Del 2
Situasjonsbeskrivelse

3 Rettsstatsprinsipper og grunnleggende samfunnsverdier

I Sårbarhetsutvalgets utredning fra 2000 slås det fast at IKT-systemene er blitt en av samfunnets bærebjelker, og at samfunnet er blitt mer sårbart for svikt i disse systemene.1 Denne utredningen fikk bred omtale og oppfølging. Utredningen ble i 2006 fulgt opp av Infrastrukturutvalget, som kartla landets kritiske infrastruktur og kritiske samfunnsfunksjoner.2 Først ut i rekken med sårbarhetsutredninger knyttet til bruk av IKT var imidlertid Seip-utvalget i 1986 med Datateknikk og samfunnets sårbarhet.3 I utredningen uttrykkes det:

«Datateknikk og telekommunikasjon har skapt store forandringer i næringsliv og offentlig forvaltning. I løpet av drøye 20 år er EDB tatt i bruk i større eller mindre grad på de aller fleste områder, skritt for skritt innen den enkelte bedrift/institusjon, uten at man samtidig har tilstrebet noen samlet oversikt over EDB-avhengighet og samfunnsmessige konsekvenser. Dette har ført til nye og uoversiktlige strukturer og avhengighetsforhold innen næringsliv og forvaltning.»

Siden den gang er Internett og IKT-systemer blitt stadig mer integrert i alle deler av samfunnet, herunder i kritiske samfunnsfunksjoner. Utviklingen har ført til økt avhengighet av IKT, en avhengighet som også gjør samfunnet mer sårbart for svikt og angrep på grunn av utilstrekkelig IKT-sikkerhet. Se vedlegg 25.3 «Oppsummering av sentrale utvalg».

I et overordnet samfunnsperspektiv vil en forsvarlig ivaretakelse av utfordringer på sårbarhets- og sikkerhetsområdet være avgjørende for å opprettholde rettsstatens og demokratiets grunnleggende verdier. På samme tid kan nettopp disse samme verdiene komme under press i møte med andre utfordrende digitale muligheter, for eksempel overvåking av enkeltindividet eller befolkningen som sådan. Det er et mål å kunne håndtere sårbarhet på en slik måte at det ikke forrykker balansen mellom borgerne og myndighetene.

Forslag til tiltak for å redusere sårbarheten og styrke samfunnssikkerheten må derfor belyse hvilke konsekvenser de kan ha både for hver enkelt av de verdiene vi legger til grunn for et sunt og velfungerende samfunn, og for summen av dem. I tråd med mandatet vil derfor utvalget i så stor grad som mulig vise til områder der vi ser at det er utfordrende å opprettholde en god balanse mellom forsvarlig håndtering av digital sårbarhet og de grunnleggende samfunnsverdiene.

Våre grunnleggende samfunnsverdier kommer til utrykk både i nasjonal og i internasjonal rett. Grunnloven og rettssystemet vårt bygger på rettsstatsprinsipper som legalitetsprinsippet, rettssikkerhetshensyn, demokratihensyn og menneskerettigheter, herunder personvern, ytringsfrihet og forsamlingsfrihet. Det er disse verdiene som er fundamentet for reguleringen av det innbyrdes forholdet mellom statsmaktene ved maktfordelingsprinsippet og forholdet mellom staten og befolkningen.

Grunnloven og menneskerettighetskonvensjonene vi har forpliktet oss til å overholde, har avgjørende betydning for forholdet mellom stat og individ på mange områder. Dette gjelder også for samfunnets håndtering av digital sårbarhet. Disse samfunnsverdiene kan ses på som «dørvoktere» for statens adgang til å gripe inn i befolkningens og enkeltindividets rettigheter og friheter.

De siste endringene i Grunnloven, fra 2014, styrker vernet om flere grunnleggende menneskerettigheter, herunder retten til privatliv, personvern, ytringsfrihet og krav på rettssikkerhet. Endringen av Grunnloven § 102 utvider vernet om enkeltindividet eksplisitt ved at enkeltindividets kommunikasjon også omfattes, og ved at «statens myndigheter skal sikre et vern om den enkeltes integritet». Fordi bare noen få menneskerettigheter er tatt inn i Grunnloven, er det viktig at Grunnloven viser til menneskerettsloven4, som slår fast at visse menneskerettighetskonvensjoner gjelder som norsk lov, og at disse reglene går foran annen norsk lov ved eventuell motstrid. Det finnes i tillegg flere lignende reguleringer i andre deler av lovgivningen, for eksempel innen straff, prosess, utdanning, diskriminering og barns rettigheter.

3.1 Digital ivaretakelse av grunnleggende samfunnsverdier

Den digitale utviklingen har skapt nye og bedre forutsetninger for å ivareta mange av de grunnleggende samfunnsverdiene. Digitaliseringen har gitt nye muligheter for samspill og informasjonsutveksling mellom befolkningen og offentlige myndigheter. I dag er det en helt annen grad av åpenhet i offentlig forvaltning, noe som bidrar til at den enkelte kan foreta informerte valg fordi det er enklere å få innsyn i viktige beslutninger og arbeidsprosesser i forvaltningen.

Det er også grunn til å anta at etableringen av nettbaserte rettslige informasjonssystemer, som for eksempel Lovdata, har sikret en større grad av likebehandling og dermed gitt bedre rettssikkerhet gjennom tilgangen til lovforarbeider, oppdaterte rettsregler, sentrale forvaltningsavgjørelser og dommer.

Internett-tilgang og nettpublisering har ikke minst endret forutsetningene for enkeltindividets adgang til å benytte retten til å ytre seg. Mulighetene for frie ytringer er tilnærmet uendelige gjennom et mangfold av ulike nettfora som når frem til ulike deler av befolkningen, noe som ikke var mulig i «førdigital tid». Ikke minst har Internett gitt tilgang til kunnskap som tidligere var lite tilgjengelig, og som både forutsatte kjennskap til hva man skulle lete etter, og som likevel var tidkrevende å finne frem til.

Digitalisering har ført til langt mer effektiv kommunikasjon og tilgang til informasjon, både for befolkningen, det private næringslivet og offentlig forvaltning. Effektivisering har derfor vært et sentralt argument for videreutviklingen av digitale tjenester og oppgaver i både privat og offentlig sektor.

Utviklingen har foregått i et ekstremt raskt tempo. Den digitale utviklingstakten synes å ligge konstant i forkant av tilstrekkelig kunnskap hos mange aktører som har tatt de teknologiske mulighetene i bruk. Negative konsekvenser av bruken har i liten grad vært overskuelige på det tidspunktet mange IKT-systemer ble etablert. Risiko og sårbarhet har ofte blitt kjent etter at IKT-systemene ble tatt i bruk, og er som regel blitt forsøkt utbedret i etterkant. Denne sårbarheten eksponeres ytterligere når stadig nye programvarer kobles til gamle systemer i kombinasjon med bruk av Internett som infrastruktur. Mange IKT-systemer representerer en vesentlig grad av usikkerhet og sårbarhet på grunn av dette. I et sårbarhetsperspektiv kan man spørre seg om det har vært en utilsiktet aksept av risiko i både privat og offentlig sektor.

3.2 Menneskerettigheter

De internasjonale menneskerettighetene ble utviklet i kjølvannet av andre verdenskrig. Bakteppet var de massive krenkelsene av individets integritet og verdighet særlig under nazistenes styre i Tyskland og okkuperte land. Siden har andre overgrep og annen urett preget utviklingen av rettighetene. Normene er i dag like relevante for velfungerende demokratier som for stater med grove og systematiske brudd på rettighetene.

Menneskerettighetene tar utgangspunkt i at hvert enkelt menneske har et sett av grunnleggende rettigheter og friheter. Disse rettighetene og frihetene skal være med på å utvikle frie, selvstendige individer som bidrar positivt i samfunnet. En underliggende tanke er at dette igjen skal hindre at nye kriger og samfunnskollapser oppstår.

Ansvarsfordelingen på menneskerettighetsfeltet er enkel: Individene er rettighetshavere, mens forpliktelsene påhviler staten. Forpliktelsene innebærer at staten både skal avstå fra krenkelser av den enkelte borger og bidra til at rettighetene oppfylles. Retten til liv kan tjene som eksempel: Staten skal ikke ta liv, og den skal samtidig etablere politi, rettsvesen og grunnleggende helsetilbud som bidrar til at liv ikke berøves.

Menneskerettigheter har relevans for håndtering av digital sårbarhet i ulike sammenhenger, både langs en negativ og langs en positiv akse. Om myndighetenes intensjoner er aldri så gode, kan krenkelser oppstå. Det er derfor viktig at de ulike tiltakene som blir foreslått, vurderes opp mot menneskerettighetene og i samsvar med kravene i Utredningsinstruksen kapittel 2.3.2.5 Det er laget en veileder til Utredningsinstruksen som stiller krav til «vurdering av personvernkonsekvenser». Dette kravet er særlig aktuelt i forbindelse med den økte digitale innsamlingen og bruken av personopplysninger. Det sentrale vurderingstemaet er om rettigheter krenkes eller ikke i de konkrete enkeltsakene, ikke om det er formelle ordninger på plass.

Selv om koblingene er mange og viktige, er det ikke opplagt at menneskerettighetsspørsmål blir behandlet grundig når sårbarhet drøftes. Eksempelvis er ordet menneskerettighet bare benyttet én gang i 22. juli-kommisjonens rapport (NOU 2014: 14). Dette betyr ikke nødvendigvis at tilsvarende eller lignende vurderinger ikke er gjort, men det er vesentlig at slike vurderinger forankres i de internasjonale normene, og at vurderingene synliggjøres. Dette vil sikre grundigere faglige analyser, og både vurderingene og konklusjonene kan lettere være gjenstand for rettslig og/eller demokratisk kontroll.

I det følgende skal vi se på noen sentrale menneskerettigheter og hvilken betydning håndteringen av digital sårbarhet kan ha for disse.

3.2.1 Retten til liv

Retten til liv kan kobles med digital sårbarhet på ulike vis. I ekstreme situasjoner vil manglende sikring av personopplysninger kunne ramme den enkeltes rett til liv, slik de norske registrene over jøder under andre verdenskrig åpnet for uttransportering til dødsleirer i Tyskland. Svikt i digitale systemer kan også resultere i unødvendige dødsfall, for eksempel der styringssystemer for flytrafikk svikter, eller når en situasjon som togulykken ved Åsta oppstår. Det kan også vurderes om mangelfull eller svak overvåking i saker om terror og massiv kriminalitet kan krenke retten til liv, som ved Breiviks angrep i Oslo og på Utøya eller Nokas-ranet i Stavanger, jf. for eksempel NOU 2014: 14. Gjørv-kommisjonen trekker frem denne problemstillingen og et eventuelt behov for at PST må «få tilgang til effektive metoder også innenfor IKT-basert informasjonsinnhenting, knyttet til de konkrete sakene hvor det foreligger et reelt behov for å undersøke om noen er i ferd med å planlegge et terrorangrep».

Retten til liv kan også pålegge myndighetene å bruke digitale løsninger på en bedre måte. Et eksempel er pasientinformasjon, der problemstillingen like gjerne er beskyttelse av personsensitiv informasjon som en mulig plikt for myndighetene til å iverksette bedre og raskere informasjonsflyt, for eksempel om blodtype eller medisinbruk for skadde i trafikkulykker. Utviklingen går fort, og når det for eksempel finnes løsninger utviklet av bilprodusenter for automatisk varsling av bilulykker, kan også staten bli ansvarlig.

3.2.2 Retten til privatliv

Retten til respekt for privatlivet, inkludert familie, hjem og korrespondanse, er en menneskerettighet som favner vidt. Menneskerettighetenes definisjon av privatliv omfatter også personvern, jf. neste avsnitt. Dermed er det mange koblinger til digital sårbarhet og samfunnets håndtering av dette. For eksempel vil det være aktuelt og nødvendig å vurdere ulike typer digital overvåking opp mot menneskerettighetene. Eksempler kan være manipulering av nettbaserte kameraer, alarmsystemer, mobile enheter og smart-TV. Tilsvarende avveininger må foretas for bruk av digitale løsninger til kontroll av kommunikasjon, som e-postprogrammer og bildedelingstjenester jf. også NOU 2014: 14, side 390 og videre.

En annen type problemstilling kan være behov for varsling av befolkningen og retten til privatliv. Ved behov for varsling av befolkningen, for eksempel ved spesielt risikoutsatte områder, er det etablert og vurderes etablert varsling av befolkningen via SMS. Slike tiltak fra offentlige myndigheters side kan anses som et tiltak for å beskytte innbyggernes liv, helse og hjem, som alle er godt etablerte menneskerettigheter. Men en effektiv SMS-varsling innebærer også avveininger og problemstillinger, som for eksempel individuell sporingsmulighet.

3.2.3 Rett til vern om personlige opplysninger

I den europeiske menneskerettighetskonvensjonen (EMK) artikkel 8 understrekes enkeltindividets krav på å ha en beskyttet privatsfære, og dette er fundamentet for EUs regulering av personopplysninger i direktiv 95/46 EF. Direktivet ligger til grunn for den norske personopplysningsloven, og det er tilnærmet likelydende lovgivning i de øvrige europeiske landene innenfor EU- og EØS-samarbeidet. Personvern er i menneskerettslig forstand en del av retten til respekt for privatlivet. Personvern er ikke et helt presist begrep, men i digital sammenheng siktes det til den enkeltes rett til og reelle mulighet til både å ha kunnskap om og rådighet over bruken av egne personopplysninger. I personopplysningsloven er personopplysninger definert som «opplysninger og vurderinger som kan knyttes til en enkeltperson». Personopplysningsloven regulerer enhver bruk av personopplysninger, det være seg innsamling, lagring, prosessering, videreformidling, salg m.fl.

Mange personopplysninger er i seg selv alminnelige og lite sensitive, men kan likevel gi omfattende informasjon om den enkelte dersom de kobles sammen. Andre personopplysninger, som for eksempel om DNA, er i seg selv både omfattende og sensitive. Det er åpenbart at både den enkelte og samfunnet vil ha nytte av at mange personopplysninger er lett tilgjengelige, for eksempel ligningsopplysninger, blodtyper og allergier, men denne nytten må veies opp mot faktorer som enkeltindividets råderett, fare for misbruk, regulering av overskuddsinformasjon, og så videre.

Koblingene mellom personvern og digital sårbarhet er mange. Her skal det nevnes at to fundamentalt ulike perspektiver ofte preger denne debatten: Det ene er at retten til selv å råde over sine personopplysninger er nær sagt ukrenkelig, det andre at myndighetene bør få tilgang til flest mulige personopplysninger for å beskytte samfunnet og enkeltindividene. I en menneskerettslig kontekst kan det første synspunktet sies å bygge på retten til privatliv, mens det andre bygger på retten til liv og helbred. Snowden-saken illustrerer dette spennet. Hans avsløringer av den massive overvåkingen fra amerikanske myndigheters side, særlig etter 11. september, oppfattes av mange som et helt uforholdsmessig og massivt inngrep i personvernet, og mange gir ham sin støtte. Andre mener at avsløringene bidrar til å hindre at myndighetene kan sikre liv og helse i USA.

EUs datalagringsdirektiv er et lignende eksempel. Direktivet ble vedtatt med henvisning til behovet for å styrke innsatsen mot terrorisme og organisert kriminalitet, men ble siden opphevet av EU-domstolen. Domstolen slo fast at direktivet på en særlig alvorlig måte åpnet for inngrep i privatlivet og beskyttelse av private data. Selv om direktivet fremmet visse samfunnsbehov, var det ikke tilstrekkelig proporsjonalitet mellom inngrepene og de målene som skulle fremmes. Domstolen fremhevet at inngrepene gikk utover det som var strengt nødvendig for å nå formålene. Ett av momentene i avgjørelsen var at det ikke var etablert tilstrekkelig beskyttelse mot misbruk.

3.2.4 Retten til frie ytringer

En viktig forutsetning for reell ytringsfrihet er tilgang til effektive kommunikasjonskanaler. Retten til å ytre seg og til å motta informasjon er i stor grad knyttet til digitale løsninger. Trykte aviser erstattes mer og mer av Internett-baserte aviser, og trykte bøker erstattes av e-bøker. Film og musikk «strømmes» via Internett og erstatter fysiske medier. En parallell og viktig utvikling er at ytringsfrihet flyttes fra etablerte mediehus med profesjonelle journalister og redaktører over til enkeltpersoner som benytter kommunikasjonskanalene direkte, uten mellomledd. Vanlige blogger, men også øyevitneobservasjoner og bildeopptak fra ulykker eller demonstrasjoner, er eksempler på det.

Når ytringsfriheten gjøres avhengig av digitale løsninger, har myndighetene et ansvar for å sikre at de digitale tjenestetilbudene er innrettet slik at rettighetene kan realiseres. Tilbudene må ha tilstrekkelig kapasitet og driftssikkerhet, slik at de ikke kollapser ved viktige samfunnshendelser, og de må være trygge nok til å hindre manipulering fra eksterne, slik at for eksempel journalister kan legge til grunn at den offentlige informasjonen er gyldig. Gitt at digital kommunikasjon er viktig for samfunnet og demokratiet, kreves det at myndighetene må regulere og styre markedet, slik at det ikke er private tilbyderes posisjon som avgjør hvor grensene for ytringsfrihet går, ved bruk av sensur og styring av sosiale medier. Befolkningen, individer og organisasjoner må ha berettiget tillit til tjenestene de bruker for sine ytringer. I motsatt fall vil vi se en nedkjølingseffekt som begrenser ytringsfriheten ved for eksempel lagring og videre analyse av informasjon på Google, ved at andre lands myndigheter kan overvåke befolkningen, jf. Snowden-saken, eller ved at journalister frykter at overvåkingstjenester får tilgang til kildene deres. Den digitale sårbarheten innenfor ytringsfrihetsfeltet favner altså vidt.

Ytringsfrihetskommisjonens NOU 1999: 276 oppsummerte politisk og personlig frihet til å omfatte tre elementer: sannhetsprinsippet om at bedre innsikt bare kan nås gjennom meningsutveksling der fremsatte påstander kan korrigeres i konfrontasjon med andre meninger, autonomiprinsippet om at vi fritt kan teste ut våre tanker, utdype og drøfte dem med andre uten kontrollører, og demokratiprinsippet om offentlig meningsutveksling. Realiseringen av disse tre prinsippene og ytringsfrihet forutsetter et skille mellom ytringer i det offentlige rom og ytringer i det private rom. Kommisjonen skrev også:

«Man kan bare utvikles som menneske ved at man har et rom der man kan føle seg fri fra å måtte stå til ansvar for hva man sier eller gjør overfor ytre, ukjente kontrollører. Den offentlige samtale i et fritt samfunn har sitt utgangspunkt i slike fri og utvungne prosesser, den springer frem fra den beskyttede privatsfære.»

3.2.5 Forsamlingsfrihet

Forsamlingsfriheten er en sentral rettighet for å sikre og videreutvikle demokratiet. De siste års utvikling av IKT har påvirket denne rettigheten særlig i to henseender: det ene er at informasjon om grupperinger og organisasjoner spres via Internett, det andre at IKT-plattformer benyttes som forsamlingsarenaer, for eksempel som erstatning for møter og demonstrasjoner på offentlige torg, i parker og i gater.

Sikkerhetstiltak som har som formål å redusere digital sårbarhet, kan ha betydning for forsamlingsfriheten i ulike sammenhenger. Det ene og åpenbare er systematisk individuell overvåking eller masseovervåking som IKT-løsninger åpner for, slik at myndigheter og andre kan skaffe seg informasjon om hvem som har deltatt i forsamlingene, og når. Men det er også muligheter for manipulering av invitasjoner, utestenging av aktører fra IKT-nettverk, tjenestenekt med mer. Mye av dette er kjente eksempler fra forsamlingsarbeid under og etter den arabiske våren.

Myndighetenes ansvar kan være relatert til at de selv gjør inngrep, eller til at de ikke i stor nok grad sikrer beskyttelse og realisering av rettigheten ved for eksempel å tillate private tjenestemonopolordninger, eller ved at de ikke stiller strenge nok krav til stabil infrastruktur, at det ikke er etablert hindre for diskriminering eller utestenging av tjenester, og så videre.

3.3 Menneskerettighetsbrudd

Håndtering av digital sårbarhet henger sammen med menneskerettigheter, men ikke alle situasjoner omfattes av menneskerettighetsvernet. Før man kan ta stilling til om en situasjon reguleres av en rettighet eller ikke, kreves det ofte omfattende juridiske vurderinger. De ulike rettighetene utgjør også en helhet, slik at ett enkelt forhold kan omfatte ulike rettigheter. Det blir dermed ofte en avveining av rettighetene mot hverandre, der vekten av de ulike interessene og argumentene avgjør utfallet.

Selv i situasjoner der det er klart at myndighetene gjør inngrep i rettighetene, kan dette ofte forsvares gjennom den såkalte inngrepshjemmelen. Eksempelvis vil individer måtte tåle inngrep i sitt privatliv dersom myndighetene har behov for å overvåke dem for å hindre omfattende samfunnsskade. Slike inngrep er lovlige bare dersom de tre følgende vilkårene er oppfylt: (1) at det finnes hjemmel/rettsgrunnlag, (2) at inngrepet søker å nå visse oppsatte formål, og (3) at det er nødvendig i et demokratisk samfunn.

Det er særlig vilkåret om at inngrepet skal være nødvendig i et demokratisk samfunn, som kan være vanskelig å oppfylle. Dette kravet er i noen grad presisert gjennom en lang rekke dommer avsagt av Den europeiske menneskerettighetsdomstolen.7 Ett delkrav knytter seg til proporsjonalitet mellom mål og middel. Proporsjonalitetskravet, eller forholdsmessighetskravet, som det også kalles, åpner for en helt konkret balansering av nødvendigheten av hensyn som taler for inngrep og hensyn som taler for å sikre den enkeltes rettigheter.

Domstolene vil her kreve at det er utredet alternative løsninger, og at det minst inngripende tiltaket velges der det finnes reelle valgmuligheter. Det er bare inngrep som kommer av et presserende samfunnsbehov, som blir akseptert. Det holder dermed ikke å forsvare inngrep med at de er effektive, lønnsomme, enkle å iverksette eller lignende. Domstolene vil også kreve at myndighetenes begrunnelse for inngrepet er relevant og tilstrekkelig. Relevansen går tilbake til interesseavveiningen: De argumentene som benyttes, må ha reell betydning i den beslutningskjeden som leder frem til at inngrepet iverksettes. Tilsvarende er det med kravet om at argumentene skal være tilstrekkelige: Det holder ikke at de angir en ønsket retning, og de må ikke være fremstilt ufullstendig. Her stilles det strenge krav til lovgiveren, men ikke minst til forvaltningen: Det er ikke tilstrekkelig å si at en konkret løsning har «de beste grunner» eller at «man etter en totalvurdering konkluderer med» denne løsningen. Det er dermed ikke bare en prøving av resultatet, men også av argumentasjonskjeden, som har ledet frem til resultatet.

Det spiller også inn hvilke kontroll- og sikringsmekanismer som er iverksatt. Disse mekanismene prøves helt konkret mot det konkrete inngrepet og effekten det har for den enkelte. Videre har det betydning hvor bredt tiltakene rammer, for eksempel målt opp mot antall personer og hva slags situasjoner som dekkes, eller hvor lenge tiltakene er ment å vare. Jo mer avgrenset og presist inngrepet er, jo enklere er det for myndighetene å forsvare det. Særlig innen IKT-reguleringer er dette siste argumentet viktig, slik det også ble vist i EU-domstolens behandling av saken om datalagringsdirektivet.

Myndighetene har en viss skjønnsmargin i sin forvaltning, men i siste instans er det domstolene som avgjør hvor langt denne går. Skjønnsmarginen vil variere over tid og med de interessene og rettighetene som prøves. Domstolene vil typisk gå dypere inn i saker som er typisk rettslige (som kvaliteten på lovhjemmelen og sikrings- og kontrollmekanismer), enn saker som har mer med politikk og etikk å gjøre. Den nasjonale skjønnsmarginen farges også av situasjonen i sammenlignbare land. Eksempelvis vil Den europeiske menneskerettighetsdomstolen se hen til andre lands praksis, og de henter ofte inn komparative analyser i sine avgjørelser. I flere saker om inngrep i privatliv og ytringsfrihet har Den europeiske menneskerettighetsdomstolen lagt til grunn at statene har en mer begrenset skjønnsmargin når det gjelder disse rettighetene.

I særlige tilfeller kan statene gjennom derogasjon8 gjøre generelle inngrep i menneskerettslige forpliktelser utover det som følger av den individuelle inngrepshjemmelen. Vilkårene etter for eksempel EMK artikkel 15 er svært strenge – artikkelen kan kun påberopes under «krig eller annen offentlig nødstilstand som truer nasjonens sikkerhet» – men bestemmelsen vil kunne være aktuell i flere av de situasjonene som denne meldingen omhandler. Det skal også sies at enkelte rettigheter har et absolutt vern mot inngrep/derogasjon.

Inngrepshjemmel og derogasjon sier noe om hvordan myndighetene kan beskjære menneskerettighetene for å fremme andre interesser. Vel så viktig er det å ha det perspektivet at myndighetene også har en positiv plikt til å bidra til å realisere menneskerettigheter. Her vil det ofte være spørsmål om tilgang til ressurser som slår inn: Har man råd til å etablere så trygge løsninger som ønskelig for å sikre gjennomføring av visse rettigheter? Evalueringene etter Åsta-ulykken, Nokas-ranet og 22. juli viser at det også er et annet spørsmål som kommer inn, og som kan være avgjørende: Er det tilstrekkelig bevissthet, årvåkenhet og planleggingsevne i samfunnet og hos myndighetene om disse spørsmålene?

4 Hva er digitale sårbarheter?

4.1 Sårbarhetsbegrepet

Sårbarhetsbegrepet står sentralt i denne utredningen. Sårbarhetsutvalget definerte sårbarhet som

«et uttrykk for de problemer et system får med å fungere når det utsettes for en uønsket hendelse, samt de problemer systemet får med å gjenoppta sin virksomhet etter at hendelsen har inntruffet».9

Å gjenopptasin virksomhet handler om at systemet igjen kan ivareta sine oppgaver, men ikke nødvendigvis på nøyaktig samme måte som før. Det er et mål at gjenopprettingen skjer på en måte som gjør systemet mer robust, slik at lignende hendelser kan tåles i fremtiden. Robusthet er et uttrykk for den motstandskraft et system har mot en uønsket hendelse, samt den evne systemet har til å gjenoppta sin virksomhet etter at hendelsen har inntruffet.

Uønskede hendelser kan være både tilsiktede og utilsiktede. En tilsiktet hendelse er forårsaket av en aktør som gjennom målrettede handlinger utløser den uønskede hendelsen. En utilsiktet hendelse kan skyldes værfenomener, jordskjelv og systemsvikt, eller den kan være forårsaket av uhell, uforsiktighet eller uvitenhet.

Lysneutvalgets arbeid har omfattet å se på digitale sårbarheter på flere nivåer av systemer:

1. Sårbarheter som knyttes direkte til IKT-systemer, både logiske og fysiske feil. Slike sårbarheter kjennetegnes ved svakheter, feildesign eller feilimplementering.

2. Sårbarheter i selve samfunnsfunksjonene som er forårsaket av svikt i IKT-systemer, og ved at svakheter arves av feil i IKT-systemer.

Den sårbarheten som samfunnet står overfor til enhver tid, faller i én av to kategorier:

1. Sårbarheter som er kjent og akseptert fordi det blir vurdert at kostnadene ved de aktuelle tiltakene ikke står i forhold til skadepotensialet, trusselen eller verdien.

2. Sårbarheter som ikke blir gjenstand for tiltak fordi sårbarheten enten er ukjent, feilvurdert, ikke forstått eller mangelfullt kommunisert.

Restsårbarhet er et begrep som beskriver den sårbarheten man sitter igjen med etter at sårbarhetsreduserende tiltak er gjennomført. Utvalget mener det er de sårbarhetene som ikke er erkjent, som utfordrer oss både som samfunn og som enkeltmennesker. Utvalget er av den oppfatning at ukjente, feilvurderte, ikke forståtte eller mangelfullt kommuniserte sårbarheter er et spesielt omfattende problem innenfor de digitale sårbarhetene.

Denne utredningen omhandler digitale sårbarheter som ligger i grenseflatene mellom digital informasjonsbehandling, digital kommunikasjon og digital styring. Eksempler på digital styring er kontroll av adgang, lys, varme og ventilasjon i bygg, førerstøtte i transportmidler, regulering av trafikk og kontroll med infrastruktur som strøm- og vannforsyning.

Dagens IKT-systemer er fremdeles umodne, og risikoen for at uvedkommende får innsyn i sensitiv informasjon, har økt i takt med digitaliseringen. Det er fremdeles mangelfulle mekanismer for å bekrefte identitet over digitale kommunikasjonskanaler, og teknologiens interaksjon med fysiske prosesser blir allerede misbrukt for å utføre sabotasje, for eksempel ved tilsiktet overbelastning som medfører fysisk skade.

4.2 Verdivurdering

Verdivurdering handler om å etablere en oversikt over de verdiene som finnes.10 I verdivurderinger identifiseres verdier, og man forsøker å estimere skade som uønskede hendelser kan få for verdiene. Utfordringene knyttet til verdivurderinger blir tydelige når informasjon i og avhengigheten av IKT-utstyret skal vurderes.

Verdibegrepet, slik det er benyttet i denne utredningen, bidrar til å identifisere hvilke kritiske samfunnsfunksjoner det er viktigst å opprettholde.

Bortfall av IKT-tjenester kan i løpet av kort tid føre til store tap i produktivitet og inntjening. Det kan være svært kostbart å gjenskape informasjon dersom den går tapt. Informasjon som kommer i gale hender, kan gi utslag i negativt omdømme, i tillegg til store skader for kunder dersom det er snakk om sensitive personopplysninger.

Å verdivurdere det som er eksponert for sårbarheter, viser seg i mange tilfeller å være svært komplisert. Internasjonal litteratur indikerer at digitale trusler er spesielt vanskelig å kvantifisere, i særlig grad gjelder dette trusselen fra tilsiktede handlinger.111213 Verdikjeder med komplekse avhengigheter på tvers av sektorer og virksomheter gjør det vanskelig å kartlegge omfanget av verdier som er eksponert for sårbarheter. NSM har utgitt veiledning i verdivurdering.14

4.3 Trussel og fare

Trussel kan defineres som «en mulig årsak til en uønsket hendelse».15 Begrepet brukes både om kapasitet og intensjon til å gjennomføre skadelige handlinger og til å beskrive faren ved konsekvensene av utilsiktede hendelser.16 I norsk straffelov brukes trusselbegrepet om aggressive ord eller handlinger. NSM beskriver begrepet trussel som en tilsiktet uønsket handling.17

Fare er i norske standarder definertsom «handling eller forhold som kan føre til en uønsket hendelse».18 NSM beskriver fare som en utilsiktet uønsket hendelse.

4.4 Risikovurdering

Formålet med risikovurderinger er å prioritere begrensede ressurser i arbeidet med å oppnå ønsket sikkerhetsnivå. Iverksatte tiltak kan være forebyggende, det vil si at de reduserer sannsynligheten for at en uønsket hendelse skal skje. Tiltak kan også være konsekvensreduserende, noe som innebærer at de minimerer konsekvensene i etterkant av en uønsket hendelse. Tilnærmingen til risikobegrepet avhenger av hvilket fagmiljø man kommer fra, og formålet med risikovurderingen.

Risiko kan uttrykkes som en kombinasjon av sannsynligheten for og konsekvensen av en uønsket hendelse.19 Metoden har god forankring i bruksområder rettet mot utilsiktede hendelser. Risiko kan også uttrykkes som forholdet mellom trusselen mot en gitt verdi og denne verdiens sårbarhet overfor den spesifiserte trusselen.20 Trusselen blir estimert basert på vurderinger av trusselaktørens kapasitet, evne og vilje til å påføre skade. Denne fremgangsmåten benyttes mot tilsiktede uønskede handlinger der man må forholde seg til en strategisk og kalkulerende trusselaktør som er i stand til å tilpasse seg sikringstiltak og endrede rammebetingelser.

FFI har utgitt en rapport der de sammenligner disse to standardene for risikovurdering.21 FFI konkluderer i sin rapport med at tilnærmingene har mange likhetstrekk, og at forskjellen hovedsakelig ligger i hvorvidt sannsynlighetsvurderingen er eksplisitt eller implisitt. I rapporten skriver de at begge modellene har svakheter knyttet til hvordan de kommuniserer usikkerheten knyttet til risikoen, og at det verken nasjonalt eller internasjonalt eksisterer en beste fremgangsmåte for å vurdere tilsiktede uønskede hendelser.

Disse begrepene eller nært beslektede begreper finner man igjen i standarder og mønsterpraksisdokumenter fra ENISA22 og World Economic Forum.2324 I ISO 27005 defineres risiko som «potensialet for at en gitt trussel vil utnytte sårbarhetene til et sett av verdier og derigjennom å forårsake skade».

5 Sikring av IKT og digital informasjon

5.1 Hva er IKT-sikkerhet?

Ulike begreper blir brukt om det digitale sikkerhetsarbeidet, blant annet informasjonssikkerhet, IKT-sikkerhet og cybersikkerhet. I Norge er begrepene brukt om hverandre de siste årene. I den nasjonale strategien på området utgitt i 201225 brukes begrepet informasjonssikkerhet. Informasjonssikkerhetsbegrepet handler om sikring av informasjon, uavhengig av om den er digital eller analog. I kongelig resolusjon av 201326 er begrepet IKT-sikkerhet brukt. I Forsvarsdepartementets cyberretningslinjer fra 2014 benyttes begrepet cybersikkerhet. Internasjonalt brukes også ofte begrepet cybersikkerhet, der cyber henviser til alt cyberdomenet består av – datasystemer og kommunikasjonsinfrastruktur, i tillegg til informasjonen som lagres og overføres. Cybersikkerhet handler derfor om å beskytte «alt» som er sårbart fordi det er koblet til, eller på annen måte er avhengig av informasjon- og kommunikasjonsteknologi.

En svensk offentlig utredning fra 2015 tillegger cybersikkerhet en mer internasjonal strategisk betydning, mens informasjonssikkerhet henviser til teknisk beskyttelse og standardisering:

«Cybersäkerhetsbegreppet är mer strategiskt och fokuserar mer på nationella och internationella nätverk. Därmed har cybersäkerhet en större internationell räckvidd med t.ex. folkrättsliga frågeställningar och normer på cyberområdet än det mer tekniska informationssäkerhetsbegreppet. Det senare har en större tyngdpunkt mot hård- och mjukvara samt standardisering.»27

Utvalget benytter i denne NOU-en begrepet IKT-sikkerhet, og legger til grunn hele spekteret av digitale sårbarheter (se punkt 4.1 «Sårbarhetsbegrepet»). Videre legger utvalget til grunn at IKT-sikkerhet er synonymt med cybersikkerhet.

Sikkerhet innebærer beskyttelse mot farer og trusler som kan forårsake uønskede hendelser. Høy grad av sikkerhet gir en trygghetsfølelse, og i noen situasjoner kan følelsen av trygghet være vel så avgjørende som det objektive sikkerhetsnivået, selv om disse ikke nødvendigvis er sterkt korrelert med hverandre.

IKT-sikkerhet handler om å beskytte IKT og informasjonen i informasjonssystemer mot uønskede hendelser. Spørsmålet er så hvilke målsettinger – sikkerhetsmål – vi har når vi sikrer oss. De tre mest kjente er konfidensialitet, tilgjengelighet og integritet. Utvalget legger til grunn en vid forståelse av de tre begrepene, men understreker at disse ikke gir et komplett bilde.

Konfidensialitet innebærer beskyttelse mot at informasjon blir kjent for uvedkommende, og dermed at bare de vi gir lov til å se informasjonen, faktisk får se den. Det er verdt å merke seg at konfidensialitetsbrudd i praksis er uopprettelige i det digitale domenet. Et eksempel på konfidensialitetsbrudd er hackingen av SnapSave, som førte til at private bilder og videoer ble spredt på diverse fildelingsnettverk i 2014.

Tilgjengelighet innebærer at informasjon og tjenester er tilgjengelige når de trengs. For noen år siden, da Norge startet med digitale selvangivelser, var det mange som frustrert ble møtt med at tjenesten ikke var tilgjengelig rett etter at selvangivelsen ble sluppet. Tjeneren hadde ikke ressurser til å håndtere tilstrekkelig antall samtidige oppkoblinger, og dermed klarte den ikke å levere tjenesten til alle. Dette er et eksempel på utilsiktet tjenestenekt. Et annet eksempel er sanntidsoverføring av lyd og bilde, som IP-telefon og videokonferanser. Det ligger i designet til Internett at datatrafikk mellom to punkter kan forsvinne underveis dersom det er stor belastning på nettet. Dette opplever vi som uklar lyd og hakkete bilde.

