Del 3
Oppfølging av Lysneutvalgets anbefalinger
10 Elektronisk kommunikasjon
Figur 10.1
Illustrasjon: M. Sylstad, NSM.
Kilde: Bilde hentet fra Colourbox.
10.1 Redusere kritikaliteten av Telenors kjerneinfrastruktur
Problembeskrivelse (NOU 2015: 13, punkt 11.7.1)
Telenors kjerneinfrastruktur inngår som en komponent i nær sagt alle digitale verdikjeder. Et utfall i denne kan derfor få alvorlige og samtidige konsekvenser på de aller fleste samfunnsområder, og for kritiske samfunnsfunksjoner. Telenors kjerneinfrastruktur er godt utbygd, den er profesjonelt drevet, og den har historisk sett meget høy stabilitet. Likevel vil infrastrukturen kunne settes ut av spill ved menneskelige feil, rutinesvikt, sabotasje, terror eller utro tjenere. Den totale summen av samfunnsverdier dette nettet bærer, er uakseptabelt høy. Det anbefales at det arbeides mot et målbilde der minst én tilleggsaktør har et landsdekkende kjernenett som er på samme nivå som Telenors med hensyn til dekning, kapasitet, fremføringsdiversitet, redundans og uavhengighet. I Lysneutvalgets utredning anslås kostnadene ved å etablere et alternativt kjernenett til 575 millioner kroner.
Status på tiltak
Utvalgets vurderinger av kritikaliteten av Telenors kjerneinfrastruktur får mye støtte i høringsrunden. I Meld. St. 33 (2016–2017) Nasjonal transportplan 2018–2029 har regjeringen prioritert midler til etablering av en pilot for alternativt kjernenett i perioden 2018–2021. Pilotprogrammet skal vise sikkerhetsbehovet og det kommersielle grunnlaget for å investere i konkurrerende kjernenett til Telenors nett. Det vises til nærmere omtale av status på tiltaket under punkt 9.1.
10.2 Sikre mangfold blant leverandørene til infrastrukturen
Problembeskrivelse (NOU 2015: 13, punkt 11.7.2)
Det bør tilstrebes å ha en kontrollert heterogenitet i utstyrsleverandørbildet i norsk ekominfrastruktur. Nasjonal kommunikasjonsmyndighet (Nkom) bør i samråd med Konkurransetilsynet ta initiativ til å utrede hvorvidt vi i dag har tilstrekkelige virkemidler for å ivareta dette, eller om det er behov for å etablere virkemidler for å sikre diversitet i utstyr. Denne problemstillingen bør også tas med i utformingen av ny sikkerhetslov (del II).
Status på tiltak
Leverandørbildet i ekombransjen endrer seg over tid. De største produsentene av avansert teleutstyr har tidligere vært fra USA og Europa, men de siste årene har vi sett at stadig mer av det mest avanserte utstyret produseres og leveres av asiatiske selskaper. Ekomtilbyderne velger selv hvilke leverandører de vil benytte, og det er de som må svare for sikkerheten i sine nett og for sine kunder. Dette gjelder uansett om leverandørene kommer fra et land Norge har et sikkerhetspolitisk samarbeid med, eller ikke.
For ekomtilbyderne kan det ha både fordeler og ulemper å knytte seg til én enkelt leverandør av utstyr og tjenester. Ekomtilbyderne kan oppnå lavere driftskostnader og raskere teknologiutvikling, men kan også bli avhengige av leverandøren på både pris og teknologiutvikling. Ikke minst kan de bli sårbare for feil knyttet til én leverandør. Tilbyderne bør derfor se seg tjent med å benytte flere leverandører i sine nett. Ekommyndighetene (Samferdselsdepartementet og Nkom) følger utviklingen i leverandørbildet og gir råd og veiledning, blant annet i Ekomsikkerhetsforum.1 Sårbarheter som ikke kan håndteres i Ekomsikkerhetsforum, kan løftes til Nkom og Samferdselsdepartementet.
Etter Samferdselsdepartementets vurdering er ikke konkurranseregelverket egnet til å løse de utfordringene som utvalget trekker frem. Formålet med konkurransereguleringen er å ivareta konkurransen i markedet og effektiv ressursbruk. For å unngå å låse seg har ekomtilbydere gjerne mer enn én leverandør av kritiske komponenter.
I NOU 2016: 19 Samhandling for sikkerhet behandles problemstillingen i forbindelse med en bredere diskusjon om leverandørsikkerhet, se nærmere utredningen kapittel 11 og 12 om henholdsvis sikkerhetsgraderte anskaffelser og eierskapskontroll. Utvalget anerkjenner problemstillingen og ser den i sammenheng med utfordringer knyttet til utenlandsk eierskap med strategisk viktige selskaper, herunder blant annet forsyningssikkerhet. Det vises i utredningen blant annet til Meld. St. 9 (2015–2016) Nasjonal forsvarsindustriell strategi. For virksomheter underlagt sikkerhetsloven gjelder allerede i dag regler som gir mulighet for kontroll med leverandører som får tilgang til skjermingsverdig informasjon eller objekt, jf. sikkerhetsloven kapittel 7. I tillegg foreslår utvalget nye regler som gir myndighetene mulighet for kontroll med eierskapet i strategisk viktige selskaper, jf. lovforslaget kapittel 10.
10.3 Opprette en CSIRT i ekomsektoren i regi av Nkom
Problembeskrivelse (NOU 2015: 13, punkt 11.7.3)
De fleste tilbydere av elektroniske kommunikasjonstjenester i Norge er svært små, og de færreste eier eget nett. Det er nødvendig med en god overgripende håndtering av hendelser i det digitale rommet som favner alle disse små tilbyderne av elektroniske kommunikasjonstjenester. Utvalget anbefaler et «Computer Security Incident Response Team» (CSIRT) med organisatorisk oppheng hos Nkom.
Status på tiltak
Nkom CSIRT ble satt i operativ prøvedrift fra 1. april 2016 ved Nkom i Lillesand. Nkom CSIRT vil være i operativ drift fra 1. juli 2017.2 Nkom CSIRT ble etablert etter en vurdering av sterke og svake sider ved alternative organisasjonsformer sett i lys av mulige ambisjonsnivåer for ekomsektorens fremtidige responsmiljø. CSIRTs uavhengighet av tilsynsmyndigheten ble vurdert opp mot fordelene med gjensidig nytteverdi av samlokalisering og mulighet for informasjonsutveksling og tilgang til kompetanse. Funksjon og behov for et responsmiljø ble drøftet med de største ekomtilbyderne.
Nkom CSIRT bemannes fra oppstart med fem årsverk og skal bistå ved håndtering av alvorlige hendelser innenfor sektoren samt være bindeledd mellom ekomsektoren og NSM ved sektorovergripende hendelser. Uavhengig av hendelser vil Nkom CSIRT bistå med rådgivning, kompetansebygging og informasjonsdeling og bidra til høyt tillitsnivå og aktørsamarbeid innenfor sektoren. Se nærmere omtale av tiltak for avdekking og håndtering av digitale angrep, herunder informasjonsdeling med NSM, i kapittel 7.
10.4 Aktiv myndighetsutøvelse fra Samferdselsdepartementet og Nasjonal kommunikasjonsmyndighet
Problembeskrivelse (NOU 2015: 13, punkt 11.7.4)
Ekommyndigheten må styrke innsatsen ytterligere ved å veilede tilbyderne om innholdet i rettslige standarder knyttet til sikkerhet og robusthet. En forsvarlig kobling mellom sentrale ekomaktører og de nasjonale sikkerhetstjenestene er helt nødvendig for å ivareta nasjonale sikkerhetsbehov, og det anbefales at dette arbeidet videreutvikles gjennom Ekomsikkerhetsforum.
Det kan være ønskelig med en bredere fremtidig ekomplan som også omfatter ekomperspektivet på tvers av sektorer i Norge, inkludert blant annet Nødnett og fremtidige behov for nødkommunikasjon. Denne bør ta inn over seg hvordan krav til ekomnett og -tjenester gjenspeiler samfunnets økende behov for digitale tjenester. Planen bør inneholde en systematisk oversikt som jevnlig viser hvordan ulike forebyggende tiltak bør prioriteres. Denne oversikten på ekomområdet bør videre benyttes som et bidrag i Justis- og beredskapsdepartementets større oversiktsbilde over IKT-sårbarhet i Norge.
Status på tiltak
Ekomloven setter funksjonelle krav til sikkerhet i ekomnett og -tjenester. Tilbyderne skal tilby elektronisk kommunikasjonsnett og -tjeneste med forsvarlig sikkerhet for sine brukere i fred, krise og krig. Reguleringen krever at tilsynsmyndighetene også må bidra med veiledning og krav, i tillegg til å ha tilsyn med om kravene følges opp. Dette er et vedvarende arbeid som hele tiden må utvikles.
Ekommyndigheten bruker i økende grad ressurser på aktiv veiledning av aktørene i bransjen. Det er viktig at myndigheten kommer tidlig inn i vurderinger tilbyderne gjør om for eksempel tjenestearkitektur, sourcingstrategier med mer. Veiledningsprosessen kan i enkelte tilfeller bli fulgt opp med tilsyn.
I 2016 fremmet Samferdselsdepartementet en ekomplan for Stortinget som en del av regjeringens samlede IKT-politikk.3 Samferdselsdepartementet vil vurdere om ekomplanen bør følges opp med en bredere ekomplan og strategi for samfunnets bruk og avhengighet av elektronisk kommunikasjon i tråd med Lysneutvalgets forslag.
Nkom har med innspill fra DSB og Forsvaret allerede gjort vurderinger om å benytte 700 MHz-båndet for mobile datatjenester til nød- og beredskapsaktører. Det ses nå på ulike løsningsmodeller som vurderes opp mot samfunnsøkonomisk kost/nytte. DSB vektlegger at vurderingen må ta hensyn til krav til IKT-sikkerhet som integritet, konfidensialitet og tilgjengelighet og særskilt funksjonalitet for denne brukergruppen.
10.5 Etablere tiltak for å regulere utlevering av trafikkdata til politiet
Problembeskrivelse (NOU 2015: 13, punkt 11.7.5)
Omfanget av politiets uthenting av trafikkdata er rimelig stabilt, mens andelen forespørsler om opphevelse av taushetsplikt for utlevering av signaleringsdata er sterkt økende. Det er mange spørsmål knyttet til forholdet mellom beslutninger om opphevelse av en taushetsplikt med hjemmel i straffeprosessloven § 118 jf. § 230 og menneskerettsloven § 2 jf. den europeiske menneskerettskonvensjonen artikkel 8.
Utvalget mener at formålsutglidning når det gjelder bruk av opplysninger (særlig signaleringsdata), bør utredes. I denne sammenheng bør også dommernes tekniske kompetanse som grunnlag for å ta stilling til innsynsbegjæringer vurderes. Utvalget mener det er behov for å avklare hjemmelsgrunnlaget for regulering av tilgang til signaleringsdata. Utvalget er videre av den oppfatning at bruk av signaleringsdata er blitt så utbredt som etterforskningsverktøy at det bør vurderes å lovregulere dette som et særskilt tvangsmiddel.
Status på tiltak
Spørsmålene om hjemmelsgrunnlaget for signaleringsdata og bruk av signaleringsdata som særskilt tvangsmiddel er vurdert i Prop. 68 L (2015–2016) Endringer i straffeprosesslover mv. (skjulte tvangsmidler). I forbindelse med lovendringene ble hjemmelsgrunnlaget for politiets tilgang til lokasjons- og signaleringsdata i noen grad avklart. Det ble vedtatt et tillegg i § 216 b annet ledd bokstav d om kommunikasjonskontroll som gir politiet hjemmel til å innhente historiske opplysninger fra nett- og tjenestetilbydere om den geografiske plasseringen til et bestemt kommunikasjonsanlegg (lokaliseringsdata), uavhengig av om anlegget er i bruk til kommunikasjon. At politiets tilgang på lokaliseringsdata nå er regulert i straffeprosesslovens kapittel om kommunikasjonskontroll, medfører at politiets bruk av tvangsmiddelet er underlagt domstolskontroll og etterfølgende kontroll av Kontrollutvalget for kommunikasjonskontroll. Lysneutvalget pekte på at det kan være en utfordring for dommere å ha tilstrekkelig teknisk innsikt når de vurderer anmodninger om tilgang til data. Prop. 68 L (2015–2016) behandler ikke denne problemstillingen. Lovendringene innebærer imidlertid at det ikke lenger er samme grunn til å skille mellom de ulike «typer» data.
I tillegg til å benytte reglene om kommunikasjonskontroll kan politiet benytte den utenrettslige ordningen med opphevelse av teletilbydernes taushetsplikt fra Nkom for å få utlevert trafikkdata, herunder signaleringsdata. I 2015 behandlet retten 189 kommunikasjonskontrollsaker, mens Nkom behandlet 1459 saker om fritak for taushetsplikt. Nkom behandler anmodninger om signaleringsdata etter samme regelsett som anmodninger om fritak fra taushetsplikten for trafikkdata, dvs. straffeprosessloven § 118 jf. § 230. Reglene om Nkoms opphevelse av taushetsplikten gjelder også ved beslag eller utleveringspålegg, jf. straffeprosessloven § 203 flg. og § 210. I medhold av § 118 første ledd annet punktum skal Nkom gi samtykke i disse sakene med mindre dette vil utsette staten eller allmenne interesser for skade eller virke urimelig overfor den som har krav på hemmelighold. Nkom baserer seg i denne sammenheng på fremstillingen som gis av påtalemyndigheten, eventuelt sammen med annen informasjon som innhentes ved behandlingen av saken. Det kan ikke utelukkes at dagens ordning, hvor opphevelse av taushetsplikten gjøres av Nkom etter straffeprosessloven og ekomloven, kan utfordre kommunikasjonsvernet. Regjeringen vil på denne bakgrunn vurdere om det er behov for ytterligere utredning av kommunikasjonsvernet i norsk rett i forbindelse med implementeringen av EUs nye kommunikasjonsvernforordning, som er til behandling i EU rådet og parlamentet, med planlagt ikrafttredelse våren 2018.
11 Satellittbaserte tjenester
11.1 Tydeliggjøre myndighetsansvar for norsk romvirksomhet
Problembeskrivelse (NOU 2015: 13, punkt 12.5.1)
Satellittbaserte tjenester er en kritisk samfunnsfunksjon. De fleste samfunnsområder er avhengige av digitale satellittbaserte tjenester. Disse tjenestene kan være posisjon, navigasjon, presis tidsangivelse, kommunikasjon, jordobservasjon med mer. Reguleringen av romvirksomheten er hjemlet i ulike lover og forskrifter, og ansvaret for oppfølging av romsektoren er desentralisert. Myndighetsbildet knyttet til området er komplekst, og det anbefales at myndighetsansvaret for romvirksomheten blir tydeliggjort. Hensikten med en slik tydeliggjøring er å øke bevisstheten om sårbarheter, identifisere avhengigheter og stille krav til et sikkerhetsarbeid som evner å se langs hele verdikjeder og dekker helhet og bredde i romvirksomheten.
Lysneutvalget anbefaler at det opprettes en mindre enhet som får i oppgave å vurdere hva som per i dag eksisterer av lover, regler og tilsyn for satellittbaserte tjenester, og deretter utlede hva som må etableres av nytt regelverk, retningslinjer eller tilsynsbehov. Basert på egne vurderinger og en utredning fra Oslo Economics anbefaler utvalget at ansvaret legges til enten Nkom eller DSB. Utvalget mener det kreves en egen vurdering for å kunne beslutte hvilken av disse enhetene som skal ivareta dette ansvaret.
Status på tiltak
Det er stor enighet blant høringsinstansene om at det er nødvendig å tydeliggjøre myndighetsansvaret innenfor romvirksomheten. Majoriteten av høringsuttalelsene støtter imidlertid ikke anbefalingen fra Lysneutvalget om å vurdere å opprette et nytt organ, eller peke ut ett enkelt organ, med særskilt ansvar for å følge opp romvirksomheten på nasjonalt, tverrsektorielt nivå.
Oppfølging av Lysneutvalgets tilrådning om å avklare myndighetsansvaret for norsk romvirksomhet er behandlet i det interdepartementale koordineringsutvalget for romvirksomhet (IKU), ledet av Nærings- og fiskeridepartementet. På bakgrunn av bred enighet i utvalget ble det i 2016 opprettet et underutvalg for sikkerhet under IKU (IKU-S). Formålet med IKU-S er å styrke informasjonsutveksling mellom departementer og etater, slik at tverrsektorielle sårbarheter og sikkerhetstrusler blir synliggjort. Videre har Norsk Romsenter fått i oppdrag av Nærings- og fiskeridepartementet å forestå en kartlegging av dagens plassering av myndighetsansvar samt mulige synergier mellom ulike aktører med slikt ansvar. Departementene i IKU-S har ansvar for å innhente og samordne bidrag fra egen sektor til kartleggingen.
For øvrig har Samferdselsdepartement gitt Norsk Romsenter i oppgave å utarbeide en nasjonal, tverretatlig og tverrsektoriell PNT-strategi (posisjonsbestemmelse, navigasjon og tidsbestemmelse). Strategien skal ta utgangspunkt i dagens situasjon og gi retning for utvikling og anvendelse av bakkebaserte og satellittbaserte navigasjonssystemer i de kommende 10–15 årene. Arbeidet skal ferdigstilles innen juni 2017.
12 Energiforsyning
12.1 Styrke tilsyn og veiledning i IKT-sikkerhet
Problembeskrivelse (NOU 2015: 13, punkt 13.7.1)
Norges vassdrags- og energidirektorat (NVE) har begrenset kapasitet til å følge opp med tilsyn innenfor IKT-sikkerhet og sårbarhet. Det foreslås å styrke NVE betraktelig på området tilsyn og veiledning.
Et generelt utviklingstrekk er at det legges opp til stadig tettere koblinger mellom driftskontrollsystemer og forretningssystemer. NVE bør kunne spille en viktig rolle i å formidle mønsterpraksis og for øvrig veilede berørte virksomheter i sikker implementering.
Det er i kraftbransjen, som i andre bransjer, en økt trend mot tjenesteutsetting. NVE bør i fellesskap med interesseorganisasjoner og bransjen utarbeide veiledere og krav til tjenesteutsetting i kraftbransjen. Sektoren anbefales å se på internasjonale standarder.
