NOU 2015: 13

Digital sårbarhet – sikkert samfunn — Beskytte enkeltmennesker og samfunn i en digitalisert verden

Til innholdsfortegnelse

Del 4
Tverrsektorielle forhold

19 Kompetanse

For å kunne delta i en stadig mer digital hverdag er det en forutsetning å ha grunnleggende kunnskap om bruk av IKT. Dette gjelder først og fremst kjennskap til funksjonalitet, men også hvordan man forholder seg i møte med digitale trusler og sårbarheter. Selv om dagens IKT-systemer har en økende grad av innebygde løsninger som skal ivareta brukerens integritet og sikkerhet, har dette liten verdi dersom brukeren enten ikke vet hvordan slike løsninger skal brukes, eller bevisst velger å omgå dem.

Dette kapittelet omhandler kunnskap og ferdigheter som må utvikles, videreformidles og fordeles i samfunnet for å sikre tryggest mulig bruk av IKT. Hva slik kunnskap skal inneholde, vil avhenge av hvem mottageren er. For eksempel må befolkningen i sin alminnelighet vite hvordan man bruker IKT på en sikker måte, både privat og i jobbsammenheng, mens fagarbeidere og spesialister innen IKT må ha spesifikk kunnskap om hvordan man forebygger og håndterer digitale trusler. Slik kunnskap inkluderer også spisskompetanse innenfor utvalgte og særlig kritiske områder. Samtidig må ledere og beslutningstagere i bedrifter og etater ha tilstrekkelig kompetanse til å kunne allokere nødvendige ressurser for å sikre at IKT-sikkerheten blir ivaretatt i egen organisasjon.

Kunnskap om IKT blir blir først og fremst formidlet gjennom opplæring og utdanning. Utvalget har primært fokusert på den offentlige utdanningsdelen som er ment å dekke disse behovene. Utdanningsløpet starter i barnehage og grunnskole og går gjennom videregående utdanning og opp til både generelle IKT-utdanninger og spesialistutdanninger innenfor IKT-sikkerhet. Den grunnleggende utdanningen er primært vurdert med tanke på innhold, mens det for de mer spesialiserte utdanningene også er vurdert om volumet er tilstrekkelig til å dekke nåværende og fremtidige behov. Siden opplæring av eksperter innen IKT-sikkerhet er nært knyttet til forskning og utvikling (FoU), behandler dette kapittelet også den nasjonale FoU-aktiviteten innenfor området. Utvalget avgrenser mot sektorspesifikke utdanningsbehov i dette kapittelet. Øvelse er et vesentlig element i kompetanseoppbygging i virksomheter, og er behandlet under samfunnsfunksjonene i del III «Sårbarheter i kritiske samfunnsfunksjoner».

IKT-sikkerhetskompetanse omtales i det følgende som et samlebegrep som dekker både kunnskap om hvordan man gjør IKT-system robuste mot utilsiktede hendelser, samt også hvordan man beskytter slike system mot tilsiktede angrep.

IKT-sikkerhetskompetanse bygger på flere fagdisipliner: Teknisk IKT-sikkerhet bygger på generell teknisk basisforståelse1 og kan for eksempel være en spesialisering i programvaresikkerhet, nettverkssikkerhet, kryptografi, kartlegging av sårbarheter over nettverk og skadevareanalyse. IKT-sikkerhet innenfor ledelse og administrasjon kan for eksempel være kompetanse innen hendelseshåndtering og digital risikostyring. Innen juss og kriminalitetsbekjempelse har vi datatekniske undersøkelser, forvaltningsinformatikk og medierett, og innen samfunnsfagene står digital rettsstatsutvikling, overvåking og personvern sentralt.

19.1 Sentrale dokumenter

Sårbarhetsutvalget2 fra 2000 omhandlet det norske samfunnets sårbarheter med utgangspunkt i et ønske om å styrke samfunnets sikkerhet og beredskap. Utvalget hevdet at Forskningsrådet, som er ansvarlig for strategisk rådgivning overfor departementene, ikke hadde tatt ansvaret for å kanalisere offentlige midler til sikkerhetsforskning. Konsekvensen av dette var at sikkerhetsforskningen rundt årtusenskiftet var kortsiktig og fragmentert, og at fornyelse og nytenkning ut fra blant annet IKT-revolusjonen ble forhindret.

Sårbarhetsutvalget mente videre at både næringsliv, forvaltning og utdanningsinstitusjoner raskt ville kunne havne i en kompetanse- og rekrutteringskrise på sikkerhetsområdet dersom det ikke kom en ny satsing på sikkerhetsforskning. Utvalget anbefalte blant annet at ett departement måtte ta ansvaret for sikkerhetsforskning i stort og for prioritering av privat–offentlige sektorovergripende forskningsprogrammer.

Infrastrukturutvalget3 leverte i 2006 en utredning som kartla virksomheter med betydning for rikets sikkerhet og vitale nasjonale interesser (kritisk infrastruktur), og fulgte opp Sårbarhetsutvalget med å si: «Kanskje er det i særdeleshet små og mellomstore bedrifter (i tillegg til privatpersoner) som er mest utsatt ved at de ikke har tilstrekkelig kompetanse og økonomiske midler til å skaffe seg tilfredsstillende beskyttelse.»

Nasjonal strategi for informasjonssikkerhet, med tilhørende handlingsplan, fra 2012angir retninger og prioriteringer som skal ligge til grunn for myndighetenes informasjonssikkerhetsarbeid. «Høy kompetanse og fokus på forskning om informasjonssikkerhet» er angitt som ett av de fire overordnede målene. To av de sju strategiske prioriteringene er særlig relevante: «kontinuerlig innsats for bevisstgjøring og kompetanseheving» og «høy kvalitet på nasjonal forskning og utvikling innenfor informasjons- og kommunikasjonssikkerhet». I den tilhørende handlingsplanen er Samferdselsdepartementet bedt om å videreføre nettvett.no, Justis- og beredskapsdepartementet er bedt om å videreføre tilskuddet til Norsk senter for informasjonssikring (NorSIS), Kunnskapsdepartementet skal følge opp at det gis støtte til personvern og informasjonssikkerhet i grunnopplæringen, og Kommunal- og moderniseringsdepartementet fikk i oppgave å etablere et kompetansemiljø for informasjonssikkerhet i statsforvaltningen. Det var også tiltak knyttet til Forskningsrådets nye IKT-satsing IKTPLUSS, som er en videreføring av VERDIKT-programmet.

Nasjonal strategi for IKT-forskning og -utvikling4er utarbeidet av det tidligere Forbruker- og administrasjonsdepartementet, nå Kommunal- og moderniseringsdepartementet, på vegne av regjeringen. Strategien gjelder forperioden 2013–2022. Informasjonssikkerhet er nevnt som én av tre store samfunnsutfordringer innen IKT-forskning og -utvikling: «Regjeringa meiner det er av særskilt nasjonal interesse at vi har innanlands kompetanse og eigne forskingsmiljø innanfor informasjonstryggleik». Strategien viser til små og fragmenterte forskningsgrupper innen offentlig IKT-forskning i Norge og manglende langsiktig forskningsstøtte. Regjeringen ønsket at Forskningsrådet skulle fortsette med en sterk satsing innen IKT, og at Norge skulle delta i EUs rammeprogram Horisont 2020 som fullverdig medlem.

Digitutvalget5 mente i 2013 at digitale ferdigheter i grunnskole og videregående skole i liten grad har blitt et mål i seg selv, men fremstår som et virkemiddel for å oppnå de andre læringsmålene. Med det menes at vekten nesten ensidig er på kommunikasjon og presentasjon, fremfor utvikling, programmering, beregning og teknisk forståelse.6 For å sikre verdiskaping mente Digitutvalget at nye generasjoner må settes i stand til å skape, ikke bare forbruke, teknologi. Digitutvalget foreslo derfor å utvide definisjonen av digitale ferdigheter til også å innebære beregning, analyse og generell teknologiforståelse. I tillegg ønsket de å innføre programmering som valgfag i grunnskolen. Det var etter Digitutvalgets mening for lenge å vente til videregående utdanning tilbyr formell undervisning i programmering. Tiltak for å bygge kompetanse blant lærerne ble foreslått, blant annet basert på «skolens digitale tilstand».7

For høyere utdanning pekte Digitutvalget på manglende formelle krav til digital kompetanse eller ferdigheter, og at slike krav må klarere inn i læringsmål i alle studieprogram. De mente at forståelse for teknologi er viktig også for generalister, som jurister, økonomer, leger og sykepleiere. Helsepersonell må for eksempel kunne ivareta sikkerhet, personvern og menneskeverd. Økonomer må forstå nettbaserte forretningsmodeller. Journalister må kunne bearbeide store mengder rådata og krysskoblinger i databaser for å drive oppsøkende journalistikk. Lærere må kunne knytte IKT til sine fagfelt.

For IKT-spesialistene mente Digitutvalget at det var viktig å få frem studietilbud rettet mot entreprenørskap der den digitale skaperkompetansen rendyrkes. Dette begrunnet i manglende fokus på kommersialisering av produkter og tjenester.

I 2015 ble det levert en utredning kalt Fremtidens skole – Fornyelse av fag og kompetanser8, som vurderte grunnopplæringens fag opp mot krav til kompetanse i et fremtidig samfunns- og arbeidsliv. Utvalget skrev:

«Verktøykompetanse og kompetanse knyttet til sikkerhet er eksempler på digital kompetanse9 som ikke har en umiddelbar tilknytning til noen av dagens skolefag».

Videre står det:

«Teknologiutviklingen fører til endringer i alle fag. Samtidig er det deler av digital kompetanse som ikke er knyttet til et bestemt fag, for eksempel det å lære generelle sider ved bruk av datamaskiner som verktøy. En konsekvens av dette kan være uklarheter i skolehverdagen om hvilke fag som skal ta ansvar for elevenes læring og utvikling av grunnleggende ‘operasjonelle’ digitale ferdigheter.»

Utvalget anbefalte at «de ulike sidene ved digital kompetanse uttrykkes som del av kompetansen i alle fag, men uten at dagens ordning med grunnleggende digitale ferdigheter videreføres».

Digidel 2017 er Kommunal- og moderniseringsdepartementets program for økt digital deltakelse, i samarbeid med private aktører. Hensikten er å styrke samarbeidet og øke innsatsen som i dag gjøres av ulike offentlige virksomheter, IKT-næringen og frivillige organisasjoner på området digital kompetanse og deltakelse. Digidel 2017 vil tilby opplæringsmateriell og arenaer for erfaringsutveksling og kunnskapsheving for instruktører og kursledere som driver med undervisning innen digital kompetanse. EU har en tilsvarende satsning på digital inkludering i sin digitale agenda.

Justis- og beredskapsdepartementet har utgitt FoU-strategi for samfunnssikkerhet 2015–2019.10Trygg digitalisering av samfunnet er ett av flere prioriterte temaer i strategien. Justis- og beredskapsdepartementet vil bidra til forskning innen informasjonssikkerhet og personvern gjennom Forskningsrådets IKTPLUSS og delta aktivt for å koordinere EU-forskningen i Horisont 2020.

19.2 Roller og ansvar

Kunnskapsdepartementet har ansvaret for barnehager, grunnskole, kulturskole, videregående opplæring, fagskoleutdanning og høyere utdanning. Kunnskapsdepartementet utformer den nasjonale utdanningspolitikken som er vedtatt av Stortinget. Departementet har også ansvar for voksnes læring og forskning.

Justis- og beredskapsdepartementet har samordningsansvaret for forebyggende IKT-sikkerhet i sivil sektor. Nasjonal sikkerhetsmyndighet (NSM) er det nasjonale fagmiljøet for IKT-sikkerhet.

Utdanningsdirektoratet følger opp og iverksetter den nasjonale utdanningspolitikken, blant annet gjennom veiledning, tilsyn og undersøkelser.

Senter for IKT i utdanningen skal bidra til økt kvalitet på opplæringen innen bruk av IKT for barn i barnehager, elever i grunnskole og videregående opplæring og studenter i barnehage- og lærerutdanningene. Senteret har blant annet ansvar for personvernskolen.no, undervisningsopplegget «Du bestemmer», og FEIDE i grunnopplæringen.

Nasjonalt organ for kvalitet i utdanningen (NOKUT) har ansvaret for kvalitetssikringen av høyere utdanning og fagskoleutdanning i Norge. Høyere utdanninger tilbys på bachelor-, master- og doktorgradsnivå, og skal være forskningsbaserte. Fagskole er et kortvarig, yrkesrettet alternativ til høyere utdanning. NOKUT fører tilsyn for å utvikle kvaliteten ved utdanningsinstitusjonene. NOKUT har også ansvaret for å godkjenne utenlandsk høyere utdanning og skal bidra til god informasjon når det gjelder sammenligning av norsk og utenlandsk kompetanse.

Norges Forskningsråd (Forskningsrådet) er et nasjonalt forskningsstrategisk og forskningsfinansierende organ som skal møte samfunnsutfordringer og forskningspolitiske målsettinger. Forskningsrådet finansierer forskningsprosjekter, gir basisfinansiering til institutter og sentre, i tillegg til investeringer i nasjonal forskningsinfrastruktur, kurs og konferanser. Budsjettet for 2014 var på 8 046 millioner kroner.11 Rådet skal medvirke til samspill mellom forskning og næringsliv.

19.3 Kompetansesituasjonen i samfunnet

DAMVAD og Samfunnsøkonomisk analyse har tidligere fått i oppdrag av Kommunal- og moderniseringsdepartementet å undersøke behovet for avansert IKT-kompetanse frem mot 2030.12 Analysen viser at etterspørselen etter personer med avansert IKT-kompetanse overgår dagens tilbud av personer med denne kompetansen.

Kommunene har i dag bare unntaksvis en tydelig sikkerhetsorganisasjon, og etterspør derfor i liten grad relevant kompetanse innen IKT-sikkerhet. Kommunene har stort sett små IKT-miljøer, der IKT-sikkerhetsarbeidet bare er én av mange oppgaver for IKT-personalet. Også fylkesmennene har små organisasjoner uten dedikert personell med kompetanse innen IKT-sikkerhet. Ansvaret for IKT-sikkerhet er ofte tillagt personale med andre hovedoppgaver, og som mangler nødvendig spisskompetanse på sikkerhet. Mange ledere har også for lav bevissthet om at de er ansvarlige for IKT-sikkerheten, og har verken vilje eller evne til å ivareta denne rollen.

Det er bred enighet blant infrastruktureiere og bransjeorganisasjoner om at det er en generell mangel på personer med IKT-sikkerhetskompetanse i samfunnet, og at det er utfordrende å rekruttere til denne typen stillinger. Det er likevel få virksomheter som rapporterer om negative konsekvenser som direkte følge av mangel på kompetanse. Også konsulentbransjen oppgir underskudd på personell. De peker spesielt på et stort underskudd på folk med to–fem års erfaring innen sikkerhetsarbeid. Nyutdannede er det noe bedre tilgang på. Etterspørselen etter IKT-sikkerhetskompetanse i markedet er økende, også fra selskaper. Det synes å være enighet om at det er et gap mellom kompetansetilbudet og etterspørselen i markedet.

Utenom de nasjonale kontaktpunktene for informasjonssikkerhet og Difi ser det ikke ut som om direktorater og tilsyn ser det som sin rolle å ha tung og bred spisskompetanse på IKT-sikkerhetsområdet. Vi viser her til omtale av kompetanse under samfunnsfunksjonene i del III «Sårbarheter i kritiske samfunnsfunksjoner».

19.4 Utdanning

I det følgende omtales IKT-utdanning på ulike nivåer, med særlig vekt på ferdigheter som omhandler IKT-sikkerhet og personvern.

19.4.1 Offentlig grunnskole

I offentlig grunnskole undervises det etter læreplanverket Kunnskapsløftet (LK-06), som ble innført høsten 2006, og som også dekker utdanning i videregående skole. LK-06 setter opp fem grunnleggende ferdigheter alle elever skal tilegne seg: å kunne skrive, å kunne regne, å kunne lese, muntlige ferdigheter og digitale ferdigheter. I Utdanningsdirektoratets Rammeverk for grunnleggende ferdigheter13 er digitale ferdigheter definert slik:

«Digitale ferdigheter vil si å kunne bruke digitale verktøy, medier og ressurser hensiktsmessig og forsvarlig for å løse praktiske oppgaver, innhente og behandle informasjon, skape digitale produkter og kommunisere. Digitale ferdigheter innebærer også å utvikle digital dømmekraft gjennom å tilegne seg kunnskap og gode strategier for nettbruk.»

Digitale ferdigheter er ikke definert som et fag i seg selv, men inngår i læreplaner for andre emner og er primært et virkemiddel for å oppnå målene for disse. Det tilbys en frivillig nasjonal prøve på 4. årstrinn for å måle læringsutbyttet.

Digital dømmekraft innebærer å kunne bruke digitale verktøy, medier og ressurser på en forsvarlig måte og å ha et bevisst forhold til personvern og etisk bruk av Internett. Kildekritikk og informasjonssikkerhet er også en viktig del av den digitale dømmekraften. Senter for IKT i utdanningen har på nettstedet dubestemmer.no utarbeidet et undervisningsopplegg om personvern og digital dømmekraft for barn og unge i alderen 9–18 år.

Mens digitale ferdigheter retter seg mot bruk av digitale verktøy, er valgfaget Teknologi i praksis et mer teknisk kurs der eleven får mulighet til å utvikle og eksperimentere med teknologi. I dette inngår også muligheter til å arbeide med IKT med for eksempel Lego-roboter. Det har frem til nå ikke vært noe tilbud om opplæring i programmering i barne- eller ungdomskolen. Denne typen opplæring har i all hovedsak blitt gitt gjennom frivillige organisasjoner som Lær Kidsa Koding og First Lego League. Disse har hatt økende pågang de siste årene.

I sammenheng med den nye realfagstrategien «Tett på realfag» kunngjorde regjeringen i august 2015 at man fra skoleåret 2016/2017 vil starte et prøveprosjekt med tilbud om programmering som valgfag i ungdomskolen. Dette prosjektet vil omfatte inntil 20 klasser det første året. Utdanningsdirektoratet har fått i oppdrag å utarbeide en midlertidig læreplan for det nye valgfaget.

Diskusjoner

Opplæring i digital kompetanse har som mål å sikre at hele befolkningen er i stand til å bruke digitale verktøy i sitt daglige virke. Men som Digitutvalget uttalte, må nye generasjoner også settes i stand til å skape, ikke bare forbruke, teknologi. Som et av tiltakene for å bøte på dette foreslo Digitutvalget å innføre programmering som valgfag i grunnskolen.

Dette er også viktig ut fra et sikkerhetsmessig standpunkt. Det krever dypere teknisk innsikt å forstå hvilke muligheter, men også farer og begrensninger, som ligger i digitale verktøy. Det er dessuten en forutsetning med teknisk innsikt dersom man vil være med og videreutvikle og forbedre teknologien.

Dette følger en trend som har gjort seg gjeldende i stort sett hele EU om å la barn og ungdom få opplæring i grunnleggende dataprogrammering. De IKT-faglige interesseorganisasjonene Informatics Europe og ACM Europe ga i 2013 ut en rapport der hovedkonklusjonen er at hele befolkningen trenger opplæring både i bruk av digitale verktøy og i informatikk.14 Begrepet informatikk dekker her først og fremst kunnskap om programmering, men også en dypere forståelse av hvordan digitale verktøy er bygd opp, og hvordan de fungerer. Motivasjonen for forslaget er betydningen informatikk har for teknologisk innovasjon og dermed også økonomisk utvikling i samfunnet. Andre grunner for å lære programmering i skolen er at det fungerer som et støtteverktøy for andre fag, samtidig som det utvikler analytisk tenking og evne til problemløsing og stimulerer til kreativitet og gruppearbeid.

En rekke land i EU har allerede innført eller planlegger å innføre tilbud om opplæring i programmering i skolen. I England har programmering vært et obligatorisk fag i grunnskolen siden 2012. Tilsvarende krav vil også bli innført i Finland fra høsten 2016. Etablering av et opplæringstilbud i programmering krever imidlertid kunnskap man ikke kan forvente at dagens lærere besitter. I Finland er dette løst gjennom et samarbeid mellom privat sektor og utdanningsdepartementet for å sikre tilgang på tilstrekkelig kompetanse.

Andre land har også egne spesifikke initiativ for å ivareta utdanning innen IKT-sikkerhet. For eksempel har USA gjennom et offentlig-sivilt samarbeid opprettet The National Initiative for Cybersecurity Education (NICE) for å utvikle og vedlikeholde et utdanningsprogram som omfatter opplæring i IKT-sikkerhet, både for allmenheten og for alle utdanningsnivå.

19.4.2 Videregående opplæring

Videregående opplæring omfatter all kompetansegivende opplæring mellom grunnskolen og høyere utdanning og kvalifiserer til arbeidsliv eller videre studier. Offentlig videregående opplæring drives av fylkeskommunene, og det undervises også her etter LK-06. Det skilles mellom studieforberedende og yrkesforberedende utdanning.

Videregående opplæring bruker i stor utstrekning PC-er i skolearbeid, og fylkeskommunen kan kreve at elevene deltar i skolenes utleieordning for bærbare PC-er. Akkurat som for grunnskolen inngår bruk av digitale verktøy som grunnleggende ferdigheter i alle læreplaner.

Blant de videregående opplæringene er det IKT-servicefag som gir den grundigste opplæringen i informasjonssikkerhet. Dette er en yrkesfaglig utdanning som består av ett år med felles programfag etterfulgt av to år med læretid i bedrift. En yrkeskarriere vil typisk føre frem mot arbeid innenfor drift, støtte og vedlikehold av IKT-systemer. I studiet legges det blant annet vekt på ulike aspekter ved IKT-sikkerhet og korrekt behandling av data. I læremålene inngår blant annet

  • å behandle fortrolige opplysninger på en etisk forsvarlig måte innenfor rammene av gjeldende regelverk

  • å vurdere systeminstallasjoner mot krav til tilgjengelighet, informasjonssikkerhet og helse, miljø og sikkerhet

  • å aktivisere, vurdere og dokumentere sikkerhetsmekanismer for å forebygge og varsle forsøk på sikkerhetsbrudd

Av andre yrkesfag har både data og elektronikk og el-energi fellesfag der informasjonssikkerhet inngår i læreplanen. Tilsvarende inngår sikkerhetsrutiner for virksomhetens kunnskapsorganisering og informasjonsflyt i læreplanen for kontor- og administrasjonsfaget.

I det studiespesialiserende utdanningsprogrammet er det to programfag som omhandler IKT – Informasjonsteknologi 1 og Informasjonsteknologi 2. Disse kan velges uavhengig av hverandre. Informasjonsteknologi 1 er et basiskurs i informasjonsteknologi og dekker blant annet Digital samtid, samt utvikling av nettsteder og bruk av databaser. Informasjonsteknologi 2 er mer teknisk rettet og med et større tilsnitt av programmering og multimedieutvikling. I læreplanen for Informasjonsteknologi 1 inngår IKT-sikkerhet og kjennskap til gjeldende regelverk og etiske normer for bruk av informasjonsteknologi. IKT-sikkerhet inngår ikke i læreplanen for Informasjonsteknologi 2.

Diskusjoner

Alle yrker der man kan trenge å bruke datamaskiner, krever digitale basiskunnskaper. Mye av dette oppnås gjennom opplæring i skolen og gjennom daglig bruk, men etter som samfunnet blir stadig mer digitalisert, kreves det ofte også yrkesspesifikk IKT-kunnskap. Det er derfor vesentlig at hver utdanning gir relevant opplæring i aktuelle datasystemer, samtidig som det blir lagt vekt på hvordan disse brukes på en forsvarlig måte. For eksempel vil mindre foretak ofte ikke ha egne IKT-spesialister til å drifte datamaskiner, og de ansatte må selv holde programvaren oppdatert og vite hvordan man håndterer grunnleggende IKT-sikkerhet. Det er derfor vesentlig at særlig avsluttende yrkesutdanninger har en tilstrekkelig IKT-komponent som også inneholder opplæring i IKT-sikkerhet.

Utvalget registrerer at flere yrkesutdanninger innen IKT og elektrofag allerede har en komponent av opplæring i IKT-sikkerhet og personvern. Det er spesielt positivt at IKT-sikkerhet vektlegges såpass grundig i IKT-servicefaget. Dette er i den yrkesutdanningen det er størst sannsynlighet for at man blir eksponert for denne typen problemstillinger, det er derfor vesentlig at uteksaminerte kandidater har relevant kunnskap.

19.4.3 Høyere utdanning

Det tilbys høyere utdanning i IKT ved en rekke høyskoler og universiteter i Norge. Det er særlig to områder som er sterkt representert: informasjonsteknologi og IKT innenfor ingeniørutdanning. Ved universitetene gis det både bachelor- og masterutdanninger innen IKT.

Av ulike årsaker er det vanskelig å få frem sikker statistikk over hvor mange som har fullført en bachelorgrad innenfor IKT-studier ved enkelte universiteter. Ved høgskolene har det i snitt blitt uteksaminert cirka 410 kandidater hvert år de siste tre årene. Av disse kommer cirka 28 prosent fra Høgskolen i Oslo og Akershus og 21 prosent fra Høgskolen i Sør-Trøndelag. Samlet er det cirka 400 mastergradskandidater per år. Av disse kommer over 90 prosent fra universitetene, flest fra NTNU (42 prosent) og Universitetet i Oslo (27 prosent).

Innenfor IKT-sikkerhet tilbys det utdanning på bachelor-, master- og PhD-nivå ved norske høgskoler og universitet. Høgskolen i Gjøvik og Universitetet i Bergen er de eneste institusjonene som tilbyr en bachelorgrad spesifikt rettet mot informasjons- og IKT-sikkerhet. Noroff høyskole har dessuten et bachelorprogram i digital etterforskning. Universitetet i Bergen, NTNU og Høgskolen i Gjøvik har egne masterprogrammer for IKT-sikkerhet. Fra 2017 vil spesialisering innen IKT-sikkerhet på masternivå bli tilbudt også ved Universitetet i Oslo. Det er dessuten flere universiteter som tilbyr masteroppgaver innen IKT-sikkerhet uten å ha et eget program for dette.

De fleste høgskoler og universiteter tilbyr enkeltkurs i IKT-sikkerhet som del av sin undervisningsportefølje. Dette er for eksempel kurs i sikker programvareutvikling, nettverkssikkerhet og informasjonssikkerhet. Det varierer mellom studieprogrammene om slike kurs er obligatoriske eller ikke, men hovedtendensen er at de ikke er det.

Høgskolen i Gjøvik har de siste fem årene uteksaminert i overkant av 10 kandidater per år fra sine sikkerhetsrelaterte bachelorstudier. Bachelorprogrammet ved Universitetet i Bergen ble startet i 2015 og har ennå ikke uteksaminert noen kandidater. Det uteksamineres i overkant av 70 masterkandidater per år innenfor temaer relatert til IKT-sikkerhet. De fleste av dem kommer fra NTNU (cirka 46 prosent) og fra Høgskolen i Gjøvik (cirka 26 prosent). Kandidatene fra NTNU kommer i all hovedsak fra telematikk, men også fra matematikk (kryptografi).

Fra 1. januar 2016 vil NTNU, Høgskolen i Gjøvik, Høgskolen i Sør-Trøndelag og Høgskolen i Ålesund bli slått sammen under NTNU-paraplyen. Gitt dagens kandidatproduksjon vil det nye universitetet stå for nesten 50 prosent av masterproduksjonen innenfor IKT og cirka 70 prosent av masterproduksjonen innenfor IKT-sikkerhet.

PhD-utdanning innenfor IKT-sikkerhet foregår ved de fleste universitetene og ved Høgskolen i Gjøvik. PhD-utdanningen er organisert gjennom Norges nasjonale forskerskole i informasjonssikkerhet, COINS (Research School of Computer and Information Security). COINS er ledet av Høgskolen i Gjøvik, og trekker sammen norske forskningsmiljøer i informasjonssikkerhet til en større enhet ved å integrere den relevante kursportfolioen til de deltagende institusjonene, bygge sterkere relasjoner imellom PhD-studentene og tilby dem et større nettverk. Partnere i forskerskolen inkluderer Høgskolen i Gjøvik, NTNU, Universitetet i Oslo, Universitetet i Bergen, Universitetet i Agder, Universitetet i Stavanger og Universitetet i Tromsø. I overkant av ti doktorgradskandidater disputerer hvert år innen IKT-sikkerhet. Disse kommer i all hovedsak fra de store universitetene og fra Høgskolen i Gjøvik.

Diskusjoner

I følge EU-kommisjonens estimater vil så mange som 90 prosent av alle fremtidige jobber i EU kreve digital kompetanse. EU-kommisjonen har også advart at det ved utløpet av inneværende år vil mangle inntil en halv million arbeidere med spesialkompetanse innen IKT.

Etterspørselen etter ferdige kandidater med IKT-kompetanse vil variere med de økonomiske konjunkturene i samfunnet. De siste årene har imidlertid etterspørselen vært langt større enn tilgangen på kandidater. KMD estimerer at det i det offentlige og i næringslivet med dagens utdanningstakt vil mangle mer enn 10 000 personer med avansert IKT-kompetanse i 2030.15 IKT-sikkerhet er et av områdene der det forventes et særlig behov for kompetanse. Utvalget har sett den samme tendensen i sin kontakt med ulike samfunnsaktører.

Både universiteter og forskningsinstitusjoner oppgir at det er generelt vanskelig å rekruttere tilstrekkelig personell nasjonalt, og at flere er avhengige av internasjonal rekruttering. Enkelte oppgir i den sammenheng at det kan være utfordrende å bruke utenlandsk personell, enten fordi det er vanskelig å få dem sikkerhetsklarert, eller fordi de ikke kjenner norske forhold. Det synes å være spesielt vanskelig å rekruttere til doktorgradsstillinger, der det er gjennomgående få norske søkere.

Utvalget registrerer at det er en underdekning både av kandidater med generell IKT-kompetanse og av kandidater med mer spesifikk IKT-sikkerhetskompetanse. Det er like fullt ønskelig at de som faktisk gjennomfører en generell IKT-utdanning, har grunnleggende kunnskaper om IKT-sikkerhet. Utvalget har sett at det er flere utdanningsløp der dette ikke er tilfellet. Det er imidlertid nå en internasjonal trend å inkludere IKT-sikkerhet i samtlige bachelorprogrammer innenfor IKT. De internasjonale IKT-interesseorganisasjonene ACM og IEEE ga i 2013 ut sin siste rapport med retningslinjer for hvilke temaer som bør dekkes av en bachelorutdanning innenfor Computer Science.1617 Selv om rapporten først og fremst retter seg mot amerikanske forhold, er det ingen grunn til å tro at den ikke også er dekkende for hva som bør inngå i en norsk IKT-bachelor.

Sammenlignet med foregående rapport fra 2008 anbefaler den nye rapporten to nye områder som enhver bachelorutdanning i Computer Science bør dekke. Ett av disse er Information Assurance and Security (IAS). Dette området dekker både tekniske løsninger og policy-beslutninger som har til hensikt å beskytte og forsvare informasjon og informasjonssystemer blant annet gjennom å sikre konfidensialitet, integritet og tilgjengelighet.18 Rapporten anbefaler at av den totale undervisningstiden bør cirka 3 prosent brukes på dedikert IAS-stoff og cirka 20 prosent på IAS-stoff som kan dekkes gjennom andre kurs.

Som en oppfølging ble det også gitt ut en egen rapport19 i Storbritannia i 2015 med retningslinjer for hvordan dette materialet skal dekkes av alle bachelorprogrammer innenfor IKT. Overført til norske forhold vil en norsk bachelorgrad bestå av 180 studiepoeng, hvorav et IKT-studie inneholder cirka 100 studiepoeng IKT-relatert materiale. Det eksakte tallet varierer mellom institusjonene og også mellom ulike studier. Det skulle tilsi at dersom man følger rapportens anbefalinger, vil IAS-relatert materiale utgjøre cirka 23 studiepoeng, fordelt på 3 dedikerte studiepoeng, og 20 studiepoeng som kan dekkes av andre kurs.

19.4.4 Etterutdanning

NSM er en sentral aktør innen etterutdanning innen forebyggende sikkerhet. NSMs kurssenter gjennomfører en rekke kurs av kortere og lengre varighet over hele landet. Grunnkurs i forebyggende sikkerhet og sikkerhetsledelse har som mål å gjøre deltakerne i stand til å redusere sårbarheter knyttet til spionasje, sabotasje eller terrorhandlinger. Tempest-kurset gir opplæring i å håndtere informasjonslekkasje via utilsiktet elektromagnetisk utstråling fra elektronikk. Kurs i fysisk sikring er rettet mot eiere eller leverandører av skjermingsverdige objekter og annen kritisk nasjonal infrastruktur. NSM har et lederrettet kurs om sikkerhetskultur og kurs om sårbarheter ved bruk av sosiale medier, i tillegg til en rekke kurs innen personellsikkerhet. NSM tilbyr også kurs i verdivurdering og informasjonssystemsikkerhet. NSM er vert for den årlige sikkerhetskonferansen.

Det finnes ulike tilbud om erfaringsbaserte utdanninger i universitets- og høyskolesektoren. Høyskolen i Gjøvik har etablert en erfaringsbasert mastergrad innen informasjonssikkerhet og dataetterforskning. Universitetet i Oslo har etablert en erfaringsbasert mastergrad i IT og ledelse som blant annet inneholder kurs i ledelse av informasjonssikkerhet. Dette emnet kan brukes til ulike sikkerhetssertifiseringer som CISM og CISSP. Sammen med CISA utgjør disse de mest kjente sertifiseringene innen IKT-sikkerhet og -revisjon. Forberedende kurs for disse sertifiseringene tilbys av en rekke private norske og internasjonale aktører.

19.5 Forskning og utvikling (FoU)

19.5.1 Norsk FoU-aktivitet innen IKT-sikkerhet

Det foregår forskning innenfor emner relatert til IKT-sikkerhet ved flere universiteter og høyskoler. De største miljøene finnes ved Universitetet i Oslo, Universitetet i Bergen, NTNU og Høgskolen i Gjøvik. Utenom disse foregår det forskning ved Universitetet i Agder, ved Universitetet i Stavanger og ved Universitetet i Tromsø. I instituttsektoren foregår det relevant forskning ved Simula Research Laboratory, SINTEF og Forsvarets forskningsinstitutt (FFI). I det følgende beskrives de største gruppene kort.

Ved Universitetet i Oslo har det meste av undervisningen i og forskningen på informasjonssikkerhet vært knyttet til UNIK. Det matematisk-naturvitenskapelige fakultet opprettet i 2014 «Endringsmiljø» (strategisk forskningsinitiativ) ved Institutt for informatikk for å bygge en kraftfull satsing på IKT-sikkerhet. Dette endringsmiljøet – ConSeRNS – består av 11 vitenskapelig ansatte og 6 PhD-stillinger, med IKT- sikkerhet eller tilstøtende temaer som hovedfelt.

Ved Universitetet i Bergen er forskning relatert til IKT-sikkerhet organisert i Selmersenteret og gjennom Simula@UiB ved Institutt for informatikk. Forskningen dekker et bredt spekter av fundamentale forskningsfelt som informasjonsteori, kodeteori, kryptografi og datasikkerhet. Totalt består gruppen av fem professorer og fire forskere samt flere PhD-studenter. Simula@UiB er et samarbeidsprosjekt med Simula Research Laboratory om forskning på kryptografi, IKT-sikkerhet og informasjonsteori. Senteret består av to professorer fra Selmersenteret og to forskere finansiert av Simula. Forskerne er i første omgang ansatt for en periode på fire år. For å styrke dette arbeidet vil Samferdselsdepartementet fra og med 2016 bidra til finansieringen av Simula@UiB med 5 millioner kroner årlig.

Simula Research Laboratory har siden 2006 utført all forskningsaktivitet innenfor IKT-sikkerhet i Robuste nett-senteret (Center for resilient Networks and Applications – CRNA). Senteret får sin grunnbevilgning fra Samferdselsdepartementet og har et teknologisk fokus. Blant annet foretas det langsiktige målinger av mobile bredbåndsnett i Norge. Dette danner grunnlag for en årlig rapport om stabiliteten og ytelsen til disse nettene. Hovedtyngden av forskningen omhandler effekten av utilsiktede hendelser, men CRNA har også et pågående samarbeid med UiB (Simula@UiB) om forskning for å håndtere tilsiktede hendelser som dataangrep. Forskerkapasiteten ved Simula har cirka 20 årsverk knyttet til Robuste nett og ytterligere 7 årsverk delt med Universitetet i Bergen. Av disse 27 er omtrent halvparten midlertidige PhD- og postdoktorstillinger. Simula samarbeider med UiO gjennom ConSeRNS.

Ved NTNU foregår i all hovedsak forskning relatert til IKT-sikkerhet ved Institutt for telematikk, og er fokusert på kryptologi, kommunikasjonssikkerhet, tilgangskontroll og digital etterforskning. Totalt er det åtte fast ansatte som arbeider med IKT-sikkerhet ved instituttet. Det foregår også sikkerhetsrelatert forskning ved andre institutter, om enn i mindre omfang.

Ved Høgskolen i Gjøvik ble forskning relatert til IKT-sikkerhet etablert i 2002 gjennom Norwegian Information Security Laboratory (NISlab), og har siden 2014 blitt videreutviklet gjennom Center for Cyber and Information Security (CCIS). CCIS er et forsknings- og utdanningssenter innen sikkerhet basert på et partnerskap mellom 25 offentlige, private og akademiske virksomheter. Det overordnede målet for CCIS er å styrke samfunnets kompetanse og ferdigheter i å beskytte mot, oppdage, respondere på og etterforske uønskede og kriminelle handlinger som benytter datamaskiner. Ved senteret er det forskningsgrupper innen informasjonssikkerhet, beskyttelse av kritisk infrastruktur, cyberforsvar, biometri, personvern og digital etterforskning og bevissikring. Forskerkapasiteten ved CCIS utgjør til sammen 32 årsverk hvorav 16 i fast stilling. Miljøet er det største innenfor fagfeltet i Skandinavia. Fra 2016 vil Høgskolen i Gjøvik være en del av NTNU. Sammen med Cyberforsvaret etablerer CCIS Cyber Range som et nasjonalt virtuelt øvingsfelt for forsking og utdanning på både beskyttelse og angrep på systemer og nettverk.

FFI utfører forskning på IKT-sikkerhet i militære informasjons- og kommunikasjonsinfrastrukturer og systemer. Forskergruppen som har IKT-sikkerhet som sitt hovedarbeidsområde, består av cirka 15 fast ansatte og er i hovedsak finansiert gjennom prosjekter for Forsvaret eller basisbevilgninger til FFI. Flere av forskerne har en bistilling ved universiteter og høyskoler. IKT-sikkerhet dekkes også av forskere som understøtter Forsvarets anskaffelser eller modernisering, og kompetansegruppen for IKT-sikkerhet teller totalt 45 personer. Utenom oppdrag for Forsvaret har FFI sporadiske oppdrag for sivile myndigheter og et nært samarbeid med andre forskningsmiljøer – primært gjennom NATOs forskningsaktiviteter og -grupper og samarbeid med sivile forskningsinstitusjoner. FFI støtter økonomisk et halvt professorat ved CCIS.

SINTEF er Skandinavias største uavhengige forskningsorganisasjon. De forsker blant annet på programvaresikkerhet, nettverkssikkerhet, cybersikkerhet, informasjonskontroll, risikoanalyse (også kombinert med testing) og innebygd personvern. SINTEF arbeider også med ikke-tekniske problemstillinger relatert til sårbarhet, nettmobbing og personvern. Totalt har SINTEF cirka 22 fast ansatte som arbeider med ulike sikkerhetsrelaterte problemstillinger.

19.5.2 Kvaliteten på norsk IKT-sikkerhetsforskning

I 2012 gjennomførte Forskningsrådet en evaluering av forskning og utvikling innen IKT ved et utvalg norske universiteter og høyskoler. Rapporten konkluderte med at Norge mangler en nasjonal strategi for IKT og underinvesterer i IKT-forskning relativt til feltets viktighet og potensial sammenlignet med andre vesteuropeiske og nordamerikanske land. Samtidig som rapporten påpeker at Norge ligger langt fremme på en rekke enkeltområder, konkluderer den med at utilstrekkelig vektlegging på forskning innenfor cybersikkerhet kan utgjøre en potensiell sikkerhetsrisiko for Norge. Rapporten anbefaler at Norge utvikler en nasjonal IKT-forskningsstrategi som tar hensyn til de særegne behovene til norsk industri og samfunn, og konstaterer at det er av nasjonal betydning med en strategisk innsats for å øke nasjonal kompetanse på cybersikkerhet.20

I Forskningsrådets evaluering av IKT-forskning i 2012 fikk hver forskningsgruppe en karakter på en skala fra 1 til 5, der 1 er lavest og tilkjennegir at gruppen har substansielle strukturelle problemer og begrenset påvirkningskraft og produktivitet. Karakteren 5 er høyest og gis til grupper med internasjonalt lederskap, synlighet og visjon. Av gruppene som driver forskning innenfor IKT-sikkerhet, var det bare gruppen i Bergen som fikk karakteren 5, mens Simula fikk 4 og Høgskolen i Gjøvik 3 til 4. De resterende gruppene fikk karakteren 3 eller lavere. Denne evalueringen ble gjort før UiO startet ConSeRNS og før Høgskolen i Gjøvik startet CCIS. Simula@UiB-samarbeidet ble også startet etter evalueringen.

Norge har i en årrekke hatt faglig sterke forskningsgrupper innen kryptografi. I tillegg til rådgivning og vurderinger har disse miljøene utdannet kandidater som er med på å høyne det generelle nasjonale kompetansenivået innen kryptografi. Gruppene er imidlertid relativt små og dermed også personavhengige. Innen matematikk og datavitenskap er kryptografi bare ett av mange forskningsområder. Det er derfor ikke gitt at universiteter og andre forskningsinstitusjoner vil prioritere å bygge opp og vedlikeholde levedyktige og kompetente miljøer.

19.5.3 Forskningsrådets rolle

Forskningsrådet er den viktigste finansieringskilden for prosjektstøtte i universitetets- og høyskolesektoren. I tidsrommet 2010–2014 bevilget Forskningsrådet cirka 75 millioner kroner til prosjekter som ser på forskjellige aspekter ved IKT og sikkerhet, personvern og sårbarhet. Fra 2015 er IKTPLUSS Forskningsrådets hovedprogram innen IKT og skal løpe frem til 2024, med et årlig budsjett på cirka 165 millioner kroner. Årets bevilgning kommer fra KMD, SD, NFD og KD. Figur 19.1 viser tildeling av de ulike departementenes bevilgning til forsking de tre siste årene. JD bevilger generelt lite midler til forskning og utvikling.

Figur 19.1 Tildeling av FoU-midler fordelt på departement for 2013–2015. Beløpene er i millioner kroner. Tall for FAD er lagt inn i KMD for 2013. Statistikken er fra NIFU.1

Figur 19.1 Tildeling av FoU-midler fordelt på departement for 2013–2015. Beløpene er i millioner kroner. Tall for FAD er lagt inn i KMD for 2013. Statistikken er fra NIFU.1

1 Statistikk fra Nordisk institutt for studier av innovasjon, forskning og utdanning (NIFU).

De faglige tematiske prioriteringene i IKTPLUSS tar utgangspunkt i de tre overordnede satsingsområdene Kompleksitet og robusthet, Data og tjenester overalt og Et trygt informasjonssamfunn.21 Forskningsområder som er nevnt i forbindelse med Et trygt informasjonssamfunn, inkluderer blant annet sikkerhet i komplekse infrastrukturer, personvernfremmende teknologier, digital etterforskning og datakriminalitet, samt kryptografi og sikkerhetsmekanismer. Disse forskningstemaene er gjensidig knyttet til forskningstemaene om kompleksitet og robusthet, herunder samspill mellom teknologi, individer og samfunn. Å håndtere kompleksitet og skape robuste systemer er sentralt for å ivareta samfunnssikkerheten.

Programmet har gjennomført sin første utlysning og har i 2015 innvilget prosjekter relatert til IKT-sikkerhet med en samlet ramme på 150 millioner kroner.

19.5.4 Internasjonal finansiering

Horisont 2020 er EUs gjeldende forskningsprogram for tidsrommet 2014–2020, og er verdens største program for innovasjon og forskning. I 2015 gjennomførte Horisont 2020 en utlysning av midler som dekker problemstillinger relatert til IKT-sikkerhet og personvern, «Digital security: cybersecurity, privacy and trust H2020-DS-2015-1». Det totale budsjettet for utlysningen var på 50 M€. Det er forventet at resultatet fra utlysningen foreligger ved årsskiftet 2015/2016.

19.5.5 Diskusjoner

Blant universitetene mener enkelte at det har blitt vanskeligere å få forskningsmidler til IKT-sikkerhet fra Norges forskningsråd de siste årene. Det pekes på at den manglende satsingen på IKT-sikkerhet har ført til at det utdannes svært få kandidater i Norge med den nødvendige kompetansen til å drive forskning på et høyt internasjonalt nivå. Det er usikkert om Norge per i dag har nødvendig og tilstrekkelig kompetanse til å dekke behovet for forskning innen IKT-sikkerhet, og for enkelte forskningsinstitusjoner er mangel på kompetanse en begrensende faktor for hvilke oppdrag de kan påta seg. Basert på svarene utvalget har mottatt, er det grunn til å anta at konklusjonene vedrørende manglende satsing på forskning og utvikling innen IKT-sikkerhet som ble avdekket av Forskningsrådet i deres evaluering fra 2012, fremdeles gjelder.

Å ha tilgang på gode forskningsmiljøer innenfor IKT-sikkerhet er vesentlig av flere grunner. Det er forskning som produserer ny kunnskap, og som kan adressere problemstillinger som er viktige for nasjonale aktører. Kapasiteten og kvaliteten på utdanning innen IKT-sikkerhet er dessuten nært knyttet til kvaliteten og størrelsen på tilhørende forskningsgrupper. Forskningsrådets evaluering fra 2012 viser at Norge har forskningsmiljøer innenfor IKT-sikkerhet som til dels er svært gode. Det skulle tilsi at vi har potensial for å bygge videre på eksisterende miljøer og dermed sikre høy kvalitet og også tilstrekkelig volum innen både forskning og utdanning.

Selv om enkeltforskere kan oppnå meget gode resultater, er det en gjennomgående trend at den beste forskningen krever forskningsgrupper av en viss størrelse. Å ha tilgang på bred nok kunnskap er også en forutsetning for at uteksaminerte kandidater skal ha best mulig kunnskapsgrunnlag i sitt videre arbeid. Det er derfor svært positivt at det i kjølvannet av 2012 har foregått en konsolidering av de viktigste norske forskningsmiljøene innen IKT-sikkerhet. Samarbeidet gjennom Simula@UiB sikrer at man får bygd opp et sterkt forskningsmiljø innen mer teoretisk datasikkerhet og kryptografi, som også kan dra veksler på kompetansen ved Simula om «resilience». Ved Høgskolen i Gjøvik har man bygd opp en, i nasjonal målestokk, stor satsing på mer anvendt datasikkerhet sammen med mange av de viktigste samfunnsaktørene på området. Sammenslåingen av NTNU og Høgskolen i Gjøvik fra 2016 vil også legge grunnen for videre synergieffekter mellom telematikk- og kryptografimiljøet ved NTNU og sikkerhetsmiljøet i Gjøvik. Ved siden av denne satsingen har Universitetet i Oslo begynt å bygge opp en egen forskningsgruppe gjennom ConSeRNS.

Frem til starten av IKTPLUSS-programmet har tilgangen på prosjektmidler vært en begrensende faktor for forskningsaktiviteten, både når det gjelder forskningsvolum og antall utdannede PhD-kandidater. Dette har ført til en gradvis utarming av miljøene, noe som igjen går ut over fremtidig rekruttering. Imidlertid ser det nå ut til at ressurstilgangen har bedret seg gjennom Forskningsrådets satsing på IKT-sikkerhet, og sammen med EUs program for cybersikkerhet i Horisont 2020 burde det nå være mulig både å vedlikeholde og bygge videre på den kompetansen som allerede finnes. Dette forutsetter imidlertid at Forskningsrådet vedlikeholder sin nåværende satsing.

Antall uteksaminerte PhD-kandidater avhenger både av finansiering og veiledningskapasitet. Selv om Forskningsrådets økte satsing er prisverdig, gir den ikke flere faste stillinger. Universitetene og høgskolene har mulighet til å foreta interne omprioriteringer for å bygge opp prioriterte forskningsmiljøer, men slike tiltak vil være av begrenset omfang og tar dessuten lang tid. Muligheten til å bygge opp langsiktig satsing basert på midler fra eksterne aktører vil også være begrenset over tid. Det er derfor ønskelig at bevilgende myndigheter ser på dimensjoneringen av hele området og setter i verk nødvendige tiltak.

En slik vurdering må ta hensyn til hvilke områder som er nasjonalt viktige, både med tanke på produksjon av kandidater og på hvilke forskningstemaer man ønsker å prioritere.

19.6 Kunnskap og støtte til befolkningen

NorSIS vektlegger å gi råd og veiledning til befolkningen, siden kunnskap i befolkningen i stor grad overføres til de små og mellomstore virksomhetene. NorSIS driver i dag nettsidene norsis.no, sikkert.no, slettmeg.no og idtyveri.info.22 NorSIS utgir årlig rapporten Trusler og trender.23

NorSIS er tilrettelegger for Nasjonal sikkerhetsmåned, som holdes hver oktober. Hensikten med initiativet er å understøtte digitaliseringen av samfunnet. Lignende arrangementer gjennomføres i USA, cirka 30 land i EU og også i andre land i verden. Nasjonal sikkerhetsmåned tilbyr informasjon og råd, arrangementer og e-læring og annen type opplæring til offentlige og private virksomheter. I 2014 nådde NorSIS ut til 270 000 ansatte i norske virksomheter med e-læringspakken.

NorSIS jobber aktivt i media og med å skape møteplasser. NorSIS arrangerer årlig flere konferanser, mange av dem i samarbeid med andre aktører. Konferansen Identitet fokuserer på identitetsutfordringer og løsninger, Security Divas på å stimulere kvinner til å jobbe med informasjonssikkerhet, Kritisk IS på informasjonssikkerhet i kritisk infrastruktur og Kraft IS på informasjonssikkerhet i kraftbransjen. I tillegg kommer avslutningskonferansen til Nasjonal sikkerhetsmåned, Sikkert NOK.

NorSIS har på oppdrag fra Justis- og beredskapsdepartementet satt i gang et prosjekt for å måle befolkningens kunnskap og bevissthet om informasjonssikkerhet. Prosjektet vil kunne gi viktig informasjon om sikkerhetstilstanden, avvik og effekten av ulike tiltak. Måling av status på innbyggerne er beskrevet som et krav i Nasjonal strategi for informasjonssikkerhet.

