Foredrag: Nasjonal Sikkerhetsmyndighet – Risiko og sårbarheter i en ny tid

Direktør Kjetil Nilsen i NSM – Nasjonal Sikkerhetsmyndighet taler i Oslo Militære Samfund (OMS). Foto: OMS.

Mandag 27. mars 2017, gjestet direktør for Nasjonal Sikkerhetsmyndighet, Kjetil Nilsen, Oslo Militære Samfund hvor han avholdt foredraget «Risiko og sårbarheter i en ny tid». NSM avholder samme uke sin velkjente Sikkerhetskonferansen, og foredraget kom dagen før åpning av konferansen.

Se presentasjonen som ble vist her og les manus her.

Lytt til podcast her:

Må sammenholdes mot fremføring

Oslo Militære Samfund 27. mars 2017

Risiko og sårbarheter i en ny tid

Kjetil Nilsen
Direktør Nasjonal Sikkerhetsmyndighet

INNLEDNING

Kjære alle sammen,

Først vil jeg takke for invitasjonen. Det er en stor ære å komme hit for å snakke om et tema som ligger meg nær, nemlig risiko og sårbarheter i en ny tid.

I løpet av de siste månedene har flere fra denne talerstol, på en god måte beskrevet utviklingen i den sikkerhetspolitiske situasjonen og redegjort for et krevende trusselbilde og hvilke utfordringer forsvaret står overfor i årene som kommer. I dag er det ikke truslene fra andre som er hovedtema, men sårbarheter av betydning for samfunnet, og hva vi kan gjøre for å redusere dem.

I mitt innlegg kommer jeg til å reflektere rundt hvordan risikobildet utvikler seg, og hva vi kan gjøre med sårbarhetene innenfor IKT-sikkerhet og objektsikkerhet, samt litt om menneskenes rolle i dette. Her vil jeg særlig komme inn på

  •   Styring av sikkerhetsarbeidet
  •   At grunnsikringen må bli bedre
  •   At vi har for mange IKT-driftsmiljøer i det offentlige
  •   At evnen til å oppdage cyberhendelser må bedres
  •   Vi trenger mer kompetanse

    Samfunnet er i endring og jeg vil innledningsvis nevne noen internasjonale trender 1

Må sammenholdes mot fremføring

som vi må ta høyde for når vi innretter oss for å møte fremtidige sikkerhetsutfordringer.

Digitalisering og globalisering skaper økt kompleksitet. Informasjonstilgangen er overveldende. Den digitale utviklingen skaper store avhengigheter på tvers av virksomheter og landegrenser. Store menneskemengder forflytter seg, og det oppstår humanitære utfordringer. Det er klare tendenser til økt polarisering og tilliten til de styrende synes å være svekket. Populisme synes å være i fremmarsj. En ny situasjon har oppstått i Europa etter Brexit, og valget i USA har skapt usikkerhet. Vi og flere land i Europa skal gå til valg senere i år. Alt dette gir en uoversiktlig og krevende situasjon. Likevel tror jeg at rekkevidden av den teknologiske utviklingen som skjer rundt oss og konsekvensene som følger av den som vi har dårligst forutsetning for å forstå. Utviklingen skaper nye måter å kommunisere på, og mennesket innretter seg raskt. Alt rundt oss kommer innen kort tid til å inneholde en datamaskin, en sensor som kommuniserer med andre. Arbeidslivet endres når automatiseringen slår til for fullt. Nasjoner og virksomheter som ikke henger med i utviklingen vil bli akterutseilt. De lange planprosessene er en utfordring. Teknologiutviklingen kommer ikke til å vente på dem.

Som en følge av disse trendene er det blitt vanskeligere å sammenfatte og etablere et risiko- og sårbarhetsbilde, og det utløser behov for nye sikkerhetstiltak.

Norge er et av verdens tryggeste land, og voldsnivået er lavt. Landets økende velstand og utviklingen av velferdsstaten har ført til at Norge ofte rangerer høyt på oversikter over de beste land å bo i. Befolkningen har høy tillit til myndighetene, men det er samtidig en forventning om at myndigheter og viktige samfunnsaktører sikrer at samfunnsfunksjonene våre fungerer.

Med dette som bakteppe vil jeg nå gå inn i det risikobildet vi ser for 2017.

