Del 6
Vedlegg

25 Vedlegg

25.1 Datagrunnlag

Oversikt over hvem som har gitt skriftlig innspill

• Barne-, likestillings- og inkluderingsdepartementet

• Forsvarsdepartementet

• Helse- og omsorgsdepartementet

• Kommunal- og moderniseringsdepartementet

• Justis- og beredskapsdepartementet

• Kulturdepartementet

• Kunnskapsdepartementet

• Landbruks- og matdepartementet

• Nærings- og fiskeridepartementet

• Olje- og energidepartementet

• Samferdselsdepartementet

• Utenriksdepartementet

• Simula

• Forsvarets forskningsinstitutt

• Forskningsrådet

• NUPI

• SINTEF

• Fylkesmannen i Buskerud

• Fylkesmannen i Finnmark

• Fylkesmannen i Sogn og Fjordane

• Fylkesmannen i Telemark

• Fylkesmannen i Vest Agder

• Fylkesmannen i Sør-Trøndelag

• Altibox/Lyse

• DNB

• Direktoratet for nødkommunikasjon

• Departementenes servicesenter

• EVRY

• Hafslund

• ICE

• Nets

• Norsk helsenett

• Norsk romsenter

• Space Norway AS

• Statkraft

• Statnett

• Tampnet

• TDC

• Tele 2

• Telenor

• TeliaSonera

• Accenture

• EY

• KPMG

• PWC

• Steria

• mnemonic

• BDO

• Capgemini

• Gartner Consulting

• NC-spectrum

• DNV GL

• Watchcom

• KINS

• Energi Norge

• Finans Norge

• FSK

• IKT Norge

• Norsk olje og gass

• Næringslivets sikkerhetsorganisasjon

• Spekter

• Standard Norge

• Statoil

• Virke

• Brønnøysundregistrene

• Helseregistrene i FHI

• Kartverket

• Norges geologiske undersøkelse

• Skattedirektoratet

• Datatilsynet

• Direktoratet for forvaltning og IKT

• Direktoratet for samfunnssikkerhet og beredskap

• Finanstilsynet

• Garantiinstituttet for eksportkreditt

• Helsedirektoratet

• Hovedredningssentralene i Sør-Norge og Nord-Norge

• Justervesenet

• Kystverket

• Mattilsynet

• Nasjonal sikkerhetsmyndighet

• Norges vassdrags- og energidirektorat

• Oljedirektoratet

• Politidirektoratet

• Nasjonal kommunikasjonsmyndighet

• Petroleumstilsynet

• Sjøfartsdirektoratet

• Statens jernbanetilsyn

• Forsvarets etteretningshøgskole

• Høgskolen i Gjøvik

• Høgskolen i Østfold

• Universitetet i Agder

• Universitetet i Bergen

• Universitetet i Oslo

• Norges teknisk-naturvitenskapelige universitet

• Westerdals

• Helse Midt Norge

• Helse Nord IKT

• Helse Sør-Øst

• Helse Vest

• Hemit

• Kripos

• NorSIS

• NSB

• Statens Vegvesen

Møteliste

• Nasjonal sikkerhetsmyndighet

• E-tjenesten

• Direktoratet for samfunnssikkerhet og beredskap

• Forsvarsdepartementet

• Cyberforsvaret

• Forsvarets logistikkorganisasjon

• Forsvarsstaben

• Forsvarets sikkerhetsavdeling

• Finanstilsynet

• Utenriksdepartementet

• Samferdselsdepartementet

• Kommunal- og moderniseringsdepartementet

• Olje- og energidepartementet

• Norges vassdrags- og energidirektorat

• Statnett

• Statkraft

• Nasjonal kommunikasjonsmyndighet

• Kripos

• Petroleumstilsynet

• Politiets sikkerhetstjeneste

• Datatilsynet

• FinansCERT

• Telenor

• TeliaSonera

• ICE

• Statsministerens kontor

• Direktoratet for forvaltning og IKT

• Forsvarets forskningsinstitutt

• Norsk romsenter

• Space Norway

• Justervesenet

• Norsk helsenett

• Finanstilsynet

• Finansdepartementet

• E-tjenesten

• Direktoratet for nødkommunikasjon

• Huawei

• Justis og beredskapsdepartementet (flere underavdelinger)