Forbrukerrådet er en statlig finansiert, men uavhengig interesseorganisasjon som bistår forbrukerne ved å tilby kostnadsfri juridisk veiledning og megling i konflikter med næringsdrivende. Årlig ber nesten 100 000 nordmenn om hjelp. Rådet jobber aktivt med å påvirke myndigheter og næringsliv i en forbrukervennlig retning gjennom dialog, påvirkningsarbeid og utredninger. Forbrukerrådets markedsportaler gir forbrukere informasjon om produkter og tjenester. I 2014 hadde rådet en gjennomgang av avtalevilkår i skytjenester for lagring,24 og de jobber nå med en kartlegging av mobilapplikasjoner. Innen IKT jobber rådet spesielt for forbrukerrettigheter innen

  • flyttbarhet av egne data mellom tjenester, slik at vi som forbrukere kan bytte mellom tjenester; i forlengelse av dette kommer retten til å bli glemt, som handler om å få sine data fjernet fra tjenesten

  • akseptable vilkår med gradert personvern, slik at brukeravtaler blir enklere å lese, og at vi slipper såkalte «take it or leave it»-tjenester der forbrukeren ikke har et reelt valg

  • åpenhet om hva virksomheter gjør med våre persondata, og hvem de deler dem med25

Forbrukerombudet er en offentlig tilsynsmyndighet. Ombudet jobber med å forebygge og stoppe ulovlig markedsføring samt urimelige kontrakter. Dette oppnås gjennom dialog, forhandlinger og bruk av sanksjonsapparatet. Forbrukerombudet får rundt 10 000 skriftlige klager og henvendelser i året. Rådet fører tilsyn med digitale tjenester og jobber for globale standarder, siden flesteparten av tjenestene er utenfor EU/EØS og dermed ikke følger de samme rammevilkårene.

Datatilsynets veiledningstjeneste besvarer henvendelser fra offentlige og private virksomheter, så vel som fra enkeltpersoner. Spørsmålene som kommer inn, er av både juridisk, teknisk og sikkerhetsmessig art. Denne tjenesten er et viktig lavterskeltilbud for publikum som har spørsmål knyttet til behandling av personopplysninger, og et viktig mål med tjenesten er å gjøre borgere og virksomheter i stand til å ivareta eget ansvar for personvern. I løpet av 2014 hadde veiledningstjenesten besvart 9 033 henvendelser.

19.7 Tjenesteutsetting

Utsetting av IKT-tjenester kan på sikt medføre tap av kompetanse i virksomhetens systemer og teknologi og svekket eierskap til oppgavene. Dette ser likevel ikke ut til å være en stor bekymring for virksomhetene. I noen grad er dette en kjent konsekvens og et resultat av bevisste valg fra virksomhetens side, og samarbeid med private er ikke til hinder for at virksomheten bygger opp sin egen kompetanse på området. Ved å sette ut driftsoppgaver kan man få stabil tilgang på et kompetansemiljø som er mer robust enn det er realistisk for virksomheten selv å opprettholde over tid. På den andre siden velger enkelte virksomheter å bygge opp sin egen kompetanse på grunn av manglende kompetanse hos underleverandører eller stort gjennomtrekk av konsulenter.

Bildet er dermed tosidig. Det er en fordel for virksomhetene å benytte en større leverandør som er i stand til å tiltrekke seg kompetanse og bygge opp fagmiljøer som bidrar til at de kan etablere løsninger som mindre virksomheter normalt ikke har mulighet til selv. Virksomheten er samtidig avhengig av å opprettholde et minimum av bransje- og løsningskunnskap. En positiv sikkerhetsmessig effekt av tjenesteutsetting forutsetter at virksomheten selv skaffer seg en ny type sikkerhetskompetanse på hvordan de skal sikre og følge opp oppdragene som settes ut. Dette gir andre utfordringer enn det å ha tjenesten internt. Virksomheten må ha tilstrekkelig bestillerkompetanse i forhold til dialogen med leverandøren for å kunne stille krav og følge opp med kontroller og testing.

Det er mangel på personell som forstår den tekniske risikoen på tvers av infrastrukturer og verdikjeder, og er løsningsarkitekter som kan bistå virksomheter med etablering av grunnleggende sikkerhetsarkitektur på tvers av en portefølje for å sikre god utnyttelse av investeringer og tilrettelegging for fremtidige digitaliseringsbehov. Sikkerhetsarkitekter forstår både landskapet fra sikkerhetskrav i standarder og lover til det tekniske bildet. Denne kompetanse er også viktig ved tjenesteutsetting for å sikre grensesnitt mellom leverandører og for eksempel miljøer som er driftet internt i en virksomhet. Vi viser for øvrig til omtale av skytjenester i punkt 23.7.3 «Juridiske forhold ved skytjenester» og de øvrige samfunnsfunksjonene i del III «Sårbarheter i kritiske samfunnsfunksjoner» for ytterligere diskusjoner rundt tjenesteutsetting.

19.8 Vurderinger og tiltak

19.8.1 Etablere en overordnet nasjonal kompetansestrategi innen IKT-sikkerhet

Justis- og beredskapsdepartementet bør sammen med Kunnskapsdepartementet utarbeide en overordnet nasjonal strategi for å sikre en langsiktig oppbygging av kompetanse innen IKT-sikkerhet i det norske samfunnet. En slik strategi må dekke tiltak for å bygge opp kapasitet innen både forskning og utdanning.

Hensikten er å sikre langsiktig finansiering, slik at ikke kompetansemiljøer forvitrer mellom finansierte prosjekter. Tiltaket er begrunnet i at Forskningsrådet i dag bare gir prosjektstøtte, og ikke midler for å opprettholde fagmiljøer. Utvalget mener det er lite trolig at universitets- og høyskoleinstitusjonene klarer å løse dette ved egne omprioriteringer. I tillegg bevilger Justis- og beredskapsdepartementet svært lite midler til forskning. Justis- og beredskapsdepartementet er primæradressat for tiltaket fordi de har fått samordningsansvaret for forebyggende IKT-sikkerhet i sivil sektor.26

19.8.2 Prioriteringer i en overordnet strategi

Punktene under utdyper hva utvalget mener bør inngå som prioriteringer i en overordnet strategi. Utvalget merker seg at flere av de foreslåtte tiltakene samsvarer godt med Justis- og beredskapsdepartementets egen FoU-strategi.27 Det er også viktig å presisere at flere av tiltakene bør iverksettes av henholdsvis Justis- og beredskapsdepartementet og Kunnskapsdepartementet i påvente av at den overordnede strategien blir utarbeidet.

  1. Etablere en langsiktig plan for å bygge opp og vedlikeholde forskningskapasitet

Det er prisverdig at Norges Forskningsråd (NFR) har lansert IKTPLUSS-programmet med en sterk satsing innenfor informasjons- og IKT-sikkerhet. Programmet løper over ti år og vil kunne tilby tiltrengte forskningsmidler til dette området. Man må imidlertid merke seg at som for alle NFR-programmer tilbys det tidsbegrenset prosjektstøtte. Det vil derfor ikke kunne finansiere faste stillinger og heller ikke gi lengre tidshorisont enn lengden av hvert enkelt prosjekt, som regel fire til fem år. De norske FoU-miljøene innenfor IKT-sikkerhet er i stor grad små og har et relativt beskjedent antall faste stillinger. Det varierer også i hvilken grad disse miljøene er samlokalisert med stedene der volumproduksjonen av IKT-kandidater foregår. For eksempel har informatikkmiljøene ved UiO og NTNU relativt sett liten aktivitet innenfor IKT-sikkerhet.

Selv om Forskningsrådet gir verdifull støtte til forskningsprosjekter innenfor IKT-sikkerhet, vil midlene bare være prosjektbaserte og derfor ikke gi en varig oppbygging av forskningskapasiteten ved norske universiteter og høyskoler. Samferdselsdepartementets støtte til Robuste nett-senteret ved Simula, som helt nylig er blitt ytterligere styrket gjennom Simula@UiB, er derfor et svært positivt eksempel. Det samme gjelder støtten Justis- og beredskapsdepartementet har gitt til CCIS ved Høgskolen i Gjøvik. Oppbyggingen av forsknings- og undervisningsmiljøer gjennom de siste årene har i stor grad vært basert på støtte fra eksterne kilder. I denne sammenheng viser særlig etableringen av CCIS at det er mulig å få til et langsiktig samarbeid med både private og offentlige aktører.

Siden Justis- og beredskapsdepartementet har samordningsansvar for forebyggende IKT-sikkerhet, har departementet et særlig ansvar for å sikre tilstrekkelig nasjonal forskningskapasitet innenfor IKT-sikkerhet og bekjempelse av IKT-kriminalitet. Selv om Justis- og beredskapsdepartementet har vært med på å støtte CCIS, er JDs FoU-bevilgninger fremdeles lave. Utvalget ser det derfor som svært positivt at JD ønsker å etablere strategiske partnerskap med enkelte utdannings- og forskningsinstitusjoner innen blant annet IKT-sikkerhet, og at JD har som målsetting at det settes av midler til å utføre forskning, utredning og evalueringer i forbindelse med større tiltak innen samfunnssikkerhet. En naturlig konsekvens av dette er at JD nå øker sine FoU-bevilgninger rettet mot IKT-sikkerhet. Planen bør også omfatte andre relevante aktører, blant annet forsvarssektoren, Nærings- og fiskeridepartementet og andre relevante departementer og myndigheter. Utvalget vil samtidig understreke viktigheten av at en slik satsing er innrettet mot et begrenset antall forskningsmiljøer for å sikre høy kvalitet.

  1. Opprettholde forskningsinnsatsen på IKT-sikkerhet

Utvalget ser svært positivt på Forskningsrådets nye forskningsprogram IKTPLUSS. Programmet kommer etter at det over tid har vært bevilget relativt lite midler til forskning på IKT-sikkerhet. Gjennom å fokusere på «Et trygt informasjonssamfunn» vil programmet ha mulighet til å styrke kvaliteten og øke dristigheten og relevansen i norsk IKT-forskning innenfor samfunnssikkerhet generelt og IKT-sikkerhet spesielt. Både programmets langsiktige tidshorisont og det årlige omfanget tilsier at det kan ha påvirkningskraft utover de enkeltprosjektene som støttes.

Sikkerhet er imidlertid bare ett av flere temaer som IKTPLUSS dekker. Utvalget vil derfor understreke viktigheten av at Forskningsrådet opprettholder satsningen på IKT-sikkerhet på linje med den man hadde i 2015. Det er også vesentlig at Forskningsrådet bevilger forskningsmidler til IKT-sikkerhet etter at programmet er avsluttet.

Utvalget observerer en generell mangel på kunnskap om de økonomiske tapene som følge av digital sårbarhet og hva forebyggende IKT-sikkerhet koster. Dersom slike sikkerhetshensyn skal få nok oppmerksomhet og tyngde inn i beslutningsprosesser, bør de økonomiske sidene også synliggjøres. Se punkt 7.2.1 «IKT-kriminalitet» om kostnaden ved IKT-kriminalitet.

Utvalget anbefaler at sikkerhetsøkonomi blir et forskningstema inn i Forskningsrådets programmer for IKT-sikkerhet.

  1. Innføre krav til IKT-sikkerhetsfag for alle IKT-bachelorgrader

Utvalget støtter de anbefalingene som er gjort av ACM28 om hvilke kurs som bør inngå i en generell IKT-utdanning. Kunnskapen som formidles gjennom disse utdanningene, danner grunnmuren for å oppnå god IKT-sikkerhet i samfunnet. Nylig har også NSM kommet med en anbefaling om at alle IKT-utdanninger bør inneholde minst ett obligatorisk kurs innen IKT-sikkerhet.

Utvalget mener at alle bachelorutdanninger i Norge innenfor IKT må inneholde minst 15–20 studiepoeng med fag som omhandler IKT-sikkerhet. Det er viktig at tilbydere av IKT-relaterte bachelorprogrammer går igjennom studiene sine og sørger for at disse dekker vesentlige deler av informasjons- og IKT-sikkerhet. Et slikt tiltak vil i utgangspunktet ikke nødvendigvis medføre store ekstra kostnader for den enkelte institusjon, men først og fremst være et spørsmål om interne prioriteringer. Dette tiltaket samsvarer med anbefalingene i Sikkerhetsfaglig råd fra NSM.

Omfanget av IKT-relaterte kurs er vanligvis 10 studiepoeng. Det skulle tilsi at den totale mengden lærestoff relatert til IKT-sikkerhet bør utgjøre minst to kurs i løpet av et bachelorstudium. Nå dekkes mye av dette stoffet gjennom andre kurs, men utvalget vil likevel anbefale at enhver IKT-bachelor inneholder minimum ett obligatorisk kurs i IKT-sikkerhet.

  1. Øke kapasiteten på masterutdanning innen IKT-sikkerhet

Utvalget mener det må etableres tilstrekkelig kapasitet på masterutdanning med spesialisering innen IKT-sikkerhet. Dette gjelder særlig ved de store universitetene og høyskolene som har slik aktivitet allerede i dag. Et slikt løft vil kreve tilførsel av midlertidige utvidelsesmidler.

Dette begrunnes i den forholdsvis lave kapasiteten ved UiO og i manglende tilbud innenfor IKT-sikkerhet ved NTNUs studieprogram for datateknikk. Det bør samtidig legges til rette for at studenter fra høyskoler og universiteter som ikke har masterprogram i IKT-sikkerhet, har mulighet til å fortsette på masterstudier ved læresteder som har slike studier.

Økt utdanningskapasitet innen avansert IKT-sikkerhet vil først og fremst møte det innenlandske behovet for slik kompetanse i alle sektorer. Imidlertid vil det også kunne styrke vår konkurranseevne og åpne nye muligheter for norsk næringsliv til å møte en økende internasjonal etterspørsel etter både kvalifisert personell og tekniske løsninger innen IKT-sikkerhet.29

  1. Styrke nasjonal forskningskompetanse i kryptografi

Bruk av kryptografi er en forutsetning for sikker informasjonsutveksling på Internett. Selv om trygg ende-til-ende-kommunikasjon forutsetter mer enn bare kryptografi, er kryptografi i en særstilling når det gjelder kunnskap som må være på plass for å understøtte sikker kommunikasjon. Bruk av foreldede, eller av andre årsaker utrygge, kryptosystemer kan føre til at kommunikasjon blir avlyttet, eller at man ikke kan stole på identiteten til andre aktører.

Kryptografi baserer seg i stor utstrekning på avanserte matematiske metoder. Det er derfor en langsiktig prosess å bygge opp kompetanse- og forskningsmiljøer. Slik kunnskap må også vedlikeholdes dersom den skal være relevant.

Det er ikke gitt at kryptosystemene som blir brukt i dag, er trygge. Systemene kan være foreldet, eller de kan til og med ha blitt utviklet for at de skal kunne knekkes. Uten avanserte nasjonale miljøer vil norske myndigheter og bedrifter måtte forholde seg til utenlandske aktører for å innhente kvalifiserte vurderinger og råd om kryptografiske systemer. Dette vil være en svært uheldig situasjon sett i et sikkerhetsperspektiv.

Utvalget mener det er vesentlig at Norge bygger opp og vedlikeholder kompetente forskningsmiljøer innen kryptografi som kan bidra med veiledning og verifikasjon ved implementering av systemer med kryptografiske sikkerhetsmekanismer. Som ansvarlig departement for sikkerhet og beredskap tilfaller det derfor JD i samarbeid med FD å gå inn med tilstrekkelige langsiktige midler for å sikre nødvendig oppbygging og vedlikehold av nasjonal kompetanse innen kryptografi. Dette bør primært gjøres gjennom å støtte eksisterende miljøer og ikke gjennom å bygge opp nye. Det må også vurderes om dette kan gjennomføres slik at nøkkelpersonell i slike grupper kan sikkerhetsklareres.

En slik satsing samsvarer med NSMs ønske om å videreutvikle en nasjonal kryptopolitikk for å sikre nødvendig nasjonal kryptokompetanse og utvikling av kryptoutstyr for høygradert informasjon.

  1. Opprette øremerkede stipendiatstillinger som kan sikkerhetsklareres

For å sikre tilgang på høyt kvalifiserte personer mener utvalget at det bør opprettes øremerkede stipendiatstillinger innenfor IKT-sikkerhet for personer som kan sikkerhetsklareres.

Dette begrunnes i at FFI har utfordringer med å få tak i godt kvalifisert personell som kan klareres. Utvalget vurderer dette som en voksende utfordring, der også andre aktører, som NSM, CCIS og politiet, vil ha sikkerhetsklarering som en forutsetning. Kravet om sikkerhetsklarering er en spesiell utfordring innen IKT-sikkerhetsarbeid. Det er eksisterende ordninger som sikrer Forsvaret tilgang på klarert IKT-sikkerhetspersonell.30

  1. Øke oppmerksomheten rundt IKT-sikkerhet og personvernrelaterte problemstillinger

Utvalget mener at IKT-sikkerhets- og personvernrelaterte problemstillinger må få en større plass i relevant høyere utdanning.

For IKT-sikkerhet vurderer utvalget særskilt lederutdanninger, for å sikre tilstrekkelig kompetanse og forståelse for problematikken. Dette er begrunnet i at det endelige ansvaret for IKT-sikkerhet i en virksomhet alltid vil ligge hos den øverste ledelsen. Det gjelder selv om ledelsen verken har formal- eller realkunnskap om IKT-sikkerhet. For eksempel har lederutdanninger som siviløkonomstudiet ved Norges Handelshøyskole per dags dato svært lite opplæring i IKT-sikkerhet. Tilsvarende finnes det heller ingen formelle krav, slik det gjør for HMS-arbeid, om at en virksomhets øverste leder må ha gjennomført opplæring i IKT-sikkerhet. Et tiltak kan være å innføre krav til rapportering om IKT-sikkerhet i årsmeldinger slik beskrevet i punkt 23.5 «Redegjørelse for IKT-sikkerhet bør inngå i årsmeldinger».

Personvernrelaterte problemstillinger gjelder i særlig grad for juridiske og helserelaterte utdanninger.

Bevissthet og kompetanse om IKT-sikkerhet henger naturlig sammen med den enkeltes generelle kunnskap om de IKT-systemene man bruker. Uten grunnleggende forståelse av disse er det vanskelig å opprettholde tilstrekkelig sikkerhet. Det er derfor vesentlig at alle høyere utdanninger inkluderer tilstrekkelig opplæring i fagspesifikk IKT-kunnskap.

  1. Gjennomføre tiltak rettet mot grunnskole og videregående opplæring

Skal vi sikre trygg bruk av IKT, og Norges fremtidige deltagelse i utviklingen av fremtidens IKT-teknologi, er vi avhengige av kontinuerlig å heve det generelle kompetansenivået. Dette arbeidet må starte allerede i grunnskolen, slik det nå skjer i en rekke sammenlignbare land. Utvalget har derfor valgt å samle noen eksempler på tiltak:

Etterprøve læringsutbytte i trygg bruk av IKT. Utvalget mener at dagens program for opplæring i digital kompetanse i grunnskolen i stor utstrekning dekker de grunnleggende behovene det enkelte individet har. Opplæring i digital dømmekraft er spesielt viktig for å sikre forsvarlig bruk av sosiale medier og andre kommunikasjonsprogrammer. Det er viktig å evaluere hvordan denne undervisningen fungerer i praksis, og hvilket læringsutbytte elevene faktisk sitter igjen med. Utvalget er kjent med at Senter for IKT i utdanningen utfører undersøkelser om både digitale verktøy i skolen og læreres og elevers digitale kompetanse.31 Undersøkelsen fra 2011 har vært kritisert32 for at den kun kartlegger «operativ bruk» av datamaskiner, uten å se på lærernes forutsetninger for å undervise i hvordan datamaskinene faktisk fungerer. Her er det vesentlig at man ser på hvilken kompetanse lærerne har for å gjennomføre slik opplæring. Etterutdanning av lærere kan være en nødvendig følge av tiltaket. NSM har også anbefalt at IKT-sikkerhet innarbeides i lærerutdanningen.

Øke oppmerksomhet rundt teknisk bruk av IKT. Skoleverket retter primært oppmerksomheten mot nettvett og regler for personvern på Internett og i sosiale medier. Dette er nødvendig kunnskap som alle trenger. Bruk av IKT forutsetter imidlertid også økt kjennskap til de tekniske aspektene ved maskin- og programvare. Dette gjelder for alle typer personlige maskinplattformer som mobiltelefoner, nettbrett og PC-er. Elevene må forstå behovet for oppdatering av programvare, jevnlige sikkerhetskopier og farene ved ukritisk bruk av nedlastet programvare og nettbaserte tjenester. Utvalget anbefaler derfor at opplæring i digitale ferdigheter i grunnskole og videregående skole utvides til også å gi kompetanse i relevante tekniske aspekter ved IKT. Et viktig steg på veien vil være å sørge for at undervisning i programmering blir tilgjengelig i alle skoler, og at innføring i informasjonssikkerhet gis tilsvarende oppmerksomhet.

Bygge ut tilbud om undervisning i programmering. Fravær av avansert IKT-opplæring i skolen risikerer å sette Norge i en situasjon hvor vi primært blir et samfunn som bare forbruker informasjonsteknologi. Det er derfor positivt at regjeringen vil starte forsøk med programmering i grunnskolen fra 2016. Det er vesentlig at denne satsingen raskt blir bygd ut til alle skoler, og at den får et innhold som gjør den relevant for bruk i andre emner og for videre studier. Kunnskapsdepartementet bør derfor utarbeide en plan for hvordan dette skal gjennomføres. Det kan gjøres i samarbeid med allerede eksisterende frivillige organisasjoner, samt med IKT-industrien, etter mal fra Finland.

Skal satsingen lykkes på lang sikt, forutsetter det også opplæring av både nåværende og fremtidige lærere. Det er også verdt å merke seg at selv om dette nå ser ut til å starte opp, ligger vi et godt stykke etter land det er naturlig å sammenligne seg med. Det kan derfor allerede nå være på sin plass å vurdere hva som blir neste steg når tilbudet er etablert. Det bør vurderes hvordan opplæring i algoritmisk tenking og bruk av programmerbare digitale verktøy kan integreres tidligere i den ordinære undervisningen.

Behov for IKT-sikkerhet i elektrofag. Det er ikke klart ut fra læringsmålene om IKT-sikkerhet er dekket i tilstrekkelig grad i rene elektrofag. Dette gjelder spesielt automatiseringsfaget, der emnet ikke inngår i læreplanen. Kontrollsystemer for temperatur, lys og luft i bygninger styres ofte via nettet, og det er vesentlig at uvedkommende ikke har tilgang til disse. Utvalget mener det bør foretas en gjennomgang av læreplanene i alle elektrofag for å vurdere om disse er tilfredsstillende med tanke på hvordan de dekker IKT-sikkerhet.

Revidere læringsmålene i fagene Informasjonsteknologi 1 og 2. Informasjonsteknologi 1 og 2 er allmennfag og gir grunnleggende kunnskap om IKT. Som del av den studiespesialiserende videregående utdanningen skal de også forberede elevene på videre studier innen området. Siden fagene ikke bygger på hverandre, er imidlertid det samlede kunnskapsnivået man kan forvente at ferdige kandidater oppnår, begrenset. En konsekvens av dette er at studenter som kun tar Informasjonsteknologi 2, ikke får opplæring i IKT-sikkerhet. Det er dessuten en lav grad av integrering mellom kursene og høyere utdanninger innenfor IKT i universitets- og høyskolesektoren. Ingen av kursene inngår som forkrav for videre studier i IKT, da disse stort sett bare forutsetter generell studiekompetanse og for enkelte studieretninger også fordypning i matematikk. Utvalget mener derfor at læringsmålene i Informasjonsteknologi 1 og 2 er modent for revisjon, slik at elever som tar disse fagene, går ut med kunnskap om informasjonssikkerhet som er relevant for videre studier.

20 Styring og kriseledelse

Styring og kriseledelse bygger på de grunnleggende prinsippene om ansvar, likhet, nærhet og samvirke (se punkt 8.1 «Overordnede mål for IKT-sikkerhetsarbeidet»). Målsettingen er å opprettholde konstitusjonelle funksjoner og virksomhet i prioriterte deler av forvaltningen under ulike former for påkjenninger.

Ansvaret for en rekke viktige samfunnsoppgaver er delegert til kommunene, og den kommunale forvaltningen spiller en svært viktig rolle i mange krisesituasjoner. I norsk statsadministrasjon er videre en rekke faglige virkefelt skilt ut og lagt til direktorater, mens Fylkesmannen er statens representant i fylket, med blant annet ansvar på vegne av flere departementer og direktorater. Veiledning, oppfølging og tilsyn med kommunenes beredskapsarbeid er i tillegg til samordning en viktig oppgave for Fylkesmannen (se punkt 8.2 «Sentrale myndighetsaktører med særlig ansvar for oppfølging av IKT-sikkerhet»).

Å kunne ivareta styring og kriseledelse på sentralt, regionalt og lokalt nivå er kritisk avhengig av fungerende og pålitelige IKT-systemer. I hovedsak dreier dette seg om administrative kommersielle støttesystemer og ekomtjenester.

Innenfor visse deler av forvaltningen er det spesielle krav til egne IKT-systemer som skal kunne bidra til en ekstra sikkerhet for å opprettholde funksjonalitet. For størstedelen av forvaltningen, både på sentralt, regionalt og lokalt nivå, foreligger det imidlertid ingen bestemte krav til systemer, men det er et krav at virksomhetene på alle nivåer definerer hvilke tjenester som er absolutt nødvendige for å kunne opprettholde en minimumsdrift nærmest uansett hva som skjer, og hvilke IKT-systemer som dermed må være fungerende. I tillegg skal virksomhetene ha kontinuitetsplaner og beredskap dersom viktige systemer svikter.

20.1 IKT-systemer for beredskap og krisehåndtering

20.1.1 Hva er en krise?

En krise defineres som en hendelse som har potensial for å true viktige verdier og svekke en organisasjons evne til å utføre viktige funksjoner. En krise kan være en tilstand som kjennetegnes av at samfunnssikkerheten eller andre viktige verdier er truet, og at håndteringen utfordrer eller overskrider kapasiteten og/eller kompetansen til den organisasjonen som i utgangspunktet har ansvaret for denne.33

Dette kapittelet handler om det krisehåndteringssystemet som trer i kraft ved IKT-hendelser som er så omfattende at det får tverrsektorielle samfunnsmessige konsekvenser. Digitale sikkerhetsutfordringer, spionasje, sabotasje og terror, samt behovet for å avdekke, håndtere og etterforske digitale angrep omtales i kapittel 21 «Avdekke og håndtere digitale angrep».

En digital krise kan oppstå når viktige digitale systemer svikter og konsekvensen av bortfallet rammer mange. Krisen får betydelige konsekvenser for samfunn, næringsliv og individer.

Med sikkerhetspolitisk krise menes en krise som utfordrer statens territorielle integritet og politiske suverenitet, men uten at det dreier seg om et militært angrep i tradisjonell forstand. En slik krise kjennetegnes av å være i en uklar gråsone mellom krig og fred. Politisk-militært press fra en annen stat, omfattende terroraksjoner og alvorlige cyberangrep er eksempler på situasjoner som kan forårsake slike kriser.34

Mange IKT-kriser har et annet opphav enn ren svikt i IKT-systemer eller infrastruktur, de tekniske systemene kan svikte som følge av andre hendelser. Naturhendelser kan føre til at kommunikasjonsinfrastruktur skades og mobilnettet faller ut. Dette påvirker i stor grad evnen til raskt å håndtere situasjoner og opprettholde nødvendig funksjonalitet for de virksomhetene som blir rammet.

20.1.2 Sentral kriseledelse

Sentral kriseledelse er knyttet til et departements evne til å være lederdepartement, håndtere alle typer kriser i egen sektor og yte bistand til andre departementer i kriser som involverer flere sektorer.

Hvert enkelt departement har primæransvaret for egne IKT-løsninger for å kunne opprettholde egen styring og kriseledelse. I dette ansvaret ligger at departementet selv må velge å ta i bruk løsninger som er sikre nok i forhold til behovet. Dette følger av ansvarsprinsippet.

Overordnede bestemmelser og krav til departementenes styring og krisehåndtering fremgår av kgl.res. 15. juni 2012 Instruks for departementenes arbeid med samfunnssikkerhet og beredskap, Justis- og beredskapsdepartementets samordningsrolle, tilsynsfunksjon og sentral krisehåndtering.

Departementenes oppgaver i krisesituasjoner er i hovedsak å innhente og bearbeide informasjon til bruk i faglig rådgivning og tilrettelegging overfor politisk ledelse, vurdere og samordne tiltak, koordinere informasjon til og fra underliggende etater, utstede fullmakter og ivareta og utøve en helhetlig informasjonsstrategi. Disse oppgavene krever fungerende og sikre IKT-løsninger.

Av instruksen går det frem at departementene skal ha planer for å kunne ivareta sine mest kritiske samfunnsoppgaver nærmest uavhengig av hva som skjer. I dette ligger implisitt krav om at de IKT-systemene som departementene er avhengige av for å ivareta driften, er robuste og sikre, og at departementene har planer for manuelle løsninger hvis det skulle oppstå svikt i IKT-systemer eller ved strømbrudd. Redundante løsninger kan være for eksempel doble linjer, reservestrøm, satellitt-telefoni med mer. Konkrete krav til sikkerhet og funksjonalitet i IKT-løsningene fremgår verken av instruksen eller andre bestemmelser.

Det finnes både administrative og politiske ordninger for krisehåndtering på sentralt nivå, som for eksempel Kriserådet, Krisestøtteenheten og Regjeringens kriseråd. Disse er omtalt i den kongelige resolusjonen som er nevnt ovenfor.

Håndtering av IKT-hendelser/-kriser

Samfunnssikkerhetsprinsippene gjelder også for håndtering av IKT-hendelser – både hendelser som er direkte knyttet til svikt i eller angrep på IKT-systemer, og hendelser som er en følge av svikt i sentrale systemer (se kapittel 7 «Utilsiktede og tilsiktede IKT-hendelser»). Alle virksomheter skal ha planer for håndtering, og de etablerte ordningene for situasjonshåndtering og informasjonsdeling gjelder også for IKT-hendelser.

Nasjonal sikkerhetsmyndighet har imidlertid på vegne av Justis- og beredskapsdepartementet utarbeidet en modell for forebygging og håndtering av IKT-sikkerhetshendelser, det vil si angrep mot IKT-systemer og digitale infiltrasjonsforsøk. Her understrekes det at hver enkelt virksomhet skal ha iverksatt tiltak som kan forebygge IKT-hendelser og bidra til å avdekke forsøk på angrep. Det gis videre anbefalinger til etablering av sektorvise responsmiljøer. Hovedsakelig omhandler modellen for hendelseshåndtering retningslinjer for informasjonsdeling.35 Modellen og mekanismer for håndtering av IKT-sikkerhetshendelser blir ytterligere omtalt i kapittel 21 «Avdekke og håndtere digitale angrep».

Når en IKT-sikkerhetshendelse får alvorlige konsekvenser, for eksempel ved at den forårsaker svikt i kritisk infrastruktur eller kritiske samfunnsfunksjoner, vil det imidlertid være behov for at de etablerte krisehåndteringsmekanismene i Norge trer i kraft, blant annet for å håndtere og minimere uønskede samfunnsmessige konsekvenser og bidra til informasjonsflyt på tvers av sektorer og nivåer av myndighetsorganer.

Nasjonalt beredskapsplanverk, rammeverk

Justis- og beredskapsdepartementet, Forsvarsdepartementet og Statsministerens kontor har etablert et sektorovergripende rammeverk for nasjonalt beredskapsplanverk. Rammeverket er et oppslagsverk som både gir oversikt over sentral krisehåndtering – aktører, roller og ansvar – og en veiledning i hvordan kriser håndteres på sentralt nivå.

En del av rammeverket vil være et planverk som skal gi grunnlag for krisehåndtering på områder der det ikke eksisterer nasjonale scenariobaserte planer.36 I denne sammenheng er det også vurdert om det skal utarbeides sektorovergripende beredskapsplaner for flere scenarioer enn de som foreligger per i dag.37

Sivilt beredskapssystem (SBS)

Nasjonalt beredskapssystem er basert på, og koordinert med, NATOs krisehåndteringssystem og består av én militær og én sivil del: Beredskapssystem for Forsvaret (BFF) og Sivilt beredskapssystem (SBS). SBS inneholder også tiltak rettet mot håndtering av IKT-relaterte hendelser. Hensikten med systemet er at man skal kunne gjennomføre koordinerte og forhåndsplanlagte tiltak på nasjonalt nivå. Virkeområdet er sektorovergripende kriser i fredstid som er forårsaket av alvorlige tilsiktede hendelser eller trusler om slike, og kriser med en sikkerhetspolitisk dimensjon inklusiv væpnet konflikt eller trusler om slike. Det fremgår av Sivilt beredskapssystem (SBS) at departementene skal utarbeide egne beredskapsplaner basert på SBS som utdyper tiltak der departementet har et direkte handlingsansvar i egen sektor. De ulike sektordepartementene skal også bidra til jevnlig revisjon av tiltak i SBS, slik at disse til enhver tid er oppdatert.

En rekke handlingsbeskrivelser i SBS eller i underliggende beredskapsplaner vil også inngå i ulike sektorplanverk, som for eksempel Politiets beredskapssystem eller Nasjonal helseberedskapsplan. SBS setter ikke annet sektorplanverk til side, men gjør det mulig med en koordinert iverksetting av tiltak besluttet på tvers av ulike departementer og sektorer i en situasjon da det er viktig med politisk styring.38

Politiet har etablert et eget planverk, Politiets beredskapssystem (PBS). Dette er et eksempel på sektorplanverk som bør avstemmes med det nasjonale systemet. Utvalget er kjent med at det er noen mangler i systemet som gjør at det per i dag ikke er avstemt med SBS. Ansvaret for at de ulike sektorplanene er avstemt og koordinert med det nasjonale planverket tilligger hver enkelt sektor.

Støtteverktøy for krisehåndtering

Både på lokalt, regionalt og sentralt nivå er CIM (Crises Incident Manager) valgt som system til krisehåndteringsstøtte. CIM er et nettbasert krisestøtteverktøy som blant annet brukes til deling av informasjon, situasjonsforståelse, tiltakskort og ROS-analyser. Hovedsakelig benyttes CIM av de fleste aktørene i dag til å systematisere og organisere rutinemessige oppgaver, slik at man i en beredskapssituasjon kan få bedre kontroll og mer tid til ledelse og beslutninger.

Som andre kommunikasjonssystemer er CIM avhengig av at funksjonaliteten i ekomnettet opprettholdes for at beredskapsaktører skal kunne benytte seg av krisestøtteverktøyet. Det er en opsjon å bruke CIM lokalt, men da faller muligheten til å dele informasjon vekk. På det enkelte myndighetsnivå, og særlig for kommunene, vil verktøyet CIM kunne ha en viss verdi selv uten forbindelse til andre nivåer.

CIM finnes i flere utgaver og er i dag kun på ugradert plattform.

IKT-systemer i sentralforvaltningen

Departementenes sikkerhets- og serviceorganisasjon (DSS) har et ansvar for å levere sikrede IKT-løsninger til departementsfelleskapet, og vedlikeholder også overordnede retningslinjer når det gjelder sikkerhet for tilknyttede virksomheter.

Fire departementer39 pluss Statsministernes kontor har valgt å etablere egne IKT-løsninger utenfor DSS.

Som samordningsdepartement har JD tatt et overordnet ansvar for graderte løsninger i sentralforvaltningen. Det foregår nå en etablering og innfasing av flere sikre kommunikasjonssystemer, inklusiv en løsning for sensitiv og lavgradert mobiltelefoni.

I tillegg pågår det et arbeid med å implementere nasjonale IKT-løsninger på ulike graderingsnivåer. KSE-CIM skal implementeres på Nasjonalt BEGRENSET nett i løpet av 2015.

Justis- og beredskapsdepartementet har også en sentral rolle i arbeidet med å videreutvikle en lavgradert mobiltelefonløsning. Dette er implementert hos samtlige departementer, sentrale etater blant annet i justissektoren og flere sentrale beredskapsaktører. Den samme lavgraderte mobilløsningen blir også vurdert av andre statlige aktører, blant annet Stortinget.

Sentrale aktører har også mulighet for å gjennomføre graderte videokonferanser (VTC). Denne kommunikasjonsformen blir hyppig brukt i forbindelse med krisehåndtering på sentralt nivå.

En arbeidsgruppe med deltagere fra JD, DSB og POD har utredet hvordan samarbeidet på direktoratsnivå kan bli bedre under større hendelser og kriser. Som en del av sitt arbeidet har arbeidsgruppen kartlagt graderte og ugraderte IKT-systemer og kommunikasjonsløsninger i forvaltningen.

Sikret offentlig nett (SON) startet som et arbeidsprosjekt i 2007 med Politiets data- og materielltjeneste (Politiets IKT-tjenester) i samarbeid med andre særorganer under politiet.

Arbeidsprosjektet ble videreført som et pilotprosjekt under navnet SON av Justis- og beredskapsdepartementet i 2012. Bakgrunnen for prosjektet var at man ville etablere en teknologisk løsning som kunne benyttes til å beskytte definert kritisk infrastruktur, dele sensitiv (ikke gradert) informasjon og potensielt inkludere flere offentlige departementer med underliggende etater.

SON er et høyhastighets datanett mellom SON-deltagerne som er koblet til Internett, men der deltagerne har kontroll over den fysiske infrastrukturen, i motsetning til det som er tilfellet med alminnelig Internett. Etter at SON er etablert, skal det etter planen være mulig å etablere fellestjenester mellom alle eller mellom enkelte av deltagerne. Eksempler på tjenester er SharePoint-løsninger, felles sikkerhetsløsninger, streaming av TV-signaler, bærere for nasjonale graderte nett, bærere for Forsvarets og politiets IKT-systemer og politiets alarm- og varslingssystem.

20.1.3 Regionalt nivå

Det regionale nivået skal ha etablert egne krisehåndteringsordninger for å ivareta kriseledelse innenfor egen sektor. Krav og føringer til planer og systemer for krisehåndtering blir ivaretatt av overordnet departement innenfor hver sektor. I tillegg har Direktoratet for samfunnssikkerhet og beredskap (DSB) et samordningsansvar på etatsnivå og ansvar for embetsstyringen til Fylkesmannens (FM) samfunnssikkerhetsansvar, jf. sivilbeskyttelsesloven40. De prinsippene, lovene og forskriftene som gjelder for styring og kriseledelse på det regionale nivået, er også gjeldende for håndtering av alvorlige IKT-hendelser og kriser.

Fylkesmannens beredskapsråd (FBR) er Fylkesmannens viktigste samordningsorgan for både forebygging og krisehåndtering. FBR ledes av Fylkesmannen og har medlemmer fra politiet, Forsvaret, Sivilforsvaret, frivillige organisasjoner og statlige og fylkeskommunale etater som har vesentlige beredskapsoppgaver. I tillegg deltar ofte representanter for andre sentrale beredskapsaktører, som for eksempel virksomheter med ansvar for kritisk infrastruktur og andre samfunnskritiske funksjoner i fylket. Kraftforsyningens distriktssjefer (KDS)41 deltar også fast i FBR. KDS representerer en samlet kraftbransje på regionalt nivå, og bidrar til å opprettholde oversikt over brudd i kraftforsyningen og gjenopprettingstiltak. I en krisesituasjon kan KDS, sammen med andre relevante aktører, blant annet bidra til å vurdere prioritering og rasjonering av kraft. På ekomområdet finnes per i dag ikke noen tilsvarende ordning, men Telenor deltar i de fleste FBR. Nkom har imidlertid etablert en ordning med et sentralt strategisk element bestående av Nkom og utvalgte tilbydere som skal bistå med råd, veiledning og informasjonsdeling i krisesituasjoner. Nkom er tilgjengelig for å delta på møter i FBR når det vurderes som nødvendig.

I en krisesituasjon har DSB ansvar for å samle inn rapportering fra berørte fylkesmenn og direktorater/tilsyn og sette sammen et situasjonsbilde. Denne rollen er nå formalisert. DSB utarbeider også analyser av samfunnsmessige konsekvenser på tvers av sektorer, både i nåtid og fremtid. Disse oversendes Justis- og beredskapsdepartementet, Krisestøtteenheten og Kriserådet og bidrar til en felles situasjonsforståelse og grunnlag for tiltak. Situasjonsbildet sendes også samlet ut til alle relevante aktører. Dette gjøres via CIM, i tillegg til e-post.

Avhengighet av IKT-/ekomsystemer

Det er et krav at Fylkesmannen skal kunne ivareta sine viktigste funksjoner nærmest uansett hva som skjer. Avhengighet av IKT og kraftforsyning skal inngå i ROS-analyser, og det skal iverksettes tiltak som ivaretar kontinuiteten i de viktigste funksjonene som Fylkesmannen forvalter. Fylkesmannen er ansvarlig for at det utarbeides en helhetlig ROS-analyse for fylket. I denne skal fylkets kritiske infrastruktur og samfunnsfunksjoner og avhengigheter mellom dem belyses. Både private og offentlige virksomheter er inkludert her.

Fylkesmannen er først og fremst avhengig av IKT-systemer for å drifte administrative støttesystemer og kommunikasjonsløsninger, og har en viktig rolle som statens representant i kriser der regionen er avskåret fra kontakt med sentrale myndigheter. Fylkesmannen har derfor også tilgang til Forsvarets nett, satellitt-telefoni og Nødnett som backup-løsning til offentlige ekom-tjenester.

Fylkesmannen benytter også CIM i sin krisehåndtering og i kommunikasjon med kommunene og offentlige etater.

20.1.4 Lokalt nivå

Uønskede hendelser og kriser oppstår alltid i en kommune. Til å begynne med er det kanskje bare virksomheten selv som er involvert, men etter hvert kan flere aktører komme til. Selv en lokal brann krever bidrag fra og samvirke med flere aktører – både private virksomheter, frivillige organisasjoner, DSB, Sivilforsvaret og nødetatene. Dette er aktører som en kommunal kriseledelse må forholde seg til og kunne kommunisere med. Alle relevante aktører er avhengige av ekomnett og -tjenester for å kommunisere med hverandre, og er prisgitt sikkerhetsnivået i disse.

Større hendelser som berører flere kommuner, løftes til fylkesnivå og gjerne også til høyere nivå i forvaltningen. Dette krever samvirke på tvers av sektorer og virksomheter.

Kommunene har ansvar for mange viktige samfunnsfunksjoner, som spenner vidt i fagområder og gjør at en kommunal kriseledelse må være forberedt på å håndtere hendelser av svært ulik karakter og med svært mange og ulike aktører. Sivilbeskyttelsesloven og forskrift om kommunal beredskapsplikt setter rammene for lokal krisehåndtering.

Forskrift om kommunal beredskapsplikt

Kommunene skal være forberedt på å håndtere alle uønskede hendelser og med utgangspunkt i en helhetlig risiko- og sårbarhetsanalyse utarbeide en overordnet beredskapsplan, inkludert IKT-hendelser – alt fra uønskede hendelser i kommunenes IKT-systemer til større nasjonale IKT-kriser som får konsekvenser for kommunene.

I lov og forskrift stilles det ingen konkrete krav til IKT-sikkerhet, men på samme måte som for det regionale og sentrale nivået ligger dette implisitt ved at nødvendig funksjonalitet er avhengig av fungerende IKT-systemer. Det går imidlertid frem av forskrift om kommunal beredskapsplikt at kommunens ROS-analyse som minimum skal omfatte «særlige utfordringer knyttet til kritiske samfunnsfunksjoner og tap av kritisk infrastruktur».

20.1.5 Sivilt–militært samarbeid i kriser

Politiet har ofte en sentral lederrolle i krisesituasjoner og kan via bistandsinstruksen be Forsvaret om assistanse. Eventuell bistand på IKT-sikkerhetsområdet reguleres på samme måte.

Forsvarsdepartementet har satt i gang et arbeid med å revidere operativt strategisk planverk for kriser og væpnet konflikt / krig. Forsvarets arbeid på dette feltet vil på flere områder basere seg på bidrag fra det sivile samfunnet innenfor rammen av totalforsvaret (se punkt 8.2 «Sentrale myndighetsaktører med særlig ansvar for oppfølging av IKT-sikkerhet»). I denne forbindelse blir det gjort en gjennomgang av totalforsvarskonseptet og det sivile samfunnets støtte til Forsvaret i samarbeid med DSB.42 Videre har Justis- og beredskapsdepartementet, i samarbeid med Forsvarsdepartementet, bedt DSB om å utrede avhengigheter mellom Forsvarets digitale infrastruktur og den sivile ekominfrastrukturen. Offentlig mobiltelefoni er så langt det eneste felles kommunikasjonsmiddelet for totalforsvarsaktørene innen nasjonal kriseledelse, det vil si sentral kriseledelse, Fylkesmannen, kommunenes kriseledelse, nødetatene, Sivilforsvaret, helseforetakene og Forsvaret.43

På vegne av Justis- og beredskapsdepartementet har DSB ansvar for å koordinere de årlige NATO-øvelsene Crisis Management Exercise (CMX) på sivil side. På norsk side er øvelse CMX åpen for deltagelse fra departementer, enkelte sentrale etater og fylkesmenn. Hensikten er å øve både eksisterende konsultasjons- og krisehåndteringsprosedyrer og prosedyrer under utvikling mellom NATO og medlemslandene. Ett av hovedmålene i CMX 2015 var å øve et stort cyberangrep.

20.1.6 Risiko- og krisekommunikasjon

Prinsipper for krisekommunikasjon

I enhver krisesituasjon er behovet for og nødvendigheten av å nå ut med riktig og veiledende informasjon til befolkningen essensielt. Kommunikasjon med befolkningen spenner fra varsling og risikokommunikasjon før, under og etter en krise til ren krisekommunikasjon som veileder og informerer under en hendelse. Kommunikasjonen skal begrense usikkerhet om ansvarsforhold, klargjøre hva virksomheten gjør for å løse problemet, redusere omfanget av krisen og formidle hvordan de som er rammet, kan få hjelp og støtte. Krisekommunikasjon inkluderer kommunikasjon med medier, samarbeidspartnere, egne ansatte og befolkningen i alvorlige situasjoner og kriser. En effektiv risiko- og krisekommunikasjon krever fungerende IKT-systemer.

Statens kommunikasjonspolitikk44 er ment å være utgangspunkt og rammeverk for utarbeidelse av lokale planer og strategier for informasjon og kommunikasjon. Statens kommunikasjonspolitikk omtaler ulike typer kommunikasjon, inklusiv krisekommunikasjon.

Kommunikasjonskanaler og varsling

Myndigheter på ulike nivåer benytter flere ulike virkemidler for å ivareta sitt informasjons- og kommunikasjonsansvar. Det finnes i dag mange ulike kanaler og virkemidler som kan tas i bruk for å informere befolkningen i krisesituasjoner. Eksempler er kringkasting, mediehus, sosiale medier, flygeblader med mer. Valg av kanaler avhenger av hvilke krisesituasjoner en står overfor, hvem som er målgruppene, og hvilke kanaler som er tilgjengelige.

NRK har en spesiell rolle i nasjonal beredskapssammenheng ved at de har en plikt til å formidle informasjon til befolkningen i krisesituasjoner gjennom beredskapskanalen NRK P1. I tillegg foreligger det en nærradioavtale som gjør at NRK kan overføre sine sendinger til andre lokalradiostasjoner ved brudd i eget nett.45 Denne ordningen ble benyttet under Dagmar i 2011, da NRK falt ut i Møre og Romsdal. Det er stor bevissthet i befolkningen om at myndighetene vil gi nødvendig informasjon over radio, og FM-båndet er i tillegg et svært robust.

Kulturdepartementet har vedtatt å avvikle FM-båndet og heldigitalisere norsk radio innen 2017.46 Det er imidlertid stilt betingelser som må oppfylles før avviklingen skal kunne gjennomføres. I denne sammenheng er blant annet NRKs og P1s rolle som beredskapsfunksjon omtalt, og departementet har vurdert dekning og lydkvalitet samt forholdet til lokalradioer og bruk av mobilnettet som varslingskanal. Når det gjelder dekning, er det stilt krav om at NRKs radiotilbud må ha digital dekning tilsvarende dagens P1‐dekning i FM-nettet, og at frekvensblokkene som er satt av til kommersielle kanaler, til sammen må være utbygd til å dekke minst 90 prosent av befolkningen.Nkom har på oppdrag fra SD og KUD beregnet og målt dekningen for DAB-nettene (Digital Audio Broadcasting) i Norge, og konkluderte i februar 2015 med at de dekningsmessige vilkårene for avvikling er oppfylt.47

DSB etablerte i januar 2012 nettstedet www.kriseinfo.no for risiko- og kriseinformasjon. Kriseinfo.no er en portal som samler myndighetsinformasjon i kriser og lenker til relevant informasjon hos andre aktører. I de tilfellene Internett er utilgjengelig, vil informasjon fortrinnsvis måtte gis gjennom andre kanaler. Alternative kommunikasjonskanaler bør være omtalt i beredskapsplanene til myndighetene. Kriseinfo.no publiserer også på Facebook og Twitter.

Hver enkelt kommune og hver enkelt virksomhet har ansvar for å varsle befolkningen ved kriser. I hovedsak benyttes SMS-varsling til dette. Men også varsling via sirener (tyfoner) blir brukt, eksempelvis i industriområdet i Grenland. DSB har gjennom Sivilforsvaret ansvaret for den nasjonale befolkningsvarslingen ved bruk av tyfoner. Disse utløses via FM-båndet. Når FM-båndet legges ned, vil utløsermekanismen mest sannsynlig kobles på Nødnett.

For IKT-hendelser er NSM NorCERT det tverrsektorielle nasjonale IKT-responsmiljøet. Flere andre sektorer er i ferd med å etablere egne responsmiljøer. Dette legger forholdene til rette for på sikt å kunne dele informasjon om trusler, sårbarheter og tiltak og dermed oppnå et mer helhetlig situasjonsbilde og en bedre håndtering av spesielt målrettede angrep og IKT-hendelser (se kapittel 21 «Avdekke og håndtere digitale angrep»).

20.2 Sårbarheter knyttet til styring og kriseledelse

I beskrivelsen av sårbarheter vil utvalget spesielt vise til pinseflommen i 2011 og ekstremværet Dagmar samme år. Dette er eksempler på hendelser som fikk konsekvenser for styring og kriseledelse for ulike etater. I begge hendelsene var utfordringen særlig knyttet til samordning mellom aktører som skulle håndtere krisen, og kommunikasjon mellom befolkningen og myndighetene.

Utvalget bruker også funn fra DSBs Nasjonalt risikobilde 201448, som presenterer et hypotetisk cyberangrep på ekominfrastruktur som et scenario.

20.2.1 Samhandlingsutfordringer og behov for informasjonsdeling

Evalueringer fra en rekke øvelser og reelle hendelser viser at samhandling og informasjonsdeling er både svært viktig og utfordrende i en krisesituasjon. Manglende informasjonsdeling kan blant annet føre til en begrenset felles og oppdatert situasjonsforståelse, noe som er viktig for evnen til krisehåndtering.

Et effektivt samarbeid på tvers av organisasjoner krever at tekniske systemer kan kommunisere og utveksle informasjon, og at de samarbeidende organisasjonene kan samvirke ved å bruke utstyret. I mange tilfeller er disse organisasjonene teknisk heterogene og har ulik kommunikasjonskultur og organisasjonsstruktur. Dette utfordrer samvirke og samarbeid i praktiske krisesituasjoner. 22. juli viste at den eneste felles plattformen for kommunikasjon var mobilnettet, og at viktige aktører ikke fikk mulighet til å utveksle gradert informasjon på grunn av mangel på godkjente systemer og informasjonsutveksling mellom fagsystemer.49

Selv om samhandling og informasjonsdeling er nyttig og nødvendig, har utstrakt deling av informasjon også en skyggeside. At flere gis tilgang til informasjon, og at systemer kobles sammen, gir økt sårbarhet. Det blir derfor viktig også å gjøre en verdivurdering av informasjon og kartlegge behovet for beskyttelse av sensitiv informasjon gjennom tilgangskontroll og kryptering.