Status på tiltak
IKT-sikkerhet er et prioritert saksområde for NVE. NVE har bygd opp et saksbehandlingsteam som har kompetanse som er essensiell for det viktige arbeidet med tilsyn, veiledning og regelverksutvikling for IKT-sikkerheten i kraftsektoren. Det er viktig å opprettholde dette fagmiljøet og i et langsiktig perspektiv ytterligere styrke direktoratets kompetanse på IKT-sikkerhet. Totalt har NVE økt personellkapasiteten på IKT-sikkerhet med to årsverk. Se også redegjørelsen for etablering av en felles arena for de ulike sektorenes mest sentrale tilsynsmyndigheter i punkt 22.7.
NVE er engasjert i utviklingsarbeid som grunnlag for å drive veiledning på IKT-sikkerhet. På dette området samarbeider NVE med andre myndigheter, med bransjen og med leverandører.
Det er planlagt tilsyn med driftskontrollsystemer i 2017. Olje- og energidepartementet har i tildelingsbrevet for 2017 bedt NVE om å vurdere sektorens regelverk og tilhørende veiledning med tanke på å styrke IKT-sikkerheten. I 2016 startet NVE et IKT-regelverksprosjekt som har vurdert eksisterende krav til IKT- og driftskontrollsikkerhet. IKT-regelverksprosjektet avsluttes i 2017. Prosjektet har vurdert behov for grunnsikring for alle virksomheter, inkludert sikring ved tjenesteutsetting av IT og strengere sikringskrav til avanserte måle- og styringssystemer (AMS) og driftskontrollsystemer.
IKT-regelverksprosjektet har også vurdert eksisterende regelverk opp mot internasjonale standarder og andre lands regulering. Arbeidet viser at dagens beredskapsforskrift har stor grad av samsvar med ISO 27001/2-standarden for informasjonssikkerhetsledelse, og at Norge gjennom beredskapsforskriften har et godt regelverk for IKT-sikkerhet i energisektoren.
NVE vil følge opp resultatene fra IKT-regelverksprosjektet med forskriftsarbeid og utvikling av veiledere i 2017. NVE etablerte i 2016 et nært samarbeid med NSM, og videre samarbeid inkluderer blant annet utvikling av veiledere til forskrift.
12.2 Stimulere til større og mer ressurssterke fagmiljøer innen IKT-sikkerhet
Problembeskrivelse (NOU 2015: 13, punkt 13.7.2)
Flere enheter i Kraftforsyningens beredskapsorganisasjon (KBO) er små med få ansatte, og det er en kompetanseutfordring å etablere og opprettholde nødvendige fagmiljøer. NVE bør i samarbeid med interesseorganisasjonene stimulere til større og mer ressurssterke fagmiljøer på IKT-sikkerhet i KBO-enhetene.
Bransjeorganisasjonene har et veletablert system for kurs og opplæring. De bør kunne bidra med å organisere kurs innenfor IKT-sikkerhet, gjerne i samarbeid med andre organisasjoner, eller henvise til NVE, andre myndigheter eller undervisningsinstitusjoner der det er hensiktsmessig. Det bør også utvikles kurs og studieretninger innenfor prosesstyring, systemintegrasjon og IKT.
Kompetansen knyttet til IKT-sikkerhet er varierende blant virksomheter i bransjen. Det anbefales at NVE gjennom sin veiledningsrolle er pådriver for flere øvelser på IKT-sikkerhetsområdet både i sektoren og opp mot andre sektorer det er naturlig å samarbeide med.
Status på tiltak
NVE har dialog med flere fagmiljøer, samarbeidsallianser og interesseorganisasjoner i energisektoren. NVE har gjennom IKT-regelverksprosjektet i 2016/2017 gjennomført flere idédugnader med bransjen og hatt tett kontakt med både kraftprodusenter, nettselskap og IT-leverandører.
NVE har som langsiktig ambisjon at det er etablert et godt samarbeid mellom bransjen og akademia om IKT-sikkerhet og sikkerhet i driftskontrollsystemer, noe Olje- og energidepartementet stiller seg bak. Samarbeidet kan skje gjennom at bransjen bidrar med bransjekunnskap og praktisk innsikt i forskning, undervisning og kursutvikling, og gjennom forskningsprosjekter der bransjen, myndighetene og akademia samarbeider. Tettere samarbeid vil bidra til at det utvikles relevante kurs og etterutdanningstilbud, og at det skapes og formidles ny kunnskap om hvordan virksomhetene i energisektoren beskytter seg mot digitale trusler.
NVE har i 2017 en strategisk satsing på kompetanseheving innenfor IKT-sikkerhet i energisektoren gjennom veiledning, samarbeid med akademia om FoU og utdanning og samarbeid med bransjeforeninger om kurs. NVE har også satt av midler til dette i 2017, inkludert utvikling av en handlingsplan for å heve kompetansen i bransjen. NVE vil også som en del av denne satsingen støtte IKT-sikkerhetsmiljøet ved NTNU CCIS med en bistilling i ca. 20 % som kan bidra med praktisk innsikt og bransjekunnskap ved utformingen av utdanningsopplegg og kurs innenfor IKT-sikkerhet, i første omgang for det akademiske året 2016/2017. Ordningen vil deretter bli evaluert.
NVE tilbyr også fagdager og seminarer for bransjen og driver generelt opplysningsarbeid gjennom foredragsvirksomhet. NVE vil i årene fremover utarbeide og gjennomføre øvelser knyttet til IKT-sikkerhet, noe Olje- og energidepartementet er positive til.
12.3 Bygge et sterkt operativt fagmiljø for IKT-hendelseshåndtering
Problembeskrivelse (NOU 2015: 13, punkt 13.7.3)
Bransjen bør ha et kompetent felles miljø for hendelseshåndtering som både kan koordinere hendelser internt i sektoren og være kontaktpunkt ut mot andre sektorer. Utvalget støtter ideen om å videreutvikle KraftCERT som et sterkt fagmiljø innenfor operativ hendelseshåndtering. NVE må tydeliggjøre krav om tilknytning til et operativt fagmiljø for hendelseshåndtering, enten mot KraftCERT eller mot andre miljøer. Virksomhetene bør ha en tydelig begrunnelse for det alternativet de velger. Det er viktig med avklarte roller mellom responsmiljøene, slik at kraftbransjen opptrer enhetlig overfor andre sektorer.
Status på tiltak
Det har vært viktig for sektoren å øke deteksjons- og håndteringsevnen og sammen med andre sektorer bidra til gode situasjonsbilder for IKT-sikkerhetstilstanden. NVE har vært en pådriver for opprettelsen av KraftCERT. Stadig flere energiselskaper knytter seg til KraftCERT, som i dag har 71 medlemmer. I dag utgjør NVE og KraftCERT til sammen sektorens responsmiljø. KraftCERT er et privat selskap som er etablert av bransjen, og som inngår i KBO etter vedtak fra NVE. Den eksisterende modellen er basert på samarbeid og informasjonsdeling.
NVE vil også arbeide for at KraftCERT fremstår som et faglig sterkt responsmiljø for kraftsektoren med relevante tjenester for bransjen og med et godt samarbeid med NVE. Det er en ambisjon at alle relevante aktører innenfor kraftsektoren benytter KraftCERT, noe Olje- og energidepartementet stiller seg bak, jf. omtale i Energimeldingen (Meld. St. 25 (2015–2016)).
NVE vurderer forslaget om å kreve tilknytning til et responsmiljø. Som en del av dette vurderer NVE om krav bør stilles generelt eller basert på hvor kritiske virksomhetene og systemene er for forsyningssikkerheten.
12.4 Vurdere de sikkerhetsmessige forhold ved å behandle og lagre kraftsensitiv informasjon i utlandet
Problembeskrivelse (NOU 2015: 13, punkt 13.7.4)
Hva som er kraftsensitiv informasjon og skal beskyttes særskilt, går frem av beredskapsforskriften. Samtidig forandrer teknologiutviklingen, økt systemintegrasjon og organisasjonsendringer hos leverandører mulighetsrommet for tjenesteutvikling. Dagens regelverk gir utfordringer for tjenesteutvikling og effektiv drift av kraftforsyningen. Det anbefales at NVE gjør en vurdering av hvilken informasjon som, gitt de endrede teknologiske og organisatoriske rammene, er så kritisk at den ikke bør lagres og behandles utenfor Norges grenser. NVE anbefales å se på hele verdikjeden og identifisere hvilken informasjon i denne som må være under nasjonal kontroll.
Status på tiltak
NVE har gjennom IKT-regelverksprosjektet vært i dialog med andre myndigheter og bransjen for å vurdere verdikjeden til energiforsyningen og dens sårbarheter og identifisere hvilken informasjon i verdikjeden som må være under nasjonal kontroll og lagring. Dette innebærer også å se på om beredskapsforskriften er tilpasset dagens situasjon. I dag regulerer beredskapsforskriften hvilken type informasjon som er å anse som kraftsensitiv, og setter krav til håndtering, beskyttelse og tilgang til kraftsensitiv informasjon. Informasjonen er underlagt taushetsplikt. NVE vil utrede om det er behov for ytterligere restriksjoner på lagring og tilgang til kraftsensitiv informasjon.
Helhetsvurdering av verdikjeder er nærmere omtalt i punkt 22.1 og tjenesteutsetting i punkt 6.4 og 22.10.
12.5 Gjennomføre risiko- og sårbarhetsanalyse for utvidet bruk av AMS
Problembeskrivelse (NOU 2015: 13, punkt 13.7.5)
Innen 1. januar 2019 skal alle strømkunder i Norge ha tatt i bruk smarte målere. De nye målerne inngår i «avanserte måle- og styringssystemer» (AMS), og det innebærer at brukerne får bedre informasjon om strømforbruket sitt, mer nøyaktig avregning og mulighet for automatisk styring av forbruket. Vedtak om innføring av AMS skjedde uten forutgående risiko- og sårbarhetsanalyse. Overgangen til AMS innebærer et stort potensial for økt nettnytte, innovasjon og effektivisering i sektoren. Ukritisk implementering av funksjonalitet som for eksempel knytter AMS tettere sammen med driftskontrollsystemer, vil medføre en sårbarhetsoppbygging med betydelig skadepotensial. Det er viktig med en god og bredt anlagt risiko- og sårbarhetsanalyse i forkant av teknologiskifter, ved bruksendringer og ved system- og organisasjonsendringer. NVE anbefales å gjennomføre nødvendige risiko- og sårbarhetsanalyser for utvidet bruk av AMS inn mot driftskontrollsystemene.
Status på tiltak
Denne problemstillingen følges opp i NVEs IKT-regelverksprosjekt. NVE har gjennomført tre prøvetilsyn på AMS i 2016 og utarbeider en oppdatert veileder til sikkerhet i AMS. NVE har tydeliggjort overfor bransjen at det er viktig å gjennomføre risikoanalyser ved innføringen av AMS, og at nettselskapene er ansvarlige for å sørge for tilstrekkelig sikkerhet i AMS-løsningen. Anbefalingen om at NVE skal gjennomføre risiko- og sårbarhetsanalyse før det vurderes utvidet bruk av AMS, støttes av Olje- og energidepartementet.
NVE vil innhente én eller to årlige rapporter om AMS fra alle nettselskapene i 2017 og 2018 der nettselskapenes vurdering av ulike risikokategorier, blant annet IKT-sikkerhet, inngår. NVE vil følge opp at nettselskapene ivaretar informasjonssikkerheten både under installasjon av AMS og senere i den løpende driften.
12.6 Utarbeide en oppdatert analyse av kraftforsyningens avhengighet av ekom
Problembeskrivelse (NOU 2015: 13, punkt 13.7.6)
Selv om kraftbransjen så langt har klart å håndtere kritiske situasjoner uten kommersiell ekom, kan denne evnen utfordres i fremtiden når enda mer IKT blir lagt til og integrert i kraftinfrastrukturen. NVE og bransjen anbefales å foreta en ny gjennomgang for å etterprøve om dagens krav gir den «uavhengigheten» som regelverket krever.
Status på tiltak
NVE har gjort en gjennomgang av dagens krav. Tematikken tas også opp når NVE gjennomfører revisjoner hos bransjen. Kraftforsyningen har flere barrierer og sikringstiltak for å hindre at styringsevnen blir borte. Kraftforsyningen har også et eget samband, i tillegg til offentlig kommunikasjonsnett. Drift, gjenoppretting og leverandørstøtte blir imidlertid mer krevende uten tilgang til de ordinære ekomtjenestene. NVE har derfor gitt pålegg til alle KBO-enheter om å styrke egen robusthet ved å ha flere tjenestetilbydere og løsninger for kommunikasjon. NVE følger opp hvordan nettselskapene har løst dette.
Flere KBO-enheter vurderer sin løsning for driftssamband. I den forbindelse vurderes også muligheten for å benytte Nødnett som driftsradio. Alle selskaper, også de som velger Nødnett, må oppfylle forskriftskrav til blant annet nødstrøm i driftssamband. Selskaper som velger å benytte Nødnett, må derfor stille krav til robustheten i Nødnett.
NVE vil i 2017 gjennomføre et FoU-prosjekt på fremtidens sikre løsninger for driftsradio. Dette prosjektet vil gi svar på hvordan kravet til KBO-enhetene om uavhengighet av offentlige kommunikasjonsnett kan ivaretas også i fremtiden.
13 Olje og gass
13.1 Overføre sikkerhetstradisjonen innen HMS til det digitale området
Problembeskrivelse (NOU 2015: 13, punkt 14.7.1)
Olje- og gassektoren har en lang sikkerhetstradisjon, en sterk sikkerhetskultur og høy kompetanse når det gjelder HMS. Denne gode sikkerhetstradisjonen bør videreføres til det digitale området.4
Status på tiltak
Petroleumstilsynet (Ptil) har bidratt til overføring av HMS-tradisjonene til det digitale området ved å ansvarliggjøre aktørene i utvikling av gode normer og standarder, og til gjennomføring av egenvurderinger basert på interesse- og arbeidsgiverorganisasjonen Norsk olje og gass’ retningslinje NOROG-104.5 Et viktig arbeid i tiden som kommer, vil være å videreutvikle og tilpasse regelverket innenfor fagområdet. Norsk olje og gass publiserte en ny utgave av retningslinje NOROG-104 5. desember 2016.
DNV GL tok i november 2015 initiativ til å utarbeide standardiserte krav til IKT-sikkerhet for olje- og gassnæringen med utgangspunkt i ISA/IEC-standardene. I dette arbeidet deltar både operatørene, leverandørene, ingeniør- og konsulentselskaper og en representant for Ptil. Arbeidet forventes å være ferdig sommeren 2017 og vil resultere i en anbefalt praksis som vil inngå i DNV GLs portefølje.
13.2 Verdivurdere sektorens anlegg og IKT-systemer og etablere regelverk for digitale sårbarheter
Problembeskrivelse (NOU 2015: 13, punkt 14.7.2)
De sentrale forskriftene for den digitale sårbarheten i sektoren finnes i HMS-forskriftene for petroleumsaktiviteten og i arbeidsmiljøforskriftene. Forskriftene er ikke konkrete når det gjelder digitale trusler, men omfatter implisitt også digital sikkerhet. Utvalget mener det bør foreligge krav fra tilsynsmyndigheten (Ptil) om at det skal være etablert barrierer mot digitale sårbarheter.
I påvente av ny sikkerhetslov og eventuelle pålegg og direktiver fra EU anbefaler utvalget at det settes i gang et arbeid med verdivurdering og klassifisering av anlegg og IKT-systemer.
Status på tiltak
Ptil har utarbeidet og hatt på høring et forslag til presisering av HMS-forskriftenes anvendelse på sikringsområdet, herunder IKT-sikkerhet. Tilsynet avventer oppfølgingen av forslag til ny sikkerhetslov (NOU 2016: 19 Samhandling for sikkerhet) før det fastsetter regelverksendringer.
Ptil vil tydeliggjøre og videreutvikle regelverket for å ivareta de utfordringene som næringen står overfor ved endringer i trusselbildet og økt digitalisering. Dette innebærer blant annet å følge opp utviklingen av industristandarder som det kan refereres til i regelverket.
Forankring av IKT-sikkerhetstiltak i virksomhetens ledelse er et av temaene som Ptil tar opp i sine tilsyn. Ptil har i løpet av 2016 gjennomført fem tilsyn med operatører, både med sikring generelt og med IKT-sikring spesielt. IKT-sikringstilsyn er gjennomført som spesifikke tilsyn, som del av større sikringstilsyn eller sammen med andre fagområder. Slike systemtilsyn hos en operatør dekker alle innretninger og anlegg som operatøren er ansvarlig for. Det er dessuten gjennomført møter med entreprenører der IKT-sikring har vært et av temaene.
13.3 Tydeliggjøre rolle og kapasitet hos Petroleumstilsynet
Problembeskrivelse (NOU 2015: 13, punkt 14.7.3)
Petroleumstilsynet (Ptil) har verdikjedekompetanse og kompetanse på teknisk sikkerhet i sektoren, men begrenset kapasitet når det gjelder tilsyn med sektorens IKT-sikkerhet og sårbarhet. Lysneutvalget foreslår at Ptil styrkes betraktelig på dette området.
Status på tiltak
Ptil deltar i faglige fora, både nasjonalt og internasjonalt, for å sikre kompetanse og bygge nettverk. Ptil ser også at særlig kapasiteten, men også kompetansen, innenfor IKT-sikkerhet i tilsynet bør styrkes. Sommeren 2017 vil staben bli styrket ytterligere med kompetanse innenfor tekniske automasjonssystemer og IKT-sikring. Se for øvrig redegjørelsen for etablering av en felles arena for de ulike sektorenes mest sentrale tilsynsmyndigheter i punkt 22.7.
Ptil vil se på muligheten for å tydeliggjøre utfordringer og utarbeide et risikobilde innenfor IKT-sikkerhet i petroleumsnæringen. Arbeidet omfatter metodeutvikling, informasjonsinnhenting fra næringen og myndigheter, og analysearbeid. Tilsynet vil oppdatere risikobildet årlig for å følge med på effekter av næringens tiltak og identifisere behov for forbedringer.
13.4 Vurdere tilknytning til responsmiljø for IKT-hendelser
Problembeskrivelse (NOU 2015: 13, punkt 14.7.4)
Olje- og gassektoren mangler et felles responsmiljø ved IKT-hendelser. Noen få aktører er tilknyttet NSM, men særlig de mindre selskapene i bransjen faller utenfor et slikt samarbeid. Lysneutvalget anbefaler at virksomhetene i sektoren enten inngår et samarbeid med KraftCERT eller finner andre løsninger for operativt samarbeid.