 

Et motstandsdyktig samfunn med god beredskap mot hendelser, skapes blant annet gjennom et godt forebyggende sikkerhetsarbeid. Forebyggende sikkerhet handler om å etablere god grunnsikring i form av informasjon, objekter og viktige samfunnsfunksjoner, både nå og i fremtiden. Det er grunnsikringen som må ta støyten dersom vi ikke får noe forvarsel eller om vi står overfor en ny type angrep som vi ikke har planlagt for.

Både offentlig forvaltning og private virksomheter har verdier som må beskyttes mot spionasje, sabotasje, terrorisme og andre sikkerhetstruende hendelser. God styring av sikkerhet er det viktigste virkemiddelet og en nødvendig forutsetning for å identifisere og iverksette effektive, helhetlige sikringstiltak.

Mangelfull planlegging og styring av sikkerhetsarbeidet er fortsatt en utfordring. Dette er alvorlig.

Den overveiende delen av avvik som er avdekket gjennom NSMs tilsyn, burde virksomhetene selv ha avdekket gjennom interne sikkerhetsrevisjoner. Uten at sikkerhetsrevisjoner er gjennomført, blir også grunnlaget for ledelsens evaluering svakt, noe som igjen kan føre til feil prioriteringer av korrigerende tiltak for å redusere risikoen mot virksomhetens verdier.

NSM utfører hvert år tilsyn med både private og statlige virksomheter. Det vi ofte ser, er at mange store foretak og forvaltningsinstitusjoner sliter med å implementere de fire store hovedtiltakene innen sikkerhetsstyring, som er

verdivurdering, risikoanalyser, internrevisjon og ledelsesevaluering.

Det finnes ofte sikkerhetsfaglig kompetanse i virksomhetene, men den blir ikke alltid systematisk utnyttet. Det finnes også tegn som tyder på at underordnede etater i en del tilfeller ikke får tilstrekkelige styringssignaler om og oppfølging av sitt arbeid med forebyggende sikkerhet fra overordnet departement, som har et særlig ansvar for sikkerheten i egen sektor.

Vi anbefaler at virksomhetene etablerer et system for kontinuerlig styring og forbedring av sikkerhetsarbeidet. Dette vil bidra til å gjøre virksomhetenes sikkerhetsarbeid mer systematisk og lettere å følge opp.

Vi anbefaler også at overordnede virksomheter styrer og følger opp underordnede på sikkerhet.

Det må være kultur for å melde fra om avvik og hendelser. Den som rapporterer, bør ikke utsettes for negative konsekvenser, men heller oppmuntres til å rapportere. Luftfartsindustrien er et eksempel på en sektor hvor dette lenge har vært etablert.

Nesten 30 prosent av befolkningen, er bekymret eller svært bekymret for at cyberangrep skal slå ut viktige styringssystemer viser DSBs store befolkningsundersøkelse som ble lagt frem nylig. På dette området ser vi privatpersoner som er redd for å bli hacket, virksomheter som er redde for økonomisk tap, og det er en mulighet for at sentral infrastruktur kan bli satt ut av spill. Cyberangrep har beveget seg fra hacking på gutterommet, via kriminelle handlinger, til å bli et angrepsverktøy for en nasjonalstat.

PST og E-tjenesten har tidligere i vinter trukket frem Russland og Kina som de mest aktive etterretningsaktørene i Norge. Vi i NSM ser at statlige aktører forsøker å etablere et fotfeste i norske virksomheters digitale infrastruktur.

Nasjonal sikkerhetsmyndighet NorCERT driver et nasjonalt sensornettverk for å avdekke digitale angrep (VDI). Våre sensorer er utplassert i kritisk infrastruktur og i virksomheter som har kritiske samfunnsfunksjoner eller driver med høyteknologi. Når alvorlige angrep avdekkes, koordinerer vi og bistår i håndteringen av disse. Gjennom vårt sensorsystem har vi i løpet av det siste året sett cyberangrep rettet mot offentlig forvaltning og næringsliv. Det dreier seg om fremmed etterretningsvirksomhet og avanserte datanettverksoperasjoner.

Cyberangrepene øker i antall. I 2016 registrerte NSM nok en økning i antall hendelser fra året før. Samtidig antar vi at det er store mørketall når det gjelder det årlige totale antall cyberhendelser i Norge. Mange virksomheter avdekker og håndterer slike hendelser selv, uten at dette rapporteres til NSM eller til andre myndigheter. I tillegg antas det å være mange hendelser som av tekniske eller kapasitetsmessige årsaker ikke blir oppdaget.

