10 Andre telesikkerhets- og teleberedskapstiltak

Fra kapittel 5 og utover har Samferdselsdepartementet presentert og vurdert hovedelementene i en ny strategi for telesikkerhet og teleberedskap tilpasset markedssituasjonen. I tillegg til forslagene om å legge et særskilt myndighetsansvar for telesikkerhet og -beredskap til Post- og teletilsynet, prioritert tjenesteaksess i fast- og mobilnett, samlokalisering i fjellanlegg, økt redundans i telenettene samt eventuell samordning av Forsvarets digitale nett (FDN) og et nytt radionett for nødetatene, er det en rekke andre tiltak som også vil bidra til god sikkerhet og beredskap i norske telenett. Dette dreier seg først og fremst om mindre omfattende administrative og organisatoriske tiltak, og ikke i så stor grad fysiske og teletekniske tiltak. Nedenfor følger en kort gjennomgang av andre tiltak som Samferdselsdepartementet mener vil ha betydning for å øke sikkerheten og beredskapen i telenettene.

10.1 Bevisstgjøring, kompetanseheving og veiledning

Brukerens behov for å sikre seg robuste kommunikasjonsløsninger øker som en konsekvens av den økende avhengigheten av tele- og datakommunikasjon. Bevisstgjøring, kompetanseheving og veiledning om telesikkerhet og -beredskap vil være en viktig oppgave for Post- og teletilsynet. Brukerne må lære seg å stille krav til kvaliteten på de teletjenester som kjøpes, der robustheten inngår som en viktig faktor. Det er langt fra alle brukere som har mulighet til å sette seg inn i problemstillingen eller er i stand til å vurdere hva som kreves for å gjøre kommunikasjonsløsningene robuste nok. Post- og teletilsynet bør derfor ha som en av sine oppgaver å bevisstgjøre brukere med hensyn til robusthet, samt å tilrettelegge for enklere gjennomføring av sårbarhetsreduserende tiltak. Post- og teletilsynet bør bl.a. assistere og gi retningslinjer innen beredskapsplanlegging, slik at brukerne blir best mulig i stand til å møte Totalforsvarets behov ved fredskriser og krig. Post- og teletilsynet bør også kunne kontaktes for å få råd ved anskaffelser av telekommunikasjonstjenester og -utstyr.

Teleberedskap er i kapittel 2.2 definert til å være planer og faktisk gjennomførte tiltak som er gode nok til å kunne møte forhold som innebærer ekstraordinær risiko. Innen kritiske samfunnsfunksjoner er det viktig at det utarbeides planer for hvordan telekommunikasjonsbehovet skal ivaretas også utenfor normalsituasjonen. Samtidig må det gjennomføres tiltak slik at det blir mulig å iverksette planene i en krise- eller krigssituasjon. Planer og tiltak må jevnlig revideres for å avstemmes med det aktuelle risikobildet innen telekommunikasjon ettersom trusselbildet endres i takt med teknologien. Post- og teletilsynet bør være et kompetansesenter som aktivt veileder og gir råd innen telesikkerhet og teleberedskap. Selv om Post- og teletilsynet tilbyr en slik tjeneste, vil det uansett være den som søker råd som selv har ansvaret for at sikkerheten og beredskapen innen telekommunikasjon er tilfredsstillende og at planer og tiltak blir fulgt opp.

10.2 Klassifisering av teleinfrastrukturen

Som grunnlag for vurdering av sikringstiltakenes omfang er det fornuftig å ta utgangspunkt i en klasseinndeling av telekommunikasjonsinfrastrukturen avhengig av hvilken betydning infrastrukturen har for telenettenes funksjon. For teleinfrastruktur som vurderes å ha vesentlig betydning for at telekommunikasjonen skal fungere vil det f.eks. være en rekke krav knyttet til telesikkerhet og -beredskap, mens teleinfrastruktur som ikke er avgjørende for at telenettene skal fungere vil få færre sikringskrav. I en klassifiseringsordning bør det legges opp til at det er mulig å oppgradere eller nedgradere anlegg fra opprinnelig sikringsklasse.