Bransjen har en egen beredskapsorganisasjon som skal tre i kraft ved større hendelser, jf. sivilt beredskapssystem. Utvalget er ikke kjent med at denne har øvd på å håndtere store IKT-hendelser. Utvalget anbefaler derfor at sektoren gjennomfører øvelser i håndtering av uønskede IKT-hendelser.
Status på tiltak
I høringsuttalelsene til Lysneutvalget sier Norsk Olje og Gass seg enig i at dagens situasjon vedrørende samarbeid og varsling kan forbedres, men understreker at bransjens selskapsstruktur kan gjøre det krevende å finne en enhetlig nasjonal samarbeidsstruktur. KraftCERT ønsker i sin høringsuttalelse petroleumssektoren velkommen til et samarbeid.
Petroleumsnæringen har ikke en felles beredskapsorganisasjon, men varslingssystemet PISAS (Petroleum Industry Security Alert System). Systemet eies av Norsk Olje og Gass og ble brukt av Ptil under kartleggingskampanjen i 2014.6 Systemet øves månedlig.
Arbeidet innenfor beredskap og hendelseshåndtering skal videreutvikles, herunder operatørens varslingsplikt, inklusiv rapporteringskanal og CERT-løsning. Dette innebærer også å utvikle og gjennomføre nødvendige øvelsesaktiviteter med aktørene i næringen og ansvarlige myndigheter.
Ptil har i møter med næringen tatt opp behovet for et sektorvis responsmiljø i petroleumsnæringen, spesielt overfor operatører med driftsansvar på norsk sokkel som ikke har et internt globalt nettverk. KraftCERT er nå blitt tilgjengelig også for petroleumsvirksomhet.
Petroleumsnæringen ser så langt at deres behov er dekket gjennom det enkelte selskaps samarbeids- eller partneravtaler med NSM eller ved at det utenlandske moderselskapet har avtaler med nasjonalt CERT-miljø. Næringens behov er først og fremst å få etablert sikre kommunikasjonsflater for hurtig varsling av digitale hendelser og gjennomføring av anbefalte tiltak.
Arbeids- og sosialdepartementet mener at det er behov for bedre koordinering av digitale hendelser mellom petroleumsnæringen og myndighetene. For digitale hendelser i petroleumsvirksomheten har Ptil hatt funksjon som informasjonsformidler mellom NSM og petroleumsnæringen og fulgt opp selskapenes tiltak i møter og sikringstilsyn med pliktsubjektene.
Ptil deltok sammen med Arbeids- og sosialdepartementet på øvelse IKT16 (se punkt 7.2 og 8.7). Det ble utarbeidet et eget øvingsdirektiv for Arbeids- og sosialdepartementets sektor med fire sektormål som blant annet omfattet rolleavklaring, planverk, samvirke, aktørkart og kriterier for varsling av alvorlige digitale angrep.
14 Vannforsyning
14.1 Øke IKT-sikkerhetskompetansen i norske vannverk
Problembeskrivelse (NOU 2015: 13, punkt 15.6.1)
Med mange små enheter er det en utfordring å etablere og opprettholde nødvendige fagmiljøer innenfor IKT-sikkerhet. Utvalget mener at Mattilsynet i samarbeid med Norsk Vann bør stimulere til større og mer ressurssterke fagmiljøer i kommunene. Dette kan gjøres på flere måter, for eksempel ved økt interkommunalt samarbeid eller ved strukturendring.
Utvalget foreslår videre at det tas initiativ for å ta hånd om de nye utfordringene vi står overfor innenfor IKT-sikkerhet. Både myndighetssiden og Norsk Vann bør kunne bidra med å organisere kurs, gjerne i samarbeid med andre organisasjoner som NSM eller undervisningsinstitusjoner der det er hensiktsmessig. Det bør også utvikles kurs og studieretninger innenfor prosesstyring, systemintegrasjon og IKT, noe som kan bidra til at bransjen får den kompetansen som trengs for å drifte systemene i fremtiden.
Status på tiltak
Ny forskrift om vannforsyning og drikkevann (drikkevannsforskriften) som ble gjort gjeldende fra 1. januar 2017, stiller krav om forebyggende sikring ved at alle styringssystemer for vannforsyning skal være tilstrekkelig sikret mot uautorisert tilgang og bruk. Det stilles videre krav om at vannverkseieren skal sørge for at vannforsyningssystemet har, eller gjennom avtale har tilgang til, nødvendig kompetanse. Det er videre krav om at alle som deltar i aktivitet omfattet av forskriften, skal være kjent med betydningen av kravene til forebyggende sikring. Mattilsynet har utarbeidet en veileder til forskriften.7
Kravet om forebyggende sikring er nytt i forhold til tidligere drikkevannsforskrift, og kravet om kompetanse er tydeliggjort. Forskriften legger til rette for samarbeid for å styrke kompetansen for eksempel når det gjelder IKT-sikkerhet.
Norsk Vann retter som bransjeorgan mye oppmerksomhet mot IKT-sikkerhet og utgir rapporter og veiledningsmateriell og holder kurs.
Innføring av de nevnte forskriftskravene og Norsk Vanns egne tiltak er viktige skritt på veien for å øke sikkerhetskompetansen i norsk vannforsyning. Bransjen må nå få mulighet til å følge opp kravene. Mattilsynet gjennomførte tilsyn i hele landet med hovedvekt på IKT-sikkerhet i 2016. Helse- og omsorgsdepartementet vil etter en passende tid påse at Mattilsynet følger opp med et nytt nasjonalt tilsynsprosjekt, og evaluere om forskriftskravet har medført endret situasjon. Ytterligere tiltak skal vurderes etter dette.
14.2 Styrke tilsyn og veiledning i IKT-sikkerhet
Problembeskrivelse (NOU 2015: 13, punkt 15.6.2)
Det er behov for økt oppmerksomhet hos Mattilsynet når det gjelder IKT-sikkerhet. Dette inkluderer utarbeidelse av forskrifter som definerer krav til IKT-sikkerhet, og tilhørende veiledningsmateriell for vannverk. Vannverkene synes å ha behov for utfyllende informasjon utover de generelle kravene som er tillagt vannverkseieren i drikkevannsforskriften. Det bør vurderes et tettere samarbeid mellom de ulike tilsynsmyndighetene for at hvert enkelt tilsyn skal bli bedre i stand til å føre tilsyn med sin sektor knyttet til hendelser som går på tvers av sektorene (vann, strøm, ekom). Relevante myndigheter bør avklare og vedta et nødvendig ambisjonsnivå for IKT-sikkerhet for vannverkene.
Helse- og omsorgsdepartementet har innledet et arbeid med å revidere drikkevannsforskriften med tilhørende veileder. Revisjonen må også inkludere IKT-sikkerhet og IKT utover det generelle kravet om at vannverkseieren er ansvarlig for å levere sikkert drikkevann.
Status på tiltak
Krav om IKT-sikkerhet i ny drikkevannsforskrift gjeldende fra 1. januar 2017 gjør det enklere for Mattilsynet å følge opp gjennom tilsyn om nødvendig IKT-sikkerhet er på plass. Mattilsynet gjennomførte i 2016 et nasjonalt tilsynsprosjekt rettet mot vannverkenes beredskap med spesielt fokus på vannverkenes beredskap med IKT-systemene. I forkant av tilsynsprosjektet ble det gjennomført opplæring av inspektørene som omfattet tilsyn med IKT-sikkerhet. Dette medførte en styrket kompetanse internt i Mattilsynet.
Ny drikkevannsforskrift gir tydeligere krav om forebyggende sikring og kompetanse ved vannverkene. I Mattilsynets veileder til forskriften utdypes kravene. Mattilsynet plikter i samsvar med forvaltningslovens krav videre å kunne veilede om kravene som stilles i forskriften. Det vil sannsynligvis likevel være slik at Mattilsynet ikke vil inneha tilstrekkelig ekspertkompetanse innenfor IKT-sikkerhet.
Mattilsynet har tatt et første skritt for å øke egen kompetanse for å kunne gi veiledning og føre tilsyn med vannverkenes IKT-sikkerhet. På kort sikt er ytterligere kompetanseheving nødvendig for å styrke Mattilsynets interne kompetanse. Helse- og omsorgsdepartementet forventer at Mattilsynet vedlikeholder slik intern kompetanse, men det er ikke lagt opp til noen bestemt kompetansehevingsplan innenfor dette området. Mattilsynet skal dekke svært mange kompetanseområder, og det bør finne et hensiktsmessig nivå for å kunne utøve tilsyn på en tilstrekkelig måte. Det bør gjøres i tett samhandling med NSM. Se for øvrig redegjørelsen for etablering av en felles arena for de ulike sektorenes mest sentrale tilsynsmyndigheter i punkt 22.7.
14.3 Bedre systemer for hendelseshåndtering
Problembeskrivelse (NOU 2015: 13, punkt 15.6.3)
Det synes å være et behov for å etablere et felles responsmiljø for hendelseshåndtering. Et eget responsmiljø for vann er kanskje ikke realistisk, tatt i betraktning det store antallet små enheter i vannsektoren, og utvalget skisserer tre alternativer.
Utvalget anbefaler at Helse- og omsorgsdepartementet, i samråd med Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet, utreder muligheten for et responsmiljø for hendelseshåndtering som ivaretar vann og avløp.
Status på tiltak
Et felles responsmiljø for hendelseshåndtering som ivaretar vann og avløp, er ikke utredet, og Helse- og omsorgsdepartementet har ikke konkrete planer om å utrede dette. Nettverk for kompetansestøtte til vannverk ved uønskede hendelser ble etablert fra 1. januar 2017, og administreres av Folkehelseinstituttet. Ordningen innebærer at det opprettes en alarmtelefon, en vaktordning og et nettverk av eksperter innenfor toksikologi, mikrobiologi, epidemiologi og relevant vannfaglig kompetanse. I første omgang vil ikke ekspertise innenfor IKT-sikkerhet inngå. Det er opprettet en referansegruppe for ordningen der DSB er med. Sannsynligvis vil en utvidelse til å omfatte IKT-sikkerhet kunne vurderes innen utgangen av 2017.
14.4 Gjennomføre risiko- og sårbarhetsanalyser før en eventuell innføring av smarte vannmålere
Problembeskrivelse (NOU 2015: 13, punkt 15.6.4)
Innføring av smarte vannmålere, tilsvarende AMS som innføres i energisektoren, knytter vannmålere tettere sammen med driftskontrollsystemer. Dette øker sårbarhetsflaten og kan ha betydelig skadepotensial. Det bør gjennomføres nødvendige ROS-analyser for å forhindre ukritisk implementering av funksjonalitet ved etablering av smarte vannmålere inn mot driftskontrollsystemer.
Status på tiltak
Det foreligger per i dag ikke noe krav om å innføre slike målere. Dersom vannbransjen selv ønsker å ta i bruk smarte vannmålere, har vannverkene/bransjen selv et ansvar for å utrede og forsikre seg om at det ikke svekker IKT-sikkerheten. Det følger av kravet i ny forskrift som trådte i kraft 1. januar 2017. Forslaget om å gjennomføre ROS-analyser er så langt ikke utredet, og Helse- og omsorgsdepartementet har foreløpig ingen planer om å utrede dette.
15 Finansielle tjenester
15.1 Styrke innsatsen på vurdering av fremtidige betalingstjenester
Problembeskrivelse (NOU 2015: 13, punkt 16.7.1)
Utviklingen av nye betalingstjenester går raskt. Ny teknologi og nye løsninger gir både enkeltpersoner og næringslivet mange fordeler. Nye betalingstjenester kan imidlertid medføre sårbarheter når brukervennlighet og «time to market» har prioritet. Slike tjenester kan medføre nye digitale sårbarheter, og utfordringene kan ligge utenfor nasjonal kontroll, slik at Norge ikke i like stor grad har mulighet til å påvirke. Finansforetak vil kunne bli involvert i å tilrettelegge løsninger som ikke er tilstrekkelig sikre.
Det er viktig at finansnæringen retter mer oppmerksomhet mot disse problemstillingene, blant annet for å sikre at regelverket også fremover er relevant og tilpasset disse utfordringene. Finansdepartementet bør innta en tydeligere rolle for å følge med på nye aktører som tilbyr bank- og betalingstjenester.
Status på tiltak
Ny teknologi utfordrer innarbeidede forretningsmodeller i finansnæringen. Bruk av ny teknologi og nye forretningsmodeller har mange ønskede virkninger, og lovverket bør ikke være til unødig hinder for utviklingen. Lovverket bør bidra til at utviklingen skjer innenfor hensiktsmessige juridiske rammer, slik at sikkerhets- og beredskapshensyn blir ivaretatt. Utfordringen er å utforme et regelverk som på en god måte balanserer forsiktighetshensyn mot de potensielle gevinstene ved nyskaping og endring. Forholdet mellom innovasjon og regulering i finansmarkedene er nærmere omtalt i avsnitt 3.3.2 i Meld. St. 34 (2016–2017) Finansmarkedsmeldingen 2016–2017, der Finansdepartementet blant annet viser til at myndighetene kan bidra til et mer diversifisert og robust tilbud av finansielle tjenester, som igjen reduserer systemisk risiko i finansmarkedene, ved å legge til rette for nye aktører og forretningsmodeller. Finansdepartementet uttalte i meldingen at det bør etableres et lavterskelkontaktpunkt mellom myndighetene og såkalte fintech-virksomheter i Norge. Finanstilsynet gir betydelig veiledning til fintech-virksomheter om regelverksspørsmål i dag, men det kan være behov for å etablere en klarere struktur for veiledning av innovative virksomheter. Finansdepartementet sendte derfor 5. april 2017 brev til Finanstilsynet med spørsmål om hvordan et kontaktpunkt mot fintech-virksomhet kan etableres på en hensiktsmessig måte.
Fremveksten av nye betalingstjenester er en av årsakene til at EUs reviderte betalingstjenestedirektiv, «Payments Services Directive 2» (PSD 2), er vedtatt. Direktivet har blant annet som formål å fremme sikrere tekniske betalingsløsninger og modernisere regelverket i tråd med utviklingen i markedet. Direktivet åpner for nye betalingstjenester og regulerer også samhandling mellom de ulike tjenesteyterne. Det er lagt opp til utfyllende regler som skal ivareta sikkerheten under de nye løsningene. Direktivet er EØS-relevant, og det er ventet at det vil tas inn i EØS-avtalen. Foreløpig er det ikke fastsatt en gjennomføringsfrist for EFTA-landene. Finanstilsynet har utarbeidet et høringsnotat med utkast til lov- og/eller forskriftsbestemmelser som gjennomfører forventede EØS-regler i samsvar med direktivet. Finansdepartementet tar sikte på å sende saken på høring i løpet av 2017.
Finansdepartementet, Finanstilsynet og Norges Bank følger utviklingen på sine respektive ansvarsområder innenfor bank og betalingstjenester. Analyser av risikoutviklingen gjøres jevnlig. Finanstilsynet utarbeider blant annet årlig en risiko- og sårbarhetsanalyse (ROS-analyse) av finanssektorens bruk av IKT. I den seneste rapporten, fremlagt 26. april 2017, vurderer Finanstilsynet betalingssystemene generelt som solide og stabile, og viser til at det i 2016 var færre og mindre alvorlige IKT-hendelser enn i tidligere år. Til tross for en økning i tap knyttet til svindel og angrep mot betalingstjenestene ligger tapene fortsatt på et relativt lavt nivå. Mye av årsaken til lave tap er forebyggende tiltak. Norges Bank legger hvert år frem en rapport om finansiell infrastruktur som en del av sitt arbeid for å fremme finansiell stabilitet og et effektivt betalingssystem i Norge.
15.2 Videreføre tverrfaglig samarbeid for god beredskapsevne og håndtering av alvorlige tilsiktede IKT-hendelser
Problembeskrivelse (NOU 2015: 13, punkt 16.7.2)
Det er et godt samarbeid mellom FinansCERT og Beredskapsutvalget for finansiell infrastruktur (BFI). Et forbedringsområde er imidlertid å være mer forberedt på de sjeldne, alvorlige hendelsene, for eksempel hvordan man planlegger beredskapen hvis den elektroniske infrastrukturen blir utilgjengelig over lengre tid.
Utvalget stiller spørsmål ved hvor godt forberedt sektoren vil være til å håndtere de store krisene, og mener BFI, i samarbeid med FinansCERT, må ta initiativ til mer samordnede og komplekse øvelser med tilstrekkelig tyngde og realisme. Videre bør det øves på krisekommunikasjon til kundene.
Status på tiltak
Digitale hendelser følges opp på vanlig måte av tilsynsmyndighetene (Finanstilsynet og Norges Bank) overfor de aktørene det gjelder. Finanstilsynet har tilsyn med finansforetakene og kunderettede betalingstjenester, mens Norges Bank har tilsyn med interbanksystemer. Dette omfatter tilsyn med beredskapsløsningene. IKT-forskriften stiller krav om rapportering av alvorlige og kritiske hendelser til Finanstilsynet. FinansCERT er etablert av finansnæringen og har blitt en sentral aktør i næringens håndtering av sikkerhetshendelser. FinansCERT samarbeider med myndighetene og har fått fast observatørplass i BFI. Næringen har et høyt ambisjonsnivå for både egen og FinansCERTs innsats på dette området. Nordiske finansforetak har nylig blitt enige om å etablere Nordic Financial CERT bygget på dagens norske virksomhet i FinansCERT.
Øvelser er nødvendig for å bli bedre til både å forebygge og å håndtere de alvorlige og sjeldne hendelsene. BFI gjennomfører regelmessig øvelser og legger stor vekt på at øvelsene skal være relevante og realistiske og ta for seg alvorlige scenarioer. Øvelsene kommer i tillegg til øvelser hos de enkelte foretakene og hos myndighetene. Finanstilsynet er sekretariat for BFI og har innsikt i øvelsesaktivitet hos foretak og myndigheter. Tilsynet har derfor gode forutsetninger for å legge opp til øvelser som bidrar til å utfylle annen øvelsesaktivitet. Finanstilsynet følger opp foretakenes øvingsaktivitet og legger vekt på at slike øvelser skal bidra til å styrke den mest operasjonelle delen av hendelseshåndteringen i finanssektoren.
15.3 Analysere sårbarhetskonsekvensene som følge av utkontraktering ut av landet
Problembeskrivelse (NOU 2015: 13, punkt 16.7.3)
Det kan være en utfordring at mange foretak innenfor finanssektoren flytter deler av sin IKT-virksomhet ut av landet. Slik utkontraktering kan være innenfor akseptabel risiko for den enkelte virksomheten, men den samlede samfunnsmessige risikoen kan bli for stor. Det er viktig at virksomhetene har et bevisst forhold til hvilken kompetanse som ikke bør utkontrakteres. Spesielt vil det kunne gjelde beredskapskompetanse, som bør være virksomhetsnær.