DSB har nylig stilt sammen funn fra de største øvelsene i perioden 2006–2014. I perioden er det kun under øvelse IKT (2008), øvelse Orkan (2012) og øvelse Østlandet (2013) digital infrastruktur har vært utsatt for påkjenninger som er relevante i denne sammenhengen. Påkjenningene har kommet som følge av naturhendelser. Funn fra øvelsene knyttet til digital infrastruktur kan kort oppsummeres slik: Virksomheter mangler egenberedskap for slike hendelser, herunder nødstrøm og alternative kommunikasjonsløsninger. De som har kommunikasjonsutstyr, mangler brukerkompetanse, og det er uklare ansvarsforhold knyttet til håndtering.

20.2.2 Avhengigheter på lokalt og regionalt nivå, og kompetanseutfordringer

Svært ofte er bortfall av ekomtjenester en følgehendelse av bortfall av kraft. Hvis man er forberedt på og har en beredskap for bortfall av kraft, vil man følgelig stå sterkere i tilfelle bortfall og svikt i ekomtjenester. Funn fra tilsyn med regionalt og lokalt nivå viser at det er ulike oppfatninger om hvilke krav til egenberedskap som gjelder.

I 2012 gjennomførte DSB er utredning om kommunenes beredskap mot bortfall av elektrisk kraft.50 Utredningen viste at mange norske kommuner vil kunne få store problemer ved langvarig bortfall av elektrisk kraft. Det kom blant annet frem at det er til dels store svakheter knyttet til reservestrøm for viktige samfunnsfunksjoner og tjenester som kommunene har ansvaret for å opprettholde. Mange kommuner ville også fått problemer med å opprettholde nødvendig kommunikasjon dersom ekomtjenester falt bort som følge av strømbrudd.

Det er en tydelig sammenheng mellom gjennomføring av risiko- og sårbarhetsanalyser (ROS-analyser) og utarbeidelse av beredskapsplaner og kommunenes sårbarhet overfor bortfall av elektrisk kraft. I kommuner der bortfall av elektrisk kraft var inkludert i ROS-analyser, hadde man bedre oversikt over de utfordringene som kan oppstå, flere forebyggende tiltak var iverksatt, og beredskapsplanverket var i større grad tilpasset og egnet som hjelpemiddel for kommunens kriseledelse enn i kommuner som ikke hadde prioritert dette arbeidet. Videre var det en betydelig andel av kommunene som ikke hadde en beredskapsplan der bortfall av elektrisk kraft var dekket, og mange hadde ikke planlagt for mer enn ett døgns strømbrudd.5152

Status for kommunenes beredskap for bortfall av kraft og ekom ble fulgt opp gjennom Kommuneundersøkelsen i 2014.53 I denne undersøkelsen svarte 16 prosent at de ikke hadde, eller var usikre på om de hadde, beredskap for bortfall av elektrisk kraft – mot 40 prosent i 2012. Spørsmålene i 2012-undersøkelsen var imidlertid mer detaljerte og mer konkretiserte. Det er likevel grunn til å tro at situasjonen har bedret seg.

Beredskap for bortfall av ekom:

Figur 20.1 Alternative kommunikasjonsløsninger i kommunene i 2014.

Figur 20.1 Alternative kommunikasjonsløsninger i kommunene i 2014.

Kilde: DSB.

I 2014 ble også spørsmål om beredskap mot bortfall av ekom berørt, ved at det ble stilt spørsmål om alternative kommunikasjonsløsninger. Figuren over viser variasjoner i type kommunikasjonsløsning innenfor de ulike områdene. Satellitt-telefon er i større grad oppgitt som alternativ kommunikasjonsløsning for kriseledelsen enn for de andre områdene.

Selv om myndighetene har iverksatt nødvendige tiltak for å styrke sin robusthet ved å anskaffe alternative kommunikasjonsløsninger og nødstrøm, er man i all hovedsak avhengig av ekomnettet for å kommunisere. Et aspekt ved dette er at robustheten i ekomnettet er geografisk betinget som følge av vår topografi og demografi. Det er store forskjeller mellom spredtbygde distrikter og tettbygde strøk når det gjelder robusthet i underliggende kommunikasjonsinfrastruktur og dekning.54

Boks 20.1 Pinseflommen 2011

Under pinseflommen i 2011 førte utfallet i Telenors mobilnett til at NVE ikke fikk inn data fra målestasjoner i vassdragene. Disse dataene blir vanligvis sendt automatisk via Telenors mobilnett. Utfallet i mobilnettet gjorde det vanskelig for NVE å følge utviklingen i vannføringen mange steder, særlig den 10. juni, da flommen utviklet seg raskt. NVE kompenserte dette med bruk av modellberegninger og rapporter fra personer ute i felt og ved bruk av fasttelefon og satellitt-telefon.

Nødnett var i 2011 ennå ikke bygd ut i Gudbrandsdalen, og nødetatene hadde analoge sambandsløsninger. En av politiets utfordringer under pinseflommen var knyttet til oversikt og utarbeidelse av et felles oppdatert situasjonsbilde. Det var særlig viktig å opprettholde kommunikasjon med Statens vegvesen for å ha oversikt over fremkommeligheten i veinettet. Politiet hadde likeså behov for å fremskaffe opplysninger om hvor det var størst sannsynlighet for nye skred, og hvor det kunne bli behov for hurtig evakuering. Oversikt over fremkommelighet var også viktig for valg av transportmiddel for innsatspersonell og evakuerte hvis det skulle oppstå ulykker. På grunn av problemer med kommunikasjonen måtte politiet innhente oversikt over fremkommelighet ved å benytte flere alternative kanaler, blant annet informasjon fra lensmenn ute i bygdene og innrapportering via politiets samband og politihelikoptre. Politiet brukte derfor store ressurser på å skaffe seg en oversikt over veinettet. Det var også utfordringer knyttet til kommunikasjon med andre aktører, som kommunal kriseledelse, og til en viss grad innkalling av mannskaper. Politiets mannskaper varsles per telefon, og det er mange som ikke lenger har en fasttelefonlinje hjemme. I noen tilfeller ble det benyttet tjenestebil for å kontakte personell.

Vegvesenet, som skal ha oversikt over fremkommelighet på veinettet, stenge veier, skilte, holde vakt og ikke minst rekvirere driftsentreprenører, baserer i stor grad sin kommunikasjon på mobiltelefoni. Dette gjelder til dels internt, og særlig overfor driftsentreprenører, som de er avhengige av å nå. Under begge hendelsene hadde Vegvesenet store problemer med å nå ut til sine driftsentreprenører. Dette medførte at veier ikke ble effektivt ryddet og reparert fortløpende. Svikt i kommunikasjonen førte også til problemer med å få tak i informasjon fra lokalt nivå om hvilke veier som var fremkommelige. Manglende informasjon fra lokalt nivå medførte problemer med å gi Fylkesmannen, nødetatene og publikum et oppdatert situasjonsbilde av fremkommeligheten i veinettet.

Kompetansebehov på lokalt nivå

Både gjennom DSBs undersøkelser og andre innspill55 kommer det frem at mangel på IKT-sikkerhetskompetanse både på ledelsesnivå og hos ansatte er en utfordring på lokalt nivå. Dette er også beskrevet i kapittel 15 «Vannforsyning» og i punkt 19.3 «Kompetansesituasjonen i samfunnet». KINS trekker blant annet frem som en sårbarhet at ledelsen har mange tradisjonelle ansvarsområder, og at IKT-sikkerhet er et relativt nytt område som ikke når opp i forhold til andre, «gamle», oppgaver. Dessuten har mange et inntrykk av at dette er teknisk vanskelig.

Mange kommuner mangler dessuten et styringssystem og har for dårlig internkontroll. Videre pekes det på at IKT-sikkerhet anses for å være et teknisk komplisert område, og at det er lite og/eller for dårlig opplæring. Det er et stort behov for kontinuerlig opplæring.

KINS (Kommunal Informasjonssikkerhet) viser til at få eller ingen kommuner har gode reserveløsninger ved bortfall av IKT-systemer over lengre perioder. Årsaken til dette er etter KINS’ syn knyttet til kostnader og prioritering av IKT-beredskap, samt at dette er teknisk krevende å etablere og vedlikeholde.

Flere av utfordringene som synliggjøres ved bortfall av ekom og kraft i krisesituasjoner, har også elementer av kompetanseutfordringer ved seg. Kommunene har i liten grad gjort tilstrekkelige ROS-analyser og igangsatt tilstrekkelige tiltak for å styrke egenberedskapen ved bortfall av kritisk infrastruktur. Som et tiltak for å øke kompetansen hos kommunene har Nkom gitt ut en veileder som kan støtte deres ROS-analyser på ekomområdet.56

20.2.3 Risiko- og krisekommunikasjon

Både under pinseflommen i 2011 og under Dagmar samme år skapte svikten i telenettet problemer for myndighetenes arbeid med å gi informasjon til befolkningen. Fylkesmannen og kommunene hadde problemer med kommunikasjonen med hverandre og ut til andre aktører, noe som igjen førte til et mangelfullt situasjonsbilde. Under stormen Dagmar var det i tillegg ikke mulig å legge ut informasjon på Internett. Dette ble ytterligere komplisert i Møre og Romsdal da NRK P1 falt ut i lengre perioder.

Under pinseflommen var det et særskilt behov for å informere publikum om at mange veier var stengt som følge av flom og skred. Et brudd i mobilnettet førte imidlertid til at Vegtrafikksentralen tidvis ble overbelastet, noe som reduserte publikums muligheter til å motta informasjon om situasjonen. Kommunene kunne heller ikke gi oppdaterte oversikter, og de hadde ikke kapasitet til å hjelpe publikum som tok kontakt. Mange ringte til politiet, noe som medførte en ekstrabelastning også der.

Siden Internett ikke var rammet av bortfall under pinseflommen, søkte mange informasjon på kommunenes, Fylkesmannens og Vegvesenets nettsider. På grunn av problemene med å skaffe oppdaterte situasjonsbilder var imidlertid informasjonen på sidene ufullstendig.

Både under Dagmar og pinseflommen så man behov for å skape trygghet for bygder som var helt avskjermet, og som ikke hadde mulighet til å motta informasjon om situasjonen. Mange av kommunene uttrykte at en av de største utfordringene var kontakt med de delene av kommunen der telefoni var falt bort. Flere kommuner tok i bruk alternative løsninger for på best mulig måte å opprette en form for kommunikasjon.

Som en følge av bortfall av telefoni under Dagmar hadde befolkningen over store områder ikke mulighet til å nå nødetatene hvis det skulle oppstå kritiske situasjoner. Både kommunene og nødetatene ga uttrykk for at dette var en stor utfordring.

Avvikling av FM-båndet

Overgang til DAB gjør at nærradioer må kjøpe inn nytt utstyr. I NRK er det kommet frem at en del nærradioer kan få problemer med å finansiere dette og dermed videreføre driften. I lokalradioavtalen går det blant annet frem at det skal være teknisk mulig å videreformidle NRKs programmer samtidig og uendret på lokalradiostasjonenes frekvenser i ulike krisesituasjoner. Det er usikkert hvilken reell beredskapsmessig konsekvens overgangen til DAB-radio vil ha. I stortingsmeldingen om digitalisering av radioen57 pekes det på at det også er andre måter å varsle befolkningen i et område på – for eksempel via SMS – men denne evnen/muligheten må i så fall implementeres hos ansvarlige varslingsaktører som for eksempel politi og andre virksomheter.

I stortingsmeldingen omtales også NRKs beredskapsansvar. Det blir påpekt at NRKs beredskap kan bli svekket hvis digitaliseringen trekker ut i tid – dette fordi FM-nettet blir stadig eldre, noe som kan gi redusert oppetid. Det legges til grunn at NRK skal sørge for de nødvendige investeringene som må til for å opprettholde forsvarlig oppetid, så lenge FM-nettet benyttes.

I meldingen påpekes det at beredskapshensyn er viktige for dekningskravet til kanalen, men at distribusjonsnettet også må være robust, redundant og ha rom for reserveløsninger. Videre fremheves det at det etter hvert har vokst frem flere alternative beredskapskanaler – blant annet kan mobilnettene benyttes til å kringkaste SMS-meldinger til mobiler i et gitt område. En svakhet ved disse systemene er at de i en krisesituasjon kan bli overbelastet. Inntil videre må derfor P1 fremdeles fylle en funksjon som beredskapskanal. Kulturdepartementet skriver videre at de vil ta initiativ til en dialog med Direktoratet for samfunnssikkerhet og beredskap og Nasjonal kommunikasjonsmyndighet for å vurdere om det på sikt vil være grunnlag for å redefinere beredskapsrollen til NRK P1.

20.2.4 Meteorologiske tjenester

I Norge er Meteorologisk institutt (MET) gitt særskilte oppgaver knyttet til meteorologiske tjenester. MET bidrar med meteorologiske og klimatologiske data og tjenester som skal tjene som beslutningsstøtte for en rekke samfunnsområder. Særskilt prioriterte oppgaver er varsling av ekstreme værforhold, som sterk vind, store nedbørmengder, høye bølger og høy vannstand. Varsling av farlige utslipp til luft og hav, for eksempel ved kjernefysiske ulykker, vulkanutbrudd og oljesøl, er viktige nasjonale beredskapsoppgaver, i tillegg til all varsling i forbindelse med redningsoppdrag på land og til havs. Videre er viktige samfunnsfunksjoner som transport, jordbruk, forsvar, luftfart og sjøtransport avhengige av tjenestene.

Sentralt i mange krisehåndteringssituasjoner står evnen til å detektere og overvåke naturfarer. For å kunne ivareta dette er man helt avhengig av meteorologiske tjenester.

Klimadatabaser ved MET vurderes som fellesverdier som det er viktig å beskytte. Slike data lagres derfor også hos Riksarkivet. Overvåking og forskning på klima og tilgjengeliggjøring av data til langsiktig planlegging er viktig, for eksempel for å sørge for at infrastruktur, installasjoner og bygg tar høyde for et nytt og endret klima i fremtiden.

Meteorologisk infrastruktur

Den meteorologiske infrastrukturen i Norge består av automatiske og enkelte manuelle målestasjoner (for alle typer værparametere eller kun for nedbør), værradarer, lidarer, radiosonder, drivende bøyer og satellitter, som alle samler inn værdata og rapporterer jevnlig. I dag kan enkelte observasjonsstasjoner rapportere på minuttbasis, og behovet for tungregnekraft er derfor økende.

For å skaffe tilgang til resultater fra numeriske prognosemodeller er MET avhengig av egne og andres tungregneressurser. Meteorologisk institutt eier per i dag en tungregnemaskin sammen med NTNU. I tillegg har MET et operasjonelt samarbeid med det svenske meteorologiske instituttet (SMHI) om numeriske værprognoser. MET deler tungregneressurser med blant annet SMHI og bruker også SMHIs supercomputer som backup-system. Langtidsvarslene krever ytterligere tungregnekraft, og utføres i dag ved det internasjonale regnesenteret i Storbritannia (ECMWF). ECMWF eies av en rekke europeiske land i fellesskap, og er per i dag ledende innen sitt felt. Kommunikasjonen mellom Oslo og tungregnemaskinene går via Internett/UNINETT (i tillegg til NORDUnet og SUNET til Sverige). Randverdiene fra ECMWF kommer via Internett og RMDCN (dupliserte linjer).

MET er også avhengig av meteorologisk infrastruktur som tilhører andre statsetater, den internasjonale infrastrukturen og infrastrukturen i verdensrommet for å kunne utføre sine tjenester. Det er WMO (World Meteorological Organization) som sørger for at det internasjonale samarbeidet er koordinert, og at landene følger opp forpliktelsene som følger et slikt samarbeid.

Sårbarhet knyttet til meteorologiske tjenester

Den meteorologiske infrastrukturen er sårbar. For eksempel kan sabotasje, IKT-angrep eller naturfenomener slå ut viktige deler av denne infrastrukturen. Dette kan få svært uheldige følger, i og med at meteorologiske tjenester benyttes av en lang rekke kritiske funksjoner, for eksempel atomberedskapen, ekstremværberedskapen, redningstjenesten og oljevernberedskapen. At beslutningsstøtte som skriver seg fra den meteorologiske infrastrukturen, faller ut, kan derfor få svært alvorlige konsekvenser. Den meteorologiske tjenesteproduksjonen er dessuten avhengig av eksterne innsatsfaktorer som elektronisk kommunikasjon og satellittbaserte tjenester. Svikt i eller bortfall av disse innsatsfaktorene vil kunne medføre redusert kvalitet, svikt i produksjonen av og tilgjengeligheten til meteorologiske tjenester.

Den meteorologiske produksjonen er som nevnt tidligere avhengig av ulike inngangsdata og av at kommunikasjonsløsningene som benyttes, er tilgjengelige, blant annet at GSM-nettet ikke faller ut i uvær, eller at måleinstrumentene blir skadet eller faller ut i områdene som rammes.

MET har over tid fokusert på høy tilgjengelighet i egen infrastruktur gjennom redundans på datarom, strøm, kommunikasjon og IKT-tjenester. Driftsovervåking hos MET er en døgnkontinuerlig tjeneste.

Logiske sårbarheter i IKT-systemer og -infrastruktur og tilgjengelighet til riktig kompetanse ved alvorlige avvik vurderes til å være noen av de største sårbarhetene ved meteorologiske tjenester. I tillegg viser MET til at man ved anskaffelser må etterspørre sikkerhetsdokumentasjon fra systemleverandørene, og at ikke alle er like bevisste på systemsikkerhet. MET har opplevd alvorlig avvik. Ved et konkret tilfelle gjennomførte en leverandør en planlagt systemendring, som kunne ha medført alvorlige konsekvenser for infrastrukturen, og dermed viktige leveranser.

UNINETT og CERT-funksjonen

UNINETTs leveranser er kritisk for både innsamling av data, intern kommunikasjon, kommunikasjon til tungregnemaskinene og distribusjon av værvarsler. UNINETT CERT er METs CERT ved cyberangrep. De videreformidler informasjon fra NSM NorCERT og er også de som vil bistå ved angrep mot MET eller annen infrastruktur tilknyttet forskningsnettet.

20.2.5 Kommunikasjonsløsninger for departementene

Fire departementer58 pluss Statsministerens kontor har valgt å etablere egne IKT-løsninger utenfor DSS. DSS fikk i 2013 i oppdrag å utrede en sikker, ugradert løsning for alle departementene. Denne prosessen ble stoppet, blant annet på bakgrunn av rapporten fra konsulentfirmaet Metier i forbindelse med kvalitetssikring fase 2.59

Kartleggingen viste at brukerne av dagens fellesløsninger i hovedsak ikke er fornøyd med tjenestene som blir levert av DSS. De fem som står utenfor, har ifølge rapporten liten tiltro til DSS som tjenesteleverandør og prosjektgjennomfører. Denne manglende tiltroen til DSS og forankringen er et viktig premiss for Metiers anbefaling om ikke å godkjenne prosjektet for fremleggelse for Stortinget. Konklusjonen i denne prosessen ble derfor at man valgte en løsning med å videreutvikle DSS’ nåværende ugraderte løsning i departementsfellesskapet.

20.2.6 Målrettede IKT-angrep

Ifølge ekspertgruppen for forsvaret av Norge må Norge være forberedt på å bli stilt overfor manøverkrigføring, geriljakrigføring og andre former for irregulær krig, hybrid krigføring, avskrekking med kjernevåpen og angrep i det digitale rom.

DSBs Nasjonalt risikobilde 201460 presenterer et hypotetisk cyberangrep på ekominfrastruktur som et scenario. Her omtales blant annet de samfunnsmessige konsekvensene et slikt scenario vil få for ulike samfunnsfunksjoner. Scenarioet beskriver et logisk angrep mot Telenors transportnett som gjør at ekomtjenester som telefoni og Internett faller ut over hele landet i fem døgn.

Scenarioet beskriver enorme samfunnsmessige konsekvenser, også knyttet til styring og kriseledelse. Sentrale institusjoners evne til å utføre sine tiltenkte oppgaver vil bli svekket og informasjonsgrunnlaget mangelfullt. Sentraladministrasjon, finansinstitusjoner og presse vil ikke kunne utføre sine ordinære oppgaver. Det samme gjelder beredskapsaktører med definerte krisehåndteringsoppgaver, som for eksempel Krisestøtteenheten, nødetatene, hovedredningssentralene med flere. I et slikt scenario må kommunikasjon mellom beredskapsaktørene på de ulike nivåene skje via backup-systemer med svært begrenset kapasitet. Dette gjelder både VHF-radiosamband og håndholdte satellitt-telefoner. Som tidligere nevnt i kapittel 11 «Elektronisk kommunikasjon», er Forsvaret også til dels avhengig av det nasjonale sivile transportnettet for å nå sine sivile samarbeidspartnere.

Mennesker i akutte nødsituasjoner får ikke kontakt med politi, ambulanse, legevakt og brannvesen via nødnumrene. Dette antas å gi en følelse av manglende kontroll over egen situasjon og svekket tillit til myndighetene. Bortfall av ekom vil også ha store konsekvenser for krisekommunikasjon. Viktige informasjonskanaler til publikum blir borte.

I kriser der det står målrettede aktører bak som har større kapasitet til å operere i det digitale rom og/eller utføre psykologisk krigføring og fysisk sabotasje, vil utfordringene bli annerledes og større enn det vi hittil har sett. Det er noen forhold som spesielt bidrar til dette. Det ene gjelder flere samtidige hendelser, gjerne geografisk spredt, noe som krever koordinering og samordning både på lokalt, regionalt og sentralt nivå og på tvers av ansvarsområder.

Det andre forholdet er relatert til villedning og påvirkningskampanjer i digitale medier. I Norge er det et uttalt mål at myndighetene skal være på de samme sosiale kanaler som befolkningen. I pågående sikkerhetspolitiske kriser ser en at parter på begge sider i konflikter opererer i de samme sosiale mediekanalene, og at ulike teknikker blir tatt i bruk for å påvirke motparten, for eksempel sosial manipulasjon for å få tilgang til passord på sosiale medier og bruk av falske brukerkontoer og falske «likes» for å påvirke grupper i befolkningen. I tillegg til denne dimensjonen kommer sympatisører og hackergrupperinger som angriper motpartens nettsider og IKT-systemer. Som omtalt i kapittel 7 «Utilsiktede og tilsiktede hendelser»,kan digitale angrep av ulik karakter og styrke kjøpes på nett.

Sosiale medier er også benyttet som inngangsport til spionasje. Et eksempel er Taliban-opprørere som laget falske profiler og fremsto som attraktive kvinner som søkte vennskap med koalisjonssoldater. Baktanken var å skaffe informasjon om operasjonene.61 Det digitaliserte samfunnet er spesielt sårbart for informasjonsoperasjoner, og samfunnet må ha beredskap for å håndtere denne typen sammensatte trusler. De profesjonelle mediene er viktige informasjonsformidlere i nasjonale kriser. Journalister på stedet bidrar til å skape et situasjonsbilde, men de risikerer også å bli formidlere av feil informasjon når de henter informasjon fra sosiale medier.62

Målrettede trusler mot informasjonssystemer, der informasjon blir manipulert og endret av ikke-autoriserte personer, er derimot et prematurt område. Trusselen i dag er primært utøvd utenfor Norges grenser, og den er aktuell i større konflikter og krig. Krisehåndtering for å håndtere slike trusler blir det øvd lite på i sivil sektor. Når informasjonsinnholdet blir upålitelig, vil det for det første kunne øke usikkerheten, noe som i sin tur kan forsinke beslutningsprosessen. Dernest vil det, dersom det er uoppdaget, føre til at beslutninger tas på feil grunnlag. Feil beslutninger vil spre seg til de mange aktørene som er involvert i krisehåndteringen. Informasjon fra pålitelige kilder, for eksempel egen etterretning eller vitneobservasjoner på stedet, vil være viktig for å sjekke gyldigheten til informasjonen.63

20.3 Vurderinger og tiltak

Det er ikke mulig å garantere 100 prosent oppetid på ekom- eller kraftnett. Det er med andre ord en restrisiko som en ikke kan fjerne helt, selv med forebyggende og skadebøtende tiltak.

Denne restrisikoen er også geografisk betinget. Dette skyldes ulike forhold knyttet til vær og vind, topografi, befolkningstetthet og hvor robust infrastrukturen er i området. Det er viktig å forberede både befolkningen og virksomhetene på å klare å leve med denne risikoen og håndtere konsekvensene i en avgrenset tidsperiode inntil systemene er gjenopprettet, uten at det medfører sosial uro. Da trengs det beredskapsplaner og -tiltak som er tilpasset det digitale samfunnet.

Et aspekt ved dette er at myndighetene på alle nivåer må ha tilstrekkelig kompetanse for å håndtere restrisiko og sette inn kostnadseffektive forebyggende tiltak. Dette krever også at både myndigheter, virksomheter og enkeltpersoner har et bevisst forhold til sårbarhetsbildet. Erfaringer fra både hendelser, internasjonale kriser og øvelser viser at denne bevisstheten ikke er til stede i tilstrekkelig grad. Det er et gap mellom befolkningens forventninger til IKT-systemenes sikkerhet og det faktiske sikkerhetsnivået. Utvalget vil derfor anbefale følgende tiltak:

20.3.1 Øke IKT-sikkerhetskompetansen på lokalt og regionalt nivå

Den økte digitale kompleksiteten fører til store utfordringer for lokalt og regionalt nivå. Særlig gjelder dette i kommunesektoren, med mange små enheter som har ansvar for viktige systemer og tjenester, men som også kan ha manglende kompetanse på IKT-sikkerhet. Utvalget observerer at det mangler en felles arena for IKT-sikkerhet i kommunesektoren. Mange kommuner har behov for økt veiledning for å gjennomføre blant annet gode ROS-analyser og etablering av styringssystemer som ivaretar IKT-sikkerhet. Utvalget ser at kommunale fellesarenaer kan bidra til å øke kompetansen, ved for eksempel at det utveksles informasjon om IKT-sikkerhetsløsninger.

Utvalget anbefaler derfor at Justis- og beredskapsdepartementet i samarbeid med Kommunal- og moderniseringsdepartementet tar initiativ til etablering av en felles arena for IKT-sikkerhet for lokalt og regionalt nivå. I denne sammenheng bør det ses til videreføringen av KommIT64 som skal bidra til å høyne forståelsen av og kunnskapen om IKT som virkemiddel for effektivisering og kvalitetsheving i kommunal sektor, og om dette programmet også bør omfatte IKT-sikkerhet, samt det arbeidet som KINS gjør på området.

Utvalget mener videre at det er behov for å tydeliggjøre hvilke krav og forventninger for IKT-sikkerhet som legges til lokalt og regionalt nivå. Utvalget henviser til gjeldende lovverk med forskrifter, samt anbefalinger i denne NOUen om hendelseshåndtering, og anbefaler at JD tydeliggjør sin styring på IKT-sikkerhetsområdet og koordinerer sine krav med krav og forventninger fra KMD. Den praktiske styringen bør følges opp av aktuelle tilsynsmyndigheter. En klargjøring av krav og forventninger, sammen med økt veiledning vil også kunne bidra til økt bevissthet og kompetanse.

20.3.2 Styrke beredskapen på regionalt og lokalt nivå

Utvalget ser at det er behov for å øke evnen til å håndtere IKT-kriser på lokalt og regionalt nivå. Fylkesberedskapsrådet (FBR) har i dag representanter fra kraftbransjen (KBO), Telenor og Nkom som representant fra ekom-sektoren. Utvalget mener det bør vurderes om dette forumet bør utvides med representanter fra andre infrastrukturer og viktige leverandører.

Utvalget mener videre at det må etableres en mekanisme for deteksjon og håndtering av IKT-sikkerhetshendelser for kommunesektoren. I denne forbindelse bør det ses til det pågående arbeidet med å vurdere en etablering av en kommune CSIRT, se kapittel 15 «Vannforsyning», kapittel 17 «Helse og omsorg»og kapittel 21 «Avdekke og håndtere digitale angrep». Utvalget vil også vise til viktigheten av at det gjennomføres tverrsektorielle øvelser som har IKT-sikkerhet som øvelsesmål.

20.3.3 Etablere felles gradert IKT-infrastruktur

Det er under utvikling et felles gradert system for sentralforvaltningen, noe utvalget ser på som viktig. Utvalget er kjent med at brukervennligheten oppleves som lav for en del av de graderte systemene som finnes i dag, og at det trenes for lite på å bruke dem. Dette kan tale for variantbegrensning, men det må vurderes opp mot de ulike behovene og den robustheten som ulike systemer gir. Mange departementer og etater peker i dag på at det er flere aktører som tar initiativ på dette området, og at det er uklart hvem som har det overordnede ansvaret.

Utvalget vil derfor anbefale at Justis- og beredskapsdepartementet tydeliggjør hvilket departement som skal ha dette ansvaret, og også klargjør hvilke roller og hvilket ansvar KMD og FD har i dette bildet.

I denne forbindelse vil utvalget også anbefale at den eventuelle videreutviklingen av SON ledes av Justis- og beredskapsdepartementet, og støtter med dette anbefalingen fra NSMs Sikkerhetsfaglige råd.

20.3.4 Vurdere virkemidler for kommunikasjon med befolkningen

I dag benyttes flere virkemidler og kanaler for kommunikasjon med befolkningen under kriser. Felles for de fleste er at de er avhengige av en tilgjengelig ekominfrastruktur. NRK P1 har en særskilt rolle ved befolkningsvarsling.

Forut for avgjørelsen om nedleggelse av FM-båndet utførte Nkom en analyse. I denne ble dekningsmessige forhold belyst. Det er utvalgets oppfatning at beredskapshensyn i liten grad er vurdert i forbindelse med avviklingen av FM-båndet. Utvalget ser dette som et eksempel på at myndighetene i for liten grad vurderer sikkerheten i tilknytning til større samfunnsmessige endringer i struktur, organisasjon og teknologi. Denne problemstillingen er også omtalt i kapittel 23 «Tverrsektorielle sårbarhetsreduserende tiltak».

Å beholde FM-sendinger vil muligens ikke bidra til bedre robusthet, fordi ingen etter hvert vil ha mottakerapparat, og teknologien vil heller ikke bli vedlikeholdt. Fremtidige IP-løsninger vil etter utvalgets vurdering ha innvirkning på hvilken utbredelse DAB vil få. Dette avhenger spesielt av den teknologiske utviklingen og markedet. Utvalgets vurdering er at hvis trenden med IP-løsninger slår inn, vil «alle egg bli lagt i samme kurv». Det vises her til kapittel 11 «Elektronisk kommunikasjon».

Utvalget vil derfor anbefale at DSB vurderer bruken av virkemidler for kommunikasjon med befolkningen i kriser og i denne sammenheng også vurderer beredskapsrollen til NRK i samarbeid med Kulturdepartementet.

21 Avdekke og håndtere digitale angrep

Dette kapittelet omhandler de digitale sikkerhetsutfordringene ved IKT-kriminalitet, spionasje, sabotasje og terror. Utvalget vurderer i kapittelet behovet for å kunne avdekke, håndtere og etterforske digitale angrep, og omhandler både nasjonal sikkerhet, samfunnssikkerhet, individets sikkerhet og personvern.

Presumptivt lave kostnader ved og mulighet til å operere i det skjulte gjør det digitale rom til en attraktiv arena for å begå uønskede handlinger.65 Økt bruk av teknologi og Internett åpner for kriminelle handlinger mot staten, næringslivet og enkeltindivider. De digitale angrepene øker i omfang og blir stadig mer målrettet, og de kan i ytterste konsekvens ramme nasjonal sikkerhet ved at kritiske funksjoner blir satt ut av spill. Kriminalitet og mellomstatlige kriser og konflikter har i stadig større grad elementer av digitale angrep.

Nyhetsbildet de siste årene har vært preget av tjenestenektangrep, datatyveri og IKT-sabotasje. Digitale angrep har i første rekke vært en trussel mot tilgjengelighet og konfidensialitet, men med økende fare for skade på kritisk infrastruktur, lammelse av kritiske samfunnsfunksjoner og i ytterste konsekvens fare for liv og helse. Internett ble brukt til å planlegge terrorangrepet mot redaksjonen til satiremagasinet Charlie Hebdo i Paris i januar 2015. Fransk politi brukte Internett som et ledd i etterforskningen, og det franske folket brukte Internett for å organisere massedemonstrasjoner. I november 2014 ble verden vitne til at hackere brukte Internett til å gjennomføre dataangrep mot Sony Pictures ved å stoppe kinovisningen av filmen «The Interview». Som en respons, og for å forsvare ytringsfriheten, publiserte Microsoft og Google filmen via Internett. Dette er eksempler på at Internett har fått en avgjørende rolle både før, under og etter en hendelse.

I dette kapitlet er Ressursgruppen benyttet som et begrep for å henvise til rapporten fra en nedsatt arbeidsgruppe. Utvalget har behandlet rapporten på lik linje med andre innspill. Se elektronisk vedlegg «Avdekke, håndtere og etterforske digitale angrep».

21.1 Sentrale begreper og føringer

21.1.1 Sentrale begreper

Med IKT-hendelse mener utvalget situasjoner der IKT-systemer blir utsatt for utilsiktede eller tilsiktede uønskede hendelser. Alvorlige IKT-hendelser er hendelser som rammer samfunnskritisk infrastruktur, samfunnskritisk informasjon eller samfunnskritiske funksjoner på en slik måte at det får betydning for samfunnets og befolkningens trygghet. IKT-hendelser og cyberhendelser blir i det følgende brukt som synonymer.

Med digitale angrep mener utvalget tilsiktede IKT-hendelser. Disse IKT-hendelsene er handlinger i eller gjennom det digitale rom med hensikt å skade eller påvirke personell, materiell eller konfidensialiteten, integriteten, tilgjengeligheten eller autentisiteten til et IKT-system,66 for eksempel i form av sabotasje-, spionasje- eller terrorhandlinger. Dette står i kontrast til utilsiktede IKT-hendelser, som er forårsaket av svikt og uhell.

Begrepene spionasje, sabotasje og terror er definert i straffelovens § 147 og sikkerhetslovens § 3 nr. 3-5.

IKT-kriminalitet67 er IKT-hendelser som er straffbare etter norsk lov. Norsk lovgivning har ingen definisjon av IKT-kriminalitet.68 Begrepet deles ofte inn i to grupper: kriminalitet rettet mot selve IKT-systemene og kriminelle handlinger begått ved hjelp av IKT som et vesentlig redskap.69 I forbindelse med Norges ratifisering av Europarådets Budapestkonvensjon70 ble det gjennomført en kartlegging av nødvendige lovendringer.71 En ny straffelov72 ble vedtatt som følge av dette, der det i kapittel 21 er samlet straffebestemmelser for vern av informasjon og informasjonsutveksling, herunder «innbrudd i datasystem», «krenkelse av retten til privat kommunikasjon», «fare for driftshindring» og «identitetskrenkelse».

IKT og Internetts betydning for kriminalitetsbekjempelsen beskrives av politiet ofte langs tre akser: objektet eller åstedet for forbrytelsen (kriminalitetsform), verktøyet for forbrytelsen (modus) og kilde til spor (sporsted).

Elektroniske spor er elektronisk informasjon som kan knyttes til en person, en elektronisk enhet, et sted eller en hendelse. Elektroniske spor er i dag relevant i nær sagt all etterforskning.

Politiet bruker begrepet IKT-tekniske undersøkelser om tekniske operasjoner for å innhente og analysere elektroniske spor. Se punkt 7.2.1 «IKT-kriminalitet» for eksempler på kriminalitetsformene.

Med situasjonsbilde mener utvalget et kontinuerlig oppdatert øyeblikksbilde om pågående hendelser og aktiviteter. Et trusselbilde73 er en vurdering av de farene og truslene samfunnet står overfor, samt hvilke metoder og hendelser som anses sannsynlige. Trusselbilder utgis ofte periodevis.

Begrepene overvåking (surveillance) og monitorering (monitoring) vil i det følgende bli brukt om hverandre.

Etterretning og analyse brukes om prosesser for å innhente og sammenstille informasjon. Politiets etterretningsdoktrine definerer etterretning som «en styrt prosess, bestående av systematisk innsamling, analyse og vurdering av informasjon om personer, grupper og fenomener for å danne grunnlag for beslutning». Forsvarssjefens etterretningsdoktrine definerer begrepet slik: «Etterretning er systematisk innhenting og bearbeiding av informasjon som angår utenlandske forhold ervervet med åpne og fordekte metoder i en statlig legal ramme. Produktene skal redusere usikkerhet, skape forståelse og har ofte en prediktiv karakter. Begrepet brukes både om produktet, aktiviteten og organisasjonen som utøver aktiviteten».

21.1.2 Nasjonale føringer, rapporter og viktige hendelser

Det finnes en rekke nasjonale føringer, rapporter og milepæler som omhandler IKT-sikkerhetsutfordringer med relevans for dagens kapasiteter. Øvrige initiativer og rapporter er beskrevet i kapittel 8 «Organisering av roller og ansvar». Figur 21.1 oppsummerer et utvalg av disse.

Figur 21.1 Oppsummering av utvalgte nasjonale føringer, rapporter og milepæler.

Figur 21.1 Oppsummering av utvalgte nasjonale føringer, rapporter og milepæler.

Regjeringens ambisjoner og mål for håndtering av IKT-hendelser fremgår blant annet av Meld. St. 29 (2011–2012) Samfunnssikkerhet og Nasjonal strategi for informasjonssikkerhet. I tillegg har Justis- og beredskapsdepartementet nylig utgitt en nasjonal strategi for å bekjempe IKT-kriminalitet.74

21.2 Roller og ansvar

Det overordnede ansvaret for håndtering av digitale angrep og IKT-kriminalitet ligger hos Justis- og beredskapsdepartementet og Forsvarsdepartementet, som beskrevet i kapittel 8 «Organisering av roller og ansvar». I det følgende gjennomgås de mest sentrale aktørene som har utøvende ansvar for håndtering og etterforskning av IKT-kriminalitet, terror, spionasje og sabotasje. Prinsipper for krisehåndtering og kriseorganisering på sentralt nivå er omtalt under kapittel 20 «Styring og kriseledelse».

21.2.1 Nasjonal sikkerhetsmyndighet

NSM NorCERT er den funksjonen i Nasjonal sikkerhetsmyndighet som er «ansvarlig for å koordinere håndteringen av alvorlige IKT-angrep på samfunnskritisk infrastruktur eller andre viktige samfunnsfunksjoner og for å organisere og drifte et nasjonalt varslingssystem for digital infrastruktur.»75NSM koordinerer også håndteringen av sikkerhetstruende hendelser knyttet til sikkerhetsgradert informasjon, herunder kryptosystemer, IKT-systemer med mer, og skjermingsverdige objekter etter sikkerhetsloven. I denne sammenheng rapporterer NSM til NATO/EU og bilaterale samarbeidspartnere når hendelsen berører informasjon utstedt av disse.

NSM NorCERT er døgnbemannet og kan bistå med koordinering av hendelser og teknisk analyse av maskiner, skadelig kode og logger. Informasjonsinnsamling foregår blant annet gjennom VDI-sensornettverket. Varslingssystem for digital infrastruktur (VDI) ble etablert av EOS-tjenestene i 1999 som et prøveprosjekt. VDI ble i 2003 lagt til NSM og i 2006 utvidet til også å omfatte en nasjonal responsfunksjon ved slike angrep: NorCERT (Norwegian Computer Emergency Response Team), nå benevnt NSM NorCERT. Slik innsamling og deling av informasjon foregår også gjennom andre nasjonale og internasjonale responsmiljøer og samarbeidende tjenester. NSMs VDI-sensornettverk detekterer, varsler og verifiserer uønskede hendelser. Koordinering av håndteringen skjer i nært samarbeid med Politiets sikkerhetstjeneste og Etterretningstjenesten, sektorvise responsmiljøer og berørte virksomheter. EOS-tjenestenes arbeid koordineres i Cyberkoordineringsgruppen (CKG), som ledes av NSM. Tjenestene kan i fellesskap beslutte at også andre etater kan tiltre forumet. Kripos og Cyberforsvaret møter derfor regelmessig i det som betegnes som en utvidet CKG.

NSM NorCERT ivaretar flere møtearenaer. NSM NorCERT Sikkerhetsforum er et forum for NorCERT-medlemmer og partnere, der NSM NorCERT blant annet presenterer hva de har arbeidet med siste halvår. Den andre møtearenaen er Nasjonalt Cybersikkerhetssenter (NCSS)76, der representanter for departementer, direktorater, politi og andre møtes månedlig for å bli oppdatert om hendelser, reise spørsmål eller legge frem egne opplysninger. Informasjonen kan være gradert. I NCSS Operativt forum deltar sentrale tjenestetilbydere/eiere av kritisk IKT-infrastruktur og sektorvise responsmiljøer. I NCSS myndighetsforum deltar sektormyndigheter, politiet, EOS-tjenestene og sentrale departementer. NSM samarbeider med tilsvarende tjenester i en rekke land og internasjonale organisasjoner. Se også kapittel 10 «Folkerett og internasjonalt samarbeid».

21.2.2 Sektorvise responsmiljøer

I Nasjonal strategi for informasjonssikkerhet og tilhørende handlingsplan var etablering av sektorvise responsmiljøer et prioritert tiltak for å sikre at sektorene og den enkelte virksomhet sto bedre rustet mot uønskede IKT-hendelser. Høsten 2014 ga Justis- og beredskapsdepartementet ut anbefalinger og retningslinjer77 for etableringen av sektorvise responsmiljøer. De sektorvise responsmiljøene vil ha en nøkkelrolle i å sikre at alle relevante aktører mottar rask og korrekt varslingsinformasjon og settes i stand til å gjøre nødvendige tiltak. De sektorvise responsmiljøene er NSM NorCERTs kontaktpunkt ved IKT-sikkerhetshendelser. Videre er det de enkelte departementenes ansvar å vurdere innretningen på responsmiljøene, basert på egne risikovurderinger. I dag er det etablert fem sektorvise responsmiljøer: UNINETT CERT, Avdeling for beskyttelse av kritisk infrastruktur (BKI, for Forsvaret), HelseCSIRT, FinansCERT og KraftCERT. Det planlegges å etablere en Nkom CSIRT. Disse er nærmere beskrevet i del III «Sårbarheter i kritiske samfunnsfunksjoner». Høsten 2016 er det planlagt gjennomført en nasjonal IKT-øvelse der disse responsmiljøene inngår, og der de vil få grunnopplæring og mulighet til å teste i praksis egen og andres håndteringskapasitet.

Behovet for en kommune-CSIRT er utredet av NorSIS i samarbeid med Lillehammer og Gjøvik kommune. Arbeidsgruppen har anbefalt at det opprettes en kommune-CSIRT. Sluttrapporten ble i oktober 2015 overlevert til Lillehammer og Gjøvik kommuner for videre behandling.

Justis- og beredskapsdepartementet besluttet i 2011 å opprette en CSIRT i justissektoren. Justis-CSIRT er lagt til IKT-avdelingen i Politidirektoratet. Politidirektoratet mener at arbeidet med CSIRT i Justissektoren må evalueres, da den gir veldig begrenset effekt i dag.

Det er ikke etablert et felles responsmiljø for departementsfellesskapet. Departementenes sikkerhets- og serviceorganisasjon (DSS) drifter IKT-systemer for 11 departementer, og har derfor et primæransvar for teknisk og operativ hendelseshåndtering på vegne av disse departementene. De øvrige departementene har egne håndteringskapasiteter. Utvalget er kjent med at det pågår et arbeid mellom departementene der eventuelle endringer i organisering vurderes.

Som det fremgår av navnene, benyttes både CERT og CSIRT blant håndteringsmiljøene. CERT står for «Computer Emergency Response Team» og CSIRT for «Computer Security Incident Response Team». ISAC er et relatert begrep, som står for «Information Sharing and Analysis Center».

21.2.3 Politiet, PST og påtalemyndigheten

Politiets oppgaver er beskrevet i politilovens § 2: Politiet skal «beskytte person, eiendom og fellesgoder og verne om all lovlig virksomhet, opprettholde den offentlige orden og sikkerhet og enten alene eller sammen med andre myndigheter verne mot alt som truer den alminnelige tryggheten i samfunnet». Politiet skal forebygge, avdekke og stanse kriminell virksomhet, samt forfølge straffbare forhold i samsvar med regler gitt i eller i medhold av lov. Av dette følger politiets ansvar for forebygging og bekjempelse av IKT-kriminalitet.

Politidirektoratet er underlagt Justis- og beredskapsdepartementet, og er etatsleder for politiet. Politidirektoratet leder den forebyggende og avvergende virksomheten regulert i politiloven. Politidirektoratet har ansvar for faglig ledelse, styring, fordeling av ressurser, resultatoppfølging og utvikling av norsk politi dvs. alle politidistriktene og politiets særorganer foruten politiets sikkerhetstjeneste (PST). Politiets primære innsats mot IKT-kriminalitet ivaretas av de 27 politidistriktene.

KRIPOS er et særorgan med nasjonalt ansvar for bekjempelse av organisert og annen alvorlig kriminalitet, og politiets internasjonale kontaktpunkt. Arbeidsområdene omfatter forebygging, taktisk og teknisk etterforskning, metodeutvikling, påtale og kriminaletterretning. Avgjørelsen om hvorvidt enheten skal etterforske alvorlig IKT-kriminalitet, er regulert i påtaleinstruksen § 37-3 og besluttes av sjef Kripos eller assisterende sjef.

ØKOKRIM er et særorgan i politiet med nasjonalt ansvar for etterforskning og påtale av økonomisk kriminalitet og miljøkriminalitet. Særorganet er også et statsadvokatembete underlagt Riksadvokaten.

Politihøgskolen (PHS) er den sentrale utdanningsinstitusjonen for politi- og lensmannsetaten.

Politiets sikkerhetstjeneste (PST) har ansvaret for å forebygge og etterforske straffbare handlinger mot rikets sikkerhet, herunder avdekke ulovlig etterretningsvirksomhet (spionasje) og forebygge terror og sabotasje. PSTs ansvar omfatter også det å gi trusselvurderinger og sikkerhetsråd. PST er direkte underlagt Justis- og beredskapsdepartementet og står i en særstilling i politiet med både en sentral enhet og lokale enheter i politidistriktene. PST samarbeider med NSM og Etterretningstjenesten i Cyberkoordineringsgruppen (CKG), se tidligere omtale av NSM.

Den høyere påtalemyndigheten har det overordnede faglige ansvaret for straffesaksbehandlingen i politiet og påtalemyndigheten, og omfatter Riksadvokaten, alle statsadvokatembetene, Det nasjonale statsadvokatembetet (NAST) og Økokrim. NAST har det overordnede påtalemessige ansvaret for saker som blir etterforsket av Kripos og PST.

21.2.4 Forsvaret

Etterretningstjenestens(E-tjenesten) oppgaver og ansvar er regulert ved lov:

«Etterretningstjenestens hovedoppgave er å innhente, bearbeide og analysere informasjon om andre lands politiske og samfunnsmessige utvikling, intensjoner og militære styrker, som kan utgjøre en reell eller potensiell risiko.»

E-tjenesten skal bidra til norske myndigheters evne til å forebygge, avverge og håndtere episoder, kriser og væpnet konflikt og har ansvar for en tidligst mulig varsling av forstyrrelser, kompromittering og manipulering av IKT-systemer som kan ramme rikets selvstendighet, sikkerhet og andre nasjonale interesser. E-tjenesten følger primært fremmedstatlige aktører som utfører etterretningsoperasjoner eller kan tenkes å bruke offensive cyberkapabiliteter i en sikkerhetspolitisk konflikt.

Cyberforsvaret har til oppgave å sikre, drifte og beskytte Forsvarets egne datasystemer og kommunikasjonsnettverk. I tillegg leverer Cyberforsvaret infrastruktur og tjenester til deler av statsforvaltningen og andre aktører med sikkerhets- og beredskapsbehov. Støtte til det sivile samfunnet kan også innebære bruk av Forsvarets materiell og utstyr, personell og kompetanse i særskilte situasjoner der sivile myndigheters ressurser ikke strekker til og Forsvarets kapabiliteter er relevante. Cyberforsvaret har en egen CERT-funksjon, kalt Forsvarets senter for beskyttelse av kritisk infrastruktur (BKI).78

Felles kontraterrorsenter (FKTS) ble opprettet av Justis- og beredskapsdepartementet og Forsvarsdepartementet i 2013, etter anbefalinger fra 22. juli-kommisjonen.79 Senteret arbeider hovedsakelig med problemstillinger av både nasjonale og internasjonale dimensjoner, der informasjon fra begge tjenestene er nødvendig for å danne et helhetlig bilde. Senteret har tre hovedoppgaver: å ivareta rettidig relevant informasjonsutveksling mellom tjenestene, å koordinere og tilrettelegge for et effektivt operativt samarbeid og å utarbeide analyser av terrortrusler i og mot Norge. I Utenriksdepartementets stortingsmelding om globale sikkerhetsutfordringer i utenrikspolitikken blir det uttrykt at regjeringen vil videreutvikle Felles kontraterrorsenter.80

21.2.5 Andre aktørers ansvar

Direktoratet for samfunnssikkerhet og beredskap (DSB) skal under kriser støtte Justis- og beredskapsdepartementet (JD) i deres samordningsrolle. DSBs rolle i håndtering av IKT-kriser er knyttet til rollen som samordner, ved at DSB ved større hendelser samordner informasjon fra lokalt og regionalt nivå, samt direktoratsnivå. DSB bidrar gjennom dette til en felles situasjonsforståelse for Kriserådet og JD. De prinsippene, lovene og forskriftene som gjelder for styring og kriseledelse for det regionale nivået, er også gjeldende for håndtering av IKT-hendelser. En nærmere beskrivelse er gitt i kapittel 20 «Styring og kriseledelse».

Næringslivets Sikkerhetsråd(NSR) er en medlemsorganisasjon og nettverksarena opprettet av de sentrale arbeidsgiverorganisasjonene med formål å bekjempe kriminalitet i og mot næringslivet. NSR står bak Mørketallsundersøkelsen, som kartlegger omfanget av IKT-kriminalitet og IKT-sikkerhetshendelser. Det er inngått en samarbeidsavtale mellom NSR og Kripos for å styrke samarbeidet om å bekjempe organisert og annen alvorlig kriminalitet i og mot næringslivet.

Norsk senter for informasjonssikring(NorSIS) gir råd til virksomheter ved hendelser, ofte etter henvisning fra NSM eller NSR. NorSIS er også en sentral aktør for bistand til enkeltmennesker gjennom tjenestene slettmeg.no og idtyveri.info. Slettmeg.no er en rådgivnings- og veiledningstjeneste for de som føler seg krenket på nettet. Idtyveri.info er en nettside som gir informasjon om hvordan man beskytter seg mot identitetstyveri, og hva man skal gjøre dersom man blir utsatt for det.

Det finnes også en rekke andre aktører, samt internasjonale samarbeidsarenaer. En sammenstilling av de mest sentrale er gitt i kapittel 10 «Folkerett og internasjonalt samarbeid».

21.3 Håndteringskjeden ved tilsiktede hendelser

Utvalget har valgt å benytte begrepet håndteringskjeden som en betegnelse for de aktivitetene som er nødvendige i forkant, under og i etterkant av en uønsket hendelse. Vår beskrivelse er strukturert etter temaene forebygge og forberede, avdekke, håndtere og etterforske.

21.3.1 Forebygge og forberede

Med forebygging og forberede menes samfunnets aktiviteter i forkant av at hendelser inntreffer, for å redusere risiko for alvorlige IKT-hendelser, herunder IKT-kriminalitet, samt planverk og andre planleggingsaktiviteter for å begrense skadevirkningene dersom hendelsen likevel inntreffer.