På bakgrunn av en gjennomgang av risiko og sårbarhet knyttet til de offentlige telenett bør Post- og teletilsynet i samarbeid med teleoperatørene spesifisere hvilken sikringsklasse de ulike systemer og nettelementer faller inn under. Krav til sikkerhetstiltak innen ulike sikringsklasser må utarbeides av tilsynet i samarbeid med teleoperatørene. Klassifiseringsordningen bør bl.a. inneholde en sikringsklasse for nett og anlegg som ikke får spesielle krav til telesikkerhet og teleberedskap.

TIFKOM-prosjektet har anbefalt at man følger en modell fra danske telemyndigheter, der man har delt det nasjonale telenettet inn i fire sikringsklasser. I Danmark har man benyttet følgende inndeling:

10.3 Sikkerhetsevaluering av offentlige telenett

Ved en klassifisering av teleinfrastrukturen i sikringsklasser vil med all sannsynlighet sikringsklasse 1 omfatte teleanlegg av særlig vesentlig betydning for landsdekkende og internasjonal telekommunikasjon. Dette vil med andre ord være anlegg til bruk for offentlige telenett eller teletjenester som ikke kan erstattes av andre anlegg innenfor samme telenett eller teletjeneste, og som er avgjørende for at telekommunikasjonssystemene skal fungere. Ettersom tilgjengelighet til telekommunikasjon kan ha betydning for rikets sikkerhet, må det antas at deler av telenettene kan sies å være såkalte skjermingsverdige objekter, dvs. eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser. Telenettene kan i tillegg inneholde skjermingsverdig eller sikkerhetsgradert informasjon, dvs. informasjon som skal merkes med sikkerhetsgrad etter reglene i lov om forebyggende sikkerhetstjeneste (sikkerhetsloven).

Spørsmålet om f.eks. telesystemer skal defineres som skjermingsverdige, avklares gjennom en forutgående sikkerhetsevaluering, der det tas stilling til om det er grunnlag for sikkerhetsgradering, og i tilfelle hvilken sikkerhetsgradering (BEGRENSET, KONFIDENSIELT, HEMMELIG eller STRENGT HEMMELIG) som skal benyttes. En eventuell gradering må ses i forhold til den skade en eventuell kompromittering, ødeleggelse eller infiltrasjon av systemet vil kunne påføre Norge eller våre internasjonale samarbeidspartnere.

Dersom informasjon eller et objekt defineres som skjermingsverdig, vil dette medføre at sikkerhetslovens pålegg må følges. Dette vil innebære krav når det gjelder personellsikkerhet, men også når det gjelder f.eks. håndtering av sikkerhetsgradert informasjon og sikkerhetsmessige anskaffelser. TIFKOM-prosjektet har foreslått at det bør innføres krav om sikkerhetsklarering av personell for å bedre telesikkerhet og -beredskap i det samlede nasjonale telenettet. Som det fremgår av ovenstående vil altså krav om sikkerhetsklarering av personell kun være ett av flere tiltak som kan komme til å måtte iverksettes dersom informasjon eller et objekt defineres som skjermingsverdig.

Samferdselsdepartementet foreslår at Post- og teletilsynet får i oppdrag å foreta en samlet sikkerhetsevaluering av offentlige telenett. En slik evaluering må gjøres i samarbeid med operatørene og kan ses i sammenheng med utforming av krav til sikringstiltak differensiert på sikringsklasser, jf. kapittel 10.2.

10.4 Samøvelser

Ved en eventuell krise som involverer telesektoren vil det med stor sannsynlighet være behov for at flere operatører samarbeider for å få situasjonen under kontroll. På denne måten kan man ved større utfordringer mot samfunnet utnytte det mangfoldet som et konkurranseutsatt marked medfører. Det er i den forbindelse nødvendig at det øves på samspill mellom konkurrerende aktører i krise- og krigssituasjoner, og at Post- og teletilsynets krisehåndteringsevne på samme tid opparbeides.

Post- og teletilsynet får i oppgave å planlegge og arrangere øvelser for alle aktørene i telesektoren som anses som viktige i beredskapssammenheng. Under samøvelsene møtes operatørene for å opparbeide kompetanse og praktisk erfaring i hvordan man best mulig kan samarbeide og utnytte ressursene innen telekommunikasjonssektoren under ulike samfunnstilstander.