I løpet av 2016 var det særlig to trender i risikobildet for IKT-hendelser som bekymrer oss. Den ene er at de mest alvorlige og ressurskrevende sakene fra avanserte trusselaktører øker i omfang. Den andre er at nettopp disse aktørene har begynt å angripe mindre norske virksomheter med sårbare IKT-systemer for å utnytte de kompromitterte nettverkene videre som infrastruktur i angrep mot andre, tilsynelatende mer attraktive mål.

Den dominerende angrepsmetoden for målrettede angrep er infiserte vedlegg i e- poster sendt til utvalgte personer. Trusselaktørens intensjon er å få mottakeren til å klikke på vedlegget. Angrepet er skreddersydd til offeret, med innhold det er lett å la seg lure av. Eksempelvis kan e-posten se ut som om den kommer fra en kollega. Angrep mot norske myndigheter og teknologivirksomheter er typisk i denne kategorien.

Angrep med formål å innhente informasjon er det normale. Det er heldigvis slik at Norge ennå ikke har opplevd cyberangrep i betydningen fullskala operasjoner mot oss med formål å gjøre effektfull skade. Flere land har opplevd reelle cyberangrep. Vi husker alle angrepet mot et kraftanlegg i Ukraina med påfølgende bortfall av strøm for mange hundretusener før jul i 2015. Både Estland i 2007 og Georgia i 2008 har opplevd cyberangrep. Felles for angrepene er at de har vært knyttet til en tilspisset politisk situasjon. NSM vurderer at risikoen for angrep med stort skadepotensiale vil være høyest i tilknytning til en konkret sikkerhetspolitisk situasjon.

Det store volumet av IKT-hendelser i Norge er imidlertid kriminalitet med økonomisk vinning som formål. To eksempler på dette er tjenestenektangrep og løsepengevirus med kryptolåsing av systemer. Slike angrep kan forårsake stor skade for kritisk infrastruktur og samfunnsviktige funksjoner. Løsepengevirus vil kunne sette ut hele virksomheter i dager eller uker. Dersom omfanget blir stort nok, vil det kunne få store konsekvenser ikke bare for enkeltmennesker og virksomheter, men for hele samfunnet. Heldigvis er det fortsatt slik at den norske delen av internett er relativt rent i forhold til mange andre land.

Vi vurderer at økning i alvorlige cyberangrep, kompromittering av nettverk i mindre virksomheter, bruk av cyberangrep og stjålet informasjon til påvirkning og et stort volum økonomisk motiverte hendelser er trender som vil fortsette i 2017 og videre fremover.

En stor utfordring er at det foreligger mange sårbarheter en trusselaktører kan utnytte. Ikke bare tekniske.

For det første dreier det seg om den økte kompleksiteten i IKT-strukturen vår. Samfunnet vårt består av det Lysne-utvalget kalte lange uoversiktlige verdikjeder, der mange store og små virksomheter er koblet sammen gjennom ulike digitale produkter og tjenester. Det skaper avhengigheter og innebærer at vi arver andre virksomheters sårbarheter. For virksomhetene som er avhengig av digitale tjenester, er det derfor vanskelig å ha tilstrekkelig innsikt i, og kontroll over egne sårbarheter. Dette øker samfunnets totale sårbarhet. Det seneste uttrykket for denne sammenhengen ble kjent da en eller flere underleverandører til Nødnett fikk bistand fra indiske selskaper, en sak hvor etterforskning fra politiet og tilsyn fra NSM og Nkom fremdeles pågår.

De lange verdikjedene stiller store krav til kompetanse hos dem som bestiller og følger opp leveranser. Det er ikke alle virksomheter som har slik kompetanse.

Den andre utfordringen som jeg vil trekke frem er fragmentering. Både når det gjelder tekniske løsninger og når det gjelder struktur og organisering av IT- tjenester. Dette er egentlig to sider av samme sak.

I offentlig forvaltning ser vi en stor svakhet i at IKT-løsningene er fragmenterte og at ansvaret er fordelt på mange aktører. Fragmenterte driftsmiljøer skaper kompleksitet og unødige variasjoner på nettverk og systemer. Det skaper utfordringer funksjonelt for å få de ulike programmene til å snakke sammen, og sikkerhetsmessig fordi det er mange løsninger som skal forvaltes og oppdateres. Dette resulterer i flere sårbarheter og mulige angrepsflater.