De ulike aktørenes forebyggende tiltak og egenberedskap er avgjørende i arbeidet med å avverge digitale angrep. IKT-sikkerhet er først og fremst et virksomhetsansvar. Eieren av virksomheten, som har ansvar for IKT-sikkerheten under normale forhold, har også ansvaret i en krisesituasjon.81 Virksomheter løser ofte disse oppgavene ulikt, avhengig av virksomhetens størrelse. Enkelte virksomheter har egne responsteam som aktivt håndterer sikkerhetshendelser. De fleste virksomheter, særlig små, kjøper ofte tjenester, som overvåkingstjenester og analysekapasitet, fra eksterne drifts- og sikkerhetsleverandører. Se også punkt 23.7 «Utkontraktering og skytjenester».

Beredskapsplanverk. Både for virksomhetene og for nasjonal sikkerhet er et godt beredskapsplanverk avgjørende. En beskrivelse av det nasjonale beredskapssystemet er gitt i kapittel 20 «Styring og kriseledelse».

Felles IKT-trusselbilde. Beslutningstakere på alle nivåer i både det private og det offentlige må ha tilstrekkelig informasjon om IKT-trusselbildet, slik at de kan ta gode og begrunnede beslutninger. I dag formidler ulike aktører deler av IKT-trusselbildet. PST og Etterretningstjenesten formidler informasjon om trusselbildet gjennom årlige trussel- og risikovurderinger. NSM utgir årlig rapportene Risiko og Helhetlig IKT-risikobilde, i tillegg til kvartalsrapporter. DSB utgir årlig Nasjonalt risikobilde (NRB). I tillegg utgir Kripos en årlig trendrapport om organisert kriminalitet som omhandler IKT-kriminalitet. Næringslivets Sikkerhetsråd gir gjennom Mørketallsundersøkelsen en overordnet oversikt over registrert anmeldt IKT-kriminalitet til politiet, rapporteringer til NSM og registrerte angrep håndtert av sikkerhetsleverandører. Det utgis også sektorvise rapporter om risikobildet, blant annet fra de enkelte sektorvise CERT-miljøene, sikkerhetsleverandører og enkelte IKT-leverandører. Konsulentselskaper og nasjonal og internasjonal presse har også en sentral rolle i å formidle informasjon om situasjonsbildet.

Sårbarhetskartlegging og inntrengingstesting er sentrale forebyggende verktøy i alle virksomheter. Inntrengingstesting vil kunne bidra til mer robuste tekniske løsninger for operativ bruk. NSM har gjennom inntrengingstesting avdekket alvorlige sårbarheter innen en lang rekke samfunnssektorer. Sårbarhetskartlegging er en tjeneste som blant annet består i regelmessig kartlegging av utvalgte IP-adresser som er tilgjengelige på Internett, og det er mange nasjonale og internasjonale leverandører som tilbyr slike tjenester. NSM lanserte i 2014 en tjeneste for sårbarhetskartlegging kalt Allvis NOR. Dette er en tjeneste NSM tilbyr for å bedre sikkerheten i norske virksomheter som er underlagt sikkerhetsloven.

Rapporterings- og informasjonsdelingsrutiner. Enkelte sektorer stiller krav om rapportering av hendelser. Det finnes i dag ingen entydig kategorisering eller samlet oversikt over typer rapportering. For virksomheter som er underlagt sikkerhetsloven, er det krav om å rapportere sikkerhetstruende hendelser til NSM. Ved en eventuell implementering av det kommende NIS-direktivet i Norge er det ventet tydeligere krav til rapportering. For mer informasjon om NIS-direktivet se punkt 10.6.1.

Nasjonale myndigheter er helt avhengige av at private virksomheter deler informasjon om angrep de blir utsatt for, sårbarheter som avdekkes, og så videre, for å ha et riktig risikobilde og prioritere sine ressurser riktig. Tilsvarende trenger private aktører risikoinformasjon fra myndighetene for å prioritere sine tiltak og bygge opp sine kapasiteter hensiktsmessig.

God forebygging forutsetter et tett og tillitsfullt offentlig–privat samarbeid. Flere tiltak er iverksatt for å styrke det forebyggende kriminalitetsarbeidet i næringslivet. Blant annet er det besluttet opprettet næringslivskontakter i NSM, Kripos, og i flere politidistrikt. NSR har vært en pådriver for dette arbeidet.

NSMs forebyggende arbeid. NSM utøver en rekke forebyggende myndighetsoppgaver etter sikkerhetsloven, som godkjenning av sikkerhetsgraderte informasjonssystemer, sertifisering av informasjonssystemer, inntrengingstesting av informasjonssystemer og utvikling og godkjenning av kryptosystemer. Emisjonssikkerhetsundersøkelser søker blant annet å avdekke uønsket elektromagnetisk stråling, som blant annet kan medføre uønsket informasjonslekkasje fra IKT-utstyr.

Politiet og PSTs kriminalitetsforebygging. Forebygging av kriminalitet er en av politiets mest sentrale samfunnsoppgaver. Kjent fra media er Snapchatsaken der bilder ble stjålet og distribuert på diverse fildelingsnettverk i 2014. Politiet brukte i denne saken flere virkemidler, blant annet tilstedeværelse på Internett, for å informere om alvorligheten og på den måten begrense skadeomfanget. Politiet har også i samarbeid med banker jobbet med å stoppe nye forsøk på bankran ved å gripe tidlig inn i prosessen der kriminelle forbereder skadevare rettet mot nettbankportalene.

For effektiv forebygging av IKT-kriminalitet har politiet og PST behov for gode kilder til informasjon og egen analysekapasitet. PST prioriterer forebygging og avverging høyt av hensyn til alvorlighetsgraden av hendelser innenfor sitt ansvarsområde, og har derfor utstrakt deling av sikkerhetsgradert etterretning med andre EOS-tjenester internasjonalt. Etterretning skal kunne understøtte alle politiets oppgaver. Politiets etterretningsdoktrine ble utgitt i 2014, og er rammeverket for denne virksomheten.

Både politiet og PST har sett behov for egen tilstedeværelse og innhenting av informasjon via Internett. Politiarbeid på Internett omfatter etterforskning, forebyggende arbeid og etterretning basert på informasjon fra Internett.82 Kripos arbeider med et konsept for åpen og skjult tilstedeværelse på Internett.

21.3.2 Avdekke

Med avdekking mener utvalget aktiviteter som har til hensikt å oppdage IKT-hendelser. Avdekkingen kan være manuell eller automatisk, underveis eller i etterkant av hendelsen. Avdekkingen skjer på flere nivåer i samfunnet, og bygger på effektiv varsling og rapportering. Avdekking kan innebære evne til å avdekke alvorlig kriminell virksomhet, herunder virksomhet som kan true Norges eller andre lands sikkerhet, samt evne til å avdekke og varsle alvorlige angrep på kritisk infrastruktur og informasjon.

Digitale angrep kan deles i ulike faser, fra tidlig rekognosering til målet for angrepet er oppnådd. Det er dermed mange steg i prosessen angrep kan oppdages på. Angriperen må, basert på kjennskap til målet, skaffe seg tilgang, for eksempel ved å sende infiserte e-postvedlegg eller utnytte programmeringssårbarheter i nettverkstilkoblede tjenester. Angrepet kan videre oppdages som unormal aktivitet i og mellom IKT-utstyr, idet angriperen manøvrerer seg inn i det lokale nettverket, utfører endringer eller kopierer informasjon ut av nettverket.

Den nasjonale evnen til å avdekke tilsiktede IKT-hendelser avhenger av både virksomhetenes og myndighetenes evne til å avdekke. Resultatet av deres kapasiteter vil danne grunnlag for et situasjonsbilde, til hjelp for de ulike aktørene. En forutsetning for effektiv avdekking er god og effektiv informasjonsdeling.

Virksomhetenes avdekking. Mange virksomheter benytter automatiske deteksjonsmekanismer som i stor grad er basert på signaturer. Det forutsetter at angrepsmetoden er kjent, og krever mye manuelt arbeid fra teknisk kompetente ressurser. Deteksjonsmekanismene er avhengige av kontinuerlig oppdatering for at de skal fungere hensiktsmessig. Det finnes også deteksjonsmekanismer som baserer seg på analyse og varsling av unormal oppførsel i systemene. Logging er et viktig hjelpemiddel, både for å finne kilden til innbrudd og andre uønskede hendelser i IKT-systemer etter at hendelser har inntruffet. Mørketallsundersøkelsen har gjennom flere år vist at flere virksomheter ikke logger eller gjennomgår loggene sine.

En del virksomheter monitorerer interne nett og systemer selv eller gjennom leverandører av denne typen tjenester. Virksomhetens størrelse har ofte betydning for evnen til å avdekke digitale angrep. Mange leverandører av denne typen tjenester driver døgnkontinuerlig monitorering.

DNS-tjenesten83 NSM NorCERT tilbyr, lar virksomheter rute sine DNS-oppslag gjennom NSMs systemer. NSM oppdaterer disse med blokkeringsregler, basert på hendelser, og kan på den måten stoppe og begrense uønsket trafikk, for eksempel skadelige nettsider som sprer ondsinnet kode (vannhullsangrep) og infiserte e-postvedlegg som forsøker å opprette kontakt med et kommando-kontrollnettverk.

Enkelte sektorvise responsmiljøer har etablert egne deteksjonsmekanismer. Justis- og beredskapsdepartementet har anbefalt at responsmiljøene selv vurderer hvorvidt det er hensiktsmessig å besitte denne kompetanse internt, innhente den eksternt, for eksempel ved avtale med en kommersiell sikkerhetsleverandør, og/eller etablere en felles kapasitet for flere sektorvise responsmiljøer.84

Forskningsmiljøers, sikkerhetsmiljøers og frivillige organisasjoners avdekking. Kommersielle sikkerhetsmiljøer og forskningsmiljøer står bak store deler av de mekanismene verdenssamfunnet har for å oppdage nye uønskede IKT-hendelser. Dette skjer blant annet ved at nye sårbarheter oppdages og analyseres, slik at automatiske deteksjonsmekanismer kan fange opp forsøk på utnyttelse. Det finnes også en rekke frivillige organisasjoner som har vist seg å ha en viktig rolle. Underworld bisto norsk og utenlandsk politi med å avdekke bakmennene bak banktrojaneren SpyEye, og driver automatisert oppdagelse av skjult skadevare på internettsider.85Shadowserver bidro til stengingen av skadevareinfrastrukturen bak Gameover Zeus ved å innhente, analysere og videreformidle informasjon i sitt globale nettverk av tjenestetilbydere og håndteringsteam.

Samarbeidet i CKG er sentralt i arbeidet med å avdekke digitale angrep blant annet knyttet til rikets sikkerhet. For å kunne oppdage, varsle og håndtere utenlandske trusler som terror, spionasje og digitale angrep trengs det ifølge Etterretningstjenesten å kunne følge med på relevant Internett-trafikk som går via kabler.

Varslingssystem for digital infrastruktur (VDI) i NSM har til hensikt å gi myndighetene varsel om koordinerte og alvorlige dataangrep mot samfunnskritisk infrastruktur eller andre viktige samfunnsfunksjoner. Norge var tidlig ute med dette konseptet. Mange land ser til Norge som et foregangsland i måten private virksomheter er blitt inkludert i arbeidet på.

VDI-sensornettet har et signatursett som er utviklet basert på tidligere hendelser og annen kjent aktørinformasjon. Det er ingen krav om at virksomheter må delta i VDI-samarbeidet. VDI er delfinansiert av deltagerne – hver deltager dekker kostnaden for egen sensor, mens NSM finansierer sentral infrastruktur samt utvikling og forvaltning. Samarbeidet er regulert gjennom egne avtaler mellom NSM NorCERT og den enkelte virksomheten. Virksomhetene eier selv informasjon fra egne sensorer, og har kontroll over hvordan den brukes.

Flere andre lands nasjonale responsmiljøer har etablert to parallelle spor når det er avdekket et angrep – ett etterretnings-/EOS-spor og ett samfunnssikkerhetsspor. Grunnen til at det er slik er det naturlige spenningsfeltet mellom rikets sikkerhet med stor grad av gradert informasjon og delingsbegrensninger, og samfunnets øvrige behov for åpenhet og informasjonsdeling.

21.3.3 Håndtere

Med håndtering mener utvalget aktiviteter som analyserer årsaker, begrenser skade og gjenoppretter drift av tjenestene. På et overordnet nivå består håndteringen i å se hendelser i sammenheng, dele informasjon og kunnskap om hendelser, samt prioritere og koordinere samfunnets innsats. Håndteringen skjer på flere nivåer i samfunnet, for eksempel i den enkelte virksomhet, i politiet eller ved NSM NorCERT.

Støtte til håndtering av hendelser. Større selskaper velger å bygge opp egne miljøer, enten internt i virksomheten, gjennom sektorvise responsmiljøer eller begge deler. De sektorvise responsmiljøene har en viktig rolle i å binde disse miljøene sammen og koordinere aktiviteten innad i sektoren. Mindre selskaper har ofte avtaler om støtte til hendelser som del av kontrakten med driftsleverandøren. NSM legger til grunn at de ulike sektorvise responsmiljøene vil løse oppdraget sitt slik det er beskrevet i Nasjonal strategi for informasjonssikkerhet. NSM fokuserer på de mest alvorlige målrettede angrepene, samt angrep som har potensial til å ramme tverrsektorielt. NSM mener derfor det vil være behov for en styrking av kapasiteten i NSM NorCERT for å holde tritt med økningen og utviklingen av digitale angrep.

Hendelseshåndtering og varsling. Ifølge NSM avdekket NSM NorCERT i 2014 88 alvorlige angrep mot norske bedrifter og myndigheter, se punkt 7.2 «Tilsiktede IKT-hendelser». Når saker meldes inn til NSM NorCERT, gjøres det en vurdering og prioritering i operasjonssenteret. Enkelte saker diskuteres også i Cyberkoordineringsgruppen (CKG). CKG legger ikke føringer på NSM NorCERTs prioriteringer, men diskusjonene kan gi et bredere bilde av trusselen. Man fordeler også ansvar for saker som berører alle tre tjenesters ansvarsområde. De viktigste kriteriene for prioritering er potensielle konsekvenser og omfanget av hendelsen.

Teknisk analyse av skadevare. Analyseevnen i Norge er delt mellom offentlige enheter (særlig NSM, Forsvaret og politiet) og private (enkelte virksomheter, driftsleverandører og kommersielle sikkerhetsleverandører). Enkelte driftsleverandører leverer tjenester innenfor analyse som del av sitt tjenestetilbud, i hovedsak logganalyse. Hovedvekten av analysekapasitet på leverandørsiden i Norge ligger hos mer dedikerte sikkerhetsleverandører. Teknisk analyse kan for eksempel innebære analyse av skadelig kode (reverse engineering), mistenkte infiserte maskiner (digital forensics) og logganalyse for avdekking og etterforskning. NSM NorCERT bistår innen sitt ansvarsområde med både koordinering av hendelser og teknisk analyse av maskiner, skadelig kode og logger.Evnen til analyse avhenger av en rekke forhold, som blant annet kapasiteten hos de ulike aktørene, kompetansen og tilgjengelige verktøy. Resultatet av slike analyser kan være svært viktig for effektiviteten i håndteringen av et digitalt angrep.

Politiets rolle ved håndtering av IKT-hendelser. Politiloven § 2 beskriver politiets primæroppgaver. I politiloven §§ 7 og 27 er politiet gitt omfattende fullmakter for å kunne ivareta disse oppgavene. Politiloven § 27 pålegger politiet å iverksette nødvendige tiltak for å avverge fare og begrense skade i forbindelse med alle ulykkes­ og katastrofesituasjoner, og fastsetter at politiet har et akutt, sektorovergripende ansvar for å håndtere ulykker og katastrofer i fred på alle samfunnsområder. Ved en hendelse er politiet ved politimesteren i en akuttfase gitt myndighet til å fatte beslutninger på andre myndigheters ansvarsområde frem til ansvaret overtas av ansvarlig myndighet i henhold til ansvarsprinsippet.

21.3.4 Etterforske

Straffesakskjeden omfatter politiet og påtalemyndighetens arbeid med å forebygge, oppdage, etterforske og påtale kriminalitet, samt domstolenes iretteføring og kriminalomsorgens straffegjennomføring og tilbakeføring til samfunnet etter endt soning. Utvalget begrenser sin omtale til å gjelde kun den delen av straffesakskjeden som er knyttet til politi og påtalemyndighetenes arbeid.

Med å etterforske legger utvalget til grunn de aktiviteter politiet og PST utfører for å avklare om et straffbart forhold finner eller har funnet sted. Det er bare politiet og påtalemyndigheten som kan etterforske og påtale. Øvrige aktører kan ved behov bistå på etterforskningsstadiet. Arbeidet fordrer et tett samarbeid mellom private og offentlige aktører, både nasjonalt og internasjonalt.

Kompleksiteten ved IKT-kriminalitet. Etterforskning av IKT-kriminalitetssaker er svært ressurskrevende og krever ofte spesialisering og et utstrakt internasjonalt samarbeid.86 Et gjennomgående trekk er at etterforskning har spor til utlandet, både til antatte bakmenn og medvirkere, men også flere fornærmede. I situasjoner der politiet ønsker å få utlevert informasjon fra utlandet, er tidsaspektet kritisk og sporing ofte vanskelig. Én av årsakene er ifølge Kripos at norske Internett-tilbyderes logger over hvem som kommuniserte med en IP-adresse, blir slettet tidlig i etterforskningsprosessen. IKT-kriminaliteten som avdekkes i Norge, er i mange tilfeller bare et lite ledd i et større organisert nettverk. Kriminelles bruk av blant annet kryptering og fiktiv identitet gjør etterforskningen særlig krevende.

Kapasitet i politiet. I 2012 gjennomførte politiet en kartlegging av politidistriktenes og særorganenes arbeid med IKT-kriminalitet, elektroniske spor og politiet på nett.87 Samtlige politidistrikter opplyste i kartleggingen at IKT-kriminalitet i liten grad ble anmeldt, at mørketallene var store, og at sakene i stor grad ble henlagt. Av mindre alvorlige saker ble flere henvist til NorSIS’ slettmeg-tjeneste. IKT-kriminalitet ble etterforsket av politidistriktene ved tradisjonelle etterforskningsmetoder, herunder avhør og bruk av IKT-tekniske undersøkelser. Tilstedeværelsen på Internett var ikke god nok. Enkelte politidistrikter etterforsket datainnbrudd mot private virksomheter, men kom i liten grad i mål med sakene. Årsaken var ofte manglende ressurser og begrenset tilgang på bistand fra Kripos.88 Ressursene til IKT-tekniske undersøkelser varierte fra ingen til tre IKT-etterforskere per distrikt.8990 Denne begrensede kapasiteten førte til at elektroniske spor kun ble brukt i de mest alvorlige straffesakene.

Kripos har flere seksjoner relatert til IKT-kriminalitet med i underkant av 70 ansatte. De fleste jobber med elektroniske spor og tilstedeværelse på Internett. Kripos’ kapasitet til å etterforske IKT-kriminalitet var i 2012 på mellom tre og fem sakskomplekser i året.

Av politidistriktene er det bare Oslo politidistrikt som har tilstrekkelig sakstilfang og kompetanse til å møte dagens utfordringer knyttet til IKT-kriminalitet. Distriktet har på grunn av sakstilfanget en sentral rolle når det gjelder å håndtere straffesaker i Norge, også innen IKT-kriminalitet. Distriktet har en egen enhet for datakriminalitet med i overkant av 20 ansatte. Enheten jobber primært med å tilrettelegge for sikring av elektroniske spor i alle typer straffesaker i politidistriktet.

Utvalget observerer at hovedressursen i politiet innenfor etterforskning primært brukes til sikring av elektroniske spor og ikke til etterforskning av IKT-kriminalitetssaker.

Nærpolitireformen tar for seg politi- og lensmannsetatens struktur, oppgaveportefølje og ansvarsdeling fremover. Dagens 27 distrikter skal reduseres til 12. Nå som politidistriktinndelingen er fastsatt, skal organiseringen av særorganene utredes.

21.4 Hindre for effektivt samarbeid

Det ser ut til å være flere forhold som er til hinder for effektivt samarbeid og informasjonsdeling mellom myndighetsaktører og private aktører. Dette innebærer uklarheter knyttet til roller og ansvar, en utilstrekkelig samarbeids- og delingskultur, manglende verktøy for utveksling av sensitiv og gradert informasjon. Mangelfull gjennomføring og evaluering av øvelser vil være et hinder for effektiv samhandling. Dette er drøftet i kapittel 20 «Styring og kriseledelse».

Utvalget merker seg at retningslinjene for åpenhet rundt IKT-hendelser kun omtaler informasjonsflyten fra virksomheter til myndighetene og ikke behovet for åpenhet fra myndighetenes side.

21.4.1 Utfordringer knyttet til roller og ansvar

Tradisjonell ansvarsdeling mellom etatene bygger på den forutsetningen at man allerede vet hvem som står bak en hendelse. Denne forutsetningen er svært ofte ikke til stede tidsnok ved digitale angrep. En ytterligere utfordring er at organisering gjerne er knyttet til geografisk nærhet til hendelsen ved tradisjonelle kriser og hendelser i samfunnet. Ved digitale angrep er geografisk nærhet ofte irrelevant. Utvalget har observert en rekke utfordringer sett fra aktørenes forskjellige ståsteder. Én av disse er knyttet til politiets manglende tilstedeværelse under håndtering av hendelser. Politidirektoratet peker på at det i initialfasen av et angrep er grunnleggende utfordringer med å identifisere hvem som står bak angrepet, og hva formålet er – om det er IKT-kriminalitet, spionasje, sabotasje eller terror. POD mener dette utfordrer arbeidsfordelingen mellom ulike myndighetsorganer på området. Kripos viser til at saker ofte blir liggende til vurdering hos CKG (og/eller PST) i såpass lang tid at de ikke er egnet til etterforskning når politiet får kjennskap til dem.

For virksomheter og leverandører er det ofte uklart hvem de skal forholde seg til på myndighetssiden. Utvalget er kjent med flere hendelser der det har vært usikkerhet knyttet til hvor man skal anmelde forholdet. En annen bekymring fra Politidirektoratet er at politiet ikke i tilstrekkelig grad får delta i det arbeidet som i dag skjer i NSM NorCERT og CKG-samarbeidet. En av begrunnelsene fra NSM har vært at NSM NorCERTs samarbeidspartnere ikke ønsker at deres informasjon skal tilflyte politiet, som kan åpne etterforskning av saken.

Straffeprosessloven § 224 regulerer når politiet åpner etterforskning ved anmeldelse eller der andre omstendigheter tilsier at det er rimelig grunn til å undersøke om det foreligger et straffbart forhold. Avgjørelsen beror på en skjønnsmessig vurdering av blant annet alvorligheten, omfanget av etterforskningen og bruken av ressurser. For IKT-kriminalitet kan ofte muligheten for å oppklare være liten, noe som kan gi grunnlag for å unnlate å åpne etterforskning. Det vises også til det alminnelige opportunitetsprinsippet i straffeprosessloven § 69 for påtalemyndigheten, som gir påtalemyndigheten en viss adgang til å unnlate å påtale handlinger av særlige grunner. Det er således viktig å tydeliggjøre alternativene regelverket gir til å åpne etterforskning.

Dagens avtaler mellom NSM og VDI-partnere og medlemmer legger formålsbegrensninger på bruk av VDI-informasjon. Denne informasjonen kan bare benyttes til håndtering av alvorlige IKT-hendelser. Det følger videre av avtalene at informasjonen ikke kan deles med tredjeparter uten at virksomheten har samtykket. Unntaket fra dette er deling med de øvrige EOS-tjenestene innenfor rammen av NSM NorCERTs formål. NSM uttrykker bekymring for at informasjonsdeling med politiet vil kunne sette en stopper for VDI-samarbeidet hvis prinsippet om VDI-partnerens eierskap til informasjonen undergraves. NSM anbefaler imidlertid virksomhetene systematisk å anmelde eventuelle straffbare forhold som avdekkes gjennom VDI-samarbeidet.

Det er uklart for utvalget om bekymringen rundt mulig informasjonsflyt til politiet kan bekreftes av NSM NorCERTs samarbeidspartnere. Uklarheter av en slik karakter kan medføre at aktørene selv håndterer hendelser som burde blitt overført til en annen etat eller et sektorvis responsmiljø.

Ressursgruppen opplever at det ikke er entydig hvem som har beslutningsmyndighet til å iverksette tiltak, dersom det oppstår interessekonflikter mellom aktører under håndtering av hendelser. Det kan eksempelvis være motsetningsforhold mellom en virksomhet/sektors interesser og NSM NorCERTs interesser, eller mellom en virksomhet/sektors interesser og øvrige myndigheter med særlig ansvar for sikkerhet. NSM viser til at det på dette området eksisterer et sivilt beredskapsplanverk som gir ulike aktører ulike fullmakter i det øvre spekteret av krisehåndtering. Videre viser NSM til at det i det lavere spekteret av krisehåndtering ligger et lovforslag til behandling i Justis- og beredskapsdepartementet som blant annet inneholder forslag til myndighet og fullmakter til logging av data ved håndtering av hendelser.

Flertallet av hendelser håndteres i praksis av de ulike virksomhetene som rammes. NSM NorCERT viser til at de bistår med håndtering av alvorlige dataangrep uten myndighet til å pålegge virksomheter å utføre utbedringer, utlevere data eller la systemer være i drift til støtte for kartleggingsformål. Politiet, derimot, har i noen grad slik myndighet i dag, hjemlet i politiloven med flere, men er i mindre grad involvert i den operative håndteringen av digitale angrep. NSM samarbeider innen rammen av sitt mandat løpende med PST, som kan benytte tvangsmidler.

21.4.2 Mangel på et felles operativt situasjonsbilde

Et omforent situasjonsbilde er en forutsetning for å kunne ha et enhetlig beslutningsunderlag for å styrke evnen til å iverksette nødvendige tiltak mellom de involverte i en hendelse. Det er avgjørende at enhetene som besitter denne informasjonen, er gode på kommunikasjon og informasjonsutveksling på taktisk nivå både internt og overfor berørte virksomheter og beslutningstagere. Det er ifølge Ressursgruppen krevende for mange virksomheter å ha nok kompetanse og kapasitet til å ha denne forståelsen, da situasjonsbildet endres stadig hurtigere. Utfordringer knyttet til manglende felles situasjonsbilde er uttrykt gjennom flere utredninger. NSM har nylig uttrykt at situasjonsbildet knyttet til sårbarheter i viktig norsk IKT-infrastruktur er avhengig av et godt samarbeid mellom myndigheter og aktuelle selskaper, og peker på utfordringene knyttet til dagens VDI i denne sammenheng.

21.4.3 Utfordringer knyttet til utveksling av gradert og sensitiv ikke-gradert informasjon på tvers av sektorer

NSM, Etterretningstjenesten og PST mottar mye gradert informasjon fra andre lands samarbeidende tjenester med distribusjonsrestriksjoner. I tillegg opplever flere aktører utfordringer innenfor utveksling av informasjon gradert etter sikkerhetsloven grunnet manglende infrastruktur og/eller at personell ikke er klarert for å motta sikkerhetsgradert informasjon. Dette gjelder spesielt politiet, direktorater og private aktører. NSM mener det er en stor utfordring at få private virksomheter er underlagt sikkerhetsloven. En av de siste erfaringene med dette var fra håndteringen av terrortrusselen sommeren 2014.

Utvalget er kjent med at Forsvarsdepartementet og Justis- og beredskapsdepartementet jobber med å implementere en løsning for lavgradert infrastruktur mellom departementene.

21.5 Utfordringer knyttet til avdekking av sårbarheter og deteksjon av IKT-hendelser

21.5.1 Utilstrekkelig evne til å oppdage IKT-hendelser

Det er som tidligere beskrevet store forskjeller når det gjelder grad av monitorering i ulike virksomheter og bransjer. Disse forskjellene kan ha ulike årsaker. Virksomheter som har vært utsatt for målrettede spionasjeangrep, synes i større grad å ha etablert deteksjonsmekanismer som avdekker ukjente angrep, i tillegg til mer tradisjonelle, signaturbaserte systemer. Evne til å oppdage handler imidlertid om mer enn bare teknologi. Det er krevende for virksomhetene å ha kompetanse til å følge opp og ha forståelse for det som blir oppdaget.

For den nasjonale evnen til å avdekke hendelser er NSM NorCERT avhengig av informasjon fra samarbeidspartnerne og fra etterretningstjenestene. VDI-sensorene gir NSM NorCERT viktig informasjon. VDI-sensorenes evne til å avdekke er begrenset av datainnsamlingen som sensorene utfører. Sensorene forholder seg i dag hovedsakelig til metadata. Unntaket er at ved en VDI alarm vil sensoren lagre innholdsdata fra 2–3 IP-pakker for å understøtte det videre analysearbeidet. Dette er hensiktsmessig i forhold til oppdraget NSM NorCERT har, da man vil evne å avdekke digitale angrep mot virksomheter, bare ved hjelp av metadata. VDI-sensorene er i dag ikke satt opp til å trigge alarmer basert på innholdsdata.

VDI-sensorene har i dag ingen mulighet til å se innholdet i trafikk som går kryptert. I fremtiden vil VDI-sensorene i noen grad kunne dekryptere trafikk, da man vil benytte brannmurens dekrypteringsfunksjonalitet. Dette vil være en viktig føring i den fremtidige VDI-strategien når det gjelder plassering av sensorer. Som beskrevet i kapittel 6 «Trender som påvirker sårbarhetsbildet», krypterer trusselaktørene trafikken sin i økende grad, noe som er en stor utfordring for nettverksbaserte signaturbaserte deteksjonsmekanismer. En annen utfordring med signaturbaserte deteksjonsmekanismer er at angrepsmetoden må være kjent før den kan oppdages.

NSM har erkjent at det er behov for flere sensorer, og det er i dag en lang kø av virksomheter som ønsker sensor. Andelen virksomheter som inngår i nettverket, samt begrensninger i teknologien, gjør at VDI-sensornettverket ikke dekker behovet for å avdekke digitale angrep mot kritisk infrastruktur og informasjon i Norge i dag.

I et lovforslag NSM har oversendt Justis- og beredskapsdepartementet, ligger det inne et forslag om å pålegge ulike typer sensorer, i tillegg til at det skal pålegges en plikt til rapportering også utover sikkerhetsloven.

Som tidligere beskrevet er samarbeidet i CKG sentralt i arbeidet med å avdekke digitale angrep blant annet knyttet til rikets sikkerhet. Etterretningstjenesten har uttrykt at

«kommunikasjonsetterretning frembringer i særklasse mest av den type informasjon som bidrar til både å forhindre terrorhandlinger og å oppdage den mest alvorlige skadevaren som treffer våre vitale datanettverk».91

For å kunne oppdage, varsle og håndtere utenlandske trusler som terror, spionasje og digitale angrep trengs det ifølge Etterretningstjenesten å kunne følge med på relevant Internett-trafikk som går via kabler (såkalt grenseforsvar). Denne muligheten finnes ikke i Norge i dag.

21.5.2 Varierende og tidvis motstridende krav til logging og sletting av samme informasjon

Ressursgruppen peker på områder der krav til logging og sletting av samme form for informasjon underlegges ulike krav i ulike sektorlovverk. Virksomheter i enkelte sektorer har sektorregelverk som gir rom for mange års lagringstid, mens andre sektorer har hjemler som begrenser lagring til noen få dager. Kort lagringstid kan få konsekvenser for de operative miljøenes håndteringsevne og for effektiv straffeforfølgning. Det kan oppleves som en utfordring at dette ikke er standardisert på tvers av sektorer. For å gi lengre lagringstid kreves omfattende lovendringer. Graver og Harborg har levert en utredning om datalagring.92

Utvalget er kjent med at det foreligger forslag om å anbefale minimumslogging i ugraderte, men sensitive IKT-systemer i statlig sektor. Forslaget er utarbeidet av NSM på oppdrag fra Justis- og beredskapsdepartementet.

21.5.3 Mangelfullt grunnlag for et helhetlig IKT-trusselbilde

Det finnes ingen helhetlig statistikk over omfanget av digitale angrep i Norge, og heller ingen helhetlig fremstilling av IKT-trusselbildet. Aktører involvert i å avdekke, håndtere og etterforske digitale angrep har ofte egen statistikk over saker de er involvert i, men dette samles ikke noe sted. Politiet viser til at de har dårlig statistisk grunnlag for IKT-kriminalitetsbildet. Enkelte sektorer stiller krav om rapportering av hendelser, men det er ingen entydig kategorisering eller samling av denne typen rapporter. Manglende rapportering av IKT-hendelser begrenser vår evne til å få et felles og korrekt IKT-trusselbilde, og dermed evnen til å forebygge og håndtere digitale hendelser.

21.6 Kapasitets- og kompetanseutfordringer knyttet til håndtering av digitale angrep

21.6.1 Kompetanse- og kapasitetsutfordringer ved håndtering av hendelser

En rekke kapasitets- og kompetanseutfordringer vil ha innvirkning på evnen til effektivt å håndtere hendelser. Som det går frem av innledende beskrivelser i punkt 21.3 «Håndteringskjeden ved tilsiktede hendelser» har i dag mange virksomheter, særlig små og mellomstore, mindre IKT-miljøer internt, eller IKT-løsninger som leveres av en ekstern leverandør. Mange mindre IKT-miljøer har i liten grad kompetanse til å forstå situasjonsbildet, sårbarheter, indikatorer på et angrep, og så videre. Utvalget er kjent med at enkelte virksomheter opplever at det er en ubalanse mellom tilbud og etterspørsel av tjenester hos NSM NorCERT.

NSM har uttrykt at det er vanskelig å rekruttere og holde på kompetanse, idet denne er etterspurt av flere aktører. Med styrkingen av responsmiljøer i sektorer og virksomheter, og med økt vekt på sikkerhet i næringslivet, antar NSM at etterspørselen etter kompetanse vil øke i tiden fremover.

21.6.2 Fragmentert analysekapasitet mellom offentlige og private aktører

Resultatet av analyser er svært viktig for å kunne håndtere et digitalt angrep effektivt. Analysekapasiteten i Norge er delt mellom offentlige enheter, private virksomheter, driftsleverandører, kommersielle sikkerhetsleverandører og frivillige organisasjoner. Kapasiteten til Etterretningstjenesten og PST er av sikkerhetsmessige årsaker ikke offentlig kjent. I større og/eller flere parallelle digitale angrep opplever flere av virksomhetenes operative miljøer at analysekapasiteten er begrenset. Manglende og forsinkede analyser kan føre til at håndteringen av en sak blir forsinket. I tillegg fører det gjerne til at beslutninger må tas på mangelfullt eller feil grunnlag, noe som igjen kan føre til økte eller ukjente konsekvenser av hendelsen.

Effektiv analyse forutsetter inngående kjennskap til hvordan et system fungerer i en normalsituasjon, og det kreves ulik kompetanse det ofte er knapphet på. Få virksomheter i Norge har selv tilgang på effektive verktøy for å gjennomføre analysen. Dette påvirker kvaliteten og tiden det tar å utføre analysen. Økokrim driver analyse blant annet innenfor kriminaletterretning basert på mistenkelige transaksjoner i samarbeid med finansinstitusjoner i Norge.

21.6.3 Utfordringer knyttet til sektorvise responsmiljøer og skaleringsbehov ved større hendelser

Virksomhetene bygger opp egne responsmiljøer, enten internt i virksomheten, gjennom sektorvise responsmiljøer eller begge deler. Det fører til mindre miljøer med parallelle aktiviteter som kjemper om den samme kompetansen. Dette kan i neste omgang medføre at den totale utnyttelsen av ressursene i Norge med kompetanse innenfor digitale angrep blir mindre effektiv.

NSM NorCERT har vist til at dagens modell ikke er skalerbar for fremtidens utfordringer, og har uttrykt at utviklingen av sektorvise responsmiljøer er helt nødvendig. NSM har i dag ikke kapasitet til å bistå eiere av kritisk IKT-infrastruktur i tilstrekkelig grad. Innenfor eksempelvis teknisk analyse vil imidlertid NSM NorCERT med utgangspunkt i ansvar for å håndtere nasjonale utfordringer også kunne bistå med spisskompetanse der det av kapasitetshensyn ikke bør bygges opp kompetanse i hver enkelt sektor. NSM mener det er viktig å ha fungerende tilpasset håndteringskompetanse i alle større sektorer, men at vi er i ferd med å nå et krysningspunkt der det blir mangel på kompetanse. Det er viktig med en sterk nasjonal evne, men det er også viktig å ha respekt for de faglige vurderingene og lokalkunnskapen innenfor hver enkelt virksomhet. Politidirektoratet er også bekymret for opprettelsen av de mange sektorvise responsmiljøene, på grunn av at det er et begrenset antall personer i Norge som kan fylle stillingene. Politidirektoratet mener en alternativ strategi vil være å samle ressursene i én felles CERT-funksjon.

Utover at NSM NorCERT arrangerer forum for sektor-CSIRT, er det ikke noe formalisert samarbeid mellom sektor-CSIRT-ene. Det betyr at informasjonen en sektor-CSIRT sitter på som er av interesse for andre miljøer, i dag ikke deles gjennom standardprosesser og grensesnitt med andre sektor-CSIRT-er. Informasjonsdelingen blir i for stor grad personavhengig og tilfeldig.

Forsvaret kan, som tidligere nevnt, gi bistand til sivile myndigheter ved alvorlige cyberhendelser i henhold til gjeldende prinsipper og regelverk. Å utnytte denne kapasiteten krever imidlertid en bistandsanmodning, som erfaring fra øvelser viser at det tar tid å effektuere. Det er også viktig å være klar over at Forsvarets operative ressurser primært er skalert for å adressere Forsvarets eget behov.

21.7 Kapasitet-, kompetanse- og prioriteringsutfordringer i politiet

Virksomheter og enkeltindivider anmelder i liten grad IKT-kriminalitet til politiet, og det er store mørketall. Årsaker virksomhetene oppgir, er blant annet forventningen om at forholdet vil bli henlagt, og at det ikke er mulig å finne gjerningspersonen. Enkeltindividet blir ofte henvist av politiet til andre aktører, som råd- og forsikringstjenester. Manglende anmeldelser gir politiet begrenset kunnskap og oversikt over den totale IKT-kriminaliteten.

21.7.1 Utfordringer knyttet til rammefaktorer

Politiet er en sterkt regulert virksomhet. Internasjonalt oppgir flere land at eget nasjonalt lovverk i liten grad reflekterer den teknologiske utviklingen.93 Prosesser for utlevering av informasjon i straffesaker er for eksempel ikke tilstrekkelig tilpasset sikring av elektroniske spor. Innenfor EU utgjør ulikheter i nasjonale regelverk og manglende harmonisering et betydelig hinder for å oppdage og utveksle informasjon om grenseoverskridende IKT-kriminalitet.

IKT-kriminalitet har ofte internasjonale forgreninger. Anmodninger til andre lands myndigheter og samarbeid med internasjonale tjenesteleverandører er både utfordrende og tidkrevende. Dagens system for internasjonal informasjonsutveksling94 mellom politi på tvers av landegrenser går for tregt. Avtalene er i stor grad basert på tradisjonell praksis for utlevering av fysiske bevis mellom land, og tar ikke innover seg den teknologiske utviklingen. Utvalget er kjent med at det i EU jobbes med effektivisering av prosessen i lys av den teknologiske utviklingen. Norge deltar i liten grad i internasjonale «innsatsstyrker» rettet mot bekjempelse av IKT-kriminalitet.

I dag finner en digitale spor i nærmest enhver straffesak. Økt bruk av kryptering er en stor utfordring for politiet. Det fører ofte til at saker henlegges i situasjoner der beslagene ikke lar seg lese. Dataavlesing95 er derfor en etterspurt metode, både fra politiet og fra PST, for å imøtekomme denne utviklingen. Dataavlesing er utredet i kapittel 23 i NOU 2009: 15 Skjult informasjon – åpen kontroll.

21.7.2 Mangelfull kapasitet i politiet

Politiet etterforsker i dag i relativt liten grad IKT-kriminalitet.96 Utvalget er gjort kjent med at det kan forekomme store restanser av ubehandlede saker knyttet til elektroniske spor innenfor alle kriminalitetsformer. Kapasiteten og ressursene når det gjelder elektroniske spor, brukes til å støtte all etterforskning ved politidistriktet.

Bekjempelse av IKT-kriminalitet krever i økende grad internasjonalt samarbeid og er teknologikrevende. Det økende behovet for bistand i politidistriktene og i interne enheter i Kripos går på bekostning av særorganets metodeutvikling og etterforskning av egne IKT-kriminalitetssaker. Justis- og beredskapsdepartementet har gitt POD i oppdrag å utrede alternativer knyttet til å opprette et nasjonalt «Cyber Crime Center» for å styrke politiets kapasitet og innsats på området.

Politidirektoratet viser til at det er mangel på kompetanse i politiet til å håndtere utfordringer som følge av teknologiutviklingen. PODs kartlegging Politiet i det digitale samfunn pekte på behovet for både etterforsknings- og teknisk kompetanse. Distriktene lykkes bare delvis med å oppnå ønsket tverrfaglighet.

Når det gjelder påtale, viser kartleggingen at bare politiadvokatene ved Kripos’ seksjon for datakriminalitet har spesialisert kompetanse på IKT-kriminalitet. Når det gjelder håndtering av elektroniske spor i ulike typer straffesaker, har både statsadvokatene og erfarne politiadvokater nå betydelig erfaring.

Oslo politidistrikt er som nevnt tidligere det eneste distriktet med både kompetanse og mengdetrening i å håndtere IKT-kriminalitet som ellers naturlig faller inn under Kripos’ ansvarsområde.

Politiadvokatene tilknyttet Kripos’ seksjon for IKT-kriminalitet har særskilt kompetanse innen etterforskning av IKT-kriminalitet. Den høyere påtalemyndigheten kan ikke vise til tilsvarende erfaring og kompetanse på området.

Politidirektoratet peker på behovet for tverrfaglighet, herunder ingeniørstillinger. Utfordringen ligger blant annet i at tildelte polititjenestemannsstillinger ofte ikke kan gjøres om til sivile stillinger av hensyn til politiske føringer. Politidistriktene må derfor opprette sivile ingeniørstillinger for egne driftsmidler.

Oslo politidistrikt mener det er utfordrende å bygge opp kompetanse i samtlige politidistrikter. Distriktet opplever at det er lett å rekruttere sivile teknologer, men sliter med å rekruttere politiutdannede til datakrimenheten.

Ved Politihøgskolen (PHS) er undervisning i digitalt politiarbeid nylig blitt en del av den obligatoriske grunnutdanningen. Hensikten er å gi politistudentene grunnleggende forståelse for sikring av digitale spor fra datautstyr, over Internett og fra mobiltelefoner.

PHS tilbyr etterutdanning i IKT-tekniske undersøkelser rettet mot håndtering av ulike former for digitale spor og et tilbud til sivile dataingeniører i politiet med tanke på begrenset politimyndighet.

Ved Center for Cyber and Information Security (CCIS) er det etablert en forskningsgruppe i samarbeid med Politihøgskolen. Den består av fire professorer innen fagfeltet. I tillegg etablerte PHS og CCIS en erfaringsbasert mastergrad innen informasjonssikkerhet og dataetterforskning i 2014. Politidirektoratet støtter forskningsgruppen ved CCIS økonomisk, og ønsker å styrke dette samarbeidet ytterligere.

Justis- og beredskapsdepartementet har i sin strategi for å bekjempe IKT-kriminalitet (2015) bedt Politidirektoratet sette i gang en rekke tiltak. Blant annet for å heve digital og politifaglig kompetanse, utarbeide en forskningsstrategi for å forebygge og bekjempe IKT-kriminalitet, styrke etterforskningskapasiteten og styrke det nasjonale og internasjonale samarbeidet.97

21.7.3 Uklarheter knyttet til hvilken aktør som skal etterforske

Anmeldelse av digitale angrep skal skje til det lokale politidistriktet – det til tross for at lokale politidistrikter ofte verken har ressurser eller kompetanse til å etterforske IKT-kriminalitet. Hvor saken skal videre i politiet, er avhengig av trusselaktøren og intensjonen med angrepet. Anmeldelser av IKT-kriminalitet kan dermed etterforskes ved det enkelte politidistrikt, Kripos, Økokrim eller PST. I initialfasen av saksgangen er det ofte vanskelig å avgjøre hvor saken hører hjemme, særlig der det er usikkerhet knyttet til trusselaktøren, for eksempel om dataspionasje er utført av en statlig eller ikke-statlig aktør. Saken må i slike tilfeller ofte overføres mellom ulike instanser i politiet. Det kan skape merarbeid for virksomheten som anmeldte forholdet, og etterforskningen sett under ett tar lengre tid. Virksomhetene opplever også at det kan ha betydning for utfallet av saken hvilken instans i politiet som etterforsker.

21.7.4 Prioriteringsutfordringer

I Riksadvokatens årlige rundskriv98 er alvorlig IKT-kriminalitet vist til som en av de prioriterte sakstypene i samtlige politidistrikters straffesaksbehandling. Politidistriktene og Kripos må daglig prioritere IKT-kriminalitet opp mot andre typer alvorlig kriminalitet, som for eksempel vold og narkotikasaker, som ofte har høyere strafferammer. Kompetansen i digitalt politiarbeid er som tidligere nevnt så mangelfull i politidistriktene at de i stor grad må be om bistand fra Kripos. Kripos bruker av den grunn mye kapasitet på mindre alvorlige IKT-kriminalitetssaker, selv om de kunne håndtert mer alvorlige saker.

Funn i Politianalysen viser at svært få ressurser var dedikert til operativ analyse og forebyggende politiarbeid. Mesteparten av ressursene i politidistriktene gikk til straffeforfølgning og synlig tilstedeværelse.99 Straffeforfølging av IKT-kriminalitet er ofte grenseoverskridende og svært ressurskrevende. Teknologien gjør det dessuten lett for kriminelle å skjule sin identitet. Disse faktorene bidrar til at en straffeforfølgning ofte kan ende med henleggelse. Politidirektoratet mener politiets innsats mot IKT-kriminalitet bør legge mer vekt på det forebyggende arbeidet enn det som er situasjonen dag.

Det er begrenset analysekapasitet i de fleste politidistrikter. De fremste fagmiljøene finnes hos Kripos og i Oslo politidistrikt. Erfaring med operativ analyse i IKT-straffesaker er begrenset, blant annet fordi få slike saker etterforskes.

Den generelle etterretningskapasiteten i politidistriktene er lav med unntak av Oslo politidistrikt, som sammen med Kripos har bygd opp en operativ etterretningskapasitet på området.

21.8 Manglende evne til videreutvikling av og investering i politiets IKT-systemer

Det er stort behov for økt overføringskapasitet og redundans i politiets IKT-infrastruktur. I tillegg er det utfordringer knyttet til å opprettholde kompetanse for videreutvikling av politiets systemer, support utover normal arbeidstid, samt standardisering av lokale IKT-løsninger. Drift av datalagre og nødvendige verktøy for IKT-tekniske undersøkelser håndteres i dag av hvert enkelt politidistrikt. Ikrafttredelsen av ny straffelov av 2005 har grunnet IKT-situasjonen i politiet blitt utsatt. Implementeringen av lovendringene skjer nå i gamle systemer. Politiets manglende oversikt over dagens IKT-kriminalitetsbilde skyldes blant annet utdaterte IKT-verktøy for registrering av kriminaliteten (STRASAK).

Justis- og beredskapsdepartementet uttrykker en sterk bekymring for IKT-situasjonen i politiet, særlig knyttet til sårbarheter i IKT-infrastrukturen. Informasjon er en kritisk innsatsfaktor for politiet, og konsekvensene av at politiets datasentre blir utilgjengelige, er store. Nedetid i politiets datasenter kan innebære langvarig begrenset operativ kapasitet.

Politidirektoratet fremhever også at IKT-sikkerhetsarbeidet i politiet har vært mangelfullt over lang tid, og at det er behov for en tung satsing på IKT-infrastruktur. Et grunnleggende styringsprinsipp i staten er mål- og resultatstyring, som også ligger til grunn for styringen av politiet. De operative enhetene i politiet mottar en ettårsramme som alle IKT-investeringene må dekkes innenfor. POD viser til behovet for mer langsiktige investeringsbudsjetter med mulighet for å planlegge utover ett år.

Merverdiprogrammet ble opprettet i 2012, blant annet med sikte på en mer langsiktig investering og modernisering av norsk politi, herunder nye IKT-verktøy og arbeidsformer for å øke tilgjengelighet, effektivitet og fleksibilitet.100 Programmet ble i 2015 delt opp i mindre prosjekter for å redusere risikoen i IKT-fornyingen av politiet.

21.9 Sårbarheter som påvirker private virksomheter og enkeltindividets evne til å håndtere hendelser

21.9.1 Utilstrekkelig støtte for innbyggerne og SMB

Vår nasjonale sikkerhet er avhengig av enkeltindividets og virksomhetenes IKT-sikkerhet. Det er krevende for den enkelte borger både å forstå og å gjøre de riktige valgene ut fra kompleksiteten i teknologien, og det hviler mye ansvar på brukeren av teknologien. Forbrukerrådet understreker viktigheten av sikkerhet og personvern. Særlige utsatte grupper er for eksempel eldre med begrenset digital kompetanse og unge på grunn av at handlinger kan få konsekvenser gjennom et langt liv. NorSIS har en rådgivende rolle overfor forbrukeren. Tall fra NorSIS’ tjeneste slettmeg.no viser at alvorlighetsgraden i flere av de sakene NorSIS blir kontaktet om, øker. NorSIS ser en økning i antall henvendelser fra personer eldre enn 26 år og i bruken av selvhjelpstjenestene. 7 500 kontaktet tjenesten i 2014, og utviklingen så langt indikerer en vekst på 20 prosent i løpet av 2015. NorSIS oppgir at de har begrenset kapasitet til å håndtere slike henvendelser.

NorSIS utfører årlige spørreundersøkelser om misbruk av identitet, og tallene mellom 2010 og 2013 viste en økning fra 3,1 prosent til 5,9 prosent. For 2014 oppgis det en nedgang til 3,2 prosent. På grunn av manglende ressurser har NorSIS måttet begrense prosjektet, men de har opprettholdt den årlige konferansen om idtyveri, samt at de svarer på telefonhenvendelser fra forbrukere. NorSIS har registrert en nedgang i antall henvendelser de siste årene, og mener det kan ha sammenheng med at forsikringsselskaper har tatt tak i denne problemstillingen.

På bakgrunn av dette kan det synes som om innbyggerne og SMB ikke har et godt nok tilbud om hjelp, råd og veiledning når de blir utsatt for hendelser. Se også punkt 19.6 «Kunnskap og støtte til befolkningen».

21.9.2 Manglende operative krav i anskaffelser og styring av drifts- og tjenesteleverandører

De fleste virksomheter benytter seg av drifts- og tjenesteleverandører i større eller mindre grad. Ressursgruppen peker på at det kan være vanskelig for virksomheter å følge opp leverandører, som ofte er de som kan bistå under og etter et digitalt angrep. Dette kan for eksempel skyldes manglende bestillerkompetanse, som ofte er vanskelig å løse gjennom hver enkelt virksomhets avtale med leverandøren. Ressursgruppen har påpekt utfordringer i anskaffelsesprosessen, der det ofte ikke stilles krav på området, som eksempelvis krav til operativ evne, analysekapasitet, styring og samhandling.