Integritet innebærer at informasjon er til å stole på, og at systemer og tjenester fungerer slik det er tenkt. Informasjonen skal være korrekt og gyldig. Bare de som har lov til å endre informasjonen, får endret den. Relatert til integritet har vi autentisitet, som handler om å sikre opphavet til informasjonen, for eksempel bekrefte identiteten til en sendt melding. Nært relatert har vi også ikke-fornekting (non-repudiation), som handler om at en digital handling ikke skal kunne benektes i etterkant. Innen digital kontraktsinngåelse ønsker man for eksempel ikke en situasjon der motparten kan fornekte en signert kontrakt i ettertid. Det er mange eksempler på områder der vi er avhengige av at informasjonen er korrekt, blant annet transaksjoner og kontobalanser i finansnæringen, samt overvåkings- og styringssystemer for industriprosesser og regulering av luftfart. Et eksempel på integritetsbrudd er fra 2013, da utpressingsskadevaren CryptoLocker ble brukt for å presse ofre til å betale for å få tilgang til filene sine igjen. Rent teknisk var dette en ikke-ønsket – såkalt uautorisert – endring av informasjon som medfører at informasjonen ikke lenger er tilgjengelig. Uansett hvor store ressurser samfunnet legger i beskyttelsestiltak, må vi akseptere at vi ikke alltid vil være i stand til å oppfylle sikkerhetsmålene. Ved brudd på sikkerhetsmålene, eller ved sterk mistanke om brudd, sier vi at systemet har blitt kompromittert. Siden vi ikke kan beskytte oss fullstendig mot kompromittering, må vi ha mekanismer som lar oss rydde opp i ettertid og dermed minimere konsekvensene. For mange virksomheter innebærer slik gjenoppretting å reinstallere programvare i påvente av sikkerhetsoppdateringer fra eksterne leverandører. I andre situasjoner kan det være behov langt mer komplekse verifikasjons- og tilbakerullingsprosedyrer, samt endringer i konfigurasjon og rutiner.

Vi kan her trekke frem et fjerde sikkerhetsmål, kalt sporbarhet. Sporbarhet handler om å kunne finne ut hva som har skjedd, i etterkant, for eksempel hvem som har håndtert informasjonen, og hvor den har vært kommunisert. Typiske eksempler er tilgangslogger, endringslogger og andre typer hendelseslogger. Kompromittering av sporbarheten innebærer at det blir vanskelig eller umulig å etterforske i ettertid.

5.2 Motsetninger mellom sikkerhetsmål

Noen ganger er det også motsetninger mellom forskjellige sikkerhetsmål. Sensitiv informasjon kan «låses ned», deles med færrest mulig. På den måten oppnås høy grad av konfidensialitet. Ulempen er at tilgjengeligheten og dermed effektiviteten blir mindre. For eksempel vil det å jobbe i et høygradert IKT-system frakoblet Internett redusere angrepsflaten for dataspionasje, men samtidig gjøre det vanskeligere å kommunisere med omverdenen. Motsatt vil høy grad av tilgjengelighet øke sjansen for at informasjon kommer på avveie eller blir endret på en ukontrollert måte.

Informasjonssikkerhetsfeltet har tradisjonelt vært sterkt fokusert på konfidensialitet, det vil si hemmelighold av informasjon, men ofte kan integritet eller tilgjengelighet være viktigere. For eksempel er mye informasjon i samfunnet offentlig og kravene om konfidensialitet dermed små eller ikke-eksisterende. Det kan likevel ha store konsekvenser dersom informasjonen er feil eller utilgjengelig.

Uttrykket «need to know» handler om at bare de som virkelig trenger informasjonen, bør få tilgang til den. Som et motstykke har begrepet «need to share» oppstått. Tanken bak det er at skadepotensialet ved at allierte mangler kritisk informasjon, kan være større enn om uvedkommende får kjennskap til informasjonen. I militært internasjonalt samarbeid er det eksempler på at liv har gått tapt fordi avgjørende informasjon ikke har kunnet deles. En relatert situasjon har vi ved håndtering av IKT-hendelser der deling av klausulert etterretningsinformasjon potensielt kunne ha avverget nye IKT-innbrudd, men der strategiske hensyn har veid tyngst.

5.3 Sikkerhetsnivå og risikoaksept

Et spørsmål som ofte blir stilt, er om et system er sikkert. Sikkerhet handler om at vi vil oppnå sikkerhetsmål, som blant annet konfidensialitet, integritet, tilgjengelighet og sporbarhet.

Men sikkerhet handler også om hva og hvem vi ønsker å beskytte oss mot. Vi må ta stilling til hva og hvem vi ønsker å beskytte oss mot. Er det tilfeldige feil og svikt? Er det nysgjerrige naboer og teknologisk kyndige tenåringer? Eller er det utro tjenere, organiserte kriminelle og fremmede stater?

Hvilket sikkerhetsnivå som er nødvendig for det aktuelle systemet eller tjenesten, kan vi først avgjøre etter å ha gjennomført en risikovurdering. For å kunne vurdere hvilket sikkerhetsnivå en tjeneste eller et system har behov for, må vi se på helheten, og ikke bare tekniske forhold, men også miljøet systemet eksisterer i, og hvilke trusler og farer vi ønsker å beskytte oss mot.28

For å eksemplifisere kan vi vise til anonymiseringsnettverket The Onion Router (TOR). Formålet med TOR er å skjule egen identitet ved kommunikasjon via Internett. Sammen med noen forholdsvis enkle tiltak gir TOR beskyttelse mot en del trusler, som at Internett-tilbyderen din avlytter deg. Dersom du prøver å beskytte deg mot aktører som har kontroll over store deler av Internett-infrastrukturen, slik enkelte nasjonstater har, finnes det flere måter å bryte anonymitetsbeskyttelsen TOR gir.

Etter å ha foretatt en risikovurdering og definert et sikkerhetsnivå vil det alltid kunne være en restrisiko. En målsetting kan være å ha en oversikt over den konkrete restrisikoen, slik at prioriteringen mellom tiltak blir så hensiktsmessig som mulig. Kriterier for risikoaksept er verbale eller tallfestede uttrykk som setter grenser for hvilken risiko som er akseptabel eller ønskelig. Uakseptabel risiko krever tiltak. Å ha kriterier for risikoaksept betyr ikke at en aksepterer at en ulykkeshendelse inntreffer, men innebærer en erkjennelse av at en ikke kan fjerne all risiko, og at en må prioritere mellom ulike gode risikoreduserende tiltak. Å kunne gjøre gode prioriteringer mellom tiltak kan imidlertid være en ambisiøs målsetting, ikke minst fordi det vil være mange ukjente og usikre størrelser i en slik vurdering. Usikkerheten i nytte–kostnads-vurderinger vil være ekstra stor fordi det også vil være usikkerhet knyttet til sannsynligheten for at den hendelsen man ønsker å forebygge eller ha beredskap mot, faktisk inntreffer, eller ville ha inntruffet dersom tiltakene ikke ble gjennomført. En annen side ved dette er at samfunnets aksept av risiko kan være ulik fra område til område.

5.4 Noen sentrale IKT-sikkerhetstiltak

For å sikre IKT-systemer og digital informasjon har vi bygd opp en «verktøykasse» for å beskytte oss mot både utilsiktede og tilsiktede hendelser. Her gir vi en beskrivelse av de mest essensielle verktøyene vi har.

5.4.1 Menneskelige og organisatoriske sikkerhetstiltak

IKT-politikk, ledelse og rutiner handler om å regulere ønsket bruk av IKT-systemer og informasjonen i dem. Kjente mekanismer er utarbeidelse av strategier og risikovurderinger, lover og retningslinjer, god sikkerhetskultur, verdivurderinger, sikkerhetsgradering av informasjon, personellklarering, autorisasjon, godkjenning av systemer, avtalevilkår, brukerveiledninger og konfigurasjonskontroll. Rutiner rettet mot brukere kan håndteres både med og uten tekniske hjelpemidler. Merk at rutiner er skjøre sikkerhetstiltak når personalet kan omgå eller ignorere dem.

5.4.2 Preventive tekniske sikkerhetstiltak

Sikkerhetskopier og redundans. Sikkerhetskopier av data er kanskje det mest kjente sikkerhetstiltaket mot systemsvikt. Det finnes mange løsninger for sikkerhetskopiering på eksterne lagringsmedium, både lokalt og eksternt, for eksempel i skybaserte tjenester. Sikkerhetskopiløsninger kan være svært sårbare for tilsiktede hendelser. Det er flere eksempler på virus som sletter, krypterer eller endrer dokumenter, også på tilkoblede lagringsmedia. Løsninger som baserer seg på å speile data, vil da stå i fare for å erstatte sikkerhetskopier med infiserte versjoner. Sikkerhetskopier av data er en av flere former for redundans. Andre eksempler er alternative dataoverføringslinjer, reservedeler og ekstra strømforsyningsmuligheter. Det essensielle er at alternativene er uavhengige av hverandre.

Antivirus er en samlebetegnelse på dedikerte programmer som leter etter og forsøker å fjerne skadevare. Virus er en type skadevare, og navnet har sitt opphav i måten det biologiske viruset sprer seg på. Antivirus er ofte en form for svartelisting som innebærer at man oppretter en stor katalog med kjennetegn som skal blokkeres. En annen fremgangsmåte for å løse problemet kalles hvitlisting og innebærer å lage lister over hvilke programmer som skal få lov til å kjøre, mens alt annet blokkeres. Kontroll med hva som får kjøre på maskinvaren, håndheves ved hjelp av digitale signaturer.

Sikkerhetsoppdateringer («patching») består i å bytte ut gammel, sårbar programkode med ny programkode. Vi kan grovt skille mellom utvidelse av funksjonalitet og reparasjon av feil. Ny funksjonalitet er som regel det vi forbrukere spør etter, mens det sistnevnte – ofte kalt sikkerhetsoppdateringer – er det som gjør systemene sikrere. Det tar ofte lang tid fra sårbar programvare blir oppdaget, til en sikkerhetsoppdatering blir utviklet.29 Dette kommer blant annet av kompleksitet i programvare, som gjør at nødvendige endringer kan få konsekvenser for annen funksjonalitet. Systemer der operative behov står sterkt, blir derfor ikke oppdatert uten at oppdateringene er forsvarlig testet. Manglende oppdateringer kan også skyldes uvitenhet og «latskap». Leverandører av programvare har derfor gradvis gått fra manuelle til helautomatiske oppdateringer, særlig for operativsystemer og nettlesere.

Ofte blir nye sårbarheter oppdaget ved at de benyttes i et angrep. Da eksisterer det naturligvis heller ingen «patch» (reparasjon) for sårbarheten. Vi kaller disse sårbarhetene for «zero-day» sårbarheter.

Programvare har ofte mange muligheter for konfigurasjon og innstillinger, og utgjør et potensial for sårbarheter som sikkerhetsoppdateringer sjelden retter. En særlig problemstilling her er standardinnstillingene til leverandøren, fordi disse normalt forblir uendret. Se boks 5.1.

Brannmur. En brannmur har som oppgave å blokkere uønsket nettverkstrafikk. Skallsikring er en tradisjonell sikkerhetstankegang og går ut på at man forsøker å plassere alt innenfor beskyttelsen av brannmurer. Skallsikring utfordres av alle måtene vi kobler ting sammen på, ved at det er blitt svært krevende å «holde skallet».30 Alternative strategier er å dele nettverk inn i soner med egen skallsikring, transaksjonskontroll og ulike former for filtrering, samt å bygge moduler der hver enhet er ansvarlig for sin egen sikkerhet.

I Internetts barndom var personlige brannmurer programvare vi på lik linje med antivirus måtte kjøpe separat. I dag har de mest kjente operativsystemene innebygd brannmur. Nettlesere og e-post utgjør i dag to sentrale punkter for introduksjon av skadevare. Når nettlesere laster inn nettsider, henter de også små programsekvenser fra mange steder på Internett, og disse kan være infisert. Det samme gjelder vedlegg og aktivt innhold i e-postmeldinger. Det finnes derfor mer spesialiserte former for blokkering, som for eksempel «script-blokkere» for nettlesere, og løsninger som ser etter virus i e-post under overføringen, før e-posten når frem til mottakeren.

Kryptografi. Det typiske kryptografiske problemet er to personer som ønsker å snakke sammen, men som også ønsker å beskytte seg mot avlytting. Tradisjonelt har kryptografi vært forbeholdt diplomatiet og militæret, men i løpet av de siste 50 årene har kryptografi blitt tatt i bruk av alle.

I klassisk bruk av kryptografi utveksler man først en hemmelig nøkkel. For å beskytte informasjonen man vil sende, brukes nøkkelen til å kryptere informasjonen. Resultatet er en chiffertekst som man sender til mottakeren. Mottakeren bruker nøkkelen til å dekryptere chifferteksten og kan så lese informasjonen. Uten nøkkelen er det i praksis umulig å trenge gjennom krypteringen for å lese den beskyttede informasjonen. Denne formen for kryptografi kalles ofte symmetrisk kryptografi, der ordet symmetrisk henspeiler på at det er symmetri i hvilke hemmelige nøkler man kjenner.

Det finnes nå en annen form for kryptografi, der de som skal kommunisere, ikke lenger trenger å forhåndsutveksle hemmelig informasjon. I stedet trenger man bare en sikker måte å utveksle offentlig kjent informasjon på. Dette kalles asymmetrisk kryptografi, siden de som skal kommunisere, ikke lenger kjenner de samme hemmelige nøklene.

Det mest kjente eksempelet på asymmetrisk kryptografi er såkalt offentlig-nøkkel-kryptering, der hver kommunikasjonspart har et såkalt nøkkelpar bestående av en offentlig krypteringsnøkkel og en hemmelig dekrypteringsnøkkel. Krypteringsnøkkelen er offentlig kjent og kan brukes av enhver til å kryptere informasjon som skal sendes til eieren av nøkkelparet. Dekrypteringsnøkkelen er hemmelig – uten den er det i praksis umulig å trenge gjennom krypteringen for å lese den beskyttede informasjonen.

Et annet eksempel på asymmetrisk kryptografi er digitale signaturer. Også her har hver kommunikasjonspart et nøkkelpar, som består av en hemmelig signeringsnøkkel og en offentlig verifiseringsnøkkel. Nå kan eieren av nøkkelparet bruke signeringsnøkkelen til å signere informasjon. Alle kan bruke verifiseringsnøkkelen til å sjekke at informasjonen kom fra eieren av nøkkelparet og ikke er endret etter signering. Uten signeringsnøkkelen er det i praksis umulig å endre eller forfalske signert informasjon.

Det er ikke slik at man bruker enten asymmetrisk eller symmetrisk kryptografi. Nesten alle moderne systemer bruker en blanding av asymmetrisk og symmetrisk kryptografi.

Det er viktig å merke seg at vi ved hjelp av asymmetrisk kryptografi ikke lenger trenger å utveksle hemmelige nøkler. Men offentlige nøkler må fortsatt utveksles. Infrastrukturen for å utveksle offentlige nøkler kalles ofte for «public key infrastructure» (PKI).31

En vanlig måte å lage en PKI på er ved hjelp av såkalte sertifikater. Et sertifikat består av et navn, en offentlig nøkkel og en digital signatur på navnet og nøkkelen. Den digitale signaturen er laget av en tiltrodd tredjepart, en såkalt sertifikatutsteder, og hele sertifikatet tolkes som at sertifikatutstederen går god for at det er den navngitte personen eller virksomheten som eier den offentlige nøkkelen.

Når en person kontakter Altinn for å sende inn selvangivelsen, begynner «samtalen» med at Altinn sender sitt sertifikat til personen. Hvis personen stoler på den som har utstedt sertifikatet, kan hun sjekke at signaturen i sertifikatet stemmer, og slik være sikker på at hun har fått Altinns offentlige nøkkel.

En utfordring ved denne modellen er at hemmelige nøkler iblant kompromitteres og ikke lenger kan brukes. Da må det tilhørende sertifikatet heller ikke brukes lenger. En vanlig løsning er at brukerne laster ned lister over tilbakekalte sertifikater32 med jevne mellomrom og sjekker at sertifikatene ikke er tilbakekalt. En annen løsning er å spørre sertifikatutstederen direkte om sertifikatet fortsatt er gyldig.33 Merk at disse løsningene har forskjellig personvernvirkning, siden direkte verifikasjon gir utstederen innsyn i bruken av de utstedte sertifikatene.

En annen utfordring er at det kan være svært mange sertifikatutstedere. Om man ikke stoler på en sertifikatutsteder, har man heller ingen grunn til å stole på sertifikatene vedkommende utsteder. Et godt eksempel på hvor komplisert dette kan bli, er den såkalte Internett-PKI-en som brukes på offentlige nettsteder i dag. Hver nettleser har en lang liste med sertifikatutstedere, men det er ingen god måte for brukeren å finne ut hvem disse sertifikatutstederne er eller hvorfor brukeren bør stole på dem.

Denne formen for kryptografi er i dag et modent fagfelt, selv om praksisen fortsatt ligger noe etter den teoretiske kunnskapen. Merk at kryptografi i dag er et mye bredere fagfelt enn bare kommunikasjonssikkerhet.

Selv om kryptografi er nødvendig for å beskytte digitale systemer, finnes det en lang rekke angrep som kryptografi ikke beskytter mot. Å si at noe er kryptert, er ikke det samme som at det er sikkert. Se eksempel i boks 5.2.

5.4.3 Overvåking

Forebyggende sikkerhet kan ikke forhindre alle uønskede hendelser. Vi er derfor avhengige av å kunne oppdage og håndtere hendelser. En metode er å plassere sensorer i nettverket for å inspisere datatrafikken inn og ut av virksomheter. De benytter hovedsakelig svartelisting, på lik linje med antivirus. Varslingssystem for digital infrastruktur (VDI) fra NSM NorCERT er et eksempel på et slikt system. Disse teknologiene kan både være passive og aktive. De aktive forsøker også å stoppe angrepet, da ofte i kombinasjon med brannmurfunksjonalitet. En stor utfordring for alle systemer som overvåker nettverkstrafikk, er bruk av kryptering som hindrer dem i å inspisere innholdet. Dette er et økende problem. Samtidig ser vi løsninger som gjør det mulig for slike overvåkingsenheter å ta del i nøkkelinformasjon, slik at de blir i stand til å inspisere på innsiden av den kryptografiske beskyttelsen. Det forskes på løsninger som oppdager unormale hendelser, såkalt anomali, men de har som oftest et altfor høyt nivå av falske alarmer til at de er praktiske i dag.

En annen strategi er å opprette såkalte lokkeduer («honeypots»), det vil si ressurser som ingen bruker, men som er attraktive for en innbryter. Ved å følge med på disse vil man i liten grad ha falske alarmer, siden legitim bruk omtrent ikke eksisterer. På mange områder er vi avhengige av at de som har tilgang, ikke misbruker den. Det er mulig å aktivere logging, slik at innlogging, oppslag, endring og sletting kan tas vare på og benyttes ved stikkprøver eller ved etterforskning.

5.5 Utfordringer knyttet til programvareutvikling

Det er programvare i nær sagt alt, og vi vet ennå ikke hvordan vi skal bygge programvare som alltid fungerer slik vi ønsker. Det er vanskelig nok å få ønsket funksjonalitet til å virke, og det før noen med intensjon prøver å misbruke funksjonaliteten. Mye programkode blir også kopiert og gjenbrukt for å spare tid, noe som medfører at eksisterende svakheter blir videreført.

Det er en interessant observasjon at programutviklingsindustrien i liten grad blir ansvarliggjort for sikkerhetsfeil. Det henger igjen sammen med kompleksiteten knyttet til utviklingen. Det er normalt at programvare slippes i uferdig tilstand for så å bli fulgt opp med oppdateringer fortløpende etter som feil blir avdekket.34 Programvare med høy utbredelsesgrad er særlig interessant for dem som leter etter sårbarheter, og der vi ikke kjenner til mange feil, har trolig få lett etter dem. Mange funksjonalitetsfeil og sikkerhetshull er derfor blitt fikset, og stadig nye introduseres i dagens jakt etter ny funksjonalitet. Mye utdatert programvare er fremdeles i bruk. Eldre Android-baserte telefoner kan ikke oppdateres, og det er fremdeles mange som bruker eldre Windows-versjoner som Microsoft har sluttet å utgi sikkerhetsoppdateringer til.

En sårbarhet kan ha en livssyklus, slik illustrert i figur 5.1. Den blir først oppdaget av noen, for eksempel en forsker eller en hacker. Så blir den kanskje publisert, og en kommer i en fase av testing. Når dette så viser seg å kunne bli utnyttet økonomisk, henger flere kriminelle seg på – kanskje havner sårbarheten eller skadevaren på markedet, og andre kan kjøpe den. Da kommer programvareprodusentene på banen med oppdateringer og sikkerhetsindustrien med produkter. Sårbarheten og skadevaren mister sin markedsverdi etter som stadig flere tetter hullene, men nye sårbarheter er allerede inne i en ny syklus, og slik fortsetter utviklingen. For å forstå digital sårbarhet er det derfor viktig å forstå hvordan utvikling av programvare fører til utilsiktet digital sårbarhet. Utvikling av programvare handler om å bygge et komplisert system, og det er et faktum at det gjøres feil underveis i prosessen. Antall feil er grovt sett proporsjonalt med størrelsen på programvaren som utvikles, og det er vanskelig å svare på hvordan antallet utnyttbare sårbarheter øker med økt kompleksitet.35 Feil gjøres i alle faser av programvareutviklingen, fra kravspesifikasjon via arkitektur til faktisk koding.

Noe av kvalitetsarbeidet med programvare handler om å redusere feilraten, men mye dreier seg om å finne og rette feil. Gjennomsnittlige programvareutviklere fjerner 85 prosent av feilene sine før programvaren overlates til kundene. Utviklere med høy kvalitet har vesentlig lavere feilrate og fjerner mellom 95 og 99 prosent av feilene før programvaren overlates til kundene. Det har visstnok blitt utviklet programvare der det ikke er funnet feil etter ett år, men det er sjelden. Prosjekter med høy feilrate og lav feilrettingsrate er langt vanligere.

Ikke alle feil i programvare fører til sårbarhetene omtalt i livssyklusen over. Disse sikkerhetsfeilene er gjerne annerledes enn majoriteten av programvarefeil, og vil typisk ikke påvirke den daglige driften av et system. Mange av teknikkene som brukes for å finne programvarefeil, vil derfor ikke finne sikkerhetsfeil. Metodikker for utvikling av sikker programvare forsøker både å redusere feilraten, og å øke andelen sikkerhetsfeil som oppdages og rettes.

For å redusere konsekvensene av at vi utvikler sårbar kode, må vi bli bedre til å konstruere feiltolerante systemer, der sårbarheter i én komponent ikke nødvendigvis fører til sårbarheter i systemet som helhet.

5.6 Teknologiarven

Den raske utviklingen i trusselbildet gjør at teknologi som ble vurdert å ha et høyt sikkerhetsnivå for noen år siden, vil kunne være svært usikker nå. Dette stiller infrastruktureiere og teknologibrukere overfor et krav om å ha en oppdatert og relativt nyutviklet teknologi i systemene sine. Det er imidlertid et faktum at dette ikke alltid etterleves. Årsakene til at det er slik er mange og sammensatte. I noen tilfeller har det enkle forklaringer, som motstand mot å endre en teknologi man kjenner og er vant til å bruke. I andre tilfeller kan det være mangel på investeringsvilje som gjør at man ikke bytter ut et eldre teknologisystem. I enkelte kritiske systemer vil det være slik at man unngår å oppdatere til moderne teknologi oftere enn man må, da endringen i seg selv vurderes som en sårbarhet. En siste kategori er de tilfellene der man ikke kan bytte ut eldre teknologi fordi annet kritisk utstyr er avhengig av at den gamle teknologien fremdeles er i funksjon. Et kjent eksempel på det er at mobilselskapene i Norge må ha en gammel mobiltelefonistandard i drift i tillegg til de mer moderne, selv om det er velkjente sårbarheter i den gamle standarden.

5.7 Sikkerhet i prosesskontrollsystemer

Prosesskontrollsystemer eller SCADA36-systemer benyttes først og fremst om systemer som styrer og overvåker industrielle prosesser i for eksempel fabrikker, raffinerier og energi- og vannforsyningen. SCADA-systemer er imidlertid i omfattende bruk i samfunnet og benyttes blant annet til styring av heiser, ventilasjonsanlegg og trafikklys og til kontroll av tog- og flytrafikk.

En studie gjort i 2011 viste at mange prosesskontrollsystemer på verdensbasis var koblet til Internett.37 Søkemotoren Shodan ble brukt for å identifisere 7 500 åpne prosesskontrollsystemer, deriblant 271 norske. Prosesskontrollsystemene hadde i liten grad krav til autorisering ved forespørsler, og de brukte i stor grad samme type programvare. Noen av systemene kjørte på gamle operativsystemer med kjente sårbarheter, og det var flere feilkonfigurerte brannmurer som ikke skjulte prosesskontrollsystemene tilstrekkelig. Noen var bare beskyttet med passord. Ved bruk av Shodan kan en ondsinnet aktør for eksempel søke etter versjoner av programvare med kjente sårbarheter og angripe alle søkeresultatene ved å automatisere angrepet. Sofistikerte angrep mot prosesskontrollsystemer er allerede en realitet i for eksempel USA.

I Norge hadde Dagbladet i 2013 en serie kalt Null CTRL, der journalister ved bruk av den samme søkemotoren, Shodan, klarte å identifisere norske prosesskontrollsystemer i ulike sektorer. Søkemotoren indekserer utstyr som er direkte koblet til Internett, og tilrettelegger for å søke etter spesifikt utstyr. Se boks 5.3 for detaljer rundt Null CTRL.

Digitale sårbarheter i sammenkoblede systemer går på tvers av sektorer og bransjer gjennom leverandørindustrien. Store internasjonale selskaper leverer industrikontrollsystemer til en rekke bransjer globalt, inklusiv norske virksomheter. En har sett at samme type sårbarheter går igjen i ulike produkter som benyttes i ulike bransjer. Innebygde passord i programvare blir brukt for intern eller ekstern autentisering av enheter og programmer, og representerer dermed digitale sårbarheter som kan utnyttes. Hardkodede passord er vanskelige å oppdage av systemadministratorer, og de er vanskelige å rette opp hvis de blir oppdaget.38 I tillegg til disse sårbarhetene er det funnet programvaresårbarheter i nye og gamle produkter. Dessuten har introduksjonen av webapplikasjoner bidratt til å introdusere ytterliggere sårbarheter.39

5.8 Elektronisk identifisering

Det er i utgangspunktet vanskelig å vite hvem man kommuniserer med på Internett. For å løse dette problemet har vi såkalt elektronisk identifikasjon (e-ID). E-ID handler om elektronisk verifikasjon av identitet mellom personer og ting som befinner seg «på andre siden av Internett». Et tilhørende problem er å knytte digital informasjon til personer og ting, på samme måte som en signatur knytter et fysisk dokument til en person. Dette kalles elektronisk signatur (esignatur).

Vanligvis bruker man kryptografi basert på digitale signaturer og en PKI til både e-ID-er og esignaturer. Ideen er at en sertifikatutsteder utsteder et sertifikat til en person. Ved å bruke den hemmelige nøkkelen og sertifikatet på rett måte kan personen overbevise noen om at han sitter foran en datamaskin. Han kan også signere informasjon, slik som for eksempel en e-post eller en kontrakt.

En person kan ikke gjøre de komplekse beregningene som inngår i kryptografi. Datamaskinen må gjøre dette for eieren av e-ID-en. Men datamaskiner kan bli kompromittert. Dersom noen får tak i den hemmelige nøkkelen tilknyttet en e-ID, kan de utgi seg for å være denne personen eller signere informasjon som om de var personen.

Det tradisjonelle svaret på dette problemet er det såkalte smartkortet, en ørliten datamaskin som er spesialkonstruert for nettopp å gjøre de beregningene som kreves for e-ID-er. Denne lille datamaskinen er mye sikrere enn en vanlig datamaskin, og det er derfor mye vanskeligere å stjele nøkkelen. Likevel – om man har fysisk tilgang, kan man selvsagt stjele hele smartkortet. Når man ønsker å bruke e-ID-en, kobler man smartkortet til datamaskinen, og smartkortet utfører den nødvendige kryptografien for datamaskinen.

Et hovedprinsipp i kryptografi er at nøklene ikke er interessante i seg selv – det er hva man kan gjøre med nøklene, som er interessant. Selv om smartkortet har nøkkelen og gjør beregningene, er det datamaskinen som forteller smartkortet hvilke beregninger som skal gjøres.

Det å koble smartkortet til datamaskinen er altså det samme som å gi datamaskinen bruksrett til e-ID-en din. Dersom datamaskinen er kompromittert av kriminelle, gir du i praksis de kriminelle bruksrett til e-ID-en din. Tradisjonelle smartkortbaserte e-ID-er har altså ikke høyere sikkerhet enn datamaskinen du kobler smartkortet til.

Merk at e-ID basert på smartkort og PKI, arver alle problemene til PKI. Spesielt er det verdt å merke seg at i den tradisjonelle mentale modellen for smartkortsystemer er personvernet godt ivaretatt. Men avhengig av konkrete teknologivalg kan svært mye informasjon om bruken av en smartkort-basert e-ID i praksis tilflyte sertifikatutstederen, noe som kan være en utfordring for personvernet.

Teknologibildet er i endring, og et problem for e-ID basert på smartkort er at stadig flere terminaler folk ønsker å bruke e-ID på, ikke kan kobles til smartkort.

En e-ID behøver ikke være basert på sertifikater. Et alternativ er basert direkte på en tiltrodd tredjepart. Typisk har eieren av e-ID-en et etablert forhold til tredjeparten (for eksempel basert på passord og engangskoder). Eieren overbeviser tredjeparten om at han er den han er. Deretter kan tredjeparten gå god for eierens identitet.

Tradisjonelle e-ID basert på smartkort er ofte sårbare overfor andre angrep enn e-ID basert på tiltrodde tredjeparter. E-ID-er basert på passord og engangskoder kan for eksempel være sårbare overfor phishing, mens de kan være litt motstandsdyktige mot en kompromittert datamaskin. Hvordan en sertifikatutsteder og en tiltrodd tredjepart kan misbruke tilliten din, er også forskjellig.

Ulikt Internett-PKI-en er forskjellige e-ID-er ofte basert på svært forskjellige tekniske løsninger. Interoperabilitet blir dermed en utfordring. En måte å begrense kompleksiteten på er å lage en innloggingsportal basert på en tiltrodd tredjepart. Eieren bruker e-ID-en sin til å overbevise innloggingsportalen om at han sitter foran datamaskinen. Innloggingsportalen går deretter god for at brukeren sitter foran datamaskinen.

Dette gjør livet mye enklere for brukerstedene, som forholder seg til én innloggingsportal i stedet for mange e-ID-er. Det kan også gjøre livet enklere for eierne av e-ID-ene. På den annen side kan det oppstå en del subtile sikkerhetseffekter, der en innloggingsportal i praksis nuller ut sikkerhetstiltak i en e-ID.

En annen fordel med en innloggingsportal er at det er lett å få til såkalt engangsinnlogging («single sign-on»). I praksis handler dette om å gi datamaskinen tilgang til alle brukerstedene som er omfattet av engangsinnloggingen, noe som kan være et problem hvis datamaskinen er kompromittert.

6 Trender som påvirker sårbarhetsbildet

En rekke trender påvirker sårbarhetsbildet i samfunnet og vår aksept for risiko. Teknologiske, politiske og samfunnsmessige endringer har ført til store endringer også i verdikjedebildet. Der tjenesteleverandører tidligere hadde tilnærmet full kontroll over verdikjeden, er bildet i dag langt mer fragmentert. Dette illustreres best ved et eksempel. For 30 år siden eide Televerket til og med telefonen hjemme i abonnentens hus. De eide og driftet kobberlinjen inn til sentralen og videre hele veien opp til øverste nivå i tjenestekjeden. De hadde egen FoU-avdeling og store tekniske miljøer. Som et resultat av politiske, teknologiske og samfunnsmessige endringer er dette bildet nå mye mer oppstykket. Selv om Telenor fremdeles eier infrastrukturen, er deres egenkompetanse konsentrert om færre områder. Utstyrsleverandører spiller en vesentlig rolle når det gjelder driftsmessige forhold, og legger premissene for tilgjengelig teknologi. Eksterne, konkurransedyktige tjenesteleverandører tar over for eget personell på områder der det er kommersielt lønnsomt og gjennomførbart i forhold til regulatoriske krav. Organisering, metoder og kunnskap som før var tilpasset menneskelig arbeidskraft, tilpasses nå arbeidsformer der oppgaver automatiseres. Skulle det oppstå et behov for å gå tilbake til manuelle, menneskelige prosesser, for eksempel på grunn av teknologisk svikt, vil effektiviteten høyst trolig synke drastisk.

Utvalget har ikke utført noen omfattende analyse av strategiske trender som påvirker samfunnets digitale sårbarheter. Vi kan likevel konstatere at samfunnsutviklingen påvirker de fremtidige digitale sårbarhetene på overordnet nivå. Stikkord her kan være40

• forandringer i demografien

• urbanisering

• samfunnets økende ressursforbruk

• miljøspørsmål og klima

• helse og utviklingen innen medisin

• informasjonsteknologi og informasjonshåndtering

• utviklingen innen utdanning og kompetanse

• automatisering i hverdagen og i arbeidslivet

• kriminalitet og rettsvesen

• forsvarsutgifter og forsvarsevne

• identitet og rollen til staten

I dette kapittelet omtaler vi et utvalg trender og drivkrefter som påvirker utviklingen av samfunnets digitale sårbarheter. Både på kort og lengre sikt, og i all hovedsak med en teknologisk vinkling. Teknologirådet har bidratt med tekstlig innspill.

6.1 Digitaliseringen av samfunnet og sårbarhetsbildet

Digitalisering har forenklet hverdagen til enkeltindividet, og er en driver for innovasjon, økonomisk vekst og produktivitet. Teknologien skaper også nye sårbarheter og utfordringer. For eksempel gir den en utvidet angrepsflate for kriminelle. Utenriksdepartementet har uttrykt at Internett er blitt en generator for økonomisk vekst og sosial utvikling, men at håndtering av sikkerhetsutfordringer i det digitale rom er en forutsetning for at dette skal skje.41

Det er all grunn til å tro at den teknologiske utviklingen vil fortsette å gå raskere, og at etterspørselen etter kunnskap vil øke kraftig. EU-kommisjonen har estimert at 90 prosent av jobbene i EU innen 2020 vil kreve digitale ferdigheter, og advarer om at EU i inneværende år vil mangle 509 000 årsverk med denne kompetansen. Det er på verdensbasis estimert med rundt 5 milliarder Internett-brukere innen 2020.

Mennesker har naturlig en viss forståelse av hvordan vi sikrer informasjon i manuelle, papirbaserte prosesser. Med digitaliseringen er vi i stor grad fremmedgjort, og ingen har lenger oversikt over sårbarhetsbildet, slik vi en gang hadde.

En datamaskin er for eksempel utviklet lag for lag, der hvert lag skjuler en underliggende kompleksitet for det neste. Disse maskinene kobler vi så sammen i datanettverk basert på en tilsvarende lagdelt modell. Når vi utvider funksjonalitet og knytter sammen IKT på nye måter, glemmer vi ofte de underliggende forutsetningene og antagelsene som er gjort, og noen ganger henger vi igjen med antagelser som ikke lenger gjelder.

Lagringsmediene vi lagrer data på, var en tid tilbake bare «dumme» mekaniske enheter under full kontroll av datamaskinens sentralprosessor – som da måtte bruke mye tid på å gi lese- og skriveinstrukser. Av ytelseshensyn er harddisker i dag smarte. Sentralprosessoren kan nå utføre andre oppgaver samtidig som lagringsmediet jobber i bakgrunnen. Dette innebærer at lagringsenheten har full tilgang til systemets internminne og kan – hvis den er ondsinnet – skrive og lese til helt andre områder enn den blir bedt om. Den kan for eksempel plassere skadevare eller hente ut kryptografiske nøkler.

