes kommersielle tilbud som kan avhjelpe en eventuell kompetansemangel.

8.7 Øvelser

Øvelser er et nyttig virkemiddel for å bli bedre til å forebygge, avdekke og håndtere uønskede digitale hendelser. Alle aktører og virksomheter som har ansvar for kritiske samfunnsfunksjoner, og som er avhengige av fungerende IKT-infrastruktur og -tjenester, har et eget ansvar for å gjennomføre øvelser. Mange større nasjonale tverrsektorielle øvelser i regi av DSB har hatt digitale sårbarheter som en del av øvelsene. Digitale sårbarheter var hovedtema i den nasjonale øvelsen IKT16 og i Nkoms nasjonale cyberøvelse for ekom- og kraftsektoren (NCEK 2015).

Flere av anbefalingene fra Lysneutvalget trekker frem øvelser som et virkemiddel for å redusere den digitale sårbarheten. I del III i denne meldingen beskrives øvelser som viktige tiltak for flere sektorer når status på anbefalingene fra Lysneutvalget blir gjennomgått.

Læring etter øvelser er krevende. Meld. St. 10 (2016–2017) Risiko i et trygt samfunn legger vekt på systematisk oppfølging og læring etter både øvelser og hendelser. Regjeringen ønsker størst mulig læringsutbytte fra øvelser og hendelser. Regjeringen vil derfor innføre nye krav til oppfølging av funn fra hendelser og øvelser i den statlige forvaltningen i sivil sektor.

Alle hendelser og øvelser skal i utgangspunktet evalueres. Funn og læringspunkter skal følges opp gjennom en ledelsesforankret tiltaksplan. Oppfølging av øvelser og hendelser skal ikke anses som avsluttet før alle punktene i tiltaksplanen er fulgt opp tilfredsstillende eller utkvittert gjennom en ledelsesforankret vurdering. Resultater av oppfølgingen av øvelser og hendelser over en viss størrelse eller alvorlighetsgrad skal rapporteres til overordnet instans.

Justis- og beredskapsdepartementet vil sammen med øvrige relevante departementer legge økt vekt på å benytte også internasjonale øvelser til å trene forebygging og håndtering av digitale hendelser, særlig øvelser i NATO-regi (se boks 8.2 om NATO og øvelser).

9 Kritisk IKT-infrastruktur

Vårt samfunn består av en rekke kritiske samfunnsfunksjoner, som energiforsyning, finansielle tjenester og satellittbaserte tjenester. Dette er funksjoner som må opprettholdes til enhver tid av hensyn til samfunnets og befolkningens grunnleggende behov. En rekke av disse samfunnsfunksjonene forutsetter at man har en IKT-infrastruktur som virker nær sagt overalt og hele tiden.

IKT-infrastrukturer består av både informasjons- og kommunikasjonsinfrastrukturer (internettjenester, elektroniske kommunikasjonsnett etc.) og informasjons- og kommunikasjonssystemer som er en del av den kritiske samfunnsfunksjonen.10 Det kan eksempelvis være sentrale styrings- og kontrollsystemer, administrative systemer og logistikksystemer.

Beskyttelse av kritisk IKT-infrastruktur er et av hovedsatsingsområdene til EUs byrå ENISA. Alle medlemsland i EU oppfordres til å prioritere dette i sine nasjonale IKT-sikkerhetsstrategier. NATO setter også i større grad enn tidligere sivilt beredskapsarbeid og sivilt–militært samarbeid på dagsordenen. Sivil beredskap, krisehåndtering og robuste samfunnskritiske funksjoner er en forutsetning for det enkelte lands og dermed alliansens samlede beredskap og forsvar.

Regjeringen er opptatt av at kritisk IKT-infrastruktur må være robust og pålitelig, slik at uønskede hendelser i størst mulig grad unngås, samtidig som man raskt må kunne gjenopprette normalsituasjonen ved en uønsket hendelse. Vi må også være i stand til å sikre at uvedkommende ikke får tilgang til informasjonen som formidles gjennom slik infrastruktur. Beskyttelse av kritisk IKT-infrastruktur er sentralt i det arbeidet regjeringen gjør innenfor IKT-sikkerhet. En del av dette arbeidet er å delta på internasjonale arenaer (se boks 9.1 om Meridian).