Dersom tjenestene leveres fra andre land og kunden ikke har stilt presise nok krav, vil dette kunne få konsekvenser for overlevering av data i forbindelse med håndtering av digitale angrep. Ofte må de nasjonale CSIRT-funksjonene involveres, og informasjonen må gjennom mange ledd før den når de operative miljøene som faktisk kan nyttiggjøre seg den. Ressursgruppen har eksempler på hendelser der data ikke har blitt utlevert på grunn av det politiske forholdet mellom Norge og det aktuelle landet. Dette kan føre til betydelige forsinkelser for håndtering av alvorlige dataangrep.

21.10 Aktuelle dilemmaer i forbindelse med utvidede metoder for å avdekke, håndtere og etterforske digitale angrep

Utvalget er bedt om å beskrive dilemmaer som kan oppstå som følge av behovet for å avdekke, håndtere og etterforske digitale angrep. Ut fra mandatets beskrivelse oppfatter vi at det bes om å redegjøre for vurderinger som må gjøres for å finne en forsvarlig balanse mellom ulike berettigede, men likevel motstridende, hensyn.

Dagens metodebruk er strengt lovregulert og kontrollert. Nye metoder som krever lovendringer, må vurderes konkret ut fra de reelle fordelene, ulempene og de mulige alternativene som kan være egnet for de formålene metodene skal betjene. Et beslutningsgrunnlag for å vurdere etablering av nye skjulte metoder stiller andre krav til mandat enn Lysneutvalgets. Lysneutvalget begrenser seg derfor til å adressere grunnleggende synspunkter på dilemmaer som følge av uttalte behov for å utvide etterretnings- og etterforskningsmetoder, samt å løfte frem enkelte overordnede, prinsipielt motstridende, hensyn. Fremstillingen nedenfor beskriver blant annet nødvendigheten av avveininger og balanse mellom hensyn som nasjonal sikkerhet og den enkelte borgerens personvern og ytringsfrihet.

21.10.1 Behovet for nye etterretnings- og etterforskningsmetoder

Siden Snowden-avsløringene i 2013 har hele verden vært opptatt av myndighetenes overvåking av privatpersoner gjennom bruk av teknologi. I lys av avsløringene har digital kommunikasjon i økende grad blitt kryptert av tjenesteleverandører, og det har vært en vekst i bruk av anonymiseringstjenester. Denne utviklingen setter myndighetene på prøve, idet tidligere skjulte metoder ikke lenger er like effektive.

Utvalget ser at det kan være behov for ytterligere skjulte metoder, men nettopp fordi de skal være skjult, er disse metodene også de mest inngripende. Selv om målet med metodene er rettet mot kriminell aktivitet, vil adgangen til å benytte slike metoder i prinsippet kunne være inngripende overfor den enkelte borger. Angrep på kritisk infrastruktur, kritiske samfunnsfunksjoner og tilsvarende alvorlig kriminalitet er skadelig for samfunnets trygghet, enkeltindividers integritet, økonomiske verdier og stabiliteten og kvaliteten på det samfunnet vi lever i. Effektiv avdekking av angrep og kriminalitetsbekjempelse er viktig, og det er avgjørende å sørge for nødvendige virkemidler for å kunne ivareta denne oppgaven. Det er vesentlig at både E-tjenesten, PST og politiet har anledning til å innhente tilstrekkelige mengder ulik informasjon for å kunne utføre sine oppgaver.

Etterretningstjenestens og politiets oppgave med å bekjempe kriminalitet forutsetter myndighet til å kunne innhente informasjon ved å kunne utøve makt og tvang overfor borgerne. Gjeldende rettslig adgang til å innhente og benytte informasjon for etterretnings- og kriminalitetsbekjempende formål er derfor vurdert ut fra de særlige hensynene som gjør seg gjeldende for disse myndighetene. Den rettslige adgangen til å innhente informasjon er derfor betinget av grenser for bruk og rettssikkerhetsgarantier for borgerne.

Behovet for nye, utvidede metoder for etterretning og etterforskning begrunnes ofte med økende alvorlig IKT-kriminalitet, se punkt 7.2 «Tilsiktede IKT-hendelser». De hensynene som underbygger behovet for nye etterretnings- og etterforskningsmetoder, må baseres på et solid empirisk grunnlag. Dette er vesentlig for å kunne vurdere om tiltakene er nødvendige og proporsjonale i et demokratisk samfunn. Det kreves analyser av mulige konsekvenser for samfunnet som helhet, offentlige myndigheter, næringsliv, interesseorganisasjoner og enkeltindivider.

Å trekke opp grensene for E-tjenestens og politiets adgang til å overvåke og etterforske i digital nåtid og fremtid byr derfor på krevende avveiinger mellom hensynet til kriminalitetsbekjempelse og det å ivareta de grunnleggende verdiene som ligger til grunn for den tilliten som er opparbeidet mellom stat og borger.

21.10.2 Endring i maktbalansen mellom stat og borger

Dersom spekteret av lovlige skjulte etterretnings- og etterforskningsmetoder skal utvides, er dette også en utvidelse av statens makt overfor den enkelte borger. Den enkelte borger fratas dermed deler av sine rettigheter og friheter. Det rokker ved de konstitusjonelle skrankene for statens myndighet til å gripe inn i borgernes rettighetssfære og stiller krav til hvordan utvidede fullmakter kan komme til.

I et større perspektiv handler det om å ta stilling til på hvilken måte de verdiene og prinsippene som demokratiet og samfunnet vårt bygger på, skal være førende for fremtidens samfunn. Politiets og etterretningsmyndighetenes behov må derfor vurderes opp mot rettsstatsverdier og menneskerettigheter, herunder personvern, ytringsfrihet og forsamlingsfrihet. Dette er forpliktelser som følger av både nasjonalt og internasjonalt regelverk, og det er disse verdiene som utgjør kjernen i et velfungerende og sunt samfunn, som kjennetegnes av gjensidig tillit mellom staten og befolkningen.

En rettsstat kjennetegnes av tydelige og presise regler for den innbyrdes fordelingen av makt mellom statens myndigheter og statens adgang til å bruke makt overfor sine borgere. En omfordeling av maktforholdet mellom stat og borger griper derfor inn i sentrale deler av samfunnets bærende prinsipper og verdier.

Medier som er opprettet for å formidle frie ytringer og intern kommunikasjon i grupper, utgjør grunnleggende verdier i et demokrati. Det må derfor utvises varsomhet med å benytte slike medier for etterretningsformål. Inngrep i ytringsfriheten må tilfredsstille kravene til proporsjonalitet og være nødvendige i et demokratisk samfunn.

Risiko for å bryte ned tillitsforholdet mellom befolkningen og staten

I Norge har offentlig sektor i all hovedsak tillit fra borgerne. Se punkt 23.6.3 «Tillit bør være en forutsetning for digitalisering». Om denne tilliten er gjensidig, det vil si om staten har tillit til sine borgere, kan gjenspeiles i hvilke skjulte inngrep i borgernes rettigheter staten anser som nødvendige. Beslutninger om nye skjulte etterretnings- og etterforskningsmetoder kan derfor også tolkes som statens manglende tillit til befolkningen.

Snowdens avdekking av NSAs omfattende innhenting av informasjon om egne og andre lands borgere illustrerer viktigheten av en balanse mellom nasjonal sikkerhet og den enkeltes personvern. For deler av befolkningen har tilliten til myndighetenes respekt for personvern slått sprekker. Saken sier også mye om den tilliten befolkningen i utgangspunktet hadde til både næringsliv og myndigheter. Uten befolkningens tillit ville informasjonen ikke vært like tilgjengelig. Saken har ført til at stadig flere ønsker å beskytte sin egen informasjon når de benytter Internett. De benytter nettsteder som gjør det vanskelig å spore dem, velger å kryptere sin informasjon, eller begge deler. Det tar lang tid å bygge opp tillit, men kort tid å bryte den ned. Tillit mellom myndigheter og befolkning er særlig viktig og må tillegges betydelig vekt.

21.10.3 Masseinnsamling av personopplysninger til uavklarte formål

Både for næringsutvikling og etterretningsformål er opplysninger om befolkning og enkeltindivider essensielt. I 2012 uttalte Datatilsynet at hele 90 prosent av dagens digitale data er generert bare i løpet av de to siste årene, og at datamengden er antatt å øke med 40 prosent per år fremover. Næringslivets og myndighetenes formål med å samle inn personopplysninger er basert på vidt forskjellige behov. Det er derfor viktig å se nærmere på endringer i hvordan personopplysninger blir samlet inn på, herunder hvilke formål som begrunner innsamlingen.

I Norge har staten frem til relativt nylig vært ansett for å besitte flest opplysninger om borgerne, for å kunne treffe nødvendige beslutninger i egenskap av å forvalte lovbestemt myndighet. Dette bildet er endret til at også aktører i næringslivet er store informasjonsforvaltere av befolkningens opplysninger. For NSAs overvåking av amerikanere og andre lands befolkning var nettopp de private selskapenes informasjon attraktiv for myndighetene.

Det er forståelig at det økende omfanget av informasjon om borgerne hos næringslivsaktører også kan ha nytteverdi for myndighetenes etterretning og for etterforskning av alvorlig kriminalitet. Å åpne for en slik bruk byr imidlertid på mange dilemmaer.

Mens staten har rettsregler for å kunne innhente nødvendig informasjon for spesifikke formål, har næringslivet tilbudt «gratistjenester» med brukervennlige, nyttige og underholdende produkter som grunnlag for å samle inn informasjon. Mens staten er underlagt særskilte krav om å begrense informasjonen til et nødvendig minimum og for konkrete definerte formål, er næringslivets innsamling og lagring ikke underlagt de samme strenge kravene.

Det rettslige grunnlaget for de næringsdrivendes innsamling av personopplysninger er «avtaler» med den enkelte kunde. Da er det rekkevidden av avtalen som setter grensen, og det er tvilsomt om kundene i realiteten har et forhandlingsrom, spesielt når tjenestene tilbys gratis. Forbrukerrådet peker på at majoriteten av forbrukere ofte ikke har forstått betydningen av at de betaler for «gratistjenestene» med opplysninger om seg selv. En uklar avtale om bruken av innsamlet informasjon innebærer tilsvarende utydelige formål, som i neste omgang kan føre til en tilnærmelsesvis grenseløs bruk. Bruk av personopplysninger som er innhentet gjennom avtaler med kunder/brukere der formålet er å tilby en mulighet for å velge tjenester, gir ikke rettslig grunnlag for å benytte opplysningene til etterretnings- og etterforskningsformål.

Næringslivets informasjon er basert på opplysninger om det enkelte individ ut fra aktiviteter og bevegelser som etterlater spor på Internett, som applikasjoner, sosiale medier og e-post. Slike opplysninger omfatter enhver Internett-basert aktivitet – som hvilke søk vi gjør, hvilke annonser vi klikker på, hvilke nettsider vi besøker, hvilke nyhetsartikler vi leser, hva slags musikk vi hører på, hvem vi kommuniserer med, kommentarer vi legger igjen, og hvem vi er i kontakt med per mobiltelefon, herunder når og hvor vi befinner oss. Enkeltvis forteller slike opplysninger lite om oss, men summen av det vi benytter Internett og mobiltjenester til i privat sammenheng, vil kunne gi relativt utførlig informasjon om oss som enkeltindivider.

En tilsvarende kartlegging av aktivitet for å belyse de samme forholdene uten bruk av Internett-baserte tjenester, ville i praksis ikke være mulig for så store deler av befolkningen. Både mengden av informasjon hver og en etterlater seg, og endringen i hvem som samler inn opplysningene, representerer et paradigmeskifte for innsamling og bruk av personopplysninger. Spørsmålet er hva disse omfattende mengdene personopplysninger skal kunne benyttes til, og hvilke formål denne informasjonen skal kunne betjene.

Den teknologiske utviklingen gir nye muligheter for gjenbruk av informasjon til nye formål, såkalt sekundærbruk. Hvilket formål personopplysningene opprinnelig ble samlet inn for, definerer imidlertid en viktig grense for sekundærbruk. Derfor må det vurderes om sekundærbruken er forenlig med det opprinnelige formålet. Da skal det blant annet legges vekt på om det nye bruksområdet for opplysningene skiller seg vesentlig fra det som lå til grunn for den opprinnelige innsamlingen, og om ny bruk av opplysningene kan innebære ulemper for den registrerte. Kravet om at opplysningene skal være nødvendige for det formålet de skal tjene, omfatter både at det skal være et minimum av opplysninger, og at opplysningene er relevante for formålet. Dette nødvendighetsprinsippet gjelder for alle deler av håndteringen av personopplysninger, så som hvilke opplysninger som kan registreres, hvem som skal få tilgang til opplysningene, og hvor lenge opplysningene kan lagres. Et eksempel på denne problemstillingen er omtalt i punkt 11.7.5 «Etablere tiltak for å regulere utlevering av trafikkdata til politiet».

Formålsutglidning kan føre til usikkerhet hos brukeren på grunn av mangel på kontroll og oversikt. Dersom opplysninger stadig brukes til andre formål enn det man oppgir, vil det kunne føre til at brukeren mister tillit til det aktuelle mediet og den behandlingsansvarlige.

21.10.4 Balansen mellom effektivitet og sikkerhet

IKT som verktøy kan være et tveegget sverd – den samme effektiviteten som er gunstig for samfunnsutviklingen, kan være tilsvarende effektiv for kriminell aktivitet. Behovet for sikkerhet og aksept av risiko er høyst forskjellig for de ulike brukerne av Internett. Samtlige brukere forventer at informasjonen videreformidles rettidig og til rett mottaker, og at de selv har kontroll over hvilken informasjon som skal deles, og hvilken informasjon som skal beskyttes mot innsyn fra uvedkommende. Informasjonen som skal beskyttes, kan gjelde ivaretakelse av offentlige virksomheters graderte og taushetsbelagte informasjon, næringslivets forretningshemmeligheter eller befolkningens private opplysninger. Samtlige aktørers behov for å ha kontroll over informasjonen er legitime.

Effektive overvåkingstiltak for å avdekke IKT-hendelser kan være varsling ved bruk av sensorer eller logganalyse. Slike tiltak kan være avgjørende for avdekking av angrep og for en samlet risikovurdering. De fleste av disse tiltakene har kontrollerende, etterforsknings- eller overvåkingslignende karakter rettet mot enkeltindivider, men da uten de prosessuelle rettssikkerhetsgarantiene som følger av straffeprosessloven.

Uttalte behov for å etablere nye etterretnings- og etterforskningsmetoder må også ses i lys av årsakene til økt risiko for alvorlig IKT-kriminalitet. Det er et akseptert syn at økt risiko for alvorlige hendelser og kriminalitet ofte skyldes manglende vektlegging av forebyggende IKT-sikkerhet. Det bør vurderes om også det motsatte er tilfelle – at økt innsats på forebyggende sikkerhet også kan bekjempe og forebygge kriminalitet. Den økende kompleksiteten i sammenkobling av nettverk og programvare kombinert med stadig økende anvendelsesområder for IKT, eksponerer samfunnet for økende grad av sårbarhet og nye muligheter for angrep.

Når det legges til rette for økt tilknytning til og bruk av Internett, bør det fokuseres på sikkerhetstiltak som reduserer risikoen for alvorlige angrep og kriminalitet. Bruk av Internett som kommunikasjonskanal innebærer aksept av en vesentlig risiko. Innebygd sikkerhet og innebygd personvern må vurderes som risikoreduserende tiltak, og det kan i noen tilfeller redusere nødvendigheten av overvåking.

21.10.5 Balansen mellom kriminalitetsbekjempelse og personvern

Retten til personvern er ikke absolutt og må ses i sammenheng med statens øvrige legitime interesser. Hensynet til nasjonal sikkerhet, offentlig trygghet og bekjempelse av alvorlig kriminalitet kan tilsi at det må gjøres inngrep i den enkeltes rett til personvern. Slike inngrep må være lovfestede, nødvendige og proporsjonale, jf. kapittel 3 «Rettsstatsprinsipper og grunnleggende samfunnsverdier». Proporsjonalitetsprinsippet tilsier at det må skilles mellom hvilke metoder som kan brukes i etterforskning av en konkret sak rettet mot enkeltpersoner, og såkalt strategisk kriminaletterretning med generell innhenting og analyse av informasjon med det formål å vurdere kriminalitetsbildet og en sannsynlig utvikling. Etterforskning av konkrete hendelser kan derfor rettferdiggjøre et større inngrep i den enkeltes rett til personvern enn overvåking av befolkningens kommunikasjon generelt, herunder alminnelig meningsutveksling.

Både metodekontrollutvalgets vurderinger og forarbeidene til politiregisterloven101 er egnet til å vise balansering og ivaretakelse av motstridende hensyn. Politiregisterloven regulerer politiets adgang til å behandle opplysninger og bygger på en avveiing mellom hensynet til personvern og rettsikkerhet og behovet for kriminalitetsbekjempelse. Lovens formål er å regulere politiets bruk av personopplysninger på en måte som også ivaretar personvernet. Det er politiets oppgaver og myndighet knyttet til kriminalitetsbekjempelse som begrunnet behovet for en særlov for politiets behandling av opplysninger.

Politiets behandling av personopplysninger skiller seg fra annen behandling av personopplysninger etter personopplysningsloven på flere måter. Det er ikke krav til samtykke fra den registrerte om at politiet kan behandle opplysninger om en. Politiets myndighet til å innhente opplysninger om borgerne er et inngrep som krever hjemmel i lov. Jo mer inngripende en behandling er, jo strengere krav stilles det til presise lovhjemler.

Politiregisterloven bygger på sentrale personvernprinsipper om formålsbestemthet, nødvendighet og kvalitet. I de tilfellene hensynet til kriminalitetsbekjempelse griper inn i den enkeltes rettigheter, kompenseres inngrepet i enkelte rettigheter ved at andre rettigheter styrkes, for eksempel gjennom å begrense adgangen til å behandle opplysningene videre.

Loven gir for eksempel et tidsbestemt unntak fra kravene til formålsbestemthet, nødvendighet og relevans. Unntaket er begrunnet ut fra hensynet til politiets behov for omfattende tilgang til informasjon i det kriminalitetsbekjempende arbeidet. Det ligger i selve etterforskningens funksjon at politiet er avhengig av å kunne innhente opplysninger uten nødvendigvis å vite om de er nødvendige og relevante. For å ivareta hensynet til personvern ble det innført en tidsbegrensning for unntaket, slik at politiet har fire måneder på seg til å kontrollere om opplysningene er nødvendige og relevante for et politimessig formål. Dersom politiet innen denne fristen ikke kan godtgjøre at opplysningene er nødvendige, må opplysningene slettes. Det tidsbegrensede unntaket fra de grunnleggende kravene til behandling av personopplysninger etter personopplysningsloven er et eksempel på balanseringen av hensynet til kriminalitetsbekjempelse og hensynet til personvernet.

Samtidig er det et faktum at kriminalitetsbekjempelse foretas i en virkelighet der teknologien endrer seg fort. En konsekvens av dette er at de som forestår kriminalitetsbekjempelse, må vurdere om virkemidlene deres er tilstrekkelige, og om det trengs endringer i virkemidlene. Ett eksempel på at man ber om endrede virkemidler er da PST ønsket en lovendring slik at de skulle kunne «følge med på Internett», for eksempel ved å lagre informasjon fra sosiale medier og bruke såkalt stordataanalyse på opplysningene. Overvåking av Internett, rettet mot borgere som ikke gjør annet enn å benytte seg av ytringsfriheten og handlingsfriheten, uten mistanke om kriminelle handlinger eller hensikt, kommer potensielt i konflikt med grunnleggende rettssikkerhetshensyn og menneskerettigheter. Dersom slike virkemidler skal kunne tas i bruk, må det foretas tilstrekkelige vurderinger, slik at lovgiver har et grundig, troverdig og fullstendig grunnlag for sine beslutninger, se nærmere om dette i punkt 21.11.8 «Sikre balansen mellom personvern og et sikrere samfunn».

Utvidelser av kriminalitetsbekjempende metoder angår både samfunnet som helhet og det enkelte individ. Dette krever etter utvalgets syn mer enn et vanlig lovendringsarbeid. Det må sikres at denne formen for endringer i maktutøvelse fra staten overfor borgerne utredes av et balansert utvalg som kan stille de kritiske spørsmålene. Det må sikres at hensyn utover myndighetenes egne blir ivaretatt på en forsvarlig måte, og at det skapes en offentlig debatt.

Videre er det behov for ytterligere evaluering av eksisterende metoder som viderefører og utdyper Metodekontrollutvalgets undersøkelse Kommunikasjonskontroll og betydning for etterforskning, personvern og rettssikkerhet: En studie i erfaringene med bruk av metoden.102

21.11 Vurderinger og tiltak

21.11.1 Etablere og øve et helhetlig rammeverk for digital hendelseshåndtering

Offentlige og private virksomheter blir utsatt for alvorlige dataangrep og opplever usikkerhet og utilstrekkelig koordinering mellom myndighetsaktører som har ansvar for bekjempelsen av digitale angrep. Utvalget har merket seg at det oppleves flere større hindre for effektivt samarbeid mellom myndighetsaktører og med private aktører. Enkelte av disse er inherente problemstillinger, det vil si at problemstillingene i seg selv skaper utfordringer på grunn av motstridende hensyn. Disse skyldes ikke organisering – det kan være kulturelle, tillitsrelaterte eller lovmessige årsaker til at problemstillingene har oppstått. Det kan se ut som det er en manglende forståelse for at motstridende interesser aktørene imellom er legitime. Det stammer fra at aktørene har forskjellige roller og er satt til å ivareta forskjellige samfunnsinteresser. Utvalget mener det er viktig å maksimere mulighetene innenfor det handlingsrommet som finnes for deling av informasjon.

Virksomhetene har behov for hyppige oppdateringer av trusselbildet i Norge knyttet til det digitale rom. Flere gode tiltak er påpekt i tidligere utredninger, og utfordringen ser derfor ikke ut til å være intensjonen og målsettingen om samarbeid. Utvalget stiller derfor spørsmål om hva som er årsakene til at aktørene ikke har etablert et tilstrekkelig samarbeid og mekanismer for informasjonsdeling, og ser potensialet for at økt deling av informasjon vil kunne bidra til eksempelvis større grad av anmeldelser. Nasjonal sikkerhet avhenger av sikkerheten til de enkelte virksomhetene, og en effektiv bekjempelse krever utstrakt samarbeid mellom myndighetene og tett samarbeid med private aktører. Utvalget mener det er avgjørende å ta tak i disse utfordringene nå, ettersom konsekvensene av mangelfull samhandling vil bli enda tydeligere når sikkerhetsutfordringene øker.

Utvalget mener at Justis- og beredskapsdepartementet må ta initiativ til å etablere et helhetlig rammeverk103 for å avklare og tydeliggjøre innsatsen mellom relevante aktører innen hendelseshåndtering og straffeforfølgning. Rammeverket bør etableres i tett samarbeid med Forsvarsdepartementet. Etter at rammeverket er besluttet, bør det øves på nasjonalt plan.

Et helhetlig rammeverk for digital hendelseshåndtering må inneholde en presis beskrivelse av relevante myndighets- og virksomhetsaktørers roller og ansvar, samt grensesnittene mellom disse. Der det eventuelt er ønskelig med overlapp, må dette komme tydelig frem i rutiner, og aktørene må ha en felles overordnet prosess. Samarbeid mot det private vil være av avgjørende betydning, og overgangen fra hendelseshåndtering ved en nasjonal krise til en krigslignende tilstand bør beskrives. Ulike aktører har ulikt begrepsapparat, og utvalget anbefaler at rammeverket tydelig definerer et enhetlig begrepsapparat. Eksempelvis er det ikke en omforent forståelse av begrepene digitale angrep, operasjoner og IKT-kriminalitet, slik de hittil er definert. Det samme gjelder hendelseshåndtering, som har ulik betydning hos de forskjellige aktørene. Rammeverket må revideres og harmoniseres opp mot nasjonalt beredskapsplanverk. Blant annet gjelder dette harmonisering av eskaleringsnivåer, som må defineres og ses i sammenheng med det øvrige planverket.

Ambisjonsnivået til myndighetene

Myndighetenes ambisjonsnivå rundt operativ støtte ved IKT-angrep må fremover være tydelig definert og kommunisert, slik at sektorvise responsmiljøer, offentlige og private virksomheter kan ha en avklart forventning om hva som er deres grensesnitt og bistandsmulighet. Utvalget mener Norge innen et femårsperspektiv effektivt må evne å håndtere en nasjonal cyberkrise. Myndighetene må dimensjonere evnen og kapasiteten med en ambisjon om å kunne avdekke og håndtere alvorlige hendelser på en måte som sikrer befolkningens trygghet for liv, helse og viktige verdier.

Utvalget anbefaler følgende ambisjonsnivå for myndighetenes operative evne til å avdekke, håndtere og etterforske alvorlige hendelser:

  1. Norske virksomheter må ha evne til grunnleggende egenbeskyttelse, avdekking og håndtering i henhold til ansvarsprinsippet, slik at de er i stand til å fylle sin rolle slik det er definert i rammeverket.

  2. Myndighetene skal opplyse befolkningen om relevante sårbarheter og trusler og legge til rette for at borgere og virksomheter som opplever digitale angrep mot sine verdier, har et sted å søke råd.

  3. Myndighetene må legge til rette for at virksomheter settes i stand til å ta gode risikoavveide, strategiske og operative beslutninger gjennom aktivt å dele betimelig informasjon. Deling må skje tidlig i håndteringsskjeden.

  4. Norge skal ha evne til å avdekke alvorlige IKT-hendelser i virksomheter som har ansvar for kritiske samfunnsfunksjoner.

  5. Myndighetene skal være i stand til å bistå virksomheter med koordinering av hendelseshåndtering og analyse der skadepotensialet er alvorlig for norske interesser og for samfunnet.

  6. Myndighetene skal ha rask reaksjonsevne og kunne skalere sin kapasitet både i normalsituasjoner, ved ekstraordinære hendelser og i nasjonale kriser. For å skalere kapasiteten bør en blant annet benytte kommersielle aktører.

  7. Norges innsats mot IKT-kriminalitet skal være blant Europas fremste. Norsk politi skal bidra aktivt i internasjonalt etterforsknings- og iretteføringssamarbeid. De som utøver IKT-kriminalitet, skal ikke kunne forberede eller gjennomføre kriminelle handlinger uten betydelig risiko for å bli oppdaget og straffeforfulgt.

  8. Myndighetenes operative miljøer skal ha klart definerte roller og ansvar og evne å bruke hverandres styrker. Dette må det tilrettelegges for på strategisk nivå.

  9. Myndighetene må sørge for at den operative håndteringen av IKT-hendelser har metoder, kildetilgang og øvrige rammebetingelser. Balansen mellom de grunnleggende samfunnsverdiene, som for eksempel ytringsfrihet og personvern, og trusselutviklingen må være godt ivaretatt. Disse vurderingene skal være diskutert og gjort rede for.

  10. Myndighetene skal ha et oppdatert og øvd krise- og beredskapssystem som omfatter digitale kriser.

  11. Myndighetene skal ha kommunikasjonsløsninger overfor befolkingen som fungerer selv om de utsettes for misbruk og er degradert i visse krisesituasjoner.

21.11.2 Forbedre den nasjonale operative evnen gjennom samlokalisering

Det er flere små operative miljøer i Norge i dag som skal samhandle med hverandre. Flere endringer kan foreslås for at disse bedre kan utnytte hverandres styrker. Et sentralt spørsmål er om Norge, som en liten nasjon, evner å utnytte den samlede nasjonale kapasiteten på området, både på privat og offentlig side. Utvalget observerer at myndighetsorganene i hovedsak oppfatter sin egen rolle som avklart, men at uklarheten ligger hos andre aktører. Utvalget har sett på de styrende dokumentene som foreligger, og opplever at uklarheten i mange tilfeller kan synes å være konstruert. Utvalget observerer også en krasshet i aktørenes omtale av hverandre, og stiller spørsmål om aktørene i tilstrekkelig grad klarer å spille hverandre gode.

Utvalget finner det vanskelig å ha belegg for å si at det er uklare roller, men er bekymret for om samarbeidsklimaet er som det burde være. Inntrykket er at hovedgrunnen til at disse uklarhetene har oppstått, ikke er uavklarte roller og ansvar, men at effekten av eksisterende strukturer ikke er godt nok utnyttet. Utvalget observerer videre at en rekke samfunnsviktige private aktører ikke opplever at dagens samarbeid er basert på likeverd, men at det offentlige setter premissene. Manglende likeverd oppleves som en svakhet med hensyn til effektiv håndtering av hendelser og rettidig deling av informasjon. Selv om det ofte vil være et naturlig spenningsfelt mellom rikets sikkerhet og et militært etterretningsfokus når det gjelder deling av informasjon og samfunnets øvrige behov, mener utvalget at det ligger et viktig mulighetsrom her.

Utvalgets vurdering er at aktørene i langt større grad bør dele informasjon fra åpne kilder og lovlig delbar informasjon. Utvalget mener videre at samlokalisering kan være et sentralt virkemiddel for å sikre dette. Utvalget foreslår at det legges bygningsmessig til rette for at de som ønsker samlokalisering, kan gå sammen om ett felles bygg. Dette må imidlertid ikke være et premiss for å delta i samhandlingen. Samlokalisering må bygge på frivillighet og være egnet for stor grad av liaisonering for dem som av ulike årsaker ikke har mulighet for eller ønsker full samlokalisering.

Samlokalisering vil kunne bidra til felles forståelse av det operative landskapet og arbeidsmetodene, og mer effektiv informasjonsdeling der dette er mangelvare. Det vil kunne bli en «hub» mellom privat og offentlig sektor for samarbeid og informasjonsdeling for å motvirke cybersikkerhetstrusler. De enkelte enhetene, som er en del av samlokaliseringen, er finansiert fra eksisterende virksomhetsressurser. Ved å samle ressursene for hendelseshåndtering og teknisk analyse kan man oppnå stordriftsfordeler i saker som egner seg for samarbeid, i tillegg til å få kompetansemiljøer som er robuste nok til å vedlikeholde og videreutvikle kapasitetene. Bedre samarbeid kan bidra til mer helhetlig analyse og etterforskning av digitale trusler.

NSM NorCERT har i dag rollen som den nasjonale CERT-funksjonen. Det innebærer at NSM NorCERT er nasjonalt IKT-responsmiljø og koordinerer håndteringen av alvorlige IKT-hendelser rettet mot samfunnskritisk infrastruktur og informasjon. Dette medfører også et ansvar for å detektere hendelser, koordinere og bistå i hendelseshåndteringen, foreta tekniske analyser, dele informasjon og gi råd på overordnet nivå og på tvers av sektorgrenser. Samarbeidet med de øvrige EOS-tjenestene vurderes som særlig viktig for evnen til informasjonsinnhenting, varsling og håndtering av alvorlige digitale trusler. Spesielt gjelder dette samarbeidet med Etterretningstjenesten, som også er nasjonal SIGINT-autoritet. I tillegg til egne innsamlingsressurser er det denne posisjonen som gir eksklusiv aksess til partnermateriale som Norge er avhengig av for å håndtere det digitale trusselbildet.

På dette punktet har utvalget delt seg.

Flertallet, bestående av Olav Lysne, Fredrik Manne, Eva Jarbekk, Kristian Gjøsteen, Einar Lunde, Janne Hagen og Åke Holmgren fremmer følgende:

Ved bruk av samlokalisering som virkemiddel for å forbedre samarbeidet aktørene imellom og lage en arena for rettidig hendelseshåndtering, er det etter utvalgets mening mest rasjonelt å ta utgangspunkt i det miljøet som både har en tradisjon for offentlig–privat samarbeid, og er en del av EOS-miljøet. I tillegg vurderes det som sannsynlig at å forankre en samlokalisering i EOS-miljøet er et premiss for at EOS-tjenestene er med, noe som vurderes helt nødvendig for etablering av ett nasjonalt miljø. Utvalget konkluderer derfor med at den mest naturlige verten for en samlokalisering er NSM NorCERT. I denne rollen som vert er det viktig at NSM er seg bevisst toveiskommunikasjon og likeverdig behandling av sivile aktører. Justis- og beredskapsdepartementet må følge opp, særlig overfor de sivile aktørene i samarbeidet, og definere klare, målbare suksesskriterier for samarbeidet, som skal evalueres innen henholdsvis to og fem år. Basisen for kriteriene er ambisjonsnivået, slik det er beskrevet tidligere i kapittelet.

Mindretallet, bestående av Kristine Beitland og Sofie Nystrøm, fremmer følgende:

Utvalgsmedlemmene Kristine Beitland og Sofie Nystrøm anbefaler at Justis- og beredskapsdepartementet i politikkutformingen vurderer et mer ambisiøst forslag hva gjelder det å forbedre den nasjonale operative evnen gjennom samlokalisering. De to utvalgsmedlemmene understreker at departementet bør søke å etablere en styringsstruktur for det operative arbeidet som prinsipielt følger roller og ansvar implementert rundt våre fysiske verdier, og som videreføres inn i det digitale rom.104

Det er et naturlig spenningsfelt mellom på den ene siden rikets sikkerhet og vektlegging av militær etterretning med stor grad av gradert informasjon og delingsbegrensninger, og på den andre siden samfunnets behov for åpenhet og informasjonsdeling sett fra et sivilt samfunnsperspektiv. For Norge er det viktig å ha operativ kapasitet og reaksjonsevne i begge spor, idet et digitalt angrep kan være avsluttet i løpet av minutter eller timer og ramme flere sektorer samtidig. Internasjonalt er det vanskelig å peke på gode eksempler fra andre land som har lyktes med å etablere et effektivt samarbeid og informasjonsdeling på tvers av et etterretningsspor og et samfunnssikkerhetsspor i én og samme organisasjon.

De to utvalgsmedlemmene foreslår en betydelig styrking av samfunnets samlede evne til hendelseshåndtering og etterforskning av digitale angrep for å nå det foreslåtte ambisjonsnivået som er beskrevet i punkt 21.11.1 «Etablere og øve et helhetlig rammeverk for digital hendelseshåndtering». For å øke den samlede nasjonale kapasiteten på håndtering av hendelser er det viktig å fokusere på et tettere tverrsektorielt privat–offentlig samarbeid. Det er en oppfatning at NSM NorCERT i dag først og fremst er opptatt av og prioriterer koordinering av hendelseshåndtering og samarbeid mellom myndighetene.105 Dette gjør de i tett samarbeid med de andre EOS-tjenestene. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør i samråd, på kort sikt, evaluere hvordan NSM NorCERT forvalter rollen som den nasjonale CERT-funksjonen ut fra et samfunnssikkerhetsspor med vekt på tillit, samarbeid og rask informasjonsdeling fra og til virksomheter med samfunnskritiske funksjoner.

I tillegg bør Justis- og beredskapsdepartementet og Forsvarsdepartementet i samråd etablere en pilot (første fase 1–2 år) som inkluderer noen av liaison-ressursene til politiets nye nasjonale enhet «Cyber Crime Center», se punkt 21.11.5 «Etablere et nasjonalt «Cyber Crime Center». Denne samlede nasjonale operative kapasiteten bør fysisk samlokaliseres i ett felles bygg med det eksisterende EOS-miljøet/etterretningssporet. Det bør også legges til rette for at samlokaliseringen omfatter liaisoner fra sektorvise responsmiljøer og sertifiserte leverandører106. Det privat–offentlige samarbeidet må bygge på frivillighet. Det bør også dimensjoneres bygningsmasse for at sentrale offentlige og private virksomheter med kritiske samfunnsfunksjoner kan inngå i dette fagmiljøet, enten regelmessig eller ved alvorlige hendelser.

I andre fase (2–4 år) bør Justis- og beredskapsdepartementet legge til rette for et ytterligere samarbeid mellom de sektorvise responsmiljøene, sertifiserte leverandører og akademia. Det anbefales at politiet, ved Kripos’ nye nasjonale «Cyber Crime Center», gis i oppdrag å etablere et nasjonalt cybersikkerhetssenter.107 Det er i dette forslaget lagt vekt på viktigheten av at et cybersikkerhetssenter etableres med et samfunnssikkerhetsperspektiv med likeverdig samarbeid mellom offentlig og privat sektor, der en evner å dele kunnskap og utnytte hverandres styrker. En del av senteret bør ha et særskilt ansvar for koordinering med de hemmelige tjenestene. Cybersikkerhetssenteret skal fungere som et felles kontaktpunkt til hjelp ved hendelser. I tillegg bør senteret ha ansvar for å gjennomføre flere årlige nasjonale cybersikkerhetsøvelser.108

Politiet har en helt sentral rolle i samfunnssikkerhetssporet. Forebygging av kriminalitet er en av politiets mest sentrale samfunnsoppgaver, sammen med etterforskningsansvaret og et sektorovergripende ansvar for å håndtere ulykker og katastrofer i fred, på alle samfunnsområder. Nærpolitireformen, som reduserer antall politidistrikter fra dagens 27 til 12, vil innebære en kompetanse- og kapasitetsmessig kraftsamling, noe som vil kunne skalere politiets innsats på området. I politiets forebyggende arbeid er det allerede etablert en landsdekkende struktur for et mer operativt privat–offentlig samarbeid gjennom næringslivskontakter i flere politidistrikter. Dette gjør at politiet er særlig egnet som vert og leder av et cybersikkerhetssenter der det totale samfunnssikkerhetsperspektivet forsterker det privat–offentlige samarbeidet basert på likeverd. Politiet har således et helhetlig ansvar på området som omfatter å forebygge, avdekke og stanse kriminell virksomhet, forfølge straffbare forhold og håndtere hendelser ved en krise.

21.11.3 Øke deteksjonsevnen og sammenstille et felles situasjonsbilde

For effektiv avdekking av digitale angrep trengs det gode deteksjonsmekanismer som dekker de kanalene angrepene gjennomføres gjennom. Dette innebærer mer enn teknologiske tiltak. Ressursgruppen har stilt spørsmål ved om det kan være slik at IKT-hendelser ved NSM NorCERT blir sikkerhetsgradert selv om kildene i utgangspunktet er av ugradert karakter. Informasjonsdeling i forbindelse med hendelser må starte tidligere enn det som er vanlig i dag. Man bør i større grad løsrive seg fra behovet for forståelse og ferdigstilte rapporter før informasjon deles.

Inntrengingstesting er en viktig del av det forebyggende IKT-sikkerhetsarbeidet, og er primært et virksomhetsansvar. NSM anbefaler i sikkerhetsfaglig råd at Sikkerhetsutvalget bør vurdere om «NSM bør gis hjemmel til å gjennomføre inntrengingstesting uten forutgående samtykke fra virksomheten». Utvalget er prinsipielt uenig i at man bør tillate å gjennomføre inntrengingstesting uten samtykke fra virksomheter. Dette begrunnes med at det kan undergrave tillit, samt sektorenes og virksomhetenes selvstendige ansvar.

Tiltaket omfatter følgende områder:

  1. Aktiv og rettidig informasjonsdeling ved å etablere en hensiktsmessig teknisk plattform

Utvalget mener NSM NorCERT må etablere en teknisk informasjonsdelingsplattform for ugradert informasjon mot virksomheter for å kunne dele informasjon raskt og sikkert. Dette vil kunne være en viktig tjeneste for et enda tettere privat–offentlig samarbeid. NSM bør måles på gjennomføringen av denne informasjonsdelingen. Dette forutsetter at det er etablert en hensiktsmessig infrastruktur, se tiltak foreslått i kapittel 20 «Styring og kriseledelse».

  1. Styrke deteksjonsevnen gjennom tilpasset monitorering i den enkelte sektor.

Utvalget ser behovet for en styrket nasjonal evne til å detektere hendelser i det digitale rom. Utvalget er av den oppfatning at lovfesting av VDI-funksjonen er hensiktsmessig i den grad det formaliserer dagens eksisterende ordning. Når det gjelder utplassering av VDI-sensorer, er det viktig å bygge opp sektormyndighetenes ansvarsutøvelse på dette området. Justis- og beredskapsdepartementet må innta en pådriverrolle overfor sektormyndighetene, slik at sektorene har tilstrekkelige deteksjonsmekanismer. Teknologien bør være den samme, og driftes av NSM NorCERT. Imidlertid må ansvar for utrulling og beslutning om plassering tilligge sektorene. Utvalget anbefaler at det etableres en årlig økonomisk ramme, forvaltet av NSM i samarbeid med sektormyndighetene, som kan brukes til spesifikke myndighetspålagte tiltak. Dette må ses i sammenheng med 21.11.2 «Forbedre den nasjonale operative evnen gjennom samlokalisering», der en forutsetning for virksomhetene er at det blir en tydelig tilbakemelding og verdiøkning tilbake fra NSM NorCERT.

Neste generasjons VDI bør videreutvikles i samarbeid med de sektorvise responsmiljøene for å ivareta sektorenes behov på en god måte. De sektorvise responsmiljøene må ha mulighet til å tilpasse deler av signaturene til sektorens behov. Gjennom dette vil man kunne ivareta både det nasjonale og det sektorvise perspektivet. Utvalget mener dette også vil bidra til større helhetsforståelse og bedre samarbeid. Behovet må ses i sammenheng med punkt 21.11.8 «Sikre balansen mellom personvern og et sikrere samfunn».

  1. Etablere et felles situasjonsbilde og automatisert informasjonsdeling.

Utvalget mener det bør legges til rette for et felles situasjonsbilde, basert på åpne kilder, som kan deles med sektorvise responsmiljøer og andre relevante aktører.Nasjonal kommunikasjonsmyndighet bør vurdere å etablere en automatisert prosess for å dele informasjon om norske datamaskiner som er brukt i digitale angrep mot norske telekomoperatører. Eventuelle lovmessige implikasjoner må utredes. Det er primært utstyr hos sluttkunder som er målgruppen her. Tiltaket er inspirert av den finske ordningen, der den nasjonale CERT-en har automatisert deling av informasjon til finske ISP-er.

21.11.4 Styrke kapasitet og kompetanse knyttet til håndtering av digitale angrep

Utvalget registrerer at det er kapasitets- og kompetanseutfordringer knyttet til håndtering av digitale angrep. For å sikre rekruttering av relevant kompetanse i fremtiden er det viktig at fagmiljøene har en aktiv rolle overfor akademia. På den måten kan akademia tilføres praktisk erfaring som har verdi for kunnskapsutviklingen, som igjen kan tilbakeføres til de operative kapasitetene.

Tiltaket omfatter følgende områder:

  1. Evaluere ordningen med sektorvise responsmiljøer

Utvalget mener det er viktig at det støttes opp om etableringen av de sektorvise responsmiljøene. De sektorvise responsmiljøene er imidlertid svært ulike, noe som kan medføre at samarbeid og koordinering mellom dem fungerer mindre hensiktsmessig. Det er også en utfordring at sektor-CSIRT ikke nødvendigvis favner hele sektoren, og at ikke alle virksomheter har en sterk og naturlig tilhørighet i én sektor. Videre stiller utvalget spørsmål ved om Norge har tilstrekkelig kompetanse til å bemanne flere små miljøer. Utvalget mener at oppbyggingen av sektorvise responsmiljøer har foregått noe ukoordinert, og at Justis- og beredskapsdepartementet var sent ute med å gi retningslinjer for etableringen. Utvalget mener det er behov for en evaluering av ordningen med sektorvise responsmiljøer sett opp mot det tverrsektorielle behovet for hendelseshåndtering. Dette bør gjøres i etterkant av Øvelse IKT 2016. Det er en forutsetning at de sektorvise responsmiljøene involveres tett i evalueringen. Gjennom evalueringen bør det blant annet ses på om inndelingen i sektorvise responsmiljøer er hensiktsmessig, eller om responsmiljøer for sektorer med tilsvarende utfordringer bør slås sammen.

  1. Utrede nasjonal cyberreserve for digital hendelseshåndtering

Utvalget stiller spørsmål om hvilke skaleringsmuligheter som finnes ved større kriser som krever innsats utover ordinær bemanning, samt hvordan man vil kunne nyttiggjøre seg andre miljøer. Utvalget mener det må etableres en nasjonal cyberreserve for digital hendelseshåndtering. Målet er å kunne skalere opp innsats ved store hendelser og kriser, for eksempel ved å opprette avtaler med tidligere ansatte fra relevante fagmiljøer. Dette er et forslag Nederland har fremmet, og det er paralleller i Norge med innkalling av ekspertise på andre områder. Storbritannia og Estland har etablert lignende «cyberreserver».

Det daglige virket for dem som inngår i cyberreserven, vil ikke endres. Utvalget erkjenner at det er begrenset levetid på kompetanse, og at det derfor bør ses på hvilke kriterier som skal ligge til grunn for utvelgelse av personell, og hva ambisjonsnivået bør være, knyttet til størrelse på cyberreserven. Utvalget har respekt for at etablering av en cyberreserve har mange komplekse sider som utvalget ikke har beskrevet. Utvalget har som tidligere beskrevet ikke gjort en analyse av Forsvarets kapasiteter, men tiltaket kan være egnet som et område for sivilt–militært samarbeid. Utvalget mener at et naturlig første steg vil være at Justis- og beredskapsdepartementet og Forsvarsdepartementet utreder hvordan en slik cyberreserve kan bygges opp, driftes og organiseres.

21.11.5 Etablere et nasjonalt «Cyber Crime Center»

Det er utvalgets oppfatning at Politiets beredskapsevne og oppgaveløsning i det digitale rom er langt fra tilstrekkelig og ikke tilpasset samfunnets forventninger og den risikoen samfunnet står ovenfor. Utvalget støtter Justis- og beredskapsdepartementet forslag om å opprette et nytt nasjonalt senter for å forebygge og etterforske kompleks og grenseoverskridende IKT-kriminalitet. Senteret bør ha et utvidet og nasjonalt fagansvar for forebygging og etterforskning av alvorlig og kompleks IKT-kriminalitet med en særskilt bistandsfunksjon for å støtte politidistriktene, både polititaktisk og påtalefaglig. Senteret skal også drive fag- og metodeutvikling. Det er viktig å tydeliggjøre at et slikt særskilt nasjonalt senter alene gis ansvaret for metodeutvikling og håndtering av skjulte digitale metoder. I tillegg bør senteret ha et særskilt nasjonalt ansvar for kunnskaps- og metodeutvikling i samarbeid med PHS og andre kunnskapsmiljøer. Behovet for et spisset nasjonalt fagmiljø vil ha avgjørende betydning for politiets innsats på området, og økt betydning i tiden fremover. Et nasjonalt senter vil også lettere kunne møte et økende krav til nasjonalt og internasjonalt samarbeid. Utvalget presiserer at det ikke foreslås å gi senteret ansvar som per i dag faller inn under PSTs ansvarsområde.

Utvalget mener at senteret ikke bare kan, men skal, etterforske alvorlig IKT-kriminalitet. Det er ønskelig at Riksadvokaten gir klare føringer for hva som ligger i begrepet alvorlig IKT-kriminalitet.

Utvalget vurderer at det ikke er realistisk nå å opprette et slikt senter som et eget særorgan. Dette er begrunnet i at Regjeringen har vedtatt en utredning av fremtidig organisering av særorganene. Utredningen bør vurdere om kapasitetsoppbyggingen har svart til intensjonen, og om alternative organisasjonsformer er mer hensiktsmessige.

21.11.6 Sikre sterke fagmiljøer for IKT-kriminalitet i politidistriktene

Digital kompetanse i politiet må bygges i bredden, det vil si i alle politidistrikt. I politidistriktene er det behov for bedre og mer spesialisert kompetanse, ferdigheter og økt kvalitet på politiarbeidet.109 Alle tjenestemenn og -kvinner trenger økt forståelse for digitalt politiarbeid, herunder å bekjempe IKT-kriminalitet, behandle elektroniske spor, arbeide på Internett, samt generell etterforskningskompetanse når det gjelder IKT-kriminalitet.

PHS’ studieprogram innenfor grunnutdanningen og etter- og videreutdanningen må i tilstrekkelig grad vektlegge IKT-kriminalitetsbekjempelse, behandling av elektroniske spor og arbeid på Internett. Utvalget anbefaler at det gjennomføres et stort løft innenfor etter- og videreutdanning for allerede uteksaminerte tjenestemenn og -kvinner. Utvalget mener også at Justis- og beredskapsdepartementet bør gi klare føringer til politidistriktene for å sikre nødvendig tverrfaglig kompetanse i politiet, herunder sivilt ansatte med teknisk bakgrunn.

Politidistriktenes fagmiljøer for sikring av elektroniske spor og etterforskning av IKT-kriminalitet er ulike og ofte kritisk små. Organisatoriske endringer som følge av nærpolitireformen og sammenslåingen av politidistrikter og større fagmiljøer vil ikke alene gi den nødvendige kapasiteten politiet trenger for å møte fremtidens IKT-kriminalitetsutfordringer. Utvalget anbefaler, i tråd med Politidirektoratet, at politidistriktenes fagmiljøer styrkes betraktelig. Ved politiets arbeid på Internett bør den åpne tilstedeværelsen, herunder «politistasjon og patruljering på nett», ligge til det enkelte politidistrikt for å ivareta politiets primæroppgave med å sikre trygghet, lov og orden.

Utvalget mener at et klart grensesnitt mellom hva et nasjonalt «Cyber Crime Center» håndterer, og hva politidistriktene selv forventes å håndtere, er avgjørende. Politidistriktenes fagmiljøer må være dimensjonert til å håndtere oppgavene sine når det gjelder bekjempelse av IKT-kriminalitet. Utvalget støtter Justis- og beredskapsdepartementets forslag om at Oslo politidistrikt kan være pilot for en slik satsing.110

Utvalget har vurdert ulike modeller for organisering. PST har i dag en organisasjonsmodell med én sentral enhet og dedikert personell lokalt i distriktene. Ordningen med etablering av tverrfaglige økoteam i samtlige politidistrikter har vært vellykket, og de fleste politidistriktene er i dag i stand til å håndtere også kompliserte økonomiske straffesaker i eget distrikt.111 I Norge står politidistriktenes autonomi og politimestrenes frihet til å prioritere innenfor egen ramme sterkt. Utvalget mener denne styringsmodellen ikke må være til hinder for å vurdere ulike modeller for organisering av IKT-kriminalitet, blant annet ved utredningen av den fremtidige organiseringen av særorganene.

21.11.7 Sikre en IKT-infrastruktur til støtte for politiets kriminalitetsbekjempelse

Utvalget er av den oppfatning at IKT-situasjonen i politiet er kritisk. Det er behov for langsiktige og omfattende løft med tanke på stabilitet i grunnleggende infrastruktur og sikkerhet i applikasjoner og tjeneste. I tillegg er det et stort behov for å etablere felles nasjonale løsninger som erstatning for ulike lokale løsninger. Utvalget ser det som helt grunnleggende for å kunne understøtte en større satsing i politiet mot IKT-kriminalitet. Det er også behov for utvidet funksjonalitet, slik som digitalisering av samhandling mot domstolene, kriminalomsorgen og mot innbyggerne.

Det er ikke funnet grunnlag for å si at dette skyldes manglende investeringer til IKT i politiet. Utvalget merker seg politiets bekymring over IKT-situasjonen og manglende langsiktig satsing ved at Merverdiprogrammet ble besluttet delt opp i mindre prosjekter for å redusere risikoen i IKT-fornyingen i politiet. Utvalgets bekymring knytter seg særlig til to mulige konsekvenser – ineffektivitet i politiarbeidet og uroen for at hele IKT-systemet politiet baserer arbeidet sitt på, ikke har nødvendig robusthet og sikkerhet. Utdaterte IKT-systemer er ikke unikt for justissektoren. Det er imidlertid summen av disse faktorene som gjør IKT-infrastrukturen i politiet særlig sårbar. Utvalget mener at Justis- og beredskapsdepartementet bør iverksette tiltak for å sikre politiet et teknologiløft, med fokus på IKT-ledelsen og -styringen, øke bestillerkompetansen og gi klare prioriteringer for ressursutnyttelse i et langsiktig perspektiv.