Under samøvelsene vil ulike hendelser bli simulert, og aktørenes evne til å håndtere utfordringen blir øvd. I løpet av en samøvelse vil deltakerne få en gjennomkjøring av rutiner, prosesser og prosedyrer av både teknisk og organisatorisk art som ved siden av å være viktig for den enkelte operatørs krisehåndteringskompetanse også vil ha betydning for evnen til effektivt samarbeid med andre operatører. En samøvelse vil øke kompetansen hos involverte parter ved at man får et bedre begrep om hvilke skadebøtende tiltak som har best effekt i ulike situasjoner. Bedre kunnskap på dette området vil også bidra til at man ved implementering av nye sikkerhets- og beredskapstiltak i nettene vil være bedre i stand til å prioritere mellom ulike forebyggende tiltak. Samøvelser kan dessuten gi operatørene erfaringsgrunnlag for å utvikle nye tiltak som kan øke robustheten i telenettene.

I Sverige gjennomføres regelmessige øvelser med operatørene, der driftspersonell trenes opp i å håndtere masseutfall av noder og kommunikasjonsveier. I Nederland pågår trening og organiserte øvelser for simulerte krisesituasjoner annet hvert år. I Finland er det utarbeidet et samarbeidskonsept for personell fra de tre største operatørenes hoveddriftssentraler. I krisesituasjoner skal de samarbeide under kommando av Forsvarsministeriet. Det blir avholdt regelmessige samøvelser annet hvert år.

I utgangspunktet mener TIFKOM-prosjektet at det kan være hensiktsmessig med samøvelser én gang i året, og at det hvert fjerde år bør arrangeres samøvelser av et større omfang. Telekommunikasjonssektoren er en sektor i endring som følge av at det stadig introduseres ny teknologi på markedet, noe som kan tale for hyppige øvelser. Samferdselsdepartementet mener imidlertid at det i første omgang vil være tilstrekkelig med samøvelser hvert annet år, slik det også gjøres i andre land. Hyppigheten av øvelser bør imidlertid evalueres etter at de første samøvelsene er avholdt.

10.5 Beredskapsutstyr

For å styrke telekommunikasjonssektorens reparasjonsberedskap og rehabiliteringsevne bør det etableres beredskapslagre med transportabelt beredskapsutstyr. Formålet med dette er at transportabelt beredskapsutstyr skal kunne settes inn i telenettene ved trafikkbrudd eller ved fare for trafikkbrudd på steder hvor brudd vil medføre alvorlige konsekvenser for samfunnet både i fredstid og i krigstid. I ekstreme situasjoner som naturkatastrofer, kriser og krig vil det mest sannsynlig være behov for beredskapsutstyr ut over det som er kommersielt interessant for operatørene.

Alle aktører som anses viktige i beredskapssammenheng bør derfor ha et minimum av transportable enheter som raskt kan erstatte ødelagte punkter. Forsvarets forskningsinstitutt har i BAS2-rapporten konkret nevnt behovet for transportable transmisjonsterminaler, transportable nødstrømsaggregater og transportable tjenestenoder. I tillegg er det behov for utstyr som f.eks. multipleksere, fiber, feltutstyr, master og transportable basestasjoner. Transportable basestasjoner bør inkluderes som et del av beredskapsopplegget spesielt rettet mot mobiloperatørene.

I Sverige er det ca. ti operatører som regnes for å være viktige i teleberedskapssammenheng. Disse operatørene ble bl.a. spurt om hvor mange nødstrømsaggregater de hadde behov for av ulike typer. Post- och telestyrelsen har betalt for innkjøp, mens operatørene må bære drifts- og vedlikeholdskostnader selv. Post- och telestyrelsen inngår kommersielle avtaler med 10 års varighet med hver operatør for bruk av slike nødstrømsaggregater. Antall nødstrømsaggregater er nå distribuert i Sverige tilsvarende behovet ved større utfall av kraftforsyning som kan skje ved alvorlige snøstormer og uværssituasjoner eller ved større sabotasjeaksjoner.

Transportabelt reservemateriell inngår som en del av Telenors spesielle samfunnspålagte oppgaver til Totalforsvaret, og Samferdselsdepartementet mener dette tiltaket bør videreføres også i det nye konseptet.