IKT Norge gjennomførte for noen år siden en undersøkelse som viste at det fantes ca. 600 forskjellige IKT-driftsmiljøer i offentlig sektor. Nesten alle etater har sitt eget. Jeg, som direktoratsleder, står nesten fritt til å velge hvordan jeg vil organisere mitt IKT-driftsmiljø, og hva slags løsninger jeg velger å satse på. Jeg kan ha et eget driftsmiljø eller sette ut driften, og jeg kan inngå leverandøravtaler med nesten hvem som helst. De færreste etater eller direktorater har kompetanse til å gjøre slike valg. Å beholde autonomien og «sjølråderetten» har vært viktigere enn sikker og effektiv drift på IKT-siden. En slik holdning koster oss dyrt som samfunn, og vi har ikke råd til å holde på slik i lengden. Over tid svekker en slik tilnærming både sikkerheten i datasystemene, og mulighetene for å dra full nytte av den nyeste teknologien. Små driftsmiljøer har rett og slett ikke ressurser til å henge med på utviklingen.

Felles IKT-løsninger og infrastruktur er viktig for sikker samhandling både innen sektorer og mellom sektorer. Ved en samfunnsmessig eller sikkerhetspolitisk krise må IKT-systemene være tilgjengelige og virke som de skal.

NSM mener det er behov for færre IKT-miljøer i offentlig sektor. Vår vurdering er at dette vil gi stordriftsfordeler med mer robuste kompetansemiljøer og kostnadseffektive løsninger, både funksjonelt, driftsmessig og sikkerhetsmessig.

Større IKT-miljøer har lettere for å tiltrekke seg og bygge opp sikkerhetsfaglig kompetanse og annen spesialkompetanse.

Vi mener også at det er behov for en felles robust IKT-infrastruktur i statsforvaltningen. Flere land har satt i gang tiltak for å innfri kravene om en mer effektiv statsadministrasjon og for å øke digitaliseringen. Et av hovedtiltakene er å etablere en robust felles infrastruktur tilrettelagt for samhandling og kobling av data.

Jeg har nå fokusert på offentlig sektor, men prinsippene er relevante for private virksomheter også.

Selv om vi rydder og strukturer oss på en god måte vil det være teknologiske sårbarheter vi må håndtere. Det er den tredje utfordringen jeg vil trekke frem. Det er mange teknologiske sårbarheter. En trusselaktør vil benytte seg av kjente sårbarheter, fordi de gir maksimal gevinst med minimal risiko for å bli oppdaget. I klartekst betyr det at kjente metoder er veien inn i en virksomhets datasystem. Trusselaktøren går inn der gjerdet er lavest, for eksempel ved å få noen til å klikke på en lenke i en epost.

Den gode nyheten er at det er mulig å beskytte seg mot de fleste kjente sårbarheter hvis man følger våre og andres tilsvarende grunnleggende råd. Vi har utarbeidet 4 helt grunnleggende råd, og 10 råd for sikring av egne nettverk. Opp mot 90% av angrepene kan forebygges gjennom å følge disse rådene.

Direktør Kjetil Nilsen i NSM – Nasjonal Sikkerhetsmyndighet taler i Oslo Militære Samfund. Foto: OMS.

Den dårlige nyheten er at det er svært vanskelig å beskytte seg mot de mest avanserte angrepene. Imidlertid, dersom rådene følges, så tvinger vi angriperen til å anvende mer avanserte metoder. Da engasjerer vi motstanderen, og det er ikke sikkert han er villig til å bruke mer kostbare virkemidler. Et IT-våpen blir kjent når det er avfyrt.

Vi i NSM gjennomfører inntrengningstesting i norske systemer. Da er det vi som er trusselaktøren. Som regel klarer vi å bryte oss inn nesten hver gang med enkle metoder som kunne ha vært stanset dersom våre råd hadde blitt fulgt. Heldigvis ser vi at virksomhetene har blitt bedre til å erkjenne at tekniske sårbarheter finnes, og de er blitt bedre til å lukke dem.