Etter utvalgets vurdering må Finansdepartementet gi Finanstilsynet i oppdrag å vurdere hva de langsiktige konsekvensene av offensiv bruk av utkontraktering kan bli. Det bør vurderes om utkontraktering av virksomhet som kan være viktig for samfunnet, bør ha krav om at det til enhver tid skal være en virksom «cold backup» lokalt i Norge.
I finanssektoren i Norge er det regler for utkontraktering både i IKT-forskriften og i forskrift om risikostyring og internkontroll, men det bør vurderes om disse bør videreutvikles og detaljeres basert på den foreslåtte kompetansevurderingen. Utvalget mener det er viktig å vise ansvarlighet når det gjelder denne problemstillingen, ettersom utstrakt bruk av utkontraktering på sikt kan bidra til å svekke den nasjonale evnen til utvikling og oppfølging på sentrale kompetanseområder.
Status på tiltak
Finansdepartementet og Finanstilsynet er oppmerksom på at utkontraktering kan endre kvaliteten og stabiliteten i IKT-systemene, og samtidig svekke innsyn i og kontroll med sårbarhetene i de systemene finansforetakene baserer sin virksomhet på. Det ble derfor vedtatt og satt i kraft nye lovregler om dette i 2014. Reglene gjelder hva slags oppgaver finansforetakene kan utkontraktere, og gir Finanstilsynet hjemmel til å kontrollere utkontrakteringen og iverksette tiltak overfor uforsvarlig utkontraktering. Finanstilsynet mottok i april 2016 en rapport om utkontraktering fra en arbeidsgruppe bestående av representanter fra Norges Bank, Finansdepartementet og Finanstilsynet. Rapporten inneholder vurderinger som kan gi veiledning i praktisering av regelverket. Finanstilsynet tar sikte på å følge opp rapporten i et rundskriv der tilsynet også vil ta hensyn til kommende retningslinjer om utkontraktering og skytjenester fra den europeiske banktilsynsmyndigheten EBA. Problemstillinger knyttet til tjenesteutsetting er også omtalt i punkt 6.4 og 22.10.
15.4 Videreføre og styrke engasjementet for å påvirke internasjonal regulering av IKT-sikkerhetsmekanismer
Problembeskrivelse (NOU 2015: 13, punkt 16.7.4)
I stadig større grad har vi felles regelverk med EU og andre internasjonale aktører. Det er en bekymring at vi kan få lavere sikkerhetskrav i Norge som følge av felles regelverk i EU. Det er viktig at Finansdepartementet tar en gjennomgang av hvilke arenaer Norge har tilgang til, og benytter de mulighetene som finnes for å påvirke utviklingen tidligst mulig. Utvalget er enig med Finanstilsynet i at tilsynsaktivitetene må være à jour med beste praksis, og oppfordrer Finanstilsynet til å videreføre det omfattende samarbeidet som allerede pågår internasjonalt med andre lands og EUs tilsynsorganer.
Status på tiltak
Det er viktig med internasjonalt samarbeid på dette området, og Finansdepartementet vil fortsette å videreutvikle norsk regelverk innenfor EØS-forpliktelsene og andre rammer. EUs regler om IKT-sikkerhet innebærer omfattende krav til blant annet risikostyring, sikkerhetsmessige tiltak og rapportering av uønskede hendelser, og de er i stadig utvikling, jf. for eksempel omtalen av PSD 2 i punkt 15.1 over. Finanstilsynet og Norges Bank deltar i en rekke internasjonale samarbeid og vil bygge videre på dette i ulike fora.
15.5 Styrke beredskapstiltak for utviklingen mot det kontantløse samfunnet
Problembeskrivelse (NOU 2015: 13, punkt 16.7.5)
Ny teknologi og brukervennlige betalingsløsninger bidrar til at stadig færre i Norge bruker kontanter. Full overgang til digitale løsninger (elektroniske penger) kan imidlertid ut fra et beredskapsmessig perspektiv gi økt sårbarhet. Det er mange som vil være avhengige av kontanter i en alvorlig beredskapssituasjon.
Utvalget mener dette er et eksempel på en stor sårbarhet med digitalt utspring som Norge må ha beredskap for. At det eksisterer kontanter, gir i seg selv flere muligheter i en krisesituasjon. Finansdepartementet bør ta initiativ til å se på hvordan dette best kan løses, blant annet gjennom å se til andre lands håndtering av lignende utfordringer.
Status på tiltak
Finanstilsynet og Norges Bank har arbeidet med spørsmål knyttet til beredskap i betalingssystemet over lengre tid og har avgitt forslag til Finansdepartementet om nye regler om bankenes beredskapsansvar for distribusjon av kontanter. Finansdepartementet har sendt forslaget på høring med frist 2. mai 2017. Finanstilsynet og Norges Bank har i tillegg avgitt en orientering til Finansdepartementet om hvordan de – i tråd med sine oppgaver som tilsynsmyndigheter på betalingsområdet – følger opp beredskapen for det elektroniske betalingssystemet.
16 Helse og omsorg
16.1 Sterkere styring av IKT-sikkerhet fra Helse- og omsorgsdepartementet
Problembeskrivelse (NOU 2015: 13, punkt 17.7.1)
Flere aktører etterlyser en sterkere styring av IKT-sikkerhet fra Helse- og omsorgsdepartementet. Utvalget stiller spørsmål ved hvorfor styringsmuligheten som departementet har til å samkjøre mellom de regionale helseforetakene, ikke benyttes i større utstrekning. Utvalget mener det er behov for sterkere nasjonal styring for å identifisere og oppfylle felles behov og for å unngå divergerende løsninger i regionene.
Utvalget har gjennom sitt arbeid registrert at det er publisert en stor mengde utredninger de siste årene som omhandler IKT i helsesektoren. Flere av disse ser ut til å beskrive dagens utfordringer på en god måte, og det synes å være stor bevissthet i sektoren om hvilke forbedringstiltak som er nødvendige. Utvalget stiller spørsmål ved hvorfor ikke flere av tiltakene er fulgt opp, og om mengden utredninger i seg selv er til hinder for en effektiv iverksetting av tiltakene. Utvalget mener at det er viktig med en tydeligere prioritering av forebyggende tiltak for å redusere de identifiserte sårbarhetene, og at det må sikres gjennomføringskraft for disse. Som en del av dette foreslår utvalget at det nye Direktoratet for e-helse utarbeider en årlig statusrapport om tilstanden for IKT-sikkerhet i helsesektoren.
Utvalget mener det bør vurderes forenklinger i Norm for informasjonssikkerhet i helse- og omsorgstjenesten (Normen) for de minste helseforetakene i den grad det er mulig uten at det bidrar til å øke sårbarheten.
Status på tiltak
Det er satt i gang flere tiltak for å sikre bedre samordning og styring av IKT-utviklingen i helse- og omsorgssektoren, noe som også styrker IKT-sikkerheten.
Direktoratet for e-helse er etablert fra 1. januar 2016 for å bidra til bedre styring og koordinering på e-helseområdet. IKT-tiltak må sees i sammenheng for å sikre best mulig utnyttelse av både leverandørenes og egne utviklingsressurser. Direktoratet skal i samarbeid med andre relevante aktører bidra til kompetansespredning om informasjonssikkerhet og personvern. Direktoratet for e-helse har myndighets- og premissgiverrollen i det nasjonale arbeidet med IKT-infrastruktur.
Forskrift om IKT-standarder i helse- og omsorgssektoren trådte i kraft 1. september 2015. Forskriften pålegger aktørene i sektoren å bruke elektroniske journalsystemer, å oppdatere adresseregisteret i helsenettet og å bruke standardiserte meldingsformater for utveksling av pasientinformasjon mellom aktørene. Forskriften skal bidra til at elektronisk kommunikasjon skjer effektivt og standardisert. Dette er en begynnelse, og forskriften skal forbedres i takt med utvikling og behov i sektoren.
Justis- og beredskapsdepartementet stiller krav om årlig rapportering om sikkerhetstilstanden i sektorene. Denne rapporteringen er begrenset til sikkerhetsloven. Helse- og omsorgsdepartementet ønsker å vurdere hvilken tilleggsrapportering som er nødvendig og eventuelt skal iverksettes i helse- og omsorgssektoren, og hvem som er best egnet til å ivareta denne oppgaven.
Norsk Helsenett SF har i dag en operativ rolle i arbeidet med informasjonssikkerhet i helse- og omsorgssektoren og drifter blant annet HelseCERT, som overvåker trafikken på helsenettet, utarbeider sårbarhetsoversikter, gjennomfører inntrengingstesting, bistår med hendelseshåndtering med mer.
Norm for informasjonssikkerhet (Normen) er en bransjenorm, og selv om sekretariatet for tiden ligger i Direktoratet for e-helse, så er det bransjen selv som bestemmer innholdet i normen. Normen baserer seg på gjeldende lover og regelverk, men kan, når det er hensiktsmessig, være strengere enn det lover og regelverk tilsier.
Helse- og omsorgsdepartementet har stilt krav i tildelingsbrev og oppdragsbrev til underliggende virksomheter om å arbeide målrettet med informasjonssikkerhet, jf. sikkerhetsloven, Nasjonal strategi for informasjonssikkerhet (2012) med tilhørende handlingsplan og Handlingsplan for informasjonssikkerhet i statsforvaltningen – 2015–2017 (2015).
16.2 Mer forskning på IKT-sikkerhet innenfor ny helse- og velferdsteknologi
Problembeskrivelse (NOU 2015: 13, punkt 17.7.2)
Etter utvalgets vurdering bør helse- og velferdsteknologi som i stor grad endrer samfunnet, utredes og følges opp av en offentlig debatt før implementering. Utvalget mener det er behov for en mer spisset forskningsinnsats for å se på sikkerhetsaspektene ved teknologien, samtidig som man ivaretar de mulighetene og utfordringene som ny helse- og velferdsteknologi vil gi. Forsøk som pågår med ny helse- og velferdsteknologi, bør videre samordnes nasjonalt for å sikre kompetanseoverføring. Det nye Direktoratet for e-helse bør sikre at disse initiativene samordnes.
Status på tiltak
Det er bevilget 2 mill. kroner i basistilskudd til NTNU CCIS på Gjøvik. Bevilgningen skal støtte opp under arbeidet med informasjonssikkerhet og personvern i helse- og omsorgssektoren. Ytterligere initiativ til spisset forskningsinnsats utover basistilskudd til NTNU CCIS vil bli vurdert senere.
16.3 Etablere løsninger for å imøtekomme utviklingen innenfor helse- og velferdsteknologien
Problembeskrivelse (NOU 2015: 13, punkt 17.7.3)
Ved innføring av helse- og velferdsteknologi bør hovedregelen være at tjenesteeieren av slike løsninger tar et overordnet ansvar for sikkerheten i hele verdikjeden og ikke utelukkende baserer seg på at sikkerheten er ivaretatt av underliggende tjenester som for eksempel ekomtilbydere.
Utvalget støtter Norsk Helsenetts forslag om at helsenettet, i samarbeid med sektoren, bør vurdere om det er sentrale felleskomponenter (innenfor kommunikasjon mot internett) som sektoren behøver for å fremme en trygg innføring av velferdsteknologiske løsninger.
Status på tiltak
Direktoratet for e-helse har igangsatt en utredning av en nasjonal plattform for lagring av data fra velferdsteknologiske løsninger gjennom Nasjonalt velferdsteknologiprogram. Samlet er det bevilget om lag 40 mill. kroner til trygghets- og mestringsoppdraget, som er en del av Nasjonalt velferdsteknologiprogram. Sentralt i oppdraget står utvikling av en referansearkitektur og etablering av infrastruktur på velferdsteknologiområdet. Formålet er å danne rammen for utvikling av velferdsteknologiske tjenester og sikre at data fra slik teknologi kan deles sikkert mellom forskjellige aktører i helse- og omsorgssektoren. Direktoratet for e-helse leder arbeidet i samarbeid med Helsedirektoratet og KS. En slik plattform knytter utstyr og teknologi ute hos brukerne sammen med helse- og omsorgstjenestenes fagsystemer og muliggjør innovasjon og nyutvikling.
16.4 Gjennomføre flere IKT-øvelser der kritiske systemer er ute av funksjon
Problembeskrivelse (NOU 2015: 13, punkt 17.7.4)
Det er behov for beredskap ved bortfall av kritiske IKT-tjenester som skyldes tilsiktede eller utilsiktede hendelser. Mindre grad av manuelle rutiner å falle tilbake på kan i fremtiden gi nye og økte sårbarheter. Utvalget mener det bør gjennomføres flere IKT-øvelser der kritiske systemer er ute av funksjon.
Status på tiltak
Sektoren øver jevnlig på digitale hendelser og IKT-organisasjonene i de regionale helseforetakene er med i beredskapsøvelsene som avholdes. De enkelte sykehusene har planer og rutiner for å håndtere situasjoner hvor kritiske systemer, for eksempel pasientjournalen, er ute av funksjon. Helse- og omsorgsdepartementet deltok i den nasjonale øvelsen IKT16, og en evalueringsrapport er under utarbeidelse.
17 Transport
17.1 Styrke IKT-tilsyn og samarbeid mellom transportgrenene
Problembeskrivelse (NOU 2015: 13, punkt 18.5.1)
Transportbransjen kjennetegnes av økende privatisering og internasjonalisering, noe som medfører en rekke utfordringer, særlig for myndighetenes krisehåndtering. Det anbefales at sektoren går igjennom beredskapsplanene og sjekker disse opp mot digitale sårbarheter og reserveløsninger. Beredskapsplanverket må også ha planer for å håndtere digitale kriser.
Det anbefales at Samferdselsdepartementet styrker tilsynsmyndighetene for transportsektoren innenfor IKT-sikkerhet. Tilsynsmyndighetene må ha kapasitet og kompetanse til å føre tilsyn med og veilede virksomheter på norsk territorium og bidra i internasjonale fora.
Status på tiltak
Lysneutvalgets anbefaling om å styrke IKT-tilsynene i transportsektoren følges i utgangspunktet opp gjennom styringsdialogen mellom Samferdselsdepartementet med underliggende tilsynsmyndigheter og andre virksomheter. Det er imidlertid betydelige forskjeller mellom de fire transportgrenene med hensyn til organisering og fordeling av ansvar og oppgaver mellom ulike typer forvaltningsorganer, herunder hvorvidt det finnes et rendyrket tilsynsorgan i den enkelte sektor, og om IKT-sikkerhet inngår som en naturlig del av tilsynenes oppgaveportefølje. Innen enkelte av transportformene er det dermed krevende uten videre å følge opp anbefalingen om å «styrke IKT-tilsynene» i transportsektoren.
Som grunnlag for videre oppfølging vil Samferdselsdepartementet gjennomføre en nærmere kartlegging innenfor hver enkelt transportform når det gjelder ulike aktørers ansvar og oppgaver, mandater, eksisterende krav og retningslinjer for IKT-sikkerhet med mer. Tilsynsoppgaver knyttet til IKT-sikkerhet vil være en naturlig del av en slik kartlegging, herunder grensesnittet mot tilsyn i andre sektorer. Samferdselsdepartementet vil gjennomføre en slik kartlegging i 2017. Se for øvrig redegjørelsen for etablering av en felles arena for de ulike sektorenes mest sentrale tilsynsmyndigheter i punkt 22.7.
For å styrke samarbeidet om IKT-sikkerhet i transportsektoren har Avinor AS, Kystverket, Statens vegvesen, Bane NOR SF (tidligere Jernbaneverket) og NSB AS etablert Samarbeidsforum IT-sikkerhet. Gjennom forumet møtes virksomhetene for å utveksle informasjon og erfaringer om IKT-sikkerhet generelt og sikkerhetstruende digitale hendelser spesielt.
17.2 Etablere en felles rapporteringskanal for IKT-hendelser innenfor transportsektoren
Problembeskrivelse (NOU 2015: 13, punkt 18.5.2)
Utvalget mener at det er behov for en felles rapporteringskanal både fra myndighetene til sektoren og fra sektoren til myndighetene når det gjelder IKT-hendelser. Alle relevante aktører i sektoren må kunne varsles. Utvalget mener at Samferdselsdepartementet bør utrede hvordan rapportering av IKT-hendelser bør ivaretas for sektoren.
Status på tiltak
Samferdselsdepartementet har i samråd med relevante underliggende etater vurdert spørsmålet om hvordan rapportering av digitale hendelser bør ivaretas for transportsektoren. Etablering av et felles responsmiljø for hele transportsektoren har blitt vurdert som ett av flere alternativer. På grunn av til dels store ulikheter mellom transportgrenene er det vurdert slik at det i denne sammenhengen ikke er hensiktsmessig å anse transport som én sektor, men snarere fire sektorer eller transportformer: vei, bane, luft og sjø. Følgelig har det ikke blitt ansett som hensiktsmessig med en felles «Transport-CERT», men i stedet har Avinor, Statens vegvesen, Kystverket, Bane NOR og NSB egne responsmiljøer som samarbeider direkte med NSM.
Organiseringen som er beskrevet ovenfor, har blitt videreutviklet og konsolidert i forbindelse med planlegging og gjennomføring av øvelse IKT16 i november 2016. Som del av NSMs arbeid med å etablere et nasjonalt rammeverk for digital hendelseshåndtering har Samferdselsdepartementet og etatene sammen med NSM definert et aktørkart for samferdselssektoren som blant annet beskriver felles varslings- og rapporteringskanaler. Samferdselsdepartementets foreløpige inntrykk etter øvelse IKT16 er at den valgte organiseringen og rapporteringskanalene fungerer hensiktsmessig. Samferdselsdepartementet vil benytte den endelige evalueringen etter øvelsen som grunnlag for eventuelle grep for å videreutvikle transportsektorens håndteringsevne ved digitale hendelser.
17.3 Særskilte tiltak for sjøtransport
Problembeskrivelse (NOU 2015: 13, punkt 18.5.3)
Den maritime sektoren er svært avhengig av digitale systemer for å ivareta sjøsikkerhet og effektivitet. Utvalget observerer at ulike myndigheter har ansvar i en kompleks verdikjede i sjøfarten, samtidig som det mangler en myndighet med et helhetsblikk på digitale sårbarheter i hele verdikjeden. Det anbefales at Kystverket gis et overordnet ansvar for å ha helhetsoversikt over IKT-sikkerheten i maritime verdikjeder og gi råd til departementet om prioriteringer som gjelder digitale sårbarheter.
