nou 2015: 13 - sintef...nou norges offentlige utredninger 2015: 13 departementenes sikkerhets- og...

NOUDigital sårbarhet – sikkert samfunnBeskytte enkeltmennesker og samfunn i en digitalisert verden

Bestilling av publikasjoner

Offentlige institusjoner:Departementenes sikkerhets- og serviceorganisasjonInternett: www.publikasjoner.dep.noE-post: [email protected]: 22 24 00 00

Privat sektor:Internett: www.fagbokforlaget.no/offpubE-post: [email protected]: 55 38 66 00

Publikasjonene er også tilgjengelige påwww.regjeringen.no

Trykk: 07 Aurskog AS – 11/2015

MILJØMERKET

241 Trykksak 379

Norges offentlige utredninger 2015: 13

NO

U 2

01

5: 1

3

Digital sårbarhet – sikkert sam

funn

Norges offentlige utredninger 2015

Seriens redaksjon:Departementenes sikkerhets- og serviceorganisasjon

Informasjonsforvaltning

1. Produktivitet – grunnlag for vekst og velferd Finansdepartementet

2. Å høre til Kunnskapsdepartementet

3. Advokaten i samfunnet Justis-ogberedskapsdepartementet

4. Tap av norsk statsborgerskap Barne-,likestillings-oginkluderingsdepartementet

5. Pensjonslovene og folketrygdreformen IV Finansdepartementet

6. Grunnlaget for inntektsoppgjørene 2015 Arbeids-ogsosialdepartementet

7. Assimilering og motstand Kommunal-ogmoderniseringsdepartementet

8. Fremtidens skole Kunnskapsdepartementet

9. Finanspolitikk i en oljeøkonomi Finansdepartementet

10. Lov om regnskapsplikt Finansdepartementet

11. Med åpne kort Helse-ogomsorgsdepartementet

12. Ny lovgivning om tiltak mot hvitvasking og terrorfinansiering

Finansdepartementet

13. Digital sårbarhet – sikkert samfunn Justis-ogberedskapsdepartementet

Omslagsillustrasjon: Colourbox

Norges offentlige utredninger2014 og 2015

Statsministeren:

Arbeids- og sosialdepartementet:NOU 2014: 3 Grunnlaget for inntektsoppgjørene 2014NOU 2014: 17 Pensjonsordning for arbeidstakere til

sjøsNOU 2015: 6 Grunnlaget for inntektsoppgjørene 2015NOU 2015: x Arbeidstidsutvalget

Barne-, likestillings- oginkluderingsdepartementet:NOU 2014: 8 Tolking i offentlig sektorNOU 2014: 9 Ny adopsjonslovNOU 2015: 4 Tap av norsk statsborgerskap

Finansdepartementet:NOU 2014: 13 Kapitalbeskatning i en internasjonal

økonomiNOU 2015: 1 Produktivitet – grunnlag for vekst og

velferdNOU 2015: 5 Pensjonslovene og folketrygdreformen IVNOU 2015: 9 Finanspolitikk i en oljeøkonomiNOU 2015: 10 Lov om regnskapspliktNOU 2015: 12 Ny lovgivning om tiltak mot hvitvasking

og terrorfinansiering

Forsvarsdepartementet:

Helse- og omsorgsdepartementet:NOU 2014: 12 Åpent og rettferdig – prioriteringer

i helsetjenestenNOU 2015: 11 Med åpne kort

Justis- og beredskapsdepartementet:NOU 2014: 1 Ny arvelovNOU 2014: 10 Skyldevne, sakkyndighet og

samfunnsvernNOU 2015: 3 Advokaten i samfunnetNOU 2015: 13 Digital sårbarhet – sikkert samfunn

Klima- og miljødepartementet:

Kommunal- og moderniseringsdepartementet:NOU 2014: 6 Revisjon av eierseksjonslovenNOU 2015: 7 Assimilering og motstand

Kulturdepartementet:NOU 2014: 2 Lik og likskap

Kunnskapsdepartementet:NOU 2014: 5 MOOC til NorgeNOU 2014: 7 Elevenes læring i fremtidens skoleNOU 2014: 14 Fagskolen – et attraktivt utdanningsvalgNOU 2015: 2 Å høre tilNOU 2015: 8 Fremtidens skole

Landbruks- og matdepartementet:NOU 2014: 15 Norsk pelsdyrhold – bærekraftig

utvikling eller styrt avvikling?

Nærings- og fiskeridepartementet:NOU 2014: 4 Enklere regler – bedre anskaffelserNOU 2014: 11 KonkurranseklagenemdaNOU 2014: 16 Sjømatindustrien

Olje- og energidepartementet:

Samferdselsdepartementet:

Utenriksdepartementet:

NOU Norges offentlige utredninger 2015: 13

Digital sårbarhet – sikkert samfunnBeskytte enkeltmennesker og samfunn i en digitalisert verden

Utredning fra et utvalg oppnevnt ved kongelig resolusjon 20. juni 2014.Avgitt til Justis- og beredskapsdepartementet 30. november 2015.

Departementenes sikkerhets- og serviceorganisasjonInformasjonsforvaltning

Oslo 2015

ISSN 0333-2306ISBN 978-82-583-1249-6

07 Aurskog AS

Til Justis- og beredskapsdepartementet

Utvalget om digitale sårbarheter ble oppnevnt ved kongelig resolusjon 20. juni2014. Utvalget gir med dette sin utredning.

Oslo 30. november 2015

Olav LysneLeder

Kristine Beitland Janne Hagen Åke Holmgren

Einar Lunde Kristian Gjøsteen Fredrik Manne

Eva Jarbekk Sofie Nystrøm

Roger KolbotnSekretariatsleder

Lene Bogen Kaland

Ingunn Moholt

Håkon Hermansson

André Nordbø

Ragnhild Castberg

Innhold

Del I Innledning .................................... 13

1 Sammendrag ................................ 15

2 Mandat, utvalgets sammensetning og arbeid ........ 18

2.1 Mandat ............................................ 182.2 Mandatforståelse ........................... 192.3 Sammensetning og utvalgets

arbeid .............................................. 202.4 Struktur og innhold ....................... 21

Del II Situasjonsbeskrivelse ................ 23

3 Rettsstatsprinsipper og grunnleggende samfunnsverdier 25

3.1 Digital ivaretakelse av grunn-leggende samfunnsverdier ........... 26

3.2 Menneskerettigheter ..................... 263.2.1 Retten til liv ..................................... 273.2.2 Retten til privatliv ........................... 273.2.3 Rett til vern om personlige

opplysninger ................................... 273.2.4 Retten til frie ytringer .................... 283.2.5 Forsamlingsfrihet .......................... 293.3 Menneskerettighetsbrudd ............ 29

4 Hva er digitale sårbarheter? .... 314.1 Sårbarhetsbegrepet ....................... 314.2 Verdivurdering ............................... 314.3 Trussel og fare ............................... 324.4 Risikovurdering .............................. 32

5 Sikring av IKT og digital informasjon .................................. 34

5.1 Hva er IKT-sikkerhet? ................... 345.2 Motsetninger mellom sikkerhets-

mål ................................................... 355.3 Sikkerhetsnivå og risikoaksept .... 355.4 Noen sentrale IKT-sikkerhets-

tiltak ................................................. 365.4.1 Menneskelige og organisatoriske

sikkerhetstiltak .............................. 365.4.2 Preventive tekniske sikkerhets-

tiltak ................................................. 365.4.3 Overvåking ..................................... 385.5 Utfordringer knyttet til program-

vareutvikling ................................... 395.6 Teknologiarven .............................. 405.7 Sikkerhet i prosesskontroll-

systemer ......................................... 415.8 Elektronisk identifisering ............. 41

6 Trender som påvirker sårbarhetsbildet .......................... 43

6.1 Digitaliseringen av samfunnet og sårbarhetsbildet .............................. 43

6.2 Informasjonsteknikk og informasjonshåndtering ................. 44

6.2.1 Økt regnekraft, store data og stordataanalyse ............................... 44

6.2.2 Tingenes Internett .......................... 466.2.3 Kroppsnær teknologi ..................... 476.3 Automatiseringen av hverdagen

og arbeidslivet ................................ 476.3.1 Additiv produksjon – 3D-printere .. 486.3.2 Ubemannede luftfartøy – droner .. 486.4 Nye digitale tjenester og

endringer i adferd ........................... 496.4.1 Skytjenester .................................... 496.4.2 Sosiale medier ................................ 496.4.3 Bruk av privateid datautstyr

i jobbsammenheng ......................... 496.5 IKT-sikkerhet på den strategiske

agendaen ......................................... 506.6 Trender i sikkerhetsteknologien .. 50

7 Utilsiktede og tilsiktede IKT-hendelser .............................. 52

7.1 Utilsiktede IKT-hendelser ............. 527.1.1 Naturhendelser ............................... 527.1.2 Svikt ................................................. 537.2 Tilsiktede IKT-hendelser ............... 547.2.1 IKT-kriminalitet .............................. 557.2.2 Sabotasje, spionasje og terror ....... 57

8 Organisering av roller og ansvar ............................................. 61

8.1 Overordnede mål og prinsipper for IKT-sikkerhetsarbeidet ............ 61

8.2 Sentrale myndighetsaktører med særlig ansvar for oppfølging av IKT-sikkerhet .................................. 63

8.3 Øvrige aktører ................................ 668.4 Sentrale koordineringsarenaer

for IKT-sikkerhet ............................ 67

9 IKT-sikkerhetsarbeid i andre land ................................................. 69

9.1 Generelle betraktninger ................ 699.2 Nasjonale myndigheters

organisering og ansvar .................. 709.3 Nasjonale strategier ....................... 719.4 Hendelseshåndtering ..................... 71

9.5 Informasjonsdeling og offentlig–privat samarbeid ............ 72

9.6 Forskning og utvikling .................. 739.7 Regulering ...................................... 739.8 Personvern ..................................... 74

10 Folkerett og internasjonalt samarbeid ..................................... 75

10.1 Folkerettslige rammer for grense-overskridende informasjons-innhenting ....................................... 75

10.2 Alminnelige folkerettslige skranker for grenseoverskridende informasjonsinnhenting ................ 76

10.2.1 Wien-konvensjonen om diplomatisk samkvem .................... 77

10.3 Menneskerettslige skranker for informasjonsinnhenting ................ 77

10.3.1 Den europeiske menneskeretts-konvensjonen art. 8 og FNs konvensjon om sivile og politiske rettigheter art. 17 ........................... 77

10.3.2 I hvilken grad kommer menneske-rettighetene til anvendelse ved grenseoverskridende over-våking og informasjons-innhenting, jf. EMK art. 1 og SP art. 2 nr. 1? ................................. 80

10.3.3 FN-resolusjonene om retten til et privatliv i den digitale tidsalder .... 82

10.4 Europarådets personvern-konvensjon ...................................... 83

10.5 Europarådets konvensjon nr. 185 om datakriminalitet ........................ 83

10.6 Norges forpliktelser som følger av EØS-avtalen og øvrige avtaler med EU ........................................... 84

10.6.1 EUs regelverk for nettverks- og informasjonssikkerhet (NIS-direktivet) .............................. 84

10.6.2 Ekom ............................................... 8510.6.3 Personverndirektivet ..................... 8610.6.4 Politisamarbeid .............................. 8710.7 EUs strategier, programmer og

fora .................................................. 8810.7.1 EUs strategi for sikkerhet i det

digitale rom .................................... 8810.7.2 ENISA ............................................. 8810.7.3 Digital agenda ................................ 8810.7.4 EU-fora for personvern .................. 8910.8 IKT-arbeid i OECD ........................ 8910.8.1 OECDs retningslinjer for

«cybersecurity» .............................. 9010.8.2 OECDs retningslinjer for

personvern ...................................... 91

10.9 FNs arbeid i fora knyttet til det digitale rom ..................................... 91

10.10 NATO .............................................. 9310.11 Interpol ............................................ 9310.12 Andre multilaterale samarbeids-

fora ................................................... 93

Del III Sårbarheter i kritiske samfunnsfunksjoner ................... 95

11 Elektronisk kommunikasjon ... 9711.1 Ekominfrastruktur ......................... 9711.1.1 Robusthet i infrastrukturen ........... 9911.1.2 Kjerne- og transportnett ................ 9911.1.3 Aksessnett ....................................... 10011.1.4 Mobilnett ......................................... 10011.1.5 Satellittkommunikasjon ................. 10011.1.6 Kommunikasjonsinfrastruktur

på norsk sokkel .............................. 10011.1.7 Nødnett ............................................ 10111.1.8 Internett ........................................... 10111.2 Roller og ansvar .............................. 10211.3 Hjemmelsgrunnlag og tilsyns-

virksomhet ...................................... 10311.4 Beredskap og hendelses-

håndtering ....................................... 10511.4.1 Øvelsesfunn .................................... 10511.5 Sårbarheter i ekominfrastruktur .. 10611.5.1 Verdikjeder i ekom ......................... 10611.5.2 Samfunnets avhengighet av

ekominfrastruktur .......................... 10711.5.3 Avhengigheten av kraftforsyning .. 11011.5.4 Sårbarheter knyttet til drift og

styring .............................................. 11111.5.5 Driftsmodeller under press fra

den globale konkurransen ............ 11211.5.6 Nasjonal autonomi og person-

vernutfordringer ............................. 11211.6 Fremtidige problemstillinger og

trender ............................................. 11411.7 Vurderinger og tiltak ..................... 11411.7.1 Redusere kritikaliteten av