21.11.8 Sikre balansen mellom personvern og et sikrere samfunn

Utvalget har merket seg at inngripende metoder foreslås for å få et sikrere samfunn, uten at balansen mot personvern og ytringsfrihet er tatt tilstrekkelig stilling til og redegjort for. Slike teknologi- og personvernspørsmål blir i stor grad overlatt til politiske myndigheter. Utvalget fremmer derfor to områder der det må foretas viktige avveininger for å finne den rette balansen mellom motstridende hensyn.

  1. Utrede innføring av digitalt grenseovervåking ved en NOU eller annen offentlig utredning.

Utvalget registrerer at det oppgis at noen land vi gjerne sammenligner oss med, har digital grenseovervåking, og forstår det etterretningsfaglige behovet for å vurdere innføring også i Norge.112Utvalget er imidlertid av den oppfatning at digital grenseovervåking ikke bør innføres uten en forutgående offentlig debatt. Denne debatten bør forberedes gjennom en Norsk offentlig utredning (NOU) eller et tilsvarende utredningsdokument. På den måten vil man sikre at virkemiddelet blir diskutert i større bredde enn det dette utvalget har hatt anledning til å gjøre. Vi foreslår derfor at det settes ned et eget utredningsutvalg med et mandat som inkluderer at utvalget skal

  • ha en presis formulering av formålet med innsamlingen og tilgang til bruk av data

  • vurdere implementasjonsmetoder for å nå dette målet

  • utrede hvilke tilleggsgevinster man får av digital grenseovervåking, sammenlignet med de overvåkingstiltakene som allerede er iverksatt i regi av NSM NorCERT og andre CERT/CSIRT-er og sensorsystemer, og den tilgangen til informasjon som EOS-tjenestene i dag har fra andre kilder

  • vurdere den teknologiske realismen i disse tilleggsgevinstene

  • vurdere alternative tilnærminger til å oppnå de samme gevinstene

  • vurdere forholdsmessigheten i disse tilleggsgevinstene i relasjon til hvor inngripende de er i forhold til personvern og menneskerettigheter

  • vurdere mulige konsekvenser for individer, næringsvirksomhet og nasjonal sikkerhet dersom utenforstående skulle ta kontroll over overvåkingsutstyret og/eller få innsyn i data

  • vurdere proaktive tiltak for å hindre fremtidig formålsutglidning, og slik sikre at innsamlede data og tekniske installasjoner tilknyttet digital grenseovervåking ikke benyttes til andre formål enn de som er forutsatt.

Deltagerne i dette utvalget må ha en erfaringsbase som gjør at hensyn til etterretningsbehov, teknologisk kompetanse og personvernhensyn ivaretas, og at man sikres en grundig redegjørelse for de teknologiske, rettslige og samfunnsmessige spørsmålene saken reiser.

  1. Utrede politiet og PSTs skjulte metodebruk på Internett.

Utvalget legger til grunn at politiet og PST i lys av den digitale utviklingen har behov for å være aktivt til stede i det digitale rom, med både åpen og skjult tilstedeværelse på Internett. Den åpne tilstedeværelsen til politiet er uproblematisk og en forutsetning for et effektivt og moderne politi. Den skjulte tilstedeværelsen reiser grunnleggende verdispørsmål om balansen mellom samfunnets behov for å bekjempe IKT-kriminalitet med alle midler og grunnleggende samfunnsverdier som menneskerettigheter, personvern, rettssikkerhet og ytringsfrihet. Metodebehovet reiser også spørsmål knyttet til utvikling og utøvelse av etterforskningsmetoder, som søkemetodikk, opptreden på et «digitalt åsted», politiets egen sikkerhet og eksponering, samt mer komplekse spørsmål knyttet til skjult innsamling av informasjon.

Utvalget mener at Justis- og beredskapsdepartementet bør sette rammene for utviklingen av justissektorens skjulte digitale metoder. Dersom PST igjen reiser forslag om å registrere ytringer på sosiale medier og analysere informasjon fra åpne kanaler, mener utvalget at det er et særskilt behov for en full offentlig utredning. De hensynene som må ligge til grunn for beslutningen om hvorvidt vi skal overvåke sosiale medier, vil ha mye til felles med de hensynene som ligger til grunn for grenseovervåking.

22 Felleskomponenter

I offentlig sektor finnes det funksjoner som det er naturlig å sentralisere. Folkeregisteret er ett eksempel. Når Norge først har valgt å registrere alle innbyggerne, er det mest naturlig å ha ett sentralt register. Det finnes også andre funksjoner som man kan velge å sentralisere. Matrikkelen (se punkt 22.4.1) hos Kartverket er et eksempel på en funksjon samfunnet har valgt å sentralisere, men som kunne ligget for eksempel hos kommunene.

Digitalisering kan også forårsake sentralisering der sentralisering ville gitt liten eller ingen mening i en analog verden. Et eksempel er Altinn, som kan håndtere kommunikasjon mellom offentlige virksomheter og borgere og private virksomheter. Altinn gjør det lettere for offentlig sektor å kommunisere digitalt med brukerne.

Sentralisering kan eliminere dobbeltarbeid. Når offentlige virksomheter kan gjenbruke Altinns funksjonalitet for innsending av skjemaer, slipper hver offentlig virksomhet å utvikle denne funksjonaliteten. En annen fordel er at et godt sikkerhetsarbeid hos fellesfunksjonen automatisk kommer alle virksomheter til gode.

Samtidig kan sentralisering påvirke sikkerhetsnivået negativt. Først av alt blir mange virksomheter avhengige av fellesfunksjonene, av og til uten at de er klar over det. Dersom en fellesfunksjon har for dårlig sikkerhet, kan det være vanskelig for enkeltvirksomheter å lage sin egen variant med høyere sikkerhet, selv om de reelt sett har behov for det.

Sårbarheter i fellesfunksjoner vil dermed ha særlig store konsekvenser. Derfor er det viktig at vi har et overordnet grep om disse sårbarhetene, at de som eier felleskomponentene, forstår hvilke samfunnsverdier som hviler på dem, og at de som bruker felleskomponentene, forstår hvilke sårbarheter de arver.

Felles infrastruktur for e-ID er særlig viktig for kommunikasjon mellom offentlige virksomheter og borgerne. Samtidig er dette et krevende felt der vi i nær fremtid ikke kan forvente at tekniske løsninger har svært høy sikkerhet. Det betyr at det er særskilt viktig å håndtere den arvede sårbarheten.

Mange felleskomponenter innebærer lagring av informasjon. Utfordringene knyttet til lagring av informasjon er stort sett de samme overalt, og funnene i dette kapittelet vil i stor grad også gjelde for de ulike samfunnsfunksjonene.

22.1 Utvalg av felleskomponenter

I utviklingen av digital forvaltning har man satset på enkelte felleskomponenter. Dette er komponenter som kan gjenbrukes i flere IKT-løsninger i offentlig sektor. Enkelt kan man si at felleskomponenter er felles «byggeklosser» for å kunne utvikle elektroniske tjenester. Se forøvrig punkt 23.6 «Næringsutvikling og IKT-sikkerhet» der behovet for effektivisering utdypes nærmere.

Direktoratet for forvaltning og IKT (Difi) har identifisert fem felleskomponenter med stort tverrsektorielt behov som de anbefaler får status som nasjonale felleskomponenter.113 Disse fem er:

  • Grunndata om virksomheter: Enhetsregisteret i Brønnøysundregistrene

  • Grunndata om personer: Folkeregisteret hos Skatteetaten

  • Grunndata om eiendom: Matrikkelen hos Kartverket

  • Altinn-komponentene hos Brønnøysundregistrene

  • Felles infrastruktur for e-ID i offentlig sektor hos Difi

Utvalget finner det naturlig å se nærmere på disse felleskomponentene. Det er andre felleskomponenter utvalget kunne sett nærmere på, men det er naturlig å tro at de som er nevnt over, gir god dekning av problemstillingene vi ser ved felleskomponenter.

22.2 Roller og ansvar

Kommunal- og moderniseringsdepartementet (KMD) har et særskilt ansvar for å arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. KMD har også ansvaret for personvernpolitikk. På informasjonssikkerhetsområdet omfatter ansvaret blant annet valg av felles standarder, krav til bruk av styringssystemer for informasjonssikkerhet, veiledning på overordnet nivå, tilrettelegging for en bedre koordinering av etatenes arbeid med informasjonssikkerhet og understøttelse av samordnede løsninger tilpasset det rettslige rammeverket.

Oppgaven med å følge opp KMDs særskilte ansvar for å arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen er delegert til Direktoratet for forvaltning og IKT (Difi). Grunnprinsippet er at alle har ansvar for å sikre egen informasjon, og Difi skal bistå.

Difi er KMDs fagorgan for IKT-politikken i offentlig sektor og retter seg i hovedsak mot statsforvaltningen, men arbeider også mot kommunal sektor, næringsliv, frivillige organisasjoner og enkeltmennesker. Et av Difis fagområder er digitalisering av offentlige tjenester og arbeidsprosesser, herunder utvikling og forvaltning av fellesløsninger. Direktoratet arbeider med offentlige anskaffelser og forebyggende IKT-sikkerhet i statsforvaltningen, og har ansvar for Kravspesifikasjon for PKI (Public Key Infrastructure) i offentlig sektor. De forvalter ID-porten som er innloggingsportal for offentlig sektor, og MinID, som er en e-ID på nivå 3.

Justis- og beredskapsdepartementet har ansvaret for det nye nasjonale ID-kortet. ID-kortet kan bli en vesentlig faktor i det norske e-ID-landskapet dersom kortet blir utstyrt med en e-ID og ID-kortet blir utbredt.

Nærings- og fiskeridepartementet har ansvaret for lov om elektronisk signatur (esignaturloven).114

Nasjonal kommunikasjonsmyndighet (Nkom) fører tilsyn med sertifikatutstedere.

22.3 Hjemmelsgrunnlag og tilsynsvirksomhet

Det er en rekke lover og forskrifter som regulerer felleskomponenter. I den videre kartleggingen har følgende lover og forskrifter særlig relevans:

Lovgivning for personopplysninger. Personopplysningsloven er generell lov som gjelder for både offentlig og privat sektors behandling115 av personopplysninger,116 med mindre særlovgivningen eksplisitt regulerer bruk av personopplysninger som for eksempel helseregisterloven og politiregisterloven. Formålet med loven er å beskytte den enkelte mot at personvernet blir krenket gjennom behandling av personopplysninger, slik at personlig integritet, privatlivets fred og kvalitet på personopplysninger blir ivaretatt. Personopplysninger krever ekstra beskyttelse dersom de er sensitive. Behandling av personopplysninger krever et rettslig grunnlag og skal være saklig begrunnet for et definert og avgrenset formål. Forskrift om behandling av personopplysninger kapittel 2 regulerer krav til informasjonssikkerhet. Det stilles blant annet krav til å sikre opplysningenes konfidensialitet, tilgjengelighet og integritet samt utarbeide sikkerhetsstrategi, risikovurdering, internkontroll, revisjon og avvikshåndtering.

Sikkerhetsloven skal motvirke trusler mot rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser. Loven er tverrsektoriell, og den skal sørge for at informasjon og objekter som er skjermingsverdige, har tilstrekkelig sikkerhet. Skjermingsverdig informasjon klassifiseres etter sensitivitet i kategoriene begrenset, konfidensielt, hemmelig og strengt hemmelig. Det er opp til objekteieren å melde inn skjermingsverdige objekter, og loven gjelder bare for disse og de som får tilgang til sikkerhetsgradert informasjon fra et forvaltningsorgan.

Regulering av elektronisk ID (e-ID). Det er esignaturloven som regulerer e-ID i Norge. Loven er basert på EU-direktivet om elektroniske signaturer.117 I praksis er det to styrende dokumenter for e-ID, Rammeverk for autentisering og uavviselighet i elektronisk kommunikasjon med og i offentlig sektor og Kravspesifikasjon for PKI i offentlig sektor. Rammeverket tar utgangspunkt i fire risikonivåer og definerer fire tilsvarende sikkerhetsnivåer. Kravspesifikasjonen har to sikkerhetsnivåer for personer. Disse identifiseres med rammeverkets to høyeste sikkerhetsnivåer. Den nye ID-kortloven og påfølgende forskrifter vil regulere en e-ID knyttet til det nye ID-kortet. Reguleringen på området vil endre seg, siden en ny EU-forordning erstatter det gamle esignatur-direktivet.118

22.4 Beskrivelse av felleskomponenter

22.4.1 Kartverket

Kartverket har det nasjonale ansvaret for geografisk informasjon i Norge og driver en rekke registre relatert til geografisk informasjon. De mest essensielle registrene er:

  • Matrikkelen. Dette er Norges offisielle register for eiendom, adresser og bygninger, og oppdateres av kommunene via matrikkelklienten. Matrikkelen er en sammensmelting av Grunneiendom-, adresse- og bygningsregisteret og Digitale eiendomskart. Matrikkelinformasjon er sentral i mye av saksbehandlingen i kommunene og i en del statlige virksomheter og for alle innbyggere og virksomheter som eier eiendommer. Matrikkelloven pålegger alle offentlige virksomheter å benytte matrikkelen i behandling av saker om matrikkelenheter, bygninger, boliger og offisiell adresse.

  • Grunnboken. Dette er Norges offisielle register for tinglysing av fast eiendom og borett. Elektronisk tinglysing er på vei inn, og det er hovedsakelig historiske grunner til at grunnboken og matrikkelen er adskilt. Disse to behandles derfor etter de samme sikkerhets- og arkitekturprinsippene i dag.

  • Sentralt stedsnavnregister og Nasjonalt register over luftfartshindre.

Kartverkets geografiske informasjon er til en viss grad sensitiv. Dybdedata og landmålinger ved en viss måletetthet er sikkerhetsgradert etter ønske fra Forsvaret og er begrunnet i ønsket om informasjonsoverlegenhet på norsk territorium. Fotografier fra luften er også gradert i visse områder av hensyn til skjermingsverdige objekter.

Kartverket gjør kartdata tilgjengelig både for publikum og andre parter. Svært mange tjenester er avhengige av å kunne lese eller endre data i matrikkelen. Tilgjengelighet blir dermed stadig viktigere.

Manglende integritet i kartdata kan for eksempel skape problemer innen skipsfart. Under granskingen av Rocknes-ulykken i 2004 var manglende merking i båtens kartsystemer ett av flere funn, og eksemplet viser behovet for integritet i alle ledd fra primærkilden til sluttbrukeren.

22.4.2 Brønnøysundregistrene

Brønnøysundregistrene forvalter 18 nasjonale registre og har forvaltningsansvaret for fellesløsningen Altinn. Driften av Altinn er satt ut til en underleverandør.

Enhetsregisteret inneholder grunndata om virksomheter som er sentral informasjon for at offentlige virksomheter skal kunne utføre oppgavene sine på en god måte. Alle offentlige virksomheter som har behov for grunndata om virksomheter, har plikt til å bruke Enhetsregisteret, og private virksomheter får tilgang til offentlige opplysninger gjennom en kommersiell distributør. Tilgjengelighet er svært viktig.

Litt forenklet er Altinn et mellomledd mellom forskjellige offentlige virksomheter, enkeltmennesker og næringsliv. Altinn tilbyr en felles plattform for at forvaltningen skal kunne tilby elektroniske tjenester til innbyggere og næringsliv, og er et sentralt system i digitaliseringen av offentlig sektor. I hovedsak skjer dette gjennom et system for innsending av skjemaer og utsending av meldinger. Det finnes også en arkivfunksjonalitet i systemet.

Mye av informasjonen som passerer gjennom Altinn, er sensitiv, og det er avgjørende at informasjonen er korrekt. Svært mye av informasjonen som passerer gjennom Altinn, lagres også i Altinn over tid. Dersom Altinn blir utilgjengelig, får det raskt store konsekvenser for svært mange offentlige virksomheter, enkeltmennesker og private virksomheter. Systemet er dimensjonert for periodisk stor belastning, for eksempel i forbindelse med selvangivelsen, som det historisk har vært utfordringer med å håndtere.

22.4.3 Skatteetaten

Skatteetaten forvalter en rekke registre og arkiver som inneholder mye sensitiv eller viktig informasjon om enkeltmennesker og virksomheter. For eksempel inneholder Aksjonærregisteret svært mye informasjon om aksjeselskaper, og det er viktig at denne informasjonen er korrekt.

Folkeregisteret inneholder grunndata om alle borgere og andre som har tilknytning til Norge, og er en viktig nasjonal felleskomponent i elektronisk forvaltning. Her tildeles fødsels- eller D-nummer. Folkeregisteret reguleres av folkeregisterloven. De fleste offentlige virksomheter er avhengige av rask og enkel tilgang til oppdatert og korrekt personinformasjon for å kunne utføre oppgavene sine. Siden disse virksomhetene stoler på informasjonen de får fra Folkeregisteret, er det viktig at informasjonen er korrekt.

Mange offentlige etater har mulighet til å endre eller legge til data i Folkeregisteret. Kvaliteten på dataene i Folkeregisteret er dermed avhengig av kvalitetssikring hos mange andre etater. Et kjent problem er at det registreres flere innslag på én enkelt fysisk person.

22.5 Identifisering av sårbarhet

Utvalget har konsentrert seg om noen få sentrale fellesfunksjoner, innhentet informasjon om disse fellesfunksjonene skriftlig og deretter fulgt opp med møter. Sårbarhetsbeskrivelsene som følger, er oppsummeringer av generelle trekk.

22.5.1 Generelt om sikkerhetsarbeidet

Styring og styringssignaler. Generelt benyttes styringssystemer basert på standard metodikk, der ISO 27 000-serien og ITIL119 blir nevnt spesifikt. Dette er i henhold til Difis retningslinjer. Sårbarhets-, konsekvens- og risikovurderinger utføres både på systemnivå og på overordnet nivå i de etatene vi har snakket med.

Drift og utvikling. Det er stor variasjon i hvem som utvikler og drifter systemene. Noen svært gamle systemer går på stormaskiner, der man i praksis er tvunget til å sette ut driften til eksterne aktører. Der deler av kritisk infrastruktur er satt ut, benyttes store norske leverandører. Ingen av de utvalgte etatene har plassert kritisk infrastruktur i datasentre utenfor Norge. Det er eksempler på at deler av katastrofeløsninger120 er plassert utenfor Norge, men disse defineres da ikke som kritiske. Noen av etatene vurderer fremtidig bruk av leverandører innenfor EU, mens andre har det som et prinsipp at deres data skal være lagret i Norge.

Noe programvareutvikling skjer internt i etatene selv, men noen etater har i stor grad tatt i bruk eksterne leverandører og konsulenter. Det er eksempler på at etatene har brukt utviklere fra land utenfor EU. Det oppleves særlig vanskelig å skaffe kompetanse innen sikker utvikling og applikasjonssikkerhet. Utvikling og testing skal ifølge beste praksis være adskilt fra produksjonssystemer og distribusjonssystemer, og det virker som om dette følges opp for fellesfunksjonene. NSM NorCERT bistår med penetrasjonstesting, men har ikke kapasitet til å dekke bistandsbehovet. Det oppleves vanskelig å finne tilsvarende gode tjenester for dette i markedet.

Tilsyn. Riksrevisjonen blir av de spurte nevnt som den mest aktive tilsynsmyndigheten, men de fører ikke tilsyn når det gjelder IKT-sikkerhet. Datatilsynet og DSB har i mindre grad hatt tilsyn med de utvalgte registeretatene. NSM fører tilsyn med de skjermingsverdige objektene og hjelper til med dokumentasjonsprosessene knyttet til dette. De etatene som velger å ikke melde inn objekter, faller naturligvis ikke inn under dette regimet.

Objektsikkerhetsregimet stiller kun funksjonelle krav til sikring av objekter og spesifikke krav til dokumentasjon og sikkerhetsadministrasjon. Det er utfordringer ved å definere registre med stor geografisk redundans121 som et objekt på samme måte som en fysisk installasjon. Det er funksjonen felleskomponenten har, som er samfunnskritisk, mens det er datahallene som gjerne blir betraktet som skjermingsverdige objekter.

Eksisterende tekniske og organisatoriske tiltak. Alle etatene har tatt i bruk tiltak som tilgangsstyring, slik at ikke alle har tilgang til alt. Endringslogger er et annet mye brukt tiltak.

I all hovedsak er kommunikasjon med brukere beskyttet med hensyn til konfidensialitet og integritet. Noen bruker en egen nøkkelinfrastruktur (PKI) for kommunikasjon med virksomhetskunder, mens andre bruker en offentlig PKI, ofte den samme som brukes for nettsteder på det åpne Internettet. Kryptering og integritetsbeskyttelse er imidlertid mer uvanlig der informasjonen oppbevares.

Knyttet til hendelseshåndtering er det særlig to punkter som blir nevnt. Det oppleves som vanskelig å rekruttere spesifikk IKT-sikkerhetskompetanse innen beskyttelse mot målrettede angrep, og det stilles spørsmål om det er fornuftig å bygge opp kapasitet i hver etat. Noen av fellesfunksjonene er dekket gjennom NSM NorCERTs varslingssystem for digital infrastruktur (VDI). Vi viser for øvrig til kapittel 21 «Avdekke og håndtere digitale angrep», der hendelseshåndtering blir omtalt.

Det er få øvelser utover ytelsestesting og redundanssjekker. Det kan forklares ved at det i gamle systemer ikke har vært en forventning om at reservesystemer vil overta. Systemene har blitt mer modne, og nå forventes det stort sett at reserveløsninger vil fungere.

Personvern. Omfanget av etatenes arbeid med personvern varierer. Noen har egne personvernombud. Kobling av data fremheves som et økende problem.

22.5.2 Sårbarhetsbeskrivelser

Avhengighet. Alle digitale tjenester er avhengige av infrastruktur som leverer strøm og elektronisk kommunikasjon. Brudd på disse er stort sett en trussel mot tilgjengelighet, ikke mot konfidensialitet eller integritet. Sikkerhetsarbeidet er også avhengig av kompetanse hos dem som leverer digitale tjenester.

Etatene er generelt vant med å vurdere egne sårbarheter, men har i varierende grad oversikt over omfanget av eksterne aktører som er avhengige av etatens tjenester. For eksempel utfører noen etater interessentanalyser og har møter med primæraktørene. De bruker så innspill derfra som grunnlag for egne krav til IKT-sikkerhet. For noen fellesfunksjoner oppfattes det som krevende å bygge opp et komplett bilde av alle som er avhengige av funksjonen, og dermed hvilke verdier som skal sikres.

Sikkerhetskrav og balansering. Sikkerhetskrav formuleres på forskjellige måter. Det kan være krav til tilgjengelighet og kapasitet samt krav til spesifikke teknologiske valg. Krav kan også formuleres som evne til å motstå bestemte trusselaktører eller situasjoner. Eksempel på sistnevnte er at visse endringer ikke skal kunne utføres alene.

Noen opplever også utfordringer knyttet til balansen mellom forskjellige sikkerhetsmål. For eksempel er detaljerte dybdedata sikkerhetsgradert i henhold til sikkerhetsloven, samtidig som dette har nyttige bruksområder innen kartlegging av økologisk liv på havbunnen og planlegging av fiskeoppdrettsfelt. Skjermingsbehovet reduserer i praksis muligheten for andre bruksområder.

Tradisjonelt har integritet og konfidensialitet veid tyngst, men også nye måter å arbeide på kan utfordre dette, for eksempel krav om tilgang til data fra mobile enheter. Spesielt for fellesfunksjoner er det krevende å balansere noen kunders krav om funksjonalitet mot andre kunders krav om sikkerhet.

Styring og styringssignaler. Det er høy grad av bevissthet hos etatene om at ansvaret for sikkerhet ligger hos dem. Etatene får i noen grad sikkerhetskrav utenfra, for eksempel gjennom tildelingsbrev, den nasjonale informasjonssikkerhetsstrategien eller forskrifter, men disse er ofte vage. Dette er forskjellig fra en del andre områder, som for eksempel utforming av webinnhold for svaksynte, der det er veldig strenge og konkrete krav. Dette bidrar til en ubalanse.

Det oppleves som om sikkerhetsnivået må settes av etaten selv. Det kan være positivt, siden etaten selv får «eierskap» til sikkerhetskravene. Det oppleves også som vanskelig å avgjøre hva som er et forsvarlig nivå på sikkerhet. I stor grad blir det faktiske sikkerhetsnivået personavhengig. Utvalget merker seg at etatene i praksis gjør risikovurderinger på samfunnets vegne.

Beskyttelse mot sofistikerte angripere.122 Det er hovedsakelig enighet blant etatene om at det er utfordrende for dem å oppdage og håndtere sofistikerteangripere. Det er forståelse for at ikke alle uønskede hendelser kan forebygges, og at ressurser må brukes på å oppdage og håndtere slike situasjoner. Utfordringene ligger i at evnen til å oppdage uønskede hendelser ikke er stor, og det vil være behov for ekstern hjelp i håndteringen.

Etatene har tro på at det vil være mulig å hente seg inn igjen fra integritetsbrudd, men i stor grad vil dette skje på improvisert vis, ikke ved å følge et planverk.

22.5.3 Andre observasjoner

Krav til utstedelse og bruk av elektronisk identitet. ID-porten er en innloggingsportal som lar offentlige nettsteder akseptere mange forskjellige løsninger for elektronisk identitet, men likevel forholde seg til bare én teknisk løsning og bare én avtalepart. ID-porten har i dag både Difis egen e-ID og flere fra private leverandører.123 Difis e-ID har forholdsvis svake rutiner for utstedelse, mens de private leverandørene holder en høyere standard. Når det gjelder bruken av en utstedt e-ID, er sikkerheten svært varierende, men typisk ganske lav i forhold til de anvendelsesområdene som skisseres i Kravspesifikasjon for PKI i offentlig sektor. På kort sikt er det vanskelig å se at det er praktisk å lage e-ID-er med et svært høyt sikkerhetsnivå, men det er fortsatt rom for forbedringer.

Utstedelse av e-ID er knyttet til registreringer i Folkeregisteret. Det betyr at en fysisk person med flere registreringer i Folkeregisteret også kan få utstedt flere elektroniske identiteter. I utgangspunktet er dette ikke en digital sårbarhet, men det kan tenkes at digitalisering av andre tjenester kan få problemer som en følge av dette. Utvalget finner det ikke naturlig å foreslå tiltak mot dette problemet.

Fragmenterte IKT-sikkerhetskrav og motstridende prioriteringer fra myndighetene. Registereiere har påpekt problemstillinger knyttet til inkonsistente krav og prioriteringer mellom Difi og NSM. Det finnes to tilnærminger til sikkerhetsarbeid: Først bestemmer man seg for et sikkerhetsnivå, og deretter ser man hva man kan få til, eller: Først bestemmer man seg for hva man ønsker å gjøre, og deretter ser man hva slags sikkerhetsnivå man kan oppnå. Til en viss grad kan vi se på NSM og Difi som eksponenter for hver sin tilnærming. Evalueringen av Difi belyser grenseflaten mellom Difi og NSM.124

Utvalget vurderer kjernen i konflikten til å handle om prinsipielle forskjeller på risikoaksept, nemlig at det på den ene siden handler om ønsket om å hindre uønskede hendelser, og på den andre siden ønsket om tilgjengeliggjøring og effektivisering gjennom digitalisering.

Diskusjoner mellom NSM og Difi rundt sikker digital postkasse dreier seg om hvilket sikkerhetsnivå løsningen skal ha, og hva denne digitale postkassen kan brukes til. Utvalget har valgt å ikke diskutere denne spesifikke problemstillingen, men våre forslag til tiltak vil også påvirke digital postkasse.

22.6 Vurderinger og tiltak

Våre vurderinger og tiltak er i hovedsak basert på sårbarhetsfunn hos eiere av fellesfunksjoner. Utvalget mener det er problematisk at etatene alene bestemmer sikkerhetsnivået til fellesfunksjonene, uten at det sikres at de totale verdiene blir tatt hensyn til. Tiltak for å bøte på dette blir diskutert i punkt 23.1 «Etablere et nasjonalt rammeverk for å ivareta en helhetsvurdering av verdikjeder».

22.6.1 Følge utviklingen av IKT-utsetting for felleskomponenter

En opptelling av offentlige datasentre i Norge i regi av KMD125 konkluderer med et estimat på 150–200. Det er rimelig å tro at det vil bli færre datasentre, at flere av datasentrene blir drevet av eksterne, og at flere samfunnsfunksjoner vil dele infrastruktur som datasentre. Dette kan endre sårbarhetsbildet. Utvalget er positivt til at offentlig forvaltning tar ut effektivitetsgevinster i bruken av IKT, men mener at KMD bør følge med på sårbarhetsutviklingen knyttet til utsetting av IKT-tjenester for offentlige registre og fellestjenester. Se diskusjon i punkt 23.7 «Utkontraktering og skytjenester». Se også punkt 23.1 «Etablere et nasjonalt rammeverk for å ivareta en helhetsvurdering av verdikjeder».

22.6.2 Utvikle felles beskyttelsestiltak mot sofistikerte IKT-angripere

Litt forenklet kan vi si at dagens avanserte angrep er morgendagens gjengse angrep, som igjen er neste ukes trivielle angrep. Metodene til sofistikerte angripere blir i økende grad tilgjengelige for mindre sofistikerte aktører. Samtidig ser vi for oss en økning i antallet fysisk samlokaliserte offentlige datasentre, noe som kan føre til økt sårbarhet på grunn av avhengigheter.

Virksomhetene påpeker selv at de ikke har mekanismer på plass for å sikre seg mot sofistikerte angripere. Det er urealistisk at alle virksomhetene umiddelbart utvikler og setter i drift slike mekanismer. Utvalget mener derfor det er behov for å starte utviklingen av mekanismer som eierne kan bruke for å sikre fellesfunksjoner mot sofistikerte angripere. Difi bør ta en koordinerende rolle, for eksempel ved å sette i gang prøveprosjekter. Dette bør gjøres i samarbeid med forskningsmiljøene, og med bistand fra NSM. Målet er at gode løsninger gradvis kan tas i bruk i offentlig sektor.

22.6.3 Regulere elektronisk identitet

E-ID-feltet har vært noe preget av ubesluttsomhet siden arbeidet startet rundt årtusenskiftet. Gjentatte ganger har et offentlig ID-kort med tilhørende e-ID vært på trappene, uten at det har blitt noe av. ID-porten var på mange måter et gjennombrudd som gjorde det enklere for offentlige virksomheter å ta i bruk e-ID for innlogging, delvis fordi de fikk én teknisk løsning å forholde seg til, men også fordi de fikk én enkelt avtalepart å forholde seg til.

Private utstedere av e-ID har lenge vært aktive i markedet, med løsninger av varierende kvalitet. Løsningene på høyeste sikkerhetsnivå bruker alle sertifikater, også de som er basert på tiltrodde tredjeparter. Hver leverandør har sitt eget rotsertifikat som ligger til grunn for alle utstedte sertifikater. Dette er en ordning som fungerer greit, både praktisk og prinsipielt. Utvalget ser ikke noen grunn til å endre på dagens praksis med at hver e-ID-leverandør har sitt eget rotsertifikat.

Det er behov for e-ID innenfor noen virksomheter og sektorer. Det kan være problematisk å gjenbruke e-ID-er fra andre sektorer eller samfunnsområder, for eksempel på grunn av forskjellige sikkerhetskrav eller forskjellig sikkerhetskultur. Et eksempel er at ansatte bruker sine private e-ID-er for å få tilgang til virksomhetens datasystemer. De ansatte bruker også sine private e-ID-er på sine private datamaskiner, som gjerne har et lavere sikkerhetsnivå. Hvis den private datamaskinen til en ansatt blir kompromittert kan dette også kompromittere den ansattes private e-ID, noe som igjen kan kompromittere virksomhetens datasystemer. Gjenbruk av god e-ID-teknologi kan derimot være fornuftig.

Utvalget anbefaler følgende fem tiltak, med begrunnelse:

1. Kartlegge personinformasjon som tilflyter e-id-leverandørene ved bruk.

Det er vesentlige utfordringer knyttet til bruk av e-ID og personvern. Løsninger med tiltrodde tredjeparter innebærer at e-ID-leverandøren får vite hva brukere gjør med sin elektroniske identitet på nettet. Løsninger basert på smartkort kan komme i tilsvarende situasjon, for eksempel hvis det lagres svar på forespørsler om sertifikatstatus,126 hvis bruken av kortene overvåkes av sikkerhetshensyn, eller hvis tilbyderen tar betalt for bruken av kortet. Det vil være gunstig å ha en samlet oversikt over hvor mye informasjon som av ulike grunner tilflyter leverandørene. I utgangspunktet bør ikke informasjon om brukernes oppførsel lagres, men der den av forskjellige grunner likevel må lagres, må den beskyttes. Det er også viktig at ikke lovverk og regulering påbyr unødvendig lagring.

Nkom bør sammen med utstederne lage en samlet oversikt over hvor mye personinformasjon som tilflyter de forskjellige e-ID-leverandørene ved bruk av e-ID-en, og hvordan denne informasjonen lagres. Videre bør KMD gjennomgå reguleringen på området, slik at e-ID-leverandørene ikke tvinges til å oppbevare unødvendig personinformasjon.

Problemstillingen er like aktuell for leverandører av elektronisk signatur.

2. Utarbeide én tydelig definisjon av sikkerhetsnivåene.

Til en viss grad er sikkerhetsnivåene i Kravspesifikasjon for PKI i offentlig sektor basert på konsekvenser, men i stor grad snakkes det om teknologivalg. Erfaringsmessig kan det være vanskelig å si om en konkret e-ID oppfyller kravene til et sikkerhetsnivå, eller ikke. Spesielt mener utvalget det bør skilles sterkere mellom sikkerhet ved utstedelse av en e-ID og sikkerhet ved bruk av en e-ID.

KMD bør utarbeide én tydelig definisjon av sikkerhetsnivåene. Den bør ta utgangspunkt i kombinasjoner av angriperens evne og konsekvens. Det må være enkelt å avgjøre om en e-ID når et sikkerhetsmål. Dette bør gjøres samtidig med tilpasningene i forbindelse med den nye EU-forordningen.127

3. Begrense bruk av innloggingsportaler til engangspålogging.

I praksis bruker forskjellige e-ID-er forskjellige tekniske løsninger, og de kan dermed vanskelig brukes om hverandre. Et vanlig triks er å bygge en innloggingsportal128 som «pakker» inn et antall andre e-ID-er. Innloggingsportalen gjør alt arbeidet med å snakke med de forskjellige tekniske løsningene e-ID-ene bruker, og tilbyr ett enhetlig teknisk grensesnitt mot virksomhetene. Innloggingsportalen kan også ta seg av bruksavtaler med e-ID-ene. På denne måten kan virksomheter gjennom innloggingsportalen forholde seg til én teknisk løsning og én avtalepart, i stedet for mange tekniske løsninger og mange avtaleparter.

Siden innloggingsportaler typisk vil observere all innlogging til svært mange tjenester, gjelder tiltaket om å kartlegge personinformasjon også for innloggingsportaler.

Feilaktig integrasjon av e-ID-ene i innloggingsportalen kan svekke sikkerheten. Et eksempel er at en e-ID brukes til å logge inn på innloggingsportalen. Siden brukeren egentlig ønsker å logge inn hos en virksomhet, øker denne feilen brukerens sårbarhet overfor visse typer angrep der brukeren tror han logger inn på ett nettsted, mens han i realiteten logger inn på et annet nettsted. Økt bruk av innloggingsportaler kan på denne måten svekke sikkerheten og redusere effekten av sikkerhetsforbedringer i eksisterende e-ID-er.

Innloggingsportaler muliggjør såkalt engangsinnlogging («single sign-on»). Her delegerer brukeren rett til å logge seg på en (stor) gruppe nettsteder til terminalen sin. Dette er nyttig dersom en bruker trenger tilgang til mange nettsteder på kort tid. Dersom brukerens terminal er kompromittert, får imidlertid angriperen tilgang til mange nettsteder samtidig, noe som øker konsekvensen av kompromitteringen.

Dersom en virksomhet har flere separate tjenester, kan det være enklere for virksomheten å lage en egen innloggingsportal for disse tjenestene, i stedet for å knytte hver enkelt tjeneste opp mot en felles innloggingsportal som ID-porten eller de enkelte e-ID-ene. Som beskrevet over kan egne innloggingsportaler redusere sikkerhetsnivået til tjenestene vesentlig.

Leverandører av e-ID bør tilstrebe å bruke standard tekniske løsninger, slik at innloggingsportaler kan unngås så langt som mulig. Det bør ikke opprettes flere innloggingsportaler enn strengt tatt nødvendig, spesielt bør det ikke opprettes sektorspesifikke innloggingsportaler. Bruken av innloggingsportaler til engangspålogging bør begrenses til nettsteder av forholdvis triviell karakter, og eieren av innloggingsportalen bør sørge for begrensninger i det totale omfanget av tilgang én enkelt innlogging gir.

4. Forbedre eksisterende e-ID-løsninger fremfor å vente på det nasjonale ID-kortet.

En e-ID tilknyttet det kommende nasjonale ID-kortet har vært under utvikling og planlegging over lang tid og flere ganger vært nær utrulling. Utvalget mener det ikke er klart at e-ID-en som tilhører det kommende ID-kortet vil komme i utbredt bruk eller fortrenge eksisterende e-ID-er. Utvalget mener det derfor er hensiktsmessig å bruke ressurser på å forbedre eksisterende private og offentlige e-ID-er.

Forbedringer av eksisterende e-ID-løsninger bør ikke vente på det nasjonale ID-kortet. Difi bør videreutvikle den eksisterende MinID-løsningen, blant annet ved å tilby en sikrere utstedelse av identiteter, tilsvarende «kvalifiserte sertifikater», samt bedre tekniske løsninger. Difi og Nkom bør sammen oppmuntre til og kreve økt sikkerhet og åpenhet hos private leverandører, fortrinnsvis basert på standard tekniske løsninger.

5. Varsomhet med å rulle ut tjenester med sensitive personopplysninger til hele befolkningen.

Utvalget legger til grunn at e-ID-løsningene ikke vil kunne beskytte gjennomsnittsborgeren mot målrettede angrep de nærmeste årene. Det vil også kunne gjennomføres ikke-målrettede angrep mot mange borgere. Enkeltborgeren har normalt ikke forutsetninger for å forstå hvor stor risiko dette medfører, og det er ikke heldig. Dersom tjenester som inneholder sensitive personopplysninger, rulles ut til befolkningen som helhet, vil man utsette enkeltborgere for en vesentlig risiko som de ikke har akseptert.

Situasjonen er annerledes dersom borgeren selv, etter å ha fått forståelig informasjon om hvilken risiko tilgang til tjenesten medfører, likevel ønsker å bruke tjenesten og eksplisitt ber om tilgang til tjenesten. Det er viktig at de virksomhetene som har slike tjenester legger til rette for at borgerne kan be om tilgang på en god og smidig måte. Et eksempel er at borgerne kan be fastlegen sin om tilgang til kjernejournalen på nett.

Det offentlige bør aktivt gjøre bruk av ID-porten og den tilhørende e-ID-infrastrukturen til å digitalisere samhandlingen med borgerne. Likevel, gitt forventet sikkerhetsnivå i nærmeste fremtid bør tjenester som omhandler sensitive personopplysninger og er avhengige av e-ID, være varsomme med utrulling. Slike tjenester bør ikke rulles ut til befolkningen som helhet uten særskilt god grunn, men heller begrenses til dem som eksplisitt ber om tilgang til tjenesten.

23 Tverrsektorielle sårbarhetsreduserende tiltak

Avhengigheter mellom samfunnsfunksjoner gir tverrsektorielle utfordringer. Sårbarheter i én samfunnsfunksjon kan potensielt få innvirkning på samfunnet som helhet. Det stiller særlige krav til å ha virkemidler, kapasitet og kompetanse til å følge opp problemstillinger som går på tvers av sektorene. Dette kapittelet gir en oversikt over tverrsektorielle sårbarhetsreduserende tiltak, i hovedsak basert på summen av sårbarheter som er identifisert i utredningen.

23.1 Etablere et nasjonalt rammeverk for å ivareta en helhetsvurdering av verdikjeder

En vesentlig årsak til at det er vanskelig å få oversikt over reell digital sårbarhet, er at den ofte ligger skjult og akkumuleres i lange og kompliserte verdikjeder. For eksempel kan en tilsynelatende enkel maskinell verdikjede som gjør det mulig å levere en elektronisk betalingstjeneste, bestå av et tosifret antall systemer som driftes av et tilsvarende antall virksomheter eller organisasjoner, se boks 23.1. Et annet eksempel er følgefeilene som oppstod som følge av et strømbrudd i en mobilsentral i Ålesund, se boks 23.2.

Boks 23.1 Avhengigheter via mobilbetaling

Tjenestene som tilbyr betaling via mobiltelefon, trenger velfungerende mobilnett for å virke. Mobiloperatørene leverer tjenestene sine ved å ha avtaler med et antall regionale nettleverandører som de kobler basestasjonene sine til. Disse regionale nettleverandørene har i sin tur avtaler med en operatør av et landsdekkende transportnett. Denne nettinfrastrukturen kobler mobiltelefonen som skal utføre en betaling, til en server som eies av banken som telefoneieren er kunde av. Serveren til banken kommuniserer – igjen over en kompleks nettinfrastruktur som involverer flere nettleverandører – med systemene til den banken som skal motta betalingen.

I tillegg til dette er det en helt annen og like kompleks digital verdikjede som står for autentisering av den som betaler. På toppen av det hele har vi i denne fremstillingen ikke tatt høyde for at driftssystemene til nettoperatørene kan være outsourcet til en annen virksomhet, at selve betalingstjenesten kan være en tredjepartstjeneste som ligger i et driftsmiljø i skyen, at de involverte bankene har latt et eksternt firma utvikle og drive banktjenestene sine, eller at alle disse systemene er avhengige av stabile kraftleveranser og derfor også av kraftbransjens digitale styringssystemer for produksjon og leveranse av kraft.

Boks 23.2 Ekomutfall i Ålesund 6. mars 2014

Natt til torsdag 6. mars mottok Telenors operasjonssenter en alarm som indikerte at et aggregat i Ålesund sentral hadde startet opp på grunn av en forstyrrelse i strømnettet. En ny alarm ble utløst på grunn av lav batterispenning, men denne alarmen ble ikke tolket som en indikasjon på at det var noe unormalt med driftsstatus for sentralen.

Noen timer senere på natten gikk det nye alarmer, og disse alarmene viste at batteriene var i ferd med å gå tomme. Dette medførte at operasjonssenteret til Telenor analyserte alarmene og bestilte en entreprenør som skulle rette opp feilen. På grunn av at sentralen ikke fungerte, fungerte heller ikke mobiltelefonien i området, og det tok lang tid å få tak i en entreprenør. Reparasjonen av sentralen tok ytterligere tid fordi kortleseren man bruker for å komme inn i sentralen, ikke virket på grunn av strømutfallet. Fra den første alarmen gikk, til entreprenøren klarte å ta seg inn i bygget, gikk det nesten ni timer.

Konsekvensene var blant annet utfall av mobil, bredbånd og fasttelefoni i Møre og Romsdal og Sogn og Fjordane. 700 basestasjoner ble berørt, noe som resulterte i varierende grad av utfall av både mobil, bredbånd og fasttelefoni for operatører som Telenor, Broadnet, TeliaSonera, Norkring og TDC.

Slike digitale verdikjeder har noen kjennetegn som gjør dem spesielt utfordrende i et sårbarhetsperspektiv.

  • Feil propagerer momentant og noen ganger på uforutsigbare måter. En feil hos en nettleverandør kan få hele betalingssystemet til å svikte umiddelbart – dette til forskjell fra lange og komplekse verdikjeder i den analoge verden, der følgefeilene av en sviktende tjeneste skjer på en tidsskala av timer, dager eller uker.

  • Tjenestene som inngår i verdikjedene, spenner gjerne over flere sektorer, og de er underlagt forskjellige lovverk og tilsynsregimer i Norge og i utlandet. I eksempelet med betalingstjenester vil lovverk og tilsynsmyndigheter fra finanssektoren, ekomsektoren, justissektoren og energisektoren virke inn på sårbarheten til den leverte tjenesten. Andre tjenester vil befinne seg i et landskap som ikke er like regulert eller gjenstand for tilsyn av myndighetene. Eksempler på dette er store globale skyleverandører.

  • For dem som utvikler en tjeneste på toppen av slike verdikjeder, er det svært utfordrende å skaffe seg oversikt over hvilke sårbarheter tjenesten er eksponert for lenger nede i verdikjeden. I enkelte tilfeller fører dette til at tilsynelatende god redundans langt oppe i verdikjeden blir ødelagt av at redundante alternative tjenester er sårbare for den samme hendelsen lenger nede i verdikjedene. Et eksempel på en slik hendelse var da en svikt i hjelpeteknisk utstyr førte til at Telenors sentral i Ålesund mistet elektrisk kraft (se boks 23.2).

  • Noen tjenester er grunnmuren i mange slike verdikjeder, og deres sårbarhet får innvirkning på sårbarheten lenger ute i mange verdikjeder. Eksempler er tjenester innen telekommunikasjon, energiforsyning og databehandling i skyen. Eierne av disse sentrale tjenestene utfordres ved at det er vanskelig for dem å holde oversikt over hvilke samfunnsverdier systemene deres er bærer av. En ytterligere utfordring er at verdikjedene endres raskt, enkelte ganger også uten at de sentrale tjenestene er involvert i eller informert om endringene.

Det er utvalgets syn at lange og uoversiktlige verdikjeder som spenner over flere sektorer, nivåer og landegrenser, er en kjerneutfordring ved vurdering av digital sårbarhet. Vi mener at komplekse digitale verdikjeder er et vesentlig hinder for å kunne fastslå hvilken digital sårbarhet vi har. Dette finner vi igjen i alle sektorer vi har omhandlet i denne rapporten.

Spørsmålet om hvilken sårbarhet samfunnet bør være beredt til å leve med, anser vi som prematurt på mange områder, all den tid det ikke finnes noe begrepsapparat som hjelper oss med å forstå hvilken sårbarhet som reelt sett foreligger. Utvalget foreslår tiltak som gir en prinsipiell tilnærming til hvordan samfunnet kan få et grep om hvordan digital sårbarhet oppstår og utvikler seg i verdikjedene.

Utvalget mener at Justis- og beredskapsdepartementet bør utvikle et rammeverk for å ivareta helhetsperspektiver i verdivurderinger og sårbarhetsvurderinger. Et slikt rammeverk kan også være nyttig for å forstå ansvarsfordelingen i verdikjedene vi her snakker om. Grunnsteinene i dette rammeverket bør være følgende:

  • Veiledning for å fastsette digitale verdier. Det bør utarbeides veiledninger som er anvendbare på tvers av sektorer, og de må kunne danne grunnlag for presis informasjon om hvilke verdier som bæres. De må være egnet til bruk for tilsynsmyndigheter og for informasjonsflyt nedover i verdikjedene. Vi understreker at de verdiene vi her snakker om, ikke umiddelbart kan tallfestes økonomisk. De inkluderer blant annet også verdien av en nødmelding på vei til en AMK-sentral, et styringssignal med beskjed om at et tog må stoppe for å unngå kollisjon, informasjon om at noen har utløst en voldsalarm, samt verdien av at en lege har tilgang til journalen til en pasient.

  • Veiledning for å nivåspesifisere akseptert digital sårbarhet. Aktører må gjøre en ROS-analyse for å identifisere ulike tenkte hendelser som har stor sannsynlighet og store konsekvenser. På bakgrunn av dette må det gjøres en vurdering av hvilken akseptert sårbarhet en er villig til å ha. For tilsiktede handlinger bør disse retningslinjene ta utgangspunkt i trusselaktører, uten nødvendigvis å spesifisere hvilke kapabiliteter disse trusselaktørene besitter.Det bør for eksempel være mulig for ledelsen i en virksomhet å formulere akseptert sårbarhet ved å si at organiserte kriminelle ikke skal kunne bryte seg inn, men at de aksepterer at ressurssterke stater kan være i stand til det. Teknisk ekspertise kan omsette slike utsagn til tekniske tiltak og kommunisere kostnadene ved disse tiltakene tilbake til virksomhetsledelsen. Dette vil tydeliggjøre behovet for å holde seg oppdatert på trusselaktørers kapabiliteter og behovet for at virksomheter får en mulighet til å tilegne seg denne typen informasjon.

Tiltakene som er skissert over, vil gi grunnlag for en mer presis omtale av digitale verdier og akseptert digital sårbarhet. Utvalget foreslår videre å benytte dette rammeverket til ytterligere tiltak som bidrar til størst mulig åpenhet om hvilken restsårbarhet man har akseptert som bruker av utstyr og tjenester, samt hvilke verdier man betror sine underleverandører. Åpenhet rundt dette vil bidra til bevissthet om hvordan sårbarheter og ansvar for verdier propagerer gjennom verdikjeder. Disse ytterligere tiltakene er formulert under.

  • Justis- og beredskapsdepartementet bør ta initiativ til at det utvikles virkemidler som sikrer

    • at sårbarhets- og verdivurderinger blir gjennomført ved større avtaleinngåelser

    • at det blir kommunisert – og om nødvendig reforhandlet – når de digitale tjenestene til en underleverandør blir tatt i bruk til andre formål enn det som opprinnelig var avtalt

    • at det blir kommunisert – og om nødvendig reforhandlet – når en underleverandør endrer tjenesteproduksjonen sin på en slik måte at sårbarhetsbildet endres

    • at aggregering av verdier på enkeltpunkter i verdikjedene blir synliggjort og håndtert

  • For infrastrukturer og systemer som er avgjørende for kritiske samfunnsfunksjoner, bør de relevante myndighetsorganene utarbeide formuleringer om hva som skal være akseptert sårbarhet. Beskrivelsene må oppdateres jevnlig for å fange opp endringer i sårbarhetsbildet. Formuleringen bør ta utgangspunkt i eksisterende lovverk og forskriftstekst der dette eksisterer og er relevant. I de tilfellene lov/forskrift ikke gir tilstrekkelig mandat, bør det utvikles hjemmelsgrunnlag. Vurderingen av hva som er akseptabel sårbarhet, bør bygge på innsamlet informasjon om hvilke digitale verdier infrastrukturen eller systemet bærer, og hvilke konsekvenser manglende funksjonalitet får for samfunnet. Dette vil bidra til en klargjørende debatt om hva som er akseptabel sårbarhet i disse systemene. Videre vil det tydeliggjøre spørsmålet om hvilke kostnader samfunnet er villig til å ta for å sikre samfunnskritiske systemer, samt hvordan forebyggende tiltak kan prioriteres.

  • I offentlige risiko- og sårbarhetsanalyser bør det inngå en vurdering av hvorvidt eksisterende restsårbarheter er kompatible med besluttet akseptert risiko. Sammen med tiltakene over vil det kunne bidra til at en kan vurdere om en hendelse med negative konsekvenser var innenfor akseptert risiko. Videre vil det kunne bidra til at verdi- og trusselvurderinger tvinger seg frem i virksomhetene.