Et eksempel på endrede forutsetninger er bruk av SMS-meldinger med bekreftelseskoder for innlogging på webtjenester og for digital signering av digitale handlinger. En grunnleggende sikkerhetsforutsetning er at denne koden kommer via en annen kanal enn den som skal bekreftes, og slik er det når vi logger inn via en annen enhet enn telefonen. I dag foregår mye pålogging, for eksempel til nettbank, direkte fra smarttelefonen. Mange programmer på telefonen kan på lik linje med brukeren lese SMS og derfor selv fylle inn informasjonen som kommer via SMS, der den etterspørres. Vi ser også innebygd funksjonalitet for å synkronisere meldinger, inkludert SMS, på tvers av digitale enheter. Dette betyr i praksis at skillet viskes ut og er med på å redusere sikkerhetsnivået til systemer.

Et annet eksempel som viser den fremmedgjøringen vi står overfor, er knyttet til de grensesnittene vi presenteres for. Metaforer som mapper, skrivebord og papirkurv skjuler viktig informasjon. Vi legger filer i papirkurven og tømmer den for å slette informasjonen i filene. Det er naturlig å tro at informasjonen dermed er tilintetgjort. I realiteten er det bare referansene til informasjonen som er borte. Over tid vil informasjonen kunne bli overskrevet, men ofte kan informasjonen hentes tilbake lang tid etter slettingen. Det samme ser vi på nettbaserte tjenester. Når et bilde eller et kommentarinnlegg slettes fra sosiale medier, blir innholdet skjult for deg og meg, men det blir ikke nødvendigvis borte, selv om det ser slik ut.

6.2 Informasjonsteknikk og informasjonshåndtering

Det foregår hele tiden en utvikling i vår evne til å samle inn, lagre og analysere informasjon. Det har vært en dramatisk økning i regnekraft og en utvikling av algoritmer for å analysere store datamengder. Dagligdagse gjenstander kobles i økende grad til Internett. Elektronikk integreres i ting vi har på oss, som klær og annet tilbehør. Nettverket av sensorer samler inn stadig mer datamateriale om våre liv og omgivelser. Det fører til at det på sikt vil være vanskelig å fungere i samfunnet uten å være tilkoblet («off the grid»).42

6.2.1 Økt regnekraft, store data og stordataanalyse

Datamaskinene blir stadig raskere. Det har vært observert en vedvarende økning i antall transistorer i integrerte kretser helt tilbake til 1960-tallet. Moores lov er en stadfesting av denne trenden, der antallet transistorer dobles hvert annet år. Antall transistorer henger sammen med ytelsen, og vi kan litt forenklet si at ytelsen dobles hvert tredje år. I mange år målte vi progresjonen i klokkehastighet, men vi har nå nådd begrensninger i hvor høyt vi kan skru denne opp. Vi ser derfor nå en trend i retning av flere parallelle, uavhengige prosesseringsenheter. At vi utnytter parallell regnekraft, har igjen gitt nye utfordringer, både innenfor rammene av det vi anser som «en datamaskin», og for måten vi utnytter den samlede beregningskraften til sammenkoblede datamaskiner på.

Selv om datamaskinene blir raskere, er det måten vi instruerer dem på, som er avgjørende for nytteverdien av dem. Det er mange evner vi mennesker tar for gitt, men som datamaskiner har store problemer med – for eksempel det å identifisere gjenstander i et bilde. Det har imidlertid vært stor fremgang innen utvikling av algoritmer som lar datamaskiner «lese» håndskrift, oversette mellom språk, utføre medisinsk diagnostisering og gjenkjenne ansikter, med mer.

Store data («Big Data») er en teknologisk trend som beskriver de voksende mengdene med digital informasjon som blir produsert og gjort tilgjengelig, og som ulike aktører kan samle inn, analysere og utnytte til mange ulike formål. Datamengdene produseres i vår daglige omgang med teknologi, for eksempel via sosiale medier, nettsøk og bruk av smarttelefon, men også gjennom sensorer knyttet til maskinelt utstyr som medisinske apparater, smarte strømmålere og biler. Stordatanalyse utføres ved hjelp av statistikk og algoritmer som er tilpasset det å trekke ut mønstre og trender fra store menger data.

Bruken av store data forventes å tilta kraftig i årene som kommer. Trenden understøttes av synkende kostnader knyttet til datainnsamling, lagring og regnekraft, samtidig som teknologien blir tilgjengelig for flere gjennom ulike skytjenester.43 Banebrytende fremskritt innen analyse og kunstig intelligens, samt fremveksten av billig sensorteknologi som bygges inn i stadig flere Internett-baserte enheter, er også viktige drivere.

Ifølge IBM blir det daglig generert mer enn 2,5 milliarder gigabyte data, og dette tallet vil bare øke. Daglig lastes det opp mer enn 500 millioner bilder på nettet, og hvert minutt mer enn 200 timer med video. I løpet av 2020 er det forventet at mer enn 80 prosent av verdens voksne befolkning vil bruke en smarttelefon i hverdagen, samtidig som kroppsnær teknologi og tingenes Internett vil gi opphav til nye informasjonsstrømmer.

Store data forsterker sikkerhetsutfordringer ved en distribuert infrastruktur, skytjenester og sanntidsregistrering av data. Risikobildet forsterkes ytterligere når teknologien blir billigere og mer tilgjengelig også for mindre virksomheter. Når bruken av store data brer om seg, kan det bidra til nye former for sårbarhet.

Størrelse, omfang og varighet. Med økende digitalisering samler både private og offentlige virksomheter inn mer data, gjerne både mer finmasket og oftere enn før. Ett eksempel er at teleselskapene automatisk registrerer mobiltelefonens kommunikasjon med ulike basestasjoner, et annet hvordan butikkjedene registrerer innkjøpene kunden gjør, gjennom ulike fordelskort. Hyppig og finmasket registrering gjør at datasett som lagres i datasentre, vokser i størrelse og omfang. Lagring i skytjenester og deling med ulike tredjeparter gjør dataene mer sårbare for datatyveri. Størrelsen på datasettene gjør slike innbrudd mer omfattende enn tidligere. Eksempelvis førte et datainnbrudd hos det amerikanske helseforsikringsselskapet Anthem Inc. i 2015 til at opplysninger som navn, bostedsadresse, fødselsnummer, inntekt og jobbsituasjon knyttet til nesten 80 millioner kunder kom på avveier. Slike innbrudd kan altså ha vidtrekkende konsekvenser for svært mange mennesker.

Ikke bare er det mulig å oppbevare store datamengder over veldig lang tid, slike datasett kan også kopieres og deles både raskere og bredere enn det som var tenkelig tidligere. Når et digitalt bilde deles over Internett, kan eieren vanskelig vite hvor mange kopier som eksisterer rundt om i verden, og hvor lenge disse lagres. Slik sett har digitale data lang varighet. Når store mengder informasjon bevares over tid og forvaltes av ulike aktører eller ukjente tredjeparter, kan det gjøre individet sårbart for misbruk lenge etter at dataene ble produsert og registrert.

Tilgangsregulering og kontroll. For å dra nytte av store data vil man ofte ønske å kombinere datasett fra ulike kilder. Når dette skal gjøres i en kompleks, distribuert infrastruktur, kan det være utfordrende å kontrollere hvem som har tilgang til hvilke datasett, og hvordan de brukes. Dermed kan det være vanskelig å se til at uvedkommende ikke får tilgang til informasjon de ikke er autorisert for. Det kan også være vanskelig å etablere robuste sporingslogger som viser nøyaktig hvem som har fått tilgang til hvilke data, til hvilket formål og til hvilken tid. Denne sårbarheten forsterkes når ulike datasett har ulike sikkerhetsbehov, og når datasett kombineres for å lage nye datasett.

Datakvalitet og opphav. Når store data brukes i beslutningsprosesser, er det viktig at man kjenner opphavet og vet når dataene er skaffet til veie. Når innsamlingen skjer fra mange ulike kilder og nye datasett oppstår som kombinasjoner av andre, eldre datasett, kan det bli stadig mer utfordrende å spore opphav og sikre kvalitet og integritet. Som en følge kan viktige beslutninger baseres på data som enten er ufullstendige eller av dårlig kvalitet. Dersom det mangler systemer for å kontrollere opphav og kvalitet, kan viktige beslutningsprosesser i verste fall også være sårbare for manipulerte datasett.

Analyse og personvern. Analyse av store data kan bidra til innsikt med stor nytteverdi, men også til å avsløre sensitiv eller hemmelig informasjon. Dette kan blant annet skje ved at man krysskobler ulike datasett. Datasett som isolert sett virker uskyldige, uten personlig eller sensitiv informasjon, og som reguleres deretter, kan, sammenstilt med andre datasett, være svært avslørende. Et eksempel er at den amerikanske dagligvarekjeden Target ved å analysere kjøpemønsteret til kundene sine kunne sannsynliggjøre hvilke kunder som var gravide.

I kombinasjon med andre datasett har anonymiserte datasett i flere tilfeller vist seg å være sårbare for re-identifisering. Når innsamlingen av digital informasjon øker i omfang samtidig som datasett frigjøres for bruk eller deles mellom ulike aktører, svekkes individets kontroll over personlige data. Individet kan da fort bli stående som den mest sårbare parten, med risiko for uønsket identifisering, misbruk av sensitiv informasjon eller ID-tyveri.

Teknologien kan kanskje til slutt endre både hva vi kan holde privat i fremtiden, og synet på hva som bør holdes privat.

6.2.2 Tingenes Internett

Tingenes Internett («Internet of things» eller «Internet of everything») er et samlebegrep for hvordan Internett brukes for å koble sammen stadig flere autonome komponenter til et komplekst system. Ulike gjenstander, apparater og maskiner vi omgir oss med i hverdagen får muligheten til å kommunisere med hverandre og dele informasjon fra innebygde sensorer.44

Tingenes Internett gir mange anvendelsesområder i samfunnet, blant annet innen industri, butikkvirksomhet, logistikk og godshåndtering, overvåking og sikkerhet, eiendom og boliger, smart transport og helsevesen, smart infrastruktur, markedsføring, underholdning og så videre.

Begrep som smarte strømnett, smarte transportsystemer, smarte hjem og smarte byer brukes for å beskrive hvordan integrering av mikroprosessorer og digital kommunikasjon forandrer samfunnet. På denne måten kan smarte byer ses på som en visjon der mange ulike infrastrukturer kobles sammen, slik som strømnettet, muligheter for å lade elbiler, trafikklys, bygninger, posisjonsinformasjon, data fra offentlige registre, redningstjeneste og ambulanse.

Antall gjenstander som er koblet til Internett, øker raskt. Det er i dag rundt 20 milliarder tilkoblede enheter.45 Selv om dette i hovedsak er datamaskiner, smarttelefoner og nettbrett, spås det at veksten fremover vil drives av tingenes Internett.46 I følge estimater vil det i 2020 være mellom 40 og 50 milliarder enheter koblet til Internett.

Når flere ting vi omgir oss med i hverdagen, blir koblet på Internett, bidrar det til å forsterke eksisterende sårbarheter knyttet til sikkerhet og personvern på nett. Dette kan skyldes at produsentene bak mange gjenstander som nå kommer på nett, tidligere ikke har måttet bekymre seg for informasjons- og nettverkssikkerhet, som for eksempel mulighet for oppgraderinger. Det mangler fremdeles bransjenormer for hvordan disse skal plasseres inn i våre private nettverk.

Uberettiget tilgang til og misbruk av personlig informasjon. I likhet med datamaskiner er andre gjenstander og apparater som er koblet til Internett, sårbare for angrep fra inntrengere uten rettmessig tilgang til systemene. Slike angrep kan gi inntrengeren tilgang til sensitiv informasjon som enten ligger lagret i gjenstanden eller blir formidlet videre til andre gjenstander i nettverket. Et eksempel er en smart-TV, som også kan brukes til å surfe på Internett og til å lagre kredittkortopplysninger for å muliggjøre nettkjøp. Svekket sikkerhet kan gi uvedkommende opplysninger som kan brukes til kortsvindel eller identitetstyveri.

Tilrettelegge for angrep på andre systemer. Når gjenstander er koblet i nettverk, blir de sårbare for sikkerhetssvakheter andre steder i nettverket. En inntrenger kan utnytte svakheter i en gjenstand for å angripe systemer som gjenstanden er koblet til. Eksempelvis kan angriperen gjøre et smarthus utilgjengelig for eieren.

Skade på mennesker og systemer. Svakheter i sikkerheten kan også utgjøre en risiko for personlig sikkerhet. En angriper kan eksempelvis omprogrammere en tilkoblet bil slik at bremsesystemet ikke fungerer som forventet, eller justere innstillingene på en tilkoblet insulinpumpe for å endre medisineringsdosen. Sikkerhetsrisiko kan også følge uten at inntrengeren endrer funksjonaliteten til systemet.

Personvern. Tingenes Internett vil gjøre at vi legger igjen enda flere digitale spor i hverdagen. Gjenstander koblet til tingenes Internett vil på ulike måter kunne samle følsomme personopplysninger, som presis stedsinformasjon, bankdata eller helseopplysninger. Over tid vil slike data kunne tegne detaljerte bilder av hvor vi befinner oss, hva vi gjør, hvilke vaner vi har, og hvordan helsen vår utvikler seg. Slik informasjon vil kunne brukes og misbrukes i vurderinger av kredittverdighet, forsikring og ansettelser.

Tingenes Internett kan også «åpne et vindu» inn til private rom. Forskere har for eksempel vist at analyse av data fra smarte strømmålere kan brukes til å fastslå hvilket TV-program eieren så på.47

6.2.3 Kroppsnær teknologi

De siste årene har sensorer og datachips blitt bedre, billigere og så små at de kan plasseres på kroppen, i smykker, på briller eller på klærne. Slik kan vi bruke dem hele tiden, uten at de er i veien for det vi ellers gjør. Denne typen teknologi har fått navnet «wearables», eller kroppsnær teknologi.

Et eksempel på kroppsnær teknologi er digitale klokker, som kan fungere som en forlengelse av smarttelefonen. Digitale armbånd og sensorer båret på kroppen kan måle vitale trenings- og helsedata som bevegelse, puls, søvnmønster og hjerterytme. Små skjermer som festes på brillene kan vise informasjon tilpasset stedet du er på. De kan integrere informasjon som fart og løypekart inn i synsfeltet i brillene eller vise målrettet reklame. Dette kalles også forsterket virkelighet.

Kroppsnær teknologi gir oss et utvidet sanseapparat. Vi kan samle data om oss selv og omgivelsene våre kontinuerlig. Datakraft og datalagring blir stadig rimeligere. Vi må regne med at det vil bli lagret mye mer informasjon om hva vi gjør, og hvor vi beveger oss. Dette forsterker de sårbarhetene som allerede er avdekket i nettjenester, sosiale medier og tingenes Internett, men introduserer også noen nye sårbarheter, spesielt knyttet til personvernet.

Algoritmer som analyserer og kobler data, blir stadig mer avanserte. Vi vet i dag ikke hva algoritmene kan utlede i fremtiden. Helsedata som vi samler inn i dag, kan potensielt si veldig mye om helsen vår i fremtiden. Dette er omtalt i kapittel 17 «Helse og omsorg».

Sammenkobling av informasjon. Tjenester som lover forsterket virkelighet, er i sin natur kontekstspesifikke; de trenger å vite hvor du er, hvor du fester blikket, hva du gjør, og hva du ønsker å vite. Folk som bruker kroppsnær teknologi som er rettet mot omverdenen, til å ta bilder av mennesker rundt seg, bidrar til å kartlegge oss uten at vi nødvendigvis legger merke til at det skjer. Hvordan andre deler og offentliggjør bilder, kan få store konsekvenser for oss, uten at de nødvendigvis forstår rekkevidden av det. Personer og virksomheter, en fremtidig arbeidsgiver eller forsikringsselskapet, som får tilgang til informasjonen, kan sammenstille den med ytterligere datakilder.

Algoritmer for mønstergjenkjenning kan gjenkjenne ting, bygninger og personer i bilder og video. Ansiktsgjenkjenning står dermed i en særstilling i denne sammenhengen. Når du blir identifisert i et bilde, kan andre bruke det som en nøkkel til å få tilgang til mye mer informasjon om deg. Virksomheter, myndigheter og privatpersoner har mulighet for å utlede hvor vi har vært, hva vi har gjort, og når vi har gjort det. Til sammen kan de sette sammen puslespillbrikkene om livene våre til et omfattende bilde.

6.3 Automatiseringen av hverdagen og arbeidslivet

Roboter eller ubemannede systemer – det vil si maskiner som kan utføre kompliserte instruksjoner uten direkte å involvere en menneskelig operatør – øker i anvendelse og skaper både nye muligheter og nye digitale sårbarheter i samfunnet. I dag finnes autonome systemer til bruk i hverdagen, som støvsugere, gressklippere, selvstyrende biler og ubemannede flygende kjøretøy (såkalte droner). Slike produkter øker raskt i antall. Kostnaden for ubemannede systemer som droner har falt dramatisk de seneste årene. Ubemannede systemer kommer trolig til å erstatte mennesker i høyere grad enn i dag, utføre oppgaver med økende effektivitet og samtidig redusere risikoen for mennesker. Men ubemannede systemer kan også brukes som en ressurs av kriminelle og terrorister.

Den utbredte bruken av datamaskiner har allerede i dag gjort visse yrker nesten overflødige, samtidig som nye yrker har blitt til. Utviklingen innen robotteknologi kan føre til alt fra små justeringer i måten vi jobber på, til massearbeidsløshet og sosial uro.4849 Etter hvert som roboter blir mer livaktige, vil trolig også samspillet med mennesker bli mer sofistikert.

Automatiseringen fører ikke bare til at produktene i seg selv blir mer selvgående, men også til at produksjonsmetodene automatiseres, slik at produksjonen går raskere. Global produksjon har gått fra å være svært arbeidskrevende til i større grad å være basert på informasjonsteknologi. Produksjonsprosesser kan derfor komme til å flyttes nærmere forbrukerne for å unngå lange forsyningskjeder. Automatiseringen vi allerede har, understøtter denne trenden, og såkalt additiv produksjon (ved hjelp av 3D-printere) bidrar også til denne trenden.

6.3.1 Additiv produksjon – 3D-printere

Tradisjonelt har vi produsert gjenstander ved å starte med materialene, for eksempel metall, plast, stein eller treverk. Deretter er materialet blitt formet til den ønskede gjenstanden gjennom kutting, støping og bøying. I additiv produksjon bygges gjenstander fra løse materialer, enten væsker eller pulver, ved at materialene legges lag på lag.

En 3D-printer er en maskin som bygger tredimensjonale objekter ut fra en datategning. Objektene bygges lag for lag i ett stykke i stedet for å settes sammen av ulike komponenter. 3D-printere er tilgjengelige i form av alt fra svært enkle modeller til et par tusen kroner til bruk i hjemmet, til avanserte modeller til flere millioner kroner beregnet på industriell bruk.

Antallet bruksområder er økende. Det gjøres blant annet forsøk med bygging av karosserier for biler, støping av hus, proteser og høreapparater, samt printing av elektronikk og mat. Printerne forbedres kontinuerlig. De kan bygge stadig raskere, i flere materialer og med stadig større presisjon.

Bruk av 3D-printere åpner prinsipielt sett opp for tre typer sårbarhet. Felles for disse utfordringene er at de krever tilgang til den datafilen som skal brukes for å skrive ut produktet. IKT-sikkerhet er med andre ord helt avgjørende for å redusere sårbarhet knyttet til bruk av 3D-printere.

Ulovlig kopiering. Personer med tilgang til en 3D-printer vil kunne kopiere et produkt dersom de har tilgang til en datafil som beskriver produktet. Dette betinger imidlertid at produktet er av en slik beskaffenhet at det lar seg produsere ved hjelp av en 3D-printer. Per i dag gjelder dette svært få produkter.

Manipulering av designfiler. Filer som brukes i 3D-printing, kan manipuleres av personer som ønsker å forsinke en produksjonsprosess eller skade omdømmet til et firma. Man kan bygge inn små feil i en fil som gjør at produktet ikke fungerer, går i stykker eller lignende.

Produksjon av illegale produkter. 3D-printere kan gjøre det mulig å produsere illegale våpen og andre produkter der bruken er regulert.

6.3.2 Ubemannede luftfartøy – droner

Droner er en vanlig betegnelse for ubemannede luftfartøy. Den sivile bruken av droner er i kraftig vekst. Det er anslått at det ved inngangen til 2015 var solgt omkring 10 000 doner til privat bruk i Norge. Dette dreier seg i hovedsak om små kameradroner til hobbybruk, men bruken av større droner i profesjonell sammenheng øker også markant.

Droner betegnes også som RPAS (Remotely Piloted Aircraft Systems) eller UAS (Unmanned Aircraft Systems). Betegnelsene understreker at selve fartøyet må ses som del av et IKT-system som også involverer operatører, kommunikasjons- og fjernstyringsteknologi og dronens sensorutrustning. Størrelsen varierer fra helikoptre på noen få gram til fly med et vingespenn på over 40 meter.

Droner gjør det mulig å sende kameraer og annet sensorutstyr i luften raskere, enklere og billigere enn med bemannende fly og helikoptre. Fordi de er ubemannet, kan de brukes i risikofylte operasjoner og miljøer. Derfor tas droner i økende grad i bruk i for eksempel overvåkings- og beredskapssammenheng. Etter Fukushima-ulykken i Japan i 2011 ble droner brukt for å kartlegge skader og strålingsfare.

Den økende utbredelsen av droner åpner luftrommet for mange typer ny bruk og utfordrer luftfartsikkerheten. Se punkt 18.3 «Luftfart».

Hacking og digital kapring. Droner har også vist seg sårbare for hacking og digital kapring, noe som kan medføre at uønskede aktører tar kontroll over dronen eller sensordataene den sender til kontrollstasjonen. At droner kontrolleres via satellitt og datanettverk, åpner for nye muligheter for fjernhandling. Operatøren av dronen kan være ukjent, noe som åpner opp for samfunnsskadelig bruk. Droner er blitt brukt i kriminell aktivitet og i smugling, og det finnes også eksempler på at droner er blitt utstyrt med eksplosiver og forsøkt brukt i terrorangrep.

Overvåking og spionasje. Droner kan være nærmest usynlige og lydløse, og de kan manøvrere nær bakken og inn i bygninger. De er bygd for å registrere data, noe som også åpner opp for spionasje og ulovlig overvåking.

Autonome styringssystemer. Utviklingen går mot stadig mer autonome styringssystemer der droner tar egne avgjørelser om navigasjon og operasjoner. Dette er systemer som er sårbare for feil så vel som for misbruk av aktører med intensjon om å skade.

6.4 Nye digitale tjenester og endringer i adferd

Den teknologiske utviklingen skaper muligheter for nye tjenester og gir opphav til endret adferd, både på individnivå og på samfunnsnivå. Dette påvirker samfunnets digitale sårbarheter.

6.4.1 Skytjenester

Skytjenester er en felles betegnelse på alt fra dataprosessering og datalagring, til programvare som er tilgjengelige fra eksterne serverparker tilknyttet Internett. Problemstillingene slike tjenester reiser er utredet i punkt 23.7 «Utkontraktering og skytjenester».

6.4.2 Sosiale medier

Sosiale medier er nettbaserte tjenester som gjør det mulig for folk å kommunisere med hverandre og dele informasjon i grupper. I noen tilfeller vil gruppene være små, i andre tilfeller kan de involvere flere millioner brukere. Det finnes i dag mange ulike typer sosiale medier, deriblant plattformer for sosiale nettverk, informasjonsdeling, diskusjon, samarbeid og koordinering.

Bruken av sosiale medier har tiltatt kraftig de siste årene, en vekst som også er nært knyttet til utbredelsen av smarttelefoner med Internett-tilgang. Nordmenn er flittige brukere av sosiale medier. Norsk mediebarometer rapporterer i 2015 at av dem som besøker Internett i løpet av en gjennomsnittsdag, har 64 prosent besøkt Facebook og 22 prosent besøkt andre sosiale medier.50

Når informasjon deles på sosiale medier, er den ikke lenger privat. Det kan være vanskelig å vite eller forutse hvordan informasjonen sprer seg gjennom nettverket, og hvem som får tilgang. Feriebilder delt på sosiale medier kan for eksempel utnyttes av kriminelle som ønsker å begå innbrudd i tomme hus. Praksisen med bruk av personlige sikkerhetsspørsmål for verifikasjon av identitet har også svakheter, ved at hackere har mulighet til å besvare disse ved å studere informasjonen som blir lagt ut på sosiale medier.

Sosiale medier gir bedre muligheter for å nå målgrupper enn før, ved at nyheter kan baseres på hva man søker etter, og hva man liker. Dette gir mulighet for å presentere informasjon slik målgruppen helst vil se den.

Når stadig mer informasjon om personlige kvalifikasjoner og både private og profesjonelle nettverksrelasjoner deles på sosiale medier, blir vi mer sårbare for såkalt sosial manipulasjon. I slike tilfeller kan en angriper forsøke å bruke falske profiler for å lure til seg informasjon gjennom målrettet kommunikasjon. Slik informasjon kan brukes til å bryte seg inn i IKT-systemene til virksomheter.

Fremveksten av sosiale medier har bidratt til å senke terskelen for hvem som kan være med på å spre informasjon, og har vist seg å være en effektiv kanal for å spre førstehåndsinformasjon fra konfliktområder som er utilgjengelige for uavhengig presse.

I senere tid har sosiale medier etablert seg som et viktig middel i radikaliseringsprosesser og som rekrutteringsverktøy i terrorsammenheng. Som en motvekt brukes sosiale medier også i demokratiseringsprosesser. Den arabiske våren er et godt eksempel.

6.4.3 Bruk av privateid datautstyr i jobbsammenheng

Bring Your Own Device, forkortet BYOD (bruk av privat datautstyr) er et begrep som brukes når ansatte bruker sitt eget, private utstyr for å få tilgang til tjenester og informasjon som eies av virksomheten der den ansatte arbeider. Utstyret er gjerne datamaskiner, smarttelefoner eller nettbrett, mens tjenestene kan være e-post, kalenderfunksjoner og IP-telefoni.

Bruken av privat teknologi i jobbsammenheng øker kraftig. Ifølge mørketallundersøkelsene51 har bruken av privat mobiltelefon og nettbrett doblet seg fra 2012 til 2014, og det gjelder alle typer virksomheter. Nesten 50 prosent brukte i 2014 egen mobiltelefon, mens tallene for nettbrett hang noe etter, med 36 prosent. 70 prosent av virksomhetene tillot at virksomhetens utstyr, særlig mobiltelefoner og bærbare datamaskiner, ble brukt til private formål.

Sikkerhetspolicyer i virksomheter er i utgangspunktet rettet mot utstyr som de selv eier og/eller har kontroll over. Ofte er ikke privat utstyr sikret på samme måte, og det åpner for både tilsiktede og utilsiktede sårbarheter. Flere virksomheter har imidlertid utarbeidet sikkerhetspolicyer som omfatter bruk av privat utstyr tilknyttet deres IKT-systemer og nettverk.

Kompromittering av virksomheters informasjon. Usikret informasjon som befinner seg på digitalt utstyr, eller som man har tilgang til gjennom utstyret, kan kompromitteres hvis man mister utstyret, låner det bort eller gir det videre, eller når en person slutter i en virksomhet. Hvis utstyret deles med for eksempel et barn i familien, kan virksomhetens informasjon bli delt via e-post eller i skyen uten at det var meningen.

Introduksjon av virus og annen skadelig programvare. Personlig utstyr kan bli infisert med virus og annen skadelig programvare som ikke fanges opp av virksomhetens ordinære beskyttelsesmekanismer. Disse kan smitte over i virksomheten og skade IKT-systemer og informasjon.

Overvåking av privat informasjon. Virksomheter kan av sikkerhetsmessige årsaker velge å overvåke bruken av personlig utstyr. Det åpner for at arbeidsgivere kan få tilgang til personlig informasjon.

6.5 IKT-sikkerhet på den strategiske agendaen

Digitalisering av samfunnet har skapt avhengigheter og sårbarheter som går på tvers av sektorer, ansvar og landegrenser. IKT-sikkerhet får stadig større oppmerksomhet. Spørsmålene står høyt på den politiske agendaen i mange land, og har forsvars- og sikkerhetspolitiske så vel som utenriks- og handelspolitiske dimensjoner.

Digital sårbarhet og IKT-sikkerhet blir i økende grad sett på som noe som omhandler beskyttelse av velstandssamfunnet i sin helhet, ikke bare som et teknologispørsmål. Det blir stadig viktigere å utforme praksis og lover slik at sikkerhet blir et konkurransefortrinn i den globale økonomien.

Samfunnets digitale sårbarheter gir også grobunn for elektronisk kriminalitet. På Internett har det de siste par årene vokst frem tjenester for kriminalitet – «crime-as-a-service». Samspillet mellom tradisjonell og elektronisk kriminalitet øker i omfang og blir mer komplekst. Utviklingen stiller nye krav til rettsvesenet, for eksempel når det gjelder samarbeid med utenlandske politimyndigheter og private aktører,52 se for øvrig kapittel 21 «Avdekke og håndtere digitale angrep».

I takt med at digitaliseringen av samfunnet har gjort oss mer avhengige av Internett, har også statlige myndighetsorganer tatt i bruk de mulighetene teknologien gir for å utføre spionasje mot andre lands nasjonale interesser. Cyberspionasje og cybersabotasje er allerede en del av den sikkerhetspolitiske «verktøykassen» i flere land. Denne endringen i trusselbildet handler om en økende profesjonalisering av grupperinger som ønsker å utnytte våre IKT-systemer.

Statlige trusselaktører har store ressurser og mye kunnskap, er godt organisert og har strategiske målsettinger. Vi omtaler dem som sofistikerte angripere: målrettede aktører, ofte statlige eller statsfinansierte, med betydelige ressurser i form av datakraft, kompetanse og andre avanserte virkemidler. Sofistikerte angripere går også under begrepet «avanserte vedvarende trusler».53 Det som skiller denne kategorien fra organiserte kriminelle, er hovedsakelig grensene for hvor langt disse er villige til å gå for å oppnå mål som ikke direkte gir økonomisk gevinst.

6.6 Trender i sikkerhetsteknologien

De digitale sårbarhetene i samfunnet skaper et kappløp mellom de som er angripere, og de som utvikler sikkerhetsteknologien. Her følger en kortfattet omtale av noen trender innen biometri og kryptografi.

Biometri er måling av biologiske eller adferdsrelaterte mønstre, som fingeravtrykk, netthinne, stemme eller måten man signerer et brev på. Målet for biometri er å måle noe som er unikt for enkeltindividet og samtidig stabilt over tid. Det forskes aktivt på nye kilder til biometri.

Teknologien for å gjenkjenne fingeravtrykk har modnet betraktelig. Fingeravtrykk har erstattet passord på mange bærbare enheter, og brukes som et alternativ til nøkler og nøkkelkort til fysisk adgangskontroll. Fingeravtrykk brukes ikke bare til tilgang til enheter, men også til å bekrefte handlinger vi utfører på enhetene, for eksempel kjøp av digitalt innhold og andre økonomiske transaksjoner.

Bruk av biometri reiser personvernrelaterte utfordringer. Teknologien for ansiktsgjenkjenning vil snart være så god at man automatisk kan gjenkjenne og følge alle som beveger seg i et kameraovervåket område, for eksempel et kjøpesenter. I tillegg er biologiske mønstre i all hovedsak permanente. Derfor ønsker man ikke å lagre for eksempel et bilde av et ansikt eller et fingeravtrykk, men heller avledede data som bare kan brukes til gjenkjenning. På denne måten kan vi unngå at biometriske systemer bygger opp sårbare databaser med sensitiv informasjon.

Kryptografi er teknikker som skal beskytte informasjon mot uønsket innsyn og endring.54Steganografi er et relatert begrep som handler om å skjule det faktum at informasjon sendes, gjerne ved å gjemme informasjon i annen leselig informasjon for ikke å tiltrekke seg oppmerksomhet.

En vesentlig trend er at kommunikasjon og lagrede data i økende grad krypteres. Et viktig element i denne trenden er at leverandører av hyllevare og nettbaserte tjenester tar i bruk kryptering som standard, slik at det ikke lenger er noe brukeren selv trenger å konfigurere. Denne trenden er et svar på høyst reelle sikkerhetsproblemer. Kryptering av mobile enheter kan for eksempel hindre at privat informasjon kommer på avveie dersom enheten mistes eller blir stjålet. Det samme gjelder ukryptert kommunikasjon som kan avlyttes. Åpen ubeskyttet kommunikasjon kan også være en måte å lure inn skadevare i folks datamaskiner på.55 Til en viss grad er kryptering i senere tid også blitt tatt i bruk som et svar på masseovervåking. Myndighetsaktører i flere land har ytret ønske om å forby eller regulere bruken av kryptografi.

En ny fremtidsrettet krypteringsteknologi er såkalte fullt homomorfiske kryptosystemer, forkortet FHE56. Vanligvis er det umulig å arbeide med krypterte data uten først å dekryptere dem. Med FHE er det mulig å gjøre beregninger på krypterte data under visse forutsetninger. Det tradisjonelle eksempelet er nettsøk, som er en av dagens utfordringer for personvernet. Med FHE kan man tenke seg at brukeren sender et kryptert søk til søketjenesten. Søketjenesten gjennomfører søket og kommer frem til et kryptert svar som den sender tilbake til brukeren. Brukeren kan så dekryptere svaret. Slik kan brukeren gjennomføre et nettsøk uten at søketjenesten vet hva søket handler om. Da FHE først ble presentert i 2009, var det som en teoretisk konstruksjon som ikke kunne gjennomføres i praksis. Siden den gang har det vært en rivende utvikling som vil kunne forbedre personvernet.

En kilde til usikkerhet i kryptografien er såkalte kvantedatamaskiner. Kvantedatamaskiner virker på en fundamentalt annerledes måte enn vanlige datamaskiner. Det gjør at kvantedatamaskiner vil være i stand til å bryte noen klasser av kryptosystemer som er mye brukt i dag. Selv om kvantedatamaskiner er blitt demonstrert, har de så langt ekstremt liten kapasitet. Det er usikkert om, og eventuelt når, vi vil være i stand til å bygge praktiske kvantedatamaskiner. Likevel har arbeidet med å utvikle og standardisere alternativer til de «sårbare» kryptosystemene begynt. Det er grunn til å tro at dette arbeidet vil være ferdig i god tid før noen eventuelt klarer å bygge en praktisk kvantedatamaskin. Man bør imidlertid være klar over at informasjon som er kryptert med «sårbare» systemer, ikke nødvendigvis vil opprettholde konfidensialitet på sikt.

Et tilsynelatende relatert fagfelt er kvantekryptografi, der resultater fra kvantemekanikken brukes til å bygge fysiske kryptosystemer som i teorien ikke kan brytes. I praksis har slik kvantekryptografi blitt brutt en rekke ganger.

7 Utilsiktede og tilsiktede IKT-hendelser

Når IKT-hendelser blir oppdaget, starter prosessen med å finne ut hva som er årsakene. Det kan være forskjellige former for naturhendelser og svikt, eller det kan være tilsiktede angrep. Avhengig av årsak og hvem som står bak, vil det være flere måter å håndtere situasjonen på. For eksempel ved å følge med på angriper eller stoppe angrepet, begrense skade og gjenopprette systemer. For mange angrep forblir angriperen ukjent, til tross for tidkrevende analyse.

I Norge har Næringslivets Sikkerhetsråd i en årrekke beskrevet det digitale sårbarhetsbildet hos norske virksomheter, og flere aktører utgir periodiske trussel- og risikobilder, deriblant Nasjonal sikkerhetsmyndighet, Etterretningstjenesten og Politiets sikkerhetstjeneste. Internasjonalt er det mange som jevnlig rapporterer om IKT-situasjonen.

Det er stor variasjon knyttet til forutsigbarhet og konsekvens når det gjelder utilsiktede og tilsiktede hendelsestyper. Naturhendelser kan i stor grad predikteres basert på historisk statistikk, det samme gjelder til dels også menneskelig og teknisk svikt. For noen typer tilsiktede hendelser, som visse hyppige former for IKT-kriminalitet, vil det også tegnes et mønster. For eksempel blir «tagging» på websider, tjenestenektangrep og kjente datavirus observert svært hyppig. Sofistikerte angripere som skjuler sporene sine, for eksempel ved skjult inntrenging, informasjonslekkasjer og informasjonstyverier, er vanskeligere å oppdage og å forutsi.