• NorSIS

• POD strategigruppe for å bekjempe datakriminalitet

• Broadnet

• Vegdirektoratet

• Avinor

• Avinor flysikring AS

• Luftfartstilsynet

• Politiets IKT-tjeneste

• Kartverket

• NSB

• Flytoget

• Ruter

• Oslo politidistrikt

• Arbeids- og sosialdepartementet

• Brønnøysundregistret

• Skatteetaten

• Jernbaneverket

• Jernbanetilsynet

• Politidirektoratet

• Forbrukerrådet

• Forbrukerombudet

Workshop helse

• SINTEF

• Helse Nord

• Sykehuspartner

• Helse Sør-Øst

• Helse Midt-Norge RHF

• Helse Vest IKT

• Ikomm AS

• Legeforeningen/Akershus Universitetssykehus

• Sykehuspartner

• Helse- og omsorgsdepartementet

• Norsk Helsenett

• Pensjonist med tidligere tilknytning til sektoren

• Helse Stavanger HF

• Bærum kommune, PLO helseinformatikk

• Helsedirektoratet

• Helse Bergen

• Teknologirådet

• Norsk Helsenett

Workshop maritim

• Kystverket

• Sjøfartsdirektoratet

• Colorline

• Wilhelmsen Holding

• Sjøfartsdirektoratet

• Farstad Shipping

• Rederiforbundet

• Den Norske Krigsforsikring for Skib

• Norsk Havneforening

• Kongsberg Maritime

Workshop olje og gass

• Lundin

• Statoil

• Gassco

• Norsk olje og gass

• Tampnet

• Petroleumstilsynet

• Norske Shell

Workshop finans

• Finansdepartementet

• Finanstilsynet

• Norges Bank

• NBIM

• DNB

• Oslo Børs

• VPS

• EIKA-gruppen

• Evry

• Nets

• Finans Norge

• Sparebank1

• Nordea

• BSK

• BSK/BankID

• FinansCERT

• Bank Axept AS

• B-IT Invest AS

Utvalget var involvert ved NorSIS Sikkerhetstoppmøte april 2015, med følgende deltakere:

• Næringslivets Sikkerhetsråd

• Abelia

• IKT-Norge

• Arbeidsgiverforeningen Spekter

• Innovasjon Norge

• Standard Norge

• KINS

• NorSIS

• Justis- og beredskapsdepartementet

• Microsoft

• SPK

• Det norske oljeselskap AS

• Bergen kommune

• Eigersund kommune

• mnemonic as

• Cyberforsvaret CKT

• Bodø kommune

• Telenor Norge

• KS

• NARF Ekstra AS

• PwC

• REMA i Norge AS

• NVE

• RGU Consulting

• Politihøgskolen

• KLP

• UNINETT AS

• Oslo politidistrikt

• NorSIS

• NISlab

• Arbeidstilsynet

• Austevoll Kraftlag SA – LYSGLIMT

• FLO IKT

• Helsedirektoratet

• Senter for IKT i utdanningen

• CCIS

• NAV

• COWI AS

• Statkraft AS

• Fujitsu

• Difi

• DNB

• Bouvet ASA

• PwC

• Vann- og avløpsetaten, Oslo kommune

• Riksantikvaren

• Nasjonal sikkerhetsmyndighet

• Lyse konsern

• VNG Norge

• NSB Fellestjenester IT

Eksterne rapporter utvalget har bestilt

• mnemonic (2015): Avdekke, håndtere og etterforske digitale angrep. Utarbeidet for Lysneutvalget. Benyttet i kapittel 21.

• DNV GL (2015): Digitale sårbarheter Olje & gass. Utarbeidet for Lysneutvalget. Benyttet i kapittel 14.

• DNV GL (2015): Digitale sårbarheter Maritim Sektor. Utarbeidet for Lysneutvalget. Benyttet i kapittel 18.

• SINTEF (2015): Digitale sårbarheter i helsesektoren – En oppsummering av funn fra workshop holdt i mai 2015 i regi av Lysneutvalget. Utarbeidet for Lysneutvalget. Benyttet i kapittel 17.

• BDO (2015): Andre lands arbeid med digitale sårbarheter. Utarbeidet for Lysneutvalget. Benyttet i kapittel 9.