Det er en uløst problemstilling internasjonalt knyttet til sikret digital utveksling av passasjer- og mannskapsinformasjon og last- og kundedata. Utvalget anbefaler at Samferdselsdepartementet, i samarbeid med andre relevante myndigheter, tar initiativ for å finne en løsning på dette internasjonalt.
Status på tiltak
Både Sjøfartsdirektoratet og Kystverket har sentrale ansvarsoppgaver for å ivareta effektiv og sikker sjøtransport. Sjøfartsdirektoratet er forvaltnings- og tilsynsmyndighet for arbeidet med sikkerhet for liv, helse, miljø og materielle verdier på fartøy med norsk flagg og utenlandske fartøy i norske farvann. I dette mandatet ligger sikring av utstyr og materiell om bord, herunder IKT-sikkerhet. Kystverket er nasjonal etat for kystforvaltning, sjøsikkerhet og beredskap mot akutt forurensning og arbeider aktivt for en effektiv og sikker sjøtransport gjennom å ivareta transportnæringens behov for fremkommelighet og effektive havner.
Som vist i Lysneutvalget (punkt 18.4.1) er ansvaret for å gjennomføre det internasjonale regelverket innenfor maritim sikring delt mellom Samferdselsdepartementet og Nærings- og fiskeridepartementet, ved at Kystverket har ansvar for havner og havneanlegg, mens Sjøfartsdirektoratet har ansvar for skip og personell. Koordinerende myndighet her er Sjøfartsdirektoratet.
Fremtidens skipsfart vil bli kraftig påvirket av de store endringene som skjer innenfor digitalisering og automatisering. Maritime myndigheter må bidra til utvikling, godkjenning og implementering av nye løsninger, og IKT-sikkerhet vil være et viktig hensyn. Som et eksempel nevnes samarbeidet mellom Sjøfartsdirektoratet, Kystverket og andre aktører om et pilotprosjekt for førerløse/autonome fartøy i Trondheimsfjorden.
Etablere helhetsoversikt over IKT-sikkerheten i maritime verdikjeder
Samferdselsdepartementet vil vurdere mulige tiltak for å redusere den digitale sårbarheten innenfor sjøtransport. Dette innebærer blant annet at tiltakenes potensielle risikoreduserende effekt sammenholdes med kostnadene ved gjennomføring.
Lysneutvalgets anbefaling om å gi Kystverket et overordnet ansvar for å ha helhetsoversikt over IKT-sikkerheten i den maritime verdikjeden vil kunne komme i konflikt med dagens ansvarsfordeling mellom Kystverket og Sjøfartsdirektoratet.
Det som omhandler land, farleder eller logistikk som er basert på landinfrastruktur, ligger under Kystverket, mens det som omhandler skip, miljø, sjøfolk og passasjerer ligger under Sjøfartsdirektoratet. En nasjonal ansvarsfordeling for IKT-sikkerheten i den maritime verdikjeden bør følge samme lest.
Samferdselsdepartementet vil i samarbeid med Nærings- og fiskeridepartementet gjennomføre en nærmere kartlegging av Kystverkets og Sjøfartsdirektoratets ansvar og oppgaver, mandater, eksisterende krav og retningslinjer for IKT-sikkerheten, jf. status på tiltaket «styrke IKT-tilsyn og samarbeid mellom transportformene» (se punkt 17.1). Når denne kartleggingen er gjort, vil vi ha et bedre grunnlag for å vurdere hvorvidt det overordnede ansvaret for å ha helhetsoversikt over IKT-sikkerheten i maritime verdikjeder bør tillegges Kystverket, Sjøfartsdirektoratet eller en annen myndighet.
Tilrettelegge for å sikre identitet
Gjennom våre internasjonale forpliktelser stilles det krav til rapportering fra skip til land. Oversendelse av skipets pliktige ankomst- og avgangsopplysninger til norske myndigheter og havner skjer i all hovedsak gjennom SafeSeaNet. Informasjonen som registreres i meldingssystemet, gjøres tilgjengelig for ulike nasjonale myndigheter. Dette er blant annet tollmyndigheter, politi, Forsvaret, Sjøfartsdirektoratet og Kystverket.
Fremover vil stadig flere av systemene om bord på skipene ha en forbindelse til landsiden, og IKT-sikkerhet vil bli aktualisert i utviklingen av dette. I ytterste konsekvens kan man fremover oppleve at skip kan overstyres fra land, og dersom noen klarer å komme seg inn på disse systemene, vil det kunne få alvorlige konsekvenser. Internasjonalt er det av Den internasjonale sjøfartsorganisasjonen (IMO) utarbeidet en overordnet retningslinje omkring emnet «cybersecurity management».
Effektiv sikring av digital utveksling av informasjon mellom skip og land forutsetter at det vedtas en internasjonal standard. Samferdselsdepartementet vil be Kystverket vurdere nærmere hvordan sikring av identitet kan løses. Dette bør vurderes i samråd med Sjøfartsdirektoratet og andre berørte myndigheter.
18 Kompetanse
18.1 Etablere en overordnet nasjonal kompetansestrategi innen IKT-sikkerhet
Problembeskrivelse (NOU 2015: 13, punkt 19.8)
IKT-sikkerhetskompetanse er mangelvare i Norge, og det er nødvendig å iverksette både langsiktige og kortsiktige tiltak. I dag utdannes det for få innenfor IKT-fagene, spesielt innenfor IKT-sikkerhet. En nasjonal kompetansestrategi innenfor IKT-sikkerhet er nødvendig for å få langsiktighet i finansieringen og på den måten sørge for å bygge opp varige kompetansemiljøer. Skal Norge som nasjon være rustet til å møte den økende digitale sårbarheten i samfunnet, må kompetansen innenfor IKT-sikkerhet bygges gjennom hele utdanningsløpet.
Status på tiltak
Anbefalingen fra Lysneutvalget har bred støtte i høringsuttalelsene. Vektlegging av kompetansebehov for IKT og IKT-sikkerhet er også i tråd med regjeringens overordnede IKT-politikk slik denne er lagt fram i Meld. St. 23 (2015–2016) Digital agenda for Norge og Meld. St. 10 (2016–2017) Risiko i et trygt samfunn.
Regjeringen vil i tiden fremover sette i verk flere tiltak for å styrke IKT-sikkerhetskompetansen i Norge, herunder utarbeide en nasjonal kompetansestrategi innenfor IKT-sikkerhet. Strategien vil legge føringer for kommende tiltak. Se en bredere omtale av tiltaket i punkt 8.1.
19 Styring og kriseledelse
19.1 Øke IKT-sikkerhetskompetansen på lokalt og regionalt nivå
Problembeskrivelse (NOU 2015: 13, punkt 20.3.1)
Digitaliseringen av samfunnet fører til mange utfordringer på regionalt og lokalt nivå. Kommunene har ansvar for mange viktige systemer og tjenester, og særlig for små kommuner kan det være en utfordring å ha tilstrekkelig IKT-sikkerhetskompetanse. Det er behov for økt veiledning av kommunene, slik at de settes i stand til å gjennomføre gode ROS-analyser og utvikle styringssystemer som ivaretar IKT-sikkerheten.
Utvalget anbefaler at Justis- og beredskapsdepartementet i samarbeid med Kommunal- og moderniseringsdepartementet tar initiativ til å etablere en felles arena for IKT-sikkerhet for lokalt og regionalt nivå. Utvalget mener videre at det er behov for å tydeliggjøre hvilke krav og forventninger til IKT-sikkerhet som legges til lokalt og regionalt nivå.
Status på tiltak
Kommunal- og moderniseringsdepartementet har i lengre tid rettet oppmerksomhet mot hvordan fylkesmannsembetet ivaretar informasjonssikkerheten. Kommunal- og moderniseringsdepartementet har etablert et eget fagutvalg for informasjonssikkerhet, og det har vært avholdt egne seminarer de siste årene. Kommunal- og moderniseringsdepartementet har overfor embetsledelsen understreket ansvaret de har på dette området.
Kommunal- og moderniseringsdepartementet har også iverksatt egne krav til fylkesmannsembetene når det gjelder informasjonssikkerhet. Alle embeter er nå pliktig til å bruke et eget styringsverktøy for å dokumentere oppfølging av krav og rapportering innenfor informasjonssikkerhet. Kravet innebærer at alle embetene skal ha tatt dette verktøyet i bruk innen utgangen av 2017.
Justis- og beredskapsdepartementet har foreløpig ikke vurdert å etablere en felles arena for IKT-sikkerhet for lokalt og regionalt nivå. DSB følger opp fylkesmennenes arbeid med samfunnssikkerhet, herunder sikkerhet knyttet til kritiske samfunnsfunksjoner, der IKT-sikkerhet inngår. Der det er relevant, vil spørsmål om IKT-sikkerhet inngå i DSBs oppfølging av fylkesmennenes arbeid regionalt og rettet mot kommunene.
19.2 Styrke beredskapen på regionalt og lokalt nivå
Problembeskrivelse (NOU 2015: 13, punkt 20.3.2)
Det er behov for å styrke evnen til å oppdage og håndtere IKT-sikkerhetshendelser på regionalt og lokalt nivå. Fylkesmannen og kommunene har ikke definerte rapporteringslinjer ved IKT-sikkerhetshendelser eller noe responsmiljø som kan håndtere dem.
Lysneutvalget mener det bør vurderes om Fylkesberedskapsrådet bør utvides med representanter fra andre infrastrukturer og viktige leverandører. Utvalget mener videre at det må etableres en mekanisme for å avdekke og håndtere IKT-sikkerhetshendelser for kommunesektoren, og viser til viktigheten av at det gjennomføres tverrsektorielle øvelser på lokalt og regionalt nivå som har IKT-sikkerhet som øvelsesmål.
Status på tiltak
I tillegg til håndtering av digitale hendelser mot egne virksomheter har kommuner og fylkesmenn en sentral rolle ved håndtering av alvorlige samfunnsmessige konsekvenser av digitale hendelser. I november 2016 deltok fylkesmannen i Hordaland og fylkesmannen i Rogaland på den nasjonale sikkerhetsøvelsen IKT16. Fylkesmennene og kommunene er ikke som virksomhet knyttet opp mot et sektorvist responsmiljø. De er heller ikke knyttet opp til et sektorvist responsmiljø i kraft av å ha den lokale og regionale samordningsrollen. Justis- og beredskapsdepartementet vil sette i gang en prosess for å få på plass en struktur for kommunenes og fylkesmennenes rolle i responsmiljøene og i nasjonalt rammeverk for digital hendelseshåndtering.
Regionalt og lokalt nivå må sikres tilgang til like og alternative kommunikasjonskanaler (som backup) ved et eventuelt bortfall av ekom. Dette kan være Nødnett, men også satellittelefoner og lignende. I tillegg til Fylkesmannen og kommunene gjelder dette også blant annet Sivilforsvaret, som ved hendelser og kriser i stor grad samvirker i krisehåndteringen og kriseledelsen.
19.3 Etablere felles gradert IKT-infrastruktur
Problembeskrivelse (NOU 2015: 13, punkt 20.3.3)
Justis- og beredskapsdepartementet bør tydeliggjøre hvilket departement som skal ha det overordnede ansvaret for å etablere en felles gradert IKT-infrastruktur for sentralforvaltningen, og klargjøre hvilke roller og hvilket ansvar Kommunal- og moderniseringsdepartementet og Forsvarsdepartementet har i dette bildet.
Status på tiltak
Regjeringen har gitt Forsvarsdepartementet i oppdrag å stå for utvikling og drift av Nasjonalt BEGRENSET nett (NBN) og Nasjonalt HEMMELIG nett (NHN) for sentralforvaltningen og andre utvalgte brukere. Det er viktig at disse informasjonssystemene brukes også i en normalsituasjon, slik at personellet som skal bruke løsningene, har øvelse og kjenner systemet dersom det skal tas i bruk i forbindelse med en eventuell krise eller krig. I tillegg utreder Kommunal- og moderniseringsdepartementet mulighetene for en felles ugradert/lavgradert løsning for alle i det nye regjeringskvartalet som er under planlegging.
Justis- og beredskapsdepartementet iverksatte i fjerde kvartal 2016 et arbeid med å klargjøre departementenes lokaler til å motta en høygradert IKT-løsning gjennom installasjon av fiberkabler, kryptoutstyr med mer. Arbeidet resulterte i at alle departement kan ta imot en høygradert IKT-løsning så snart en løsning er klar. Foreløpige estimater tilsier at NHN kan være klar til innføring medio 2018.
Justis- og beredskapsdepartementet skal sammen med Forsvarsdepartementet og Kommunal- og moderniseringsdepartementet vurdere eksisterende ansvarsfordeling på departementsnivå knyttet til videre initiering, innføring, drift og forvaltning av graderte IKT-løsninger, samt tjenester på de enkelte plattformene.
19.4 Vurdere virkemidler for kommunikasjon med befolkningen
Problembeskrivelse (NOU 2015: 13, punkt 20.3.4)
Ved større kriser og hendelser må myndighetene kunne nå befolkningen med informasjon og varsling. Felles for de fleste virkemidler og kanaler for kommunikasjon er at de er avhengige av tilgjengelig ekominfrastruktur. Utvalget anbefaler at DSB vurderer bruken av virkemidler for kommunikasjon med befolkningen i kriser og i den sammenheng også vurderer beredskapsrollen til NRK i samarbeid med Kulturdepartementet.
Status på tiltak
Sivilforsvarets varslingsanlegg (tyfoner) består av 1250 lydgivere og er et viktig virkemiddel for myndighetene i varsling av akutte faresituasjoner. Varsling har hittil blitt utløst ved hjelp av signaler formidlet over FM-nettet. Når FM-nettet i løpet av 2017 slukkes over hele landet, vil Nødnett overta denne rollen.
I en krisesituasjon vil myndighetenes mulighet til å informere befolkningen kunne ha stor betydning. I dag foreligger det tre parallelle kanaler for fremføring av myndighetsinformasjon: radio, tv og internett. De tre kanalene kan i noen grad erstatte hverandre som informasjonsbærere. Det vil si at dersom for eksempel radiosendinger skulle falle ut, så vil informasjonen fortsatt kunne formidles gjennom tv og over internett og vice versa. DSB har på oppdrag fra Justis- og beredskapsdepartementet iverksatt en utredning av supplerende varslingsmetoder. Et alternativ kan være et mobilbasert befolkningsvarslingssystem hvor det er mulig å motta varsel om uønskede, potensielt farlige hendelser på mobiltelefonen.
Regjeringens strategi for å opprettholde og styrke evnen til kommunikasjon med befolkningen har tre elementer: For det første å styrke robustheten innenfor hver av de tre kanalene. For det andre å tilstrebe en stor grad av autonomi for hver av kanalene, slik at ikke én feil kan medføre svikt i alle. For det tredje å legge planer for hvordan en slik svikt likevel skal kunne håndteres. I Meld. St. 15 (2016–2017) Eit moderne og framtidsretta NRK understreker regjeringen at NRK fortsatt skal ha et særlig beredskapsansvar. Kriseinfo.no er en kanal for myndighetsinformasjon i krisesituasjoner. DSB har ansvaret for at disse nettsidene publiserer verifisert informasjon fra myndighetene.
20 Digitale angrep
20.1 Etablere og øve et helhetlig rammeverk for digital hendelseshåndtering
Problembeskrivelse (NOU 2015: 13, punkt 21.11.1)
Nasjonal sikkerhet avhenger av sikkerheten til de enkelte virksomheter, og en effektiv bekjempelse av digitale angrep krever godt samarbeid mellom myndighetene og mellom myndighetene og private aktører. I dag meldes det om usikkerhet og utilstrekkelig koordinering mellom myndighetsaktører som har ansvar for bekjempelsen av digitale angrep. Det er viktig å maksimere mulighetene innenfor det handlingsrommet som finnes for deling av informasjon. Det bør tas initiativ til å etablere og øve på et helhetlig rammeverk for håndtering av digitale hendelser på nasjonalt plan for å avklare og tydeliggjøre innsatsen mellom relevante aktører innenfor hendelseshåndtering og straffeforfølging. Utvalget foreslår en punktliste for et ambisjonsnivå til myndighetenes operative evne til å avdekke, håndtere og etterforske alvorlige hendelser.
Status på tiltak
Til grunn for nasjonal hendelseshåndtering ligger i dag føringer gitt i Nasjonal strategi for informasjonssikkerhet med handlingsplan (2012), Retningslinjer for samarbeid mellom EOS-tjenestene om forebygging og håndtering av alvorlige cyberhendelser (2013), Forsvarsdepartementets retningslinjer for informasjonssikkerhet og cyberoperasjoner (2014), Modell for håndtering av IKT-sikkerhetshendelser – anbefalinger og retningslinjer (2014) samt relevante tiltak i lovverk og i det nasjonale beredskapsplanverket.
Høringssvarene viser at det er bred støtte for tiltaket med å etablere et nasjonalt rammeverk for håndtering av digitale hendelser. I 2016 fikk NSM i oppdrag å utarbeide, i samarbeid med berørte aktører, et utkast til et slikt rammeverk. Formålet er å avklare og tydeliggjøre innsatsen fra relevante aktører innenfor hendelseshåndtering og følge opp Lysneutvalgets anbefalinger knyttet til dette rammeverket. Et utkast til rammeverk ble øvet under den nasjonale IKT-øvelsen i november 2016. Evalueringen av øvelsen skal fullføres og rammeverket ferdigstilles i løpet av 2017 (se punkt 7.2 og 8.7).
Utvalgets punkter til ambisjonsnivå dekkes, etter Justis- og beredskapsdepartementets vurdering, av andre tiltak i denne meldingen.
20.2 Forbedre den nasjonale operative evnen gjennom samlokalisering (flertall og mindretall)
Problembeskrivelse (NOU 2015: 13, punkt 21.11.2)
Lysneutvalget tar særlig opp to problemstillinger: 1) bruken av samlokalisering som virkemiddel for å få til god samhandling, deling av informasjon og bedre ressursutnyttelse, og 2) om det er politiet eller NSM som bør koordinere håndteringen av digital hendelser og stå som vert for en eventuell samlokalisering.