Telenors kjerneinfrastruktur ........ 11511.7.2 Sikre mangfold blant

leverandørene til infrastrukturen .. 11511.7.3 Opprette en CSIRT i ekom-

sektoren i regi av Nkom ................ 11511.7.4 Aktiv myndighetsutøvelse fra

Samferdselsdepartementet og Nasjonal kommunikasjons-myndighet ....................................... 116

11.7.5 Etablere tiltak for å regulere utlevering av trafikkdata til politiet 116

12 Satellittbaserte tjenester ........... 11812.1 Romrelatert infrastruktur .............. 11812.2 Roller og ansvar ............................. 12012.3 Hjemmelsgrunnlag og regulering 12212.4 Sårbarheter i satellittbaserte

tjenester .......................................... 12212.4.1 Trusler mot romrelatert

infrastruktur ................................... 12312.4.2 Samfunnets avhengighet av

satellittbaserte tjenester ................ 12312.4.3 Romvær og romskrot .................... 12412.4.4 Menneskelig svikt .......................... 12512.4.5 Restsårbarhet og redundans ......... 12512.4.6 Bevissthet rundt sårbarhet og

risiko ............................................... 12612.4.7 Sårbarheter knyttet til verdikjeder 12612.5 Vurderinger og tiltak ..................... 12712.5.1 Tydeliggjøre myndighetsansvar

for norsk romvirksomhet .............. 127

13 Energiforsyning ........................... 12913.1 Kraftsystemet ................................. 12913.2 Roller og ansvar ............................. 13013.3 Hjemmelsgrunnlag, konsesjoner

og tilsynsvirksomhet ..................... 13213.3.1 Konsesjoner .................................... 13313.3.2 Tilsyn ............................................... 13313.4 Beredskap og hendelses-

håndtering ...................................... 13413.5 Digitale sårbarheter i kraft-

forsyningen ..................................... 13613.5.1 Verdikjeden i norsk kraftforsyning 13613.5.2 Sårbarheter i driftskontroll-

systemer ......................................... 13713.5.3 Sårbarheter i tilknytning til

smarte nett ...................................... 13913.5.4 Avhengighet av ekom og satellitt-

baserte tjenester ............................. 14113.6 Fremtidige problemstillinger og

trender ............................................ 14213.7 Vurderinger og tiltak ..................... 14313.7.1 Styrke tilsyn og veiledning i IKT-

sikkerhet ......................................... 14313.7.2 Stimulere til større og mer

ressurssterke fagmiljøer innen IKT-sikkerhet ......................................... 144

13.7.3 Bygge et sterkt operativt fagmiljø for IKT-hendelseshåndtering ....... 144

13.7.4 Vurdere de sikkerhetsmessige forhold ved å behandle og lagre kraftsensitiv informasjon i utlandet ......................................... 144

13.7.5 Gjennomføre risikoog sårbarhetsanalyse for utvidet bruk av AMS ................................... 145

13.7.6 Utarbeide en oppdatert analyse av kraftforsyningens avhengighet av ekom ........................................... 145

14 Olje og gass ................................... 14614.1 Olje- og gassinfrastruktur .............. 14614.2 Roller og ansvar .............................. 14614.3 Hjemmelsgrunnlag og tilsyns-


håndtering ....................................... 14814.5 Digitale sårbarheter i olje- og

gassektoren ..................................... 15014.5.1 Verdikjede ....................................... 15014.5.2 Letevirksomhet ............................... 15014.5.3 Feltutvikling .................................... 15114.5.4 Produksjon ...................................... 15214.5.5 Transport ......................................... 15314.5.6 Avhengigheter av andre

samfunnsfunksjoner ....................... 15314.5.7 Kompetanse og sikkerhetskultur .. 15514.6 Fremtidige problemstillinger og

trender ............................................. 15614.7 Vurderinger og tiltak ..................... 15614.7.1 Overføre sikkerhetstradisjonen

innen HMS til det digitale området ........................................... 157

14.7.2 Verdivurdere sektorens anlegg og IKT-systemer, og etablere regelverk for digitale sårbarheter .. 157

14.7.3 Tydeliggjøre rolle og kapasitet hos Petroleumstilsynet .................. 157

14.7.4 Vurdere tilknytning til respons-miljø for IKT-hendelser ................. 158

15 Vannforsyning .............................. 15915.1 Vann- og avløpsinfrastruktur ......... 15915.2 Roller og ansvar .............................. 16015.3 Hjemmelsgrunnlag og tilsyns-

virksomhet ...................................... 16115.4 Beredskap og krisehåndtering ..... 16115.5 Digitale sårbarheter i vann-

forsyningen ..................................... 16115.5.1 Bruk av driftskontrollsystemer

innen vannforsyning ...................... 16115.5.2 Vannforsyningens avhengighet

av kraft og ekom ............................. 16415.5.3 Organisatoriske forhold og

kompetanse ..................................... 16415.6 Vurderinger og tiltak ..................... 16615.6.1 Øke IKT-sikkerhetskompetansen

i norske vannverk ........................... 16615.6.2 Styrke tilsyn og veiledning

i IKT-sikkerhet ................................ 166

15.6.3 Bedre systemer for hendelses-håndtering ...................................... 167

15.6.4 Gjennomføre risikoog sårbarhetsanalyser før en eventuell innføring av smarte vannmålere ..................................... 167

16 Finansielle tjenester .................. 16816.1 Finansiell infrastruktur .................. 16816.2 Roller og ansvar ............................. 16916.3 Hjemmelsgrunnlag og tilsyns-


håndtering ...................................... 17216.5 Digitale sårbarheter i finans-

sektoren .......................................... 17416.5.1 Formidle kapital nasjonalt og

internasjonalt .................................. 17416.5.2 Sikre befolkningen tilgang til

betalingsløsninger ......................... 17516.5.3 Sikre betalinger og andre

finansielle transaksjoner ............... 17616.5.4 Sikker og stabil drift av finansielle

registre ............................................ 17716.5.5 Kommunisere med befolkningen

om kritiske hendelser ................... 17816.5.6 Særskilte personvernutfordringer 17916.5.7 Avhengighet av kraft og

elektronisk kommunikasjon ......... 18016.6 Fremtidige problemstillinger og

trender ............................................ 18016.7 Vurderinger og tiltak ..................... 18216.7.1 Styrke innsatsen på vurdering av

fremtidige betalingstjenester ........ 18216.7.2 Videreføre tverrfaglig samarbeid

for god beredskapsevne og håndtering av alvorlige tilsiktede IKT-hendelser ................................ 182

16.7.3 Analysere sårbarhets-konsekvensene som følge av utkontraktering ut av landet ......... 183

16.7.4 Videreføre og styrke engasjementet for å påvirke internasjonal regulering av IKT-sikkerhetsmekanismer .................. 183

16.7.5 Styrke beredskapstiltak for utviklingen mot det kontantløse samfunnet ....................................... 183

17 Helse og omsorg ......................... 18517.1 Infrastruktur ................................... 18517.2 Roller og ansvar ............................. 18617.3 Hjemmelsgrunnlag og tilsyns-

virksomhet ...................................... 188

17.4 Beredskap og hendelses-håndtering ....................................... 189

17.5 Digitale sårbarheter i helse-sektoren ........................................... 191

17.5.1 Avhengighet av elektronisk kommunikasjon og øvrige infrastrukturer ................................ 192

17.5.2 Infrastruktur og tjenester .............. 19317.5.3 Styring og samhandling ................. 19417.5.4 Kompetanseutfordringer når det

gjelder IKT-sikkerhet ..................... 19517.5.5 Særskilte personvernutfordringer 19517.6 Fremtidige problemstillinger og

trender ............................................. 19817.7 Vurderinger og tiltak ..................... 19917.7.1 Sterkere styring av IKT-sikkerhet

fra Helse- og omsorgs-departementet ................................. 199

17.7.2 Mer forskning på IKT-sikkerhet innenfor ny helse- og velferds-teknologi ......................................... 200

17.7.3 Etablere løsninger for å imøte-komme utviklingen innenfor helse- og velferdsteknologien ....... 200

17.7.4 Gjennomføre flere IKT-øvelser der kritiske systemer er ute av funksjon ........................................... 200

18 Transport ....................................... 20118.1 Veitrafikk ......................................... 20118.1.1 Sårbarhet i kjøretøy og digitale

trafikkstyringssystemer ................. 20218.1.2 Trafikkstyringens avhengighet av

elektronisk kommunikasjon og satellittbaserte tjenester ................ 203

18.1.3 Særskilte personvernutfordringer innen veitrafikken .......................... 203

18.2 Jernbane .......................................... 20418.2.1 Sikkerhetsutfordringer i skinne-

gående trafikk ................................. 20418.2.2 Sårbarheter i systemer knyttet til

togfremføring .................................. 20518.2.3 Avhengighet av ekom .................... 20518.3 Luftfart ............................................. 20518.3.1 Internasjonale avhengigheter –

globale premissgivere .................... 20618.3.2 Sårbarheter om bord i fly .............. 20718.3.3 Systemkompleksitet i operative

systemer og på lufthavnene .......... 20818.3.4 Luftfartens avhengighet av ekom

og satellittbaserte tjenester ........... 20818.4 Sjøtransport ..................................... 20918.4.1 Roller og ansvar .............................. 20918.4.2 Hjemmelsgrunnlag og tilsyns-

virksomhet ...................................... 209

18.4.3 Beredskap og hendelses-håndtering ...................................... 210

18.4.4 Digitale sårbarheter innen sjø-transport ......................................... 210

18.4.5 Fremtidige problemstillinger og trender ............................................ 215

18.5 Vurderinger og tiltak på tvers av transportsektoren .......................... 215

18.5.1 Styrke IKT-tilsyn og samarbeid mellom transportgrenene ............. 216

18.5.2 Etablere en felles rapporterings-kanal for IKT-hendelser innen transportsektoren .......................... 216

18.5.3 Særskilte tiltak for sjøtransport .... 216

Del IV Tverrsektorielle forhold ............ 219

19 Kompetanse ................................. 22119.1 Sentrale dokumenter ..................... 22119.2 Roller og ansvar ............................. 22319.3 Kompetansesituasjonen

i samfunnet ..................................... 22419.4 Utdanning ....................................... 22419.4.1 Offentlig grunnskole ...................... 22419.4.2 Videregående opplæring ............... 22519.4.3 Høyere utdanning .......................... 22619.4.4 Etterutdanning ............................... 22819.5 Forskning og utvikling (FoU) ...... 22819.5.1 Norsk FoU-aktivitet innen

IKT-sikkerhet ................................. 22819.5.2 Kvaliteten på norsk

IKT-sikkerhetsforskning ............... 22919.5.3 Forskningsrådets rolle .................. 23019.5.4 Internasjonal finansiering ............. 23019.5.5 Diskusjoner .................................... 23019.6 Kunnskap og støtte til

befolkningen ................................... 23119.7 Tjenesteutsetting ........................... 23219.8 Vurderinger og tiltak ..................... 23319.8.1 Etablere en overordnet nasjonal

kompetansestrategi innen IKT-sikkerhet ................................. 233

19.8.2 Prioriteringer i en overordnet strategi ............................................ 233

20 Styring og kriseledelse .............. 23820.1 IKT-systemer for beredskap og

krisehåndtering .............................. 23820.1.1 Hva er en krise? ............................. 23820.1.2 Sentral kriseledelse ....................... 23920.1.3 Regionalt nivå ................................. 24120.1.4 Lokalt nivå ...................................... 24220.1.5 Sivilt–militært samarbeid i kriser .. 24220.1.6 Risiko- og krisekommunikasjon ... 242

20.2 Sårbarheter knyttet til styring og kriseledelse ..................................... 244

20.2.1 Samhandlingsutfordringer og behov for informasjonsdeling ....... 244

20.2.2 Avhengigheter på lokalt og regionalt nivå, og kompetanse-utfordringer ..................................... 244

20.2.3 Risiko- og krisekommunikasjon ... 24620.2.4 Meteorologiske tjenester .............. 24720.2.5 Kommunikasjonsløsninger for

departementene .............................. 24820.2.6 Målrettede IKT-angrep .................. 24920.3 Vurderinger og tiltak ..................... 25020.3.1 Øke IKT-sikkerhetskompetansen

på lokalt og regionalt nivå ............. 25020.3.2 Styrke beredskapen på regionalt

og lokalt nivå ................................... 25020.3.3 Etablere felles gradert