10.6 Forskrift om beskyttelse av telekommunikasjonsanlegg mot elektromagnetisk puls (EMP-forskriften)

I kapittel 3.1.2 er det gitt en beskrivelse av de elektroniske truslene mot telenettene. Et av de elektroniske virkemidlene er elektromagnetisk stråling mot teleinstallasjoner for å forstyrre eller ødelegge de elektroniske komponentene i telenettene. Elektromagnetisk puls (EMP) kan forårsake stor skade i elektronisk utstyr dersom den er kraftig nok. EMP genereres naturlig gjennom lynnedslag, og andre mindre kraftige kilder for EMP er radiosendere, termostater og koblinger i det elektriske nettet. Alle disse typene EMP er det mulig å sikre seg godt mot. Verre er det med menneskeskapt EMP som kan genereres ved bruk av spesielle EMP-våpen og ved detonasjon av kjernevåpen over atmosfæren. Kjernefysisk generert EMP vil kunne bli så kraftig at elektronisk utstyr vil ødelegges i stort omfang, og mot denne typen EMP er det kostnadskrevende å foreta effektive beskyttelsestiltak. I Norge er det i dag i hovedsak Forsvarets mest kritiske systemer som er gitt effektiv EMP-beskyttelse. Også innenfor sivile infrastrukturer med stor viktighet for Totalforsvaret har det vært foretatt en viss grad av sikring, for eksempel i systemer innen kraftforsyningen og i Telenors telenett.

Det er utgitt retningslinjer for sikring av viktige IKT-installasjoner i Totalforsvaret mot elektromagnetiske strålingsvåpen. I tillegg har Totalforsvarets råd for sikring av tele- og informasjonssystemer (TRSTI) tatt initiativ til utarbeidelse av en forskrift om beskyttelse av telekommunikasjonsanlegg mot elektromagnetisk puls (EMP-forskriften). Et forskriftsutkast har vært ute på høring, og bare et fåtall av høringsinstansene hadde merknader til utkastet til forskrift med kommentarer.

I forskriftsutkastet er det foreslått at internkontrollprinsippet, som bygger på risiko- og sårbarhetsanalyser gjennomført av den enkelte anleggseier, skal legges til grunn ved vurdering av hvilke telekommunikasjonsanlegg som bør EMP-sikres. Ettersom det legges opp til at den enkelte må bekoste EMP-sikringen selv, mener man at det kan være fare for at EMP-sikringen i mange tilfeller ikke blir i henhold til forskriften. Dette anses for å være uheldig, og det er derfor foreslått å være en forutsetning at Post- og teletilsynet kan gi objektive og faglige råd i forkant av en eventuell EMP-sikring. Dette vil være en naturlig oppgave for Post- og teletilsynet. Det legges opp til at forskriften skal fastsettes av Post- og teletilsynet etter at tilsynets arbeid med telesikkerhet og -beredskap er kommet i gang.

10.7 Nasjonal autonomi 1

Tidligere hadde Norge, som mange andre land, ett nasjonalt telenett. Dette nettet var «autonomt» i den forstand at nettet både eiermessig og driftsmessig var uavhengig av andre telenett selv om det var tilknyttet andre nett gjennom internasjonale samtrafikkavtaler. Liberaliseringen av telesektoren og den generelle globaliseringen har endret dette bildet ved at nye telenett i dag ofte blir etablert på tvers av landegrensene.

I moderne telenett er det mulig å sentralisere driftsfunksjonene i langt større grad enn tidligere. I prinsippet vil en operatør kunne overvåke driften av hele sitt landsdekkende nett fra ett sentralt senter i utlandet. Knutepunkt i nettene som er vitale for telenettenes funksjon kan også ligge utenfor Norges grenser, og informasjon for håndteringen av tjenesten kan hentes fra sentraliserte noder i utlandet. Dette reduserer muligheten til å ha nasjonal kontroll med telenettet, samtidig som vi er utsatt for sårbarheten i andre lands telenett i tillegg til vår egen.

I det norske markedet har vi fått aktører som definerer hele Norden som sitt hjemmemarked og som bygger ut sammenhengende telenett i alle nordiske land. Driftsteknisk er det mulig å administrere telenettet i hvert land fra et sentralt driftssenter, noe som også skjer i praksis ved at disse operatørenes driftssentre i Norge typisk bare er bemannet i ordinær arbeidstid. På kveldstid og nattetid overføres gjerne overvåkingen av nettet til et sentralt driftssenter utenfor landets grenser.