For å møte de tekniske sårbarhetene har vi publisert flere råd om sikring av både graderte og ugraderte systemer. Dette vil vi fortsette med. Hensikten er å medvirke til at virksomhetene etablerer en god «grunnsikring» i sine IT-systemer. Vi er i ferd med å utvikle det vi kaller «Grunnprinsipper for IKT-sikkerhet». Grunnprinsippene vil legge til rette for gjenbruk i og på tvers av ulike sektorer og bygger på etablerte internasjonale standarder. Prinsippene skal gjøre det enklere å oppfylle krav i ulike regelverk og på den måten legge til rette for felles tekniske løsninger.

I 2017 vil vi prioritere det vi mener er viktigst for å gi beslutningstakere i offentlige og private virksomheter en overordnet tiltakspakke for sikring av egne informasjonssystemer. Den første tiltakspakken vil omfatte tjenesteutsetting, drift og forvaltning, aksesskontroll, kommunikasjonssikkerhet, herding, logging og hendelseshåndtering. Sikringstiltakene skal endres i takt med den teknologiske utviklingen og samtidig støtte opp under digitaliseringen i samfunnet.

Vi kan gi råd og anbefalinger, men vi er helt avhengig av at den enkelte virksomhet implementerer disse i sine systemer.

Det fjerde og siste området jeg vil trekke frem er behovet for å kunne detektere og håndtere alvorlige cyberhendelser. Evnen til å oppdage alvorlige cyberhendelser må styrkes, både på nasjonalt plan, gjennom sektorvise responsmiljøer og i virksomhetene selv. Nasjonalt må vårt sensornettverk styrkes for å gi et tilstrekkelig situasjonsbilde av den nasjonale IKT-sikkerhetstilstanden i kritisk infrastruktur og kritiske samfunnsfunksjoner.

En styrking av deteksjons- og håndteringsevnen, krever både teknologi- investeringer og retningslinjer for hendelseshåndtering. Derfor jobber vi for tiden intensivt med å utvikle et nasjonalt operativt «rammeverk for digital hendelseshåndtering». Rammeverket skal styrke Norges evne til å håndtere cyberhendelser som rammer offentlige og private virksomheter i og på tvers av sektorer. Rammeverket beskriver hva som skal gjøres slik at alle relevante aktører effektivt kan utøve sitt ansvar i en koordinert nasjonal respons.

Rammeverk for digital hendelseshåndtering vektlegger tiltak fra forberedelse og planlegging, deteksjon og respons, vurdering, rapportering og utarbeidelse av læringspunkter. Rammeverket ble første gang prøvet ut i den store nasjonale IKT- øvelsen som ble gjennomført i november 2016. Vi noterte oss en hel rekke med nyttige erfaringer som vi nå tar med i arbeidet med å ferdigstille rammeverket.

Nå har jeg snakket mye om IKT- sikkerhet. Et annet område som er viktig i det forbyggende sikkerhetsarbeidet, er fysisk sikring og objektsikkerhet.

Som dere sikkert kjenner til, var det høring i Kontroll- og konstitusjonskomiteen om arbeidet med objektsikkerhet i forsvars- og justissektoren og sikring av objekter med sikringsstyrker for en uke siden. Bakgrunnen for høringen var en revisjonsrapport fra Riksrevisjonen. Høringen fikk i alle fall frem kompleksiteten innenfor dette feltet. Det er derfor viktig å forstå at arbeidet med sikring av skjermingsverdige objekter etter sikkerhetsloven er et kontinuerlig arbeid, som til enhver tid må ta utgangspunkt i utviklingen i trusselsituasjonen og samfunnsutviklingen for øvrig.

Som jeg nevnte tidligere, er den sikkerhetspolitiske situasjonen blitt slik at sikkerhetstruende hendelser som terrorisme, sabotasje og spionasje ofte skjer uten forvarsel. Derfor må samfunnet ha en viss grunnleggende motstandskraft. Dette kaller vi for grunnsikring. Grunnsikring skal alltid være tilstede. Sikringsstyrker fra forsvaret eller politiet er et påbygningstiltak som kommer i tillegg til grunnsikringen. Om en hendelse plutselig skjer, er det grunnsikringen som er vår beskyttelse og som må fungere.

Vår aktivitet konsentrerer seg om sikring av objekter som er viktige for rikets sikkerhet og andre vitale nasjonale sikkerhetsinteresser. Etter sikkerhetsloven omtales disse som «skjermingsverdige objekter.» Det kan være viktig infrastruktur, lagringsløsninger i datahaller eller andre funksjoner som rikets sikkerhet og selvstendighet er avhengig av.