IKT-infrastruktur ............................ 25020.3.4 Vurdere virkemidler for

kommunikasjon med befolkningen 251

21 Avdekke og håndtere digitale angrep ............................................ 252

21.1 Sentrale begreper og føringer ....... 25221.1.1 Sentrale begreper ........................... 25221.1.2 Nasjonale føringer, rapporter og

viktige hendelser ............................ 25321.2 Roller og ansvar .............................. 25421.2.1 Nasjonal sikkerhetsmyndighet ..... 25421.2.2 Sektorvise responsmiljøer ............. 25421.2.3 Politiet, PST og påtale-

myndigheten ................................... 25521.2.4 Forsvaret ......................................... 25621.2.5 Andre aktørers ansvar ................... 25621.3 Håndteringskjeden ved tilsiktede

hendelser ......................................... 25621.3.1 Forebygge og forberede ................ 25721.3.2 Avdekke ........................................... 25821.3.3 Håndtere ......................................... 25921.3.4 Etterforske ...................................... 26021.4 Hindre for effektivt samarbeid ...... 26121.4.1 Utfordringer knyttet til roller og

ansvar .............................................. 26121.4.2 Mangel på et felles operativt

situasjonsbilde ................................ 26221.4.3 Utfordringer knyttet til utveksling

av gradert og sensitiv ikke-gradert informasjon på tvers av sektorer .. 262

21.5 Utfordringer knyttet til avdekking av sårbarheter og deteksjon av IKT-hendelser ................................. 262

21.5.1 Utilstrekkelig evne til å oppdage IKT-hendelser ................................. 262

21.5.2 Varierende og tidvis motstridende krav til logging og sletting av samme informasjon ....................... 263

21.5.3 Mangelfullt grunnlag for et helhetlig IKT-trusselbilde ............. 263

21.6 Kapasitets- og kompetanse-utfordringer knyttet til håndtering av digitale angrep ........................... 263

21.6.1 Kompetanse- og kapasitets-utfordringer ved håndtering av hendelser ........................................ 263

21.6.2 Fragmentert analysekapasitet mellom offentlige og private aktører ............................................. 264

21.6.3 Utfordringer knyttet til sektorvise responsmiljøer og skalerings-behov ved større hendelser .......... 264

21.7 Kapasitet-, kompetanseog prioriteringsutfordringer i politiet 264

21.7.1 Utfordringer knyttet til ramme-faktorer ........................................... 265

21.7.2 Mangelfull kapasitet i politiet ....... 26521.7.3 Uklarheter knyttet til hvilken

aktør som skal etterforske ............ 26621.7.4 Prioriteringsutfordringer .............. 26621.8 Manglende evne til videre-

utvikling av og investering i politiets IKT-systemer ................. 267

21.9 Sårbarheter som påvirker private virksomheter og enkeltindividets evne til å håndtere hendelser ....... 267

21.9.1 Utilstrekkelig støtte for inn-byggerne og SMB .......................... 267

21.9.2 Manglende operative krav i anskaffelser og styring av drifts- og tjenesteleverandører ................ 267

21.10 Aktuelle dilemmaer i forbindelse med utvidede metoder for å avdekke, håndtere og etterforske digitale angrep ................................ 268

21.10.1 Behovet for nye etterretnings- og etterforskningsmetoder ................ 268

21.10.2 Endring i maktbalansen mellom stat og borger ................................. 269

21.10.3 Masseinnsamling av person-opplysninger til uavklarte formål .. 269

21.10.4 Balansen mellom effektivitet og sikkerhet ......................................... 270

21.10.5 Balansen mellom kriminalitets-bekjempelse og personvern .......... 271

21.11 Vurderinger og tiltak ..................... 27221.11.1 Etablere og øve et helhetlig

rammeverk for digital hendelses-håndtering ...................................... 272

21.11.2 Forbedre den nasjonale operative evnen gjennom samlokalisering ... 273

21.11.3 Øke deteksjonsevnen og sammen-stille et felles situasjonsbilde ......... 275

21.11.4 Styrke kapasitet og kompetanse knyttet til håndtering av digitale angrep .............................................. 276

21.11.5 Etablere et nasjonalt «Cyber Crime Center» ............................................ 277

21.11.6 Sikre sterke fagmiljøer for IKT-kriminalitet i politidistriktene ....... 277

21.11.7 Sikre en IKT-infrastruktur til støtte for politiets kriminalitets-bekjempelse .................................... 278

21.11.8 Sikre balansen mellom person-vern og et sikrere samfunn ........... 278

22 Felleskomponenter ..................... 28022.1 Utvalg av felleskomponenter ........ 28022.2 Roller og ansvar .............................. 28122.3 Hjemmelsgrunnlag og tilsyns-

virksomhet ...................................... 28122.4 Beskrivelse av felleskomponenter 28222.4.1 Kartverket ....................................... 28222.4.2 Brønnøysundregistrene ................. 28222.4.3 Skatteetaten .................................... 28222.5 Identifisering av sårbarhet ............ 28322.5.1 Generelt om sikkerhetsarbeidet ... 28322.5.2 Sårbarhetsbeskrivelser .................. 28422.5.3 Andre observasjoner ...................... 28422.6 Vurderinger og tiltak ..................... 28522.6.1 Følge utviklingen av IKT-utsetting

for felleskomponenter .................... 28522.6.2 Utvikle felles beskyttelsestiltak

mot sofistikerte IKT-angripere ..... 28522.6.3 Regulere elektronisk identitet ...... 285

23 Tverrsektorielle sårbarhets-reduserende tiltak ...................... 288

23.1 Etablere et nasjonalt rammeverk for å ivareta en helhetsvurdering av verdikjeder ................................. 288

23.2 Tydeliggjøre krav til virksomhets-styringssystemer ............................ 290

23.2.1 Bevisst bruk av standarder ............ 29123.3 Styrke Justis- og beredskaps-

departementet på IKT-sikkerhetsområdet ................. 291

23.3.1 Tydeliggjøre Justis- og beredskapsdepartementets rolle og ansvarsområde .......................... 292

23.3.2 Styrke Justis- og beredskaps-departementets virkemidler .......... 292

23.3.3 Øke kapasiteten innen IKT-sikkerhet i Justis- og beredskaps-departementet ................................ 293

23.4 Tilpasse tilsynsvirksomheten til å omfatte IKT-sikkerhet ............ 293

23.4.1 Vurdere funksjonsbasert regelverk ......................................... 293

23.4.2 Øke IKT-sikkerhetskompetanse og kapasitet hos tilsynene ............. 295

23.5 Redegjørelse for IKT-sikkerhet bør inngå i årsmeldinger ............... 295

23.6 Næringsutvikling og IKT-sikkerhet ......................................... 296

23.6.1 Behov for balanse mellom verdi-skaping og IKT-sikkerhet ............. 296

23.6.2 Økt veiledning for særlig sårbare grupper i næringslivet ................... 297

23.6.3 Tillit bør være en forutsetning for digitaliseringen .............................. 297

23.6.4 IKT-sikkerhet som hinder for verdiskaping? ................................. 298

23.7 Utkontraktering og skytjenester .. 29923.7.1 Hva er utkontraktering –

internasjonale forhold .................... 299

23.7.2 Hva er skytjenester? ....................... 30023.7.3 Juridiske forhold ved skytjenester 30223.7.4 Observasjoner og funn .................. 30523.7.5 Vurderinger og tiltak ..................... 30623.8 Regulering av kryptografi .............. 307

Del V Økonomiske og administrative konsekvenser ............................... 309

24 Økonomiske og administrative konsekvenser ............................... 311

Del VI Vedlegg ........................................... 313

25 Vedlegg ........................................... 31525.1 Datagrunnlag .................................. 31525.2 Ansvarsfordeling mellom

departementene for samfunns-sikkerhetsarbeidet ......................... 318

25.3 Oppsummering av sentrale utvalg 320

Referanser ....................................................... 324

Del IInnledning

NOU 2015: 13 15Digital sårbarhet – sikkert samfunn Kapittel 1

Kapittel 1

Sammendrag

De siste tiårene har digitaliseringen ført til gjen-nomgripende samfunnsmessige endringer. Denhar effektivisert arbeidshverdagen for de fleste avoss, slik at det samme arbeidet nå kan utføres avlangt færre hender. Den har forandret måten vistyrer prosesser på, slik at komplekse operasjonerog infrastrukturer nå kan kontrolleres fra ett ellernoen få sentrale steder. Den har gitt befolkningenen lang rekke nye tjenester, som kontantløs han-del og finansielle tjenester på mobil, elektronisksamhandling med det offentlige og sanntids tra-fikkinformasjon som lar oss finne den mest hen-siktsmessige reiseveien mellom to steder. Viderehar den revolusjonert måten vi kommuniserer på,ved at mobiltelefoner, sosiale medier og samar-beidsstøtteverktøy er blitt dagligdags. Norge lig-ger i verdenstoppen når det gjelder bruk av IKT.Dette gjør norsk næringsliv mer konkurransedyk-tig, og øker samfunnets totale produktivitet oginnovasjonsevne. En videreføring av denne situa-sjonen forutsetter at samfunnet har tillit til at tek-nologien er trygg å ta i bruk.

De store teknologiske endringene gir ossnoen utfordringer. Vi ser at sentrale tjenester forsamfunnet, som for eksempel betaling og telefoni,utfordres av internasjonale aktører som leverertjenester i Norge uten at norske myndigheter harrettslig kontrollmulighet over dem. Dessuten ervår evne til å holde informasjon konfidensiellutfordret, og dermed også personvernet. I tilleggutsettes mange virksomheter for reelle truslerknyttet til at det utstyret de bruker kan angripes,og som et resultat bli delvis styrt av uvedkom-mende. Det foreligger således et betydelig tekno-logisk press som kan utfordre sentrale sam-funnsverdier.

En spesielt viktig observasjon er at kritiskesamfunnsfunksjoner er blitt avhengige av langeog uoversiktlige digitale verdikjeder, som gjernespenner over mange sektorer og flere land. Slik vilsårbarheten til for eksempel en betalingstjenestepå mobil avgjøres av lovhjemler og tilsynsregimeri kraftsektoren, i ekomsektoren, i finanssektorenog innenfor næringsregulering. En underleveran-

dør som har utkontraktert sentrale deler av virk-somheten til et annet land, vil kunne arve sårbar-heter fra de tilsvarende sektorene i vedkom-mende land.

Slike sammensatte, sektorovergripende verdi-kjeder finner vi i alle de kritiske samfunnsfunksjo-nene denne rapporten omhandler. Dette harbetydning for hvordan vi bør forholde oss til bådetilsiktede og utilsiktede hendelser. Konsekven-sene av en digital hendelse kan ligge i en annensektor enn hendelsen selv, og vissheten om at enangriper ikke forholder seg til sektorgrenseneutfordrer vår evne til å håndtere skarpe situasjo-ner på en effektiv og hensiktsmessig måte.

En effekt av den digitale utviklingen er en kraf-tig endring i samfunnets risikoog sårbarhets-bilde. Vi opplever nye trusler, som for eksempel atmaskiner og infrastruktur i Norge kan angripes avanonyme aktører som befinner seg i andre land.Vi har fått nye sårbarheter å forholde oss til, somat programmeringsfeil i én komponent kan fåeffekter som slår ut store deler av mobilnettet.Samfunnsfunksjonene våre er – gjennom digitaleverdikjeder – utsatt for hendelser på nye og tidli-gere ukjente måter. For eksempel kan svikt i tele-kommunikasjonsnettene føre til at veitunneler måstenges og at leger ikke får tilgang til pasientjour-naler.

På samme måte som digitaliseringen harendret sårbarhetsbildet i samfunnet, vil måten vihåndterer disse sårbarhetene på, ha betydning forhvilket samfunn vi skaper for fremtiden. I et over-ordnet samfunnsperspektiv vil en forsvarlig ivare-takelse av sårbarhetsutfordringene være avgjø-rende for å opprettholde rettsstatens og demokra-tiets grunnleggende verdier. På samme tid kannettopp disse samme verdiene komme underpress i møte med andre og utfordrende digitalemuligheter, for eksempel overvåking av enkeltin-dividet eller av befolkningen som sådan.