• Utenriksdepartementet (2015): Folkerettslige rammer for grenseoverskridende informasjonsinnhenting. Utarbeidet for Lysneutvalget. Benyttet i kapittel 10 «Folkerett og internasjonalt samarbeid».

• Oslo Economics (2015): Konsekvensutredning – Alternativer for styrket robusthet i landsdekkende kjernenett. Utarbeidet for Lysneutvalget. Benyttet i kapittel 11.

• Oslo Economics (2015): Konsekvensutredning – Tydeliggjøring av myndighetsansvar for norsk romvirksomhet. Utarbeidet for Lysneutvalget. Benyttet i kapittel 12.

I tillegg har vi fått innspill og bistand fra følgende:

• Teknologirådet, bistand med tekst i kapittel 6 «Trender som påvirker sårbarhetsbildet».

• Seniorrådgiver Frank Robert Berg (B-IT Invest AS), benyttet i kapittel 16 «Finansielle tjenester».

• Seniorrådgiver Hans Petter Aarseth, benyttet i kapittel 17 «Helse og omsorg».

• Seniorrådgiver Jacob Kringen (DSB), benyttet i punkt 23.4 «Tilpasse tilsynsvirksomhet til å omfatte IKT-sikkerhet».

• Director & Senior Partner (ILPI) Njål Høstmælingen, bistand med tekst i kapittel 3 «Rettstatsprinsipper og grunnleggende samfunnsverdier».

• Seniorforsker Jon Røstum (SINTEF), benyttet i kap 15 «Vannforsyning».

• Seniorrådgiver Rune Erlend Fløisbonn og Alexandra Agersborg har bidratt i sekretariatet.

25.2 Ansvarsfordeling mellom departementene for samfunnssikkerhetsarbeidet1

25.3 Oppsummering av sentrale utvalg

Datateknikk og samfunnets sårbarhet (Seip-utvalget)

I 1986 kom Sårbarhetsutvalget ledet av Helge Seip med rapporten Datateknikk og samfunnets sårbarhet. Allerede i denne rapporten ble det slått fast at samfunnet var helt avhengig av IKT – eller elektronisk databehandling (EDB) – og dermed også svært sårbart for brudd eller forstyrrelser i EDB. Seip avgrenset sårbarhetsbildet til å gjelde de sårbarhetene som får konsekvenser for samfunnsviktige funksjoner, og ikke ulemper og tap for enkeltindivider. Utvalget var bevisst på EDB-systemenes avhengighet av ekom, og var av den oppfatning at sårbarhet i datateknikk måtte ses i nær sammenheng med tilgjengelighet av ekom.

Seip-utvalget påpekte at de fleste samfunnsfunksjoner allerede var avhengige av IKT-systemer, og at denne avhengigheten var kommet skritt for skritt, uten at det var gjort noen strategiske og bevisste vurderinger av det totale sårbarhetsbildet. Dette mente de hadde ført til komplekse verdikjeder og svært liten oversikt over strukturer og avhengighetsforhold, både for næringsliv og for offentlig forvaltning.

Utvalget konkluderte med at det var en svært lav sikkerhetsbevissthet i samfunnet, og at det i liten grad var gjennomført sikkerhetstiltak, noe utvalget fremhevet som alvorlig. Dette mente de kunne føre til at de samfunnsmessige konsekvensene av svikt i EDB-systemene kunne eskalere i fremtiden om det ikke ble satt i verk omfattende tiltak. Seip-utvalget trakk særlig frem den indirekte avhengigheten som alvorlig

«tatt i betraktning de uheldige kjedereaksjoner som kan følge av andres driftsavbrudd. Utvalget vil videre peke på behovet for informasjon om metoder og teknikker for risiko- og sårbarhetsanalyser, og anbefaler at det særlig blir arbeidet på dette felt.»

Utvalget var videre opptatt av samfunnets avhengighet av kraft og ekom. Ekom var da ensbetydende med det statseide Televerket, og utvalget fastslo:

«Televerkets ansvar og plikter må gå langt utover beskyttelse mot konsekvenser for Televerkets egen organisasjon, fordi den enkelte telebruker er helt avhengig av Televerket og av beredskapsmessige grunner selv er avskåret fra innsyn i Televerkets beredskapsplanen. Den risikoforplantning som kan skjule seg her, må bli gjenstand for offentlig overvåking.»