Det er virksomhetene som eier, eller rår over, skjermingsverdige objekter, som har plikter i henhold til objektsikkerhetsregelverket. Et sentralt element er å bidra til å finne ut hva virksomheten skal sikre. Her er verdivurdering nøkkelen. I en verdivurdering kartlegger virksomheten sine verdier og rangerer disse etter viktighet. Dette er en forutsetning for utforming av effektive sikringstiltak og for riktig prioritering av begrensede sikringsressurser.

I fjor gjennomførte vi mange tilsyn, hvor vi avdekket store mangler når det gjelder fysisk sikring av objekter. Flere virksomheter som forvalter skjermingsverdige objekter etter sikkerhetsloven har ikke gjort ordentlige vurderinger av hvilken risiko de faktisk står overfor. De har ikke planer for å øke sikkerheten når risikoen øker. Bare unntaksvis har de kartlagt hvem de er avhengig av i egen sektor og på tvers av sektorer. Alle disse funnene påvirker sikkerhetstilstanden i negativ retning. Dette er bekymringsfullt.

Dette betyr ikke at det ikke er etablert noen grunnsikring ved de skjermingsverdige objektene. Noen av dem ligger for eksempel dypt inne i fjellanlegg. I løpet av de siste årene har mange tiltak blitt iverksatt. Det det betyr er at det fremdeles er mangler. Vi er ikke i mål. At trusselbildet er i forandring og teknologien endrer seg viser en dynamikk som tilsier at også sikringstiltakene vil måtte endre seg. Det er et kontinuerlig arbeid, men målsetningen må være at vi skal bli bedre hele tiden.

Siden tidlig i fjor høst, har et gammelt fenomen i ny drakt dukket opp i samfunnsutviklingen. Det har fått mye omtale ikke minst i media og handler om påvirkningsoperasjoner.

Direktør Kjetil Nilsen i NSM – Nasjonal Sikkerhetsmyndighet taler i Oslo Militære Samfund. Foto: OMS.

Jeg noterte meg Morten Haga Lunde sin vurdering av effekten av den russiske ambassadens påvirkningsforsøk mot norsk opinion, som han snakket om fra denne talerstol for noen uker siden. Han var trygg på at norske borgere var i stand til å gjøre egne vurderinger, eller å skille «snørr og barter» som han sa, og at pressemeldingen fra den russiske ambassaden tidligere i vinter om den norske holdningen til russiske myndigheter nok ikke fikk den effekten russerne kanskje hadde håpet. Denne vurderingen deler jeg.

Når det er sagt, så må vi huske på at den digitale arenaen er stedet hvor norsk naivitet og tradisjonell tillit til myndigheter og politiske organisasjoner møter harde realiteter fra andre samfunn. NSM har derfor gitt bistand til partiorganisasjonene for å styrke deres informasjonssikkerhet foran Stortingsvalget. Hovedfokus for rådgivningen er å øke sikkerhetsbevisstheten, i tillegg til å gi anbefalinger om tekniske tiltak for å bedre sikkerheten i organisasjonene.

Politiske påvirkningsoperasjoner, blant annet gjennom digital påvirkning, misbruker og angriper sentrale verdier i demokratiske samfunn. Disse sentrale verdiene er blant annet fri og åpen meningsdannelse og en fri og uavhengig presse. Disse verdiene kan misbrukes til å spre desinformasjon, løgn og undergraving. Når usannheter spres med stor kraft og i stort omfang, må det brukes mye energi og ressurser på å imøtegå dette.

I et samfunn med stor grad av ytringsfrihet kan slike virkemidler være vanskelige å identifisere når de skjuler seg i annen informasjon. Når det til stadighet spres drypp av undergravende informasjon, vil det være utfordrende å vite hva som bare er ufarlige enkeltutspill og hva som er del av en større, koordinert operasjon. Det kan være vanskelig å vite om det finnes en større hensikt bak og hva som er beste handlemåte for å beskytte seg. Situasjonen er derfor det som i andre sammenhenger kalles asymmetrisk, det vil si at spillereglene er ulike for den som angriper og den som angripes.