Norge regnes som et av de mest digitalisertelandene i verden. Dette har gitt oss store effektivi-serings- og moderniseringsgevinster, men det harogså ført til at vi er et av de landene der endringen

16 NOU 2015: 13Kapittel 1 Digital sårbarhet – sikkert samfunn

i risikoog sårbarhetsbildet har kommet lengst.En av utfordringene ved å ha kommet så langt, erat det ofte mangler tydelige eksempler fra andreland å se hen til. Denne endringen krever at visom samfunn videreutvikler og endrer måten viforholder oss til sårbarheter på. Likevel er detklart at mange av de utfordringene vi nå står over-for, bare kan løses i en internasjonal kontekst. Foret lite land som Norge vil det være svært viktig ådelta aktivt på de internasjonale arenaene der rele-vante problemer diskuteres.

I denne utredningen gir vi en fremstilling avhvilke grep vi mener det norske samfunnet bør ta.Under følger de viktigste anbefalingene våre.– Redusere kritikaliteten av Telenors kjerneinfra-

struktur. Telenors kjerneinfrastruktur inngårsom en komponent i nær sagt alle digitale ver-dikjeder. Et utfall i denne får derfor alvorlige ogsamtidige konsekvenser på de aller fleste sam-funnsområder, og for alle de kritiske samfunns-funksjonene som er omtalt i denne rapporten.Telenors kjerneinfrastruktur er godt utbygd,den er profesjonelt operert, og den har histo-risk sett meget høy stabilitet. Likevel vil denkunne settes ut av spill ved menneskelige feil,rutinesvikt, sabotasje, terror eller utro tjenere.Det er utvalgets syn at den totale summen avsamfunnsverdier dette nettet bærer, er uaksep-tabelt høy. Utvalget vil derfor anbefale at detarbeides mot et målbilde der minst én tilleggs-aktør har et landsdekkende kjernenett som erpå samme nivå som Telenors med hensyn tildekning, kapasitet, fremføringsdiversitet,redundans og uavhengighet.

– Sikre balansen mellom personvern og et sikreresamfunn gjennom utredninger og offentligdebatt. Utvalget har merket seg at hensynet tilsamfunnets sikkerhet fører med seg forslagom innføring av nye og inngripende overvå-kingsmetoder. Eksempler på dette er forslagom innføring av digital grenseovervåking ogPSTs ønsker om å registrere ytringer på sosi-ale medier og analysere informasjon fra åpnekanaler. Utvalget erkjenner det etterretnings-faglige og politifaglige behovet som ligger bakslike forslag, men mener at forslagene er av enså inngripende natur at de ikke bør innføresuten en forutgående offentlig debatt. En slikdebatt bør forberedes gjennom en offentligutredning som diskuterer denne typen virke-midler i sin fulle bredde. Hensyn til etterret-ningsbehov, teknologisk kompetanse og per-sonvern må ivaretas, og det må sikres en grun-dig redegjørelse for de teknologiske, rettslige

og samfunnsmessige spørsmålene sakene rei-ser.

– Bruk av kryptografi bør ikke reguleres. Det fore-går en debatt internasjonalt om hvorvidt bru-ken av sterk kryptografi bør reguleres. Det ersvært vanskelig – kanskje umulig – å lagesystemer som samtidig ivaretar legitime behovfor beskyttelse og et legitimt behov for avlyt-ting. Det er rimelig å tro at begrensninger pålovlig bruk av kryptografi vil ramme norskeborgere, virksomheter og myndigheter. Slikebegrensninger vil imidlertid ikke i vesentliggrad hindre uærlige aktørers bruk av krypto-grafi og dermed heller ikke løse politiets ogetterretningstjenestenes problem. Det er der-for utvalgets oppfatning at bruk av kryptografiikke bør reguleres eller forbys i Norge, at nor-ske myndigheter bør arbeide aktivt mot regule-ring eller forbud internasjonalt, og at det måutvikles nye etterforskningsmetoder for å sikreet effektivt politiog etterretningsarbeid.

– Styrke Justis- og beredskapsdepartementets tverr-sektorielle virkemidler på IKT-sikkerhetsområ-det. Ingen sektor kan kontrollere sin egen digi-tale sårbarhet alene. Verdikjedene gjør at allearver sårbarheter fra andre sektorer, og angri-pere forholder seg ikke til sektorgrensene.Samtidig observerer utvalget at sektorene tid-vis har vansker med å enes om en gjennomfø-ring av sektorovergripende tiltak. Utvalget erenig i at de ulike sektorene i mange tilfeller ersvært forskjellige og kan ha behov for spesi-fikke tilpasninger. Dette står imidlertid ikke imotsetning til sektorovergripende løsningerdersom disse angir en nedre grense, slik atsektorene står fritt til å definere strengere krav.Utvalget vurderer det slik at utvikling av sek-torovergripende mekanismer vil være nødven-dig over tid, og at et effektivt sektorovergri-pende virkemiddelapparat vil være nødvendigfor å håndtere samfunnets IKT-sårbarheter.Justis- og beredskapsdepartementet bør derforsettes bedre i stand til å gjennomføre sektor-overgripende tiltak.

– Etablere et helhetlig rammeverk for digital hen-delseshåndtering. Utvalget har merket seg atoffentlige og private virksomheter som blirutsatt for alvorlige dataangrep, opplever usik-kerhet og utilstrekkelig koordinering mellommyndighetsaktører som har ansvar for åbekjempe digitale angrep. Utvalget mener der-for at Justis- og beredskapsdepartementet måta initiativ til å etablere et helhetlig rammeverkfor å avklare og tydeliggjøre innsatsen mellomrelevante aktører innen hendelseshåndtering


og straffeforfølgning. Rammeverket bør etable-res og øves i tett samarbeid med Forsvarsde-partementet.

– Styrke politiets evne til å bekjempe IKT-krimina-litet. Utvalget observerer at det blant virksom-heter og hos enkeltindivider er lave forventnin-ger til hvilken bistand politiet kan gi når manblir utsatt for IKT-kriminalitet. Dette fører blantannet til at IKT-kriminalitet i liten grad bliranmeldt. Utvalget vil derfor støtte forslaget tilopprettelsen av et nytt nasjonalt senter for åforebygge og etterforske kompleks og grense-overskridende IKT-kriminalitet. Senteret børorganiseres under Kripos, og det bør ha etnasjonalt fagansvar for forebygging og etter-forskning av alvorlig og kompleks IKT-krimi-nalitet. Videre bør det ha en særskilt bistands-funksjon for å støtte politidistriktene både poli-titaktisk og påtalefaglig.

– Tydeliggjøre et myndighetsansvar for norsk rom-virksomhet. De fleste samfunnsområder ergjennom digitale verdikjeder mer eller mindreavhengige av digitale satellittbaserte tjenester.Disse tjenestene kan være posisjon, naviga-sjon, presis tidsangivelse, kommunikasjon, jord-observasjon med mer. Myndighetsbildet knyt-tet til området er komplekst. Regulering avromvirksomheten er hjemlet i mange ulikelover og forskrifter, og ansvaret for oppfølgingav romsektoren er desentralisert. Behovet fortydeliggjøring av myndighetsansvaret fornorsk romvirksomhet omhandler å økebevisstheten rundt de ulike samfunnsområde-nes sårbarheter, identifisere avhengigheter ogstille krav til og føre tilsyn med romvirksomhe-ten.

– Styrke IKT-sikkerhetskompetansen i flere sektor-tilsyn. Utvalget ser en økende digitaliserings-takt innenfor de fleste sektorer, og tilsynsmyn-dighetene vil møte mange mer eller mindrenye og komplekse problemstillinger. Det vilderfor i økende grad være behov for å styrkeIKT-sikkerhetskompetansen innenfor fleresektortilsyn. På kort sikt vil det være viktigmed felles ressurser, slik at ulike sektortilsynkan tilføres kompetanse fra for eksempel

Nasjonal sikkerhetsmyndighet i enkelttilfeller.På lengre sikt tilsier teknologiutviklingen atsektorer og tilsynsvirksomheter må etablereen egen IKT-sikkerhetskompetanse. Mange avproblemstillingene knyttet til IKT-sikkerhet vilvære felles for de fleste sektorer, og det vilvære hensiktsmessig å etablere fellesarenaerfor erfaringsutveksling og dialog mellom sek-tortilsyn og tverrsektorielle tilsyn. I forbin-delse med at det stilles krav til IKT-sikkerhet,bør funksjonsbasert regelverk og tilsyn vurde-res – dette for å kunne følge med på raske tek-nologiske endringer og legge til rette for sik-kerhetstiltak som er tilpasset den enkelte virk-somhet.

– Etablere en overordnet nasjonal kompetansestra-tegi innen IKT-sikkerhet. Utvalget har sett at deteksisterer en utfordrende kompetansesitua-sjon innen IKT-sikkerhet på de fleste nivåer isamfunnet. Læreplanene for grunnskolen ogden videregående skolen har målformulerin-ger knyttet til temaet, men det er uklart om detreelle læringsutbyttet dekker den kunnskapenom IKT-sikkerhet som hver enkelt av oss måha for å kunne håndtere en digitalisert hverdagpå en trygg måte. Utvalget mener at en over-ordnet strategi bør ha et mål om at et minimumav IKT-sikkerhet må inngå i alle IKT-bachelor-grader. Det må etableres en kapasitet på mas-tergradsutdanning i IKT-sikkerhet som står iforhold til det kompetansebehovet som finnes ioffentlig og privat sektor, og det bør utvikles enlangsiktig plan for oppbygging og vedlikeholdav norsk forskningskapasitet på området.

I tillegg til forslagene til tiltak vi har fremhevether, fremmer vi forslag om tiltak innenfor hvert avtemaene elektronisk kommunikasjon, satellittba-serte tjenester, energiforsyning, olje og gass, vann-forsyning, finansielle tjenester, helse og omsorg,transport, kompetanse, styring og kriseledelse,avdekking og håndtering av digitale angrep,felleskomponenter og tverrsektorielle problem-stillinger. Hvert av disse temaene er behandlet ide separate kapitlene 11–23.


Kapittel 2

Mandat, utvalgets sammensetning og arbeid

Lysneutvalget er satt ned av Regjeringen for åkartlegge samfunnets digitale sårbarhet. Utvalgetskal foreslå konkrete tiltak for å styrke beredska-pen og redusere den digitale sårbarheten i sam-funnet.

2.1 Mandat

Internett og nye IKT-anvendelser har endret vårhverdag radikalt de siste 15–20 årene. IKT er i alt– i telefonen, bilen, panelovnen, postkassen oghvitevarene. Teknologien er i alle hjem, på de allerfleste arbeidsplasser, i operasjonsstuen på syke-huset, på kraftstasjonen og i politibilen. Enheter,maskiner og brukere kobles sammen på stadignye måter, og bruken av internett som infrastruk-tur fortsetter å vokse. De fleste kritiske infrastruk-turer og samfunnsviktige funksjoner er i dag digi-talisert. Vår avhengighet av IKT i samfunnsmes-sige, næringsmessige og private sammenhengerer stor og økende.

Dette medfører nye sårbarheter i samfunnet.Med økende avhengighet mellom kritiske kompo-nenter kan flere viktige samfunnsfunksjoner bliskadet eller lammet i utilsiktede hendelser somfor eksempel en ulykke eller ekstremvær. Samti-dig har det digitale rom åpnet for nye tilsiktede ogalvorlige trusler fra både statlige og ikke-statligeaktører. Kriminalitet, mellomstatlige kriser ogkonflikter har i stadig større grad digitale elemen-ter i seg. Det digitale rom og de digitale tjenesteneer koblet sammen på tvers av sektorer og på tversav landegrenser. Det kan være ulike aktører someier, har tilsyn med og driver de ulike infrastruk-turene, og ansvarslinjene mellom dem opplevesikke alltid som like klare.

Dette medfører en rekke utfordringer blantannet knyttet til personvern, rettssikkerhet, sam-funnssikkerhet og kriminalitetsbekjempelse.Denne utviklingen har også stor betydning formyndighetenes informasjonsinnhenting og -bear-beiding og forebyggende virksomhet.

Det er på denne bakgrunn behov for en gjen-nomgang som kartlegger samfunnets digitale sår-barheter slik at vi kan få et solid faglig grunnlagfor ytterligere å styrke og samordne vår bered-skap. Gjennomgangen skal gi et grunnlag for åvurdere tiltak som støtter opp om overordnedemål som å trygge liv og helse, økonomisk vekstog sosial utvikling, rettigheter og eiendom, sikreivaretagelse av lov og orden, nasjonale sikkerhets-interesser, rettsstatlige prinsipper, personvern ogdemokratisk styresett.

Utvalgsarbeidet skal basere seg på eksis-terende kunnskapsgrunnlag om dagens og fremti-dens utfordringer. Utvalget kan be om særskilteutredninger fra eksperter/ekspertgrupper påenkeltområder.

Utvalget skal ikke vurdere nasjonale regler fordatalagring vedtatt ved lov 11. april 2011 nr. 11eller konsekvensene for norsk rett av EU-domsto-lens avgjørelse i saken om datalagringsdirektivet.