Videre så utvalget på hvordan det kunne bygges sikkerhet fra begynnelsen av, og foreslo programmeringstekniske tiltak. Det mest konkrete forslaget var at det burde etableres adgang til å foreta kvalitetskontroll av viktige programmer hos den enkelte bedrift/institusjon som utførte samfunnsviktig databehandling. Utvalget foreslo også økte kompetansetiltak som veiledning og utdanning og økt tilsyn/revisjon fra myndighetssiden.

Et sårbart samfunn – utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet (Sårbarhetsutvalget)

I 2000 kom Sårbarhetsutvalget ledet av Kåre Willoch med sin rapport Et sårbart samfunn – utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet. Mandatet til dette sårbarhetsutvalget var omfattende og fokuserte på risikoen for ekstraordinære påkjenninger for samfunnet, inkludert sikkerhetspolitiske kriser og krig, og hvordan samfunnet som helhet var forberedt på å møte store og omfattende krisescenarioer. Utvalget så også på sårbarheter i samfunnskritiske virksomheter og kritisk infrastruktur – som første gang ble definert her. Et av underutvalgene utvalget opprettet, hadde som oppgave å «analysere samfunnets sårbarhet for brudd i informasjons- og kommunikasjonsteknologi».

Utvalget la i rapporten mer vekt på resultatene fra BAS2-prosjektet2 som så på avhengigheter og fysiske sårbarheter, enn IKT-underutvalget som fokuserte på den logiske trusselen. Norsk senter for informasjonssikring ble opprettet for å kartlegge trusselen mot informasjonssikkerhet i norske virksomheter. Dette senteret, samt etableringen av en nasjonal strategi for informasjonssikkerhet, var sentrale tiltak på IKT-sikkerhetsområdet fra Sårbarhetsutvalget.

Av konkrete anbefalinger knyttet til IKT-sikkerhet og kraft var de viktigste:

• å fastsette klare sikkerhetskrav til etablering og drift av kritiske IKT-systemer

• å etablere et senter for informasjonssikring, organisert som en ikke-kommersiell stiftelse, som skulle ha som oppgave å koordinere oppgaver innen hendelsesrapportering, varsling, analyse og erfaringsutveksling med tanke på trusler mot IKT-systemer

• å bygge opp kapasitet og kompetanse til å føre effektivt tilsyn med IKT-sikkerheten innenfor all samfunnskritisk virksomhet

• å oppdatere retningslinjene for sikring av kraftforsyningen

I tillegg foreslo Sårbarhetsutvalget en rekke tiltak på mange områder, blant annet innenfor terror og sabotasje, transportsikkerhet, forsyningsberedskap, olje- og gassvirksomhet, mat og vann, radioaktivitet, smittevern og kjemiske og biologiske stridsmidler og informasjonsberedskap før, under og etter en krise. Innenfor disse er det ikke nevnt tiltak direkte knyttet til digital sikkerhet.

Utvalget kom videre med anbefalinger knyttet til organisatoriske tiltak. De mest relevante var

• samling av arbeid for samfunnssikkerhet og beredskap i ett departement som får dette som hovedoppgave

• opprettelse av et koordineringsorgan for EOS-tjenestene

• en samlet strategi og vurdering av å slå sammen organer for tilsyn med sikkerhet på ulike områder

• en gjennomgang av landets operative rednings- og beredskapsressurser

• en felles granskingskommisjon for store ulykker og kriser

Av juridiske anbefalinger ble følgende foreslått:

• Lovgivningen burde tilpasses for å fremme samfunnets sikkerhet og beredskap. Blant annet foreslo utvalget å pålegge kommunene arbeid med kriseplanlegging.

• Ansvarsområdet til Politiets overvåkingstjeneste burde lovfestes, inkludert lovbestemmelser som ga Politiets overvåkingstjeneste mulighet til offensiv forebyggende virksomhet, herunder kommunikasjonskontroll i forebyggende øyemed.

• Det burde foretas en nærmere vurdering av behovet for endringer i lover og regler og behovet for incentiver, for å redusere samfunnets IKT-sårbarhet og styrke robusthetsnivået i kritisk infrastruktur.