7.1 Utilsiktede IKT-hendelser

7.1.1 Naturhendelser

Værfenomen på jorden. De vanligste værfenomenene her til lands er storm, flom, skred og brann. Sterk vind får trær til å knekke og falle ned på høyspentledninger, og skred river av kabler både i bakken og i master. Dette er hendelser som treffer oss regelmessig, og sannsynligheten for å bli rammet er avhengig av geografiske forhold. Øst-Norge er lite utsatt for sterk vind, mens Nord-Norge og Vestlandet er mer utsatt. Stormen Dagmar i 2011 førte til strømbortfall, og det samme skjedde under ekstremværet Hilde i 2013. Flommen i Gudbrandsdalen i 2013 førte til driftsforstyrrelser på grunn av fiberbrudd og strømbrudd. Under Lærdals-brannen i januar 2014 brant mobile knutepunkter opp. Hendelser som gir utfall av strømforsyningen til et område, vil i stor grad ramme elektronisk kommunikasjon og datasystemer. Bortfall av elektronisk kommunikasjon har vist seg å forsterke konsekvensene av naturkatastrofer, da det kompliserer krisehåndteringen og samhandlingen mellom redningsmannskaper, kommuner og private.

Romvær. Mange ganger i løpet av et år sender solen koronamasse ut i verdensrommet. Dette er et solstormfenomen som normalt blir absorbert av atmosfæren, men kan forstyrre jordens elektromagnetiske felt dersom utbruddet er kraftig. Endringer i magnetfelt kan indusere skadelig strøm i strømlinjer og elektroniske komponenter. Små strømstyrker vil føre til forstyrrelser i IKT-utstyr, og blir strømmen for sterk, vil kretsene brenne opp. I 2012 var vi ganske nær ved å bli truffet av et kraftig utbrudd. Hvis denne stormen hadde truffet atmosfæren en uke tidligere, ville massive skyer med magnetisert plasma ha truffet jorden. Den etterfølgende solstormen ville blitt minst like sterk som Carrington-hendelsen i 1859, som hadde en enormt ødeleggende kraft. Samfunnet var ikke elektrifisert på samme måte som i dag, så konsekvensene den gang kan ikke sammenliknes med konsekvensene hendelsen ville fått i dagens samfunn.

Beskyttelsen mot solstormer er noe mindre rundt polene, og det gjør at vi i Norge er ekstra utsatt. Konsekvensene av en «100-års solstorm» er vurdert til å gi forstyrrelser i satellittsignaler og strømutfall, med de følgeskadene det vil gi.57

7.1.2 Svikt

Mennesket. Et kjent uttrykk er at «mennesket er det svakeste leddet», og vi mennesker gjør feil selv med de beste intensjoner. Det er dokumentert at svak lederforankring, menneskelige feilhandlinger og ubevissthet, samt organisatoriske forhold, er årsaker til mangelfullt sikkerhetsarbeid og uønskede hendelser i IKT-systemer.5859 Sensitive dokumenter blir sendt til feil mottakere, fiberkabler blir gravd over, og systemoppgraderinger feiler av og til katastrofalt.

Det er flere årsaker til at menneskelig svikt oppstår. Det kan dreie seg om lav brukervennlighet i sikkerhetstiltak og manglende sikkerhetskunnskap. Mennesker kan ha problemer med å følge kompliserte rutiner, særlig når de ikke forstår hvordan systemet virker. Utviklere og sikkerhetsledere må derfor ta hensyn til brukerne når de lager systemer og sikkerhetsrutiner, slik at det blir lett å bruke systemene sikkert og riktig. Bare 40 prosent av norske virksomheter gir sine ansatte slik opplæring ved nyansettelse, og bare 20 prosent gir opplæring senere i løpet av ansettelsesperioden.60

Utover intuitive sikkerhetstiltak og opplæring vil enkeltindividets holdninger til sikkerhetsarbeidet og sikkerhetskulturen i miljøet rundt påvirke sikkerhetsnivået. Det kan oppstå konflikter mellom det å prioritere sikkerhetsrutiner og det å få oppgaver gjort tidsnok. I tillegg er det alltid en sjanse for at det blir gjort tilfeldige feil.61

Det er viktig å være klar over at ansatte ofte vil erstatte tungvinte systemer og rutiner med enklere systemer og rutiner. Disse kan ha et helt annet sikkerhetsnivå. Enkeltindividet er under stort press og tillagt stort ansvar for sikkerhetsnivået. Man bør derfor spørre seg om det alltid er riktig å skylde på menneskelig svikt. Sikkerhetsrutiner kan være svært vanskelige å følge i praksis. For eksempel får ansatte beskjed om å være svært forsiktige med å trykke på lenker og åpne e-post-vedlegg, samtidig som det å åpne vedlegg er en naturlig og nødvendig del av arbeidet deres.

Organisatorisk svikt. Selv om tradisjonelle og modne sikkerhetstiltak er utbredt hos norske virksomheter og IKT-systemene teknisk sett blir mer motstandsdyktige, tyder mørketallsundersøkelser utgitt av NSR på at det er manglende kunnskap om informasjonssikkerhet ute i virksomhetene. Virksomhetene har ikke oversikt over hvilke verdier de besitter, og under halvparten har gjort en verdivurdering av informasjonen sin.62 ENISA vurderer at mer enn halvparten av de vellykkede IKT-angrepene skyldes slurv fra virksomhetene.63 De enklest utnyttbare sårbarhetene internasjonalt skyldes ifølge Cisco programvare som er utdatert på grunn av manglende sikkerhetsoppdateringer.64

Systemsvikt. Systemteknisk svikt starter ofte med at enkeltkomponenter bryter sammen, ofte som følge av overbelastning. Elektronikk kan kortslutte eller ta fyr, harddisker slutter å fungere, og logiske feil i programkode ender med systemfeil. Mange kjenner seg igjen i ufrivillig å ha mistet dokumenter, bilder og videoklipp som følge av systemsvikt, og mange oppdager i slike situasjoner at sikkerhetskopier ikke er tilgjengelige, eller at de er utdaterte – en kombinasjon av teknisk og menneskelig svikt.

Når sikkerhetsmekanismene enten mangler eller ikke blir fulgt opp tilstrekkelig, vil slike hendelser raskt kunne forplante seg i avhengige og nærliggende systemer. Strømutfallet i en ekomsentral i Ålesund 2014 førte til store tjenesteavbrudd på grunn av mangelfull alarmhåndtering, kombinert med at adgangen til sentralen var elektrisk styrt.

Et annet relevant eksempel er Tieto-hendelsen fra Sverige mot slutten av 2011.65 Teknisk svikt hos en driftsleverandør førte til at både primær- og reservesystemet for lagring av data hos leverandøren sviktet. Ny maskinvare var på plass etter kort tid, men prosessen med å gjenopprette dataene tok flere uker. En serie uhell forsterket av manglende beredskapsplanlegging førte til at cirka 50 virksomheter, både offentlige og private, mistet datatjenester i opptil flere uker. Blant disse var 350 apotekfilialer, som ikke fikk delt ut resepter, og det svenske biltilsynet, som ikke fikk effektuert kjøretillatelser.

Tieto-hendelsen i 2011 viser en sterk avhengighet av driftsleverandøren, og er et eksempel på stor grad av konsentrasjonsrisiko. Konsentrasjonsrisiko innebærer at mange avhengigheter peker i samme retning. Den amerikanske sosiologien Charles Perrow har fremhevet at kompleksitet, tett kobling og lineære interaksjoner påvirker risikoen for systemsvikt.66 Disse egenskapene er tydelige i det digitale samfunnet, der komponenter, systemer og menneskelige handlinger kobles stadig tettere sammen gjennom blant annet tingenes Internett, automatisering og systemintegrasjon.

7.2 Tilsiktede IKT-hendelser

IKT-kriminalitet, digitale angrep, spionasje, sabotasje og terror brukes i utvalgets mandat for å omtale tilsiktede hendelser.67 Begrepene kan henvise til ulike grupper av trusselaktører, som har ulik motivasjon, ulik tilgang på ressurser og ulik grad av kunnskap og organisering. Motivene spenner fra å demonstrere ferdigheter og påvise sårbarheter til å utøve makt og politisk press. Angrep kan være målrettet mot et spesifikt offer, eller de kan være opportunistiske ved å ramme tilfeldige.

Blant de minst teknisk avanserte truslene har vi såkalte «script kiddies» og sosiale hackere. Dette er ofte enkeltpersoner på jakt etter utfordringer, og de bruker helst eksisterende hackerverktøy eller sosial manipulasjon. Kripos er bekymret for at det bygges opp nettverk av unge mennesker i Norge som lærer hverandre ulike former for IKT-kriminalitet uten fullt ut å skjønne konsekvensene av slike lovbrudd. Det er også en fare for at slike nettverk kan fungere som rekrutteringsarena for alvorligere former for IKT-kriminalitet.68

De som representerer trusler med høy kapasitet, de såkalte sofistikerte angriperne, kan være statlige eller statsfinansierte grupperinger som bryter seg inn i IKT-systemer for å samle inn informasjon knyttet til politiske eller militære formål. Motivene kan i ytterste konsekvens være forberedelser til fremtidige sabotasjeoperasjoner. Leverandører, utviklere og operatører knyttet til kritisk infrastruktur er utsatte grupper, for eksempel i forbindelse med plassering av digitale bakdører og utro tjenere.

I spennet mellom disse ytterpunktene kan det være mange ulike aktører. Politisk motiverte enkeltpersoner og grupper bruker digitale verktøy for å true og påvirke. De kalles ofte hacktivister. Økonomisk motiverte kriminelle bruker forskjellige former for svindel og ID-tyveri. Cyberterrorister tilhører ideologisk motiverte grupper som bruker IKT for å ramme grupper eller samfunnsfunksjoner med vold eller trusler om vold. Selv virksomheter kan tenkes i rollen som trusselaktør dersom de søker å oppnå konkurransefortrinn ved hjelp av ulovlig innsamling av informasjon eller destruktive dataangrep mot konkurrenter.

Aktørene benytter seg av ulike metoder og verktøy: Anonymiseringstjenester, kryptering og virtuell valuta blir stadig mer avansert, og Europol uttrykker bekymring for denne utviklingen.69 Teknikkene er med på å skjule hvem som kommuniserer, og hva som blir sagt, og vanskeliggjør sporing av økonomiske transaksjoner.

Skadevare («malware») benytter tekniske sårbarheter for å oppnå tilgang og rettigheter til utstyret den infiserer. Skadevare kan klassifiseres etter spredningsform, som virus, orm, bakdør eller trojansk hest. De kan også klassifiseres ut fra intensjon, som reklamevare, løsepengevirus, spionprogramvare og logiske bomber70. Mange trusselaktører samler maskiner de tar kontroll over, i store nettverk kalt botnett. Dette foregår ved at en bakdør installeres på maskinen, som i sin tur opprettholder kontakten med kommandoinfrastrukturen under kontroll av trusselaktøren. En aktør med tilgang til et stort botnett kan bruke den totale datakraften til eksempelvis å sende ut spam, automatisk generere klikk på nettannonser, overbelaste nettsteder med datatrafikk eller tjene penger ved å misbruke utregningskraft.71 Se for øvrig boks 7.1.

«Crime-as-a-service». Det har oppstått et globalt marked for kjøp og salg av tjenester for å understøtte IKT-kriminalitet,72 der kriminelle fritt kan kjøpe kriminelle tjenester som botnett, tjenestenektangrep, utvikling av skadevare, data- og passordtyveri på et globalt marked. Det har gjort IKT-kriminalitet attraktivt for tradisjonelle organiserte kriminelle grupper. Dette markedet er modent, og trolig større enn narkotikamarkedet.73 Her handler ulike aktører, både stater, organisasjoner og privatpersoner.

Sosial hacking. Med økende grad av tekniske barrierer kan kriminelle oppleve det som vanskeligere å gå direkte på systemene. Da er det lettere å gå indirekte via menneskene i organisasjonen. En vanlig metode er å sende ansatte persontilpassede e-postmeldinger (nettfiskeangrep) med infiserte vedlegg eller linker. En annen metode er oppringing for å lure den ansatte til å oppgi informasjon om virksomhetens sikkerhetssystemer. Det er erfaringsmessig alltid noen som lar seg lure av slike angrep,74 og det rapporteres om en økning i antall nettfiskeangrep.75 Tilsvarende kan også foregå via SMS og sosiale medier.

Kriminelle bak nettbankangrep trenger ofte hjelp til å sende penger ut av landet, og rekrutterer derfor hvitvaskere (money mules), som for eksempel stiller kontoen sin til disposisjon. Kjente prinsipper er manipulasjon basert på fristelser, autoritet, tiltrekning og sympati. I eksemplet med hvitvaskere kan det være høy lønn, bonus og muligheten til å jobbe hjemmefra det fristes med. Tiltrekning kan misbrukes ved at kriminelle oppretter falske profiler på nettdatingtjenester for å innlede falske forhold og lure offeret til å overføre penger. Det er også flere eksempler på at politi- og myndighetslogoer blir misbrukt i kombinasjon med «bøter», og falske veldedighetsorganisasjoner kan utnytte vår sympati til å lure fra oss verdier.

7.2.1 IKT-kriminalitet

Internasjonalt. Europol gir årlig ut rapporter med vurderinger av gjeldende og forventede trender innenfor organisert Internett-kriminalitet.76 Rapporten for 2015 beskriver at IKT-kriminalitet77 skiller seg fra annen kriminalitet ved at den kriminelle ikke trenger å være i fysisk nærhet til offeret, kan angripe flere ofre samtidig og med minimale muligheter for å bli oppdaget. Som en konsekvens reises behovet for mer samarbeid mellom politimyndigheter på tvers av landegrenser. Slikt samarbeid blir riktignok hindret ved at flere jurisdiksjoner utenfor Europa mangler juridiske rammeverk for slikt samarbeid.

I en studie av FN som sammenligner 21 land, rapporterer mellom 1 prosent og 17 prosent av befolkningen at de har vært utsatt for kriminalitet via Internett, som kredittkortsvindel, ID-tyveri, nettfiskeforsøk og ulovlig adgang til e-postkonto. Til sammenligning rapporterte mindre enn 5 prosent av befolkningen i studien at de hadde vært utsatt for konvensjonell kriminalitet. Blant europeiske bedrifter rapporterte mellom 2 prosent og 16 prosent at de hadde vært utsatt for cyberkriminalitet.78

I henhold til internasjonal rett skal kriminelle saker ivaretas av det enkelte lands interne politi og rettsvesen. En rapport fra FN hevder at å beskytte seg mot cyberkriminalitet globalt er så komplekst at det ikke kan løses av stater enkeltvis, men må løses gjennom etablerte samarbeidsfora og bilateralt.79 Det nærmeste man kommer en helhetlig tilnærming, er enn så lenge Europakonvensjonen mot cyberkriminalitet.80

Etter hvert som antall Internett-brukere, inkludert mobilbrukere, globalt stiger, vil virksomheter og innbyggere i EU kunne bli utsatt for et stadig større antall digitale angrep fra utviklingsland. Relativt større rikdom, avansert infrastruktur og økende avhengighet av Internett innenfor økonomi og betalingssystemer gjør EU-landene til attraktive mål for cyberkriminelle, samtidig som angrepene stort sett gjennomføres fra land utenfor EU.81 Men vel så viktig er den sårbarheten utviklingsland utsetter seg selv for, da med tanke på landenes modenhet på IKT-sikkerhetsområdet. Utenriksdepartementet skriver at «Norge kan spille en viktig rolle i å bistå med kapasitetsbygging på cyberfeltet i utviklingsland slik at flere land i større grad også evner å håndtere digitale utfordringer og digitale trusler». Et av tiltakene til regjeringen er å intensivere samarbeidet og dialogen med EU om slik kapasitetsbygging.82

IKT-kriminaliteten i Norge. Ifølge Kripos er IKT-kriminalitet i ferd med å bli et reelt samfunnsproblem. Den teknologiske utviklingen har ført til at tradisjonell kriminalitet kan begås på nye måter, blant annet ved bruk av Internett. Oppdagelsesrisikoen er lav og fortjenestepotensialet høyt. Bruk av Internett som kommunikasjonskanal utfordrer politiets bekjempelse av en rekke former for kriminalitet – som bedragerier, seksuelle overgrep og narkotikakriminalitet.83

Det pågår kontinuerlig forsøk på å innhente personlig informasjon som senere skal brukes til kriminelle handlinger. Identitetstyveri, bedrageri og planting av skadelig programvare er bare noen av metodene som benyttes. Det finnes en rekke eksempler på tjenestenektangrep mot banker, mediehus, politiske partier, myndigheter og offentlig sektor. Disse angrepene kan være både ideologiske, politiske, økonomiske og personlig motivert.

Så godt som alle de norske bankene har opplevd at kriminelle infiserer kundenes PC-er med skreddersydd og skadelig programvare i den hensikt å gjennomføre urettmessige pengetransaksjoner. Kripos vurderer det som svært sannsynlig at norske banker vil bli utsatt for omfattende hackerforsøk der profesjonelle aktører står bak.84

Det er en utvikling i retning av at stadig flere typer bedragerier finner sted med Internett som kommunikasjonskanal mellom lovbryter og offer.85 Svindel på digitale markedsplasser er et økende problem, både med ulovlige og falske varer.

I en NorSIS-undersøkelse fra 2014 oppgir 3,2 prosent av befolkningen at de har opplevd at noen har benyttet deres identitet til å begå straffbare handlinger. Dette er en nedgang fra 5,9 prosent i 2013.

Flere mennesker blir i dag ofre for cyberkriminalitet enn for konvensjonell kriminalitet. Forsikring mot ID-tyveri er også i ferd med å innta forsikringsmarkedet.

Internetts opplevde anonymitet, utbredelse og billige tilgang, sammen med utbredelsen av digitale muligheter for bilder og film, gjør at produksjonen og tilgjengeligheten av overgrepsbilder øker raskt, både nasjonalt og internasjonalt. Internett benyttes også i økende utstrekning til kjøp og salg av ulike typer narkotika og bestanddeler som kan brukes til å fremstille syntetiske narkotiske stoffer.86

Europakonvensjonen mot cyberkriminalitet beskriver flere former for IKT-kriminalitet rettet mot selve teknologien, blant annet:

Uautorisert tilgang til et IKT-system kan oppnås for eksempel ved å utføre et datainnbrudd eller ved å misbruke autorisasjon.Enhver datamaskin, spesielt når den er tilkoblet Internett, kan ha verdi for en angriper med økonomiske motiver. Selv en tilfeldig infisert maskin uten spesielt interessant innhold kan benyttes til blant annet angrep på andre datamaskiner, lagring av ulovlige filer, utsendelse av «spam», innhenting av brukerkonti og kredittkortnumre og en rekke andre formål. Dette kan igjen omsettes for penger. I 2010 var det store oppslag om at noen hadde skaffet seg ulovlig tilgang til regjeringens ugraderte IKT-systemer gjennom et datainnbrudd, og at store mengder dokumenter hadde blitt kopiert. Lekkasje av data kan også skje ved ulovlig avlytting av datakommunikasjon der informasjon overføres uten sterk kryptering eller tilsvarende beskyttelse.

Hindre tiltenkt funksjonalitet til et IKT-system. Det har vært en økning i antall distribuerte tjenestenektangrep (DDoS) i Norge. Det kan være ideologiske, politiske, økonomiske eller personlige motiver som ligger bak tjenestenektangrep.87 Politiets datanettverk ble i 2009 infisert av skadevaren «conficker», noe som førte til to uker med nedetid. Et tjenestenektangrep ble i 2014 rettet mot norske banker og andre store bedrifter av en 17-åring. Angrepet pågikk bare noen timer. Konsekvensene var hovedsakelig økonomiske tap samt noe nedetid på systemene som ble rammet. Jamming er en form for tilsiktet interferens med hensikt å blokkere sendere eller mottakere av radiokommunikasjon. Rent teknologisk har slikt utstyr blir lettere, billigere og mer effektivt.88

Utvikling og distribusjon av verktøy og metoder for å utføre handlingene som er nevnt ovenfor, hører også til IKT-kriminalitetsformen rettet mot selve teknologien. Eksempler er utvikling av skadevare og distribusjon av stjålne tilgangsdata i forbindelse med ID-tyveri.

Kostnaden ved IKT-kriminalitet

Mange land ønsker å vite hva IKT-kriminalitet koster. Dette skaper et behov for nøyaktig statistikk over IKT-kriminalitet og økonomiske tap. Imidlertid er mange av studiene på dette området gjort av organisasjoner med en agenda. Eksempler er sikkerhetsselskaper og politiske organisasjoner. En pekepinn på omfanget gir Center for Strategic and International Studies (CSIS), som har estimert at de årlige globale tapene knyttet til IKT-kriminalitet er på mellom 375 milliarder og 575 milliarder dollar per år på verdensbasis. IKT-kriminalitet ødelegger handel, konkurranseevne og innovasjon.

For Norge ligger CSIS-estimatet på cirka 20 milliarder kroner. Dette tallet står i skarp kontrast til det norske virksomheter selv rapporterer at de har hatt av direkte og indirekte tap, i Mørketallsundersøkelsen 2014. Det er stor usikkerhet knyttet til norske mørketall både når det gjelder antall estimerte hendelser, og når det gjelder kostnader som følge av hendelser. Et problem er at norske virksomheter ikke vet at de er angrepet. Mørketallsundersøkelsen viser store avvik mellom estimerte hendelser og hendelser som er anmeldt til politiet. Sammenligner vi data fra NSM og mnemonic med svar fra store virksomheter, ser vi at over halvparten har vært utsatt for datainnbrudd i en eller annen form, og ikke bare 5 prosent som det er rapportert om i Mørketallsundersøkelsen.

7.2.2 Sabotasje, spionasje og terror

Antall registrerte hendelser ved NSM NorCERT øker. NSM vurderer denne økningen som en indikasjon på at aktivitet fra ulike trusselaktører øker, til tross for at både antall sensorer og antall nasjonale og internasjonale samarbeidspartnere øker. Dette er blant annet basert på hva internasjonale samarbeidsparter beskriver. Figur 7.1 viser antall hendelser per kvartal siden 2011.

Fra 2011 til 2014 økte antallet håndterte hendelser og antallet hendelser klassifisert som alvorlige hos NSM NorCERT. Tallene for 2015 viser en nedgang. Nedgangen i antall håndterte angrep kan forklares med et unormalt høyt nivå i tredje kvartal 2014. Nedgangen i antall klassifiserte alvorlige hendelser forklares av NSM med en kombinasjon av økt kompleksitet og endrede prioriteringer av bistand.89 Se figur 7.2.

* Tallene for 2015 er et lineært estimat fra henholdsvis 2943 og 13 saker per 31. august 2015.

¹ Nasjonal sikkerhetsmyndighet (2015): Helhetlig IKT-risikobilde 2015.

Vi må anta at sofistikerte aktører kan trenge gjennom kryptografiske beskyttelsesmekanismer og kompromittere systemer før de når kunden, og at de har høy kapasitet når det gjelder å oppdage svakheter i programvare som ikke bevisst er satt inn.

Sofistikerte aktører kan angripe kryptografisk beskyttelse ved hjelp av kryptoanalyse, ved å stjele nøkler eller ved å sabotere komponenter i kryptosystemet. En angriper kan enten angripe tegningene til systemet, byggingen av systemet eller selve systemet under transport til kunden, og det er grunn til å tro at sofistikerte angripere manipulerer systemer under transport til kundene.

Nesten all programvare vi bruker, inneholder sårbarheter med varierende grad av kompleksitet og alvorlighet. Sofistikerte aktører angriper systemer ved å finne og utnytte sårbarheter i programvaren. Det er mange eksempler på feil som er funnet i programkode, men det er uklart om det er bevisste eller utilsiktede feil. Det er grunn til å tro at sofistikerte angripere er vesentlig bedre enn akademikere og andre åpne analytikere90 til å finne sårbarheter i programvare. Vi må legge til grunn at velfinansierte, sofistikerte angripere er i stand til å bygge opp større grupper, som ikke bare kan analysere programvare mer systematisk, men også er i stand til å bygge et miljø, samt utvikle og vedlikeholde analyseverktøy. Slike grupper vil være i stand til å finne sårbarheter som akademikere eller åpne analytikere ikke har kapasitet til å finne. De vil også ha en mye større total analysekapasitet.

I det påfølgende er åpne kilder benyttet for å beskrive sentrale aktørers vurdering av digital spionasje, sabotasje og terrorisme. Tekstutdrag er gjengitt i teksten for å unngå å forvrenge budskapet.

Digital spionasje

Digitaliseringen av det norske samfunnet og internasjonaliseringen av forskning og næringsliv har forenklet arbeidsvilkårene for fremmede etterretningstjenester.91 Risikoen for spionasje (også kalt nettverksbaserte etterretningsoperasjoner) mot norske verdier vurderes å være høy og økende. Flere større norske virksomheter har ikke kapasitet til å håndtere nivået på flere av trusselaktørene, og de har i varierende grad evne til å oppdage at sikkerhetsgradert og annen sensitiv informasjon blir stjålet. En liten leverandør med lav sikkerhetsbevissthet kan utgjøre en vesentlig sårbarhet for en stor kunde. Skadepotensialet er stort på grunn av økt sammenkobling på tvers av sektorer og at systemer kobles til Internett. NSM ser at datahaller ofte er dårligere sikret enn markedsføringen og verdiene tilsier. Sosiale media har skapt nye arenaer der det er lett å forsnakke seg om sensitive forhold. For eksempel har mange forsvarsansatte delt informasjon om utenlandsoppdrag i sosiale medier uten å ha sjekket sikkerheten i disse systemene.92

Ifølge Etterretningstjenesten angriper fremmed etterretning daglig norsk digital infrastruktur, og det er statlige aktører som står bak den mest alvorlige trusselen.93 Vurderinger av spionasjetrusselen tar blant annet utgangspunkt i de land Norge oppfatter å ha motstridende interesser med. Blant de land Norge ikke har et sikkerhetspolitisk samarbeid med, vurder PST at Russland er den staten med størst kapasitet og skadepotensial knyttet til etterretning mot norske interesser (herunder nettverksbaserte etterretningsoperasjoner), etterfulgt av Kina. Datanettverksoperasjoner94 vurderes som den etterretningsmetoden som kan ha de mest alvorlige og omfattende skadevirkningene på hele spekteret av norske interesser.

Russiske myndigheter har i mange år benyttet seg av nettverksbaserte etterretningsoperasjoner for å skaffe seg informasjon om andre lands politiske beslutninger samt aktuelle militære og finansielle forhold. Russland har under Ukraina-konflikten benyttet nettverksbaserte etterretningsoperasjoner i kombinasjon med en rekke andre virkemidler.

Kinesiske nettverksbaserte etterretningsoperasjoner har først og fremst til hensikt å understøtte landets økonomiske vekst og være et redskap for å innhente Vestens teknologiske forsprang. Operasjonene utføres av en rekke statlige og ikke-statlige grupperinger. Sentrale sektorer innen kinesisk industri understøttes av den statlige etterretningsvirksomheten.

Utover disse vises det til at enkelte andre stater har etablert samarbeid mellom sine hemmelige tjenester og organiserte kriminelle som utfører nettverksbaserte etterretningsoperasjoner på deres vegne.

Metadata etterlatt i digitale tjenester, som sosiale medier, kan ved analyse avdekke kunnskap om både enkeltpersoner, grupper og lokasjoner. E-tjenesten fremhever at utenlandsk etterretning kan få tilgang til denne kunnskapen der disse tjenestene blir forvaltet gjennom skytjenester, og ved serverparker i utlandet.

Angrepsmetodene preges i dag av e-post og kompromitterte websider med skadelig innhold (vannhull95). Utnyttelse av tjeneste- og underleverandører brukes også som en indirekte vei til målet gjennom sammenkoblede nettverk eller gjennom felles brukere.

Et internasjonalt eksempel på tyveri av informasjon er hackergruppen Dragonfly, som hadde som mål å stjele informasjon. Gruppen benyttet to typer ondsinnet programvare i angrepet, begge såkalte fjernstyrings- og tilgangsverktøy. Disse ble distribuert gjennom e-post, vannhullsangrep og programvare lastet ned fra leverandørene av industrikontrollsystemer. Et annet eksempel er Telenor som i 2013 ble rammet av målrettede forsøk på datatyveri mot nøkkelpersonell.

Digital sabotasje

Nettverksbasert sabotasje utgjør en alvorlig, men foreløpig langt mindre spesifikk trussel enn etterretningstrusselen. Fremmede makter kan gjennom nettverksbaserte etterretningsoperasjoner i fredstid erverve inngående kjennskap til kritisk infrastruktur. Kunnskapen kan senere benyttes til å gjennomføre sabotasjeaksjoner. Flere stater utvikler skadevare som vil kunne brukes til å sabotere infrastruktur eller forstyrre kritiske samfunnsfunksjoner. Utviklingen minner mer og mer om et våpenkappløp. Skadevare kan ramme alle systemer som er koblet til nett. Brannmurer og antivirusprogramvare er ingen garanti mot kompromittering, selv om slike tiltak reduserer risikoen.

Internasjonalt finnes det eksempler på digital sabotasje med militærpolitisk motivasjon, kanskje så langt tilbake som tidlig på 1980-tallet. Bekreftelse på hvem som står bak slike sabotasjehandlinger, får vi sjelden, og om vi får det, er det lenge etter at handlingen fant sted. Det spekuleres i om eksplosjonen i de sovjetiske transsibirske gassledningene i 1982 var forårsaket av en innplantet logisk bombe i programvaren til styringssystemet. Andre tidlige eksempler er sabotasjeaksjoner mot serbiske og syriske luftvernsystemer for å sette disse ut av spill under de alliertes luftoperasjoner.

I nyere tid har vi blant annet sett digitale angrep mot Estland i 2007, der tjenestenektangrep ble brukt i stor skala for å avskjære befolkningen fra myndighetene, samt andre viktige samfunnsfunksjoner som bankvesenet. Websider ble kompromittert for å spre propaganda. I 2008 eksploderte rørledninger i Baku i Aserbajdsjan, og det er også der mistanke om manipulasjon av overvåkingssystemene. I 2010 herjet Stuxnet-skadevaren, som var utviklet for å sabotere sentrifugeanlegg for å anrike grunnstoffet uran i Iran. Et tysk stålverk fikk store skader i 2014 som følge av et digitalt innbrudd i kontrollsystemene.96

Digital terrorisme

Angrep i og gjennom det digitale rom er også attraktivt for idelogiske grupperinger og privatpersoner. Disse kan bruke enkle, nedlastbare verktøy for eksempel for å endre på websider eller gjennomføre nektelsesangrep. Mer avanserte angrep mot godt beskyttede systemer krever imidlertid helt andre ressurser både til å drive etterretning og til å utføre selve angrepet. Realisering av den digitale terrortrusselen er foreløpig begrenset av trusselaktørenes mangel på evne og kunnskap.97

Terrorister bruker Internett til rekruttering, spredning av ideologi og til å samle inn informasjon om hvordan de kan lage bomber. De bruker kodede meldinger ved hjelp av teknikker som skjuler meldinger i vanlig tekst i e-post og på nettsider. I tillegg stenges og åpnes nettsider stadig, noe som gjør det vanskelig å spore dem. Å stoppe slik aktivitet er bortimot umulig.98 Internett er en viktig arena for rekruttering, radikalisering og spredning av propaganda.99

8 Organisering av roller og ansvar

8.1 Overordnede mål og prinsipper for IKT-sikkerhetsarbeidet

IKT-sikkerhet følger de fire overordnede prinsippene for samfunnssikkerhet – ansvar, nærhet, likhet og samvirke.100

Ansvarsprinsippet innebærer at den myndigheten, virksomheten eller etaten som til daglig har ansvaret for et område – for eksempel en funksjon eller et system – også har ansvaret for nødvendige sikkerhets- og beredskapsforberedelser og for den utøvende tjenesten ved kriser og katastrofer.

Likhetsprinsippet innebærer at den organisasjonen man opererer med under kriser, skal være mest mulig lik den organisasjonen man har til daglig. Dette er en utdyping av ansvarsprinsippet, og innebærer at ansvarsforholdene internt og mellom virksomheter/organisasjoner ikke skal endres i forbindelse med krisehåndtering.

Nærhetsprinsippet innebærer at kriser organisatorisk skal håndteres på lavest mulig nivå. Dette bygger på en forutsetning om at den som har størst nærhet til krisen, i de fleste tilfeller også vil ha best situasjonsforståelse og være best egnet til å håndtere krisen.

Samvirkeprinsippet viser til at myndigheten, virksomheten eller etaten har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering. For å sikre en best mulig utnyttelse av ressurser på tvers av sektorer er det et stort behov for samarbeid på tvers av ansvarsområder.

En rekke utredninger og strategier peker på utfordringer innen IKT-sikkerhet, og flere initiativer er iverksatt for å redusere sårbarhetene. Figur 8.1 gjengir utvalgte sentrale, tverrsektorielle dokumenter og initiativer de siste 15 årene.

Nasjonal strategi for informasjonssikkerhet ble lansert i 2012, og angir retning og prioriteringer for myndighetenes informasjonssikkerhetsarbeid. Strategien definerer fire overordnede mål for informasjonssikkerhetsarbeidet, som igjen er operasjonalisert gjennom sju strategiske prioriteringer:

• å ivareta informasjonssikkerheten på en mer helhetlig og systematisk måte

• å styrke IKT-infrastrukturen

• å sørge for en felles tilnærming til informasjonssikkerhet i statsforvaltningen

• å sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser

• å sikre samfunnets evne til å forebygge, avdekke og etterforske IKT-kriminalitet101

• kontinuerlig innsats for bevisstgjøring og kompetanseheving

• høy kvalitet på nasjonal forskning og utvikling innenfor informasjons- og kommunikasjonssikkerhet

Strategien slår fast at IKT-sikkerhet først og fremst er den enkelte virksomhetens ansvar. Fagdepartementene har et overordnet ansvar for å ivareta sikkerheten i sektorens IKT-infrastruktur og for at det forebyggende IKT-sikkerhetsarbeidet i sektoren er tilfredsstillende.

Til strategien er det utarbeidet en handlingsplan med konkrete tiltak og fordeling av ansvar for oppfølging. I 2014 initierte Justis- og beredskapsdepartementet en rapportering fra departementene om oppfølgingen av strategi- og handlingsplanen. Rapporteringen viste at alle departementene er kjent med strategien, og at det er iverksatt en rekke tiltak på bakgrunn av denne. Justis- og beredskapsdepartementet ser imidlertid behov for ytterlige oppfølging, og har på bakgrunn av dette gitt en individuell tilbakemelding til hvert departement.

Departementenes ansvar for samfunnssikkerhet og beredskap følger av en instruks fra 2012.102 Formålet med instruksen er å fremme et helhetlig og koordinert samfunnssikkerhets- og beredskapsarbeid som bidrar til å øke samfunnets evne til å forebygge kriser og uønskede hendelser og til å håndtere kriser. Instruksen stiller krav til både forebyggende beredskapsarbeid og evne til å håndtere kriser. Instruksen fastsetter at departementene blant annet skal

• på grunnlag av oversikt over risiko og sårbarhet i egen sektor og DSBs nasjonale risikobilde vurdere risiko, sårbarhet og robusthet i kritiske samfunnsfunksjoner i egen sektor som grunnlag for kontinuitets- og beredskapsplanlegging og hensiktsmessige øvelser, samt arbeide systematisk for å utvikle og vedlikeholde oversikten over risiko og sårbarhet i egen sektor

• vurdere og iverksette forebyggende og beredskapsmessige tiltak

• dokumentere at det er gjennomført tiltak som avbøter manglende robusthet i kritisk infrastruktur og funksjoner innenfor departementets ansvarsområde

• være forberedt på å håndtere alle typer kriser i egen sektor og yte bistand til andre departementer i kriser som involverer flere sektorer

• være forberedt på å være lederdepartement

Punktene over omfatter alle typer forebygging, beredskap og krisehåndtering, inkludert IKT-hendelser. Kravene fra instruksen er bindende, og det blir ført tilsyn med departementenes oppfølging av kravene. En oversikt over ansvar for ulike samfunnsfunksjoner fremgår av vedlegg 25.2.

Styringsverktøyene til den enkelte statsråden og de enkelte departementene overfor underlagte etater og virksomheter er det årlige tildelingsbrevet, virksomhetenes rapportering på måloppnåelse, instrukser, etatsstyringsmøter med mer. Departementene er gjennom den tidligere nevnte instruksen103 pålagt å «synliggjøre mål og prioriteringer for samfunnssikkerhets- og beredskapsarbeidet i de årlige budsjettproposisjonene».