Utvalget skal utrede følgende:1. Utvalget skal beskrive de digitale sårbarheter

som Norge står overfor i dag og i nærmestefremtid. Sårbarheter innen kritiske samfunns-funksjoner og kritisk infrastruktur, blant annetelektronisk kommunikasjon, kraftforsyning ogbank- og finansielle tjenester, og de gjensidigeavhengigheter mellom disse, skal spesielt ana-lyseres nærmere. Utvalget skal vurdere hvilkekonsekvenser denne sårbarheten kan få forenkeltmennesker, næringsliv og samfunnssik-kerheten. I denne forbindelse skal utvalgetogså se på sivilt-militært samarbeid og samar-beid mellom offentlige og private aktører.

2. Utvalget skal beskrive aktuelle problemstillin-ger knyttet til sikring av informasjon, derundereventuell manglende kontroll i egen virksom-het med leverandører. Utvalget skal redegjørefor tiltak som bør settes i verk for å hindre atinformasjon blir behandlet rettsstridig eller påannen måte blir kompromittert.

3. Utvalget skal beskrive de sentrale folkeretts-lige rammer for grenseoverskridende informa-sjonsinnhenting. Videre skal utvalget identifi-


sere de internasjonale arenaer hvor folkeretts-lige problemstillinger i det digitale romdiskuteres, og som er av særlig relevans forNorge og norske interesser.

4. Utvalget skal vurdere de digitale sikkerhetsut-fordringene ved IKT-kriminalitet, spionasje,sabotasje og terror. Utvalget skal beskrivebehovet for å kunne avdekke, håndtere ogetterforske digitale angrep. Utvalget skalbeskrive de dilemmaer som må tas hensyn til idenne sammenheng, særlig knyttet til nærings-utvikling, demokratisk deltakelse og forholdetmellom personvern og informasjonsinnhen-ting.

5. Utvalget skal foreta en prinsipiell vurdering avhvordan samfunnet bør forholde seg til håndte-ring av digital sårbarhet. Utvalget skal vurdereeffekt sett opp mot kostnader og ulemper vedrisikoreduserende tiltak (proporsjonalitet),balansen mellom forebyggende tiltak og evnetil skadereduksjon ved faktiske hendelser,samt hvilken grad av sårbarhet samfunnet børvære beredt til å leve med.

6. Utvalget skal beskrive hvordan relevante alli-erte og andre sammenlignbare land arbeidermed å redusere denne sårbarheten, med sær-lig vekt på virkemidler som har overførings-verdi til norske forhold.

7. På denne bakgrunn skal utvalget komme medforslag til tiltak som kan bidra til å redusere sår-barheten. De anbefalte tiltakene kan være avregulatorisk, strukturell, organisatorisk, tek-nologisk eller kompetansemessig karakter.

8. Utvalget skal utrede administrative, økono-miske og andre vesentlige konsekvenser avsine anbefalinger. Minst ett forslag skal base-res på uendret ressursbruk.

9. Dersom det er behov for å gjøre mindreendringer i mandatet så skal utvalget ta detteopp med Justis- og beredskapsdepartementetsom kan beslutte disse.

10. Utvalget skal levere sin utredning i form av enNOU til Justis- og beredskapsdepartementetinnen utgangen av september 2015. Innstillin-gen skal utarbeides i en form som egner seg tilå bli sendt på en offentlig høring. De delene avutvalgets arbeid som vil omfatte gradert infor-masjon, vil måtte behandles av en begrensetdel av utvalgets medlemmer. Disse må ha nød-vendig sikkerhetsklarering. Materiale som ergradert utarbeides i separate vedlegg.

2.2 Mandatforståelse

Mandatet favner vidt og byr derfor på både mulig-heter og begrensninger innenfor det tidsrommetutvalget disponerer. Mulighetsrommet ligger i åse sårbarhet i et helhetlig samfunnsperspektiv.Begrensningene innebærer at det ikke har værtmulig med en omfattende analyse av hvert enkeltområde. Det vil derfor være digitale sårbarheter isamfunnet vårt som ikke er omhandlet i tilstrek-kelig grad i denne utredningen.

Rammeverket for kritisk infrastruktur og kri-tiske samfunnsfunksjoner (KIKS-rammeverket)er lagt til grunn for utvelgelsen av områdene utval-get har vurdert.1 Kritiske samfunnsfunksjoner erde funksjoner som dekker samfunets og befolk-ningens grunnleggende behov. Kritisk infrastruk-tur er de anlegg og systemer som er helt nødven-dige for å opprettholde samfunnets kritiske funk-sjoner. Vårt arbeid med å se på digitale sårbarhe-ter har omfattet å vurdere sårbarheter på flerenivåer av systemer – både på et overordnet sam-funnsnivå og i tekniske infrastrukturer ogsystemer.

Forslag til tiltak for å redusere sårbarheten ogstyrke samfunnssikkerheten må vurderes medtanke på om de griper inn i og forrykker de kon-stitusjonelle og menneskerettslige grensene forstatens maktutøvelse overfor befolkningen. Båderisiko for svikt i IKT-systemer og reduksjon avrisiko kan få konsekvenser både for samfunnetsom helhet og for det enkelte individ. På overord-net nivå omtaler vi derfor våre grunnleggendesamfunnsverdier og forpliktelser som sentralepremisser for det videre arbeidet med de pro-blemstillingene vi presenterer. I tråd med manda-tet vil derfor utvalget i så stor grad som mulig visetil områder der vi ser at det er utfordrende å opp-rettholde en god balanse mellom forsvarlig hånd-tering av digital sårbarhet og de grunnleggendesamfunnsverdiene.

Utvalget har sett på sårbarheter i det sivilesamfunnet og i noen grad beskrevet sivilt–mili-tært samarbeid. I den sammenheng er det sivilesamfunnets avhengighet av Forsvaret til delsomhandlet. Forsvarets avhengighet av sivil sektorog sårbarheter i Forsvarets egne IKT-systemer erikke omhandlet. Utvalget er imidlertid klar over atForsvaret i økende grad er avhengig av sivil infra-

1 DSB (2012): Sikkerhet i kritisk infrastruktur og kritiske sam-funnsfunksjoner – modell for overordnet risikostyring. KIKS-prosjektet – 1. delrapport. Revidert KIKS-rammeverk erplanlagt utgitt i løpet av høsten 2015.


struktur for å utføre sitt samfunnsoppdrag, spesi-elt knyttet til elektronisk kommunikasjon.

Problemstillinger og tiltak knyttet til sikring avinformasjon er først beskrevet teoretisk i innle-dende kapitler. Tiltakene er omtalt i kapittelet omfelleskomponenter, der utvalget har valgt å senærmere på sentraliserte funksjoner som offent-lige registre og portaler, herunder anbefalingerknyttet til elektronisk identitet. Svært mye infor-masjon kan være sensitiv og samfunnsviktig selv iugraderte systemer. Traavik-utvalget2 er bedt omå komme med tiltak for å harmonisere relevantlovregulering, og utvalget har valgt å avgrensemot denne problemstillingen.

I kapittelet om å avdekke og håndtere digitaleangrep omtales sårbarheter som vil påvirke evnentil å håndtere digitale angrep med konsekvenserfor i hovedsak samfunnssikkerheten og næringsli-vet. Utvalget drøfter ikke PSTs eller Etterret-ningstjenestens mandat og oppgaveløsning utoverå foreslå fremgangsmåte ved innføring av nye,personverninngripende metoder.

Utvalgets vurdering av IKT-kriminalitetavgrenses mot tradisjonell organisert kriminalitetder IKT-systemer benyttes som verktøy for å begåstraffbare handlinger. Politiets arbeid med elek-troniske spor er bare drøftet i relasjon til sakersom gjelder de alvorligste formene for IKT-krimi-nalitet. I henhold til mandatet begrenser utvalgetsin omtale av straffesakskjeden til å gjelde dendelen som er knyttet til politiets og påtalemyndig-hetens arbeid.

EOS-utvalget3 fører en ekstern og uavhengigkontroll av om de hemmelige tjenestene – EOS-tjenestene – holder seg innenfor regelverket, spe-sielt for å hindre at enkeltpersoner blir utsatt forulovlig overvåking. Utvalget har ikke vurdertEOS-utvalgets kapasitet og kompetanse til å utføredenne kontrollen, da det pågår en parallell evalue-ring som skal avsluttes i mars 2016.

Utvalget er bedt om å vurdere hvordan sam-funnet bør forholde seg til håndtering av digitalsårbarhet. For hvert enkelt tiltak har utvalget dis-kutert kostnader og ulemper sett opp mot ønsketeffekt. Ut fra sårbarhetsbeskrivelsene er det vur-dert både forebyggende og konsekvensreduse-rende tiltak. Utvalget er av den oppfatning at detpå det nåværende tidspunkt er lite hensiktsmessigå formulere en grad av sårbarhet som samfunnetbør være beredt til å leve med. Grunnen til det er

at det ikke finnes noe metodisk grunnlag for åfastslå hvilken sårbarhet som foreligger. Det erutvalgets syn at et slikt grunnlag må bygges først.Vårt viktigste tiltak i den retning er å etablere etrammeverk for helhetsvurdering av digitale verdi-kjeder. Det vil skape en bevisstgjøring og en syn-liggjøring av sårbarheter som igjen kan dannegrunnlag for hensiktsmessige forebyggende til-tak.

2.3 Sammensetning og utvalgets arbeid

Utvalget har hatt ni medlemmer:– Leder: Olav Lysne, Bærum, professor (Simula

Research Laboratory)– Janne Hagen, Ski, forsker (Forsvarets

forskningsinstitutt)– Fredrik Manne, Fjell (Hordaland), professor

(Universitetet i Bergen)– Åke Holmgren, Stockholm (Sverige), senior

strategisk rådgiver (Myndigheten för sam-hällsskydd och beredskap)

– Eva Jarbekk, Oslo, advokat og partner (Advo-katfirmaet Føyen Torkildsen)

– Einar Lunde, Mandal, avdelingsdirektør(Nasjonal kommunikasjonsmyndighet)

– Kristian Gjøsteen, Trondheim, professor (Nor-ges teknisk-naturvitenskapelige universitet)

– Sofie Nystrøm, Oslo, direktør (Center forCyber and Information Security)

– Kristine Beitland, Oslo, direktør myndighets-kontakt (Microsoft)

Utvalget har hatt et fast sekretariat som harbestått av:– Sekretariatsleder: Roger Kolbotn, seniorrådgi-

ver (Justis- og beredskapsdepartementet)– Ingunn Moholt, utredningsleder (Direktoratet

for samfunnssikkerhet og beredskap)– Lene Bogen Kaland, seniorrådgiver (Nasjonal

sikkerhetsmyndighet)– Ragnhild Castberg, seniorrådgiver (Datatilsy-

net), fra 1. november 2014– Håkon Hermansson, seniorrådgiver (Nasjonal

sikkerhetsmyndighet), til 20. mars 2015– André Nordbø, rådgiver (Politidirektoratet),

fra 10. april 2015

Utvalgets arbeid er basert på ulike metoder ogdatagrunnlag:– eksisterende utredninger og analyser– skriftlige innspill og møter med en rekke

departementer, direktorater og tilsyn, forsk-

2 Regjeringen.no. Pressemelding 27.03.2015 Regjeringen opp-nevner sikkerhetsutvalg.

3 Stortingets kontrollutvalg for etterretnings-, overvåkings-og sikkerhetstjeneste.


nings- og undervisningsinstitusjoner, interesse-organisasjoner og konsulentselskaper (se ved-legg 25.1)

– analyser og utredninger som er gjennomført avoffentlige og private virksomheter på oppdragav utvalget og benyttet som innspill til tekst ogbeskrivelser, uten at alt er tatt videre av utval-get til NOU-en (se vedlegg 25.1)

Utvalget har i tillegg hatt fortløpende dialog meden rekke personer og virksomheter i utvalgsperi-oden, spesielt med tanke på å få utdypet problem-stillinger og kvalitetssikret informasjon.

Utvalget har hatt 16 møter, enkelte over todager, og har i tillegg gjennomført studiebesøk tilBrussel og Berlin. I Brussel møtte utvalget dennorske EU-delegasjonen, representanter fra noenav EUs generaldirektorater og NATO, samt pri-vate aktører. I Berlin besøkte utvalget BMI (Bun-desministerium des Innern) og BSI (Bundesamtfür Sicherheit in der Informationstechnik).

2.4 Struktur og innhold

Utredningen er delt inn i fem deler.Del I består av sammendrag, mandat og en

beskrivelse av mandatforståelsen, sammensetnin-gen av utvalget og en oversikt over hvordan rap-porten er strukturert.