• Den øvre strafferammen for datainnbrudd burde revurderes.

Sårbarhetsutvalget rettet også stor oppmerksomhet mot behovet for forskning og utdanning, og fastslo at det trengtes en ny giv for norsk sikkerhetsforskning for å holde tritt med teknologi- og samfunnsutviklingen. Utvalget mente at ett departement burde ta et hovedansvar for å sette i gang, vedlikeholde og videreutvikle sikkerhetsforskningen, og at det burde søkes løsninger som gjorde at sektordepartementer med stort ansvar for sikkerhet og beredskap gikk sammen med næringslivet i et forpliktende partnerskap for et sektorovergripende forskningsprogram. Sikkerhet burde i større grad integreres i IKT-utdanningen på alle nivåer fra videregående skole til universitet. I tillegg så utvalget behov for spesialkompetanse og for at IKT-sikkerhet ble etablert som eget fag ved enkelte universiteter og høyskoler.

Når sikkerheten er viktigst. Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner (Infrastrukturutvalget)

I 2006 kom Infrastrukturutvalget med rapporten Når sikkerheten er viktigst. Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner. Hovedhensikten med oppnevnelsen av utvalget var å kartlegge landets kritiske infrastruktur og kritiske samfunnsfunksjoner og vurdere hvilke virkemidler som måtte til for å opprettholde funksjonalitet og ivareta rikets sikkerhet og vitale nasjonale interesser.

I Infrastrukturutvalgets rapport er fokuset flyttet fra etablering av et helhetlig apparat rundt informasjonssikkerhet til organisering av myndighetenes arbeid, herunder ansvarsavklaring på departementsnivå – dette på bakgrunn av arbeidet med Nasjonal strategi for informasjonssikkerhet. Arbeidet med denne strategien førte blant annet til den permanente opprettelsen av NorSIS og NSM NorCERT. Utvalgets rapport foreslår i hovedsak organisatoriske tiltak i offentlig sektor for å bedre oppfølgingen av tiltak. En annen utvikling som har funnet sted fra det første sårbarhetsutvalget la frem sin rapport, er at Infrastrukturutvalget gjennom enkelte tiltak har fokusert også på privatpersoner.

Infrastrukturutvalget mente at Justis- og politidepartementet, sammen med opprettelsen av DSB, i stor grad var innrettet som det innenriksdepartementet Sårbarhetsutvalget foreslo. Det ble likevel pekt på at Justis- og politidepartementets koordinerende rolle måtte tydeliggjøres gjennom å

• være rådgivende myndighet i spørsmål knyttet til kritisk infrastruktur og kritiske samfunnsfunksjoner

• være pådriver og tilrettelegger for samarbeid og informasjonsdeling, samt bidra til koordinering av arenaer for dette

• etablere og videreutvikle en oversikt over kritisk infrastruktur og kritiske samfunnsfunksjoner gjennom en felles metode og system for å definere disse

• systematisere og koordinere trussel-, risiko- og sårbarhetsinformasjon knyttet til kritisk infrastruktur og kritiske samfunnsfunksjoner – herunder å etablere et system for innhenting og formidling av denne informasjonen

• være et nasjonalt kontaktpunkt ved internasjonalt samarbeid på området

• ta initiativ til avklaring av eventuelle uklare ansvarsforhold

• utarbeide felles målsettinger og strategier knyttet til kritisk infrastruktur og kritiske samfunnsfunksjoner i samarbeid med relevante aktører

• koordinere igangsettingen og oppfølgingen av tverrsektoriell FoU på området, herunder BAS og SAMRISK3

I tillegg pekte Infrastrukturutvalget på at det burde tydeliggjøres nasjonale mål og/eller akseptnivåer gjennom å innarbeide dette som premiss i aktørenes risiko- og sårbarhetsanalyser. Justis- og politidepartementet burde videre gi konkrete retningslinjer for gjennomføring av risiko- og sårbarhetsanalyser, og det burde utvikles et program for «regelmessige ROS-analyser tilknyttet kritisk infrastruktur og kritiske samfunnsfunksjoner, som grunnlag for tverrsektorielle avveininger, risikobaserte prioriteringer, helhetlig analyse og politikk for det sivile og militære sikkerhetsarbeid». Utvalget foreslo også å utrede en lovregulering for å sikre kritisk infrastruktur og kritiske samfunnsfunksjoner.