Lysneutvalget trekker frem den nasjonale infrastrukturen for elektronisk kommunikasjon (ekom) som en sentral komponent som inngår i nær sagt alle digitale verdikjeder.11 I tråd med anbefalingene fra Lysneutvalget og Samferdselsdepartementets oppfølging av ekomplanen12 ble Nkom gitt i oppdrag å vurdere sårbarhetsreduserende tiltak knyttet til samfunnets og samfunnskritiske funksjoners avhengighet av Telenors kjerneinfrastruktur, og hvordan ulike transportnett og utlandsforbindelser kan kombineres for å øke den samlede nasjonale kapasiteten og sikkerheten i ekomnettene. I rapporten Robuste og sikre nasjonale transportnett – Målbilder og sårbarhetsreduserende tiltak fra april 2017 følger Nkom opp oppdraget og redegjør for dagens situasjon, forventet utvikling i markedet og hva som må til av eventuelle regulatoriske og budsjettmessige tiltak for å heve sikkerheten i de norske ekomnettene. Rapporten er et viktig kunnskapsgrunnlag for regjeringens videre arbeid på området.

I tillegg må virksomheter med ansvar for kritiske samfunnsfunksjoner som er sterkt avhengige av elektronisk kommunikasjon selv vurdere tiltak som kan redusere risikoen for utfall i kommunikasjonen.

Sentrale tiltak:

• prioritert midler til etablering av en pilot for alternativt kjernenett, jf. Meld. St. 33 (2016–2017) Nasjonal transportplan 2018–2029

• arbeide videre med konkretisering av mulige statlige tiltak som kan bidra til å legge til rette for flere fiberkabler til utlandet

• arbeide for et sterkt kommunikasjonsvern i Norge

9.1 Alternative kjernenett og robusthet i de regionale transportnettene

Utbygging av norske ekomnett er i hovedsak finansiert og drevet av kommersielle utbyggere som selv velger utbyggingsstrategi og utformer egne tjenester og forretningsmodeller. Regjeringen og tilbyderne av elektronisk kommunikasjon gjennomfører for tiden omfattende tiltak for å styrke sikkerheten og robustheten i de norske ekomnettene. I Norge er det i dag bare Telenor som leverer et nasjonalt kjernenett utelukkende basert på egen infrastruktur. Andre sentrale tilbydere av transmisjon er avhengige av Telenor eller partnere for å klare å levere et nett med tilsvarende kapasitet, dekning, robusthet og uavhengighet. Selv om Telenors kjernenett bygges og driftes med en meget høy grad av sikkerhet, og over tid har vist stor pålitelighet, representerer avhengigheten til én enkelt aktørs nett en sårbarhet som bør håndteres. Regjeringen vil at Norge skal ha et sterkt og robust ekomnett, og er opptatt av å gjøre noe med denne sårbarheten.

I Meld. St. 33 (2016–2017) Nasjonal transportplan 2018–2029 har regjeringen prioritert midler til etablering av en pilot for alternativt kjernenett i perioden 2018–2021. Pilotprogrammet skal demonstrere sikkerhetsbehovet og det kommersielle grunnlaget for å investere i kjernenett som konkurrerer med Telenors nett. Målet for pilotprogrammet er å etablere et fungerende marked for alternative kjernenett som samfunnskritiske virksomheter og andre brukere kan benytte.

For å realisere målet med pilotprogrammet, og på sikt legge til rette for et reelt fullverdig alternativ til Telenors transportnett, mener Nkom at det er aktuelt å se nærmere på følgende kategorier av tiltak:13

• Altibox, Broadnet og Telenor reserverer mørk fiber/bølgelengde hos hverandre på spesielt utsatte strekk for å styrke egen robusthet

• Statlig støtte til nye fiberkabler i strategisk viktige områder i samarbeid med Telenor, Broadnet, Altibox, Forsvaret (Nord–Sør, Vestlandet, Finnmark)

• Statlig støtte til å tilrettelegge for ekstra redundans og tilbyderdiversitet på transportnettdelen av mobilnettene

Nkoms vurdering er at det er behov for å etablere flere sammenhengende fiberforbindelser på sentrale strekk mellom ulike regioner av landet som er viktige for nasjonal beredskap og sikkerhet. Tiltakene begrenses mot investeringer som tilbyderne selv må gjøre for å kunne levere en forsvarlig ekomtjeneste til sine brukere. Regjeringen vil arbeide sammen med ekomtilbyderne for å knytte sammen spesielt viktige strekk i eksisterende fibernett.

9.2 Utenlandsforbindelser

Nkom leverte i 2016 en rapport14 om tilgangen til fiberinfrastruktur i Norge og føringer ut av landet. Rapporten viser at det er bra tilgang til alternative fiberføringer i store deler av landet, men ikke overalt. Rapporten viser også at det meste av den internasjonale trafikken rutes via osloområdet og videre ut i verden gjennom Sverige.

Etablerte tilbydere av transmisjon har foreløpig ikke ønsket å endre på dagens trafikkhåndtering mot utlandet. Tilbyderne viser begrenset interesse for og vilje til å ta i bruk nye føringsveier ut av landet. Regjeringen vil arbeide videre med konkretisering av mulige statlige tiltak som kan bidra til å legge til rette for flere fiberkabler til utlandet.