Det er flere små operative miljøer i Norge i dag som skal samhandle med hverandre under en digital hendelse. Et sentralt spørsmål er om Norge evner å utnytte den samlede nasjonale kapasiteten til å forebygge, avdekke og håndtere digitale angrep, både på offentlig og på privat side. Private og offentlige aktører bør dele informasjon fra åpne kilder og lovlig delbar informasjon i langt større grad. Samlokalisering kan være et sentralt virkemiddel for å få til god samhandling og ressursutnyttelse. Utvalget foreslår at det legges bygningsmessig til rette for at de som ønsker samlokalisering, kan gå sammen om ett felles bygg.
Flertallet i utvalget anbefaler at samlokalisering bør ta utgangspunkt i det miljøet som både har tradisjon for offentlig–privat samarbeid og er en del av EOS-miljøet, og som i dag har det koordinerende ansvaret for håndtering av digitale hendelser. Flertallet anser NSM som den mest naturlige verten for samlokalisering. Justis- og beredskapsdepartementet må følge opp, særlig overfor de sivile aktørene i samarbeidet, og definere klare, målbare suksesskriterier for samarbeidet, som skal evalueres innenfor henholdsvis to og fem år. Mindretallet i utvalget anbefaler at det legges til et «Cyber Crime Center» hos politiet hvor det samtidig vektlegges likeverdig samarbeid mellom offentlig og private sektor.
Status på tiltak
Flere av høringssvarene understreker viktigheten av rask informasjonsdeling, godt og tydeliggjort samarbeid og god oversikt over hverandres kompetanse og kapasitet.
Det er ikke etablert et nasjonalt «Cyber Crime Center», se punkt 20.5. Modellen for hendelseshåndtering i Norge har vært bygget opp og styrket gjennom flere år, og det er et mulighetsrom i dagens struktur. Regjeringen ønsker å benytte handlingsrommet i dagens struktur, med NSM som det nasjonale navet, og har derfor prioritert arbeidet med et nasjonalt rammeverk for digital hendelseshåndtering og gjennomføring av den nasjonale øvelsen IKT16. Gjennom arbeidet med et helhetlig rammeverk for hendelseshåndtering styrkes og videreutvikles et godt samarbeid mellom virksomheter, sektorvise responsmiljøer, nasjonalt responsmiljø og politiet. Erfaringer fra øvelsen vil være viktig for å videreutvikle og forbedre dagens modell.
Annen oppfølging knyttet til dette punktet er omtalt under punkt 6.1, punkt 6.2, punkt 7.3 og punkt 7.6.
20.3 Øke deteksjonsevnen og sammenstille et felles situasjonsbilde
Problembeskrivelse (NOU 2015: 13, punkt 21.11.3)
For å få til en effektiv avdekking av digitale angrep trengs det gode deteksjonsmekanismer som dekker de kanalene angrepene gjennomføres gjennom. Dette innebærer mer enn teknologiske tiltak. Informasjonsdeling i forbindelse med hendelser bør starte tidligere enn i dag.
Hovedanbefalingene omfatter følgende områder:
Aktiv og rettidig informasjonsdeling ved å etablere en hensiktsmessig teknisk plattform. NSM må etablere en teknisk informasjonsdelingsplattform for ugradert informasjon mot virksomheter for å kunne dele informasjon raskt og sikkert.
Å styrke deteksjonsevnen gjennom tilpasset monitorering i den enkelte sektor.
Å etablere et felles situasjonsbilde og automatisert informasjonsdeling.
Status på tiltak
Høringssvarene gir bred støtte til tiltaket. Det er igangsatt flere tiltak for å imøtekomme hovedanbefalingene. Regjeringens beslutning om å utrede og konkretisere hvordan en form for digitalt grenseforsvar kan etableres og lovreguleres, er omtalt i punkt 7.4. I tillegg har NSM utarbeidet et ugradert nasjonalt situasjonsbilde, tilgjengelig via en portal med påloggingsmulighet for de sektorvise responsmiljøene og nasjonale beslutningstakere. NSM vil også etablere en plattform for deling av teknisk informasjon. Plattformen skal raskt og sikkert motta og dele strukturerte data om trusler og andre tekniske indikatorer med de sektorvise responsmiljøene. Se også punkt 7.3.
Regjeringen ønsker å videreutvikle VDI for å styrke deteksjonsevnen i den enkelte sektor. Sensorteknologien skal oppgraderes. VDI er nærmere omtalt i punkt 7.1.
20.4 Styrke kapasitet og kompetanse knyttet til håndtering av digitale angrep
Problembeskrivelse (NOU 2015: 13, punkt 21.11.4)
Det er kapasitets- og kompetanseutfordringer knyttet til håndtering av digitale angrep. Det er viktig at fagmiljøene har en aktiv rolle overfor akademia for å tilføre praktisk erfaring som har verdi for kunnskapsutviklingen, og for å sikre rekruttering. To sentrale områder er omfattet av tiltaket:
Evaluere ordningen med sektorvise responsmiljøer sett opp mot det tverrsektorielle behovet for hendelseshåndtering. Dette bør gjøres i etterkant av øvelse IKT16. Det er en forutsetning at de sektorvise responsmiljøene involveres tett i evalueringen. I evalueringen bør det blant annet ses på om inndelingen i sektorvise responsmiljøer er hensiktsmessig, eller om responsmiljøer for sektorer med tilsvarende utfordringer bør slås sammen.
Utrede en nasjonal cyberreserve for håndtering av digitale hendelser, en reserve som skal kunne skalere innsatsen ved store hendelser og kriser.
Status på tiltak
Høringssvarene viser at det er bred enighet om å styrke den nasjonale kapasiteten og kompetansen knyttet til håndtering av digitale angrep og å opprette en nasjonal cyberreserve.
Regjeringen følger opp den nasjonale modellen for hendelseshåndtering og anbefalingen fra Lysneutvalget gjennom evalueringen av øvelse IKT16 og utviklingen av et nasjonalt rammeverk for håndtering av digitale hendelser (se punkt 7.2). Dette inkluderer gjennomgang av etableringen og innretningen av sektorvise responsmiljøer. Evalueringen av øvelsen og utviklingen av rammeverket skjer i tett samarbeid med berørte aktører.
Forsvarsdepartementet og Justis- og beredskapsdepartementet har bedt NSM, i løpet av langtidsplanperioden 2017–2020, om å vurdere en tverrsektoriell cyberreserve for hendelseshåndtering ved spesielt store kriser som krever innsats utover ordinær bemanning. I utredningen skal det sees på hvilke krav som må stilles til personell i en slik modell, og hvilke miljøer eller personer det er naturlig å knytte til et slikt tiltak. Andre momenter som må avklares er blant annet juridiske forhold, behov for klarering av personell, og øvelser og trening for å opprettholde kompetanse.
NSM har etablert et pilotprosjekt med en kvalitetsordning for leverandører i markedet som tilbyr tjenester innenfor håndtering av digitale angrep. Formålet med ordningen er todelt: For det første skal ordningen bidra til at virksomheter som opplever en IKT-sikkerhetshendelse, kan velge en tjenesteleverandør som tilfredsstiller NSMs faglige krav på søknadstidspunktet. For det andre skal ordningen bidra til å heve den sikkerhetsfaglige kompetansen innenfor hendelseshåndtering i Norge. Ordningen kan, dersom den får en god utbredelse, også representere en nasjonal kapasitetsøkning innenfor nasjonal hendelseshåndtering.
20.5 Etablere et nasjonalt «Cyber Crime Center»
Problembeskrivelse (NOU 2015: 13, punkt 21.11.5)
Det er utvalgets oppfatning at politiets beredskapsevne og oppgaveløsning i det digitale rommet langt fra er tilstrekkelig og ikke tilpasset samfunnets forventninger og den risikoen samfunnet står overfor. Utvalget støtter forslaget i Justis- og beredskapsdepartementets strategi for å bekjempe IKT-kriminalitet fra 2015 om å opprette et nytt nasjonalt senter for å forebygge og bekjempe IKT-kriminalitet. Senteret bør organiseres under Kripos. Særorganutvalget bør vurdere om alternative organisasjonsformer er mer hensiktsmessige enn kapasitetsoppbygging.
Status på tiltak
Det er ikke etablert et nasjonalt «Cyber Crime Center». POD har utarbeidet et konkret forslag om hvordan det i politiet kan etableres et slikt senter for å forebygge og bekjempe IKT-kriminalitet, herunder hvilke oppgaver som skal legges til et slikt senter, organisatorisk forankring og ressursbehov. Forslaget innebærer at politiet må avsette betydelige ressurser som for noen funksjoner må dekkes opp ved ekstern rekruttering av kompetanse politiet ikke har i dag. Forslaget må derfor tas inn i det ordinære budsjettarbeidet og vurderes opp mot andre viktige tiltak.
Justis- og beredskapsdepartementet nedsatte i 2016 et utvalg for å se på funksjon og kapasitet blant politiets særorganer. Utvalget omtaler bekjempelse av IKT-kriminalitet som en hovedutfordring for politiet. Utvalget overleverte sin utredning til Justis- og beredskapsdepartementet i mai 2017, og utredningen sendes på bred høring.8
20.6 Sikre sterke fagmiljøer for IKT-kriminalitet i politidistriktene
Problembeskrivelse (NOU 2015: 13, punkt 21.11.6)
Digital kompetanse i politiet må bygges i bredden, det vil si i alle politidistrikt. I politidistriktene er det behov for bedre og mer spesialisert kompetanse og ferdigheter og økt kvalitet på politiarbeidet. Utvalget anbefaler at det gjennomføres et stort løft innenfor etter- og videreutdanning for allerede uteksaminerte tjenestemenn og -kvinner. Utvalget mener også at Justis- og beredskapsdepartementet bør gi klare føringer til politidistriktene for å sikre nødvendig tverrfaglig kompetanse i politiet, herunder sivilt ansatte med teknisk bakgrunn.
Utvalget anbefaler at politidistriktenes fagmiljøer styrkes betraktelig. Ved politiets arbeid på internett bør den åpne tilstedeværelsen, herunder «politistasjon og patruljering på nett», ligge til det enkelte politidistrikt. Utvalget mener at et klart grensesnitt mellom hva et Cyber Crime Center håndterer, og hva politidistriktene selv forventes å håndtere, er avgjørende.
Nåværende styringsmodell i politiet må ikke være til hinder for å vurdere ulike modeller for organisering av IKT-kriminalitetsbekjempelsen, blant annet i særorganutredningen.
Status på tiltak
Politidistriktene skal settes bedre i stand til å operere i det digitale landskapet. Politiets digitale kompetanse og kapasitet skal styrkes i alle politidistrikt. I henhold til Justis- og beredskapsdepartementets strategi av 2015 for å bekjempe IKT-kriminalitet er det utarbeidet en plan for å styrke etterforskningskapasiteten. Politiet skal prioritere ressurser til bekjempelsen av IKT-kriminalitet og i større grad enn i dag utnytte digitale spor.
Gjennom nærpolitireformen legges det grunnlag for sterkere fagmiljøer på IKT i politidistriktene. Som en del av reformen er det utarbeidet en funksjonsbeskrivelse for digitalt politiarbeid. Funksjonen digitalt politiarbeid skal ivareta en bred, effektiv og hensiktsmessig bruk av digital informasjon og elektroniske spor i politiarbeidet, herunder etterretning, forebygging, stansing av straffbare forhold, bistand til befolkningen, tilbakeføring til normalsituasjonen, etterforskning og iretteføring. Gjennom utnyttelse av teknologi og elektroniske spor skal funksjonen sikre at flere straffesaker kan etterforskes raskt og med god kvalitet i metodebruk, bevissikring og analyse.
POD har utarbeidet en strategi for digital kompetanseheving i politiutdanningen. Strategien omfatter både grunnutdanningen og etter- og videreutdanningen og tar utgangspunkt i arbeidet som er gjort ved Politihøgskolen.
20.7 Sikre en IKT-infrastruktur til støtte for politiets kriminalitetsbekjempelse
Problembeskrivelse (NOU 2015: 13, punkt 21.11.7)
Utvalget opplever at IKT-situasjonen i politiet er kritisk. Det er behov for langsiktige og omfattende løft med tanke på stabilitet i grunnleggende infrastruktur og sikkerhet i applikasjoner og tjenester. I tillegg er det behov for å etablere felles nasjonale løsninger som erstatning for ulike lokale løsninger.
Justis- og beredskapsdepartementet bør iverksette tiltak for å sikre politiet et teknologiløft, med fokus på IKT-ledelsen og -styringen, øke bestillerkompetansen og gi klare prioriteringer for ressursutnyttelse i et langsiktig perspektiv.
Status på tiltak
Politiets grunnleggende IKT-infrastruktur er gradvis modernisert de siste årene, men fortsatt er det etterslep og mangler på flere områder. De siste årene har det vært flere alvorlige hendelser hvor politiets operative evne har blitt påvirket av feil i IKT-systemene. I tillegg skjer det for ofte at ansatte i politietaten opplever at de ikke får gjort det de skal, eller blir svært forsinket, på grunn av systemene.
Å styrke politiets IKT-infrastruktur er et prioritert område for Justis- og beredskapsdepartementet. En god IKT-infrastruktur er nødvendig for at politiet skal kunne realisere gevinster knyttet til nærpolitireformen, arbeide effektivt med å bekjempe IKT-kriminalitet og nyttiggjøre seg av hensiktsmessige applikasjoner og utstyr.
20.8 Sikre balansen mellom personvern og et sikrere samfunn
Problembeskrivelse (NOU 2015: 13, punkt 21.11.8)
For å få et sikrere samfunn foreslås det ofte inngripende metoder uten at det er tatt tilstrekkelig stilling til eller redegjort for balansen mot personvern og ytringsfrihet. Utvalget mener det er behov for å ivareta balansen mellom personvern og et sikrere samfunn gjennom utredninger og offentlig debatt. Utvalget pekte spesielt på to områder der det må foretas viktige avveininger for å finne den rette balansen mellom motstridende hensyn:
Utrede innføring av digital grenseovervåking ved en NOU eller annen offentlig utredning
Utrede politiet og PSTs skjulte metodebruk på internett
Status på tiltak
Høringssvarene viser at det er bred enighet om disse anbefalingene. Spesielt Datatilsynet er kritisk til masseovervåking av alminnelige borgere og mener at nye og inngripende metoder alltid bør utredes. Se også nærmere omtale av personvern i kapittel 4.
Utredning av digital grenseovervåking
Som en oppfølging av anbefalingen fra Lysneutvalget nedsatte Forsvarsdepartementet et utvalg for å utrede sentrale problemstillinger knyttet til digitalt grenseovervåking. Utvalget avga sin rapport til Forsvarsdepartementet 26. august 2016. Rapporten anbefaler at det etableres et digitalt grenseforsvar som gir Etterretningstjenesten innsyn i digitale datastrømmer som krysser landegrensen i fiberoptiske kabler. Forutsetningen for anbefalingen er at det etableres et strengt kontrollregime bestående av både teknologiske og menneskelige kontrollmekanismer.
Regjeringen støtter konklusjonen fra utvalget og mener det er behov for å etablere en form for digitalt grenseforsvar. Regjeringen vil utrede nærmere hvordan et slikt grenseforsvar kan etableres og lovreguleres. Se nærmere omtale av dette i punkt 7.4.
Utredning av politiets skjulte metodebruk på internett
Regjeringen er enig i utvalgets anbefaling om å utrede nærmere PSTs og det øvrige politiets skjulte metodebruk på internett for det tilfellet at PST foreslår å registrere ytringer på sosiale medier og analysere informasjon fra åpne kanaler.
21 Felleskomponenter
21.1 Følge utviklingen av IKT-utsetting for felleskomponenter
Problembeskrivelse (NOU 2015: 13, punkt 22.6.1)
Offentlig sektor har etablert en rekke åpne, gjenbrukbare løsninger som dekker typiske behov på digitaliseringsfeltet, slik som innlogging, autentisering, registre og lignende. Dette gjelder for eksempel ID-porten, som gir innbyggerne den samme innloggingsfunksjonaliteten uansett hvilken etat eller kommune man logger inn hos.
Det er rimelig å tro at det vil bli færre datasentre, at flere av datasentrene vil bli drevet av eksterne, og at flere samfunnsfunksjoner vil dele infrastruktur som datasentre. Dette kan endre sårbarhetsbildet. Kommunal- og moderniseringsdepartementet bør følge med på sårbarhetsutviklingen knyttet til utsetting av IKT-tjenester for offentlige registre og fellestjenester.
Status på tiltak
Kommunal- og moderniseringsdepartementet følger arbeidet i dialogmøter med øvrige departementer som er felleskomponenteiere, men har ingen aktiviteter utover dette, da det er sektordepartementenes ansvar. Kommunal- og moderniseringsdepartementet følger opp egne felleskomponenter i dialog med Difi og foretar løpende vurderinger av sikkerhet, drift og forvaltning. Se også punkt 6.4 og 22.10 om tjenesteutsetting og punkt 22.1 om å ivareta en helhetsvurdering av verdikjeder.
21.2 Utvikle felles beskyttelsestiltak mot sofistikerte IKT-angripere
Problembeskrivelse (NOU 2015: 13, punkt 22.6.2)
Det krever ekspertkompetanse å identifisere og håndtere sofistikerte angripere. Dagens evne og kapasitet til å oppdage disse aktørene er ikke tilstrekkelig i norske virksomheter. Det er behov for å starte utvikling av mekanismer som eierne kan bruke for å sikre fellesfunksjoner mot sofistikerte angripere. Difi bør ta en koordinerende rolle i dette arbeidet, og det bør gjøres i samarbeid med forskningsmiljøene og med bistand fra NSM.
Status på tiltak
Utvalget foreslår at Difi tar en koordinerende rolle i arbeidet med å utvikle mekanismer som virksomhetseierne kan bruke for å sikre fellesfunksjoner mot sofistikerte angrep. Dette er Kommunal- og moderniseringsdepartementet uenig i. Ifølge ansvarsprinsippet er det virksomheten og sektordepartementet som skal beskytte (nasjonale) felleskomponenter. Alle felleskomponenter kan knytte seg til NSMs varslingssystem for digital infrastruktur (VDI). Dette er ett av flere tiltak som er tilgjengelige for virksomhetene som er ansvarlige for nasjonale felleskomponenter. Andre tiltak er verdivurdering og risikoanalyse, sikkerhetsrevisjon, samarbeid om sterke IKT-sikkerhetsmiljøer og inntrengingstesting. Difis rolle i denne sammenheng er å gi råd og veiledning til virksomhetene om hvordan de skal tilnærme seg arbeidet, og å legge til rette for erfaringsutveksling. Dette gjøres i samarbeid med forskningsmiljøene og med bistand fra NSM.