  • I enhver analyse av uønskede IKT-hendelser bør det rapporteres om hvorvidt dette hendelsesforløpet var akseptabelt, gitt den besluttede restsårbarheten. Dersom svaret på dette spørsmålet er negativt, bør det undersøkes hvor i den digitale verdikjeden avviket mellom akseptert og reell restsårbarhet oppsto. Dette kan bidra til å ansvarliggjøre beslutningstakere i både ledelsen, det tekniske miljøet og leverandørkjeden. I problemstillinger av sektorovergripende karakter er Justis- og beredskapsdepartementets rolle i dette arbeidet særlig viktig.

23.2 Tydeliggjøre krav til virksomhetsstyringssystemer

I flere av kapitlene i denne NOU-en er det pekt på behov for virksomhetsstyringssystemer som kan bidra til å redusere digital sårbarhet – både helt overordnet og for den enkelte virksomhet.

I henhold til instruks om departementenes samfunnssikkerhets- og beredskapsarbeid (kgl.res. 2. juni 2012) er det et krav at alle departementer skal synliggjøre mål og prioriteringer for samfunnssikkerhets- og beredskapsområdet i de årlige budsjettproposisjonene. Dette kravet er ikke spesifikt rettet mot IKT-sikkerhet, men omfatter alt samfunnssikkerhetsarbeid.

I tillegg til føringer og krav som fremkommer i den kongelige resolusjonen som er nevnt over, er offentlig styring regulert gjennom retningslinjer gitt av Finansdepartementet via Direktoratet for økonomistyring (DFØ). Blant annet Kommunal- og moderniseringsdepartementet via Difi gir veiledning om bruk av styringssystemer for å ivareta IKT-sikkerheten.

I Nasjonal strategi for informasjonssikkerhet vises det til at både private og offentlige virksomheter skal ivareta IKT-sikkerheten på en helhetlig og systematisk måte, og at dette krever en bevisst bruk av virksomhetsstyringssystemer.

Virksomhetens karakter, størrelse og samfunnsmessige betydning er avgjørende for ambisjonsnivået og ressursinnsatsen på sikkerhetsarbeidet. For å kunne definere et riktig sikkerhetsnivå og vurdere risikoaksept er det nødvendig å basere dette på gode risiko- og sårbarhetsvurderinger. Flere av tilsyns- og kontrollmekanismene i Norge har avdekket svakheter i forvaltningens risikovurderinger og risikostyring.129 Blant annet er dette knyttet til manglende forankring i ledelse og organisasjon og til begrenset systematisk bruk av ROS-analyser i strategisk risikostyring.

IKT-infrastruktur inngår som en innsatsfaktor i nesten samtlige samfunnsfunksjoner og tjenester. Virksomheter må derfor integrere IKT-avhengighet i eksisterende virksomhetsstyring, med tanke på både tilsiktede og ikke-tilsiktede hendelser. Krav, føringer og måloppnåelse knyttet til å ivareta IKT-sikkerhet bør inngå i det ordinære styringssystemet i hvert departement og også i den generelle etatsstyringen. Dette vil sikre bedre kontinuitet og systematikk i arbeidet, da det blant annet bidrar til at temaet kommer på dagsordenen i etatsstyringsmøter og rapporteringer.

Virksomhetsstyringssystemene må kunne synliggjøre et sårbarhetsbilde basert på en risikovurdering av tilsiktede og utilsiktede IKT-hendelser. Virksomhetsstyringssystemene bør videre gi grunnlag for å vurdere effekten av ulike forebyggende tiltak på IKT-sikkerhetsområdet og hvilke konsekvenser svikt vil ha for samfunnet. Dette vil gi et bedre grunnlag for å prioritere ulike kostnadsdrivende forebyggende tiltak.

Utvalget anbefaler at de ulike departementene tydeliggjør krav og føringer for at de vurderingene som er nevnt ovenfor, tas inn i de ulike virksomhetsstyringssystemene, både på sentralt nivå og ute i de ulike sektorene.Tilsynsmyndighetene må følge opp at dette blir ivaretatt. Se punkt 23.4 «Tilpasse tilsynsvirksomheten til å omfatte IKT-sikkerhet».

Utvalget anbefaler at Justis- og beredskapsdepartementet utarbeider et sett med minimumskrav til hvilke elementer som skal inkluderes i virksomhetsstyringssystemene, og det bør utarbeides veiledningsmateriell som kan øke kompetansen på området.

23.2.1 Bevisst bruk av standarder

Kravene til IKT-sikkerhet i offentlig sektor er ofte funksjonsbaserte og med definerte overordnede mål. Det er ofte henvist til bruk av standarder på områder der det eksisterer et funksjonsbasert regelverk. Å bruke standarder for risikostyring av IKT-systemer er nyttig for å sikre at analyser er mest mulig komplette og tar med alle relevante områder. Henvisning til standardisering er også nyttig for å oppnå effektive sikkerhetstiltak. Standardiseringen kan omfatte både organisering av sikkerhetsarbeidet, kompetansetiltak og konkrete tekniske sikkerhetsløsninger.

Det er imidlertid viktig å ha et bevisst blikk på bruk av standarder. Implementering og bruk av standarder krever kunnskap og teknisk innsikt, og fornyelse og utvikling av standarder er ressurskrevende. Videre bidrar det store og økende antallet standarder til kompleksitet.

I Norge er det i dag tre standardiseringsorganer – to private (NEK og Standard Norge) og én offentlig (Nkom). Det er grunn til å se på både hvordan tilblivelsesprosessen av standarder i Norge blir ivaretatt, og hvilke standarder de ulike myndighetene velger å vise til. Det kan oppstå et demokratisk underskudd i den grad berørte parter ikke har mulighet, tilstrekkelig med ressurser eller kapasitet til å delta i standardiseringsprosesser.

Bruken av funksjonsbaserte regler og henvisning til ulike standarder kan bidra til økt kompleksitet og uklarhet i den interne virksomhetsstyringen (risikostyringen), og det kan oppleves som krevende å navigere i handlingsrommet mellom upresise krav, myndighetenes «forventninger» og alternative løsninger.

Utvalget mener at Norge i stor grad bør implementere standarder som er internasjonalt anerkjent, og at det på IKT-området i liten grad er hensiktsmessig eller nødvendig å produsere særnorske standarder. Det er imidlertid viktig at Norge bidrar og er aktive i utarbeidelsen av standarder internasjonalt. Den enkelte sektor har her et spesielt ansvar. Se nærmere omtale i punkt 23.4 «Tilpasse tilsynsvirksomheten til å omfatte IKT-sikkerhet». Justis- og beredskapsdepartementet har et særskilt ansvar for de standardene som omhandler IKT-sikkerhet, og som ikke er direkte relatert til en særskilt sektor, og utvalget anbefaler at departementet har en strategisk tilnærming til hvordan de skal bidra i standardiseringsarbeidet.

23.3 Styrke Justis- og beredskapsdepartementet på IKT-sikkerhetsområdet

Tiltak for å styrke det helhetlige blikket på samfunnssikkerhetsområdet er drøftet ved mange anledninger. I Sårbarhetsutvalget130 ble det foreslått å etablere et innenriksdepartement, mens det i Infrastrukturutvalget131 ble foreslått å styrke Justis- og beredskapsdepartementets samordningsrolle. I etterkant av Sårbarhetsutvalget ble DSB etablert som et alternativ til et innenriksdepartement for å styrke samordningsrollen til Justis- og beredskapsdepartementet. I tillegg er samordningsrollen, samt krav og forventninger til sektordepartementene på samfunnssikkerhets- og beredskapsområdet, tydeliggjort i en kongelig resolusjon i 2012. I 2013 ble samordningsrollen ytterligere styrket og ansvaret samlet ved at også ansvaret for forebyggende IKT-sikkerhet i sivil sektor ble overført fra Kommunal- og moderniseringsdepartementet132 til Justis- og beredskapsdepartementet, og ved at Nasjonal sikkerhetsmyndighet ble styrket som IKT-sikkerhetsdirektorat.

23.3.1 Tydeliggjøre Justis- og beredskapsdepartementets rolle og ansvarsområde

Utvalget er kjent med at det fortsatt diskuteres hva som tilligger JDs «nye» rolle for samordning av IKT-sikkerhet, og at det synes å være noe uenighet rundt hvilken samordningsrolle JD skal ha knyttet til IKT-sikkerhet i statsforvaltningen.

Utvalgets vurdering er at JDs samordningsansvar for forebyggende IKT-sikkerhet i sivil sektor omfatter både privat og offentlig sektor. Utvalget mener, og finner det hensiktsmessig, at JD i sivil sektor dekker det overordnede nasjonale ansvaret for IKT-sikkerhet, herunder å fastsette minimumskrav til IKT-sikkerhet. Det enkelte fagdepartement har ansvar innen egen sektor.

Utvalget anbefaler derfor at ansvaret for IKT-sikkerhet konkretiseres ytterligere, slik at det går klart frem at JDs samordningsansvar gjelder både offentlig og privat sektor. Om nødvendig kan en slik klargjøring komme i form av en revisjon av Kgl.res. 22. mars 2013.133

23.3.2 Styrke Justis- og beredskapsdepartementets virkemidler

Utarbeide en helhetsoversikt over digitale sårbarheter

Etter utvalgets vurdering må JD gjøre ytterligere grep for å få oversikt over digitale sårbarheter på tvers av sektorer. Førstehåndskunnskapen om digitale sårbarheter ligger i den enkelte sektor. Utvalget mener at JD må etablere mekanismer og egnede metoder for å benytte denne kunnskapen. En rapportering fra de ulike sektorene til Justis- og beredskapsdepartementet vil bidra til at departementet i større grad kan sammenligne på tvers av områder og sektorer og bidra i diskusjoner om tverrsektorielle prioriteringer. Omforente krav til styringssystemer som vist i punkt 23.2 vil her være sentralt. Utvalget er kjent med at Justis- og beredskapsdepartementet har fått bistand til å etablere nasjonale indikatorer for IKT-sikkerhet. Dette synes å kunne være en god start, men utvalget vil påpeke viktigheten av at et slikt oversiktsbilde inkluderer et helhetsbilde og ikke bare er knyttet til tilsiktede hendelser.

Et godt metodisk rammeverk er nødvendig, både for å kunne samle inn relevante data og for at en helhetsoversikt over sårbarhetene skal kunne benyttes på en hensiktsmessig måte. På dette området foreligger det allerede mye relevant arbeid i JDs underliggende etater, blant annet DSBs nasjonale sårbarhetsrapport og NSMs årlige IKT-risikobilde. Utvalget ser det som hensiktsmessig at det ikke bygges opp doble kapasiteter i forbindelse med å fremskaffe en helhetlig oversikt, og at oversikten i stor grad bør bygges på det arbeidet som per i dag gjøres på området i DSB og NSM. Utvalget anbefaler at departementet ber NSM og DSB om å utarbeide et felles metodisk rammeverk i samarbeid som kan ligge til grunn for en helhetlig årlig oversikt over digital sårbarhet.

Ulike sektoroversikter som Finanstilsynets årlige ROS-analyse og Nkoms tilstandsvurdering av ekom vil være eksempler på relevante kunnskapsgrunnlag i en overordnet nasjonal vurdering av digitale sårbarheter.

Utvalget anbefaler at JD utarbeider en helhetsoversikt over digitale sårbarheter. Oversikten skal kunne bidra til komparative tverrsektorielle sammenligninger og gi et kunnskapsgrunnlag for virkemiddelbruk og prioriteringer på tvers av sektorer.

Følge opp arbeidet med NIS-direktivet og etablere en minstestandard

Utvalget mener at Justis- og beredskapsdepartementets samordningsansvar bør omfatte samordning av minstekrav til IKT-sikkerhet i sivil sektor og harmonisering av regelverk på området, slik at regelverket ikke skaper dysfunksjonalitet, men synergi på tvers av sektorer. Utvalget observerer at sektorene tidvis har vansker med å enes om en gjennomføring av sektorovergripende tiltak. Samtidig erkjenner utvalget at behovene innen de enkelte sektorene varierer, noe som tilsier at sektorene må kunne ha stor grad av frihet både til operasjonalisering og til å heve ambisjonsnivået utover minstekravet.

Utvalget anbefaler at Justis- og beredskapsdepartementet aktivt følger opp prosessen rundt EUs NIS-direktiv134 og vurderer hvilke konsekvenser direktivet kan få for Norge, og hvordan dette kan påvirke JDs samordningsrolle på området, særlig med tanke på å gi føringer og stille krav til andre departementer og forberede sektorene på å implementere direktivet. Behovet for å etablere en felles minstestandard for beskyttelse av kritisk infrastruktur bør vurderes og ses opp mot resultatet av NIS-direktivet og eventuelt andre krav fra EU. I denne sammenhengen vil konklusjoner fra Traavik-utvalget være viktig.

Ivareta hensyn til IKT-sikkerhet ved teknologiskifter og strukturelle samfunnsendringer

Samfunnets teknologiske avhengighet gjør at teknologiskifter og større strukturelle endringer har konsekvenser for den digitale sårbarheten. Ved beslutninger som kan føre til større teknologiske og strukturelle endringer i samfunnet, mener utvalget at det bør etableres en ordning som ivaretar konsekvensvurderinger og eventuelle tiltak knyttet til IKT-sikkerhet.

Utvalget anbefaler å se hen til hvordan Konkurransetilsynet ivaretar konkurransehensyn ved organisatoriske og strukturelle endringer i markedet. Ordningen bør ivaretas av Justis- og beredskapsdepartementet.

Etablere en arena for privat–offentlig samarbeid

Utvalget vil særlig peke på viktigheten av samarbeid med privat sektor. Slikt samarbeid foregår i dag på mange nivåer i offentlig forvaltning, blant annet innen beredskap. Alle sektorer har et ansvar for å legge til rette for et offentlig–privat samarbeid, men JD har et overordnet ansvar også på dette området.

Utvalget anbefaler at JD vurderer hvorvidt det privat–offentlige samarbeidet på IKT-sikkerhetsområdet er tilstrekkelig ivaretatt og hensiktsmessig, og hvorvidt det er behov for en strategisk arena for samarbeid med eiere av kritisk infrastruktur og kritisk informasjon, samt akademia, som ledes av JD. Utvalget anbefaler å se til tilsvarende ordninger i blant annet Nederland og Tyskland.

23.3.3 Øke kapasiteten innen IKT-sikkerhet i Justis- og beredskapsdepartementet

For utvalget fremstår det som usikkert hvorvidt den kapasiteten som JD i dag besitter, er tilstrekkelig til å ivareta utfordringene på IKT-sikkerhetsområdet. For å kunne ivareta den utvidede rollen som JD har fått, og i tillegg de tiltakene som utvalget her foreslår, anbefaler vi å styrke JDs ressurser vesentlig på området. Utvalget anerkjenner den eksisterende IKT-sikkerhetskompetansen i JD, men anser kapasiteten som for lav med tanke på gjennomføringsevne. Dersom kapasiteten i JD ikke styrkes tilstrekkelig, vil det ikke være mulig å ta ut effektene av de sistnevnte tiltakene, de vil snarere virke mot sin hensikt.

23.4 Tilpasse tilsynsvirksomheten til å omfatte IKT-sikkerhet

Departementene har gjennom ulike direktorater og tilsyn en viktig rolle når det gjelder å stille krav til og følge opp IKT-sikkerhet i virksomheter innenfor egen sektor. Et av funnene i utvalgets arbeid er at det stilles svært ulike krav fra de ulike myndighetsaktørene. Enkelte myndigheter synes å stille svært detaljerte krav, mens andre stiller mer åpne krav.

Økt teknisk kompleksitet på IKT-området øker utfordringene på tilsynsområdet. Regelverk som ikke henger med i den tekniske utviklingen, gjør at tilsynene mangler retningslinjer å utøve tilsyn etter. Økt bruk og avhengighet av IKT er med på å skape kompetanseutfordringer for tilsynene, som tradisjonelt har ført tilsyn som i større grad har vært basert på faglige krav og føringer.

23.4.1 Vurdere funksjonsbasert regelverk

Både nasjonalt og internasjonalt har det de siste par tiårene vært en utvikling av reguleringsregimer der rettsregler i større grad har vært rettet mot styring og formål og i mindre grad mot spesifiserte (tekniske) løsninger eller metoder. Dette gjelder blant annet – og kanskje særlig – regimer rettet mot risiko og sikkerhet. Utviklingen har dels skjedd parallelt, ved at regulering av styringskrav er knyttet direkte til regulering av formålskrav. I begge tilfeller er målet å ansvarliggjøre virksomhetene, eksempelvis gjennom krav til risikostyring. Samtidig gis de større frihet til å sikre at reguleringsformålene ivaretas, for eksempel om et forsvarlig sikkerhetsnivå. Førstnevnte betegnes gjerne i faglitteraturen som «management-based regulations» og sistnevnte som «principles-based regulation». Grunnen til at disse utviklingstrekkene ses i sammenheng, er at de i en viss forstand forutsetter hverandre. Når virksomheter får større frihet, må samtidig kravene til styring være tydeligere. Omvendt gir krav til styring ikke så mye mening dersom svarene/løsningen allerede er gitt i regelverket i form av spesifiserte krav.

Begrepet funksjonsbasert regelverk har ikke et helt entydig innhold. I St.meld. nr. 17 (2002–2003) Om statlig tilsyn legges det vekt på at slike regler i større grad retter seg mot mål og resultater og i mindre grad mot bestemte metoder eller løsninger. Funksjonskrav forstås også ofte som generelle krav – i motsetning til spesifiserte krav. Disse dimensjonene knyttes gjerne sammen ved at funksjonsbaserte krav forstås som generelle krav rettet mot et formål. Men det kan også tenkes andre kombinasjoner, der man har generelle krav rettet mot prosesser og ikke mot resultater. Kravene til internkontroll og systematisk HMS-arbeid i virksomheter er et eksempel. Den vanligste forståelsen av funksjonskrav er likevel gjerne at begge disse elementene er inkludert.

Begrunnelsene for utvidet bruk av funksjonskrav er flere:

  • Regelverk er ikke tilstrekkelig dynamiske til å følge utviklingen av de beste løsningene innen forskjellige fagområder (teknologi, behandlingsformer med videre).

  • Virksomhetene får handlefrihet og kan utnytte lokal og situasjonsspesifikk kunnskap til å finne egnede løsninger innenfor regelverkets rammer.

  • Funksjonsregelverk ansvarliggjør i større grad virksomhetene for egen drift og de konkrete løsningene de velger.

  • Funksjonsbaserte regler kan i større grad bidra til at man unngår «creative compliance», at hensikten med reglene oppnås, og at virksomhetene også kan strekke seg lenger enn til fastsatte minimumskrav.

Funksjonskrav er ofte utformet som rettslige standarder der innholdet i bestemmelsene utledes av normer utenfor de tradisjonelle juridiske rettskildene, men er knyttet til hva som er ansett som god faglig praksis/standard på området, noe som endrer seg i takt med utviklingen. Det er valgt ulike løsninger i ulike sektorer for hvor konkret disse standardene angis. Virksomhetene kan ha ulike utfordringer med å klarlegge hvordan de rettslige standardene skal forstås og fortolkes, og dermed hvilke konkrete krav som følger av disse.

I Norge har funksjonskrav i særlig grad vært utviklet innenfor petroleumssektoren, men er også utbredt innenfor andre reguleringsområder. Internasjonalt har funksjonskrav vært assosiert med EUs såkalte «new approach» – eller «ny metode» – og brukes til regulering av produktsikkerhet. Hovedtilnærmingen har vært at selve regelverket angir overordnede formål som skal ivaretas, men med henvisninger til anerkjente normer som kan benyttes, og som angis som tilstrekkelige for å oppfylle de rettslige kravene. Det gis imidlertid anledning til å velge andre løsninger, men virksomheten pålegges da i ulik grad å dokumentere at disse tilfredsstiller de overordnede kravene.

Generelt innebærer utvikling og bruk av funksjonsbaserte regler en rekke avveiinger og dilemmaer. Erfaringene internasjonalt er også blandet. De generelle begrunnelsene – ansvarliggjøring, handlefrihet, fleksibilitet og endringstilpasning – må avveies mot generelle rettssikkerhetshensyn som tradisjonelt er blitt vektlagt når det gjelder utforming av rettsregler, slik som klarhet, tydelighet og forutberegnelighet. Regulerte virksomheter må kunne danne seg en begrunnet oppfatning av hva som ligger innenfor regelverkets krav og myndighetenes forventninger. I tillegg kommer at reguleringsmyndigheten i mange sammenhenger vil ha en privilegert oversikt og kunnskap som kan formidles gjennom forståelige og praktisk anvendbare regler og derved bidra til mer forutsigbare og forsvarlige resultater. Sentralisert standardfastsetting kan i praksis fungere som kompetanseoverføring og nødvendig implementeringsstøtte. For vage regler kan gi stor variasjon i resultater i form av etterlevelse og håndhevingspraksis fra myndighetene og i tillegg gi legitimitetsutfordringer dersom den utøvende forvaltningsmyndigheten i praksis fremstår som normsettende for akseptable forsvarlighetsnivåer uavhengig av demokratiske beslutningsprosesser.135

Forståelse av de regulerte virksomhetenes forutsetninger for å etterleve de overordnede reguleringshensynene vil måtte spille inn i valget av reguleringsstrategi. Dersom det er stor variasjon i målgruppen, vil avveiingen mellom praktiske oppskrifter og funksjonsbaserte regler være særlig utfordrende. Viktige faktorer i den sammenhengen vil være de regulerte virksomhetenes ressurser, kapasitet, motivasjon og behov (eksempelvis knyttet til tempo i teknologisk utviklingstakt). Men avveiinger må også ses i lys av myndighetenes evne og kapasitet til å tilby tilstrekkelig veiledning i regelverksforståelse, samt til kontinuerlig å vurdere om etterlevelsesmønstre reflekterer kravene til tilstrekkelige og forsvarlige løsninger.

Utvalget anbefaler at når tilsynsmyndighetene skal utforme nye krav og føringer til regulerte virksomheter, er det viktig at det tas hensyn til vurderingene av funksjonsbasert regelverk, som drøftet over. Når det skal stilles krav til IKT-sikkerhet, bør funksjonsbasert regelverk og tilsyn vurderes – dette for å kunne følge med på raske teknologiske endringer og legge til rette for sikkerhetstiltak som er tilpasset den enkelte virksomhet. Som nevnt må det tas hensyn til både virksomhetenes og tilsynsmyndighetenes ressurser og kompetanse på IKT-sikkerhetsområdet. Det er videre viktig å ha et bevisst forhold til anbefalte standarder, jf. punkt 23.2.1 «Bevisst bruk av standarder».

23.4.2 Øke IKT-sikkerhetskompetanse og kapasitet hos tilsynene

Utvalget ser en økende digitaliseringstakt innenfor sektorene som er beskrevet i denne utredningen. Dette krever at tilsynsmyndighetene har kompetanse og kapasitet til både å gjennomføre relevante tilsyn og ivareta sin veiledningsplikt på IKT-sikkerhetsområdet. Et annet aspekt er at tilsynene må delta aktivt i det internasjonale arbeidet som foregår på IKT-sikkerhetsområdet innenfor deres sektorer.

Etter utvalgets vurderinger er det derfor behov for å styrke IKT-sikkerhetskompetansen innenfor flere sektortilsyn. På kort sikt kan det være hensiktsmessig med felles ressurser, slik at ulike sektortilsyn kan tilføres kompetanse fra for eksempel NSM i enkelttilfeller. På lengre sikt tilsier utviklingen at tilsynsmyndighetene må etablere egen kompetanse. Utvalget anbefaler i denne utredningen at en rekke tilsynsmyndigheter styrker både kompetansen og kapasiteten på IKT-sikkerhetsområdet.

Mange av problemstillingene knyttet til IKT-sikkerhet som går frem av denne rapporten, vil være felles for de fleste sektorer, og for å møte behovet for IKT-fokus hos tilsynsmyndighetene bør det etableres fellesarenaer for erfaringsutveksling og dialog mellom sektormyndigheter og tverrsektorielle myndigheter. Et økt tilsynssamarbeid etter for eksempel modell fra HMS-myndighetene kan være en måte å gjøre dette på. Der er det blant annet utviklet en nettside som samler alt av relevant regelverk.136 En felles møtearena for IKT-sikkerhet bør omfatte regelmessige kontaktmøter på praktisk nivå, ikke bare på ledernivå. Innenfor ekomsektoren er det etablert et ekomsikkerhetsforum som samler de fire viktigste teleselskapene, E-tjenesten, PST og NSM under ledelse av Nkom for nettopp å dele informasjon og trusselinformasjon på gradert nivå. Dette er en modell som fungerer godt, er gjensidig forpliktende og har overføringsverdi til andre sektorer. Et annet eksempel er NVEs initiativ til Samvirkegruppe for infrastruktur, som kan videreutvikles og omfatte erfaringsutveksling av felles problemstillinger og utfordringer relatert til tilsynsmetode og -utøvelse.

Utvalget anbefaler at Justis- og beredskapsdepartementet tar initiativ til å etablere en fellesarena for tilsynssamarbeid på IKT-sikkerhetsområdet. Samarbeidsarenaen bør omfatte erfaringsutveksling, muligheter for kompetanseheving, metodeutvikling og utarbeidelse av ulike tilsynsvirkemidler, som anbefaling av ROS-metoder, veiledningsmateriell, håndtering av underleverandører, og så videre.

23.5 Redegjørelse for IKT-sikkerhet bør inngå i årsmeldinger

Ansvaret for IKT-sikkerhet ligger hos den øverste ledelsen både i privat og i offentlig virksomhet. Utvalgets undersøkelser tyder på at arbeidet med IKT-sikkerhet ikke alltid får den prioriteten det bør ha. For å sikre at arbeidet med IKT-sikkerhet prioriteres høyere, bør det innføres et krav til at ivaretakelse av IKT-sikkerhet beskrives i virksomhetenes årsmelding. Dette bør gjelde uavhengig av om virksomheten er i privat eller i offentlig sektor. Utvalget har merket seg at et relatert forslag som gjelder personvern, er fremmet av EU i utkastet til ny personvernforordning, men når denne NOU-en skrives, er det uklart om dette vil bli vedtatt.

Krav til å inkludere redegjørelse for IKT-sikkerhet kan utformes på flere måter, men nødvendigvis slik at man krever en generell redegjørelse for hvordan IKT-sikkerheten er ivaretatt. Utvalget går ikke nærmere inn på hvordan dette konkret bør formuleres, men oppfordrer Nærings- og fiskeridepartementet og Kommunal- og moderniseringsdepartementet til å utarbeide en regelendring i lovverket for henholdsvis privat og offentlig sektor.

23.6 Næringsutvikling og IKT-sikkerhet

Norge ligger i verdenstoppen når det gjelder å ta i bruk digital teknologi og Internett. Den digitale teknologien er en katalysator som kan effektivisere nær sagt alle sider ved samfunnet. Dette har innvirkning på norsk næringsliv, som i hovedsak består av små og mellomstore virksomheter. Ferske tall fra Statistisk sentralbyrå viser at det ved inngangen til 2015 var 547 232 virksomheter i Norge, hvorav 96 prosent hadde færre enn 19 ansatte.

23.6.1 Behov for balanse mellom verdiskaping og IKT-sikkerhet

Fremtidens IKT-sikkerhet er ikke bare avhengig av teknologien, men også av hvilken politikk som føres på området. Myndighetene har en tredelt rolle i dette bildet – som bruker av digitale tjenester, som beskytter av befolkningen og som utnytter av det mulighetsrommet digitaliseringen gir.

Konkurransekraft for norske arbeidsplasser er et av regjeringens viktigste satsingsområder. Norsk økonomi og næringslivet skal utnytte ressursene smartest mulig og mest mulig effektivt gjennom teknologi, innovasjon og kunnskap.137 Bruken av IKT skal styrke næringslivets konkurransedyktighet og øke samfunnets totale produktivitet og innovasjonsevne.138

Produktivitetsveksten er avgjørende for konkurranseevnen og velstandsutviklingen i Norge i årene fremover. Ifølge Produktivitetskommisjonen utnytter Norge i dag i for liten grad potensialet ved bruk av digital teknologi. Kommisjonen har blant annet uttrykt: «Vår fremtidige velstand og velferd forutsetter at produktiviteten fortsetter å vokse» og: «En liten, åpen økonomi må utnytte internasjonal teknologiutvikling, og det må legges større vekt på forutsetninger for teknologisk adopsjon».139

Internasjonalt peker cyberstrategiene til England, USA og Nederland alle på viktigheten og prioriteringen av velfungerende IKT-systemer og deres særskilte betydning for økonomisk vekst og økt velferd. Den nederlandske cyberstrategien går langt i å vise til viktigheten av næringsaspektet ved sikkerhetsløsninger. I strategien fremheves det at innovasjon, sikkerhet og personvern i designfasen av produkter og systemer er initiativer myndighetene og næringslivet skal fokusere på og belønne. Tilsvarende peker flere internasjonale IKT-leverandører på fremtidens muligheter og utfordringer utover teknologiske trender.

Kommunal- og moderniseringsdepartementet (KMD) har uttrykt at det EU gjør for det digitale indre markedet, får direkte betydning for Norge. Regjeringen har derfor satt i gang et arbeid med en ny digital agenda som vil bli lagt frem for Stortinget i 2016.

Mulighetsrommet i Norge for å utnytte ny teknologi ligger i et kompetent og omstillingsvillig næringsliv og i offentlig sektor, samt i høy grad av tillit mellom næringsliv, innbyggere og myndigheter.140 Befolkningens digitale vaner og adferd viser at nordmenn er opptatt av ny teknologi, og at vi er raske til å ta den i bruk. Hele 90 prosent av innbyggerne har bredbåndstilknytning.

Mørketallsundersøkelsen for 2014 viser at bruken av skytjenester har steget betraktelig. I 2012 benyttet halvparten av virksomhetene seg av en eller annen form for skytjeneste, mens det nå er to av tre virksomheter som gjør det. En undersøkelse gjort i EU i 2014 av virksomheters bruk av skytjenester viser at de nordiske landene med Finland i spissen ligger på topp.

Sikkerhet oppgis som den mest begrensende faktoren for virksomheters bruk av skytjenester. Det er vanskelig for lovgiverne å holde tritt med denne teknologiutviklingen, og det skaper et behov for å tenke annerledes. Mange land har derfor utarbeidet strategier for bruk av skytjenester. Et hovedhensyn er at lovgivning ikke skal hindre økt konkurransekraft ved å gjøre det vanskelig å ta i bruk ny og mer hensiktsmessig og kostnadseffektiv teknologi. Norge har i dag ikke noen offisiell IKT-politikk for bruk av skytjenester, men KMD tar sikte på å legge frem en nasjonal strategi for bruk av skytjenester i løpet av 2015. Utvalget mener at regjeringens påbegynte arbeid med en gjennomgang av regelverket for å fjerne unødige hindringer og rydde opp i uklarheter er viktig for å fremme sikker og forutsigbar bruk av IKT-tjenester. Se nærmere beskrivelse i punkt 23.7 «Utkontraktering og skytjenester».

Boks 23.3 Nasjonal kryptopolitikk

NSMs Sikkerhetsfaglig råd 2015 peker på at bruk av kryptografiske mekanismer har stor betydning for IKT-sikkerhet. NSM har et tett samarbeid med norsk kryptoindustri for utvikling av høygraderte kryptoløsninger. Uten et velfungerende samarbeid mellom industri og myndigheter ville nasjonen ikke evnet å utvikle kryptoløsninger for å sikre informasjon som er viktig for nasjonens sikkerhet. I Sikkerhetsfaglig råd 2015 er det fremmet en anbefaling om at «Forsvarsdepartementet og Justis- og beredskapsdepartementet bør videreutvikle en nasjonal kryptopolitikk for å sikre nødvendig nasjonal kryptokompetanse og utvikling av kryptoutstyr for høygradert informasjon» for å stimulere til innovasjon og produktutvikling. NSM har i tillegg tatt til orde for at det stilles krav til bruk av godkjente krypteringsløsninger for annen sensitiv informasjon, og at NSM blir gitt i oppdrag å legge til rette for dette.

23.6.2 Økt veiledning for særlig sårbare grupper i næringslivet

I Risiko 2015 omtaler NSM særskilt sårbarheten ileverandørkjeden. Rapporten viser til flere eksempler på digitale angrep i 2014 mot underleverandører til større virksomheter og til viktigheten av økt bevissthet og krav til sikkerhet også for små og mellomstore bedrifter (SMB). Det er eksempler på at leverandører med dårlig informasjonssikkerhet verken lykkes med å få kunder eller med å komme inn på markedet. Mørketallsundersøkelsen for 2014 viser at små virksomheter kommer svakest ut når det gjelder oppfølging av tjenesteleverandør.

Det oppgis at bare to av fem virksomheter i offentlig sektor har avsatt interne ressurser til å følge opp leverandøren. I privat sektor har halvparten av virksomhetene slike ressurser. Dette er et bekymringsfullt lavt antall i lys av en økende trend, der virksomheter benytter underleverandører til drift av IKT-løsninger. Bestillerkompetanse er i undersøkelsen vist til som helt avgjørende for å sikre egne data hos en underleverandør. Tallene indikerer at både private og offentlige virksomheter bør vie større oppmerksomhet til kontroll og oppfølging av leverandørene. Små og mellomstore virksomheter vil ha behov for nødvendig veiledning og hjelp på informasjonssikkerhetsområdet. Et systematisk veiledende og rådgivende arbeid er svært viktig av hensyn til både næringsutvikling og nasjonal sikkerhet. Arbeidet må skje i takt med digitaliseringen og et økende trusselbilde. Dette er utfordrende å styre både politisk, økonomisk og organisatorisk, og forutsetter en evne til å håndtere akselererende endringer og legge inn mekanismer for å følge opp og vurdere sikringsbehovet.

Etter utvalgets vurdering vil manglende digital sikkerhet i små og mellomstore virksomheter, og særskilt underleverandørkjeden utgjøre en nasjonal sårbarhet det er viktig å rette oppmerksomhet mot i tiden fremover.

23.6.3 Tillit bør være en forutsetning for digitaliseringen

KMD viser i sin handlingsplan for informasjonssikkerhet i statsforvaltningen (2015–2017) til at informasjonssikkerhet er en forutsetning for digitalisering i offentlig sektor. I Digital agenda for Norge fremgår det at:

«Forebyggende IKT-sikkerhet er […] en viktig del av samfunnssikkerheten, og vi må ha på plass systemer og rutiner for å forebygge og håndtere uønskede hendelser til IKT. Dette er viktig for at alle skal ha tillit til de IKT-løsningene som tilbys, både fra private aktører og fra det offentlige».141

Studier har vist at folks tillit til et samfunn har betydning for økonomisk vekst, og at høy grad av tillit bidrar til økonomisk vekst.142 Arbeidsgiverforeningen Spekter mener at digitale sårbarheter på samfunnsnivå og økte kostnader ved hendelser over tid kan påvirke denne nødvendige tilliten mellom innbyggere og myndigheter/institusjoner. Kunder og brukere vil kunne akseptere at hendelser skjer, men ikke at selskapene mangler forberedelser og evne til effektiv håndtering.

Tillit som grunnmuren for digitalisering har slått sprekker de siste årene. Siden Snowdens avsløringer i 2013 har hele verden hatt oppmerksomhet rettet mot myndighetenes tilgang til personopplysninger. Det utløste en stor offentlig debatt om overvåking, teknologi og personvern. Avsløringene førte også til en bredere debatt om leverandørenes bruk av kundedata og en større diskusjon om balansen mellom nasjonal sikkerhet og personvern. Folks tillit og krav til åpenhet har i senere tid også vært et tema politisk i Norge. For nasjonale og internasjonale leverandører av IKT-produkter og -tjenester er kundens tillit til at selskapet forvalter og sikrer kundens persondata og sensitive virksomhetsdata, helt avgjørende.

Boks 23.4 NY Warrant-saken

NY Warrant-saken er en pågående rettssak knyttet til en tvist om amerikanske myndigheters rett til å hente inn data utenfor landet. Saken gjelder en rettslig ransakelsesordre i en narkotikasak, der Microsoft ble pålagt å utlevere kundeinformasjon knyttet til en e-postkonto fra et datasenter i Dublin, Irland. Microsoft nektet å etterkomme ransakelsesordren, idet informasjonen er lagret utenfor amerikansk territorium, og viste til gjeldende internasjonale prosedyrer for utlevering av data mellom land, herunder avtalen mellom USA og Irland om utlevering av data (Mutual Legal Assistance Treaties, MLAT). Microsoft er i to rettsinstanser pålagt å utlevere informasjonen. Dommen er anket og under behandling. I tillegg til myndighetene i Irland har en rekke selskaper tatt ut stevning til støtte for Microsoft, herunder Apple, Amazon, Cisco, AT&T, eBay, Verizon, Harvard, Stanford, US Chamber of Commerce, the National Association of Manufacturers, ABC, CNN, Fox News og the Guardian, for å nevne noen. Saken har vakt politisk interesse også i Norge, der det er vist til at utfallet av saken kan få store konsekvenser for folks person- og rettsvern i EU og Norge. I Finland har justisministeren i et brev fra 2014 til EU-kommisjonen uttrykt bekymring for de potensielle alvorlige konsekvensene utfallet av saken kan få for EU ved at lands direkte tilgang til data lagret i EU gir mulighet for å omgå gjeldende internasjonale prosedyrer (MLAT).

23.6.4 IKT-sikkerhet som hinder for verdiskaping?

Det kan være en utfordring å prioritere informasjonssikkerhet i et marked som i økende grad preges av behovet for fellesløsninger og kunders ønsker om økt tilgjengelighet, mobilitet og funksjonalitet, der alle enheter snakker med hverandre. Dette legger press på leverandørene med hensyn til å balansere disse behovene mot personvern og informasjonssikkerhet. Flere virksomheter opplever derfor at de må gjennomføre skadebegrensende eller utbedrende tiltak i ettertid, når produktet allerede er ute i markedet.

Høye etablerings- og driftskostnader i Norge forutsetter at virksomhetene er produktive for å kunne være konkurransedyktige internasjonalt.143 Det er fremdeles private og offentlige virksomheter som ser på sikkerhetstiltak som en ren utgiftspost og del av en operasjonell risiko. Andre private nasjonale og internasjonale virksomheter ser strategisk på sikkerhet som et rent konkurransefortrinn og som en naturlig måte å ta vare på bedriftens vekstmuligheter på.

Dette reiser også spørsmål om digitalisering og balansen mellom samfunnshensynene sikkerhet og næringsutvikling. Utvalget har spurt flere sentrale aktører om sikkerhetskrav er til hinder for produktivitetsvekst og innovasjon i næringslivet. Utvalget mener det er påfallende få, både offentlige og private myndigheter og interesseorganisasjoner, som har problematisert dette noe videre. Mye kan tyde på at diskusjonen om nødvendigheten av balanse mellom så viktige hensyn i et samfunn ikke har vært særlig fremme verken i den offentlige debatten eller i fagmiljøene.

Utvalget ser noen gryende tegn til diskusjon om dette hos for eksempel KMD og Finans Norge. Ifølge departementet er IKT-sikkerhet ikke det eneste kriteriet når det foretas strategiske valg, men en svært viktig dimensjon. Vekting av IKT-sikkerhet i for stor grad vil etter departementets syn i noen tilfeller kunne hemme produktiviteten.144 Finans Norge viser til at næringen i vurderingen av mulighetsrommet for næringsutvikling må veie flere hensyn mot hverandre, som for eksempel forretningsdrift/inntjening, taushetsplikt, sikkerhet, kundevennlighet og hensynet til den enkeltes personvern.

Høye nasjonale krav, sammenlignet med internasjonale, kan virke konkurransevridende. På den annen side kan sikkerhetsfokus også bidra til næringsutvikling. Innovasjon Norge har stilt spørsmål om det er realistisk og mulig å skape vekst med de høye sikkerhetskravene som er i Norge. De høye miljøkravene til oljebransjen er en medvirkende årsak til at Norge har klart å produsere olje på en miljøvennlig måte og bli verdensledende. En viktig forutsetning for dette er god økonomi og med det tilstrekkelige rammer for å klare å etterleve kravene. Mange av de større teknologiselskapene ser til Norden som et særskilt satsingsområde.

En sterk IKT-sikkerhetsindustri i Norge vil være et positivt bidrag til reduksjon av digitale sårbarheter. Dette vil sikre kompetanse og bidra til oppmerksomhet og kunnskapsspredning i hele det norske samfunnet.Utvalget anbefaler derfor at regjeringen forsterker arbeidet med å se etter virkemidler for å stimulere til næringsutvikling på dette området, eksempelvis gjennom skattepolitikk, tilskuddsordninger og kompetansebygging i dialog med næringslivet.

23.7 Utkontraktering og skytjenester

Utkontraktering og skytjenester kan bidra til økt teknisk IKT-sikkerhet når leverandøren har bedre kompetanse og ressurser enn kunden. Forholdet mellom digitale sårbarheter og næringsutvikling er nærmere behandlet i punkt 23.6 «Næringsutvikling og IKT-sikkerhet».

Hvilke tekniske muligheter som representerer et mulighetsrom for effektivitet, konkurranseevne, innovasjon og IKT-sikkerhet, vil utvikle seg over tid. I dag er det moderne å snakke om skytjenester, men det man nå opplever som siste nytt, kan raskt bli erstattet av andre løsninger som gir andre muligheter og utfordringer.

Næringsliv og offentlig sektor må fortløpende være oppmerksom på hvilke teknologiske muligheter som blir aktuelle, og vurdere fordeler og ulemper samt være villige til omstilling der dette er nødvendig. Det er også viktig at de juridiske rammene fremover settes slik at det er grunnlag for reell tillit mellom næringsliv, innbyggere og myndigheter. I dette ligger at beslutninger om rettslige rammevilkår må tas på grunnlag av realistiske, grundige og troverdige vurderinger.

Gjennomgående vil det være slik at juridiske rammevilkår som kommer til gjennom grundige demokratiske prosesser, har vanskelig for å dekke nye teknologiske tilbud på en god måte. Myndighetene må sikre at norsk lovgivning ikke hindrer økt konkurransekraft ved å gjøre det vanskelig å ta i bruk mer hensiktsmessig og kostnadseffektiv teknologi så lenge det er tilstrekkelige sikre løsninger. Når det gjelder skytjenester, arbeider Kommunal- og moderniseringsdepartementet med en nasjonal strategi for bruk av skytjenester som planlegges lagt frem i løpet av 2015.145 Også andre departementer arbeider med å finne ut hvordan man skal forholde seg til skytjenester.

Under går vi først kort inn på hva utkontraktering og skytjenester er, før vi ser på det eksisterende juridiske mulighetsrommet og tilhørende rammer. Deretter angir vi noen hovedfunn før vi kommer med forslag til konkrete tiltak.

23.7.1 Hva er utkontraktering – internasjonale forhold

Det finnes ingen entydig definisjon av hva utkontraktering er, men det er en gjengs terminologi for det at et selskap eller en virksomhet inngår en kontrakt med en ekstern leverandør om å levere en vare eller tjeneste i stedet for å utføre dette internt i egen virksomhet. Ulike aspekter av IKT-drift er et område som typisk har vært gjenstand for utkontraktering de siste årene. Det ligger ingen begrensninger på hva som kan utkontrakteres, og det å benytte skytjenester fra en ekstern leverandør er en type utkontraktering.

For de fleste utkontrakteringer gjelder at man øker antall ledd i verdikjeden for de tjenestene man leverer, sammenlignet med om tjenesten hadde blitt utført internt. Ettersom utkontraktering forutsetter en kontrakt med den eksterne tjenesteleverandøren, må den som bestiller utkontrakteringen, ta stilling til om kontrakten i tilstrekkelig grad regulerer de forholdene som tjenesten skal bygge på.

Et særlig fenomen ved utkontraktering er at den eksterne tjenesteleverandøren kan befinne seg i et annet land og under en annen jurisdiksjon enn den som bestiller tjenesten. Bakgrunnen for dette er enkelt nok at IKT-tjenester kan leveres over nettet, og med like god kvalitet som om de som utfører tjenesten, og bestilleren satt i samme land og i samme virksomhet.

I denne sammenheng reises spørsmålet om hva som er konsekvensene av at en del av tjenesten utføres under et annet lands rett. Dette beskrives noe nærmere i avsnittet om hva skytjenester er, og er også behandlet flere andre steder i dette kapittelet. Da slike internasjonale aspekter også henger sammen med Norges internasjonale forpliktelser og internasjonale rammer, viser vi også til kapittel 10 «Folkerett og internasjonalt samarbeid».

23.7.2 Hva er skytjenester?

Skytjenester er en felles betegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet Internett. Det finnes flere konkurrerende definisjoner av skytjenester. En definisjon fra National Institute of Standards and Technology er at «Skytenester (cloud computing) er en modell som gjør det mulig å få tilgang til et sett konfigurerbare dataressurser (for eksempel nettverk, servere, lagring, applikasjoner og tjenester) som: er lett tilgjengelige over alt, blir levert og priset etter behov (on demand) og kan skaffes raskt og gjøres tilgjengelig med minimalt med administrasjon eller involvering fra tilbyderen».146 Denne definisjonen omfatter langt flere tjenester enn mange tenker seg. I Norge benyttes i dag skytjenester innen områder som er så ulike som parkeringsvakters overvåking av kommunale parkeringsplasser, administrasjon av HR-data og systemer for administrasjon av ungdomsskoleelevers personopplysninger. Leverandører av skytjenester er ofte store aktører som leverer standardiserte tjenester, men det finnes også mange mindre leverandører.

I tillegg til at bruken av skytjenester øker i privat og offentlig virksomhet, bruker mange forbrukere skytjenester mer eller mindre bevisst – både i privat og i virksomhetsrelatert sammenheng.

Noen eksempler på privat bruk av skytjenester er bildedelingstjenester, Facebook, Dropbox, Instagram og annet. Bruken av slike tjenester reiser mange problemstillinger for private, for eksempel hvem som har tilgang til informasjonen som lastes opp, hvem den distribueres til, og om forbrukeren har mulighet til å kreve den slettet. Her vil utvalget avgrense mot å behandle disse problemstillingene.

Et beslektet forhold er når privatpersoner som er ansatt i en bedrift eller virksomhet, benytter private skytjenester i virksomhetsrelatert sammenheng.147 Typisk skjer dette ved at en ansatt lagrer virksomhetsrelatert materiale på for eksempel sin private Dropbox-konto for å kunne arbeide videre hjemmefra. Enhver virksomhet må ha retningslinjer og rutiner som setter rammer for ansattes bruk av private skytjenester på en slik måte. Hvordan slike rammer skal utformes, vil avhenge av sensitiviteten til den aktuelle informasjonen. Noe informasjon kan lagres uten omfattende sikkerhetstiltak, mens annen informasjon må sikres grundig.

I noen henseender er det fremdeles uklare juridiske og tekniske forhold ved anskaffelse og bruk av skytjenester. Likevel er databehandlingstjenester fra eksterne tjenesteleverandører teknisk sett ikke noe nytt og har eksistert siden midten av 1900-tallet. De tekniske og juridiske problemstillingene som oppstår ved bruk av tradisjonelle eksterne driftstjenester, er langt på vei de samme også ved bruk av skytjenester. Noen problemstillinger blir imidlertid mer fremtredende ved bruk av skytjenester, særlig når skytjenestene åpner for lagring og behandling av data i utlandet, da det reiser særlige juridiske problemstillinger.

Skytjenestene kan som nevnt ha svært ulik karakter og beskrives på flere måter. Det er vanlig å skille mellom programvare som tjeneste (Software as a Service, SaaS), plattform som tjeneste (Platform as a Service, PaaS) og infrastruktur som tjeneste (Infrastructure as a Service, IaaS). I en SaaS vil tjenesteleverandøren typisk tilby mer programvare og tjenester enn dersom man «kun» leverer en IaaS. Skytjenester kan leveres i form av en offentlig tilgjengelig sky (Public Cloud), en privat tilgjengelig sky (Private Cloud, som benyttes innenfor en bedrift eller et konsern) eller en hybrid sky (Hybrid Cloud, som er en kombinasjon av de to alternativene). Tjenestene kan også leveres fra en server som er plassert hos kunden (On Premises). Hvordan dette organiseres, er i stadig endring. De juridiske og informasjonssikkerhetsmessige problemstillingene vil langt på vei være de samme, uavhengig av tjeneste- eller leveranseform, selv om de konkrete vurderingene og tiltakene som kan og må iverksettes, kan være forskjellige. I noen tilfeller kan man løse sikkerhetsmessige utfordringer ved å velge en kombinasjon av alternativene.

Skyløsninger oppleves som effektive på grunn av enkel tilknytning via en nettleser, fleksibilitet, mobilitetsfrihet og stor skalerbarhet for brukeren. Mange leverandører garanterer god sikkerhetskopiering, og mange tilbyr ulike former for krypteringstjenester. Løsningene presenteres ofte som rimeligere enn tradisjonelle løsninger, men dette bildet er ikke entydig,148 og det er usikkert hvordan det vil utvikle seg over tid. Denne NOU-en går ikke inn på de økonomiske aspektene ved skytjenester.

En leverandør av skytjenester vil ofte ønske å kunne flytte data til den fysiske lokasjonen som er mest datateknisk optimal. Ofte foretas reservelagring/backup av den behandlede informasjonen i flere land/kontinenter av sikkerhetsårsaker, og det er ikke alltid kjent hvilke land dette er, eller hvilke underleverandører som er involvert. Da vil brukeren ikke alltid vite hvor dataene befinner seg. I tillegg kan leverandøren ha servicepersonell som er plassert i mange ulike land. Når data lagres eller er tilgjengelige fra andre land og jurisdiksjoner, reises en rekke juridiske problemstillinger. Det ikke å vite i hvilke land data befinner seg, og fra hvor de aksesseres, er problematisk fordi rettsreglene for hvordan data kan brukes, vil være annerledes i andre lands jurisdiksjoner. Norske myndigheter har ikke sanksjonsmulighet overfor tjenesteleverandører utenfor Norge og EU/EØS.

23.7.2.1 Datatekniske forhold ved skytjenester

Bruk av skytjenester innebærer i utgangspunktet en tilsvarende risiko som ved tradisjonell tjenesteutsetting av IKT-drift, der risiko og sårbarhet er knyttet til valg av leverandører, lokalisering, kommunikasjonskanaler og arkitektur. Da Snowden avslørte at den amerikanske etterretningsorganisasjonen NSA hentet inn store datamengder fra amerikanske selskaper, ble risikobildet endret til også å omfatte om og hvordan myndigheter i det landet serverne står, eventuelt velger å skaffe seg tilgang til informasjonen. Her vises også til at EUs generaladvokat i en ny beslutning har vektlagt dette sterkt i en vurdering av europeiske borgeres personvern. Generaladvokatens beslutning er videre lagt til grunn i EU-domstolens nye avgjørelse om at Safe Harbour-ordningen er ugyldig. Avgjørelsen er noe nærmere omtalt i punkt 23.7.3 om juridiske forhold ved skytjenester.

Noen leverandører tilbyr krypterte løsninger for å trygge informasjonen. For å ha kontroll på kryptert informasjon må man imidlertid være oppmerksom på hvem som har tilgang til krypteringsnøklene. Man må også vurdere om krypteringen er i kraft hele tiden, særlig om den er i kraft når opplysningene skal endres, og ikke bare når de lagres. Det er sannsynlig at løsninger på dette feltet vil utvikle seg raskt fremover, samtidig som det også er et politisk press i flere land på at krypterte løsninger ikke skal være ugjennomtrengelige for offentlige myndigheter.

