NOU 2015: 13

Digital sårbarhet – sikkert samfunn — Beskytte enkeltmennesker og samfunn i en digitalisert verden

Til innholdsfortegnelse

Del 5
Økonomiske og administrative konsekvenser

24 Økonomiske og administrative konsekvenser

Tidligere i rapporten er det vist til et estimat der Norge årlig taper cirka 20 milliarder kroner på grunn av IKT-kriminalitet alene. Imidlertid er det vanskelig å estimere de potensielle økonomiske tapene knyttet til digitale sårbarheter. Dette problemet har blitt adressert i et arbeid i regi av World Economic Forum, der det påpekes at mangel på felles aksepterte metoder for å kvantifisere cybertrusler er et vesentlig hinder for å ta informerte strategiske beslutninger knyttet til optimalt investeringsnivå.1 En hovedgrunn til det er at de teknologiske endringene har kommet raskt på oss. Det er derfor stor mangel på validerte metoder for å estimere det økonomiske tapspotensialet som ligger i de digitale sårbarhetene, og dermed også utfordrende å skulle måle konsekvenser av svikt i IKT sett opp mot effekten av tiltak. Utvalget omtaler denne utfordringen som del av forslaget til en IKT-kompetansestrategi (se kapittel 19 «Kompetanse»).

Utvalget peker på at en rekke sektorvise tilsyn må øke sin kapasitet og kompetanse, gitt blant annet den teknologiske utviklingen i sektorenes verdikjeder. Utvalget har gjort seg den overordnede betraktning at digitaliseringen av samfunnet har ført til at tilsynsoppgavene har endret seg, og at det kreves stor teknologisk innsikt for å forstå kompleksiteten innenfor ansvarsområdet til hvert tilsyn. Det vil være forskjeller mellom sektorene, og utvalget har ikke analysert situasjonen i hvert enkelt tilsyn i detalj. Det enkelte departement må i samarbeid med tilsynene vurdere om en styrking av IKT-sikkerheten skal foregå ved omdisponering av ressurser, eller om det bør tilføres ekstra midler for å håndtere denne utviklingen.

Sektormyndighetene har et ansvar for å ivareta IKT-sikkerheten i hver enkelt sektor. Gitt de gjensidige avhengighetene mellom samfunnsfunksjonene og behovet for å legge til rette for samvirke på tvers av sektorer mener utvalget at Justis- og beredskapsdepartementet må styrkes i sin samordningsrolle. Samordningsrollen er utfordrende, og utvalget mener at Justis- og beredskapsdepartementet må ha tilstrekkelige virkemidler til å utøve rollen. En styrking innebærer at departementet blir tilført ressurser i form av personell for å kunne ha en effektiv og hensiktsmessig gjennomføringsevne på IKT-sikkerhetsområdet. Utvalget har ikke gjennomført en detaljert analyse av dette ressursbehovet, og anbefaler derfor at Justis- og beredskapsdepartementet utreder behovet videre. Utvalget bemerker spesielt at dette tiltaket har nær sammenheng med tiltakene knyttet til en klargjøring av Justis- og beredskapsdepartementets rolle og styrking av virkemidlene.

Utvalget anbefaler at det etableres en overordnet nasjonal kompetansestrategi innen IKT-sikkerhet for å sikre en langsiktig oppbygging av IKT-sikkerhetskompetanse. Utvalget har videre spesifisert hvilke prioriterte områder en kompetansestrategi bør inneholde. Mange av disse prioriteringene kan gjennomføres innenfor eksisterende rammer. Enkelte prioriteringer vil imidlertid kunne medføre behov for økte ressurser, blant annet i form av en økning av Justis- og beredskapsdepartementets FoU-midler og oppbygging av mastergradstilbud på de stedene som har mange IKT-studenter. De økonomiske og administrative konsekvensene av oppfølgingen av en nasjonal kompetansestrategi må utredes i samarbeid med de berørte sektormyndighetene.

Norge ligger i verdenstoppen når det gjelder bruk av digital teknologi og Internett. Dette krever en robust ekominfrastruktur. Utvalget foreslår at det etableres tiltak som reduserer kritikaliteten av Telenors kjernenett. Tiltaket er estimert til om lag 575 millioner kroner over ti år.2 I tillegg vil det påløpe kostnader knyttet til leie av linjekapasitet. Her er det imidlertid usikkerhet knyttet til estimatet – både når det gjelder antall kilometer som trengs, og pris per kilometer. Samlet samfunnsmessig tap ved et bortfall av kjernenettets funksjonalitet er estimert til 2 milliarder kroner per dag, i tillegg til store, alvorlige konsekvenser for liv og helse. Utvalget mener konsekvensene av et utfall av ekomnettet er så store at risikoen ved ikke å etablere tiltak er uakseptabel.