21.3 Regulere elektronisk identitet
Problembeskrivelse (NOU 2015: 13, punkt 22.6.3)
Lysneutvalget skriver at e-ID-feltet har vært preget av noe ubesluttsomhet siden arbeidet begynte rundt årtusenskiftet. Gjentatte ganger har et offentlig ID-kort med tilhørende e-ID vært på trappene, uten at det har blitt noe av. Det er i dag flere private aktører som utsteder e-ID, og det er ulike behov for e-ID mellom virksomheter og sektorer. Utvalget anbefaler følgende fem tiltak vedrørende e-ID:
Kartlegge personinformasjon som tilflyter e-ID-leverandørene ved bruk. Løsninger med tiltrodde tredjeparter innebærer at e-ID-leverandøren får vite hva brukere gjør med sin elektroniske identitet på nettet. Nkom bør sammen med utstederne lage en samlet oversikt over hvor mye personinformasjon som tilflyter de forskjellige e-ID-leverandørene ved bruk av e-ID-en, og hvordan denne informasjonen lagres. Videre bør Kommunal- og moderniseringsdepartementet gjennomgå reguleringen på området, slik at e-ID-leverandørene ikke tvinges til å oppbevare unødvendig personinformasjon.
Kommunal- og moderniseringsdepartementet bør utarbeide én tydelig definisjon av sikkerhetsnivåene. Den bør ta utgangspunkt i kombinasjoner av angriperens evne og konsekvensen av angrepet. Det må være enkelt å avgjøre om en e-ID når et sikkerhetsmål. Dette bør gjøres samtidig med tilpasningene i forbindelse med den nye EU-forordningen.9
Bruken av innloggingsportaler til engangspålogging bør begrenses, da slike portaler observerer all innlogging til svært mange tjenester, og feilaktig integrasjon av e-ID-ene kan svekke sikkerheten.
Man bør forbedre eksisterende e-ID-løsninger fremfor å vente på det nasjonale ID-kortet. Difi bør videreutvikle den eksisterende MinID-løsningen, blant annet ved å tilby en sikrere utstedelse av identiteter, tilsvarende «kvalifiserte sertifikater», og bedre tekniske løsninger. Difi og Nkom bør sammen oppmuntre til og kreve økt sikkerhet og åpenhet hos private leverandører, fortrinnsvis basert på standard tekniske løsninger.
Myndighetene bør utvise varsomhet med å tilby tjenester med sensitive personopplysninger til hele befolkningen.
Status på tiltak
Elektronisk identitet reguleres gjennom Lov om elektronisk signatur (2001), Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor (2008) og gjennom Kravspesifikasjon for PKI i offentlig sektor (2010). Lov om elektronisk signatur sorterer under Nærings- og fiskeridepartementet. Kravspesifikasjonen er hjemlet i eForvaltningsforskriften § 27. Både rammeverket og kravspesifikasjonen sorterer under Kommunal- og moderniseringsdepartementets ansvarsområde og er en del av gjeldende strategi for bruk av e-ID.
Det foregår nå flere prosesser som vil berøre reguleringen av elektronisk identitet og Lysneutvalgets fempunktsliste med anbefalinger. Regjeringen har vedtatt at nasjonalt ID-kort skal utstyres med en e-ID, og at denne e-ID-en skal være et supplement til dagens markedsløsninger som benyttes for pålogging i ID-porten. Lanseringen vil skje i 2018.
Regjeringen ønsker at Norge skal være en del av det digitale indre markedet i Europa. Et hovedelement i dette er at de europeiske landene skal godkjenne hverandres løsninger for elektronisk identifisering, e-ID, og en rekke såkalte tillitstjenester som legger til rette for elektronisk samhandling. EU-forordningen om e-ID og elektroniske tillitstjenester (eIDAS) vil bli implementert som egen lov og erstatte dagens lov om elektronisk signatur (esignaturloven). Nærings- og fiskeridepartementet har ansvaret for gjennomføring av forordningen i samarbeid med Kommunal- og moderniseringsdepartementet. Justis- og beredskapsdepartementet vil følge opp at samfunnssikkerhetsperspektivet ivaretas i arbeidet.
Formålet med endringene er å legge til rette for økt elektronisk samhandling mellom næringsdrivende, borgere og offentlige myndigheter på tvers av landegrensene i EU/EØS og dermed bidra til sterkere økonomisk vekst i det indre marked.
22 Tverrsektorielle tiltak
22.1 Etablere et nasjonalt rammeverk for å ivareta en helhetsvurdering av verdikjeder
Problembeskrivelse (NOU 2015: 13, punkt 23.1)
Lange og kompliserte verdikjeder gjør det utfordrende å få oversikt over digitale sårbarheter. Verdikjedene kan spenne over flere aktører og sektorer som kan være underlagt forskjellige lovverk og tilsynsregimer. Et nasjonalt rammeverk for å ivareta en helhetsvurdering av verdikjeder kan bidra til verdivurdering av informasjonen som bæres i verdikjedene, og til å fastsette akseptabelt risikonivå for digital sårbarhet.
Utvalget foreslår tiltak som gir en prinsipiell tilnærming til å få grep om hvordan digital sårbarhet oppstår og utvikler seg i verdikjedene. Utvalget mener at Justis- og beredskapsdepartementet bør utvikle et rammeverk for å ivareta helhetsperspektiver i verdivurderinger og sårbarhetsvurderinger. Utvalget foreslår videre å benytte dette rammeverket til ytterligere tiltak som bidrar til størst mulig åpenhet om hvilken restsårbarhet man har akseptert som bruker av utstyr og tjenester, og hvilke verdier man betror sin underleverandører.
Status på tiltak
I DSBs rapport Samfunnets kritiske funksjoner (2016) pekes det på at alle virksomheter som har ansvar for kritiske samfunnsfunksjoner, må planlegge for å kunne opprettholde sin virksomhet. Kartlegging av egen sårbarhet og iverksettelse av tiltak for å redusere denne sårbarheten inngår i dette. Rapporten slår fast at det er eierne og operatørene av infrastrukturene som er ansvarlig for sikkerheten og funksjonsdyktigheten i systemene. Myndighetenes rolle i denne sammenheng er å være pådriver, veilede, stille krav og føre tilsyn.
Justis- og beredskapsdepartementet vil be DSB utrede spørsmålet om å etablere et nasjonalt rammeverk for å ivareta en helhetsvurdering av verdikjeder, og om det bør utarbeides et sett med standardformuleringer som definerer ulike robusthetsnivåer.
22.2 Tydeliggjøre krav til virksomhetsstyringssystemer
Problembeskrivelse (NOU 2015: 13, punkt 23.2)
Virksomhetsstyringssystemene må kunne synliggjøre et sårbarhetsbilde basert på en risikovurdering av tilsiktede og utilsiktede IKT-hendelser. Virksomhetsstyringssystemene bør videre gi grunnlag for å vurdere effekten av ulike forebyggende tiltak på IKT-sikkerhetsområdet og hvilke konsekvenser svikt vil ha for samfunnet. Dette vil gi et bedre grunnlag for å prioritere ulike kostnadsdrivende forebyggende tiltak.
Utvalget anbefaler at de ulike departementene tydeliggjør krav og føringer i virksomhetsstyringssystemene, både på sentralt nivå og ute i de ulike sektorene. Tilsynsmyndighetene må følge opp at dette blir ivaretatt. Utvalget anbefaler at Justis- og beredskapsdepartementet utarbeider et sett med minimumskrav til hvilke elementer som skal inkluderes i virksomhetsstyringssystemene, og det bør utarbeides veiledningsmateriell som kan øke kompetansen på området.
Status på tiltak
Utvalgets anbefaling peker først og fremst på departementene og at de skal tydeliggjøre krav og føringer for virksomhetsstyringssystemer i egen sektor. Høringssvarene viser at det er bred enighet om denne anbefalingen.
Det stilles krav om bruk av styringssystem for informasjonssikkerhet i eForvaltningsforskriften § 15. Alle forvaltningsorgan som benytter elektronisk kommunikasjon, skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten. Kommunal- og moderniseringsdepartementet har pekt ut Difi til det organet som skal gi anbefalinger på området til statsforvaltningen. I 2016 lanserte Difi veilederen Internkontroll i praksis – informasjonssikkerhet.10 Veilederen er først og fremst myntet på offentlige virksomheter, men er tilgjengelig for alle fra Difis nettsider. NSM forvalter også en veileder i sikkerhetsstyring (sist oppdatert i 2015).11 Formålet er å gi råd til virksomheter om hvordan et styringssystem for sikkerhet kan etableres og videreutvikles.
NSM arbeider med å etablere et helhetlig og systematisk sett med de viktigste minimumskrav og tiltak for å sikre samfunnsviktige IKT-løsninger gjennom grunnprinsipper for IKT-sikkerhet. Grunnprinsippene vil legge til rette for gjenbruk i og på tvers av ulike sektorer ved å bygge på etablerte internasjonale standarder. Prinsippene skal gjøre det enklere for sektorer og virksomheter å oppfylle krav i ulike regelverk og på den måten legge til rette for felles tekniske løsninger. Hensikten er å gi beslutningstakere i offentlige og private virksomheter en tiltakspakke for sikring av sin virksomhet og sine informasjonssystemer. Den første tiltakspakken vil bli publisert i løpet av 2017, med påfølgende jevnlige revisjoner og oppdateringer.
22.3 Bevisst bruk av standarder
Problembeskrivelse (NOU 2015: 13, punkt 23.2.1)
Kravene til IKT-sikkerhet i offentlig sektor er ofte funksjonsbaserte og har definerte overordnede mål. Det er ofte henvist til bruk av standarder på områder der det eksisterer et funksjonsbasert regelverk. Norge bør i stor grad implementere standarder som er internasjonalt anerkjent, og på IKT-området er det i liten grad hensiktsmessig eller nødvendig å produsere særnorske standarder. Det er imidlertid viktig at Norge bidrar og er aktiv i utarbeidelsen av standarder internasjonalt. Justis- og beredskapsdepartementet har et særskilt ansvar for de standardene som omhandler IKT-sikkerhet, og som ikke er direkte relatert til en bestemt sektor. Utvalget anbefaler at Justis- og beredskapsdepartementet har en strategisk tilnærming til hvordan det skal bidra i standardiseringsarbeidet.
Status på tiltak
Høringssvarene gir bred støtte til tiltaket og poengterer at standarder bidrar til felles begrepsbruk og definisjoner. Internasjonalt er det utviklet gode standarder som revideres jevnlig i takt med den teknologiske utviklingen. Å utvikle egne norske standarder innenfor IKT-sikkerhet er derfor ikke hensiktsmessig.
Regjeringen ønsker at Norge skal være til stede på internasjonale arenaer hvor IKT-sikkerhetsstandarder utvikles. Justis- og beredskapsdepartementet har inngått et samarbeid med Standard Norge med dette formålet, og departementet har i 2016 gitt Standard Norge tilsagn om bevilgning til arbeidsprogrammet standardisering innen IKT-sikkerhet.
Standard Norge organiserer arbeidet for internasjonal påvirkning med relevante aktører for å sikre norske interesser i utviklingen av internasjonale IKT-sikkerhetsstandarder. Reetablering av en norsk speilkomité skal bidra til å avklare behov for standarder innenfor IKT-sikkerhetsområdet. Den skal utvikle et eget arbeidsprogram med oversikt over hvilke arbeider som skal følges opp fra norsk side. Arbeidsprogrammet har langsiktig varighet og skal være i tråd med Norges digitale satsing, men også europeiske arbeider og EU-kommisjonens plan for IKT-sikkerhet.12
Kommunal- og moderniseringsdepartementet gir også Standard Norge et årlig tilskudd via Difi. Formålet med bevilgningen er å støtte Standard Norge i arbeidet med IKT-standardisering generelt og oppfølgingsarbeid innenfor IKT-sikkerhetsstandardisering og å bidra til kompetanseoverføring på området mellom Standard Norge og forvaltningen. Flere statlige etater bidrar også i standardiseringsarbeidet.
22.4 Tydeliggjøre Justis- og beredskapsdepartementets rolle og ansvarsområde
Problembeskrivelse (NOU 2015: 13, punkt 23.3.1)
Justis- og beredskapsdepartementets samordningsansvar for forebyggende IKT-sikkerhet i sivil sektor omfatter etter Lysneutvalgets oppfatning både offentlig og privat sektor. Det enkelte fagdepartement har ansvar innenfor egen sektor. Utvalget anbefaler å konkretisere ansvaret for IKT-sikkerhet ytterligere, slik at det går klart frem at Justis- og beredskapsdepartementets samordningsansvar gjelder både offentlig og privat sektor. Om nødvendig kan en slik klargjøring komme i form av en revisjon av kongelig resolusjon 22. mars 2013.
Status på tiltak
Justis- og beredskapsdepartementet har samordningsansvaret for IKT-sikkerhet i sivil sektor. Roller og ansvar er presisert i Meld. St. 10 (2016–2017) Risiko i et trygt samfunn og kongelig resolusjon av 10. mars 2017 om ansvaret for samfunnssikkerhet i sivil sektor på nasjonalt nivå og Justis- og beredskapsdepartementets samordningsrolle innenfor samfunnssikkerhet og IKT-sikkerhet.
For å skape en felles tilnærming til IKT-sikkerhet i statsforvaltningen må fagmyndighetene gi anbefalinger som er koordinerte. Justis- og beredskapsdepartementet, Kommunal- og moderniseringsdepartementet, NSM og Difi møtes jevnlig for å samordne innsatsen og dra nytte av hverandres kompetanse.
22.5 Styrke Justis- og beredskapsdepartementets virkemidler
Problembeskrivelse (NOU 2015: 13, punkt 23.3.2)
Justis- og beredskapsdepartementet må gjøre ytterligere grep for å få oversikt over digitale sårbarheter på tvers av sektorer. Det anbefales at departementet ber NSM og DSB i samarbeid utarbeide et felles metodisk rammeverk som kan ligge til grunn for en helhetlig årlig oversikt over digital sårbarhet. Videre at Justis- og beredskapsdepartementet utarbeider en helhetsoversikt over digitale sårbarheter. Oversikten skal bidra til komparative tverrsektorielle sammenligninger og gi et kunnskapsgrunnlag for virkemiddelbruk og prioriteringer på tvers av sektorer.
Justis- og beredskapsdepartementets samordningsansvar bør omfatte samordning av minstekrav til IKT-sikkerhet i sivil sektor. Justis- og beredskapsdepartementet anbefales aktivt å følge opp prosessen rundt EUs NIS-direktiv og vurdere hvilke konsekvenser direktivet kan få for Norge, og hvordan dette kan påvirke Justis- og beredskapsdepartementets samordningsrolle på området, særlig med tanke på å gi føringer og stille krav til andre departementer og forberede sektorene på å implementere direktivet.
Samfunnets teknologiske avhengighet gjør at teknologiskifter og større strukturelle endringer har konsekvenser for den digitale sårbarheten. Utvalget anbefaler å se hen til hvordan Konkurransetilsynet ivaretar konkurransehensyn ved organisatoriske og strukturelle endringer i markedet. Ordningen bør ivaretas av Justis- og beredskapsdepartementet.
Utvalget peker særlig på viktigheten av samarbeid med privat sektor. Utvalget anbefaler at Justis- og beredskapsdepartementet vurderer hvorvidt det offentlige–private samarbeidet på IKT-sikkerhetsområdet er tilstrekkelig ivaretatt og hensiktsmessig, og hvorvidt det er behov for en strategisk arena for samarbeid med eiere av kritisk infrastruktur og kritisk informasjon og med akademia, under ledelse av Justis- og beredskapsdepartementet.
Status på tiltak
Utarbeide et felles metodisk rammeverk for, og en årlig helhetsoversikt over, digitale sårbarheter
I 2015 utarbeidet NSM rapporten Helhetlig IKT-risikobilde for første gang. Hensikten med rapporten er å etablere et felles situasjonsbilde som gjør virksomheter og myndigheter i stand til å treffe riktige tiltak. I tillegg skal den være et verktøy for virksomheter i deres arbeid med å utarbeide risikovurderinger. Rapporten utgis årlig. NSM har fått i oppdrag å videreutvikle rapporten i samarbeid med andre relevante virksomheter, blant annet DSB. Mer informasjon om dette finnes i punkt 6.6.
Samordning av minstekrav til IKT-sikkerhet i sivil sektor og oppfølging av NIS-direktivet
Den 6. juli 2016 ble Europaparlamentet og Det europeiske råds direktiv (EU) 2016/1148 om tiltak som skal sikre et høyt felles sikkerhetsnivå i nettverks- og informasjonssystemer i EU (NIS-direktivet), vedtatt i EU. Regjeringen mener at NIS-direktivet er EØS-relevant og akseptabelt.
Formålet med direktivet er å forbedre det indre markeds funksjon. Et høyt felles IKT-sikkerhetsnivå skal styrke europeiske virksomheters konkurransedyktighet i en globalisert verden, skape tillit til digitale tjenester og bidra til økonomisk vekst i Europa. Videre vil et økt sikkerhetsnivå redusere kostnadene forbundet med sikkerhetsbrudd og IKT-kriminalitet.
Direktivet pålegger medlemsstatene å sørge for et minimumsnivå for den nasjonale IKT-sikkerheten ved at de plikter å utarbeide en nasjonal strategi for IKT-sikkerhetsarbeidet, å etablere en IKT-sikkerhetsberedskapsenhet (CSIRT) og å pålegge operatører og leverandører av samfunnsviktige tjenester IKT-sikkerhetskrav og varslingsplikt ved alvorlige IKT-sikkerhetshendelser. Direktivet etablerer to internasjonale samarbeidsgrupper – én på strategisk nivå og én på CSIRT-nivå.
Justis- og beredskapsdepartementet har ansvaret for å følge opp NIS-direktivet. Det er ikke formelt avgjort at direktivet vil bli norsk rett. Norge deltar likevel som observatør i NIS’ ekspertgruppe, NIS-komiteen og NIS’ samarbeidsgruppe. Gjennom Justis- og beredskapsdepartementets deltakelse i disse gruppene bidrar Norge til å drive det videre arbeidet med direktivet fremover. Den internasjonale deltakelsen legger et godt grunnlag for en eventuell gjennomføring av direktivet i norsk rett. En gjennomføring vil innebære at det gjennom lov innføres et minimumsnivå for virksomheters IKT-sikkerhet og krav om varsling. Myndighetene skal kontrollere at direktivet etterleves som forutsatt.