Fordi mange skytjenester faktureres i forhold til faktisk bruk, er det viktig å sikre at brukeren belastes for reell bruk. Hvordan dette sikres, vil variere i de ulike systemene og kan være vanskelig for kunden å overskue og kontrollere.

Avhengig av det tekniske oppsettet hos den enkelte leverandøren og den enkelte skytjenesten, kan skytjenester være sårbare for nedetid og skifte av leverandør. Å få sine data ut av systemet og inn i et annet system hvis man ønsker å bytte tjenesteleverandør, kan være utfordrende. Det kan også være utfordringer knyttet til at signaler blir forsinket dersom det er lange fysiske strekk mellom brukere og datasentre og datasentre imellom. Enkelte skybrukere har opplevd begrensninger i båndbredden, og det gjenstår å se om båndbredden er tilstrekkelig når flere ting og objekter blir koblet til Internett (tingenes Internett) og disse kommuniserer med hverandre. Dersom mange brukere velger samme leverandør, kan driftsforstyrrelser ramme mange.

Mørketallsundersøkelsen 2014 viser at norske virksomheter har høy grad av tillit til skyleverandørene og leverandørenes evne til å beskytte data, men sikkerhetsbevisstheten er relativt lav.

De ulike typene skytjenester gir brukeren ulik grad av kontroll og teknisk innsikt i arkitektur og konfigurasjon av systemene vedkommende bruker (se figur 23.1).

Figur 23.1 Kontroll delt mellom virksomhet og leverandør i ulike driftsmodeller.

Figur 23.1 Kontroll delt mellom virksomhet og leverandør i ulike driftsmodeller.

Kilde: Burton Group (oversatt av NVE).

Det finnes en rekke internasjonale standarder for informasjonssikkerhet i skytjenester, og disse videreutvikles fortløpende. Større leverandører er ofte sertifisert i henhold til disse. Slik sertifisering erstatter ikke nasjonalt lovverk. Ofte benyttes tredjepartsrevisjoner som dokumentasjon på at leverandøren har tilstrekkelig og adekvat sikkerhet.149 Slike revisjoner utføres normalt i henhold til en standard og ikke etter et nasjonalt lovverk, og det kan være forskjeller i reelt innhold mellom standarder og lovverk.

23.7.3 Juridiske forhold ved skytjenester

23.7.3.1 Utgangspunkt

For en mer detaljert gjennomgang av juridiske utfordringer ved bruk av nettskyløsninger viser vi til en rapport fra Kommunesektorens organisasjon (heretter KS), Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor – en mulighetsstudie,150 og Kommunal- og moderniseringsdepartementets rapport fra en interdepartemental arbeidsgruppe som har vurdert hindringer for bruk av skytjenester i det norske regelverket. I tillegg til rettslige utgangspunkt baserer rapporten fra KS sine anbefalinger på en spørreundersøkelse blant mange kommuner og flere dybdeintervjuer av både brukere og leverandører av skytjenester.

Når personopplysninger skal legges ut i en skytjeneste, er det rettslige utgangspunktet at det er den som er behandlingsansvarlig for personopplysningene, som er ansvarlig for hvordan opplysningene behandles. Dette gjelder også når det brukes en skytjenesteleverandør som utfører en del av databehandlingen. Her vil vi legge til at definisjonen av hva som er en personopplysning, er så vid – se personopplysningsloven § 2 – at dette gjelder svært mange data. For eksempel omfatter det alt fra de fleste IP-numre til datalogger som viser enkeltpersoners bruk av ulike datamaskiner. Dette rettslige utgangspunktet kan være en utfordring for de behandlingsansvarlige, da det å kunne vurdere og ta stilling til om tjenesteleverandørens sikkerhetstiltak er gode nok, forutsetter spesialisert datateknologisk kompetanse.

Det er i tillegg flere regelverk som får anvendelse (ofte samtidig). Her nevnes forvaltningsloven, lov om offentlige anskaffelser og GPA-avtalen, personopplysningsloven, sikkerhetsloven, bokføringsloven og arkivloven. De største juridiske utfordringene er knyttet til arkivloven, bokføringsloven og personopplysningsloven. Under angir vi kort hovedreglene etter arkivloven og bokføringsloven, mens personopplysningslovens bestemmelser tas opp i neste avsnitt.

I arkivloven (LOV-1992–12–04–126) § 9 bokstav b er utgangspunktet at offentlig arkivmateriale ikke kan føres ut av landet uten etter særskilt samtykke fra Riksarkivaren. Så langt har Riksarkivaren ikke gitt samtykke til slik lagring, og arkivaren viser blant annet til manglende mulighet til å foreta revisjon. Dette får stor betydning for muligheten til å benytte skytjenester for arkivverdig materiale. Det kan likevel stilles et overordnet spørsmål ved om denne bestemmelsen, som ble til for over 20 år siden, i dag tar hensyn til en moderne teknologisk utvikling og nye behov. I KMDs rapport om skytjenester angis i punkt 7.1 at lovgiveren må se på endringer i arkivloven, og i punkt 7.3 heter det at såkalte tredjepartsrevisjoner kan være en mulig løsning på hvordan man kan utføre kontroll med systemene. Her nevnes at Datatilsynet har godtatt tredjepartskontroll med lagringsfasiliteter som vitnemål om at sikkerheten i mange tilfeller er god nok. KMDs interdepartementale arbeidsgruppe trekker også frem at det bør tas initiativ til å harmonisere tilsynspraksis når det gjelder data lagret i skytjenester.

I henhold til bokføringsloven § 13 annet ledd skal som hovedregel regnskapsmaterialet oppbevares i Norge. Dette begrenser muligheten til å bruke skytjenester der leverandørene ikke har servere plassert i Norge. Det finnes imidlertid enkelte unntak: Bokføringsmateriale kan oppbevares i Danmark, Sverige, Finland og Sverige samt i andre land etter dispensasjon fra Skattedirektoratet. Til tross for unntakene vil bokføringsloven ofte være til hinder for bruk av enkelte typer skytjenester. Noe av grunnen til det er at de store leverandørene ofte ikke tilbyr mulighet for å oppbevare opplysningene i EØS-landene som er nevnt ovenfor, men på servere andre steder i verden. I tillegg er Skattedirektoratet restriktive med å gi dispensasjon. KMDs interdepartementale arbeidsgruppe trekker frem at det bør tas initiativ for å utvide antall land der man tillater lagring av bokføringsdata.

23.7.3.2 Særlig om skytjenester i og utenfor EU/EØS-området i henhold til personvernregelverket

Mange skytjenester leveres av store internasjonale aktører, og de legger vekt på å ha et nettverk som er tilgjengelig over hele verden. Som nevnt er det vanlig at den lagrede informasjonen flyttes rundt i leverandørens nett. Dersom det ikke foreligger geografiske begrensninger i utkontrakteringsavtalen, vil slik flytting kunne skje over landegrenser og på tvers av kontinenter. Det er også vanlig at leverandørens servicepersonale som kan aksessere opplysningene, er lokalisert i mange land. Da vil data, ofte personopplysninger, overføres over landegrenser. I personopplysningloven er det detaljerte regler for overføring av personopplysninger over landegrensene. I denne sammenhengen må man huske at det er den behandlingsansvarlige (i Norge) som er ansvarlig for forvaltningen av opplysningene, selv om en tjenesteleverandør (databehandler) velger sikkerhetstiltak og hvor dataene fysisk skal oppbevares.

I personopplysningsloven § 29 heter det:

«Personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling.»

Alle land innenfor EØS/EU anses som følge av dette å ha et tilstrekkelig beskyttelsesnivå for behandling av personopplysninger. I den grad en norsk behandlingsansvarlig virksomhet overfører personopplysninger til for eksempel en engelsk databehandler/leverandør av skytjenester, behøves derfor ikke et særskilt hjemmelsgrunnlag for selve overføringen. Det er tilstrekkelig at behandlingen reguleres av en tilfredsstillende databehandleravtale, eller at klausuler om databehandling tas inn i tjenesteavtalen. Dette gjelder på samme måte som når en norsk leverandør av skytjenester skal behandle personopplysninger på vegne av den behandlingsansvarlige.

Et spesielt viktig punkt i databehandleravtaler om skytjenester er reguleringen av hvordan eventuelle underleverandører skal benyttes. Leverandører av skytjenester vil som nevnt i visse tilfeller ønske å benytte flere lokasjoner. Ofte vil disse lokasjonene tilhøre underleverandører. Når slike underleverandører har egne organisasjonsnumre, er de å anse som selvstendige underleverandører selv om de tilhører samme konsern som tjenestetilbyderen.

Det vil derfor kunne oppstå tilfeller der en databehandler innenfor EU/EØS benytter seg av underleverandører (underdatabehandlere) både innenfor og utenfor EU/EØS. Når opplysningene er tilgjengelige for en leverandør eller underleverandør utenfor EU/EØS, må situasjonen håndteres i henhold til reglene om overføring av personopplysninger til land utenfor EU/EØS.

Europakommisjonen mener at nærmere bestemte land utenfor EU/EØS oppfyller kravene til å sikre forsvarlig behandling av personopplysningene. For disse landene gjelder i utgangspunktet dermed de samme reglene som for overføring innenfor EU/EØS. Det samme gjaldt, frem til EU-domstolens avgjørelse som er omtalt nedenfor, ved overføring til amerikanske bedrifter som er tilsluttet Safe Harbour-avtalen.

Safe Harbour-avtalen er en egen avtale mellom EU og USA fra 2000 som utelukkende gjelder overføring av personopplysninger fra EU/EØS-området til amerikanske bedrifter. Det er en selvsertifiseringsløsning der amerikanske bedrifter erklærer at de oppfyller en rekke personvernkrav som er angitt i Safe Harbour-avtalen. Når denne NOU-en skrives, er det nye forhandlinger mellom EU og USA om innholdet og forvaltningen av Safe Harbour fordi en intern undersøkelse i USA avdekket store mangler i forvaltningen av personopplysninger hos mange Safe Harbour-bedrifter.

Samtidig har som nevnt EU-domstolen kommet med en avgjørelse som fastslår at Safe Harbour-avtalen er ugyldig fordi europeiske borgeres personvernrettigheter ikke er godt nok ivaretatt i USA. Bakgrunnen for beslutningen er Snowdens avsløringer om NSAs omfattende overvåking, som domstolen mener er i strid med europeiske personvernrettigheter og EMK. Avgjørelsen legger også vekt på at europeiske borgere ikke har noen rettslig mulighet til å gripe inn eller bestride NSAs innhenting av informasjon. Avgjørelsen er svært prinsipiell og har skapt store personverndebatter både i EU og i USA. Dommen er samtidig utfordrende fordi dens hovedpoeng om at etterretningens overvåking av informasjon kan true personvernet, medfører at det blir stilt spørsmål ved om selve grunnlaget for internasjonal flyt av personopplysninger er godt nok. Dette har store potensielle konsekvenser for de næringslivsinteressene som en slik flyt er ment å ivareta. Som følge av dommen reises det i personvernmiljøer også spørsmål om USA står i en særstilling når det gjelder de underliggende spørsmålene om etterretningers avlytting av informasjon, eller om tilsvarende spørsmål gjør seg gjeldende også for andre nasjoner. Denne NOU-en går ikke nærmere inn på konsekvensene av dommen, da de foreløpig ikke er avklart.

Et annet og beslektet spørsmål, uavhengig av hvor serveren står rent geografisk, er: «Hvem eier selskapet som eier serveren?» Noen lands myndigheter stiller krav til selskaper i sitt eget land når det gjelder retten til å få tilgang til data i selskapets systemer. For amerikanske myndigheters krav om innsyn i data som lagres hos amerikanske selskaper utenfor USA, viser vi til punkt 23.6.3 «Tillit bør være en forutsetning for digitaliseringen».

For bruk av skytjenester som lagrer og behandler informasjon i land utenfor EU/EØS-området, og som ikke er etablert i de landene Europakommisjonen har godkjent, eller bruker underleverandører fra godkjente land, gjelder egne regler. Hovedtrekkene i disse er som beskrevet under.

Personopplysningsloven § 30 første ledd angir en rekke mulige grunnlag for slik overføring, for eksempel at den registrerte samtykker i overføringen. Det å benytte samtykke som grunnlag er imidlertid ikke særlig hensiktsmessig verken for den behandlingsansvarlige eller for databehandleren, ettersom samtykket kan trekkes tilbake når som helst. I praksis er det derfor ofte unntaket i personopplysningsloven § 30 annet ledd om at Datatilsynet kan tillate overføring til tredjeland dersom det gis «tilstrekkelige garantier for vern av den registrertes rettigheter», som benyttes som hjemmel. Dersom man benytter en av EUs standardkontrakter som grunnlag for overføringen til en databehandler i tredjeland, er det tilstrekkelig å varsle Datatilsynet om overføringen ved å sende inn en kopi av en signert standardavtale.151

En utfordring med standardvilkårene er at de ikke kan benyttes direkte i situasjoner der personopplysninger skal overføres fra en EU/EØS-basert behandlingsansvarlig til en EU/EØS-basert databehandler og derfra til en underdatabehandler i et tredjeland. Denne begrensningen går frem av vedtaket som standardvilkårene bygger på, samt av selve standardvilkårene. I en situasjon som nevnt over identifiserer Artikkel 29-gruppen følgende alternative fremgangsmåter:152

  1. Det inngås direkte kontrakt mellom den behandlingsansvarlige i EU/EØS og underdatabehandleren i tredjelandet.

  2. Den behandlingsansvarlige gir databehandleren i EU/EØS et klart mandat til å bruke EUs standardvilkår på vegne av den behandlingsansvarlige og i den behandlingsansvarliges navn.

  3. Det inngås «ad hoc-kontrakter» (det vil si ikke-standardvilkår som ivaretar prinsippene i standardvilkårene).

Ved grenseoverskridende bruk av databehandler(e) kreves altså en grundig tilnærming for å kunne opprette et juridisk dekkende avtaleverk etter europeiske personvernregler. En av forutsetningene for å kunne gjøre dette er åpenhet fra databehandlerens side når det gjelder hvilke underleverandører (underdatabehandlere) som benyttes i forbindelse med leveransen, hvor disse befinner seg, og hvilken rolle de har i forbindelse med databehandlingen. EU arbeider nå med et nytt regelverk for personvern, og det er i skrivende stund ikke kjent hvordan detaljene i dette vil bli, men det er etter det utvalget er kjent med, grunn til å tro at hovedprinsippene for overføring av personopplysninger til utlandet vil forbli omtrent som de er i dag, særlig for overføring av personopplysninger utenfor EU/EØS.

23.7.3.3 Særlig om sikkerhetsgradert informasjon

Dersom virksomheten behandler informasjon som er underlagt sikkerhetslovens bestemmelser, er det flere forhold som kan begrense bruken av skytjenester. Sikkerhetsgradert informasjon er informasjon som skal merkes med BEGRENSET, KONFIDENSIELT, HEMMELIG eller STRENGT HEMMELIG i henhold til sikkerhetsloven §§ 3 og 11. Hvis en løsning for skytjenester vil involvere overføring av sikkerhetsgradert informasjon og å gi leverandøren tilgang til slik informasjon, kommer sikkerhetsloven med forskrifter til anvendelse. Rent juridisk vil det være vanskelig å benytte internasjonale skytjenester for denne typen informasjon fordi det som hovedregel forutsetter at det involverte personalet kan sikkerhetsklareres i Norge.153 Videre skal virksomheter som behandler sikkerhetsgradert informasjon elektronisk, ha sikkerhetsgodkjente informasjonssystemer for håndtering av denne typen informasjon.154155

23.7.4 Observasjoner og funn

Utvalget mener at ressurssterke tilbydere av skytjenester i mange tilfeller kan tilby en bedre teknologisk sikkerhet enn mange mindre virksomheter kan klare selv. Bakgrunnen for dette er at ressurssterke tilbydere av skytjenester har tilgang på spesialisert IKT-sikkerhetskompetanse som kan sørge for adekvate sikringstiltak. Imidlertid er utbudet av leverandører og tjenester svært uensartet, og man kan derfor ikke si at dette gjelder generelt uten å ha foretatt en vurdering av både den aktuelle tjenesten og den aktuelle leverandøren. Viktige momenter er følgende:

  • Skytjenester kan ikke omhandles under ett. Den enkelte skytjeneste må vurderes konkret ut fra den aktuelle tjenesten og den aktuelle leverandøren.

  • Sikkerheten må vurderes i forhold til ulike aspekter og risikoer, for eksempel vil tilgjengelighet og rutiner for sikkerhetskopiering ofte være svært gode ved skytjenester, samtidig som skytjenester og transport på offentlige nett kan medføre en større risiko for lekkasjer og tapping enn ved lokal lagring.

  • Det kan være vanskelig for den jevne brukeren av slike tjenester å foreta tilstrekkelige vurderinger. Mange vil ikke ha nødvendig teknisk kompetanse til å foreta slike vurderinger, og for internasjonale skytjenester med lokasjoner og tjenester i andre land kan det være praktisk vanskelig å gjennomføre en konkret risikovurdering.

Det er en utfordring i det digitale samfunnet at informasjon og data flyter så fritt mellom ulike land med tilhørende ulike rettslige rammer for hvordan informasjon og data skal håndteres.156 Mens man før den internasjonale digitale tidsalder kunne anta at informasjon og data som ble brukt i Norge, ble lagret i Norge og håndtert i henhold til norske rettsregler, er dette ikke alltid lenger tilfellet. Det er ikke lett for brukerne av informasjon eller for dem som er registrert, å oppfatte hvor informasjonen er lagret.

For brukere av skytjenester er det ofte en utfordring å sørge for at avtalen med leverandøren er i samsvar med norsk lovgivning, slik at gjeldende krav i norsk lovgivning til behandling av personopplysninger og sikkerhet til enhver tid kan oppfylles. I KS-rapporten pekes det på at noen brukere opplever at sterke skytjenesteleverandører bruker sin markedsposisjon og krever sine standardvilkår lagt til grunn uten at det gis noe realistisk rom for forhandlinger eller endringer. Også regjeringens interdepartementale gruppe peker på at standardkontraktene er en utfordring for bruk av skytjenester. Videre må det tas hensyn til at eierstrukturen i private selskaper er utsatt for endringer, typisk gjennom oppkjøp og salg, som kundene har liten mulighet til å påvirke. Et selskap kan få nye eiere med en annen nasjonalitet – med de komplikasjoner det medfører. Konsekvenser av dette er følgende:

  • Brukere av skytjenester må vurdere om opplysningene de ønsker å legge i skyen, er sårbare dersom de kommer utenfor norsk jurisdiksjon, og veie følgene av dette opp mot fordelene ved tjenesten.

  • Mange av de kontraktsvilkårene som i dag tilbys for skytjenester, er kompliserte, og det kan være vanskelig å finne ut i hvilke land dataene faktisk vil bli lagret og behandlet. Det er avgjørende at dette kartlegges. I en slik kartlegging må det ikke bare tas hensyn til lokasjon for hovedlagring, men også til hvor backup lagres, hvor service foretas fra, og i hvilke land underleverandører er plassert fysisk. Det bør foretas landrisikovurderinger (vurdering av et lands politiske stabilitet og korrupsjonsindeks) for å avgjøre om behandling i det enkelte land er ønskelig.

  • Enkelte typer materiale bør oppbevares innenfor norsk territorium og jurisdiksjon, særlig gjelder dette gradert informasjon.

  • Hvorvidt en bedrift eller virksomhet bør benytte skytjenester, avhenger, i tillegg til en vurdering av skytjenesteleverandørens kvaliteter, av hvilken informasjon man ønsker å verne. Dersom tilgjengelighet til opplysningene er det viktigste, vil skytjenester ofte være hensiktsmessig. Hvis absolutt konfidensialitet er det viktigste, kan konklusjonen bli motsatt. Det siste kan være aktuelt i tilfeller der industrispionasje og lekkasjer kan få store økonomiske konsekvenser.

  • Det vil antagelig ofte være slik at en bedrift eller virksomhet vil kunne legge noe av sin informasjon ut i skyen, mens annen informasjon beholdes lokalt/internt. Det kan finnes opplysningstyper som av konkurransehensyn eller sensitivitetshensyn ikke bør legges i en skytjeneste, selv om det er lovlig å legge dem der.

23.7.5 Vurderinger og tiltak

Utvalget mener at regjeringens påbegynte arbeid med en gjennomgang av regelverket som omfatter skytjenester og utkontraktering for å fjerne unødige hindringer, rydde opp i lovtekniske uklarheter og legge til rette for sikre løsninger, er viktig for å ta i bruk ny teknologi på en forsvarlig og trygg måte.

Når det gjelder arbeidet med å se på hvilken informasjon som skal tillates lagret hvor, særlig vedrørende arkivlovens og bokføringslovens bestemmelser, mener utvalget at det finnes tre alternative kategorier regjeringen må ta stilling til: 1) informasjon som kun bør lagres i Norge, 2) informasjon som kan lagres i utlandet, men som må kunne flyttes tilbake til Norge ved særlige behov og på bestemte vilkår, og 3) informasjon som kan lagres i utlandet uten vilkår. Antagelig er omfanget av informasjon i kategori 2 størst. Hvilken informasjon dette er i praksis, vil sektorene selv være best i stand til å vurdere.

Utvalget støtter anbefalingen fra KMDs interdepartementale gruppe om at det tas initiativ til å harmonisere tilsynspraksis når det gjelder data lagret i skytjenester, så langt det er mulig. Det bør gjennomføres en felles utredning på tvers av sektorene, slik at spørsmålene får en overordnet behandling og det kan etableres en felles praksis – dette særlig av hensyn til virksomheter som forholder seg til flere ulike tilsynsorganer. Gjennomgangen bør omfatte praktiseringen av og behovet for stedlig tilsyn hos kontrollobjektene, og en vurdering av om tilsynenes behov kan løses på andre måter.

KMDs interdepartementale gruppe anbefaler at man ser nærmere på hvordan tredjepartsrevisjoner157 kan benyttes for å kvalitetssikre skytjenester, og at det gjennomføres en felles utredning av dette.158Lysneutvalget stiller seg bak behovet for en slik redegjørelse, og mener at den ikke bare bør være interdepartemental, men nasjonal, og omfatte behovet i både offentlig og privat sektor. Dette arbeidet må i tillegg gjøres i en internasjonal kontekst, da Norge antagelig vil kunne forhandle frem bedre løsninger i samarbeid med for eksempel EU eller standardiseringsorganisasjoner. Det er viktig at tredjepartsrevisjoner av serverparker er troverdige, og man bør blant annet se nærmere på hvordan slike revisjoner bestilles, hvem som utfører dem, etter hvilke krav revisjonene utføres, og hvordan de honoreres.

Særmerknad fra utvalgsmedlem Kristine Beitland

Utvalgsmedlem Kristine Beitland vil bemerke at det er viktig at Justis- og beredskapsdepartementet i politikkutformingen knyttet til digitale sårbarheter og skytjenester, ser muligheten teknologien gir for å øke sikkerheten, og ikke utelukkende fokuserer på juridiske hindringer for bruk av skytjenester. Beitland understreker behovet for at Justis- og beredskapsdepartementet i samråd med Nærings- og fiskeridepartementet og Kommunal- og moderniseringsdepartementet, før en endelig politikk utformes, inviterer til en bredere tverrdepartemental vurdering av næringsutvikling og økt produktivitet ved utnyttelsen av teknologiens muligheter som begrenser sårbarheter og øker sikkerheten både for virksomhetene og nasjonalt. Målet må være å legge til rette for økt konkurransekraft gjennom sikker og forutsigbar bruk av skytjenester innenfor rammene av norsk lov.

23.8 Regulering av kryptografi

Politi og etterretning har legitime behov for avlytting av kommunikasjon. I økende grad gjør bruk av kryptografi tradisjonell avlytting umulig. Internasjonalt har det, både fra politi, etterretning og politikere, vært uttrykt et sterkt ønske om å gjøre noe med dette. Kryptografi er nødvendig for å beskytte kommunikasjon. Den enkelte borger, virksomheter og myndigheter er avhengige av trygg kommunikasjon.

Programvare for kryptografi er i dag lett tilgjengelig og lett å lage for programmeringskyndige. Det er svært enkelt å bygge småskalasystemer for kommunikasjon som hindrer tradisjonell avlytting. Når det ikke finnes teknologiske hindringer, vil ikke regulering eller forbud i seg selv hindre kriminelle i å bruke kryptografi.

Formålet med regulering av eller forbud mot kryptografi er derfor ikke å hindre uærlige aktører i å bruke kryptografi, men å gjøre det vanskeligere for dem å bruke vår kommunikasjonsinfrastruktur. Idéen er at om bare uærlige aktører bruker kryptografi, kan vi finne uærlige aktører ved å finne bruk av kryptografi.

Analysen avhenger av hvordan kryptografi forbys eller reguleres. Tradisjonelt har det vært tre måter å regulere kryptografi på: 1) ved å forby all kryptografi, 2) ved å forby sterk kryptografi, det vil si kryptografi som kan motstå ressurssterke aktører, 3) å påby bruk av kryptografi med bakdører, det vil si at myndighetene skal kunne dekryptere ved behov.

  • 1) Forbud mot kryptografi har vært forsøkt. Det er svært negativt for ærlige brukere, siden de ikke lenger kan kommunisere konfidensielt og alt kan avlyttes.

    Ideen bak et forbud er at myndighetene overvåker offentlige nettverk for å lete etter krypterte data. Det typiske kjennetegnet ved chiffertekst er at den ser svært tilfeldig ut. Steganografi er navnet på den underdisiplinen av kryptografi som dreier seg om å skjule kommunikasjon. Steganografi er ikke er så lett som man kanskje skulle tro, men det er rimelig å tro at man kan få etablert skjulte kommunikasjonskanaler, dog med liten båndbredde.

  • 2) Svak kryptografi vil være svært negativt for ærlige brukere, siden hele poenget med svak kryptografi er at den skal kunne brytes. Dermed kan ikke svak kryptografi sikre konfidensiell kommunikasjon.

    Det var lenge forbudt å eksportere sterk kryptografi fra USA. Forbudet gjorde livet vanskeligere for amerikansk IKT-industri og resulterte i dårligere sikkerhet i IKT-systemer både innenfor og utenfor USA. Det er grunn til å tro at dette forbudet bidro til etableringen av kryptoindustri utenfor USA.

    Et forbud mot sterk kryptografi vil være svært vanskelig å håndheve, fordi den eneste måten å avgjøre om det er brukt sterk eller svak kryptografi på, er å forsøke å dekryptere, og uærlige brukere kan dobbeltkryptere og gjemme sterk kryptografi inni svak kryptografi. Dermed kan uærlige aktører mer eller mindre fritt bruke sterk kryptografi.

  • 3) Kryptografi med bakdører har vært forsøkt i USA. Det såkalte Clipper-systemet i USA hadde en bakdør som skulle la myndighetene bryte kryptografien ved behov. Systemet virket aldri etter hensikten fordi det kunne saboteres, slik at myndigheten ikke kunne dekryptere.

    Kryptografi med bakdør er svært komplisert å lage og kostbart å bruke (nettverket må hele tiden sjekke at informasjonen som formidles, kan dekrypteres). Uærlige aktører kan fortsatt dobbeltkryptere, først med kryptografi uten bakdør, deretter med kryptografi med bakdør.

    En bakdør gjør det prinsipielt umulig å bruke en del viktige kryptoteknikker, noe som vil medføre alvorlig sårbarhet i IKT-infrastrukturen vår. Misbruk av bakdøren er en annen alvorlig sårbarhet. I tillegg er spørsmålet hvilke myndigheter som skal kunne bruke bakdøren. Er det norske myndigheter? Er det allierte staters myndigheter? Er det andre staters myndigheter?

    Det er altså svært vanskelig – kanskje umulig – å lage et system som samtidig ivaretar legitime behov for beskyttelse og avlytting. Det er rimelig å tro at begrensninger på lovlig bruk av kryptografi vil ramme norske borgere, virksomheter og myndigheter. Slike begrensninger vil ikke vesentlig hindre uærlige aktørers bruk av kryptografi, og de vil dermed heller ikke løse politiets og etterretningstjenestenes problem.

Utvalget vurderer alle disse tre alternativene som uakseptable. Det er dermed utvalgets oppfatning at

  1. bruk av kryptografi ikke skal reguleres eller forbys i Norge

  2. norske myndigheter bør arbeide aktivt mot regulering eller forbud internasjonalt

  3. nye etterforskningsmetoder må utvikles for å sikre effektivt politi- og etterretningsarbeid i en verden der mer og mer krypteres.

Utvalget mener i likhet med NSM159 at alle offentlige nettsteder bør kommunisere kryptert med innbyggerne. Utvalget mener at private nettsteder også bør kommunisere kryptert med brukerne sine.

Fotnoter

1.

Som for eksempel matematikk og logikk, forståelse for kretser, mikroprosessorer, operativsystemer, programmering, databaser og nettverksprotokoller. Inngår i fagretninger som teleteknikk, datateknikk og informatikk (computer science).

2.

NOU 2000: 24 Et sårbart samfunn – Utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet.

3.

NOU 2006: 6 Når sikkerheten er viktigst – Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner.

4.

Kommunal- og moderniseringsdepartementet (2013): Nasjonal strategi – IKT-forsking og -utvikling. Strategi 2013-2022.

5.

NOU 2013: 2 Hindre for digital verdiskaping.

6.

Med teknisk forståelse menes å få innsyn i de bakenforliggende mekanismene for hvordan datamaskiner fungerer og snakker sammen, og hva Internett er.

7.

Senter for IKT i utdanningen (2012): Monitor 2011 – Skolens digitale tilstand. Det vises til at det er store mangler i elevers og læreres operative digitale ferdigheter. Eksempler er bruk av regneark, kunnskap om opphavsrettighet og bruk av Wikipedia som kilde. Undersøkelsen ser ikke på situasjonen knyttet til forståelse av hvordan «datamaskiner fungerer».

8.

NOU 2015: 8 Fremtidens skole – Fornyelse av fag og kompetanser.

9.

Verktøykompetanse handler om praktisk bruk av universelle digitale enheter og systemer som bruk av datamaskin og etablerte programmer for behandling av tekst, tall, presentasjoner og bilder. Sikkerhet er å lære å beskytte egen informasjon som ligger digitalt.

10.

Justis- og beredskapsdepartementet (2015): FoU-strategi for samfunnssikkerhet 2015–2019.

11.

Forskningsrådet (2015): Årsrapport 2014.

12.

DAMVAD og Samfunnsøkonomisk analyse (2014): Dimensjonering av avansert IKT-kompetanse.

13.

Utdanningsdirektoratet (2012): Rammeverk for grunnleggende ferdigheter - Til bruk for læreplangrupper oppnevnt av Utdanningsdirektoratet.

14.

Report of the joint Informatics Europe & ACM Europe Working Group on Informatics Education (2013): Informatics education - Europe cannot afford to miss the boat.

15.

DAMVAD og Samfunnsøkonomisk analyse (2014): Dimensjonering av avansert IKT-kompetanse.

16.

Mehran Sahami og Steve Roach (2014): Computer science curricula 2013 released. Communications of the ACM, Vol. 57 No. 6, Side 5.

17.

ACM/IEEE-CS Joint Task Force on Computing Curricula (Desember 2013): Computer Science Curricula 2013 - Curriculum Guidelines for Undergraduate Degree Programs in Computer Science.

18.

NISTIR 7298 Revision 2. Glossary of Key Information Security Terms. National Institute of Standards and Technology, U.S. Department of Commerce.

19.

ISC2 (2015): Cybersecurity principles and learning outcomes for computer science and IT-related degrees. A resource for course designers and accreditors. Versjon 1.1.

20.

Research Council of Norway (2012): Research in Information and Communication Technology in Norway. An evaluation.

21.

Forskningsrådet (2015): IKTPLUSS – Plan for satsingen.

22.

NorSIS vil trolig overta redaktøransvaret for nettvett.no i løpet av 2016, støttet av en redaksjonskomite fra NSM, Nkom og andre bidragsytere. Se for øvrig omtale i kapittel 21 «Avdekke og håndtere digitale angrep».

23.

NorSIS (2015): Trusler og trender.

24.

Forbrukerrådet (2014): Tåkete vilkår i skyen. Publisert på www.forbrukerradet.no 31.01.2014.

25.

For eksempel bruk av web-baserte gratismoduler på offentlige webportaler, som kan bidra til at personlig informasjon tilkommer kommersielle aktører.

26.

Statsministerens kontor (2013): Overføring av samordningsansvaret for forebyggende IKT-sikkerhet fra Fornyings-, administrasjons- og kirkedepartementet til Justis- og beredskapsdepartementet. Kgl. res. 22.03.2013.

27.

Justis- og beredskapsdepartementet (2015): FoU-strategi for samfunnssikkerhet 2015–2019.

28.

Se punkt 19.4.3 «Høyere utdanning».

29.

The 2015 (ISC)2 Global Information Security Workforce Study.

30.

Cyberforsvaret har Forsvarets Ingeniørhøgskole, som utdanner ingeniører med lederutdanning for Forsvarets behov.

31.

Sjette utgave het «Monitor Skole 2013».

32.

NOU 2013: 2 Hindre for digital verdiskaping.

33.

St.meld. nr. 17 (2001–2002) Samfunnssikkerhet.

34.

Forsvarsdepartementet (2015): Et felles løft. Ekspertgruppen for Forsvaret av Norge.

35.

Modell for håndtering av IKT-sikkerhetshendelser – anbefalinger og retningslinjer, brev til departementene fra Justis- og beredskapsdepartementet 18.11.2014.

36.

Det eksisterer i dag nasjonale scenarioplanverk for pandemier, atomulykker og akutt forurensning.

37.

Prop. 1 S (2015–2016) Justis og beredskapsdepartementet. Rammeverket er gjort gjeldende fra juli 2015.

38.

Systemet ble sist revidert i april 2015.

39.

Finansdepartementet (FIN), Forsvarsdepartementet (FD), Utenriksdepartementet (UD) og Justis- og beredskapsdepartementet (JD).

40.

Justis- og beredskapsdepartementet (2011): Lov om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret.

41.

Kraftforsyningens distriktssjefer (KDS) er representanter for kraftforsyningen som skal sørge for godt samarbeid og samordning om sikkerhet og beredskap mellom energiselskapene. Se kapittel 13 «Energiforsyning».

42.

Støtte til Forsvarssjefens operative planverk, oppdragsbrev fra Justis- og beredskapsdepartementet til Direktoratet for samfunnssikkerhet og beredskap, 10.02.2015.

43.

FFI-Fakta (2014): Krisehåndtering i et sårbart cybersamfunn.

44.

Statens kommunikasjonspolitikk. Fastsatt av Fornyings- og administrasjonsdepartementet 16. oktober 2009.

45.

Avtale om samarbeid om lokalradiostasjonens virksomhet under kriser og katastrofer av 22.01.2007. Inngått mellom Justis- og beredskapsdepartementet, Norsk rikskringkasting, Telenor Norge AS og Norsk lokalradioforbund.

46.

Meld. St. 8 (2010–2011) Digitalisering av radiomediet.

47.

Nasjonal kommunikasjonsmyndighet (2015): Vurdering av om dekningsvilkår for avvikling av FM er oppfylt. Dekningsvurderinger for NRKs DAB-nett, de kommersielle DAB-nettene og NRK P1s stereodekning i FM-nettet.

48.

Direktoratet for samfunnssikkerhet og beredskap (2014): Nasjonalt risikobilde 2014.

49.

NOU 2012: 14 Rapport fra 22. juli-kommisjonen

50.

Direktoratet for samfunnssikkerhet og beredskap (2012): Nasjonalt risikobilde (NRB) 2012, med fordypningsdel: Kommunenes beredskap mot bortfall av elektrisk kraft.

51.

Direktoratet for samfunnssikkerhet og beredskap (2012): Nasjonalt risikobilde (NRB) 2012, med fordypningsdel: Kommunenes beredskap mot bortfall av elektrisk kraft.

52.

Direktoratet for samfunnssikkerhet og beredskap (2012): Kommuneundersøkelsen 2012.

53.

Direktoratet for samfunnssikkerhet og beredskap (2014): Kommuneundersøkelsen 2014. Status for samfunnssikkerhets- og beredskapsarbeidet i kommunene.

54.

Janne Merete Hagen og Vinh Quam Pham: Brannvesenets behov for robust informasjonsinfrastruktur for samhandling i krisesituasjoner – en forstudie. FFI-rapport 2014/01704.

55.

Blant annet KINS’ svar til Lysneutvalget og NSR (2014): Mørketallsundersøkelsen – informasjonssikkerhet, personvern, og datakriminalitet.

56.

Nasjonal kommunikasjonsmyndighet (2014): Robusthet i elektronisk kommunikasjon – veiledning og råd til kommuner. November 2014.

57.

Meld. St. 8 (2010–2011) Digitalisering av radiomediet.

58.

Finansdepartementet (FIN), Forsvarsdepartementet (FD), Utenriksdepartementet (UD) og Justis- og beredskapsdepartementet (JD).

59.

Metier (2014): KS2 (kvalitetssikring fase 2) av Ny IKT-løsning for departementene. Rapport til Finansdepartementet og Kommunal- og moderniseringsdepartementet.

60.

Direktoratet for samfunnssikkerhet og beredskap (2014): Nasjonalt risikobilde 2014.

61.

Deceglie, Antony (2012): Taliban Using Facebook to Lure Aussie Soldier, The Sunday Telegraph, September 09.2012, In: Harley, J.: Information Operations Newsletter, Vol. 13, no. 01 (September–October 2012).

62.

Kilde: FFI Fokus, Kampen om sannheten. Nr. 2 2014.

63.

Ibid.

64.

KommIT er et program i KS som skal høyne forståelsen av og kunnskapen om IKT som virkemiddel for effektivisering og kvalitetsheving i kommunal forvaltning og tjenesteproduksjon. Progammet avsluttes i år, og det er per i dag ikke besluttet videreføring.

65.

Prop. 73 S (2011–2012) Et forsvar for vår tid.

66.

Samme tilnærming som Forsvarets cyberretningslinjer 2013. Utvalget har valgt begrepet IKT-hendelser fremfor cyberhendelser.

67.

IKT-kriminalitet tilsvarer det engelske cybercrime, og benyttes ofte synonymt med datakriminalitet og Internett-relatert kriminalitet.

68.

Meld. St. 7 (2010–2011) Kampen mot organisert kriminalitet – en felles innsats.

69.

Ibid, samt Kripos (2014): Trendrapport 2015 - den organiserte kriminaliteten i Norge.

70.

Council of Europe (2001): Treaty No.185 Convention on Cybercrime. Ble underskrevet av Norge i 2001 og ratifisert i 2006.

71.

NOU 2003: 27 Lovtiltak mot datakriminalitet, fulgt opp av NOU 2007: 2 Lovtiltak mot datakriminalitet – Delutredning II, som kom med forslag til straffebestemmelser om datakriminalitet som kan tas inn i den spesielle delen i den nye straffeloven.

72.

Justis- og beredskapsdepartementet (2005): Lov om straff (straffeloven). Ikraftsettelse avventer implementasjon i politiets IKT-systemer.

73.

Noen sikkerhetsaktører benytter begrepet risikobilde om det samme produktet.

74.

Justis- og beredskapsdepartementet (2015): Justis- og beredskapsdepartementets strategi for å bekjempe IKT-kriminalitet.

75.

Forsvarsdepartementet (2011): Instruks for sjef Nasjonal sikkerhetsmyndighet.

76.

Dette er et begrep som både benyttes om en møteplass og et tiltak i Sikkerhetsfaglig råd. I denne konteksten snakker utvalget om møteplassen.

77.

Justis- og beredskapsdepartementet (2014): Modell for håndtering av IKT-sikkerhetshendelser – anbefalinger og retningslinjer, brev til departementene.

78.

I Fagmilitært råd fra 2015 er det foreslått navneendring til MilCERT.

79.

Beslutning om opprettelsen ble gitt i Meld. St. 21 (2012–2013) Terrorberedskap, som var Stortingets oppfølging av NOU 2012: 14 Rapport fra 22. juli-kommisjonen.

80.

Meld. St. 37 (2014–2015) Globale sikkerhetsutfordringer i utenrikspolitikken – Terrorisme, organisert kriminalitet, piratvirksomhet og sikkerhetsutfordringer i det digitale rom.

81.

Fornyings- og administrasjonsdepartementet, Samferdselsdepartementet, Justis- og beredskapsdepartementet og Forsvarsdepartementet (2012): Nasjonal strategi for informasjonssikkerhet.

82.

Justis- og beredskapsdepartementet (2015): Justis- og beredskapsdepartementets strategi for å bekjempe IKT-kriminalitet.

83.

DNS (Domain Name System) er navnetjenerstandarden som brukes for å oversette mellom menneskelig lesbare domenenavn og de tekniske IP-adressene som brukes i datakommunikasjon.

84.

Justis- og beredskapsdepartementet (2014): Modell for håndtering av IKT-sikkerhetshendelser – anbefalinger og retningslinjer.

85.

Slik skadevare er ofte henvist til som «drive by malware» eller «vannhullsangrep», der skadelig programvare blir plassert på populære Internett-sider og installert i bakgrunnen uten at brukeren oppdager det.

86.

Meld. St. 7 (2010–2011) Kampen mot organisert kriminalitet – en felles innsats.

87.

Politidirektoratet (2012): Politiet i det digitale samfunnet - En arbeidsgrupperapport om: elektroniske spor, IKT-kriminalitet og politiarbeid på Internett.

88.

Ibid.

89.

En IKT-etterforsker er en politifaglig eller sivil etterforsker som jobber med IKT-tekniske undersøkelser.

90.

Politidirektoratet (2012): Politiet i det digitale samfunnet - En arbeidsgrupperapport om: elektroniske spor, IKT-kriminalitet og politiarbeid på Internett.

91.

Generalløytnant Kjell Grandhagen, Sjef Etterretningstjenesten (16. mars 2015): Foredrag i Oslo Militære Samfund «Trusler og risiki for Norge i et endret sikkerhetsbilde».

92.

Graver, H. P., Harborg H. (2015): Datalagring og menneskerettighetene – Utredning til Justis- og beredskapsdepartementet og Samferdselsdepartementet.

93.

UNODC (2013): Comprehensive Studyon Cybercrime (Draft).

94.

Mutual Legal Assistance Treaty (MLAT).

95.

Dataavlesing er en samling teknikker for å skaffe seg tilgang til kommunikasjonen på et stadium før den blir gjort uleselig ved kryptering. Én måte er å koble til en passiv avlyttingsenhet mellom tastatur og maskin, eller installere spionprogramvare på den mistenktes datautstyr gjennom et datainnbrudd.

96.

Næringslivets sikkerhetsråd (2014): Mørketallsundersøkelsen 2014 – Informasjonssikkerhet, personvern og datakriminalitet. Se også tall fra Strafferegistret (2014) over antall registrerte anmeldelser.

97.

Justis- og beredskapsdepartementet (2015): Justis- og beredskapsdepartementets strategi for å bekjempe IKT-kriminalitet.

98.

Riksadvokaten (2015): Rundskriv nr. 1/2015 Mål og prioriteringer for straffesaksbehandlingen i 2015 – Politiet og statsadvokatene.

99.

NOU 2013: 9 Ett politi – rustet til å møte fremtidens utfordringer – Politianalysen.

100.

Politidirektoratet (2013–2014): Merverdiprogrammet – Politiets program for merverdi av kunnskap, ressurser og teknologi.

101.

Justis- og beredskapsdepartementet (2010): Lov om behandling av opplysninger i politiet og påtalemyndigheten (politiregisterloven).

102.

NOU 2009: 15 Skjult informasjon – åpen kontroll. Metodekontrollutvalgets evaluering av lovgivningen om politiets bruk av skjulte tvangsmidler og behandling av informasjon i straffesaker.

103.

Med rammeverk henvises det her til konsepter land som blant annet USA har etablert (National Cyber Incident Response Plan (NCIRP)).

104.

Styringsprinsipp fra myndighetene i Nederland: «The underlying fundamental principle is that the responsibilities that apply in the physical domain should also be taken in the digital domain.»

105.

Internasjonalt ofte omtalt som govCERT-funksjon.

106.

Leverandører som har møtt visse kriterier satt opp av myndighetene, som kan bistå med å rydde opp etter IKT-sikkerhetshendelser etter modell fra Storbritannia og «CIR»-sertifisering.

107.

Begrepet cybersikkerhetssenter i stedet for IKT-sikkerhetssenter blir her brukt for å være sammenlignbart med andre lands oppbygging av slike sentre, for eksempel i Nederland og Finland.

108.

Nederland avholdt tre nasjonale cybersikkerhetsøvelser i perioden 2007–2014.

109.

Justis- og beredskapsdepartementet (2015): Justis- og beredskapsdepartementets strategi for å bekjempe IKT-kriminalitet.

110.

Ibid.

111.

Politidirektoratet (2012): Organisering av økoteamene. Forankret i regjeringens handlingsplan mot økonomisk kriminalitet (2011) ble økoteamene opprettet i 2005 ved alle politidistrikter som tverrfaglige team for å behandle komplekse økonomiske straffesaker.

112.

Utvalget har mottatt utdypende beskrivelser knyttet til det etterretningsfaglige behovet fra Etterretningstjenesten.

113.

Direktoratet for forvaltning og IKT (2010): Nasjonale felleskomponenter i offentlig sektor - Forslag til hvordan nasjonale felleskomponenter bør styres, forvaltes, finansieres og utvikles.

114.

Nærings- og fiskeridepartementet (2001): Lov om elektronisk signatur (esignaturloven).

115.

Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

116.

Opplysninger og vurderinger som kan knyttes til en enkeltperson.

117.

Europaparlaments- og rådsdirektiv 1999/93/EF av 13. desember 1999 om en fellesskapsramme for elektroniske signaturer.

118.

Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC.

119.

Information Technology Infrastructure Library (ITIL).

120.

Med katastrofeløsninger menes her løsninger for redundans som kan ta over for normal drift eller brukes for gjenoppretting i tilfeller der datasenter rammes av katastrofale hendelser.

121.

Med stor geografisk redundans menes at det er mange kopier, inkludert kriseløsninger, spredt på mange geografiske lokasjoner.

122.

Se definisjon i punkt 6.5 «IKT-sikkerhet på den strategiske agendaen».

123.

Difis løsning er på sikkerhetsnivå 3, mens de private aktørenes løsninger alle er på nivå 4.

124.

Agenda Kaupang (2014): Evaluering av Difi.

125.

Nexia International (2015): Kartlegging og analyse av landskapet for offentlige datasentre i Norge 2015 - Utarbeidet for Kommunal- og moderniseringsdepartementet.

126.

Dersom det brukes OCSP (Online Certificate Status Protocol), vil OCSP-tjeneren få mye informasjon om hvem som snakker med hvem. Se også krav 5.3.6 i «Kravspesifikasjon for PKI i offentlig sektor».

127.

Electronic identification and trust services (eIDAS).

128.

Se punkt 5.8 «Elektronisk identifisering» for forklaring av innloggingsportal.

129.

DSB, NSM, Datatilsynet, Riksrevisjonen mfl.

130.

NOU 2000: 24 Et sårbart samfunn – Utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet.

131.

NOU 2006: 6 Når sikkerheten er viktigst – Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner.

132.

Statsministerens kontor (2013): Overføring av samordningsansvaret for forebyggende IKT-sikkerhet fra Fornyings-, administrasjons- og kirkedepartementet til Justis- og beredskapsdepartementet. Kgl. res. 22.03.2013.

133.

Ibid.

134.

Se punkt 10.6.1 for mer informasjon om NIS-direktivet.

135.

Jacob Kringen (2014): Bidrag til Lysneutvalget.

136.

Se http://www.regelhjelp.no.

137.

Regjeringen (2013): Tiltredelseserklæring fra regjeringen Solberg 18. oktober 2013, Sundvolden-plattformen 16.10.13.

138.

Meld. St. 23 (2012–2013) Digital agenda for Norge – IKT for vekst og verdiskaping.

139.

NOU 2015: 1 Produktivitet – grunnlag for vekst og velferd.

140.

Meld. St. 23 (2012–2013) Digital agenda for Norge – IKT for vekst og verdiskaping og Meld. St. 39 (2012–2013): Mangfold av vinnere, kap 3.8.

141.

Meld. St. 23 (2012–2013) Digital agenda for Norge – IKT for vekst og verdiskaping.

142.

Meld.St. 39 (2012–2013): Mangfold av vinnere.

143.

Meld. St. 23 (2012–2013) Digital agenda for Norge – IKT for vekst og verdiskaping.

144.

Kommunal- og moderniseringsdepartementet (2015): Handlingsplan for informasjonssikkerhet i statsforvaltningen (2015–2017) s. 11.

145.

Arbeidsgrupperapport 2015, s. 4-5 Kartlegging av hindringer i regelverk for bruk av skytjenester. Dette er et ledd i regjeringens arbeid med å utforme en norsk politikk for bruk av skytjenester forankret i Meld. St. 23 (2012–2013) Digital agenda for Norge: IKT-politikk for vekst og verdiskapning. Meldingen viser til at departementet ønsker «å legge til rette for sikker og forutsigbar bruk av slike tjenester innenfor rammene av det norske regelverket.»

146.

Peter Mell og Timothy Grace (2011): The NIST Definition of Cloud Computing. Recommendations of the National Institute of Standards and Technology. U.S. Department of Commerce, NIST Special Publication 800-145.

147.

Her gås ikke nærmere inn på problemstillinger med såkalt BYOD (Bring Your Own Device), det at ansatte benytter privat IKT-utstyr når man behandler informasjon som tilhører arbeidsgiver. BYOD reiser flere utfordringer knyttet til digital sårbarhet, men de er ikke spesifikt knyttet til utkontraktering eller skytjenester.

148.

KS-undersøkelsen viste at noen kommuner fant at skytjenester ble dyrere enn tradisjonelle løsninger.

149.

Slike tredjepartsrevisjoner skal ikke forveksles med tredjepartsbistand ved lisensrevisjoner som skal verifisere om kunde betaler riktig vederlag for en tjeneste.

150.

KS, FoU (2015): Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor – en mulighetsstudie. Utarbeidet av Advokatfirmaet Føyen Torkildsen.

151.

Dette gjelder dersom man benytter modellavtalen for overføring til databehandler. Dersom man bruker modellavtalen for overføring til en selvstendig behandlingsansvarlig i USA, må Datatilsynet godkjenne avtalen, avtalen skal da ikke bare sendes inn til tilsynet.

152.

EU (2010): Article 29 Data Protection Working Party. 00070/2010/EN WP 176.

153.

Innenfor NATO og EU er det muligheter for deling av noe gradert informasjon.

154.

KS, FoU (2015): Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor – en mulighetsstudie. Utarbeidet av Advokatfirmaet Føyen Torkildsen.

155.

Kommunal- og moderniseringsdepartementet (2015): Kartlegging av hindringer i regelverk for bruk av skytjenester. Interdepartemental arbeidsgruppe.

156.

Her nevnes at Russland nylig i 2015 har iverksatt en lov som innebærer at internettselskaper må flytte data om russiske borgere til servere plassert på russisk jord.

157.

Med tredjepartsrevisjoner menes en sikkerhetsmessig gjennomgang av lokasjon og oppsett som benyttes av skytjenesteleverandøren, ikke lisensrevisjon av tredjepart.

158.

Se punkt 23.7. «Juridiske forhold ved skytjenester».

159.

Nasjonal sikkerhetsmyndighet (2015): Sikkerhetsfaglig råd.

Til forsiden