Del II gir et bakteppe for diskusjonen om digi-tale sårbarheter i samfunnet vårt. Det pekes påsentrale avveininger mellom ulike samfunnshen-syn og verdier, sett i lys av digitaliseringen avsamfunnet og digitale sårbarheter.

Videre gir vi en beskrivelse av hva som leggesi begrepet digitale sårbarheter, utfordringer vedsikring av IKT og digital informasjon, digitaletrender som påvirker sårbarhetsbildet, og tilsik-tede og utilsiktede IKT-hendelser.

Vi gir også en oversikt over organisering avroller og ansvar og sentrale tverrsektorielle virk-somheter på IKT-sikkerhetsområdet, samt deoverordnede målene og prinsippene som gjelderfor IKT-sikkerhetsarbeidet i Norge. IKT-sikker-hetsutfordringer er grenseoverskridende, og ikapittelet om andre lands arbeidsformer gir vi enoversikt over IKT-sikkerhetsarbeid som kan haoverføringsverdi til Norge.

Avslutningsvis i denne delen beskrives folke-rettslige rammer for grenseoverskridende infor-masjonsinnhenting og internasjonalt samarbeid.

Del III gir en oversikt over det digitale sårbar-hetsbildet for en rekke samfunnsfunksjoner: elek-tronisk kommunikasjon, satellittbaserte tjenester,energiforsyning, finansielle tjenester, olje og gass,vannforsyning, transport og helse og omsorg.Utvalget foreslår tiltak for å redusere sårbarhe-tene som er identifisert.

En særlig problemstilling i utvalgets arbeid ertverrsektorielle forhold. Del IV omtaler sårbarhe-ter og tiltak innenfor områdene kompetanse, sty-ring og kriseledelse, avdekking og håndtering avdigitale angrep, og felleskomponenter.

Avslutningsvis i denne delen gir vi en oversiktover noen sentrale tverrsektorielle sårbarhetsre-duserende tiltak, i hovedsak basert på summen avsårbarheter som er identifisert i utredningen.

Del V gir en omtale av økonomiske og admi-nistrative tiltak. Vedlegg følger i del VI.

22 NOU 2015: 13 2015Digital sårbarhet – sikkert samfunn

Del IISituasjonsbeskrivelse


Kapittel 3

Rettsstatsprinsipper og grunnleggende samfunnsverdier

I Sårbarhetsutvalgets utredning fra 2000 slås detfast at IKT-systemene er blitt en av samfunnetsbærebjelker, og at samfunnet er blitt mer sårbartfor svikt i disse systemene.1 Denne utredningenfikk bred omtale og oppfølging. Utredningen ble i2006 fulgt opp av Infrastrukturutvalget, somkartla landets kritiske infrastruktur og kritiskesamfunnsfunksjoner.2 Først ut i rekken med sår-barhetsutredninger knyttet til bruk av IKT varimidlertid Seip-utvalget i 1986 med Datateknikk ogsamfunnets sårbarhet.3 I utredningen uttrykkesdet:

«Datateknikk og telekommunikasjon har skaptstore forandringer i næringsliv og offentlig for-valtning. I løpet av drøye 20 år er EDB tatt ibruk i større eller mindre grad på de aller flesteområder, skritt for skritt innen den enkeltebedrift/institusjon, uten at man samtidig har til-strebet noen samlet oversikt over EDB-avhen-gighet og samfunnsmessige konsekvenser.Dette har ført til nye og uoversiktlige struktu-rer og avhengighetsforhold innen næringslivog forvaltning.»

Siden den gang er Internett og IKT-systemer blittstadig mer integrert i alle deler av samfunnet, her-under i kritiske samfunnsfunksjoner. Utviklingenhar ført til økt avhengighet av IKT, en avhengig-het som også gjør samfunnet mer sårbart for sviktog angrep på grunn av utilstrekkelig IKT-sikker-het. Se vedlegg 25.3 «Oppsummering av sentraleutvalg».

I et overordnet samfunnsperspektiv vil en for-svarlig ivaretakelse av utfordringer på sårbarhets-og sikkerhetsområdet være avgjørende for å opp-rettholde rettsstatens og demokratiets grunnleg-gende verdier. På samme tid kan nettopp disse

samme verdiene komme under press i møte medandre utfordrende digitale muligheter, for eksem-pel overvåking av enkeltindividet eller befolknin-gen som sådan. Det er et mål å kunne håndteresårbarhet på en slik måte at det ikke forrykkerbalansen mellom borgerne og myndighetene.

Forslag til tiltak for å redusere sårbarheten ogstyrke samfunnssikkerheten må derfor belysehvilke konsekvenser de kan ha både for hverenkelt av de verdiene vi legger til grunn for etsunt og velfungerende samfunn, og for summenav dem. I tråd med mandatet vil derfor utvalget iså stor grad som mulig vise til områder der vi serat det er utfordrende å opprettholde en godbalanse mellom forsvarlig håndtering av digitalsårbarhet og de grunnleggende samfunnsverdi-ene.

Våre grunnleggende samfunnsverdier kom-mer til utrykk både i nasjonal og i internasjonalrett. Grunnloven og rettssystemet vårt bygger pårettsstatsprinsipper som legalitetsprinsippet, retts-sikkerhetshensyn, demokratihensyn og mennes-kerettigheter, herunder personvern, ytringsfrihetog forsamlingsfrihet. Det er disse verdiene som erfundamentet for reguleringen av det innbyrdesforholdet mellom statsmaktene ved maktforde-lingsprinsippet og forholdet mellom staten ogbefolkningen.

Grunnloven og menneskerettighetskonvensjo-nene vi har forpliktet oss til å overholde, har avgjø-rende betydning for forholdet mellom stat og indi-vid på mange områder. Dette gjelder også for sam-funnets håndtering av digital sårbarhet. Dissesamfunnsverdiene kan ses på som «dørvoktere»for statens adgang til å gripe inn i befolkningensog enkeltindividets rettigheter og friheter.

De siste endringene i Grunnloven, fra 2014,styrker vernet om flere grunnleggende mennes-kerettigheter, herunder retten til privatliv, person-vern, ytringsfrihet og krav på rettssikkerhet. End-ringen av Grunnloven § 102 utvider vernet omenkeltindividet eksplisitt ved at enkeltindividetskommunikasjon også omfattes, og ved at «statensmyndigheter skal sikre et vern om den enkeltes

1 NOU 2000: 24 Et sårbart samfunn. Utfordringer for sikker-hets- og beredskapsarbeidet i samfunnet.

2 NOU 2006: 6 Når sikkerheten er viktigst. Beskyttelse av lan-dets kritiske infrastrukturer og kritiske samfunnsfunksjoner.

3 NOU 1986: 12 Datateknikk og samfunnets sårbarhet.


integritet». Fordi bare noen få menneskerettighe-ter er tatt inn i Grunnloven, er det viktig at Grunn-loven viser til menneskerettsloven4, som slår fastat visse menneskerettighetskonvensjoner gjeldersom norsk lov, og at disse reglene går foran annennorsk lov ved eventuell motstrid. Det finnes i til-legg flere lignende reguleringer i andre deler avlovgivningen, for eksempel innen straff, prosess,utdanning, diskriminering og barns rettigheter.

3.1 Digital ivaretakelse av grunnleggende samfunnsverdier

Den digitale utviklingen har skapt nye og bedreforutsetninger for å ivareta mange av de grunnleg-gende samfunnsverdiene. Digitaliseringen har gittnye muligheter for samspill og informasjonsut-veksling mellom befolkningen og offentligemyndigheter. I dag er det en helt annen grad avåpenhet i offentlig forvaltning, noe som bidrar tilat den enkelte kan foreta informerte valg fordi deter enklere å få innsyn i viktige beslutninger ogarbeidsprosesser i forvaltningen.

Det er også grunn til å anta at etableringen avnettbaserte rettslige informasjonssystemer, somfor eksempel Lovdata, har sikret en større grad avlikebehandling og dermed gitt bedre rettssikker-het gjennom tilgangen til lovforarbeider, oppda-terte rettsregler, sentrale forvaltningsavgjørelserog dommer.

Internett-tilgang og nettpublisering har ikkeminst endret forutsetningene for enkeltindividetsadgang til å benytte retten til å ytre seg. Mulighe-tene for frie ytringer er tilnærmet uendelige gjen-nom et mangfold av ulike nettfora som når frem tilulike deler av befolkningen, noe som ikke varmulig i «førdigital tid». Ikke minst har Internettgitt tilgang til kunnskap som tidligere var lite til-gjengelig, og som både forutsatte kjennskap tilhva man skulle lete etter, og som likevel var tid-krevende å finne frem til.

Digitalisering har ført til langt mer effektivkommunikasjon og tilgang til informasjon, bådefor befolkningen, det private næringslivet ogoffentlig forvaltning. Effektivisering har derforvært et sentralt argument for videreutviklingen avdigitale tjenester og oppgaver i både privat ogoffentlig sektor.

Utviklingen har foregått i et ekstremt raskttempo. Den digitale utviklingstakten synes å liggekonstant i forkant av tilstrekkelig kunnskap hos

mange aktører som har tatt de teknologiskemulighetene i bruk. Negative konsekvenser avbruken har i liten grad vært overskuelige på dettidspunktet mange IKT-systemer ble etablert.Risiko og sårbarhet har ofte blitt kjent etter atIKT-systemene ble tatt i bruk, og er som regelblitt forsøkt utbedret i etterkant. Denne sårbarhe-ten eksponeres ytterligere når stadig nye pro-gramvarer kobles til gamle systemer i kombina-sjon med bruk av Internett som infrastruktur.Mange IKT-systemer representerer en vesentliggrad av usikkerhet og sårbarhet på grunn avdette. I et sårbarhetsperspektiv kan man spørreseg om det har vært en utilsiktet aksept av risiko ibåde privat og offentlig sektor.

3.2 Menneskerettigheter

De internasjonale menneskerettighetene bleutviklet i kjølvannet av andre verdenskrig. Baktep-pet var de massive krenkelsene av individets inte-gritet og verdighet særlig under nazistenes styre iTyskland og okkuperte land. Siden har andreovergrep og annen urett preget utviklingen av ret-tighetene. Normene er i dag like relevante for vel-fungerende demokratier som for stater med groveog systematiske brudd på rettighetene.

Menneskerettighetene tar utgangspunkt i athvert enkelt menneske har et sett av grunnleg-gende rettigheter og friheter. Disse rettigheteneog frihetene skal være med på å utvikle frie, selv-stendige individer som bidrar positivt i samfunnet.En underliggende tanke er at dette igjen skal hin-dre at nye kriger og samfunnskollapser oppstår.

Ansvarsfordelingen på menneskerettighetsfel-tet er enkel: Individene er rettighetshavere, mensforpliktelsene påhviler staten. Forpliktelsene inne-bærer at staten både skal avstå fra krenkelser avden enkelte borger og bidra til at rettigheteneoppfylles. Retten til liv kan tjene som eksempel:Staten skal ikke ta liv, og den skal samtidig eta-blere politi, rettsvesen og grunnleggende helsetil-bud som bidrar til at liv ikke berøves.

Menneskerettigheter har relevans for håndte-ring av digital sårbarhet i ulike sammenhenger,både langs en negativ og langs en positiv akse.Om myndighetenes intensjoner er aldri så gode,kan krenkelser oppstå. Det er derfor viktig at deulike tiltakene som blir foreslått, vurderes oppmot menneskerettighetene og i samsvar med kra-vene i Utredningsinstruksen kapittel 2.3.2.5 Det er

4 LOV-1999-05-21-30 Lov om styrking av menneskerettighete-nes stilling i norsk rett (menneskerettsloven).

5 Instruksen ble fastsatt ved kongelig resolusjon 18. februar2000 og revidert ved kongelig resolusjon 24. juni 2005.


laget en veileder til Utredningsinstruksen somstiller krav til «vurdering av personvernkonse-kvenser». Dette kravet er særlig aktuelt i forbin-delse med den økte digitale innsamlingen og bru-ken av personopplysninger. Det sentrale vur-deringstemaet er om rettigheter krenkes ellerikke i de konkrete enkeltsakene, ikke om det erformelle ordninger på plass.

Selv om koblingene er mange og viktige, erdet ikke opplagt at menneskerettighetsspørsmålblir behandlet grundig når sårbarhet drøftes.Eksempelvis er ordet menneskerettighet barebenyttet én gang i 22. juli-kommisjonens rapport(NOU 2014: 14). Dette betyr ikke nødvendigvis attilsvarende eller lignende vurderinger ikke ergjort, men det er vesentlig at slike vurderingerforankres i de internasjonale normene, og at vur-deringene synliggjøres. Dette vil sikre grundigerefaglige analyser, og både vurderingene og konklu-sjonene kan lettere være gjenstand for rettslig og/eller demokratisk kontroll.

I det følgende skal vi se på noen sentrale men-neskerettigheter og hvilken betydning håndterin-gen av digital sårbarhet kan ha for disse.