Videre mente Infrastrukturutvalget at tilsynsvirksomheten på området kritisk infrastruktur og kritiske samfunnsfunksjoner burde styrkes, og at en i den sammenheng burde vurdere en samordning av tilsynsvirksomheten og en prinsipiell drøfting av forholdet mellom tilsyn som ivaretar overordnede interesser, og tilsyn som ivaretar sektorinteresser (horisontale versus vertikale tilsyn).

Utvalget foreslo en statlig tilskuddsordning for å sikre at tverrsektorielle tiltak uten en hovedeier ble fulgt opp. De mente at dette ville bidra til å finansiere den statlige delen i en risikofordeling mellom offentlige og private interesser, finansiere nødvendige sektorovergripende tiltak, følge opp sektorovergripende infrastrukturer, samt ivareta et helhetlig perspektiv og følge opp tiltak ut fra hensynet til sikkerhet mot utilsiktede og tilsiktede hendelser.

For å sikre at krav til sikkerhet ble ivaretatt, foreslo utvalget at det ved offentlige innkjøp skulle vurderes sikkerhets- og beredskapsmessige konsekvenser ved bortfall av de varene og tjenestene som ble levert. Videre burde det etableres en liste over kontrollpunkter som skulle benyttes i forbindelse med omreguleringer og omorganiseringer, for å ivareta sikkerhetsmessige problemstillinger ved omstillinger. Utvalget mente at kjøp av tjenester og tilskudd til spesielle oppgaver for sikring av kritisk infrastruktur ville være et nødvendig virkemiddel sammen med regulatoriske bestemmelser.

Utvalget var også svært opptatt av offentlig eierskap som virkemiddel, og mente at dette måtte vurderes konkret hos aktører som var eiere av kritiske samfunnsfunksjoner og kritisk infrastruktur. I avveiinger mellom offentlig og privat eierskap burde hensynet til samfunnssikkerhet og beredskap veie tungt. Videre burde eierskap til ekominfrastruktur være under kontroll av norske eiere. I kraftsektoren foreslo utvalget at sentralnettet skulle beholdes i offentlig eierskap, mens distribusjonsnettet ikke i samme grad burde være i offentlig eierskap.

Videre hadde utvalget blant annet følgende forslag til kraft og ekom: at det skulle etableres nødvendige lovhjemler som sikret reserveløsninger i ekomnett og -tjenester, at muligheter for strømrasjonering ble utredet, og at det ble stilt krav til nødstrøm for kritiske samfunnsfunksjoner. Vedlikeholdsetterslepet i kraftsektoren burde vies oppmerksomhet, og det burde vurderes om KILE-ordningen4 kunne bidra til å sikre vedlikehold.

Av organisasjonsmessige tiltak foreslo Infrastrukturutvalget en reduksjon i antall fagdepartementer med ansvar for IT-sikkerhetsarbeid og en samordning mellom Samferdselsdepartementet og Forbruker- og administrasjonsdepartementet. Videre burde JD legge til rette for større faglige synergieffekter ved blant annet å opprette et organ for informasjonsdeling mellom PST, NSM og DSB. Utvalget satte også spørsmålstegn ved hvorvidt det er hensiktsmessig/mulig å skille mellom etatsstyringsansvar og fagansvar for NSM. Fylkesmannens ansvar burde tydeliggjøres, blant annet når det gjaldt rekvirering av ressurser for å prioritere mellom ulike brukere ved avbrudd i kritisk infrastruktur, og kommunene burde få en generell beredskapsplikt.

Infrastrukturutvalget foreslo også tiltak knyttet til forskning og utvikling, blant annet: FFIs mandat burde utvides til også å gjelde sivil sektor, SAMRISK burde iverksettes, forskning knyttet til beskyttelse av kritisk infrastruktur og kritiske samfunnsfunksjoner burde prioriteres hos Forskningsrådet, Terrorkonsortiet burde videreføres, og det burde startes et forskningsprosjekt for å se på gjensidige avhengigheter i kritisk infrastruktur.