I tillegg skal de kunne «dokumentere at det er gjennomført tiltak som setter dem i stand til å ivareta prioriterte funksjoner og oppgaver i hele krisespekteret, herunder også forebyggende tiltak og at virksomheter i egen sektor er i stand til å ivareta ansvar for kritiske samfunnsfunksjoner uavhengig av hvilke hendelser som måtte inntreffe». Videre er sektorenes regelverk og tilsynsvirksomhet sentrale. Disse er nærmere omtalt for de samfunnsområdene NOU-en beskriver.

8.2 Sentrale myndighetsaktører med særlig ansvar for oppfølging av IKT-sikkerhet

Utover det generelle ansvaret til alle fagdepartementene har enkelte departementer og underlagte virksomheter en særskilt rolle knyttet til IKT-sikkerhet.

Statsministerens kontor (SMK) bistår statsministeren i å lede og samordne regjeringens arbeid, også i en krisesituasjon. SMKs involvering i den enkelte krisen vil avhenge av krisens art, omfang med videre. I kriser som faller innenfor beredskapslovens virkeområde, er statsministeren delegert særskilte fullmakter i situasjoner der det er uomgjengelig nødvendig å treffe beslutninger for å ivareta samfunnets interesser. Statsministerens kontor må planlegge for at statsministeren og regjeringen skal kunne utføre sine oppgaver også i krisesituasjoner, og for at kontoret skal kunne utføre oppgaver som sekretariat for regjeringskonferanser, Regjeringens sikkerhetsutvalg (RSU) og Kongen i statsråd. Kontoret må kunne yte både administrativ støtte og sekretariatsfunksjoner og bidra med rådgivning.104 Statsministerens kontor har ansvar for beskyttelsesinstruksen.

Justis- og beredskapsdepartementet (JD) har en generell samordningsrolle for samfunnssikkerhet og beredskap i sivil sektor, og et samordningsansvar innen IKT-sikkerhet. Justis- og beredskapsdepartementet har videre et overordnet ansvar for å bekjempe IKT-kriminalitet.

Justis- og beredskapsdepartementets totale ansvar for IKT-sikkerhet utledes fra

• instruks for departementenes arbeid med samfunnssikkerhet og beredskap, Justis- og beredskapsdepartementets samordningsrolle, tilsynsfunksjon og sentral krisehåndtering (kgl.res. 15. juni 2012)

• overføring av samordningsansvaret for forebyggende IKT-sikkerhet fra Fornyings-, administrasjons- og kirkedepartementet til Justis- og beredskapsdepartementet (kgl.res. 22. mars 2013)

• fordeling av ansvar for forebyggende sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet (kronprinsreg.res. 4. juli 2003)

I kgl.res. 15. juni 2012 fremgår følgende:

«Departementet skal gjennom sin samordningsrolle sikre et koordinert og helhetlig arbeid med samfunnssikkerhet og beredskap på tvers av sektorgrenser.»

I kronprinsreg.res. 4. juli 2003 går det frem at JD skal ha

«et overordnet sektorovergripende ansvar – konstitusjonelt og parlamentarisk – for forebyggende sikkerhet i sivil sektor i henhold til sikkerhetsloven».

I forbindelse med overføringen ble Justis- og beredskapsdepartementets ansvar ytterligere konkretisert i kgl.res. 22. mars 2013, ved at departementet skal

• utforme en nasjonal politikk og nasjonale krav på IKT-sikkerhetsområdet som omfatter offentlig og privat sektor

• utarbeide og følge opp nasjonale strategier med tilhørende handlingsplaner

• identifisere sektorovergripende spørsmål og bidra til at ansvar blir plassert og oppgaver håndtert på en god måte

• drive arenaer for erfaringsutveksling

• bidra til bevisstgjørings- og veiledningsaktiviteter rettet mot hele samfunnet, for eksempel gjennom tilskudd til Norsk senter for informasjonssikring (NorSIS)

• ivareta kontakten med næringslivet, for eksempel gjennom Næringslivets Sikkerhetsråd

• være Norges deltager i internasjonale fora og bidra til at internasjonale relasjoner på området blir håndtert på tvers av departementsområder

• videreutvikle et fagmiljø (NSM) som kan understøtte JD

Justis- og beredskapsdepartementet fører jevnlig tilsyn med departementenes arbeid med samfunnssikkerhet og beredskap. Tilsynene utføres av DSB på vegne av JD, og er basert på risiko og vesentlighet. Departementenes ansvar for å ta vare på kritisk infrastruktur og kritiske samfunnsfunksjoner inngår som et viktig tema i tilsynene. En nærmere redegjørelse av PODs, PSTs og Kripos’ ansvar er beskrevet i kapittel 21 «Avdekke og håndtere digitale angrep».

Forsvarsdepartementet (FD) har ansvar for forebyggende IKT-sikkerhet i forsvarssektoren. FD skal, som overordnet ansvarlig for sektoren, sørge for at informasjonssikkerhet i cyberdomenet og cyberoperasjoner er en integrert del av departementets planleggings-, ledelses- og styringsprosess. FD har blant annet etatsstyringsansvar for Nasjonal sikkerhetsmyndighet (NSM) og forvaltningsansvar for sikkerhetsloven.

Forsvaret planlegger, leder og gjennomfører alle militære operasjoner i hele krisespekteret. Forsvaret planlegger, etablerer, drifter, forsvarer og utvikler Forsvarets kommunikasjonsinfrastruktur og leverer administrative og operative IKT-systemer til forsvarssektoren. Forsvarsdepartementets underliggende etat Etterretningstjenesten er beskrevet i kapittel 21 «Avdekke og håndtere digitale angrep».

Begrepet sivilt–militært samarbeid omfatter i prinsippet alt sivilt–militært samarbeid på alle nivåer og spenner over et svært bredt felt med mange ulike aktører. Begrepets innhold er i stor grad situasjonsbetinget. I noen tilfeller støtter Forsvaret sivil virksomhet, mens Forsvaret i andre situasjoner støttes av sivile ressurser.

Totalforsvaret som konsept skal sikre en best mulig utnyttelse av samfunnets begrensede ressurser når det gjelder forebygging, beredskapsplanlegging, krisehåndtering og konsekvenshåndtering i hele krisespekteret. Totalforsvarskonseptet er dermed en del av et sivilt–militært samarbeid, men er avgrenset til å omfatte gjensidig støtte og samarbeid mellom Forsvaret og det sivile samfunnet i forbindelse med kriser.

Utenriksdepartementet (UD) har somoppgave å arbeide for Norges interesser internasjonalt. Norges interesser bestemmes blant annet av vår geografiske plassering i et strategisk område, vår åpne økonomi, vår posisjon som kyststat og forvalter av store marine ressurser og en omfattende eksport av olje og gass. UDs rolle innenfor IKT-sikkerhet er primært å samarbeide med andre berørte departementer og bistå med koordinering av norsk deltagelse på ulike arenaer. I tillegg kan UD spille en rolle i å fremme norsk næringsliv og norsk teknologi og i å samarbeide med norsk næringsliv på aktuelle arenaer når det er naturlig. UD vil ha en ledende rolle på arenaer der cybersikkerhet diskuteres i en internasjonal kontekst. Blant annet uttrykkes det i UDs stortingsmelding om globale sikkerhetsutfordringer i utenrikspolitikken at det skal etableres en gruppe «for koordinering av norske posisjoner i internasjonal cyberpolitikk for å styrke arbeidet med å fremme norske interesser og verdier i det digitale rom internasjonalt».105

Samferdselsdepartementet (SD) har ansvar for en fungerende og sikker IKT-infrastruktur og for IKT-sikkerheten knyttet til elektroniske kommunikasjonsnett og -tjenester, herunder Internett. I tillegg har SD ansvar for å sikre pålitelig person- og godsfremføring på sjø, vei, bane og i luften. SDs ansvar for elektronisk kommunikasjon er regulert gjennom lov om elektronisk kommunikasjon med forskrifter, og følges opp av Nasjonal kommunikasjonsmyndighet (Nkom). Nkom er nærmere beskrevet i kapittel 11 «Elektronisk kommunikasjon».

Kommunal- og moderniseringsdepartementet (KMD) har ansvar for å koordinere regjeringens IKT-politikk, og har et særskilt ansvar for å arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. KMD har etatsstyringsansvar for Departementenes servicesenter (DSS), som leverer IKT-tjenester til elleve av departementene, og for Direktoratet for forvaltning og IKT (Difi). KMD har i tillegg ansvar for regjeringens personvernpolitikk og etatsstyringsansvar for Datatilsynet.

Nasjonal sikkerhetsmyndighet (NSM) er et nasjonalt fagmiljø for IKT-sikkerhet og skal understøtte og bidra til utøvelsen av FDs og JDs ansvar på IKT-sikkerhetsområdet. NSMs oppgaver er å

• etablere og vedlikeholde et IKT-risikobilde som omfatter statssikkerhet, samfunnssikkerhet og individsikkerhet, og foreslå tiltak, gi anbefalinger og fremme forslag til krav innen IKT-sikkerhet i samfunnet, samt følge opp med råd og veiledning

• utøve et overordnet og sektorovergripende ansvar for forebyggende sikkerhetstjeneste i henhold til sikkerhetsloven

• utøve sertifiseringsmyndighet for IKT-sikkerhet i produkter og systemer (SERTIT)

• organisere og drive et nasjonalt varslingssystem for digital infrastruktur

• koordinere håndteringen av alvorlige IKT-angrep mot samfunnskritisk infrastruktur og andre viktige samfunnsfunksjoner

• koordinere arbeidet mellom myndigheter som har en rolle innenfor forebyggende IKT-sikkerhet, og legge til rette for hensiktsmessig samhandling mellom disse

• være Norges representant i internasjonale fora innen forebyggende sikkerhet og i bi- og multilateralt samarbeid på fagområdet

• gi støtte til norsk kryptoindustri

• ved behov iverksette nødvendige beredskapsmessige tiltak innenfor gitte fullmakter, herunder i sikkerhetsloven og i Nasjonalt beredskapssystem (NBS)

NSM fører tilsyn med styringssystemer for sikkerhet i virksomheter som er underlagt sikkerhetsloven, sikring av digital informasjon gradert etter sikkerhetsloven og sikring av objekter klassifisert som skjermingsverdige i henhold til sikkerhetsloven. Et stort antall av de skjermingsverdige objektene er komponenter i digital infrastruktur.

Regjeringen har i Forsvarets langtidsplan for 2012 lagt opp til at NSM skal videreutvikles som det sentrale direktoratet for beskyttelse av informasjon og infrastruktur av betydning for samfunnskritiske og andre viktige samfunnsfunksjoner.106 Dette har materialisert seg gjennom en jevn økning av tildelingen til NSM i inneværende langtidsperiode, styrking av NorCERT-funksjonen i 2013 og en styrking av rådgivningsfunksjonen for IKT-sikkerhet i 2015.

Direktoratet for samfunnssikkerhet og beredskap (DSB) har et samordningsansvar for samfunnssikkerhet og beredskap på vegne av JD som også omfatter IKT-området. DSBs arbeid med IKT-sikkerhetsspørsmål omfatter forebygging, tilsiktede og ikke-tilsiktede hendelser og gjenoppretting. DSB fører tilsyn med departementenes styringssystem for IKT-sikkerhet, med hjemmel i kgl.res 20. juni 2012 på vegne av JD. DSB gjennomfører et systemrettet tilsyn og går ikke i dybden på tekniske løsninger. DSB gjennomfører halvårlige møter med NSM for å samordne tilsynsvirksomheten.

DSB har ansvar for å gjennomføre nasjonale øvelser på tvers av sektorer, der det blant annet øves på IKT-scenarioer. DSB understøtter JDs samordningsrolle innen samfunnssikkerhet og beredskap og legger til rette for tverrsektorielle arenaer for samarbeid, blant annet gjennom arbeidet med Nasjonalt risikobilde (NRB) og Kritisk infrastruktur og kritiske samfunnsfunksjoner (KIKS). Ved større hendelser og krisesituasjoner har DSB ansvar for å sammenstille tverrsektoriell informasjon fra lokalt, regionalt og direktoratsnivå for å bidra til en felles situasjonsforståelse for kriserådet og JD.

Direktoratet for forvaltning og IKT (Difi). KMDs ansvar for å arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i offentlig forvaltning er delegert til Difi. I tråd med handlingsplanen til Nasjonal strategi for informasjonssikkerhet er det bygd opp en seksjon for informasjonssikkerhet i Difi som skal utgjøre et kompetansemiljø for informasjonssikkerhet i statsforvaltningen. Difi har også ansvar for veiledning av internkontroll for informasjonssikkerhet etter eForvaltningsforskriften for offentlig sektor. I tillegg er Difi ansvarlig for flere felleskomponenter i offentlig sektor og for informasjonssikkerheten i disse løsningene. Dette gjelder blant annet utvikling og forvaltning av ID-porten og digital postkasse.

Datatilsynet er en faglig uavhengig forvaltningsmyndighet i medhold av personopplysningsloven. Personopplysningsloven med forskrift er en tverrsektoriell lov og spesielt utformet med tanke på digital bruk av personopplysninger. Tilsynet forvalter derfor også myndighet etter flere andre lover, blant annet helseregisterloven og politiregisterloven. Tilsynet kontrollerer at personopplysninger blir behandlet i samsvar med lov og forskrift, herunder at det etableres nødvendig og tilstrekkelig informasjonssikkerhet ved innsamling, bruk, lagring og utlevering av opplysninger. Kontrollen utøves dels gjennom forhåndskontroll, konsesjon, og dels gjennom etterkontroll i form av tilsyn.

Personvernnemnda er klageorgan for Datatilsynets beslutninger. Personvernmyndighetene er administrativt underlagt KMD, mens ansvaret for personopplysningsloven ligger i JD. Datatilsynet har også en ombudsrolle overfor befolkningen og gir bistand i form av råd og veiledning. Videre bistår Datatilsynet bransjeorganisasjoner med råd og utarbeidelse av normer for å sikre personopplysninger i virksomheter.

Fylkesmannen har i henhold til egen instruks ansvar for å samordne, holde oversikt over og informere om samfunnssikkerhet og beredskap i fylket. Det innebærer blant annet en plikt til å ha oversikt over risiko og sårbarhet i fylket. I den forbindelse kan Fylkesmannen innhente nødvendige opplysninger fra alle statlige, fylkeskommunale og kommunale myndigheter i fylket. Fylkesmannen innhenter også nødvendig informasjon fra øvrige relevante virksomheter med ansvar for kritiske samfunnsfunksjoner i fylket. I tillegg skal Fylkesmannen ha oversikt over og samordne myndighetenes krav og forventninger til kommunenes samfunnssikkerhets- og beredskapsarbeid. Fylkesmannen fører også tilsyn med kommunenes samfunnssikkerhets- og beredskapsarbeid og oppfølging av lov om kommunal beredskapsplikt og rapporterer til DSB på området.

Kommunene har et generelt og grunnleggende ansvar for å ivareta befolkningens sikkerhet og trygghet innenfor sitt geografiske område. Gjennom kommunal beredskapsplikt er kommunene blant annet pålagt et ansvar for å gjennomføre en helhetlig risiko- og sårbarhetsanalyse, herunder kartlegge, systematisere og vurdere sannsynligheten for uønskede hendelser som kan inntreffe i kommunen, og hvordan disse kan påvirke kommunen. Kommunene har også et ansvar for å være forberedt på å håndtere uønskede hendelser, og skal med utgangspunkt i den helhetlige risiko- og sårbarhetsanalysen utarbeide en overordnet beredskapsplan. Kommunens overordnede beredskapsplan skal samordne og integrere øvrige beredskapsplaner i kommunen.

8.3 Øvrige aktører

Nedenfor listes en rekke sentrale aktører innen IKT-sikkerhet opp. Utover dette er det en rekke sektorvise responsmiljøer, interesseorganisasjoner og foreninger. Disse er beskrevet i de øvrige kapitlene. Det samme gjelder utdanningsinstitusjoner, forskningsinstitutter og forskningsprogrammer som er sentrale for utdanning innen IKT-kompetanse og forskning på IKT-relaterte problemstillinger.

Norsk senter for informasjonssikring (NorSIS) er en uavhengig og ideell virksomhet som jobber for å styrke informasjonssikkerheten i samfunnet. Målgruppen er små og mellomstore norske virksomheter, herunder kommunene. NorSIS jobber aktivt i media og med å skape møteplasser. NorSIS tilbyr veiledning på nett, kurs og konferanser, arrangerer Nasjonal sikkerhetsmåned og drifter tjenestene slettmeg.no og idtyveri.no.

Teknologirådet er et uavhengig, offentlig organ som gir råd til Stortinget og regjeringen om ny teknologi. Deres visjon er «teknologiråd for fremtidens samfunn». Teknologirådet skal gi Stortinget og øvrige myndigheter nyskapende og begrunnede innspill om ny teknologi og sette muligheter og utfordringer ved ny teknologi på dagsordenen.

Næringslivets Sikkerhetsråd(NSR) er en medlemsforening uten profittformål, og representerer gjennom sine stifterorganisasjoner og medlemmer bredden i norsk næringsliv. NSR er en privat organisasjon som ikke er tillagt myndighetsutøvelse, men deltar i forebyggende og utviklende arbeid og har formalisert samarbeid med en rekke myndigheter. NSR fungerer som en samarbeidsarena og et knutepunkt mellom næringslivet og myndighetene, og arbeider i hovedsak med forebyggende rådgivning og veiledning overfor bedrifter i norsk næringsliv. Et overordnet mål for NSR er å styrke bedriftenes egen evne til å ivareta IKT-sikkerhet helhetlig og systematisk innenfor egen organisasjon, og søkelyset er rettet mot de grunnleggende tiltakene virksomhetene selv kan iverksette for å beskytte seg, heller enn på trusselaktørene og risikobildet. NSR gir både generelle og spesielle råd til næringslivet om alle former for IKT-hendelser som kan ramme medlemsvirksomhetene, og veileder næringslivet generelt og medlemmene spesielt om hvor de bør henvende seg hvis de mistenker at de er utsatt for IKT-kriminalitet.

Næringslivets sikkerhetsorganisasjon(NSO) er en privat organisasjon med myndighetsoppgaver innen industrivern. NSO rapporterer til Direktoratet for samfunnssikkerhet og beredskap (DSB) og Næringslivets Hovedorganisasjon (NHO). Deres myndighetsoppdrag innebærer å følge opp – herunder føre tilsyn med – cirka 1 100 virksomheter som har plikt til å etablere industrivern i henhold til forskrift om industrivern. Industrivern er beredskap innen sikkerhet/safety. NSO har ikke myndighetsoppgaver innen sikring/security.

KS er kommunesektorens interesse- og arbeidsgiverorganisasjon i Norge. Alle landets 428 kommuner og 19 fylkeskommuner er medlemmer i KS, i tillegg til mer enn 500 bedrifter. KommIT er et program i KS som skal høyne forståelsen av og kunnskapen om IKT som virkemiddel for effektivisering og kvalitetsheving i kommunal forvaltning og tjenesteproduksjon.

Den Norske Dataforening (DND) er Norges største IT-faglige forening, og er et åpent, frittstående forum av og for IT-profesjonelle og avanserte IT-brukere. Dataforeningen skal være et samlende fagmiljø for utøvere og brukere av IT-fagene. En av oppgavene deres er å belyse problemstillinger vedrørende informasjonsteknologi og databehandling overfor norske offentlige myndigheter, andre faglige sammenslutninger og allmenheten, blant annet for å bidra til å heve det generelle kunnskapsnivået om IT.

Norsk Informasjonssikkerhetsforum (ISF) er en ideell organisasjon som arbeider med informasjonssikkerhet for medlemmene. Medlemmene er organisasjoner innen offentlig forvaltning og privat næringsliv, og de har uttrykt et ønske om å etablere og opprettholde et høyt sikkerhetsnivå. ISF jobber for å være det foretrukne samlende fagmiljøet for informasjonssikkerhet og for å heve sikkerhetsnivået hos medlemsvirksomhetene og i det norske samfunnet generelt.

IKT-Norge er IKT-næringens interesseorganisasjon og har 440 medlemsbedrifter, som representerer en omsetning på 120 milliarder kroner. IKT-Norge er opptatt av at myndigheter, næringsliv og brukere skal ha tillit til IKT-produkter og -systemer. Deres interesser innen sikkerhet omfatter alt fra enkle problemstillinger som virus og trojanere til sårbarhet i digital samfunnskritisk infrastruktur og problemstillinger rundt personvern.

Riksrevisjonen skal bidra til at fellesskapets midler og verdier blir brukt og forvaltet slik Stortinget har bestemt. Dette gjør de gjennom revisjon, kontroll og veiledning. Bakgrunnen er at de har myndighet til å kontrollere at arbeidet med samfunnssikkerhet som politikerne har bestemt blir fulgt opp. De rapporterer til Stortinget, og de er dermed et viktig og sterkt virkemiddel for å følge opp politiske vedtak, også på samfunnssikkerhetsområdet.

8.4 Sentrale koordineringsarenaer for IKT-sikkerhet

Kriserådet er det overordnede administrative koordineringsorganet som ivaretar og sikrer strategisk koordinering. Kriserådet har fem faste medlemmer; regjeringsråden ved Statsministerens kontor, utenriksråden i Utenriksdepartementet og departementsrådene i Justis- og beredskapsdepartementet, Helse- og omsorgsdepartementet og Forsvarsdepartementet. Rådet suppleres med departementsråder fra andre departementer og ledere fra berørte etater avhengig av krisens karakter. Kriserådet gjennomfører faste møter og møter ved behov, der overordnede beredskaps- og krisehåndteringsutfordringer drøftes for å sikre god samordning av departementenes beredskaps- og krisehåndteringsarbeid.

Regjeringens sikkerhetsutvalg (RSU) er et politisk utvalg som ledes av statsministeren og er regjeringens organ for å diskutere og ta beslutninger i viktige graderte sikkerhets- og beredskapsspørsmål. Det avholdes møter i RSU minst én gang hver måned. Sikkerhetsutvalget har faste medlemmer. I tillegg møter statsråder fra berørte departementer og representanter fra ulike relevante etater, avhengig av hvilke saker som behandles. I juli 2015 ble det besluttet å opprette et sekretariat for RSU. Sekretariatet skal ledes av en fagdirektør som er ansatt på Statsministerens kontor. Håndtering av IKT-angrep med nasjonale konsekvenser vil være en typisk hendelse som håndteres i RSU.

Departementenes samordningsråd for samfunnssikkerhet ble etablert i 2007 og er et forum for informasjons- og erfaringsutveksling mellom departementene i arbeidet med samfunnssikkerhet og beredskap, redningstjeneste og sivilt–militært samarbeid. Rådet består av representanter for alle departementene og Statsministerens kontor. Justis- og beredskapsdepartementet har en tilretteleggende funksjon for rådet, og alle departementene har ansvar for å ta initiativ til å bringe aktuelle og relevante problemstillinger til drøfting. Samordningsrådet utgjør en felles arena i departementsfellesskapet for å drøfte overordnede retningslinjer og rammer for sikkerhets- og beredskapsarbeidet.107

Ifølge kgl.res. fra 2012 skal Justis- og beredskapsdepartementet legge til rette for systemer for en robust, helhetlig og koordinert kommunikasjon mellom myndighetene og for at dette blir ivaretatt blant annet gjennom koordinering av informasjon i samordningsrådet.

Koordinerings- og rådgivningsutvalget (KRU) er et samarbeidsorgan for spørsmål som gjelder etterretnings- og sikkerhetstjenestene, og et rådgivningsutvalg for de berørte statsrådene. Utvalgets oppgaver er å ivareta overordnet koordinering av de tre tjenestenes arbeidsoppgaver, prioriteringer og mål og å analysere og utrede felles problemstillinger knyttet til trusselbildet. Deltagere i KRU er én representant fra Forsvarsdepartementet, én representant fra Justis- og beredskapsdepartementet og én representant fra Utenriksdepartementet, alle på ekspedisjonssjefnivå eller høyere, sjefen for Etterretningstjenesten, sjefen for Nasjonal sikkerhetsmyndighet og sjefen for Politiets sikkerhetstjeneste.

Nettverk for informasjonssikkerhet er en møteplass for departementene for å drøfte sentrale tema innen informasjonssikkerhet og er et verktøy for JDs samordningsansvar for forebyggende IKT-sikkerhet i sivil sektor. Nettverket ble etablert høsten 2015 og erstatter det tidligere Koordineringsutvalget for informasjonssikkerhet (KIS). Sentrale oppgaver omfatter blant annet å følge opp implementeringen av Nasjonal strategi for informasjonssikkerhet og drøfte behovet for å iverksette tverrsektorielle tiltak.

Sentralt totalforsvarsforum er det forumet på etatsnivå som i størst grad representerer bredden i totalforsvaret. Forumet består av de mest sentrale sivile og militære etatene og direktoratene innenfor samarbeidet i totalforsvaret og skal bidra til gjensidig orientering, samordning og overordnet koordinering av alle aktuelle totalforsvarsrelaterte problemstillinger og spørsmål knyttet til sivilt–militært samarbeid, beredskap og samfunnssikkerhet. Rådet ledes av Forsvaret og DSB på rundgang.108

Cyberkoordineringsgruppen (CKG) er en koordineringsgruppe for EOS-tjenestene. NSM leder CKG, og formålet er å sikre at EOS-tjenestene er koordinert i håndteringen av alvorlige IKT-hendelser. Det er utarbeidet en egen instruks for CKG-samarbeidet, der det blant annet går frem at CKG skal skaffe tidsriktig informasjon og beslutningsgrunnlag til den operative og strategiske ledelsen om trusler og sårbarheter i cyberdomenet. For dette formålet har man informasjonsutveksling med sektororganer, herunder Forsvaret og politiet. Videre står det at CKG ved alvorlige cyberhendelser skal koordinere varsling, rådgivning og informasjonsutveksling innen sine fullmakter. I den enkelte sak skal én av tjenestene være koordineringsansvarlig, og denne skal lede arbeidet og ta initiativ til å koordinere og avstemme tiltak mellom EOS-tjenestene, herunder det som gjelder informasjonsdeling og samhandling med andre aktører i den enkelte saken.

Skate (Styring og koordinering av tjenester i e-forvaltning) er et strategisk samarbeidsråd sammensatt av toppledere på virksomhetsnivå. Skate er et rådgivende organ som skal bidra til at digitaliseringen av offentlig sektor blir samordnet og gir gevinster for innbyggerne, næringslivet og forvaltningen. Skate består blant annet av felleskomponentforvaltere, kommunesektoren, ved KS/KommIT, og et utvalg av statlige tjenesteeiere. Rådet ledes av Difi.

NorCERT Sikkerhetsforum er et forum for NSM NorCERT-medlemmer og -partnere, der NSM NorCERT presenterer hva man har arbeidet med (koordinert håndtering av, bistått med, analysert med videre) siste halvår. I tillegg er Nasjonalt Cybersikkerhetssenter (NCSS), Operativt forum og NCSS myndighetsforum etablert. En nærmere omtale av disse finnes i kapittel 21 «Avdekke og håndtere digitale angrep».

Kommunal Informasjonssikkerhet (KINS) er en idealistisk forening basert på medlemskap og dugnadsarbeid for kommuner og fylkeskommuner. KINS’ rolle er å stimulere til bedre informasjonssikkerhet. KINS har ikke formelt ansvar for IKT-sikkerheten i kommunene, men gir informasjon om hva som kreves av kommuner på informasjonssikkerhetsområdet. KINS er gjennom sin medlemsorganisering i direkte kontakt med medlemskommunene og er opptatt av hvordan medarbeiderne i kommuneorganisasjonen håndterer sikkerhet.

I tillegg til disse er det etablert en rekke koordineringsgrupper i de enkelte sektorene. Disse arenaene er beskrevet i del III «Sårbarheter i kritiske samfunnsfunksjoner» og del IV «Tverrsektorielle forhold».

9 IKT-sikkerhetsarbeid i andre land

Utfordringene ved samfunnets stadig større grad av digitalisering er grenseoverskridende og mange. Nasjonale myndigheter i de fleste land det er naturlig å sammenligne Norge med, anerkjenner at den digitale utviklingen fører med seg nærmest grenseløse positive muligheter, så vel som en rekke sikkerhetsutfordringer som må håndteres.

Det har i tråd med utvalgets mandat vært naturlig å se på hvordan andre land arbeider på nasjonalt nivå for å møte disse utfordringene. Det er derfor foretatt en gjennomgang av offentlige dokumenter og nasjonale strategier i følgende land: USA, Canada, Tyskland, Nederland, Storbritannia, Sverige, Finland og Estland. I tillegg er landenes myndigheter spurt om å komme med innspill.

Det er identifisert en rekke forhold ved andre lands arbeid med informasjonssikkerhet som potensielt kan ha overføringsverdi for norske forhold. Noen momenter er identifisert i alle eller de fleste av landene. For eksempel legger alle stor vekt på en helhetlig tilnærming, selv om de organisatoriske løsningene for å ivareta denne er noe ulike. Samtlige land har også ett eller flere nasjonale responsmiljøer for håndtering av IKT-hendelser. Videre har flere av landene prioritert å inkludere offentlige og private virksomheter, sikkerhetsindustrien, akademia, organisasjoner og øvrige institusjoner både i utviklingen av cybersikkerhetsstrategier og i gjennomføringen av tiltak. FoU-innsatsen er i alle landene fremhevet som et samarbeidsprosjekt mellom myndigheter, akademiske miljøer og privat sektor. Hvor det er overføringsverdi til Norge, er omtalt i relevante kapitler i NOU-en. Utvalgets omtale av IKT-sikkerhetsarbeid er i all hovedsak basert på rapporten «Andre lands arbeid med digitale sårbarheter» (BDO), se elektronisk vedlegg.

9.1 Generelle betraktninger

Digitale sårbarheter, som en del av den digitale utviklingen, har vært gjenstand for diskusjon i mange år. Det er likevel først de siste tiårene nasjonale myndigheter har løftet dette høyt på den politiske agendaen. Siden 2010 har samtlige av de landene som er omtalt i dette kapittelet, utviklet egne nasjonale strategier for informasjonssikkerhet, IKT-sikkerhet eller cybersikkerhet. De fleste av landene har en nasjonal sikkerhetsstrategi som cybersikkerhetsstrategien blir forankret i.

De siste fem årene har myndighetene i flere av disse landene vært svært tydelige i det offentlige rom på at dette er et høyt prioritert område. Amerikanske myndigheter har uttalt at cybertrusselen er den største nasjonale sikkerhetsutfordringen. I Storbritannia er cybertrusselen kategorisert som en «tier 1 threat». I 2011 gikk UK Cabinet Office ut i sin rapport The cost of cybercrime109 og slo fast at nasjonen tapte 27 milliarder pund årlig som følge av manglende cybersikkerhet.

De digitale utfordringene er grenseoverskridende. I 2013 lanserte Den europeiske union (EU) en egen strategi – EU Cyber Security Strategy. Strategien angir prioriteringer for EUs internasjonale politikk for det digitale rom, grunnleggende rettigheter som også skal gjelde i det digitale samfunnet, og et fritt og åpent Internett. Videre har EU-kommisjonen lagt frem et forslag til europaparlaments- og rådsdirektiv om tiltak for å sikre et felles høyt nivå for nettverks- og informasjonssikkerhet i hele unionen, Network and information security directive.

Med det formål å identifisere relevante forhold som kan ha overføringsverdi til norske forhold, er det sett til andre lands gjennomførte og pågående arbeid for å håndtere digitale utfordringer. Områder som myndighetenes organisering og ansvar, nasjonale strategier, hendelseshåndtering, FoU og regulering er omhandlet. I tillegg er det gitt en generell og overordnet beskrivelse av landenes arbeid med personvern. Det presiseres at personvern er et sentralt hensyn i informasjonssikkerhetssammenheng.

9.2 Nasjonale myndigheters organisering og ansvar

Samtlige land ser på cybertrusselen som en alvorlig sikkerhetsutfordring, og den økende risikoerkjennelsen har ført til at arbeid med cybersikkerhet er plassert høyt på den politiske agendaen i alle de utvalgte landene.

Alle landene legger vekt på å organisere cybersikkerhetsarbeidet på en måte som sikrer at det forebyggende sikkerhetsarbeidet blir sett i sammenheng med kriminalitetsbekjempelse, beredskap og hendelseshåndtering. Samtidig er det en gjennomgående økende bevissthet om at det er nødvendig å inkludere alle relevante aktører i cybersikkerhetsarbeidet. Dette gjenspeiles blant annet ved at myndighetene i USA har etablert en såkalt «whole of government»-tilnærming til cybersikkerhet (samme tilnærming som i kontra-terrorarbeidet). I praksis betyr dette at alle offentlige organer samvirker på tvers av ansvarslinjer for å nå et felles mål om å redusere sikkerhetsrisikoen. En slik tilnærming stiller strenge krav til etablering av funksjonelle samarbeidsstrukturer der alle relevante aktører deltar. Flere land erkjenner at myndighetsorganenes mandater og kompetanse ofte er overlappende, og at manglende samarbeid og samvirke kan føre til at det oppstår «blindsoner».

Behovet for en helhetlig tilnærming har i mange tilfeller ført til omfattende organisatoriske endringer. I Nederland medførte dette at Justis- og sikkerhetsdepartementet ble utnevnt som overordnet ansvarlig for informasjonssikkerhet. Med denne organisatoriske strukturen samordnes sikkerhets- og etterretningstjenesten innenlands og kontra-terrorarbeidet med cybersikkerhetsarbeidet. Som en del av NCTV ble National Cyber Security Centre (NCSC) etablert i 2012. Senteret fungerer som bindeledd mellom de ulike ansvarlige organene innen cybersikkerhet, og skal dermed sikre koordinering av de ulike aktivitetene.

Alle de åtte landene uttrykker at de har en helhetlig tilnærming til cybersikkerhetsarbeidet sitt, men konkretiseringen av helhetstilnærmingen varierer noe. De fleste av landene satser på samarbeid mellom offentlige og private virksomheter («public–private cooperation»). Denne samarbeidsformen springer ut av et behov for informasjonsdeling både for å forebygge uønskede hendelser og for å begrense skadene når slike hendelser likevel har inntruffet. Særlig Nederland, USA og Storbritannia har fokusert på å forbedre cybersikkerheten gjennom å etablere strukturer for informasjonsdeling og gjennom samarbeid mellom offentlig og privat sektor. The National Cybersecurity and Communications Integration Center (NCCIC) i USA har som oppdrag å sikre at relevant informasjon knyttet til risikobildet, hendelser og analyser blir beskyttet og delt. NCCIC deler informasjon mellom offentlige og private virksomheter, og er også et 24/7-senter som utgjør et samlepunkt for føderale myndigheter, etterretningstjenestene og politimyndighetene.

I de tre landene som er nevnt ovenfor, er det også skapt markedsincentiver for innovasjon og utvikling av sikkerhetsløsninger, samt lagt grunnlag for implementering av overordnede standarder for cybersikkerhet. Disse landene inkluderer offentlige og private virksomheter, sikkerhetsindustrien, akademia, organisasjoner og øvrige institusjoner i utviklingen av sine cybersikkerhetsstrategier og gjennomføringen av tiltak.

De offentlige budsjettene til organer med ansvar for cybersikkerhet har økt betydelig de senere årene. Dette reflekterer en økende bekymring for IKT-risikobildet og en større vilje til å demme opp for denne utviklingen. Landene satser på oppbygging av både offensive og defensive kapasiteter knyttet til cybersikkerhet. Det er i dag ingen land som har overordnede nasjonale indikatorer for måling av IKT-sikkerhet. Det er derfor vanskelig, om ikke umulig, å fastslå om gitte nasjonale strategier, budsjettsatsinger og øvrige virkemidler faktisk gir en tilfredsstillende sikkerhets- og beredskapsmessig effekt eller ikke.

Det er et gjennomgående trekk at justis-/innenriksdepartementene og forsvarsdepartementene har sentrale roller i alle de åtte aktuelle landene. Videre er det tydelig at alle legger stadig større vekt på de sikkerhetspolitiske aspektene ved cybersikkerhetsarbeidet. Som et resultat utvikler flere land et eget «cyberdiplomati» som en del av utenrikstjenesten. Her er USA et foregangsland.

Canada, Storbritannia og Tyskland har organer med mandater der formålet er å sikre kritisk infrastruktur og kritiske samfunnsfunksjoner, uavhengig av om dette er sivilt eller militært.