Etter hvert som de nye aktørene opparbeider betydelige markedsandeler øker også deres betydning i forhold til Totalforsvaret. For Totalforsvaret betyr dette at det ikke lenger bare er Telenors virksomhet som er avgjørende for befolkningens tilgang til telekommunikasjonstjenester. Riktignok er produksjonen av teletjenester hos de nye aktørene i stor grad fortsatt avhengig av Telenors infrastruktur. I en krisesituasjon vil det imidlertid være av stor betydning at telesystemene til andre operatører enn Telenor også fungerer tilfredsstillende. En viktig målsetting er at operatører som tilbyr offentlig telefontjeneste i Norge må kunne opprettholde tjenestetilbudet til sine kunder i en situasjon hvor forbindelsene til utlandet blir brutt. Nasjonal autonomi innebærer at det skal være mulig å kommunisere innenfor nasjonens grenser uten å være avhengig av driftsstøtte fra utlandet. For å sikre Norges suverenitet i enhver samfunnstilstand anbefaler TIFKOM-prosjektet at Post- og teletilsynet bør stille nasjonal autonomi som krav til operatørene, dvs. at det skal være mulig å kommunisere som normalt innen nasjonens grenser dersom all kommunikasjon mot utlandet blir brutt.

Myndighetskrav i form av spesielle forskrifter eller konsesjonsbestemmelser kan være et mulig virkemiddel for å oppnå nasjonal autonomi. I det regulatoriske rammeverket som er etablert for telesektoren er det også et siktemål å unngå for mange nasjonale særbestemmelser. Det kan derfor være hensiktsmessig å vurdere andre virkemidler som bl.a. innebærer et sterkere samarbeid mellom myndighetene og de viktigste teleselskapene på dette området.

Av kommersielle grunner er det naturlig at selskaper som f.eks. opererer telenett i alle nordiske land søker å rasjonalisere driften mest mulig. Samtidig krever nærhet til kundene lokal tilstedeværelse når det gjelder kundebehandling, service, feilretting etc. Det er således en avveining av ulike hensyn som avgjør hvilken driftsstruktur selskapene velger. I denne prosessen er det viktig at også beredskapshensyn får en sentral plass i selskapenes planlegging. Dette behøver ikke nødvendigvis å innebære dublering av funksjoner og utstyr, men kan eventuelt også oppnås gjennom omdisponeringer i driftsorganisasjonen med sterkere vekt på lokal beredskap ved krisesituasjoner. Merkostnadene er sannsynligvis svært marginale i forhold til de omfattende investeringene som i dag foretas i telesektoren.

Post- og teletilsynet får i oppgave å utrede nærmere forutsetningene for og konsekvensene av å innføre et krav om nasjonal autonomi for alle samfunnsviktige teleoperatører.

10.8 Sikkerhet i telenettenes IKT-baserte produksjonssystemer

Sikkerhet har blitt en stadig mer aktuell problemstilling ettersom viktige driftsfunksjoner i telenettene i stadig større grad sentraliseres, og i tillegg baserer seg på kommersielt tilgjengelige datamaskintyper. Dersom disse systemene i tillegg har tilknytning til f.eks. Internett, vil dette gi mulighet for uautorisert tilgang til sentrale systemer for telenettenes funksjon. Konkurransen i markedet vil imidlertid sørge for at driftssikkerhet vil gi et konkurransefortrinn for den enkelte aktør. Driftssikkerheten vil derfor generelt være god under normale driftsforhold. Konkurransemarkedet vil derimot være lite opptatt av å beskytte seg mot de større utfordringene, f.eks. mot en aktør som har høy angrepskapasitet. Dette kan for eksempel være en stor terror- eller statlig organisasjon. Den enkelte aktør i markedet har således ikke insentiv til å bruke ressurser på disse utfordringene ettersom de ikke vil få en klar kommersiell fordel av slike tiltak.

I forbindelse med sikkerheten i IT-systemene for teleoperatørene, er inntrykket til TIFKOM-prosjektet at det største problemet er at nye systemer og systemelementer kobles direkte på det eksisterende nettverket uten at operatørene nødvendigvis ser konsekvensene av hva dette kan føre til. Etter hvert som flere systemer og elementer kobles på, risikerer man å miste oversikten. Uten oversikt og kontroll over IT-systemenes oppbygning blir det dermed vanskelig å beskytte et slikt nettverk.