Siste linje mot spredning av falsk og stjålet informasjon i mediene er journalister og redaksjoner. Det er gledelig at VG, Dagbladet og NRK nå har gått sammen og etablert redaksjonen Faktisk, som skal faktasjekke påstander.

Myndighetsorganer, politiske partier, medier og andre virksomheter med høy grad av tillit i samfunnet bør forsterke sikkerheten i og kontrollen med egne kommunikasjonskanaler, som nettsider, e-post og kontoer på sosiale medier.

I EU er det opprettet en «task force» – en arbeidsgruppe – for å kontre desinformasjon. Initiativet skal samtidig øke EUs kapasitet til å forutsi, håndtere og svare på desinformasjon fra eksterne aktører. Vi har ikke noe tilsvarende i Norge, men kanskje vi bør vurdere noe slikt nasjonalt?

Borgere med høy kompetanse og evne til å reflektere er kanskje vårt beste forsvar mot påvirkningsoperasjoner. Borgere som tenker seg om og ikke klikker ukritisk på lenker i e-poster bidrar også til bedre cybersikkerhet. Som samfunn trenger vi kompetanse i bred forstand. Alt fra hvordan vi får inn forståelse for de digitale mulighetene og utfordringene gjennom undervisning i skolen, til hvordan vi lærer den oppvoksende generasjonen til å vurdere den enorme mengden informasjon de har tilgang til på internett med en sunn skepsis og en viss kritisk sans. Alt man leser på nettet er jo ikke sant. Her har både skolen og foreldre en viktig rolle.

I dette bildet må vårt beste vern som samfunn være å sørge for å ha grunnleggende og god kompetanse til å gjøre de rette vurderingene. Nøkkelen her er et effektivt og godt utviklet skolesystem, hvor vanlige mennesker lærer nok til at de kan gjøre riktige vurderinger.

Mennesker kan være vårt beste forsvar, men mennesker kan også utgjøre et svakt punkt. Innsidere med legitim tilgang har ikke bare tilgang til virksomhet, systemer, informasjon eller prosesser, men kan også kjenne til svakhetene ved tiltak og prosedyrer som skal sikre virksomhetens verdier. Siden en innsider kjenner virksomhetens svakheter, som kan skadepotensialet være stort. Bevisstgjøring og holdningsskapende arbeid er sentrale mottiltak, sammen med konkrete tiltak som god logging i datasystemene og skjerpet årvåkenhet. Dessverre ser vi regelmessig at sensitiv og gradert informasjon lekker fra norske virksomheter. Det er et problem som virksomhetene må følge opp.

NSM jobber forebyggende med å skape motstandsdyktighet. Samtidig jobber vi operativt med å håndtere hendelser døgnet rundt. Vi er avhengig av et velfungerende samarbeid både nasjonalt og internasjonalt. Vi er avhengig av å ha god oversikt over situasjonsbildet i og mellom sektorer. Dette gir oss en nødvendig grunnmur som sikkerhetsarbeidet kan hvile på.

Mine hovedpoeng har vært følgende:

  •   Styringen av sikkerhetsarbeidet må bli bedre
  •   Grunnsikringen må styrkes
  •   Det er for mange IKT-forvaltnings- og driftsmiljøer i det offentlige
  •   Det er for mange og uensartede tekniske løsninger i virksomhetene
  •   Evnen til å oppdage cyberhendelser må bedres
  •   Det er behov for bedre kompetanse

    Jeg kommer ikke unna budskapet om at det til syvende og sist er virksomhetene selv, offentlige og private, som har primæransvaret for å beskytte egne verdier. Om grunnsikringen er på plass, vil forutsetningene være bedre om vi må høyne beredskap og anvende statens maktapparat. Politi og forsvar.

Innledningsvis sa jeg at sikkerhet er til for å beskytte verdier. Vi er avhengig av sikkerhet for at befolkningen skal ha tillit til nye tjenester. Storbritannia er ett av de landene som ser på digital sikkerhet som et satsningsområde. Ikke bare for å beskytte sine interesser, men også i troen på at satsning på sikkerhet vil være lønnsomt for samfunnet og gi forretningsmessige fordeler. Sikkerhet er således ikke bare et spørsmål om å hindre at noe negativt skjer. Sikkerhet er like mye å bidra til at noe positivt kan skje. En utgift til inntekts ervervelse.

Takk for oppmerksomheten!

Skriv ut