9.3 Nasjonale strategier

OECDs Guidelines for the security of information systems and networks: Towards a culture of security110 var på mange måter startskuddet for utarbeidelsen av nasjonale strategier for informasjonssikkerhet111. De fleste sammenlignbare land har som følge av den digitale utviklingen og utviklingen i risikobildet i flere omganger revidert sine nasjonale strategier på dette området. I de senere årene er blant annet ENISAs Good practice guide on national cyber security strategies brukt som utgangspunkt i flere lands strategier.112

Informasjonssikkerhet prioriteres høyt på den politiske agendaen og fremheves som en nødvendig forutsetning for å opprettholde samfunnets funksjonsdyktighet, nasjonale sikkerhet og økonomiske vekst. Det er en økende erkjennelse av at manglende risikohåndtering knyttet til digitale sårbarheter kan true vitale nasjonale interesser og føre med seg enorme økonomiske tap. Dette har ført til økt oppmerksomhet rundt organiseringen av informasjonssikkerhetsarbeidet, samt etablering av hensiktsmessige systemer for risikohåndtering på nasjonalt nivå. Begge aspektene har bidratt til å øke graden av nødvendig samordning og koordinering, samtidig som de har utfordret de tradisjonelle ansvarslinjene og organisasjonsstrukturene i både offentlig og privat sektor. Eksempelvis har USA gjennomført en omfattende evaluering av sitt strategiske arbeid, for at det skal bli mest mulig målrettet.

Det er et gjennomgående trekk ved landene at de har en helhetlig tilnærming til informasjonssikkerhet i sine nasjonale strategier. Strategiene omfatter tiltak rettet mot både enkeltindivider, offentlige og private virksomheters egenbeskyttelse og det samlede statlige virkemiddelapparatet. Samtidig blir behovet for operative og strategiske samarbeidsmekanismer på tvers av myndighetsorganer og mellom alle relevante aktører i offentlig og privat sektor fremholdt som helt nødvendig for å redusere digitale sårbarheter og IKT-kriminalitet på en effektiv og målrettet måte. Dette gjelder både nasjonalt og internasjonalt.

Storbritannia fremhever behovet for regionale samarbeids- og informasjonsdelingsmekanismer. Flere land, deriblant USA og Tyskland, fremhever særlig behovet for økt innovasjon knyttet til sikkerhetsløsninger som følge av stadig strengere krav til effektivitet og mobilitet.

Nedenfor følger en oversikt over hvilke temaer som er felles for de åtte landenes nasjonale strategier:

• styring og ledelse

• samarbeids- og informasjonsdelingsmekanismer

• hendelseshåndtering

• IKT-kriminalitet

• sikkerhetskultur og bevisstgjøring

• kunnskapsutvikling og innovasjon

• sikkerhetsutdanning

• rammeverk og standarder

• menneskerettigheter og personvern

9.4 Hendelseshåndtering

Alle de åtte landene har ett eller flere nasjonale responsmiljøer for håndtering av IKT-hendelser. Samtlige har også nasjonale CERT-er (Computer Emergency Response Team), men organiseringen er noe ulik, både når det gjelder ansvarsområder og plasseringen i forhold til myndighetsstrukturene. Landene poengterer i sine nasjonale strategier at CERT-arbeidet er en avgjørende del av den strategiske tilnærmingen til håndtering av IKT-hendelser på nasjonalt nivå. I tillegg fremhever flere at hendelseshåndtering og IKT-sikkerhet er et virksomhetsansvar. Flere land har publisert planer som beskriver hvordan IKT-hendelser håndteres nasjonalt. Når det gjelder å håndtere IKT-kriminalitet, er det flere ulike måter å organisere polisiære ressurser på. Én fremgangsmåte er være å etablere et IKT-kriminalitetssenter i en eller annen form.

Nederland har valgt å samle hovedtyngden av sin IKT-sikkerhetsekspertise og hendelseshåndtering på nasjonalt nivå i et nasjonalt cybersikkerhetssenter (NCSC). Dette inkluderer både et nasjonalt rapporteringspunkt, CERT-funksjonen fra den tidligere GOVCERT-NL, koordineringsansvar ved IKT-hendelser, monitoring og informasjonsdeling. NCSC opererer i tillegg et offentlig varslingssystem rettet mot mindre virksomheter og befolkningen for øvrig.

I 2011 etablerte også Tyskland sitt Nationales Cyber-Abwehrzentrum (nasjonalt cyber-responssenter). I senteret samarbeider Bundesamt für Sicherheit in der Informationstechnik (BSI) blant annet med føderale politimyndigheter, etterretningstjenesten og forsvaret. Formålet med senteret er å optimalisere samarbeidet mellom de statlige myndighetene. Ved BSI finnes også funksjonene CERT-Bund og Nationales IT-Lagezentrum.

USA har en noe annerledes tilnærming. Her er de nasjonale kapasitetene på IKT-sikkerhet spredt på flere aktører, herunder US-CERT, en egen ICS-CERT (CERT for SCADA-systemer), en nasjonal task force for etterforskning i det digitale rom (NCIJTF) i regi av FBI, US Cyber Command under Forsvarsdepartementet, Intelligence Community-Incident Response Center (IC-IRC), National Security Agency / Central Security Services Threat Operations Center (NTOC), DoD Defense Cyber Crime Center (DC3) og det nylig etablerte Cyber Threat Intelligence Integration Center (CTIIC). Samtidig er ambisjonen at IKT-hendelseshåndtering skal være en samlet innsats fra disse aktørene, koordinert gjennom National Cyber Security and Communications Integration Center (NCCIC). NCCIC skal blant annet ha et oppdatert situasjonsbilde, drive IKT-hendelseshåndtering og styring og være et nasjonalt knutepunkt for føderale myndigheter, etterretningssamfunnet og politimyndighetene. US-CERT og ICS-CERT er en integrert del av NCCIC. Department of Homeland Security (DHS) har ansvaret for National Cyber Incident Response Plan (NCIRP).

De ulike organene i den amerikanske satsingen på IKT-sikkerhet utfyller det flersidige bildet i et stort land med en kompleks organisering. Mens DHS, gjennom National Cyber Security and Communications Integration Center (NCCIC), proaktivt skal håndtere digital risiko og sørge for informasjonsdeling om digitale sårbarheter, har The National Cyber Investigative Joint Task Force (NCIJTF), som består av 19 etterretningsbyråer og rettshåndhevende myndigheter, som mål å trygge Internett gjennom aktivt å jakte på trusselaktører.

For IKT-hendelseshåndtering i Storbritannia har man på nasjonalt nivå delt ansvaret mellom GovCERT.uk og CERT-UK. Sistnevnte ble grunnlagt i 2014, og var en viktig satsing som oppfølging av den nasjonale cybersikkerhetsstrategien. CERT-UK fokuserer på å ha et oppdatert situasjonsbilde, hendelseshåndtering på nasjonalt nivå, samt å støtte virksomheter med samfunnskritisk infrastruktur. GovCertUK har på sin side ansvaret for å koordinere hendelseshåndtering og tiltak for myndighetsorganer. Den nasjonale håndteringen av alvorlig IKT-kriminalitet koordineres av National Cyber Crime Unit (NCCU) ved National Crime Agency (NCA).

I juni 2014 lanserte britiske myndigheter satsingen «Cyber Essentials», en sertifiseringsordning som støttes av industrien, og som skal stimulere til utbredt bruk av grunnleggende sikkerhetskontroller for å beskytte organisasjoner mot mindre avanserte IKT-hendelser. Sertifiseringen kommer med et merke som benyttes av bedrifter til å demonstrere sitt sikkerhetsnivå til kunder og investorer, og som forsikringsselskaper kan ta i betraktning når de vurderer IKT-sikkerhetsnivået i forbindelse med at de beregner forsikringspremie til bedrifter. Som et annet initiativ har The Council for Registered Ethical Security Testers (CREST) nylig innført en godkjenningsordning for selskaper som jobber med IKT-sikkerhet i Storbritannia. Ordningen er godkjent av Government Communications Headquarters (GCHQ) og Centre for the Protection of National Infrastructure (CPNI) og fokuserer på aktuelle standarder for hendelseshåndtering justert til å passe alle sektorer og industrier.

I Sverige er CERT-SE tillagt Myndigheten för samhällsskydd och beredskap (MSB), som på oppdrag fra regjeringen har utarbeidet Nationell hanterandeplan för allvarliga IT-incidenter. Den 1. oktober 2015 ble det etablert et nasjonalt IKT-kriminalitetssenter av Polismyndigheten. Senteret har en nasjonal koordineringsfunksjon og er internasjonalt kontaktpunkt for IKT-relatert kriminalitet og IKT-kriminalitet. I Canada er Canadian Cyber Incident Response Centre (CCIRC) lagt til Public Safety Canada (PSC).I tillegg har Royal Canadian Mounted Police (RCMP) opprettet Cyber Crime Fusion Centre med ansvar for å etterforske mistenkelige nasjonale og internasjonale hendelser i det digitale rom. PSC har også ansvaret for Cyber Incident Management Framework for Canada.

9.5 Informasjonsdeling og offentlig–privat samarbeid

Det er enighet om viktigheten av å dele informasjon, både i det forebyggende sikkerhetsarbeidet og ved hendelseshåndtering, i et flertall av de nasjonale myndighetene. Dette understrekes både i de nasjonale strategiene og i annet informasjonsmateriell fra disse myndighetene. Mekanismer og plattformer for å dele informasjon er tett integrert med hendelseshåndteringsmiljøene, herunder USAs National Cyber Security and Communications Integration Center (NCCIC), Nederlands National Cyber Security Center (NCSC) og Storbritannias CERT-UK.

Tyskland har etablert National Cyber Security Council ved Federal Government Commissioner for Information Technology. Målet er å styrke samarbeidet mellom den føderale regjeringen og privat sektor, samt gi anbefalinger om strategiske spørsmål til politisk nivå. I Nederland har NCSC etablert National Cyber Security Council med representanter fra privat og offentlig sektor samt akademia. Målet er å øke forståelsen for cybersikkerhet og støtte beslutningstagere ved cyberkriser.

NCFTA113 er et samarbeid mellom myndigheter, private og akademia, tilrettelagt ved FBI og lokalisert ved universitetet Carnegie Mellon.114 Representanter for andre lands politistyrker deltar også. Formålet er å identifisere aktører bak digitale angrep, begrense skade og nøytralisere identifiserte aktører. Styrende for samarbeidet er virksomhetenes egne behov, rask deling, sektoruavhengighet og et ugradert arbeidsmiljø på «nøytral grunn». I motsetning til CERT-miljøene fokuserer NCFTA på de kriminelles verdikjeder. De kartlegger nettverk av kriminelle grupperinger og deler indikasjoner på datainnbrudd seg imellom. NCFTA har også en underavdeling av FBI kalt CIRFU115, som følger den innledende etterforskningen ved teknisk kompleks IKT-kriminalitet før saken overføres til lokalt eller internasjonalt politi. Samarbeidet har oppnådd resultater særlig knyttet til å stoppe botnett og ta utviklere av skadevare.

I Storbritannia er det også satt i gang et fellesinitiativ mellom myndighetene og industrien angående informasjonsdeling og samarbeid for å møte de digitale truslene, kalt Cyber-Security Information Sharing Partnership (CISP). Allerede ved utgivelsen av den nasjonale strategien i 2011 ble det gjort klart at myndighetenes tilnærming til cybersikkerhet er risikobasert, og at arbeidet må gjøres i partnerskap med private aktører.

President Obamas Executive order 13691 angir et rammeverk for utvidet informasjonsdeling og promoterer informasjonsdeling både innad i privat sektor og mellom private virksomheter og myndighetene i USA.

Offentlig–privat samarbeid er også løftet som et satsingsområde i flere av de andre landene. Det legges generelt stor vekt på at deling av informasjon mellom offentlige og private aktører er et viktig premiss for at samfunnet skal kunne møte utfordringene som følger av den digitale utviklingen. Nederland reviderte sin første nasjonale strategi allerede to år etter utgivelsen. I 2013-versjonen var rundt 130 nye aktører, fra både offentlig og privat sektor, involvert i forarbeidet.

9.6 Forskning og utvikling

Alle landene har over tid fokusert på og prioritert forsknings- og utviklingsarbeid i sine nasjonale strategier. Alle legger vekt på viktigheten av FoU-området, da særlig med tanke på sårbarhetsreduksjon, men også når det gjelder effektiv utnyttelse av samfunnets samlede informasjonsteknologi. I de fleste nasjonale strategiene er FoU-begrepet nært knyttet til myndighetenes og næringslivets behov for informasjonssikkerhet. Enkelte av landene kobler også begrepet opp mot befolkningens behov for økt sikkerhetsbevissthet (og -kunnskap).

Et annet fellestrekk er at FoU-innsatsen er et samarbeidsprosjekt mellom myndigheter, akademiske miljøer og privat sektor. Imidlertid er selve finansieringen av utdanningsprogrammer og lignende i liten grad beskrevet i strategiene. Et unntak er Tyskland, der Utdannings- og forskningsdepartementet tilsynelatende har finansiert en rekke større forskningsprosjekter de siste årene.

Måten å operasjonalisere FoU-begrepet på i strategiene varierer. Generelt vektlegger samtlige av landende behovet for spesialiserte utdannings- og forskningsprogrammer, særlig på universitetsnivå. De fleste har også iverksatt særskilte strategier og initiativer som skal sikre tilgang på stabil og kvalifisert arbeidskraft. USA og Storbritannia fremhever spesielt hvordan deres sikkerhets- og etterretningstjenester har et særskilt samarbeid med utvalgte universiteter.

Den bredeste tilnærmingen til FoU-begrepet finner vi i Finland, Storbritannia, Nederland og delvis i Estland. Her vektlegger man at IKT-sikkerhet må være en del av det generelle utdanningsløpet allerede fra barneskolen av.

9.7 Regulering

Gjennomgående vurderer landene det slik at de lovene og reglene vi i dag har i den fysiske verden, også gjelder i den digitale verden. Samtidig erkjenner de at det kan være utfordrende å finne de riktige regulatoriske virkemidlene og å oppdatere lovverket slik at det blir anvendbart i det digitale rom.

Selv om det er variasjon i tradisjonene for rettslig regulering i de forskjellige landene, synes det å være et fellestrekk at de benytter både særlovgivning og generell lovgivning. Regulering av informasjonssikkerhet kan følge begge spor, avhengig av om det er særlige faglige hensyn som må ivaretas, eller om et generelt lovverk dekker behovene for sikkerhet. Slik særregulering er for eksempel brukt for kraftsektorens informasjonssikkerhetsarbeid. Personopplysningslover er generelle lover som gjelder alle offentlige og private virksomheters behandling av personopplysninger, med mindre de har egne lovverk. Eksempelvis er mandater og oppgaver til både BSI i Tyskland og DHS i USA gitt i egne spesiallover. Det er foreløpig uvanlig med en overordnet cybersikkerhetslov. Det pågår imidlertid regelverksarbeid knyttet til dette i flere land. Eksempelvis søker Obama-administrasjonen å få vedtatt en slik overordnet cyberlov.

Selv om det ikke er vanlig med en overordnet lov for cybersikkerhet, legges et økende antall standarder til grunn for informasjonssikkerhetsarbeid. Mange av disse standardene er overlappende i det at de regulerer implementeringen av et styringssystem for informasjonssikkerhet, med mål om et mer strukturert og systematisk arbeid for å bedre kvaliteten på informasjonssikkerheten generelt og implementeringen av risikoreduserende tiltak spesielt. Et eksempel på en slik standard er Framework for Improving Critical Infrastructure Cybersecurity, utgitt av National Institute of Standards and Technology (NIST) i USA, og det helhetlige veiledningsmaterialet i cybersikkerhet utarbeidet av britiske GCHQ, CPNI og Department for Business Innovation and Skills (BIS). Sistnevnte inkluderer blant annet en lett tilgjengelig og svært anerkjent veileder, kjent som 10 Steps to Cyber Security.

President Obama utstedte i 2013 ordre EO 13636, Improving Critical Infrastructure Cybersecurity og Presidential Policy Directive-21 (PPD) Critical Infrastructure Security and Resilience. I disse dokumentene ble det henstilt til føderale myndigheter om å iverksette tiltak for å styrke sikkerheten og robustheten i kritisk infrastruktur mot økende trusler, gjennom et oppdatert og overordnet nasjonalt rammeverk som anerkjenner IKTs økte rolle i å sikre fysiske verdier. Sammen angir disse to dokumentene en retning mot en «whole of community»-tilnærming til risikostyring, sikkerhet og robusthet. Ordren (EO 13636) ga også National Institute of Standards and Technology (NIST) i oppdrag å utvikle det ovennevnte rammeverket for cybersikkerhet, basert på en sammenstilling av standarder og beste praksis i bransjen. Denne ordren henstilte også til DHS om å etablere et frivillig program for cybersikkerhet i kritisk infrastruktur, om å fungere som en føderal koordineringsenhet for cybersikkerhetsressurser og om å støtte økt digital motstandsdyktighet ved å fremme bruk av rammeverket. Programmet skal legge til rette for en felles tilnærming til risikostyring, sikkerhet og robusthet.

Utarbeidelse av standarder for cybersikkerhet synes å være styrt av markedsincentiver. Eksempelvis er alle myndighetsorganer i Storbritannia forpliktet til å kreve at leverandører som skal behandle sensitiv informasjon, overholder gitte standarder for informasjonssikkerhet. Videre pågår det en diskusjon i USA om erstatningsansvar ved uaktsomhet knyttet til informasjonssikkerhet, som følge av hendelser som har hatt store økonomiske konsekvenser. Manglende juridisk forankring av spesifikke sikkerhetskrav kan imidlertid gjøre dette vanskelig å gjennomføre.

De fleste land har et regelverk rundt informasjonssikkerhet som regulerer klassifisering av skjermingsverdig informasjon, tilsvarende det norske graderingssystemet i sikkerhetsloven. Det er imidlertid ikke fullt ut samsvar mellom antall graderingsnivåer, noe som kan skape utfordringer med hensyn til deling av skjermingsverdig informasjon mellom nasjoner.

9.8 Personvern

Ivaretakelse av innbyggernes rett til beskyttelse av personlig integritet er anerkjent som et viktig premiss for arbeidet med IKT-sikkerhet. EU- og EØS-land er underlagt felles regelverk, som personverndirektivet. Direktivet pålegger statene å innarbeide direktivet i sine lands lovverk og å etablere uavhengige personvernmyndigheter, «Dataprotection Authority (DPA)», for å unngå direkte politisk styring og for å sikre en mest mulig ensartet praksis i landene.

Canada har et tilsvarende lovverk som EU. Det er derimot ingen enkelt lov i USA som gir en omfattende beskyttelse av personopplysninger. Personvern løftes likevel frem som et viktig premiss, blant annet av DHS, og nevnes i både strategier og annet lovverk som omhandler IKT-sikkerhet.

10 Folkerett og internasjonalt samarbeid

Den digitale utviklingen har endret samfunnet og den menneskelige samhandlingen vår på måter som var utenkelige for få år siden. Det digitale rom, også omtalt som cyberdomenet eller cyberspace, har i all hovedsak bidratt til positive endringer. Det har bidratt til økonomisk utvikling, det har etablert nye former for demokratiske kanaler, og det har bidratt til å fremme menneskerettigheter. Samtidig åpner cyberdomenet for nye og alvorlige trusler fra både statlige og ikke-statlige aktører. Området krever politikkutvikling og operative tiltak både nasjonalt og internasjonalt.

Vesentlig for forståelsen av det digitale rom er at reguleringene i vesentlig grad er blitt til gjennom avanserte kontraktsrettslige konstruksjoner innenfor rammene av amerikansk rett og jurisdiksjon. Dette er ikke til hinder for at andre stater prinsipielt kan utøve myndighet eller jurisdiksjon, men det at sentrale næringsaktører på dette området har kontraktsfestede standardvilkår med transnasjonale virkninger, medfører i realiteten sterke begrensninger på effektiv reguleringsmyndighet av andre stater. Dette spørsmålet er imidlertid blitt reist blant annet i EU og i Europarådet i forskjellige former. Blant annet er rammevilkårene i det europeiske indre marked og menneskerettigheter av vesentlig betydning for en fremtidig regelutvikling.

Det digitale rom kjennetegnes derfor av uoversiktlige strukturer, kompleksitet og stor grad av privat eierskap. Den teknologiske utviklingen går på mange områder langt raskere enn myndighetenes evne til å forstå og iverksette tiltak for å forebygge sårbarhet, for eksempel i samfunnskritisk infrastruktur. Samtidig har forvaltningen av Internett («Internet governance») – cyberdomenets desidert viktigste arena – skapt dyptgripende internasjonal debatt og de siste to årene utviklet seg til et av vår tids store spørsmål, med betydelige maktpolitiske dimensjoner. Dette stiller stater overfor helt særegne spørsmål av rettslig og sikkerhetspolitisk karakter og krever et nært samarbeid både mellom stater og mellom privat og offentlig sektor, både nasjonalt og internasjonalt. Spørsmål knyttet til det digitale rom har derfor på kort tid blitt sentrale utenrikspolitiske spørsmål.

Mange utenrikstjenester som Norge kan sammenligne seg med, har de siste par årene styrket sine kapasiteter til å håndtere utenrikspolitiske spørsmål knyttet til cyberdomenet. I norsk UD ble det i 2013 etablert en egen stilling som cyberkoordinator som koordinerer utvikling og samordning av norske posisjoner i internasjonal cyberpolitikk, både internt i Utenriksdepartementet og sammen med andre berørte departementer.

Utvalget har mottatt en grundig skriftlig redegjørelse om Norges folkerettslige forpliktelser fra UDs rettsavdeling vedrørende spørsmålene som er behandlet under punktene 10.1 til 10.5. jf. elektronisk vedlegg «Folkerettslige rammer for grenseoverskridende informasjonsinnhenting». For øvrig har vi hatt et møte med UDs cyberkoordinator som orienterte om FNs arbeid og andre sentrale internasjonale organisasjoners arbeid med forvaltning av Internett og Domenenavn. Omtalen av EU og EØS er hovedsakelig basert på NOU 2012: 2 Utenfor og innenfor. Øvrig omtale er hentet fra organisasjonenes hjemmesider og SOU 2015: 23 Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten. Oversikten er ikke uttømmende.

10.1 Folkerettslige rammer for grenseoverskridende informasjonsinnhenting

Først behandles alminnelige folkerettslige skranker for grenseoverskridende informasjonsinnhenting, herunder først og fremst suverenitetsprinsippet (punkt 10.2). Deretter vil vi kort omtale begrensninger som følger av Wien-konvensjonen om diplomatisk samkvem (punkt 10.2.1). Overvåking og informasjonsinnhenting må videre skje innenfor rammene av de internasjonale menneskerettighetene (punkt 10.3). Vi vil også omtale Europarådets konvensjon nr. 108 om personvern (punkt 10.4) og Europarådets konvensjon nr. 185 om datakriminalitet (punkt 10.5).

Den stadig økende digitaliseringen av samfunnet har medført nye folkerettslige problemstillinger. Det er enighet om at den alminnelige folkeretten i utgangspunktet kommer til anvendelse på overvåking og informasjonsinnhenting i det digitale rom. Samtidig kan det være usikkerhet og diskusjon knyttet til hvilket resultat anvendelse av gjeldende folkerett vil få i konkrete saker. Dette er derfor et område hvor folkeretten fortsatt ikke nødvendigvis alltid gir klare svar og hvor den kan være under utvikling. Dessuten medfører den teknologiske utviklingen at det kan være uklart om en stat utfra de konkrete omstendighetene kan holdes ansvarlig for en bestemt handling eller unnlatelse, dvs. om staten har jurisdiksjon.

De ulike folkerettslige spørsmålene som gjennomgås nedenfor er bare i begrenset grad regulert i traktater. Når det gjelder avgjørelser fra internasjonale domstoler, finnes det noen, men de er hovedsakelig knyttet til menneskerettslige problemstillinger (punkt 10.3). Enkelte folkerettslige vurderinger kan gjøres ut fra statspraksis og alminnelige folkerettslige prinsipper. Det foreligger også uttalelser fra for eksempel FNs høykommissær for menneskerettigheter og resolusjoner fra FNs generalforsamling. Selv om den folkerettslige rettskildeverdien av disse er begrenset, får de omtale nedenfor (punkt 10.3.3), bl.a. i lys av utvalgets anmodning til Utenriksdepartementet om å gjennomgå de internasjonale fora der problemstillingene blir drøftet.

Omtalen av menneskerettighetsforpliktelser gis relativt sett en bred plass i det følgende. Disse anses særlig relevant for utvalgets arbeid, og på dette området i folkeretten finnes det flere internasjonale rettsavgjørelser, særlig fra Den europeiske menneskerettighetsdomstolen.

10.2 Alminnelige folkerettslige skranker for grenseoverskridende informasjonsinnhenting

Med unntak for visse avgrensede områder er det få eksempler på traktatfestede forbud mot utenlandsetterretning eller spionasje i fredstid. Man må derfor falle tilbake på alminnelige folkerettslige prinsipper, herunder først og fremst suverenitetsprinsippet, dvs. prinsippet om en stats suverene myndighet på sitt territorium. Av suverenitetsprinsippet utledes bl.a. forbudet mot innblanding i en annens stats indre anliggende på dets territorium. Den internasjonale domstolen i Haag uttalte i dom av 7. september 1927 i Lotus-saken (Frankrike mot Tyrkia):

«[T]he first and foremost restriction imposed by international law upon a State is that – failing the existence of a permissive rule to the contrary – it may not exercise its power in any form in the territory of another State».

Det er sjelden at stater har påberopt at etterretningsvirksomhet utgjør folkerettsbrudd. Det foreligger heller ingen avgjørelser fra internasjonale domstoler eller tribunaler som konkluderer med at spionasje i seg selv utgjør en suverenitetskrenkelse. Statenes manglede vilje til å påberope seg folkerettsbrudd skyldes nok dels at stater har ansett det nødvendig å ivareta sin egen mulighet til å drive etterretningsvirksomhet i utlandet. Til dette bildet hører også at statene har kunnet straffeforfølge spioner under nasjonal jurisdiksjon, eller – dersom disse har hatt diplomatisk immunitet – erklære disse persona non grata, jf. Wien-konvensjonen om diplomatisk samkvem av 1961 art. 9 (punkt 10.2.1).

Det legges på denne bakgrunn til grunn at det ikke er internasjonal konsensus om at grenseoverskridende etterretningsvirksomhet, herunder i det digitale rom, som utelukkende består i informasjonsinnhenting, og som ikke forårsaker noen form for fysisk skade eller tap av funksjonalitet, i seg selv utgjør en suverenitetskrenkelse. Det kan imidlertid diskuteres, ikke minst i lys av den tekniske utviklingen, om det kan tenkes situasjoner der de negative konsekvenser for eksempel på en stats økonomi (industrispionasje) er av en slik art at handlingen vil kunne utgjøre et brudd på suverenitetsprinsippet. Hensikten med informasjonsinnhentingen, og hvordan denne er foretatt, vil også kunne ha betydning.

Det nevnes i denne forbindelse at NATO Cooperative Cyber Defence Centre of Excellence, med kontor i Tallinn, har invitert en uavhengig ekspertgruppe til å utarbeide en manual om anvendelsen av folkeretten i det digitale rom i fredstid (som en oppfølgning av den såkalte Tallinn-manualen 1.0 som gjelder anvendelse av folkeretten på digital krigføring). Tallinn-manual 2.0 forventes å ville kaste nærmere lys over suverenitetsprinsippets anvendelse i en digital kontekst.

10.2.1 Wien-konvensjonen om diplomatisk samkvem

Wien-konvensjonen om diplomatisk samkvem av 1961 fastsetter rapportering om forholdene i vertslandet som en av funksjonene for en diplomatisk stasjon, jf. artikkel 3 nr. 1 (bokstav d). Informasjonsinnhenting er da en forutsetning. Imidlertid fremgår det av samme bestemmelse at denne aktiviteten skal foregå ved lovlige midler («by all lawful means»). Videre fremgår det av artikkel 41 nr. 1 og nr. 3 at vertslandets lover skal følges, og at ambassadens lokaler ikke skal benyttes på en måte som er i strid med stasjonens funksjoner slik de er fastsatt i konvensjonen. Dette legger begrensninger på denne type aktivitet.

Vertslandet kan erklære en diplomat som uønsket, persona non grata, dersom den anser at disse bestemmelsene ikke respekteres, jf. artikkel 9 nr. 1.

Wien-konvensjonen har også bestemmelser som beskytter den diplomatiske stasjons lokaler, områder, arkiver og korrespondanse, og setter derved grenser for vertslandets aktivitet overfor stasjonen.

10.3 Menneskerettslige skranker for informasjonsinnhenting

Overvåking og informasjonsinnhenting kan først og fremst komme i strid med retten til respekt for privatliv og korrespondanse, som vil bli behandlet nærmere under punkt 10.3.2. nedenfor. Andre menneskerettigheter kan imidlertid også være relevante. Overvåking av en journalist vil for eksempel kunne innebære både et inngrep i journalistens privatliv og i vedkommendes ytringsfrihet.116 Forsamlingsfriheten kan også etter omstendighetene være berørt.

Når det gjelder grenseoverskridende informasjonsinnhenting, reiser det seg et tilleggsspørsmål om internasjonale menneskerettigheter kan påberopes mot den staten som har innhentet opplysningene, også av personer som befinner seg utenfor statens territorium. Tilsvarende spørsmål reiser seg når en stat innhenter opplysningene på eget territorium, men virkningen i form av inngrep i privatliv eller kommunikasjon skjer utenfor statens territorium. Dette er spørsmål om menneskerettighetenes ekstraterritorielle anvendelse og vil bli nærmere belyst under punkt 10.3.2.

Det foreligger omfattende rettspraksis fra EMD vedrørende retten til et privatliv. Vi antar at hemmelig overvåking og informasjonsinnhenting av hensyn til nasjonal sikkerhet og kriminalitetsbekjempelse er særlig relevant i tilknytning til utvalgets mandat. Vi fokuserer derfor særlig på dette i det følgende. Av særlig interesse mht. de menneskerettslige rammene for hemmelig overvåking og informasjonsinnhenting er EMDs avvisningsavgjørelse Weber og Saraviamot Tyskland av 29. juni 2006, hvor EMD vurderte tysk etterretningstjenestes myndighet til å drive såkalte strategisk overvåking av nasjonale sikkerhetshensyn, så vel som bruk og videreformidling av informasjonen oppnådd på denne måten. Det vises også til dommen Liberty m.fl. mot UK av 1. juli 2008, hvor dagjeldende britisk lovgivning for overvåking av kommunikasjon ble funnet å være i strid med EMK, jf. også den senere frifinnelsesdommen Kennedy mot UK av 18. mai 2010. Av fremtidige avgjørelser nevnes Big Brother Watch m.fl. mot UK (klage nr. 58170/13 av 4. september 2013), som vil kunne kaste nærmere lys over rettstilstanden på dette området.

10.3.1 Den europeiske menneskerettskonvensjonen art. 8 og FNs konvensjon om sivile og politiske rettigheter art. 17

Den europeiske menneskerettskonvensjonen (EMK) art. 8 og FNs konvensjon om sivile og politiske rettigheter (SP) art. 17 om rett til respekt for ens privatliv og korrespondanse er noe ulikt formulert:

EMK art. 8 lyder:

1. Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.

2. Det skal ikke skje noe inngrep av offentlig myndighet i utøvelsen av denne rettighet unntatt når dette er i samsvar med loven og er nødvendig i et demokratisk samfunn av hensyn til den nasjonale sikkerhet, offentlige trygghet eller landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter og friheter.

Mens SP art. 17 fastsetter at:

1. Ingen må utsettes for vilkårlige eller ulovlige inngrep i privat- eller familieliv, hjem eller korrespondanse, eller ulovlige inngrep på ære eller omdømme.

2. Enhver har rett til lovens beskyttelse mot slike inngrep eller angrep.

Praksis fra de to konvensjonenes overvåkingsorganer, henholdsvis Den europeiske menneskerettsdomstolen (EMD) og FNs menneskerettskomité, viser imidlertid at de nærmere vurderingstemaene etter de to bestemmelsene vil være sammenfallende. Vi vil derfor i det følgende forholde oss til EMK art. 8 og EMDs rettspraksis med mindre det skulle være særlig grunn til også å nevne FN-konvensjonen.

Hva utgjør et inngrep i ens privatliv eller korrespondanse?

Det følger av EMDs rettspraksis at alle typer korrespondanse vil være beskyttet av EMK art. 8, herunder e-post og andre typer elektronisk kommunikasjon, video-klipp og lydopptak og GPS-overvåking. EMD har også lagt til grunn at ikke bare innsamling av innhold i kommunikasjon, men også av trafikkdata eller metadata (data om kommunikasjon) er et inngrep i privatlivet (se Malone mot UK av 2. august 1984, avsnitt 84). Videre utgjør ikke bare selve innsamlingen av kommunikasjon, men også senere lagring og bruk av personlige opplysninger et inngrep i privatlivet (se for eksempel Leander mot Sverige av 26. mars 1987, avsnitt 48). Deling av informasjonen som utvider gruppen med kjennskap til personlige opplysninger, utgjør et ytterligere selvstendig inngrep i privatlivet (Weber og Saravia mot Tyskland, avsnitt 79). Til og med selve eksistensen av lovgivning som tillater hemmelige overvåking av kommunikasjon, kan utgjøre et inngrep i privatlivet, selv om klager selv ikke har vært overvåket (se Weber og Saravia, avsnitt 78 med videre henvisninger).

Ikke bare individer, men også selskaper er vernet av EMK artikkel 8, jf. EMDs dom Societé Colas Est m.fl. mot Frankrike av 16. april 2002. Når det gjelder hvilken type opplysninger som er beskyttet av EMK art. 8, har EMD sett hen til Europarådets personvernskonvensjons vide definisjon av personopplysninger, som er «enhver opplysning som gjelder en bestemt eller identifiserbar enkeltperson» (se for eksempel Rotaru mot Romania av 4. mai 2000 avsnitt 42–43).

Retten til privatliv er ikke absolutt

Inngrep i privatlivet kan imidlertid skje dersom det har sitt grunnlag i lov og kan anses nødvendig i et demokratisk samfunn av hensyn til et legitimt formål, jf. EMK art. 8 nr. 2. Legitime formål er iht. bestemmelsen nasjonal sikkerhet, offentlig trygghet, landets økonomiske velferd, for å forebygge uorden eller kriminalitet, for å beskytte helse eller moral, eller for å beskytte andres rettigheter eller friheter.

EMD fremhevet i sin første avgjørelse om hemmelig overvåking, Klass m.fl. mot Tyskland av 6. september 1978, at moderne demokratiske samfunn er truet av svært sofistikerte former for spionasje og terrorisme og derfor under særlige omstendigheter må kunne være i stand til å gjennomføre hemmelig overvåking av kommunikasjon for effektivt å bekjempe slike trusler (dommens avsnitt 48).

Inngrep må være i samsvar med loven

For at inngrep i privatlivet eller korrespondanse skal være tillatt, må det skje i samsvar med loven. Det følger av EMDs rettspraksis at dette innebærer at inngrepet må ha hjemmel i nasjonal lov som må oppfylle visse kvalitative krav. Lovgivningen må være tilstrekkelig tilgjengelig, sikre forutberegnelighet mht. under hvilke omstendigheter overvåking kan skje, og være i tråd med rettsstatsprinsipper (jf. Weber og Saravia avsnitt 84).

EMD har lagt til grunn at selv om kravet om forutberegnelighet i konteksten hemmelig overvåking selvfølgelig ikke kan bety at den overvåkede skal forhåndsinformere om overvåkingen, må lovgivningen ha klare og detaljerte regler om innsamling av kommunikasjon for å forebygge vilkårlighet. Det må herunder ikke åpnes opp for stor grad av diskresjonær myndighet for den utøvende makt eller domstolene, men trekkes opp klare rammer for skjønnsutøvelsen (se bl.a. Malone avsnitt 67–68 og Weber og Saravia avsnitt 93–94). I tillegg må et minimum av rettssikkerhetsgarantier være oppfylt for hemmelig overvåking, jf. nærmere Weber og Saravia avsnitt 95:

«In its case-law on secret measures of surveillance, the Court has developed the following minimum safeguards that should be set out in statute law in order to avoid abuses of power: the nature of the offences which may give rise to an interception order; a definition of the categories of people liable to have their telephones tapped; a limit on the duration of telephone tapping; the procedure to be followed for examining, using and storing the data obtained; the precautions to be taken when communicating the data to other parties; and the circumstances in which recordings may or must be erased or the tapes destroyed…»

EMD har videre lagt til grunn at inngrep ikke bare må være i samsvar med nasjonal lovgivning, men også internasjonale offentligrettslige regler som staten er bundet av, herunder folkerettens regler om staters suverenitet, jf. følgende uttalelse i Weber og Saravia avsnitt 87:

«The Court reiterates that the term «law» within the meaning of the Convention refers back to national law, including rules of public international law applicable in the State concerned (…). As regards allegations that a respondent State has violated international law by breaching the territorial sovereignty of a foreign State, the Court requires proof in the form of concordant inferences that the authorities of the respondent State have acted extraterritorially in a manner that is inconsistent with the sovereignty of the foreign State and therefore contrary to international law.»