For å hindre at uvedkommende får tilgang til operatørenes drifts-, vedlikeholds- og støttesystemer, mener Samferdselsdepartementet at Post- og teletilsynet bør stille krav til operatørene om at det skal utarbeides en oversikt over hvordan viktige system, f.eks. driftssystemet, er koblet mot det øvrige nettverket. Dersom dette ikke er kjent, er faren stor for at viktige systemer heller ikke er beskyttet bedre enn resten av nettverket. Samtaler TIFKOM-prosjektet har gjennomført med operatørene har imidlertid avdekket at dette var et område som var i fokus i forbindelse med operatørenes forberedelser til overgangen til år 2000.

Når man har oversikt over hvordan nettverkene er oppbygd er grunnlaget lagt for å beskytte viktige delsystem bedre enn det nettverket det er koblet opp mot. Dette kan gjøres ved at delsystemet separeres fra resten av nettverket med en enhet, f.eks. en brannmur. Segmentering av nettverkene blir viktigere etter hvert som flere nettverk kobles sammen, og krav om bedre beskyttelse av viktige delsystemer er et annet krav Post- og teletilsynet bør stille til operatørene.

10.9 Red teams

Det vil være behov for en rekke ulike typer tiltak for å sikre informasjonen innen telenettets IKT-baserte produksjonssystemer. Et eksempel på et viktig tiltak vil være å ta i bruk såkalte «red teams». Et «red team» er en gruppe mennesker som har fått i oppdrag å trenge inn i en bedrifts datasystemer for å avdekke mulige svakheter i informasjonssystemenes sikkerhet. Dette kan med andre ord beskrives som et betalt hacker-oppdrag.

For å avdekke svakheter i informasjonssystemene i telenettene bør det etableres «red teams» som skal foreta autoriserte inntrengingsforsøk hos den enkelte operatør. Slike betalte hacker-oppdrag kan kombineres med ekstern revisjon eller internkontroll der klare krav og kriterier til informasjonssikkerhet blir testet og analysert. Resultatet av de inntrengingsforsøkene «red teams» gjør skal formidles til den enkelte operatør og Post- og teletilsynet slik at forebyggende tiltak kan iverksettes. Den kompetansen «red teams» må ha for å kunne avdekke svakheter i systemene til teleoperatørene må være på høyde med «profesjonelle hackere». I Norge etableres det miljøer som kan tilby konsulenttjenester innen dette feltet.

I Sverige har Post- och telestyrelsen gjennomført et prosjekt som har analysert trusselbildet for operatørenes drifts- og overvåkningssystemer. Dette prosjektet har vært gjennomført som en inntrengingsanalyse utført av to parallelt arbeidende «red teams». Det er operatørene selv som eier resultatene av disse analysene, mens Post- och telestyrelsen bare får muntlige oppsummeringsrapporter. Etter en slik gjennomgang blir det operatørene selv som må foreslå tiltak for å bedre de eventuelle svakhetene som er blitt avdekket og som må stille krav til sine leverandører, men Post- och telestyrelsen har møter med operatørene og diskuterer tiltakene med dem. I utgangspunktet er det operatørene selv som skal dekke kostnadene forbundet med disse tiltakene, men det kan bli aktuelt for Post- och telestyrelsen å delfinansiere tiltak som må iverksettes hos operatørene.

Samferdselsdepartementet mener «red teams» bør tas i bruk også i norske telenett for å avdekke svakheter i informasjonssystemenes sikkerhet. Post- og teletilsynet får i oppgave å utarbeide et opplegg basert på den svenske modellen som er skissert ovenfor. Dersom «red teams» skal benyttes på datasystemer som er definert som skjermingsverdige objekter eller inneholder skjermingsverdig informasjon, er det spesielle krav til hvem som kan utføre slike inntrengingstester. I slike situasjoner bør Nasjonal sikkerhetsmyndighet kontaktes i forkant for å avklare eventuelle problemer. Bruk av «red teams» vil være basert på frivillighet fra operatørenes side, og vil være et tilbud til de som ønsker det.