9.3 Nød- og beredskapskommunikasjon

Nød- og beredskapsaktører er avhengige av gode og sikre kommunikasjonsløsninger i sitt daglige virke og i kriser. Med Nødnett har disse aktørene en god løsning for sikret talekommunikasjon.

Nød- og beredskapsaktørers behov, også for data, kan fordre nye løsninger. Både teknologiutviklingen og utviklingen i trusselbildet peker i retning av at nød- og beredskapsetater vil ha behov for mobile bredbåndsløsninger med høy grad av sikkerhet og robusthet. Det vil kreve betydelig involvering og ressurser fra statlig side for å realisere en fremtidig løsning for sikre og robuste mobile bredbåndstjenester for nødetatene. Staten må ta ansvar for å legge til rette for tilfredsstillende rammer og tjenester til dette formålet uansett om behovene skal realiseres over de kommersielle ekomnettene, gjennom et eget nett for nød- og beredskapsetater eller gjennom en kombinasjonsløsning.

Regjeringen har gjennom ekomplanen uttrykt et mål om at de offentlige ekomnettene i størst mulig grad skal kunne bære fremtidige tjenester for nød- og beredskapsetater. Regjeringen har videre besluttet at frekvensressurser i 700 MHz-båndet skal tas i bruk til mobile tjenester når de blir tilgjengelige. Nkom har dialog med blant annet DSB og Forsvarsmateriell om relevante problemstillinger og behov, og ulike løsningsmodeller vurderes opp mot samfunnsøkonomisk kost/nytte. IKT-sikkerhetshensyn som integritet, konfidensialitet og tilgjengelighet og særskilt funksjonalitet for denne brukergruppen er viktige vurderingstemaer.

9.4 IKT-sikkerhet i styrings- og kontrollsystemer

Mange av de viktige funksjonene i samfunnet forutsetter døgnkontinuerlig drift av automatiske styrings- og kontrollsystemer. Teknologien som benyttes i disse, er en blanding av vanlig IKT-utstyr og spesialiserte datamaskiner (automatiseringsutstyr). I del III omtales slike samfunnsfunksjoner i kapitlene om energiforsyning, olje og gass, vannforsyning og transport. Dette utstyret har mange av de samme sårbarhetene som vanlig IKT-utstyr, men behovet for døgnkontinuerlig drift og at det benyttes i virksomheter som ikke nødvendigvis har en robust IKT-avdeling, medfører at de er mer sårbare.

Selve styringssystemene trenger sjelden å være koblet til den enkelte virksomhets datanettverk, men slik kobling opprettes ofte fordi det er et ønske om å kunne utføre vedlikehold eller feilsøking, eller for å benytte driftsdata til rapportering og vedlikeholdsstyring. Denne sammenkoblingen medfører at sårbarhetene i styringssystemene er eksponert. Virksomheter må være bevisste på hvordan styrings- og kontrollsystemer sikres og følges opp, og søke å samarbeide for å øke kunnskapen innenfor fagområdet.

Illustrasjon: M. Sylstad, NSM.

Kilde: Bilde hentet fra Colourbox.

9.5 Personvern og kritisk IKT-infrastruktur – kommunikasjonsvern

Kommunikasjonsvern som begrep omfatter rettslig og faktisk beskyttelse av informasjon i transitt, på vei fra ett sted til et annet. Begrepet omfatter også opplysninger om slik informasjon eller kommunikasjon, såkalte metadata. Kommunikasjonsvernet er ofte ansett som en del av det videre begrepet personvern, siden man vanskelig kan tenke seg et effektivt personvern uten at også kommunikasjonen mellom to eller flere parter kan være fortrolig.

Bruk av elektronisk kommunikasjon gir informasjon om en rekke forhold som berører den enkeltes private sfære og personlige integritet, slik som geografisk bevegelsesmønster, kontaktnett osv. Presset om å få tilgang til denne typen data øker også etter hvert som den kommersielle bruken av såkalt stordata øker. Dagens kommunikasjonsvern er bra i Norge, men ny teknologi, nye tjenester og forretningsmodeller utfordrer regelverket.

Ekomtjenester produseres i økende grad i datasentre utenfor norsk territorium. Norsk regulering er derfor ikke alltid tilstrekkelig dersom man ønsker å gjennomføre tiltak for å ivareta personvernet og kommunikasjonsvernet til den enkelte bruker i Norge. Regjeringen vil at Norge skal fortsette å arbeide internasjonalt for å fremme gode løsninger som ivaretar norske brukere.