EMD kom i saken Weber og Saravia til at det ikke var bevist at den tyske lovgivningen vedrørende strategisk overvåking, var blitt anvendt på en på en måte som kom i strid med en fremmed stats suverenitet, jf. avsnitt 88:

«The Court observes that the impugned provisions of the amended G 10 Act authorise the monitoring of international wireless telecommunications, that is, telecommunications which are not effected via fixed telephone lines but, for example, via satellite or radio relay links, and the use of data thus obtained. Signals emitted from foreign countries are monitored by interception sites situated on German soil and the data collected are used in Germany. In the light of this, the Court finds that the applicants failed to provide proof in the form of concordant inferences that the German authorities, by enacting and applying strategic monitoring measures, have acted in a manner which interfered with the territorial sovereignty of foreign States as protected in public international law.»

Inngrepet må være nødvendig i et demokratisk samfunn av hensyn til et legitimt formål

Dersom man kommer til at inngrepet er i samsvar med loven, blir spørsmålet om inngrepet også er nødvendig i et demokratisk samfunn pga. et legitimt hensyn (eller i FN-konvensjonens terminologi om inngrepet er vilkårlig).

EMDs rettspraksis viser at domstolen generelt sett har akseptert at overvåking og informasjonsinnsamling har tilstrebet et legitimt formål, uten å dra statenes vurdering av dette i tvil. EMDs drøftelser har først og fremst dreid seg om overvåkingen og informasjonsinnhentingen kan anses «nødvendig i et demokratisk samfunn». For at inngrepet skal anses nødvendig i et demokratisk samfunn må det være forholdsmessig («proportional») i forhold til det legitime formålet som forfølges. Forholdsmessighetsvurderingen er en konkret skjønnsmessig vurdering hvor en rekke faktorer tas i betraktning. EMD har lagt til grunn at statene har en nokså vid skjønnsmargin når de skal foreta interesseavveiningen mellom retten til et privatliv og hensynet til å beskytte nasjonal sikkerhet. Se for eksempel avvisningsavgjørelsen Weber og Saravia mot Tyskland avsnitt 106 med videre henvisninger:

«[W]hen balancing the interest of the respondent State in protecting its national security through secret surveillance measures against the seriousness of the interference with an applicant’s right to respect for his or her private life, it has consistently recognized that the national authorities enjoy a fairly wide margin of appreciation in choosing the means for achieving the legitimate aim of protecting national security…».

Samtidig understreker domstolen samme sted at dette ikke betyr at statene har ubegrenset diskresjonær myndighet til å gjøre personer innen sin jurisdiksjon gjenstand for hemmelig overvåking, og at interesseavveiningen vil avhenge av en konkret vurdering av alle sakens omstendigheter:

«Nevertheless, in view of the risk that a system of secret surveillance for the protection of national security may undermine or even destroy democracy under the cloak of defending it, the Court must be satisfied that there exist adequate effective guarantees against abuse (…) . This assessment depends on all the circumstances of the case such as the nature, scope and duration of the possible measures, the grounds required for ordering them, the authorities competent to authorise, carry out and supervise them, and the kind of remedy provided by the national law...».

På grunn av at hemmelig overvåking ikke kan påklages, da den som overvåkes ikke er kjent med den, har EMD videre lagt til grunn at overvåkingen må være underlagt effektiv kontroll. Kontrollen bør normalt sett ligge til den dømmende myndighet, i alle fall i siste instans, da domstolene gir de beste garantier for uavhengighet og upartiskhet (jf. Klass m. fl. mot Tysland avsnitt 55–56 og Kennedy mot UK avsnitt 167). EMD har imidlertid lagt til grunn at fravær av rettslig kontroll ikke automatisk fører til brudd på EMK art 8. I Klass m.fl. fant EMD at en parlamentarisk komité med balansert politisk sammensetning og en uavhengig myndighetskommisjon som gjennomførte overvåkingen, var tilstrekkelig for å oppfylle kravet om effektiv, uavhengig og permanent kontroll. Det ble også lagt vekt på at en person som mistenkte at han var gjenstand for overvåking, hadde klageadgang til kommisjonen, selv om denne adgangen bare forelå under særlige omstendigheter (se Klass m. fl. mot Tyskland avsnitt 56).

Lagring i lang tid av opplysninger innhentet gjennom overvåking kan også anses som et uforholdsmessig inngrep, jf. Segerstedt-Wiberg og andre mot Sverige av 6. juni 2006. EMD kom til at oppbevaring gjennom lang tid av opplysninger om at noen hadde planlagt et bombeattentat, ikke var i strid med EMK art. 8, mens oppbevaring av informasjon vedr. deltakelse på et politisk møte i 1967 eller at en klager hadde planlagt å utøve voldelig motstand mot politiet under en demonstrasjon i 1969, ble ansett for å være uforholdsmessig, tatt i betraktning opplysningenes natur og deres alder.

Som det fremkommer foran vil videreformidling av innhentet informasjon utgjøre et selvstendig inngrep i privatlivet. Selv om selve innhentingen av informasjonen var forholdsmessig av hensyn til et legitimt formål, er det ikke dermed sagt at videreformidling av informasjonen vil være det, enten informasjonen deles med andre nasjonale myndigheter eller med utenlandske myndigheter.

10.3.2 I hvilken grad kommer menneskerettighetene til anvendelse ved grenseoverskridende overvåking og informasjonsinnhenting, jf. EMK art. 1 og SP art. 2 nr. 1?

For at en stat skal kunne holdes ansvarlig for handlinger eller unnlatelser som gir grunnlag for brudd på menneskerettskonvensjonene, er det et vilkår at staten må kunne anses å utøve jurisdiksjon, jf. EMK art. 1 og SP art. 2 nr. 1.

Hvor en stat overvåker noen som befinner seg på statens territorium, er det på det rene at staten kan bli holdt ansvarlig for menneskerettsstridige inngrep i vedkommendes privatliv, selv om dette skulle skje i form av grenseoverskridende informasjonsinnhenting. Men hvordan stiller jurisdiksjonsspørsmålet seg hvis informasjonsinnhentingen finner sted på statens territorium, men hvor den som overvåkes ikke befinner seg der (for eksempel hvor en stat henter ut opplysninger om personer i utlandet fra en fiberoptisk kabel som befinner seg på statens territorium eller i statens territorialfarvann)? Og hva hvis man fjerner seg enda lengre fra statens territorium, ved at den som er gjenstand for et inngrep i sitt privatliv ikke befinner seg på statens territorium og heller ikke statens inngrep skjer der (for eksempel hvor en stat hacker seg inn i PCen til noen i utlandet eller fanger opp vedkommendes e-post i et annet land)? I begge tilfeller har statens handling virkning utenfor statens territorium.

Spørsmålet om menneskerettighetenes ekstraterritorielle anvendelse var et vanskelig punkt under forhandlingene i 2013 og 2014 om FNs generalforsamlings resolusjon om retten til et privatliv i den digitale tidsalder, jf. nærmere nedenfor om denne. Iht. FNs konvensjon om sivile og politiske rettigheter art. 2 nr. 1 skal statene «respektere de rettigheter som anerkjennes i konvensjon, og sikre dem for alle som befinner seg på dens territorium og er undergitt dens jurisdiksjon» («within its territory and subject to its jurisdiction»). USAs offisielle holdning er at SP art. 2 nr. 1 inneholder to kumulative vilkår for jurisdiksjon, som begge må være oppfylt for at konvensjonen skal komme til anvendelse, og at menneskerettighetene derfor ikke kan komme til ekstraterritoriell anvendelse. Dette er et syn som ikke har støtte i internasjonal rettspraksis, og som Norge sammen med en rekke andre stater ikke deler. Norge er dessuten i tillegg bundet av EMK, som har en jurisdiksjonsbestemmelse som ikke refererer til territorium, bare til jurisdiksjon. Etter EMK art. 1 skal statspartene sikre enhver konvensjonens rettigheter og friheter «innen sitt myndighetsområde» («within their jurisdiction»). EMD har gitt EMK ekstraterritoriell anvendelse i en lang rekke saker under visse vilkår. Tilsvarende har FNs menneskerettskomité gjort med FNs konvensjon om sivile og politiske rettigheter. At menneskerettighetene derfor generelt sett, avhengig av de nærmere omstendighetene, kan komme til ekstraterritoriell anvendelse er etter vårt syn på det rene.

Også EMD har imidlertid lagt til grunn i sin rettspraksis at en stats jurisdiksjon etter EMK art. 1 først og fremst er territoriell, og at handlinger begått av en statspart som er utført på, eller som har virkninger utenfor en stats territorium, bare unntaksvis kan utgjøre utøvelse av jurisdiksjon etter EMK art. 1.117 Om slike eksepsjonelle omstendigheter foreligger, må etter EMDs rettspraksis besluttes utfra de særlige omstendighetene i den foreliggende sak. EMD har i sin rettspraksis anerkjent en rekke slike eksepsjonelle omstendigheter som kan medføre jurisdiksjonsutøvelse utenfor en stats eget territorium.

For det første har EMD lagt til grunn at statlige agenters utøvelse av myndighet og kontroll («authority and control») utenfor eget territorium kan gi grunnlag for jurisdiksjon. (Se nærmere for eksempel Al- Skeini m.fl. mot UK av 7.7.2011 avsnitt 133–137). For det andre har EMD lagt til grunn at en stat kan ha ekstraterritoriell jurisdiksjon etter EMK art. 1 når staten utøver effektiv kontroll over et område. Den kontrollerende staten har i disse tilfeller ansvar for å sikre alle konvensjonsrettighetene staten er bundet av på det kontrollerte området. (Se nærmere for eksempel Al-Skeini m.fl. avsnitt 138–140.) FNs menneskerettskomité har lagt til grunn tilsvarende vurderingstema etter FN-konvensjonen om sivile og politiske rettigheter.118

EMD har så langt, så vidt vi er kjent med, ikke avsagt noen avgjørelse hvor domstolen tar uttrykkelig stilling til jurisdiksjonsspørsmålet i grenseoverskridende internettrelaterte saker eller om grenseoverskridende informasjonsinnhenting. Spørsmålet ble berørt i den ovennevnte saken Weber and Saravia mot Tyskland fra 2006, hvor klagerne klaget over at Tyskland hadde brutt deres konvensjonsrettigheter i forbindelse med overvåking av telekommunikasjon fra deres telefonforbindelser i Uruguay. Tyskland argumenterte bl.a. med at «the monitoring of telecommunications made from abroad, however, had to be qualified as an extraterritorial act. In accordance with the Court’s decision in the case of Bankovic and Others v. Belgium and Others (…) the applicants therefore did not come within Germany’s jurisdiction within the meaning of Article 1 of the Convention – a concept which was primarily territorial – on account of that act». Domstolen fant det imidlertid ikke nødvendig å ta stilling til spørsmålet siden klagen uansett måtte avvises da domstolen fant at det ikke hadde funnet sted noe konvensjonsbrudd. I ovennevnte sak Liberty m.fl. mot Storbritannia fra 2008 ble Storbritannia domfelt for brudd på EMK art. 8 for overvåking av samtaler mellom en britisk og to irske organisasjoner basert i henholdsvis London og Dublin. Kommunikasjonen frem og tilbake mellom Dublin og London ble fanget opp på «Capenhurst Electronic Test Facility» på britisk territorium. Det ble ikke anført av Storbritannia i saken at EMK ikke kom til anvendelse på saksforholdet for så vidt gjaldt de irske klagerne, og EMD reiste heller ikke spørsmålet av eget tiltak.

Hvor informasjonsinnhentingen skjer på en stats territorium, som i Liberty m.fl., kan det argumenteres for jurisdiksjon på grunnlag av territorialprinsippet, selv om virkningen er ekstraterritoriell. Når det gjelder situasjoner hvor både informasjonsinnhentingen og virkningen av inngrepet i privatliv eller kommunikasjon skjer utenfor statens territorium, for eksempel hvor en stat hacker seg inn i PCen til noen eller fanger opp vedkommendes e-post i et annet land, vil det derimot være modellen med myndighet og kontroll over personer som er relevant. Samtidig kan det stilles spørsmål ved om det er noen grunn til å behandle de to situasjonene forskjellig. I begge tilfeller er virkningen av menneskerettsinngrepet ekstraterritoriell.

Det er uklart hvordan EMD vil forholde seg til kriteriene effektiv kontroll over et område eller myndighet og kontroll over personer i fremtidige saker om grenseoverskridende overvåking og informasjonsinnhenting dersom spørsmålet kommer på spissen, evt. om domstolen kan komme til at det kan tenkes andre typer av eksepsjonelle omstendigheter som kan nødvendiggjøre og berettige ekstraterritoriell jurisdiksjon enn det som er dekket av disse to vurderingstemaene.

I denne forbindelse synes bl.a. følgende uttalelse i EMDs avgjørelse Ben El Mahi mot Danmark (klage nr. 5853/06) av 11.12.2006 relevant, hvor EMD begrunner de unntakene fra territorialprinsippet som domstolen har fastsatt gjennom sin rettspraksis:

«Accountability in such situations stems from the fact that Article 1 cannot be interpreted so as to allow a State Party to perpetrate violations of the Convention on the territory of another State which it would not be permitted to perpetrate on its own territory.»

Hvis man skulle konkludere med at EMK art. 8 ikke kan komme til ekstraterritoriell anvendelse på overvåking eller informasjonsinnhenting, fordi staten ikke vil kunne anses å ha effektiv kontroll over området hvor vedkommende befinner seg, eller myndighet og kontroll over vedkommende, vil en stat med relativt enkle hjelpemidler og uten å pådra seg nevneverdige kostnader kunne begå omfattende konvensjonsbrudd utenfor sine grenser som ikke vil være tillatt etter konvensjonen på statens eget territorium. Det har også blitt argumentert med at dette ville kunne åpne for samarbeid om deling av etterretningsinformasjon mellom stater med sikte på å omgå statenes menneskerettsforpliktelser overfor personer på eget territorium. Det kan derfor argumenteres for at dette, etter omstendighetene, vil kunne gi et lite tilfredsstillende resultat, og utfordrer derfor EMDs og FNs menneskerettskomites hittil utviklede rettslige vurderingstema mht. ekstraterritoriell jurisdiksjon. På den annen side kan det imidlertid også argumenteres med at innhenting av informasjon om personer som befinner seg på et statskontrollert territorium eller som på annen måte er underlagt statens myndighet og (fysiske) kontroll, lettere kan brukes, herunder misbrukes, mot vedkommende av staten, enn når det gjelder informasjonsinnhenting rettet mot personer på andre staters territorium, og at EMDs gjeldende kriterier for ekstraterritoriell jurisdiksjon derfor er relevante og ikke bør strekkes for langt.

FNs høykommissær for menneskerettigheter omtaler spørsmålet om ekstraterritoriell anvendelse av SP art. 17 i rapport om retten til et privatliv av 30. juni 2014, utarbeidet på anmodning av FNs generalforsamling i resolusjon 68/167 om samme tema (se rapportens avsnitt 32–34). I rapportens avsnitt 34 uttaler høykommissæren:

«It follows that digital surveillance (….) may engage a State’s human rights obligations if that surveillance involves the State’s exercise of power or effective control in relation to digital communications infrastructure, wherever found, for example, through direct tapping or penetration of that infrastructure. Equally, where the State exercises regulatory jurisdiction over a third party that physically controls the data, that State also would have obligations under the Covenant. If a country seeks to assert jurisdiction over the data of private companies as a result of the incorporation of those companies in that country, then human rights protection must be extended to those whose privacy is being interfered with, whether in the country of incorporation or beyond. This holds whether or not such an exercise of jurisdiction is lawful in the first place, or violates another State’s sovereignty».

FNs generalforsamling uttrykte i enstemmige resolusjoner om rett til et privatliv i den digitale tidsalder av desember 2013 og desember 2014 (res. 68/167 og res. 69/166) at den var «deeply concerned at the negative impact that surveillance and/or interception of communication, including extraterritorial (...), may have on the exercise and enjoyment of human rights». Men statene klarte ikke å enes om tekst som reflekterte Høykommissærens uttalelser ovenfor.

Som belyst ovenfor er det betydelig usikkerhet knyttet til jurisdiksjonsspørsmålet ved grenseoverskridende overvåking og informasjonsinnhenting, hvor den som overvåkes ikke befinner seg på statens territorium. Det forventes imidlertid at det etter hvert vil komme rettsavgjørelser som vil kaste lys over dette spørsmålet.

Vi finner avslutningsvis grunn til å understreke at selv om EMK art. 8 skulle komme til anvendelse på overvåking av og informasjonsinnhenting om personer i utlandet, betyr selvfølgelig ikke dette at slik informasjonsinnhenting av sikkerhetshensyn ikke vil være tillatt. Dette vil beror på en nærmere forholdsmessighetsvurdering. Det kan ikke utelukkes at denne vurderingen vil kunne slå annerledes ut dersom det er tale om innhenting av informasjon relatert til eksterne trusler.

10.3.3 FN-resolusjonene om retten til et privatliv i den digitale tidsalder

Vi nevner også FNs generalforsamlings to resolusjoner om retten til et privatliv i den digitale tidsalder. Resolusjonene er ikke rettslig bindende, men kan anses å reflektere visse minstestandarder. Resolusjon 68/167 av 18. desember 2013 hadde først og fremst betydning ved at den innledet en internasjonal dialog om personvern i det digitale rom. Resolusjonen ga FNs høykommissær for menneskerettigheter i mandat å utarbeide en rapport om temaet, som forelå 30. juni 2014.

Høykommissærens rapport dannet så utgangspunktet for forhandlingene om en ny resolusjon på området, nr. 69/166, vedtatt av FNs generalforsamling 18. desember 2014. Som oppfølging av Generalforsamlingens sistnevnte resolusjon, vedtok FNs menneskerettsråd 24. mars 2015 å oppnevne en spesialrapportør for personvern.

10.4 Europarådets personvernkonvensjon

Europarådets konvensjon nr. 108 av 28. januar 1981 om personvern i forbindelse med elektronisk databehandling av personopplysninger ble ratifisert av Norge 20. februar 1984. Konvensjonen er så langt ratifisert av 46 stater, hvorav én ikke-Europarådsstat (Uruguay). Det er den eneste internasjonale konvensjonen som gjelder behandling av personopplysninger, herunder som søker å regulere grenseoverskridende strømmer av data.

Konvensjonens formål, nedfelt i artikkel 1, er

«å sikre respekt for enhver enkeltpersons rettigheter og grunnleggende friheter og især retten til privatlivets fred på territoriet til enhver part, uten hensyn til statsborgerskap eller bopel, i forbindelse med elektronisk databehandling av personopplysninger som vedrører ham».

I konvensjonens forklarende rapport understrekes det at de garantier konvensjonen gir, ikke kan begrenses til statens egne borgere eller personer med lovlig opphold i staten:

«The guarantees set out in the convention are extended to every individual regardless of nationality or residence. This provision is in accordance with the general principle of the Council of Europe and its member States with regard to the protection of individual rights. Clauses restricting data protection to a State’s own nationals or legally resident aliens would be incompatible with the convention.»

Konvensjonen definerer personopplysninger vidt: «enhver opplysning som gjelder en bestemt eller identifiserbar enkeltperson», jf. konvensjonens art. 2 bokstav a.

Ved bearbeiding av denne type opplysninger ved elektronisk databehandling, skal de iht. konvensjonens art. 5:

• «a) innsamles og bearbeides på rettferdig og lovlig vis;

• b) lagres for bestemte og lovlige formål og ikke nyttes på en måte som er uforenlig med disse formål;

• c) være adekvate, relevante og ikke for omfattende i relasjon til de formål de lagres til;

• d) være nøyaktige og, der det er nødvendig, holdt a jour;

• e) oppbevares på en måte som ikke gir anledning til å identifisere datasubjektene lenger enn nødvendig for det formål som disse opplysningene lagres til.»

Konvensjonen gir enhver rett til å vite om det eksisterer et elektronisk persondataregister, dets formål og få vite om og evt. korrigert eller slettet opplysninger som er lagret i strid med konvensjonen, samt ha klageadgang dersom disse rettighetene ikke respekteres, jf. konvensjonens art. 8.

Konvensjonens art. 6 peker på kategorier av særlig sensitive opplysninger som skal nyte et særskilt vern:

«Personopplysninger som åpenbarer rasemessig opprinnelse, politiske oppfatninger samt religiøs eller annen tro, så vel som personopplysninger vedrørende helse eller seksualliv, kan ikke behandles elektronisk med mindre intern lovgivning gir tilstrekkelig vern. Det samme skal gjelde for personopplysninger som gjelder domfellelser for straffbare handlinger.»

Det kan gjøres unntak fra konvensjonens art. 5, 6 og 8, nevnt ovenfor, når dette er fastsatt i lov og er et nødvendig tiltak i et demokratisk samfunn av hensyn til a) beskyttelse av statens sikkerhet, offentlig sikkerhet, statens økonomiske interesser eller bekjempelse av kriminelle handlinger eller b) beskyttelse av datasubjektet eller andres rettigheter og friheter. Dette er mer eller mindre sammenfallende med ordlyden i EMK art. 8 nr. 2.

10.5 Europarådets konvensjon nr. 185 om datakriminalitet

Europarådets konvensjonen nr. 185 om datakriminalitet (Budapestkonvensjonen) ble ratifisert av Norge 30. juni 2006. Så langt har 39 Europarådsmedlemsstater og seks ikke-medlemsstater, deriblant USA og Japan, sluttet seg til konvensjonen. Partene til Budapestkonvensjonen har forpliktet seg til gjensidig strafferettslig samarbeid i saker vedrørende datakriminalitet, herunder til å bistå hverandre med innhenting av elektroniske bevis for datakriminalitet. Vi nøyer oss med å vise til konvensjonens kapitel III om strafferettslig samarbeid som i artiklene 25–34 gir nærmere og detaljerte regler om grenseoverskridende informasjonsinnhenting for dette formål.

10.6 Norges forpliktelser som følger av EØS-avtalen og øvrige avtaler med EU

EUs regelverk omfatter i dag store deler av informasjonssamfunnet. Regelverket er i all hovedsak tatt inn i norske lover og forskrifter gjennom EØS-avtalen, og omfatter blant annet ekom/telekom, elektronisk handel, elektroniske signaturer, frekvensforvaltning, gjenbruk av offentlige data og personvern.119

Det indre markedet i EU består av over 500 millioner innbyggere. I EU har det helt fra samarbeidet startet, vært store forventninger til dette markedets betydning for europeisk økonomi, og det satses i stor grad på at en felles digital politikk vil realisere intensjonen om ett felles europeisk indre marked. Dette krever felles regelverk og strategiprogrammer som skaper tillit til markedet hos både næringsliv og forbrukere. Et sentralt mål er derfor at både næringslivet og forbrukerne skal beskyttes gjennom sikker kommunikasjon, sikre betalingsløsninger, forbrukerrettigheter og ivaretagelse av borgernes personvern. For å kunne realisere et trygt indre digitalt handelsmarked stilles det også krav til felles forebygging og bekjempelse av kriminalitet som må innrettes slik at tilliten mellom markedsaktørene og forbrukerne opprettholdes.

EØS-avtalen er Norges mest omfattende folkerettslige avtale. Avtalen er multilateral og omfatter i dag 31 land – de 28 EU-statene og de tre EFTA-statene Island, Liechtenstein og Norge. For å delta i EUs indre marked forpliktet Norge seg til å overta EU-retten og gjennomføre den på samme måte som i EU. Norge har tatt inn tre fjerdedeler av EUs rettsakter i norsk rett.120 Å gjennomføre rettsreglene på samme måte som i EU innebærer også at reglene skal fortolkes og anvendes på samme måte som i de øvrige medlemslandene. Det betyr at EU-domstolens avgjørelser også er bindende for Norge. Videre forpliktet Norge seg til å utvikle avtalen i pakt med den underliggende EU-retten. EØS-avtalen og de øvrige avtalene Norge har inngått med EU, er langt mer omfattende enn det som tradisjonelt omfattes av folkerettslige avtaler. Det som kjennetegner de folkerettslige avtalene, er at det etableres gjensidige forpliktelser mellom statene som sådanne. Norges avtaler med EU er til sammenligning å betrakte som overnasjonale, ved at både Stortingets, regjeringens og domstolenes kompetanse i praksis begrenses som følge av plikten til å følge EUs rettsutvikling, selv om Norge formelt sett har adgang til å reservere seg.121

Kjernen i avtalen er at EFTA-statene overtar all relevant EU-rett som regulerer det felles markedet, som igjen er basert på reglene om «de fire friheter» – fri bevegelse av varer, tjenester, arbeidskraft og kapital. Et annet kjerneområde er reglene som skal sikre like konkurransevilkår i markedet, gjennom blant annet regler om statsstøtte, offentlige kontrakter og forbud mot ulovlig prissamarbeid og misbruk av markedsmakt. Gjennom årene er reguleringen av det indre markedet i EU spesifisert nærmere for viktige sektorer som energi, samferdsel, bank og forsikring, IKT med mer, og er dermed utvidet til å gjelde en lang rekke områder som grenser opp mot markedet. Videre er markedsreglene supplert med regler som skal kompensere for uheldige sider ved markedet – herunder arbeids- og arbeidsmiljørett, personvern, miljø og klima med mer. I tillegg kommer egne avtaler om politisamarbeid, som Schengen-avtalen med tilleggsavtaler.

10.6.1 EUs regelverk for nettverks- og informasjonssikkerhet (NIS-direktivet)

Den 7. februar 2013 la EU-kommisjonen frem forslag til et direktiv for å sikre et felles nivå for nett- og informasjonssikkerhet i EU. Bakgrunnen er at det i EU per i dag ikke er etablert tilstrekkelige og helhetlige felles sikkerhetstiltak. Medlemslandene har ulik kvalitet på sikkerhetstiltakene de har implementert, noe som skaper en fragmentert tilnærming. EU har frem til nå bare hatt felles sikkerhetsregulering av ekomsektoren, mens felles regler er viktig også for annen infrastruktur og IKT-tjenester.

Aktørene som omfattes av direktivet, er offentlig og privat sektor, det vil si stat, kommuner, fylker og virksomheter innenfor sektorene transport, vannforsyning, helse og omsorg, bank og finans, samt eiere og driftere av samfunnskritisk IKT-infrastruktur. For samfunnskritiske tjenester gjelder forslaget tilbydere som er sterkt avhengige av informasjons- og kommunikasjonsteknologi, som er av avgjørende betydning for å kunne opprettholde viktige økonomiske eller samfunnskritiske funksjoner. I tillegg omfattes e-handelsplattformer, Internett-betalingsportaler, sosiale nettverk, søkemotorer, skytjenester og applikasjonsbutikker. Softwareutviklere og hardwareprodusenter er ikke omfattet.

Direktivet vil også stille krav om at det utarbeides nasjonale strategier for nett- og informasjonssikkerhet, og at det skal finnes én eller flere nasjonale myndigheter på dette området – et nasjonalt kontaktpunkt og et nasjonalt hendelseshåndteringsorgan (CSIRT). Det skal også etableres nettverk for samarbeid mellom medlemsstatene, blant annet for de nasjonale CSIRT-ene og CERT-EU, som er dedikert EU-institusjoner, og byråer som gir operasjonell støtte til deres IT-team og er kontaktpunkt for andre lands CERT-miljøer. NSM NorCERT mottar jevnlig rapporter og nyhetssammenstillinger fra CERT-EU. I tillegg har de operativt hendelseshåndterings- og informasjonsdelingssamarbeid. CERT-EU er også medlem av EGC. Gjennom nettverk for kompetente nasjonale myndigheter skal medlemsstatene utveksle informasjon og samarbeide på basis av den europeiske planen for samarbeid innenfor dette området for å forebygge, bekjempe og håndtere trusler og hendelser innenfor nett- og informasjonssikkerhetsområdet.

Direktivet vil, gjennom bestemmelsene i artikkel 14–16, bidra til å etablere felleseuropeiske sektorovergripende minimumsstandarder for nettverks- og informasjonssikkerhet. Basert på modellen fra rammedirektivet for elektronisk kommunikasjon tar forslaget sikte på å utvikle en risikostyringskultur og at informasjon deles mellom privat og offentlig sektor. Virksomheter i de særlig kritiske sektorene og offentlige myndigheter vil bli forpliktet til å vurdere risikoen de står overfor, og til å gjennomføre nødvendige og forholdsmessige risikoreduserende tiltak for å ivareta nettverks- og informasjonssikkerheten. Disse enhetene vil bli pålagt å underrette den nasjonale kompetente enheten om enhver hendelse som i alvorlig grad truer deres nettverks- og informasjonssystemer. Direktivet stiller krav om at medlemslandene etablerer regler om sanksjoner hvis aktørene ikke oppfyller sine plikter. Direktivet kan på dette området medføre en endring i forhold til dagens rettstilstand som etter omstendighetene vil kunne berøre og få konsekvenser for et betydelig antall virksomheter.

Når det gjelder virksomhetenes plikter, vises det til rammedirektivet for ekomtjenester (2002/21/EF) og kommunikasjonsdirektivet (2002/58/EF). Etter planen skulle direktivet besluttes i løpet av våren 2015.

10.6.2 Ekom

På europeisk nivå reguleres elektroniske kommunikasjonsnett og -tjenester i hovedsak av den såkalte ekompakken, en samling rettsakter som ble vedtatt i 2002. Den siste større revisjonen ble gjort i 2009. I Norge er disse forpliktelsene inntatt i lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon (ekomloven). Særlig viktig i denne forbindelse er reglene om sikkerhet og beredskap i rammedirektivet (2002/21/EC) og kommunikasjonsverndirektivet (2002/58/EC).

Overordnet sett er den europeiske reguleringen av kommunikasjonsvern, som hovedsakelig regulerer personvern og informasjonssikkerhet, mer moden og utfyllende enn reguleringen av sikkerhet og beredskap. Sistnevnte har tradisjonelt blitt ansett som mer av et ansvar for de enkelte medlemslandene, og har vært mer preget av nasjonale sikkerhetsinteresser.

Gjennom rammedirektivet artikkel 13 a og 13 b er medlemslandene forpliktet til å sikre at det iverksettes tilstrekkelige («appropriate») tekniske og organisatoriske tiltak for å kontrollere sikkerhetsrisikoen i nett og tjenester. Bestemmelsen er inkorporert i ekomloven § 2-10, som går til dels betydelig lenger enn direktivets minimumsregulering. Medlemsstatene skal også varsle EU-organet ENISA ved utfall og forstyrrelser over visse terskelverdier i nett.

Kommunikasjonsverndirektivet legger relativt sterke begrensninger på tilbydernes muligheter til å benytte seg av brukernes kommunikasjon i deres nett og tjenester til andre formål enn å levere tjenesten. Medlemsstatene skal for eksempel forby innholdsanalyse uten samtykke (artikkel 5), samt at trafikk- og lokaliseringsdata er underlagt behandlingsbegrensninger og sletteplikt (artikkel 6 og 9). Disse forpliktelsene er gjennomført i norsk rett gjennom ekomloven §§ 2-7 og 2-9. Også myndighetenes adgang til slik informasjon fra tilbyderne avskjæres tilsynelatende gjennom de materielle begrensningene som er nevnt ovenfor.

Etter kommunikasjonsverndirektivets systematikk er dermed all nasjonal lovgivning om for eksempel kommunikasjonskontroll, innhenting av trafikkdata og strategisk trafikkovervåking å anse som unntak fra direktivet. Slike unntak må oppfylle vilkårene i artikkel 15, som setter krav til at lovgivningen må være forholdsmessig og nødvendig for å ivareta definerte formål. Videre stilles det krav om samsvar med generelle EU-rettslige prinsipper og EUs charter om grunnleggende rettigheter.

Kommunikasjonsverndirektivet artikkel 15 legger med andre ord opp til en vurdering som ligger nær opp til inngrepsvurderingen etter EMK artikkel 8, men der EU-domstolen er øverste tolkningsinstans. Senere rettspraksis fra EU-domstolen, særlig Digital Rights Ireland(C-293/12), gir grunn til å tro at EU-domstolen vil prøve denne typen spørsmål med større intensitet enn EMD tradisjonelt har gjort. Kommisjonen har varslet at kommunikasjonsverndirektivet skal revideres, og arbeidet er antatt å starte etter at personvernforordningen er vedtatt.

10.6.3 Personverndirektivet

Regler for en forsvarlig elektronisk behandling av personopplysninger innenfor EU er en vesentlig forutsetning for digital kommunikasjon innenfor det felles markedet. Gjeldende norsk lovgivning om behandling av personopplysninger, personopplysningsloven, er gjennomført som del av EØS-avtalen ved personverndirektiv 95/46/EF. Reglene er forankret i Den europeiske menneskerettskonvensjonen EMK artikkel 8, som er omtalt i ovenfor under punkt 10.3.1. Europakommisjonen presenterte 25. januar 2012 en reform for modernisering av EUs personvernregler. Kommisjonen har foreslått to nye regelverk: en generell forordning om beskyttelse av personopplysninger og et direktiv for myndighetenes behandling av personopplysninger i politi- og straffesektoren. Personvernforordningen skal erstatte gjeldende direktiv. Det overordnede målet med EU-kommisjonens forslag til reform er å oppdatere og modernisere personvernprinsippene som er nedfelt i 1995-direktivet, i tråd med den digitale utviklingen og de mulighetene dette byr på for realiseringen av ett felles digitalt marked innenfor EU.

Hovedintensjonen med reguleringsforslaget er å sørge for et mer enhetlig regelverk i EU. Derfor benyttes forordning fremfor direktiv, ettersom en forordning vil sikre identiske generelle personvernregler i samtlige EU/EØS-land. Den tidligere reguleringen i form av direktiv gir minimumsregler med større adgang for den enkelte stat til å tilpasse reglene til nasjonal lovgivning. Det har videre vært et mål å styrke enkeltindividets rådighet over egne opplysninger og å bygge opp befolkningens tillit til at virksomheter behandler personopplysninger på en forsvarlig måte.

Kommisjonen legger til grunn at det er nødvendig å ta borgernes mistillit til virksomheter som behandler personopplysninger, på alvor etter en befolkningsundersøkelse om personvern i EU. Undersøkelsen viste at ni av ti (92 prosent) er bekymret for blant annet mobile applikasjoner som samler og bearbeider data uten deres samtykke. Videre gikk det frem at sju av ti europeere er bekymret for virksomhetenes bruk av personopplysninger.

Reformen har derfor som et helt sentralt mål å styrke borgernes personvernrettigheter. Bedre beskyttelse av personopplysninger og større grad av kontroll over egne opplysninger hos den enkelte borger skal gjenoppbygge tilliten til at personopplysninger behandles forsvarlig, herunder når opplysninger formidles via Internett over landegrensene. Viktige endringsforslag er innføringen av en rett til – på nærmere bestemte vilkår – å få slettet personopplysninger om seg selv («rett til å bli glemt»),122 rett til å få kopi av egne personopplysninger, rett til å overføre egne personopplysninger til alternative tilbydere av en tjeneste («rett til dataportabilitet»), samt styrking av barns personvern. Videre skal borgerne gis økte rettigheter til informasjon om forhold knyttet til behandlingen av egne personopplysninger, som lagringstid og klagerett. Det skal også innføres bestemmelser som skal øke bruken av personvernfremmende teknologi med det mål å sikre at personvernhensyn blir tatt i betraktning på et tidlig stadium ved utvikling og valg av IT-løsninger.

Regelverksutkastet legger opp til en ny institusjonell struktur på personvernområdet. Det er også foreslått å opprette en felles europeisk datatilsynsmyndighet (European Data Protection Board), som skal bestå av representanter fra de ulike medlemsstatenes tilsynsmyndigheter. Forslaget åpner videre for en stor grad av delegert lovgivningsmyndighet til Kommisjonen. For å redusere kostnadene knyttet til å etterleve personvernregelverket ønsker Kommisjonen å innføre en «one stop shop»-ordning. Det vil innebære at virksomheter som etablerer seg innenfor flere EU-land, bare skal forholde seg til én tilsynsmyndighet innenfor EØS-området. Videre gis nasjonale personvernmyndigheter nye verktøy for å sanksjonere brudd på regelverket, herunder myndighet til å ilegge bøter på inntil 1 000 000 euro, eller, for næringsselskaper, inntil 2 prosent av selskapets omsetning på verdensbasis.