3.2.1 Retten til liv

Retten til liv kan kobles med digital sårbarhet påulike vis. I ekstreme situasjoner vil manglendesikring av personopplysninger kunne ramme denenkeltes rett til liv, slik de norske registrene overjøder under andre verdenskrig åpnet for uttrans-portering til dødsleirer i Tyskland. Svikt i digitalesystemer kan også resultere i unødvendige døds-fall, for eksempel der styringssystemer for flytra-fikk svikter, eller når en situasjon som togulykkenved Åsta oppstår. Det kan også vurderes om man-gelfull eller svak overvåking i saker om terror ogmassiv kriminalitet kan krenke retten til liv, somved Breiviks angrep i Oslo og på Utøya ellerNokas-ranet i Stavanger, jf. for eksempel NOU2014: 14. Gjørv-kommisjonen trekker frem denneproblemstillingen og et eventuelt behov for at PSTmå «få tilgang til effektive metoder også innenforIKT-basert informasjonsinnhenting, knyttet til dekonkrete sakene hvor det foreligger et reelt behovfor å undersøke om noen er i ferd med å planleggeet terrorangrep».

Retten til liv kan også pålegge myndighetene åbruke digitale løsninger på en bedre måte. Eteksempel er pasientinformasjon, der problemstil-lingen like gjerne er beskyttelse av personsensitivinformasjon som en mulig plikt for myndighetenetil å iverksette bedre og raskere informasjonsflyt,for eksempel om blodtype eller medisinbruk for

skadde i trafikkulykker. Utviklingen går fort, ognår det for eksempel finnes løsninger utviklet avbilprodusenter for automatisk varsling av bilulyk-ker, kan også staten bli ansvarlig.

3.2.2 Retten til privatliv

Retten til respekt for privatlivet, inkludert familie,hjem og korrespondanse, er en menneskerettig-het som favner vidt. Menneskerettighetenes defi-nisjon av privatliv omfatter også personvern, jf.neste avsnitt. Dermed er det mange koblinger tildigital sårbarhet og samfunnets håndtering avdette. For eksempel vil det være aktuelt og nød-vendig å vurdere ulike typer digital overvåkingopp mot menneskerettighetene. Eksempler kanvære manipulering av nettbaserte kameraer,alarmsystemer, mobile enheter og smart-TV. Til-svarende avveininger må foretas for bruk av digi-tale løsninger til kontroll av kommunikasjon, some-postprogrammer og bildedelingstjenester jf.også NOU 2014: 14, side 390 og videre.

En annen type problemstilling kan være behovfor varsling av befolkningen og retten til privatliv.Ved behov for varsling av befolkningen, foreksempel ved spesielt risikoutsatte områder, erdet etablert og vurderes etablert varsling avbefolkningen via SMS. Slike tiltak fra offentligemyndigheters side kan anses som et tiltak for åbeskytte innbyggernes liv, helse og hjem, som alleer godt etablerte menneskerettigheter. Men eneffektiv SMS-varsling innebærer også avveiningerog problemstillinger, som for eksempel individuellsporingsmulighet.

3.2.3 Rett til vern om personlige opplysninger

I den europeiske menneskerettighetskonvensjo-nen (EMK) artikkel 8 understrekes enkeltindivi-dets krav på å ha en beskyttet privatsfære, ogdette er fundamentet for EUs regulering av per-sonopplysninger i direktiv 95/46 EF. Direktivetligger til grunn for den norske personopplysnings-loven, og det er tilnærmet likelydende lovgivning ide øvrige europeiske landene innenfor EU- ogEØS-samarbeidet. Personvern er i menneskeretts-lig forstand en del av retten til respekt for privatli-vet. Personvern er ikke et helt presist begrep,men i digital sammenheng siktes det til den enkel-tes rett til og reelle mulighet til både å ha kunn-skap om og rådighet over bruken av egne person-opplysninger. I personopplysningsloven er per-sonopplysninger definert som «opplysninger ogvurderinger som kan knyttes til en enkeltperson».


Personopplysningsloven regulerer enhver brukav personopplysninger, det være seg innsamling,lagring, prosessering, videreformidling, salg m.fl.

Mange personopplysninger er i seg selv almin-nelige og lite sensitive, men kan likevel gi omfat-tende informasjon om den enkelte dersom dekobles sammen. Andre personopplysninger, somfor eksempel om DNA, er i seg selv både omfat-tende og sensitive. Det er åpenbart at både denenkelte og samfunnet vil ha nytte av at mange per-sonopplysninger er lett tilgjengelige, for eksempelligningsopplysninger, blodtyper og allergier, mendenne nytten må veies opp mot faktorer somenkeltindividets råderett, fare for misbruk, regule-ring av overskuddsinformasjon, og så videre.

Koblingene mellom personvern og digital sår-barhet er mange. Her skal det nevnes at to funda-mentalt ulike perspektiver ofte preger dennedebatten: Det ene er at retten til selv å råde oversine personopplysninger er nær sagt ukrenkelig,det andre at myndighetene bør få tilgang til flestmulige personopplysninger for å beskytte samfun-net og enkeltindividene. I en menneskerettsligkontekst kan det første synspunktet sies å byggepå retten til privatliv, mens det andre bygger påretten til liv og helbred. Snowden-saken illustrererdette spennet. Hans avsløringer av den massiveovervåkingen fra amerikanske myndigheters side,særlig etter 11. september, oppfattes av mangesom et helt uforholdsmessig og massivt inngrep ipersonvernet, og mange gir ham sin støtte. Andremener at avsløringene bidrar til å hindre at myn-dighetene kan sikre liv og helse i USA.

EUs datalagringsdirektiv er et lignendeeksempel. Direktivet ble vedtatt med henvisningtil behovet for å styrke innsatsen mot terrorismeog organisert kriminalitet, men ble siden opphe-vet av EU-domstolen. Domstolen slo fast at direk-tivet på en særlig alvorlig måte åpnet for inngrep iprivatlivet og beskyttelse av private data. Selv omdirektivet fremmet visse samfunnsbehov, var detikke tilstrekkelig proporsjonalitet mellom inngre-pene og de målene som skulle fremmes. Domsto-len fremhevet at inngrepene gikk utover det somvar strengt nødvendig for å nå formålene. Ett avmomentene i avgjørelsen var at det ikke var eta-blert tilstrekkelig beskyttelse mot misbruk.

3.2.4 Retten til frie ytringer

En viktig forutsetning for reell ytringsfrihet er til-gang til effektive kommunikasjonskanaler. Rettentil å ytre seg og til å motta informasjon er i storgrad knyttet til digitale løsninger. Trykte avisererstattes mer og mer av Internett-baserte aviser,

og trykte bøker erstattes av e-bøker. Film ogmusikk «strømmes» via Internett og erstatterfysiske medier. En parallell og viktig utvikling erat ytringsfrihet flyttes fra etablerte mediehus medprofesjonelle journalister og redaktører over tilenkeltpersoner som benytter kommunikasjonska-nalene direkte, uten mellomledd. Vanlige blogger,men også øyevitneobservasjoner og bildeopptakfra ulykker eller demonstrasjoner, er eksemplerpå det.

Når ytringsfriheten gjøres avhengig av digitaleløsninger, har myndighetene et ansvar for å sikreat de digitale tjenestetilbudene er innrettet slik atrettighetene kan realiseres. Tilbudene må ha til-strekkelig kapasitet og driftssikkerhet, slik at deikke kollapser ved viktige samfunnshendelser, ogde må være trygge nok til å hindre manipuleringfra eksterne, slik at for eksempel journalister kanlegge til grunn at den offentlige informasjonen ergyldig. Gitt at digital kommunikasjon er viktig forsamfunnet og demokratiet, kreves det at myndig-hetene må regulere og styre markedet, slik at detikke er private tilbyderes posisjon som avgjørhvor grensene for ytringsfrihet går, ved bruk avsensur og styring av sosiale medier. Befolkningen,individer og organisasjoner må ha berettiget tillittil tjenestene de bruker for sine ytringer. I motsattfall vil vi se en nedkjølingseffekt som begrenserytringsfriheten ved for eksempel lagring og videreanalyse av informasjon på Google, ved at andrelands myndigheter kan overvåke befolkningen, jf.Snowden-saken, eller ved at journalister frykter atovervåkingstjenester får tilgang til kildene deres.Den digitale sårbarheten innenfor ytringsfrihets-feltet favner altså vidt.

Ytringsfrihetskommisjonens NOU 1999: 276

oppsummerte politisk og personlig frihet til åomfatte tre elementer: sannhetsprinsippet om atbedre innsikt bare kan nås gjennom meningsut-veksling der fremsatte påstander kan korrigeres ikonfrontasjon med andre meninger, autono-miprinsippet om at vi fritt kan teste ut våre tanker,utdype og drøfte dem med andre uten kontrollø-rer, og demokratiprinsippet om offentlig menings-utveksling. Realiseringen av disse tre prinsippeneog ytringsfrihet forutsetter et skille mellom ytrin-ger i det offentlige rom og ytringer i det privaterom. Kommisjonen skrev også:

«Man kan bare utvikles som menneske ved atman har et rom der man kan føle seg fri fra åmåtte stå til ansvar for hva man sier eller gjøroverfor ytre, ukjente kontrollører. Den offent-

6 NOU 1999: 27 Ytringsfrihed bør finde Sted.


lige samtale i et fritt samfunn har sitt utgangs-punkt i slike fri og utvungne prosesser, denspringer frem fra den beskyttede privatsfære.»

3.2.5 Forsamlingsfrihet

Forsamlingsfriheten er en sentral rettighet for åsikre og videreutvikle demokratiet. De siste årsutvikling av IKT har påvirket denne rettighetensærlig i to henseender: det ene er at informasjonom grupperinger og organisasjoner spres viaInternett, det andre at IKT-plattformer benyttessom forsamlingsarenaer, for eksempel som erstat-ning for møter og demonstrasjoner på offentligetorg, i parker og i gater.

Sikkerhetstiltak som har som formål å redu-sere digital sårbarhet, kan ha betydning for for-samlingsfriheten i ulike sammenhenger. Det eneog åpenbare er systematisk individuell overvå-king eller masseovervåking som IKT-løsningeråpner for, slik at myndigheter og andre kan skaffeseg informasjon om hvem som har deltatt i for-samlingene, og når. Men det er også muligheterfor manipulering av invitasjoner, utestenging avaktører fra IKT-nettverk, tjenestenekt med mer.Mye av dette er kjente eksempler fra forsamlings-arbeid under og etter den arabiske våren.

Myndighetenes ansvar kan være relatert til atde selv gjør inngrep, eller til at de ikke i stor nokgrad sikrer beskyttelse og realisering av rettighe-ten ved for eksempel å tillate private tjeneste-monopolordninger, eller ved at de ikke stillerstrenge nok krav til stabil infrastruktur, at det ikkeer etablert hindre for diskriminering eller utesten-ging av tjenester, og så videre.

3.3 Menneskerettighetsbrudd

Håndtering av digital sårbarhet henger sammenmed menneskerettigheter, men ikke alle situasjo-ner omfattes av menneskerettighetsvernet. Førman kan ta stilling til om en situasjon reguleres aven rettighet eller ikke, kreves det ofte omfattendejuridiske vurderinger. De ulike rettighetene utgjørogså en helhet, slik at ett enkelt forhold kanomfatte ulike rettigheter. Det blir dermed ofte enavveining av rettighetene mot hverandre, der vek-ten av de ulike interessene og argumenteneavgjør utfallet.

Selv i situasjoner der det er klart at myndighe-tene gjør inngrep i rettighetene, kan dette ofte for-svares gjennom den såkalte inngrepshjemmelen.Eksempelvis vil individer måtte tåle inngrep i sittprivatliv dersom myndighetene har behov for å

overvåke dem for å hindre omfattende samfunns-skade. Slike inngrep er lovlige bare dersom de trefølgende vilkårene er oppfylt: (1) at det finneshjemmel/rettsgrunnlag, (2) at inngrepet søker ånå visse oppsatte formål, og (3) at det er nødven-dig i et demokratisk samfunn.

Det er særlig vilkåret om at inngrepet skalvære nødvendig i et demokratisk samfunn, somkan være vanskelig å oppfylle. Dette kravet er inoen grad presisert gjennom en lang rekke dom-mer avsagt av Den europeiske menneskerettig-hetsdomstolen.7 Ett delkrav knytter seg til propor-sjonalitet mellom mål og middel. Proporsjonali-tetskravet, eller forholdsmessighetskravet, somdet også kalles, åpner for en helt konkret balanse-ring av nødvendigheten av hensyn som taler forinngrep og hensyn som taler for å sikre den enkel-tes rettigheter.