Innenfor norsk romvirksomhet er sårbarheter i et verdikjedeperspektiv en sentral problemstilling. De fleste samfunnsområder er i stor grad avhengige av satellittbaserte tjenester. I dag har vi ingen nasjonal overordnet myndighet som har ansvar for å forvalte dette, og utvalget anbefaler at det tydeliggjøres et myndighetsansvar for norsk romvirksomhet. Utvalget anbefaler at det opprettes en mindre enhet under enten Nkom eller DSB, bestående av om lag fem stillinger. Fem stillinger er estimert til om lag 5,5 millioner kroner per år.

Utvalget anbefaler samlokalisering av responsmiljøer for å forbedre den nasjonale operative evnen til å avdekke og håndtere digitale angrep. Etter utvalgets vurdering må det legges bygningsmessig til rette for at de som ønsker samlokalisering, kan inngå i ett felles bygg. Bygget skal være egnet for stor grad av liaisonering for dem som av ulike årsaker ikke kan delta i eller ikke ønsker en permanent samlokalisering. De økonomiske og administrative konsekvensene må konkretiseres nærmere i arbeidet med å legge til rette for samlokalisering.

Utvalget støtter Justis- og beredskapsdepartementets forslag om å opprette et nytt nasjonalt senter for å forebygge og etterforske kompleks og grenseoverskridende IKT-kriminalitet. Utvalget støtter videre, i tråd med Politidirektoratet, at politidistriktenes fagmiljøer blir betraktelig styrket. Utvalget har ikke gjort egne beregninger, men er kjent med at Justis- og beredskapsdepartementet arbeider med løsninger og kostnadsestimater for å opprette et senter og styrke politidistriktenes fagmiljøer.

Utvalget er av den oppfatning at IKT-situasjonen i politiet er kritisk, og at Justis- og beredskapsdepartementet bør iverksette tiltak for å sikre politiet et teknologiløft. Utvalget har ikke vurdert om et teknologiløft skal gjennomføres ved omdisponering av ressurser, eller om det bør gis ekstra midler til dette.

Utvalget ser behov for en styrket nasjonal evne til å detektere hendelser i det digitale rom. Dette vil kreve både engangsinvesteringer og midler til videreutvikling, blant annet for å videreutvikle et sektortilpasset varslingssystem for digital infrastruktur (VDI). Utvalget har ikke gjort egne beregninger, men er kjent med at NSM arbeider med kostnadsestimater for videreutvikling av VDI som en oppfølging av forslaget i Sikkerhetsfaglig råd.

Enkelte av utvalgets anbefalinger krever nærmere utredning og konsekvensvurderinger. Eksempler på dette er behovet for å utrede en nasjonal cyberreserve for digital hendelseshåndtering og å utvikle felles sikringstiltak mot sofistikerte angripere.

Utvalget er bedt om å komme med minst ett forslag basert på uendret ressursbruk. Utvalget anbefaler en rekke tiltak for å redusere den digitale sårbarheten og være bedre rustet til å møte den antatte teknologiske utviklingen fremover. Mange av tiltakene som foreslås, handler om økt samarbeid på tvers av ansvars- og kompetanseområder, både myndigheter imellom og mellom myndigheter og eiere av kritisk infrastruktur og kritiske samfunnsfunksjoner. Etter utvalgets vurdering krever ikke disse tiltakene ekstra bevilgninger. Utover dette mener utvalget at det må gjøres en vurdering av hvert enkelt tiltak for å fastslå om de i noen grad kan gjennomføres med uendret ressursbruk. Et tiltak som definitivt vil ha store økonomiske konsekvenser, er det å redusere kritikaliteten til kjernenettet.

Fotnoter

1.

World Economic Forum (Januar 2015): Partnering for Cyber Resilience Towards the Quantification of Cyber Threats.

2.

Estimerte kostnader er basert på en investeringskostnad på 400 millioner kroner og årlige drifts- og vedlikeholdskostnader, som er anslått å være 2,5 prosent av investeringssummen, i tillegg til 4 prosent diskonteringsrate og en skattefinansieringskostnad på 20 øre per krone. Se elektronisk vedlegg: Konsekvensutredning – Alternativer for styrket robusthet i landsdekkende kjernenett.

Til forsiden