Det rettslige grunnlaget for rettsakten er artikkel 16 i traktaten om Den europeiske unions virkemåte. Forordninger gir som nevnt i mindre grad adgang til å gi regler på nasjonalt nivå enn det direktiver gjør. Fordelen er at EU-landene får et mer enhetlig regelverk, noe som forhindrer uoversiktlig og ulik gjennomføring av personvernregler i de ulike landene. Dette gir også større forutsigbarhet for norske borgere og deres rettigheter i møte med utenlandske aktører. For næringslivet vil det bli enklere å operere internasjonalt fordi det vil foreligge ett europeisk regelsett å forholde seg til.

Medlemslandene synes å være enige om at det er på høy tid å fornye EU-regelverket om behandling av personopplysninger. Det er viktig at regelverket er tilpasset dagens teknologiske virkelighet med mål om en teknologinøytral regulering som tar høyde for å kunne fungere også for fremtidig teknologi. Rettighetene som foreslås for borgerne, er langt på vei i samsvar med dagens norske personvernlovgivning.

10.6.4 Politisamarbeid

I tillegg til EØS-avtalen har Norge inngått en rekke forpliktende avtaler med EU. Justissektoren er et av områdene med størst omfang, og Norge deltar aktivt i EUs politisamarbeid. En del av dette skjer gjennom Schengen-avtalen, som særlig har regler om informasjonsutveksling for politiet. Blant de prioriterte områdene for dette samarbeidet er Internett-kriminalitet. Det er utformet regler og prosedyrer for blant annet felles teknisk infrastruktur, felles strategier og prioriteringer og ikke minst effektiv informasjonsutveksling med en utvikling i retning av direkte søkeadgang i samarbeidende lands databaser.

Politisamarbeidet i EU er bygd på tanken om at dette skal være kompenserende tiltak for å redusere de negative virkningene i form av økt grensekryssende kriminalitet som bortfallet av grensekontroll har hatt. Dette er fortsatt en grunntanke, men den har utviklet seg og omfatter nå også bekjempelse av alvorlig kriminalitet mer generelt. Samarbeidet omfatter en rekke forskjellige elementer. Norges avtaler med EU på dette området er i første rekke:

Europeisk cyberkrimsenter (EC3)

Senteret ble opprettet 01. januar 2013 ved Europol og skal være navet i EUs kamp mot datakriminalitet og bidra til raskere reaksjoner ved lovbrudd på nett. Senteret skal dessuten støtte medlemsstatene og EUs institusjoner i å bygge operativ og analytisk kapasitet for undersøkelser og samarbeid med internasjonale partnere.

The European Union’s Judicial Cooperation Unit (EUROJUST)

EUROJUSTs oppgave er å bidra til et effektivt samarbeid mellom medlemsstatene i saker om alvorlig, organisert og grenseoverskridende kriminalitet, samt å få lovovertredere for retten hurtig og effektivt. Innenfor sitt ansvarsområde har EUROJUST vært involvert i en rekke saker knyttet til IKT-kriminalitet, blant annet saker som gjelder spredning av overgrepsbilder på nett. I tillegg er det avtaler på følgende områder:

• den europeiske arrestordren

• gjensidig bistand i straffesaker

• informasjonsutveksling gjennom SIS, SIS II med mer

• Informasjonsutveksling gjennom Prüm-avtalen

Etter anmodning, og etter en omfattende prosess, oppnådde Norge i november 2009 en avtale om tilknytning til EUs forsterkede politisamarbeid etter det såkalte Prüm-regelverket. Formålet med dette er ikke å gi politiet tilgang til nye opplysningskategorier, snarere en forbedring og effektivisering av informasjonsutvekslingen mellom Europas politimyndigheter. Samarbeidet innebærer at de nasjonale politimyndighetene kan søke direkte i hverandres databaser med opplysninger om DNA, fingeravtrykk og kjøretøy. Når det gjelder DNA og fingeravtrykk, medfører søket at man oppnår et treff eller et ikke-treff i databasen man søker i. Dette innebærer at når norske politimyndigheter søker i for eksempel Tysklands DNA-register, vil man få tilgang til referansedata i den tyske DNA-databasen, det vil si DNA-profil og et referansenummer. Disse opplysningene gjør det ikke mulig å identifisere en person, men man kan fra norsk politis side, med den informasjonen man sitter med etter søket som Prüm-regelverket tillater, bruke de kanalene for informasjonsinnhenting som er etablert ved andre EU-regelverk, og andre internasjonale avtaler om gjensidig bistand i straffesaker. Da Prüm-regelverket ble vedtatt i EU, ble det ikke ansett for å være Schengen-relevant. Regelverket ble imidlertid fra norsk side vurdert som et nyttig verktøy i kampen mot grenseoverskridende kriminalitet, og det var et uttalt mål å knytte seg til det. Norge oppnådde dette gjennom en parallellavtale i november 2009. Avtalen ble endelig godkjent av EU 26. juli 2010, men er ennå ikke operativt i påvente av stortingsbehandling i Norge og installering av nødvendig datasystem hos Kripos.

10.7 EUs strategier, programmer og fora

10.7.1 EUs strategi for sikkerhet i det digitale rom

EU-kommisjonen og utenrikstjenesten presenterte 7. februar 2013 en samlet europeisk cybersikkerhetsstrategi: Et åpent, sikkert og trygt digitalt rom. Strategien berører IT-spørsmål i et bredt perspektiv og presenterer unionens visjon og prinsipper for hvordan de sentrale vurderingene og interessene skal gjennomføres og tydeliggjøres i det digitale rom. Strategien berører både interne og eksterne spørsmål om hvordan man skal ivareta Kommisjonens visjon og sentrale prinsipper i det digitale rom, og omfatter IKT-sikkerhet, IKT-kriminalitet, industri- og handelspolitikk og utenriks-, sikkerhets- og forsvarspolitikk.

Implementering og oppfølging av strategien og konklusjoner, samt spørsmål som berører EUs internasjonale cyberpolitikk, håndteres samlet i arbeidsgruppen Friends of the Presidency Group on Cyber Issues, FoP. Arbeidet tar utgangspunkt i grunnleggende verdier som menneskerettigheter, demokrati og rettsstatsprinsipper. Konklusjoner basert på strategien ble vedtatt i 2013, og i 2014 har flere områder i strategien blitt fulgt opp, som for eksempel videre arbeid med forvaltning av Internett.

10.7.2 ENISA

European Agency for Network and Information Security, ENISA, er EUs byrå for nett- og informasjonssikkerhet og ledes av en administrerende direktør. Byrået ble etablert i 2004 og er et ekspert- og kompetanseorgan for informasjonssikkerhetsspørsmål som skal legge til rette for fellesskapets og medlemsstatenes, inkludert næringslivets, evne til å forebygge, håndtere og løse problemer som gjelder nettverks- og informasjonssikkerhet. Byråets arbeid bygger på ulike tiltak som både de enkelte medlemsstatene og EU har iverksatt. ENISA gir råd til Europaparlamentet og EU-kommisjonen. Kort gjengitt er byråets arbeidsoppgaver å analysere endringer i risikobildet, først og fremst på europeisk nivå, samt å bidra til større bevissthet om nett- og informasjonssikkerhet. TF-CSIRT er et initiativ fra ENISA for økt samarbeid mellom europeiske CERT-miljøer, og er i hovedsak en arena for informasjonsutveksling. Det gjøres enkelte utredninger i mindre arbeidsgrupper. NSM NorCERT representerer Norge.

Det er et mål at ENISA skal styrke samarbeidet mellom næringsliv, forskere, leverandører og brukere av produkter og tjenester innenfor informasjonssikkerhetsområdet. Videre skal det legges til rette for samarbeid om å utvikle metoder for å forebygge og håndtere informasjonssikkerhetsproblemer, samt bidra til det internasjonale samarbeidet med tredjeland utenfor EU.

Mer detaljerte beslutninger om ENISAs løpende virksomhet tas av byråets ledelse, som består av alle medlemsstatene og EU-Kommisjonen Beslutningene utformes som årlige arbeidsprogrammer. Norge deltar som EØS-land uten stemmerett.

ENISA deltar i mye av det arbeidet som initieres eller ledes av Kommisjonen, for eksempel i European Forum for Member States, EFMS, en uformell gruppe for medlemsstatenes nettverks- og informasjonssikkerhetsspørsmål, samt NIS-plattformen, som også kartlegger næringslivets problemstillinger innenfor dette området. I samsvar med Kommisjonens gjennomgang av digital agenda for Europa i 2012 ble behovet for en «cybersikkerhetsstrategi» tatt opp. Dette danner grunnlaget for forslaget til NIS-direktivet.

I EUs digitale agenda for Europa understrekes viktigheten av og behovet for en felles politikk for nett- og informasjonssikkerhet som tydelig skal omfatte elektronisk kommunikasjon, og ENISAs mandat ble besluttet modernisert i 2013. Norge deltar i ENISAs Artikkel 13 a-arbeidsgruppe. Gruppen møtes tre ganger i året og utgir rekommandasjoner for nett- og tjenestesikkerhet.

10.7.3 Digital agenda

EU-kommisjonens digitale agenda for Europa (KOM[2010] 245) er et av hovedinitiativene for Europa 2020 (KOM[2010] 2020), også kalt Europa 2020-strategien. Strategien ble lansert i mars 2010 som et leddi å få Europa ut av den finansielle krisen og for å forbedre EUsøkonomi for den neste tiårsperioden. Strategien beskriver blant annet hvor viktig bruk av informasjons- og kommunikasjonsteknologi er for at Europa skal kunne oppnå strategiens målsettinger.

Forslag til tiltak omfatter sju forskjellige områder:

• et pulserende digitalt indre marked

• interoperabilitet og standardisering

• tillit og sikkerhet

• rask og ultrarask Internett-tilgang

• forskning og innovasjon

• heving av digital kompetanse, digital kunnskap og digital integrasjon

10.7.4 EU-fora for personvern

10.7.4.1 Artikkel 29-gruppen

Gruppen er opprettet i henhold til EUs personverndirektiv (artikkel 29), og er den øverste rådgivende forsamlingen for EU-kommisjonen i spørsmål om personvern og informasjonssikkerhet. Her møter alle lederne for EU-landenes datatilsynsmyndigheter. Norge har observatørstatus som EØS-land, og møter med en representant for ledelsen i Datatilsynet. Artikkel 29-gruppen er først og fremst rådgivende overfor Kommisjonen, og står fritt til å tolke og konkretisere direktivets innhold. Gruppen møtes i Brussel fem–seks ganger per år og arbeider ofte med utgangspunkt i dokumenter fra uformelle arbeidsgrupper der alle medlemslandene kan være med. Uten at det foreligger noe formelt vedtak, er det i praksis akseptert at også observatørland kan tiltre disse gruppene.

10.7.4.2 Technology Subgroup

Technology Subgroup er en arbeidsgruppe som gjør saksforberedelser for Artikkel 29-gruppen. Disse forberedelsene danner grunnlag for mange av Artikkel 29-gruppens uttalelser. I og med at Datatilsynet er observatør i selve Artikkel 29-gruppen, er deltagelse i denne arbeidsgruppen viktig fordi tilsynet her deltar på lik linje med alle andre deltagere fra EU-land.

10.7.4.3 Berlin-gruppen

Dette er en gruppe som arbeider med personvern innen elektronisk kommunikasjon i utvidet forstand. I det vesentlige er det personvernmyndigheter som deltar i her. Gruppen avgir uttalelser (Working Papers) om aktuelle personvernspørsmål. I 2013 påtok Datatilsynet seg ansvar for å skrive gruppens rapport om Big Data. Rapporten ble endelig godkjent våren 2014. Det var første gang det norske Datatilsynet skrev en rapport for denne gruppen.

10.7.4.4 Schengen Coordination Group (SCG)

Gruppen er sammensatt av representanter for alle Schengen-landenes tilsynsmyndigheter og utveksler informasjon om egne saker og felles problemstillinger i praktiseringen av reglene for Schengen Informations System (SIS). Datatilsynet er tilsynsmyndighet for den norske delen av SIS, og deltar i Schengen Coordination Group. En representant fra Datatilsynet deltok i det internasjonale inspeksjonsteamet som våren 2014 førte tilsyn med Sveits’ forpliktelser etter Schengen-regelverket.

10.7.4.5 Eurodac/Visumsamarbeid (VIS)

Datatilsynet har i 2014 vært representert med én deltager i møtene, som arrangeres av henholdsvis Eurodac Supervision Coordination Group og Visa Information System Supervision Coordination Group (VIS SCG) i Brussel.

Eurodac er et sentralt europeisk register over fingeravtrykk fra asylsøkere, og brukes primært i asylsaker. I det siste har imidlertid også politimessige formål blitt inkludert i Eurodac-regelverket, og Europol kan under visse vilkår få tilgang til databasen.

VIS er et tilsvarende register som inneholder opplysninger om visumsøkere, og formålet med registeret er å forbedre gjennomføringen av en felles visumpolitikk og konsulært samarbeid i Europa. Det er også et viktig mål å forenkle utvekslingen av opplysninger mellom medlemsstatene om søknader og avgjørelser om visum.

I disse gruppene møter samtlige ansvarlige datatilsynsmyndigheter etter de aktuelle forordningene for å samkjøre oppfølgingen av sine kontrolloppgaver.

10.8 IKT-arbeid i OECD

OECD ble grunnlagt i 1961 og er et samarbeidsorgan for 34 land og lokalisert i Paris. Målet med samarbeidet er å bidra til utvikling, sysselsetting og å heve levestandarden i medlemslandene. Det arbeides for å bidra til en sunn økonomisk utvikling, både i medlemslandene og i omverdenen, samt å bidra til ekspansjon i verdenshandelen.

Samarbeidet foregår ut fra et markedsøkonomisk grunnlag. OECD er et forum for utveksling av idéer og erfaringer samt foretar analyser innenfor flere politikkområder. Et viktig mål er at medlemslandene skal lære av hverandre og diskutere felles problemer og aktuelle internasjonale økonomiske spørsmål. OECD samler inn statistikk og har en omfattende publikasjonsvirksomhet.

OECD har cirka 200 komiteer og arbeidsgrupper. Her arbeider medlemslandene, partnerland og inviterte organisasjoner sammen med OECDs sekretariat med studier, rekommandasjoner og retningslinjer til støtte for medlemslandenes policyutvikling. OECDs anbefalinger og retningslinjer er ikke juridisk bindende, men veiledende, og har gjennom dette påvirkningskraft og blir fulgt i stor grad. Sekretariatet har cirka 2 500 ansatte, og det årlige budsjettet er på cirka 350 millioner euro. Vedtak fattes med enstemmig konsensus.

OECDs virksomhet er inndelt i direktorater. Direktoratet for vitenskap, teknologi og industri (Directorate for Science Technology and Industry) har fire underkomiteer, og en av disse (Committee on Digital Economy Policy, CDEP) arbeider med den digitale økonomien. CDEP består av tre arbeidsgrupper. En av disse er arbeidsgruppen for informasjonssikkerhet og integritet (Working Party on Information Security and Privacy in the Digital Economy, WPSPDE), som ble etablert i 1992 og er den gruppen som behandler områder som spesielt angår denne utredningen.

Arbeidsgruppen forvalter og reviderer løpende flere rekommandasjoner og retningslinjer som det redegjøres nærmere for nedenfor. For tiden pågår det et arbeid med å etablere indikatorer for måling av informasjonssikkerhet, blant annet via data fra CSIRTs arbeid med ID-forvaltning, samt utvikling av «Privacy Risk Management».

Arbeidsgruppen har, sammen med helsekomitéen, ferdigstilt en rapport om sikkerhet og integritet ved gjenbruk av helseopplysninger. Tidligere arbeider har blant annet handlet om analyse av medlemsstatenes nasjonale strategier for informasjonssikkerhet, informasjonssikkerhetsspørsmål angående «Internet of Things» og Big Data, forberedelse av en rekommandasjon om beskyttelse av barn på Internett («Protection of Children Online»), analyser av nasjonale strategier om informasjonssikkerhet for kritisk infrastruktur, med mer. Arbeidsgruppen foretar også forskjellige analyser innenfor personvernområdet.

10.8.1 OECDs retningslinjer for «cybersecurity»

I 1992 utviklet OECD sine første retningslinjer for å understøtte medlemsstatenes arbeid med informasjonssikkerhetsområdet. De ble revidert i 2002 og på nytt revidert i 2015. Revisjonen fokuserte på informasjonssikkerheten i nettverk og IKT-systemer ut fra økonomiske og sosiale hensyn og velferdshensyn i et åpent, internasjonalt og tilkoblet teknisk miljø. Internett har blitt en stadig viktigere plattform for samfunnets funksjonalitet. De digitale truslene øker med mer sofistikerte aktører.

Nye former for økonomisk og sosial ustabilitet har oppstått. Økt digital mobilitet, skytjenester, sosiale nettverk, tingenes Internett (Internet of Things) med mer er nye parametre for informasjonssystemene. Ambisjonen er at de nye retningslinjene skal ivareta disse og andre utviklingstrekk med utgangspunkt i en helhetlig tilnærming. Utgangspunktet er basert på risikotenkning fordi systemer og nettverk i dag er internasjonale, større og mer komplekse. Både forebyggende tiltak og krisehåndteringsevne forutsettes. Den nye rekommandasjonen er inndelt i tre seksjoner: generelle prinsipper, operasjonelle prinsipper og nasjonale strategier. Rekommandasjonen har også et tillegg med veiledning.

De generelle prinsippene handler om å bevisstgjøre alle berørte om hvilke digitale sikkerhetsrisikoer de utsettes for, og betydningen av å sørge for utdannelse, slik at alle har kunnskap til å kunne bedømme og håndtere slike risikoer. Alle har et felles ansvar ut fra sin egen rolle eller virksomhet. Det må likevel tas i betraktning at et visst risikonivå må aksepteres i et åpent og sammenvevd internasjonalt miljø. Det anbefales å innføre et styringssystem for risikohåndtering («risk management») for å oppnå en felles styring av sikkerhetsarbeidet som er transparent og i samsvar med menneskerettighetene og øvrige grunnleggende verdier. Et globalt Internett krever at alle aktører må samarbeide internasjonalt, på tvers av landegrenser.

De operasjonelle prinsippene handler om systematiske risiko- og sårbarhetsanalyser og håndtering av disse. Risikohåndtering kan resultere i at risiko aksepteres, reduseres, unngås eller kombinasjoner av de forskjellige alternativene. Videre handler den andre seksjonen om sikkerhetstiltak, innovasjon og kontinuitetsplanlegging.

I den tredje seksjonen anbefaler OECD at medlemsstatene utarbeider nasjonale strategier. Hensikten er å redusere digital sikkerhetsrisiko på alle nivåer, innenlands og på tvers av landegrenser, uten unødvendige restriksjoner som påvirker den frie informasjonsutvekslingen eller teknologiutviklingen. Også individene skal beskyttes mot digitale sikkerhetstrusler som for eksempel datainnbrudd, identitetstyveri og økonomisk bedrageri. Statene må også sørge for nasjonal sikkerhet og suverenitet og sikre at menneskerettigheter og grunnleggende verdier blir ivaretatt. Strategiene skal rettes mot alle aktører og tilpasses så vel små og mellomstore virksomheter som individer.

Det anbefales også tiltak som bør gjennomføres på regjeringsnivå. Eksempler på denne typen tiltak er blant annet å utarbeide en helhetlig handlingsplan for den offentlige forvaltningen basert på risiko- og sårbarhetsanalyser, forbedre koordineringen mellom relevante myndigheter, opprette CSIRT, høyne informasjonssikkerhetskravene i offentlige anskaffelser, ansette flere sikkerhetseksperter, stimulere FoU og innovasjon, samt utvikle åpne standarder.

Behovet for internasjonalt samarbeid og assistanse understrekes.

Å delta i internasjonale fora, etablere bilaterale og multilaterale nettverk for utveksling av erfaringer og en best mulig tilpasset teknologi er veien å gå. Internasjonalt samarbeid for å kunne møte og håndtere grenseoverskridende trusler kan for eksempel skje via samarbeid mellom CSIRT og gjennom internasjonal øvingsvirksomhet.

Opparbeiding av tillit i samarbeid mellom aktører tar tid. Informasjonen som det oppfordres til å utveksle, kan i mange tilfeller være sensitiv eller hemmelig og påføre skade hvis den havner hos uvedkommende. Partnerskap og ulike former for samarbeid mellom offentlige og private aktører, formelt eller uformelt, kan stimuleres med det mål å skape arenaer for tillitsfull utveksling av kunnskap og erfaringer.

Andre tiltak som regjeringene kan benytte for å stimulere den digitale sikkerheten, er å støtte frivillige merkeordninger, oppmuntre til sertifisering og rapportere hendelser. Statistikk på området trenger også utvikling gjennom planlegging av nye og internasjonalt sammenlignbare indikatorer.

10.8.2 OECDs retningslinjer for personvern

Beskyttelse av personopplysninger ved overføring og datalagring er et område OECD har arbeidet med i over 35 år. De første retningslinjene ble lansert i 1980. Ulovlig lagring av personopplysninger, oppbevaring av uaktuelle opplysninger og utlevering av sensitive opplysninger er de temaene som behandles i retningslinjene.

Personopplysninger må kunne behandles innenfor viktige sektorer som økonomi, helse og for forskningsformål, samt av myndighetene. Gjenbruk av data er et annet område. Retningslinjene ble utarbeidet for å unngå forskjeller i lovreguleringen mellom landene og med et mål om blant annet å legge til rette for fri utveksling over landegrensene.

Åtte forskjellige prinsipper ble lagt til grunn med rammer og krav knyttet til mengden innsamlede personopplysninger, datakvalitet, formålet med å behandle dataene, behandlingen, det vil si håndtering og bruk, sikkerhet, åpenhet om bruken, individets rettigheter, samt det å definere hvem som har ansvaret for databehandlingen. Disse prinsippene ligger til grunn også for dagens personvern, og er blitt utviklet ytterligere i en revidert versjon som ble fullført i 2013. To tillegg ble innført med de nye retningslinjene. Det ene tillegget gjelder behovet for å innføre et risikobasert styringssystem for å beskytte personopplysninger, det andre er å øke den globale interoperabiliteten for området gjennom internasjonale regelverk.

Nye konsepter er også introdusert, herunder behovet for å utarbeide nasjonale strategier for håndtering av persondata, behovet for å utarbeide et program for ledere av virksomheter, samt krav til hendelsesrapportering ved datalekkasje. Virksomheters ansvar for håndtering av personopplysninger løftes spesielt frem.

10.9 FNs arbeid i fora knyttet til det digitale rom

FNs generalforsamlings første komité

Denne komiteen er tilegnet nedrustning og internasjonal sikkerhet og behandler cybersikkerhet ut fra et internasjonalt sikkerhetsperspektiv. En resolusjon fremmet av Russland har blant annet vært førende siden 1998 og satte utviklingen av informasjons- og telekommunikasjonsteknologier inn i en internasjonal sikkerhetskontekst. Resolusjonen tar blant annet opp risiko og trusler i forbindelse med bruk av teknologiene og behovet for å vedta mulige samarbeidstiltak for å håndtere utviklingen, herunder tiltak i form av normer og tillitsbygging. Resolusjonen, som så langt er vedtatt med konsensus, har gitt mandat til etableringen av en ekspertgruppe for IKT relatert til internasjonal sikkerhet, United Nations Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security (UNGGE). Slike grupper er blitt oppnevnt fire ganger, og to av gangene er det oppnådd konsensus om rapporter med gruppens anbefalinger. Spesielt er UNGGE-rapporten som ble antatt i 2013, blitt viet betydelig oppmerksomhet, ettersom den konstaterte at folkerettens prinsipper for maktanvendelse også gjelder i det digitale rom.

Den fjerde UNGGE-gruppen, med et utvidet antall medlemmer fra 15 til 20 eksperter, ble nedsatt i fjor og leverte sin sluttrapport i forkant av FNs generalforsamling i 2015. Russland, Kina, Tadsjikistan, Usbekistan, Kasakhstan og Kirgisistan fremmet i januar 2015 et forslag til adferdskoder («Code of Conduct») til FNs generalforsamling. Flere vestlige land har møtt dette forslaget med skepsis fordi det ikke anses akseptabelt i et menneskerettighets- og ytringsfrihetsperspektiv. Diskusjonen om cyberspørsmål som et sikkerhetsanliggende innenfor FN har tydeliggjort betydningen av et bredere sikkerhetsperspektiv som også løfter frem menneskerettighetene og betydningen av hvordan Internett forvaltes globalt, der særlig flerpartsmodellen (samarbeid mellom offentlige og private aktører) er tillagt betydning.

En UNGGE rapport fra 22. juli 2015 oppfordrer statene til økt samarbeid og utveksling av informasjon, og hjelp til å straffeforfølge terror og kriminell bruk av IKT. Videre statueres det at statene ikke bør skade informasjonssystemene til de autoriserte responsmiljøene i en annen stat eller bruke disse responsmiljøene til å engasjere seg i ondsinnet internasjonal aktivitet.

FNs generalforsamlings andre komité

FNs generalforsamlings andre komité behandler generelle økonomiske og sosiale spørsmål inkludert utviklings- og bistandsspørsmål. IKT vektlegges som et viktig virkemiddel for økonomisk og sosial utvikling på verdensbasis. Et høynivåmøte som skal holdes i 2015, skal vurdere dette innenfor rammen av World Summit on the Information Society (WSIS).

I FN-kontekst har det eksistert en viktig konflikt omkring WSIS-prosessen, en utviklingsprosess som startet med to toppmøter, i Genève i 2003 og i Tunis i 2005. Den opprinnelige bærende ideen om å styrke FNs arbeid for å forbedre tilgangen til IKT i lav- og middelinntektsland, endte med skarpe motsetninger om kontrollen over Internetts sentrale tekniske ressurser, standarder med mer. Spørsmålet gjaldt om Internett skulle styres i en flerpartsmodell eller ved opprettelse av et nytt FN-organ.

En kompromissløsning førte til etableringen av en åpen, global møteplass i FNs regi – «Internet Governance Forum» – samt et løfte om i løpet av de nærmeste ti årene å etablere «enhanced cooperation», en formulering uten tydelig definisjon som gjorde at Tunisagendaen kunne vedtas. Ti år etter toppmøtet i Tunis er utredningsprosessen avsluttet – der ITU, Den internasjonale teleunionen, og Unesco har spilt en fremtredende rolle. Internet Governance Forum (IGF), er en global arena for dialog mellom myndigheter og private aktører om Internett-utvikling og utfordringer knyttet til styringen av Internett, herunder sårbarhet, sikkerhet og stabilitet for infrastruktur. I tillegg diskuteres folkerettslige problemstillinger knyttet til ytringsfrihet og personvern i det digitale rom. Norske myndigheter deltar aktivt i dialogen i IGF med representasjon fra Nkom, Samferdselsdepartementet og Utenriksdepartementet. Et høynivåmøte innenfor rammen av WSIS-prosessen skal holdes i New York i desember 2015.

FNs generalforsamlings tredje komité

Den tredje komiteen behandler menneskerettighetsspørsmål. Vestlige land og Norge legger til grunn at menneskerettighetene gjelder i det digitale rom på lik linje med samfunnet for øvrig. Diskusjonen om balansen mellom sikkerhet og frihet og mellom privatliv og overvåking er krevende. Brasil og Tyskland fremmet en resolusjon om overvåking og privatliv i 2013 som Norge sluttet seg til. FN har avgitt to resolusjoner om retten til et privatliv i den digitale tidsalder. Resolusjonene er ikke rettslig bindende, men anses for å reflektere visse minstestandarder.

FNs råd for menneskerettigheter

I FNs råd for menneskerettigheter i Genève 2012 ble det vedtatt en resolusjon med konsensus som for første gang bekrefter at de samme rettighetene som finnes offline, også gjelder online. En oppfølgingsresolusjon ble vedtatt i 2014, der også spørsmål om retten til utdanning og styringsspørsmål ble tatt opp. Høykommissærens rapport The right to privacy in the digital age ble diskutert i et panel i september og presentert i UNGAs tredje avdeling i oktober. Debatten tok blant annet opp menneskerettighetenes ekstraterritorielle anvendelse.

OSSE

Fra 1993 har OSSE vært en regional organisasjon i FN. Den 3. desember 2013 besluttet medlemsstatene i Organisasjonen for sikkerhet og samarbeid i Europa (OSSE) å vedta en første etablering av tillitsskapende tiltak innenfor cybersikkerhetsområdet. Målet med tiltakene er å fremme samarbeid, åpenhet, forutsigbarhet og stabilitet for å begrense risikoen for misforståelser og eskalering av konflikter i det digitale rom. I beslutningen understrekes det at iverksetting av tiltakene skal være i samsvar med internasjonal rett og især FNs konvensjon om sivile og politiske rettigheter. Ifølge overenskomsten påtar de deltagende statene seg frivillig å rapportere om nasjonale og transnasjonale trusler som gjelder IKT. I tillegg kan statene på frivillig basis bistå med konsultasjoner for å redusere risiko for misforståelser, konflikt og politisk spenning.

Sårbarheter i det digitale rom er en global utfordring. Det eksisterer ingen internasjonale avtaler som regulerer hvordan nasjonalstatene skal håndtere globale sikkerhetsutfordringer. Den internasjonale debatten rundt sårbarhet, sikkerhet og stabilitet for Internett skjer i stor grad i fora som ikke etablerer rettslige forpliktelser mellom statene. For at norske myndigheter skal kunne være informert og påvirke utviklingen innen sårbarhet, sikkerhet og stabilitet for Internett, er det essensielt at norske myndigheter er representert og deltar i debatten på den internasjonale arenaen.

10.10 NATO

Cyberforsvar er en del av NATOs kjerneoppgave om kollektivt forsvar, som bekreftes av deklarasjonen fra toppmøtet i Wales i 2014. NATO beslutter i det enkelte tilfelle om et cyberangrep mot en medlemsstat skal utløse de gjensidige forsvarsforpliktelsene i artikkel 5. NATOs strategiforslag som ble vedtatt på toppmøtet i Lisboa i 2010, understreker betydningen av at NATO har fokus på cyberforsvarsområdet.

Cooperative Cyber Defence Centre of Exellence (CCD-COE)

Det NATO-akkrediterte cyberforsvarssenteret ble opprettet i Tallinn i Estland for å øke kunnskapen om trusselbilder innenfor cybersikkerhetsområdet. I 2013 presenterte en ekspertgruppe som var tilknyttet senteret, forskjellige perspektiver på hvordan folkeretten kan få anvendelse innenfor cyberområdet. Arbeidet er publisert i rapporten Manual on the International Law Applicable to Cyber Warfare, også kalt Tallinmanualen.

NATO Computer Incident Response Capability (NCIRC)

Organisasjonen som har som oppgave å beskytte NATOs egne nettverk. NSM NorCERT mottar rapporter fra NCIRC og deler informasjon via NATO MISP (Malware Information Sharing Platform) som de drifter. NSM NorCERT har også direktekontakt i relevante hendelseshåndteringssaker.

10.11 Interpol

I september 2014 ble Interpol Global Complex for Innovation (IGCI) etablert i Singapore. Dette skal fungere som et forsknings- og utviklingssentrum. Innenfor IGCI ligger Interpols Digital Crime Centre, som skal øke informasjonssikkerheten og bekjempe IKT-relatert kriminalitet. Senteret har et kriminalteknisk laboratorium som støtter etterforskning av IKT-kriminalitet. Her foregår også forsknings- og utviklingsaktiviteter som å teste protokoller, verktøy og tjenester og å utvikle praktiske løsninger i samarbeid med politiet, akademia og øvrig offentlig og privat sektor. Senteret utarbeider i tillegg trendanalyser om IKT-angrep. De tre viktigste initiativene overfor medlemsstatene er harmonisering, å bygge kapasitet, samt gi operativ og kriminalteknisk støtte.

10.12 Andre multilaterale samarbeidsfora

ICANN

Allokering av IP-adresser, domenenavnsystemer (DNS) og toppdomener utgjør tre sentrale funksjoner for sikker og stabil bruk av Internett. Dette håndteres i dag av The Internet Corporation for Assigned Names and Numbers (ICANN), en privat stiftelse i California. Arbeidet er basert på en kontrakt med amerikanske myndigheter.

Norske myndigheter kan gi innspill til ICANN gjennom et myndighetsforum (Government Advisory Committee), men i realiteten har offentlige myndigheter utenfor USA begrenset påvirkning på ICANNs beslutninger. Stabilitet og funksjonalitet for de nasjonale toppdomenene, som «.no», er av stor betydning. Det er så opp til de enkelte lands myndigheter å beslutte nasjonal regulering og iverksette sikkerhetstiltak for nasjonal infrastruktur. Det foregår stor grad av europeisk koordinering i regi av EU-kommisjonen når det gjelder arbeidet innen ICANN.

European Government CERT (EGC)

Dette er et uformelt nettverk av myndighets-CERT-er i Europa. Oppgaver det samarbeides om, er blant annet informasjonsutveksling knyttet til skadevare og sårbarheter og utvikling av tiltak for å håndtere hendelser. EGC er en operativ gruppe med teknisk fokus, og de fastsetter ikke policyer. NSM NorCERT representerer Norge.

Nordic CERT Consortium (NCC)

Dette er en samarbeidsarena for de nordiske nasjonale CERT-organisasjonene. Det blir jevnlig holdt møter, og det er etablert et gradert samband mellom landene. Landene samarbeider også om felles øvelser og kurs.

European Network of Forensic Science Institute (ENFSI)

ENFSI har etablert en gruppe, Forensic Information Technology, som arrangerer årlige møter. Deltagelsen gir Norge tilgang til ressurspersoner og et bredt kontaktnett innen det tekniske fagfeltet og til erfaringer og metoder fra Europa. Gruppen er også en inngangsport til tilsvarende tekniske grupper i Asia og USA.

FIRST (global Forum for Incident Response and Security Teams)

Dette er et forum med over 300 medlemmer globalt, og er et samarbeid mellom en rekke responsmiljøer fra myndigheter, private virksomheter og akademia. Formålet er samarbeid og koordinering for å forebygge hendelser, sikre hurtig respons på hendelser og promotere informasjonsdeling mellom medlemmene og samfunnet for øvrig.

ILETS

Detteer et internasjonalt samarbeid om kommunikasjonskontroll og utnyttelse av elektroniske spor over landegrenser hvor juridiske og teknologiske utfordringer blir diskutert. USA, Australia, Canada, Frankrike, Tyskland, Italia og England deltar aktivt med representanter fra departementer og politiorganisasjoner som har ansvar for politi- og sikkerhetstjenester.

Hardware Forensics

Dette er en liten, eksklusiv internasjonal ekspertgruppe som består av teknologer (ikke politi) med spisskompetanse som møtes for å diskutere metodeutvikling i faget Hardware Forensics, som metoder innen dypsikring av mobiltelefoner, GPS-er, knekking av passordbelagte harddisker/minnepinner, analyse av bilelektronikk, og lignende. Dette er det viktigste forumet Kripos benytter for kompetanseheving og tilgang på verdensledende teknikker innen fagfeltet.

International Watch and Warning Network (IWNN)

Dette er en internasjonal samarbeidsarena som diskuterer trusler, sårbarheter og angrep på Internett. Hensikten er å etablere en felles situasjonsforståelse og evne til å håndtere hendelser. NSM NorCERT representerer Norge.

Den internasjonale personvernkonferansen

Denne internasjonale arenaen samler verdens personvernmyndigheter med et mål om konsensus om overordnede prinsipper og retninger for personvernarbeidet. Det blir utført komité- og gruppearbeid mellom konferansene.

Det norske Datatilsynet, med støtte fra en rekke andre personvernmyndigheter, fremmet utkast til en resolusjon om hvordan personvernmyndighetene bør forholde seg til Big Data. Resolusjonen ble vedtatt. Også resolusjonen Privacy in the Digital Age er vedtatt. Dette er en støtteerklæring til FNs pågående arbeid med oppfølging av myndighetenes masseovervåking på tvers av landegrenser.

Global Privacy Enforcement Network, GPEN

GPEN er et samarbeidsforum for personvernmyndigheter. Datatilsynet deltok på et møte i forumet i sammenheng med den internasjonale personvernkonferansen, og deltar i telefonkonferanser gjennom året. GPEN legger til rette for informasjonsutveksling, og det planlegges koordinerte aktiviteter. Det pågår en oppgradering av samhandlingsløsningen for GPEN-medlemmene, og Datatilsynet har bidratt økonomisk ved etableringen av denne. «Internet Sweep Day» er en GPEN-koordinert aktivitet. Sist ble ivaretakelse av personvernet i mobilapper undersøkt.