Ivareta hensyn til IKT-sikkerhet ved teknologiskifter og strukturelle samfunnsendringer
I punkt 6.4 i Meld. St. 10 (2016–2017) Risiko i et trygt samfunn fremgår det at alle departementer i sivil sektor har ansvar for å følge opp krav og anbefalinger gitt av Justis- og beredskapsdepartementet for egen virksomhet og i egen sektor. Departementene skal involvere Justis- og beredskapsdepartementet i prosesser hvor IKT-sikkerhetshensyn er av nasjonal betydning, særlig ved større teknologiske og strukturelle endringer i samfunnet.
Etablere en arena for offentlig–privat samarbeid
Regjeringen er opptatt av å styrke offentlig–privat samarbeid, og det skal opprettes et eget forum for å støtte opp under det nasjonale arbeidet med IKT-sikkerhet. Se en nærmere omtale av dette under punkt 5.1.
22.6 Øke kapasiteten innen IKT-sikkerhet i Justis- og beredskapsdepartementet
Problembeskrivelse (NOU 2015: 13, punkt 23.3.3)
Utvalget anbefaler å styrke Justis- og beredskapsdepartementets ressurser vesentlig på IKT-sikkerhetsområdet for å ivareta departementets rolle og gjennomføre tiltakene som følger av Lysneutvalgets utredning.
Status på tiltak
Justis- og beredskapsdepartementet støtter Lysneutvalgets vurdering knyttet til behov for styrking av departementet på dette området. Justis- og beredskapsdepartementet opplever en stadig økning i oppgavetilfang, forventinger og behov innenfor oppfølging av nasjonal IKT-sikkerhet, herunder også knyttet til oppfølgingen av Lysneutvalgets utredning.
Justis- og beredskapsdepartementet har hatt en vesentlig styrking på området siden departementet overtok samordningsansvaret i 2013. Det er viktig å merke seg at denne styrkingen i seg selv skaper utfordringer hos samarbeidspartnere som ikke har opplevd den samme styrkingen, og som merker økt oppgavetilfang som følge av Justis- og beredskapsdepartementets økte aktivitet. Etter Justis- og beredskapsdepartementets vurdering må kapasitetsbehovene innenfor IKT-sikkerhet i sentrale departement og fagmiljøer sees i sammenheng.
22.7 Tilpasse tilsynsvirksomheten til å omfatte IKT-sikkerhet
Problembeskrivelse (NOU 2015: 13, punkt 23.4)
Utvalget anbefaler at når tilsynsmyndighetene skal utforme nye krav og føringer til regulerte virksomheter, må de ta hensyn til vurderingene av funksjonsbasert regelverk. Når det skal stilles krav til IKT-sikkerhet, bør funksjonsbasert regelverk og tilsyn vurderes – dette for å kunne følge med på raske teknologiske endringer og legge til rette for sikkerhetstiltak som er tilpasset den enkelte virksomheten.
Etter utvalgets vurderinger er det behov for å styrke IKT-sikkerhetskompetansen innenfor flere sektortilsyn. På kort sikt kan det være hensiktsmessig med felles ressurser, slik at ulike sektortilsyn kan tilføres kompetanse fra for eksempel NSM i enkelttilfeller. På lengre sikt tilsier utviklingen at tilsynsmyndighetene må etablere egen kompetanse. Utvalget anbefaler at Justis- og beredskapsdepartementet tar initiativ til å etablere en fellesarena for tilsynssamarbeid på IKT-sikkerhetsområdet.
Status på tiltak
Høringssvarene viser at dette er et viktig tiltak, og det jobbes godt med kompetanseheving i flere sektortilsyn. For eksempel har NVE oppbemannet, og en tilsvarende prosess pågår i Ptil. Allikevel er det slik at knappheten på IKT-sikkerhetskompetanse i samfunnet gjør det utfordrende å bemanne opp alle sektortilsyn med tilstrekkelig kompetanse på området.
For å styrke IKT-sikkerheten og kvaliteten på IKT-sikkerhetstilsyn som gjennomføres i de ulike sektorene, ønsker Justis- og beredskapsdepartementet og Forsvarsdepartementet at det etableres en felles arena for de ulike sektorenes mest sentrale tilsynsmyndigheter. Hensikten er å sikre informasjonsutveksling og kompetanseoverføring og på den måten øke kvaliteten på sektorenes tilsyn med IKT-sikkerhet. Departementene har bedt NSM om å etablere og lede en slik arena.
Difi og FFI har på oppdrag fra Justis- og beredskapsdepartementet evaluert tilsynene som DSB utfører på vegne av Justis- og beredskapsdepartementet. Innenfor IKT-sikkerhetsområdet viser evalueringen at mer enn halvparten av departementene ser et behov for inntrengingstesting som et tillegg til, eller alternativ til, dagens tilsyn. Bruk av inntrengingstesting kan være et effektivt virkemiddel for å avdekke sårbarheter ved et informasjonssystem. Det er imidlertid viktig at bruk av slik testing kommer i tillegg til og ikke som erstatning for, systematisk arbeid med IKT-sikkerhet i virksomhetene. Punkt 6.5 gir en nærmere omtale av inntrengingstesting. Punkt 8.6 gir en nærmere omtale av kompetanse i tilsyn.
22.8 En redegjørelse for IKT-sikkerhet bør inngå i årsmeldinger
Problembeskrivelse (NOU 2015: 13, punkt 23.5)
Ansvaret for IKT-sikkerhet ligger hos den øverste ledelsen både i offentlig og i privat virksomhet. Utvalgets undersøkelser tyder på at arbeidet med IKT-sikkerhet ikke alltid får den prioriteten det bør ha. For å sikre at arbeidet med IKT-sikkerhet prioriteres høyere, bør det innføres et krav om at ivaretakelse av IKT-sikkerhet beskrives i virksomhetenes årsmelding. Utvalget oppfordrer Nærings- og fiskeridepartementet og Kommunal- og moderniseringsdepartementet til å utarbeide en regelendring i lovverket for henholdsvis offentlig og privat sektor.
Status på tiltak
Høringssvarene er noe delte i synet på dette tiltaket. Rapporteringsplikter i årsrapporten bør vurderes ut fra om det gir god nok gevinst holdt opp mot kostnadene og tidsbruken på rapporteringen.
Finansdepartementet har fastsatt krav til statlige virksomheters årsrapport i økonomiregelverket. Det er et uttalt mål at rapporteringen skal holdes på et moderat nivå. Krav til innhold i årsregnskap og årsberetninger for regnskapspliktige foretak er regulert i lov om årsregnskap mv. kapittel 3 (regnskapsloven). Denne loven hører inn under Finansdepartementets ansvarsområde, men andre krav til avleggelse av årsregnskap finnes også i annet lovverk. Kravene bør harmoniseres, men det enkelte departement har ansvar for å følge opp regelverket innenfor sitt ansvarsområde, herunder også i medhold av de sentrale føringer som gis.
22.9 Næringsutvikling og IKT-sikkerhet
Problembeskrivelse (NOU 2015: 13, punkt 23.6)
En sterk IKT-sikkerhetsindustri i Norge vil være et positivt bidrag til å redusere digitale sårbarheter. Dette vil sikre kompetanse og bidra til oppmerksomhet og kunnskapsspredning i hele det norske samfunnet. Utvalget anbefaler derfor at regjeringen forsterker arbeidet med å se etter virkemidler for å stimulere til næringsutvikling på dette området, for eksempel gjennom skattepolitikk, tilskuddsordninger og kompetansebygging i dialog med næringslivet.
Status på tiltak
Hovedmålet i næringspolitikken er å legge til rette for størst mulig samlet verdiskaping i norsk økonomi, innenfor bærekraftige rammer. Næringspolitikken skal legge til rette for at ressurser brukes der de har sin beste anvendelse, slik at verdiskapingen blir størst. Næringspolitikken har derfor som mål å legge til rette for gode rammebetingelser og virkemidler som favner bredt, og søker aktivt å legge til rette for velfungerende markeder ved å korrigere for markedssvikt der det er hensiktsmessig. Regjeringens politikk for skatter og avgifter, og forskning, utvikling og innovasjon skal legge til rette for konkurransedyktig utvikling innenfor alle næringer, også IKT-sikkerhetsnæringen. Regjeringen vil legge til rette for fremtidens næringsliv ved å sikre tilgang på kompetanse og satse videre på forskning, innovasjon og teknologiutvikling.
I tillegg legges det til rette for nyskaping i næringslivet gjennom Forskningsrådets og Innovasjon Norges ordninger. Næringsstimulerende virkemidler som kan nyttiggjøres innenfor IKT-sikkerhetsindustrien, er de generelle ordningene Skattefunn og Brukerstyrte innovasjonsarena (BIA) fra Forskningsrådet.
22.10 Utkontraktering og skytjenester
Problembeskrivelse (NOU 2015: 13, punkt 23.7)
Bruk av utkontraktering og skytjenester i både offentlig og privat virksomheter er forventet å øke i årene fremover. Selv om utkontraktering og bruk av skytjenester kan bidra til økt teknisk IKT-sikkerhet, fritas ikke virksomheten for IKT-sikkerhetsansvaret og -arbeidet.
Lysneutvalget mener regjeringens påbegynte arbeid for å fjerne unødige hindringer, rydde opp i lovtekniske hindringer og legge til rette for sikre løsninger er viktig. Særlig bør arbeidet som omhandler hva slags informasjon som kan lagres hvor, herunder arkivlovens og bokføringslovens bestemmelser, belyses. Det bør også gjennomføres en felles utredning på tvers av sektorene, slik at det etableres en felles tilsynspraksis for data lagret i skytjenester. Dette inkluderer bruk av tredjepartsrevisorer.
I en særmerknad fra et av utvalgsmedlemmene legges det vekt på at Justis- og beredskapsdepartementet i politikkutformingen knyttet til digitale sårbarheter og skytjenester også må se muligheten teknologien gir for å øke sikkerheten. Dette bør utføres i samråd med Nærings- og fiskeridepartementet og Kommunal- og moderniseringsdepartementet.
Status på tiltak
I 2016 la Kommunal- og moderniseringsdepartementet fram en nasjonal strategi for bruk av skytjenester. Målet med strategien er å synliggjøre hvordan offentlige og private virksomheter kan ha utbytte av å bruke skytjenester, og når slike tjenester er egnet for bruk i offentlig sektor. Departementet har gitt Difi i oppdrag å etablere et kompetansemiljø og veiledningsressurser knyttet til anskaffelse av skytjenester. Dette inkluderer vurderinger knyttet til sikkerhet og risiko, herunder verdivurdering av informasjon, og å samle anbefalinger fra de ulike sektorene på dette området.
Kommunal- og moderniseringsdepartementet vurderer også om det skal utvikles en markedsplass eller andre mekanismer som gjør vurdering og anskaffelse av skytjenester enklere for virksomhetene.
Kommunal- og moderniseringsdepartementet har startet et arbeid med å harmonisere måten ulike tilsyn jobber på når de fører tilsyn med informasjonssikkerhet i skytjenester. Erfaringen så langt er at ulikhetene i tilsynspraksis er mindre enn man tidligere har fått inntrykk av. Kommunal- og moderniseringsdepartementet opplever at tilsynene er interessert i å dele erfaringer og lære av hverandre på dette området.
Kommunal- og moderniseringsdepartementet har diskutert bruk av tredjepartsrevisjoner med tilsyn. Det er få tilsyn som har konkrete erfaringer med dette, men de som har det, har gjennomgående positive erfaringer. Dette er også et område som er viktig for EU-kommisjonen, og Kommunal- og moderniseringsdepartementet både deltar i og følger med på det arbeidet som skjer innenfor skytjenester og fri flyt av data i EU. Regjeringen vurderer det slik at det ikke vil være hensiktsmessig å sette i gang en egen utredning på dette området, men man fortsetter med å vurdere status og å delta i relevant EU-arbeid på området.
Kulturdepartementet har hatt revidert arkivforskrift på høring. Høringsfrist var 15. januar 2017. Den reviderte forskriften åpner for lagring av digitale offentlige arkiv i utlandet (§ 22), gitt at leverandøren tilfredsstiller de krav som stilles for oppbevaring av arkivmateriale. Kommunal- og moderniseringsdepartementet vil nå også se på en mulig utvidelse i hvor man kan lagre bokføringsdata. I dag er det kun tillatt å lagre dette i Norden.
Justis- og beredskapsdepartementet, Forsvarsdepartementet og Kommunal- og moderniseringsdepartementet vurderer muligheten for å etablere en skyløsning med høyt sikkerhetsnivå. Et viktig formål er å vurdere hvordan sentrale myndigheter med særskilte sikkerhetsbehov også kan utnytte de effektiviseringsmulighetene som skytjenester gir. NSM og Difi gjennomfører vurderingen.
Se nærmere omtale av tjenesteutsetting under punkt 6.4.
22.11 Regulering av kryptografi
Problembeskrivelse (NOU 2015: 13, punkt 23.8)
Kryptografi er teknikker som skal sikre informasjonens opphav, hindre innsyn og avdekke endring. Bruk av kryptografiske mekanismer har stor betydning for IKT-sikkerhet og er en forutsetning for sikker elektronisk kommunikasjon. Lysneutvalget er av den oppfatning at bruk av kryptografi ikke skal reguleres eller forbys i Norge. Norske myndigheter bør arbeide aktivt mot regulering eller forbud internasjonalt. Ved økt bruk av kryptografiske mekanismer for å beskytte informasjon og kommunikasjon bør nye etterforskningsmetoder utvikles for å sikre effektivt politi- og etterretningsarbeid.
Status på tiltak
Bruk av kryptering skal ikke forbys eller reguleres
Regjeringen legger til grunn at utvalget mener at kryptering ikke skal forbys eller begrenses gjennom lov. Dette berører ikke dagens regulering av kryptosikkerhet i sikkerhetsloven. Regjeringen legger dessuten til grunn at når utvalget skriver «ikke reguleres» / «arbeide aktivt mot regulering», mener det ikke regulering i form av pålegg om kryptering gjennom lov, slik det blant annet er krav om gjennom de ulike regelverkene for sikring av personopplysninger.
Regjeringen slutter seg generelt til utvalgets konklusjoner om ikke å forby eller regulere bruk av kryptografi. Kryptering og tilgang til robuste krypteringsmetoder er en forutsetning for å kunne kommunisere med trygghet for at kommunikasjonsinnholdet ikke fanges opp.
Norske myndigheter bør arbeide aktivt mot regulering eller forbud internasjonalt
Myndighetene fremholder sine synspunkter i relevante internasjonale fora, for eksempel EU og OECD.
Utvikling av nye etterforskningsmetoder
Behovet for utvikling av nye etterforskningsmetoder henger tett sammen med punktet over om utbredelsen av kryptering. Økt bruk av kryptering skaper utfordringer for politi og påtalemyndighet.
Regjeringen foreslo i Prop. 68 L (2015–2016) Endringer i straffeprosessloven mv. (skjulte tvangsmidler) lovendringer som skulle gi politiet utvidet adgang til å benytte skjulte tvangsmidler ved etterforskning, avverging og forebygging av alvorlige lovbrudd. Blant annet ble det foreslått å innføre dataavlesing som et nytt, skjult tvangsmiddel med hjemmel i straffeprosessloven nye §§ 216 o og 216 p. Forslaget var begrunnet i «et stort og udekket behov for effektiv tilgang til elektronisk lagret og kommunisert informasjon. Informasjon produseres, bearbeides, kommuniseres og lagres i dag ofte elektronisk og ved bruk av mobile tjenester. Samtidig øker bruken av krypteringsløsninger og andre metoder for beskyttelse av slik informasjon». Forslaget ble vedtatt med bred støtte i Stortinget, med enkelte mindre endringer. Lov 17. juni 2016 nr. 54 om endringer i straffeprosessloven mv. (skjulte tvangsmidler) trådte delvis i kraft 17. juni 2016, med unntak av bestemmelsene om dataavlesning, som på grunn av forskriftsendringer først trådte i kraft 9. september 2016.
For øvrig vil regjeringen påpeke at ved vurdering av nye etterforskningsmetoder er det helt avgjørende å vurdere personvernkonsekvenser ved de nye metodene grundig og å se inngrepet de nye metodene representerer, i sammenheng med allerede eksisterende personverninngrep.
Norsk kryptopolitikk
NSM har et tett samarbeid med norsk kryptoindustri for å utvikle høygraderte kryptoløsninger. Det er en langsiktig prosess å bygge opp kompetanse- og forskningsmiljøer, og kunnskap om kryptering må vedlikeholdes dersom den skal være relevant. Uten kompetente nasjonale fagmiljøer vil norske myndigheter og bedrifter måtte forholde seg til utenlandske aktører for å innhente kvalifiserte vurderinger og råd om kryptografiske systemer. Dette vil være uheldig sett fra et nasjonalt sikkerhetsperspektiv.
For å bidra til å sikre nødvendig nasjonal kryptokompetanse og stimulere til innovasjon og produktutvikling vil Forsvarsdepartementet og Justis- og beredskapsdepartementet revidere nasjonal kryptopolitikk.13
Fotnoter
Et forum der private ekomtilbydere og sikkerhetsmyndigheter deler relevant informasjon.
Nytt navn fra 1. juli 2017 vil være EkomCERT.
Meld. St. 27 (2015–2016) Digital agenda for Norge.
Ansvaret for arbeidet med IKT-sikkerhet i olje- og gassektoren ligger hos Arbeids- og sosialdepartementet og følges opp av Petroleumstilsynet.
Norsk olje og gass’ retningslinje 104: Anbefalte retningslinjer krav til informasjonssikkerhetsnivå i IKT-baserte prosesskontroll-, sikkerhets- og støttesystemer.
Flere aktører kartlegger aktivt norsk digital infrastruktur. Sommeren 2014 ble det blant annet gjennomført en omfattende kartleggingskampanje mot flere virksomheter innenfor kraft- og petroleumssektorene i Norge.
Mattilsynets veileder til forskriften: http://www.mattilsynet.no/mat_og_vann/vann/ veiledning_til_drikkevannsforskriften__10_forebyggende_ sikring.25134
NOU 2017: 11 Bedre bistand. Bedre beredskap. Fremtidig organisering av politiets særorganer.
Electronic identification and trust services (eIDAS).
Difis veiledningsmateriell «Internkontroll i praksis»: http://internkontroll.infosikkerhet.difi.no/.
Veileder i sikkerhetsstyring, NSM (2015).
Rolling Plan for ICT Standardisation, European Commision (2017).
Meld. St. 10 (2016–2017) Risiko i et trygt samfunn.