Domstolene vil her kreve at det er utredetalternative løsninger, og at det minst inngripendetiltaket velges der det finnes reelle valgmulighe-ter. Det er bare inngrep som kommer av et presse-rende samfunnsbehov, som blir akseptert. Detholder dermed ikke å forsvare inngrep med at deer effektive, lønnsomme, enkle å iverksette ellerlignende. Domstolene vil også kreve at myndighe-tenes begrunnelse for inngrepet er relevant og til-strekkelig. Relevansen går tilbake til interesseav-veiningen: De argumentene som benyttes, må hareell betydning i den beslutningskjeden som lederfrem til at inngrepet iverksettes. Tilsvarende erdet med kravet om at argumentene skal være til-strekkelige: Det holder ikke at de angir en ønsketretning, og de må ikke være fremstilt ufullstendig.Her stilles det strenge krav til lovgiveren, menikke minst til forvaltningen: Det er ikke tilstrekke-lig å si at en konkret løsning har «de beste grun-ner» eller at «man etter en totalvurdering konklu-derer med» denne løsningen. Det er dermed ikkebare en prøving av resultatet, men også av argu-mentasjonskjeden, som har ledet frem til resulta-tet.

Det spiller også inn hvilke kontroll- og sik-ringsmekanismer som er iverksatt. Disse meka-nismene prøves helt konkret mot det konkreteinngrepet og effekten det har for den enkelte.Videre har det betydning hvor bredt tiltakenerammer, for eksempel målt opp mot antall perso-ner og hva slags situasjoner som dekkes, ellerhvor lenge tiltakene er ment å vare. Jo meravgrenset og presist inngrepet er, jo enklere erdet for myndighetene å forsvare det. Særlig innen

7 Se punkt 10.3 «Menneskerettslige skranker for informa-sjonsinnhenting» som viser til rettspraksis fra EMD.


IKT-reguleringer er dette siste argumentet viktig,slik det også ble vist i EU-domstolens behandlingav saken om datalagringsdirektivet.

Myndighetene har en viss skjønnsmargin i sinforvaltning, men i siste instans er det domstolenesom avgjør hvor langt denne går. Skjønnsmargi-nen vil variere over tid og med de interessene ogrettighetene som prøves. Domstolene vil typisk gådypere inn i saker som er typisk rettslige (somkvaliteten på lovhjemmelen og sikrings- og kon-trollmekanismer), enn saker som har mer medpolitikk og etikk å gjøre. Den nasjonale skjønns-marginen farges også av situasjonen i sammen-lignbare land. Eksempelvis vil Den europeiskemenneskerettighetsdomstolen se hen til andrelands praksis, og de henter ofte inn komparativeanalyser i sine avgjørelser. I flere saker om inn-grep i privatliv og ytringsfrihet har Den euro-peiske menneskerettighetsdomstolen lagt tilgrunn at statene har en mer begrenset skjønns-margin når det gjelder disse rettighetene.

I særlige tilfeller kan statene gjennom deroga-sjon8 gjøre generelle inngrep i menneskerettsligeforpliktelser utover det som følger av den indivi-duelle inngrepshjemmelen. Vilkårene etter foreksempel EMK artikkel 15 er svært strenge –

artikkelen kan kun påberopes under «krig ellerannen offentlig nødstilstand som truer nasjonenssikkerhet» – men bestemmelsen vil kunne væreaktuell i flere av de situasjonene som denne mel-dingen omhandler. Det skal også sies at enkelterettigheter har et absolutt vern mot inngrep/dero-gasjon.

Inngrepshjemmel og derogasjon sier noe omhvordan myndighetene kan beskjære menneske-rettighetene for å fremme andre interesser. Vel såviktig er det å ha det perspektivet at myndighe-tene også har en positiv plikt til å bidra til å reali-sere menneskerettigheter. Her vil det ofte værespørsmål om tilgang til ressurser som slår inn:Har man råd til å etablere så trygge løsninger somønskelig for å sikre gjennomføring av visse rettig-heter? Evalueringene etter Åsta-ulykken, Nokas-ranet og 22. juli viser at det også er et annet spørs-mål som kommer inn, og som kan være avgjø-rende: Er det tilstrekkelig bevissthet, årvåkenhetog planleggingsevne i samfunnet og hos myndig-hetene om disse spørsmålene?

8 «Derogasjon» betyr: adgang til å fravike de rettslige forplik-telsene, utover konvensjonens egne regler om unntak fraforpliktelsene.


Kapittel 4

Hva er digitale sårbarheter?

4.1 Sårbarhetsbegrepet

Sårbarhetsbegrepet står sentralt i denne utrednin-gen. Sårbarhetsutvalget definerte sårbarhet som

«et uttrykk for de problemer et system får medå fungere når det utsettes for en uønsket hen-delse, samt de problemer systemet får med ågjenoppta sin virksomhet etter at hendelsenhar inntruffet».1

Å gjenoppta sin virksomhet handler om atsystemet igjen kan ivareta sine oppgaver, menikke nødvendigvis på nøyaktig samme måte somfør. Det er et mål at gjenopprettingen skjer på enmåte som gjør systemet mer robust, slik at lig-nende hendelser kan tåles i fremtiden. Robustheter et uttrykk for den motstandskraft et system harmot en uønsket hendelse, samt den evne systemethar til å gjenoppta sin virksomhet etter at hendel-sen har inntruffet.

Uønskede hendelser kan være både tilsiktedeog utilsiktede. En tilsiktet hendelse er forårsaketav en aktør som gjennom målrettede handlingerutløser den uønskede hendelsen. En utilsiktethendelse kan skyldes værfenomener, jordskjelvog systemsvikt, eller den kan være forårsaket avuhell, uforsiktighet eller uvitenhet.

Lysneutvalgets arbeid har omfattet å se pådigitale sårbarheter på flere nivåer av systemer:1. Sårbarheter som knyttes direkte til IKT-

systemer, både logiske og fysiske feil. Slike sår-barheter kjennetegnes ved svakheter, feilde-sign eller feilimplementering.

2. Sårbarheter i selve samfunnsfunksjonene somer forårsaket av svikt i IKT-systemer, og ved atsvakheter arves av feil i IKT-systemer.

Den sårbarheten som samfunnet står overfor tilenhver tid, faller i én av to kategorier:

1. Sårbarheter som er kjent og akseptert fordi detblir vurdert at kostnadene ved de aktuelle tilta-kene ikke står i forhold til skadepotensialet,trusselen eller verdien.

2. Sårbarheter som ikke blir gjenstand for tiltakfordi sårbarheten enten er ukjent, feilvurdert,ikke forstått eller mangelfullt kommunisert.

Restsårbarhet er et begrep som beskriver den sår-barheten man sitter igjen med etter at sårbarhets-reduserende tiltak er gjennomført. Utvalgetmener det er de sårbarhetene som ikke er erkjent,som utfordrer oss både som samfunn og somenkeltmennesker. Utvalget er av den oppfatning atukjente, feilvurderte, ikke forståtte eller mangel-fullt kommuniserte sårbarheter er et spesieltomfattende problem innenfor de digitale sårbar-hetene.

Denne utredningen omhandler digitale sårbar-heter som ligger i grenseflatene mellom digitalinformasjonsbehandling, digital kommunikasjonog digital styring. Eksempler på digital styring erkontroll av adgang, lys, varme og ventilasjon ibygg, førerstøtte i transportmidler, regulering avtrafikk og kontroll med infrastruktur som strøm-og vannforsyning.

Dagens IKT-systemer er fremdeles umodne,og risikoen for at uvedkommende får innsyn isensitiv informasjon, har økt i takt med digitalise-ringen. Det er fremdeles mangelfulle mekanismerfor å bekrefte identitet over digitale kommunika-sjonskanaler, og teknologiens interaksjon medfysiske prosesser blir allerede misbrukt for åutføre sabotasje, for eksempel ved tilsiktet overbe-lastning som medfører fysisk skade.

4.2 Verdivurdering

Verdivurdering handler om å etablere en oversiktover de verdiene som finnes.2 I verdivurderingeridentifiseres verdier, og man forsøker å estimere

1 NOU 2000: 24 Et sårbart samfunn – Utfordringer for sikker-hets- og beredskapsarbeidet i samfunnet. 2 NSM (2015): Sikkerhetsfaglig råd 2015.


skade som uønskede hendelser kan få for verdi-ene. Utfordringene knyttet til verdivurderingerblir tydelige når informasjon i og avhengighetenav IKT-utstyret skal vurderes.

Verdibegrepet, slik det er benyttet i denneutredningen, bidrar til å identifisere hvilke kri-tiske samfunnsfunksjoner det er viktigst å opprett-holde.

Bortfall av IKT-tjenester kan i løpet av kort tidføre til store tap i produktivitet og inntjening. Detkan være svært kostbart å gjenskape informasjondersom den går tapt. Informasjon som kommer igale hender, kan gi utslag i negativt omdømme, itillegg til store skader for kunder dersom det ersnakk om sensitive personopplysninger.

Å verdivurdere det som er eksponert for sår-barheter, viser seg i mange tilfeller å være sværtkomplisert. Internasjonal litteratur indikerer atdigitale trusler er spesielt vanskelig å kvantifisere,i særlig grad gjelder dette trusselen fra tilsiktedehandlinger.3 4 5 Verdikjeder med komplekseavhengigheter på tvers av sektorer og virksomhe-ter gjør det vanskelig å kartlegge omfanget av ver-dier som er eksponert for sårbarheter. NSM harutgitt veiledning i verdivurdering.6

4.3 Trussel og fare

Trussel kan defineres som «en mulig årsak til enuønsket hendelse».7 Begrepet brukes både omkapasitet og intensjon til å gjennomføre skadeligehandlinger og til å beskrive faren ved konsekven-sene av utilsiktede hendelser.8 I norsk straffelovbrukes trusselbegrepet om aggressive ord eller

handlinger. NSM beskriver begrepet trussel somen tilsiktet uønsket handling.9

Fare er i norske standarder definert som«handling eller forhold som kan føre til en uøn-sket hendelse».10 NSM beskriver fare som en util-siktet uønsket hendelse.

4.4 Risikovurdering

Formålet med risikovurderinger er å prioriterebegrensede ressurser i arbeidet med å oppnåønsket sikkerhetsnivå. Iverksatte tiltak kan væreforebyggende, det vil si at de reduserer sannsyn-ligheten for at en uønsket hendelse skal skje. Til-tak kan også være konsekvensreduserende, noesom innebærer at de minimerer konsekvensene ietterkant av en uønsket hendelse. Tilnærmingentil risikobegrepet avhenger av hvilket fagmiljøman kommer fra, og formålet med risikovurderin-gen.

Risiko kan uttrykkes som en kombinasjon avsannsynligheten for og konsekvensen av en uøn-sket hendelse.11 Metoden har god forankring ibruksområder rettet mot utilsiktede hendelser.Risiko kan også uttrykkes som forholdet mellomtrusselen mot en gitt verdi og denne verdiens sår-barhet overfor den spesifiserte trusselen.12 Trus-selen blir estimert basert på vurderinger av trus-selaktørens kapasitet, evne og vilje til å påføreskade. Denne fremgangsmåten benyttes mot til-siktede uønskede handlinger der man må for-holde seg til en strategisk og kalkulerende trusse-laktør som er i stand til å tilpasse seg sikringstil-tak og endrede rammebetingelser.

FFI har utgitt en rapport der de sammenlignerdisse to standardene for risikovurdering.13 FFIkonkluderer i sin rapport med at tilnærmingenehar mange likhetstrekk, og at forskjellen hovedsa-kelig ligger i hvorvidt sannsynlighetsvurderingener eksplisitt eller implisitt. I rapporten skriver deat begge modellene har svakheter knyttet til hvor-dan de kommuniserer usikkerheten knyttet tilrisikoen, og at det verken nasjonalt eller interna-sjonalt eksisterer en beste fremgangsmåte for åvurdere tilsiktede uønskede hendelser.

3 Biener, Christian; Martin, Eling og Jan Hendrik Wirfs(2015): «Insurability of Cyber Risk: An Empirical Analysis».The Geneva Papers on Risk and Insurance-Issues andPractice 40.1 s. 131–158.

4 ENISA (2012): Incentives and barriers for the cyber insu-rance market in Europe. I rapporten blir det dokumentertat usikkerhet knyttet til vurderingen av hvilke verdier somskal forsikres, er et av de største hindrene for utvikling avet velfungerende forsikringsmarked.

5 World Economic Forum (2015): Partnering for Cyber Resi-lience, Towards the Quantification of Cyber Threats. Enhovedobservasjon i denne rapporten er at det internasjo-nale samfunnet mangler en felles metodikk for å kvantifi-sere cybertrusler og tilhørende verdier.

6 NSM (2009): Veiledning i verdivurdering.7 NS-ISO 22300:2012 «Samfunnssikkerhet – terminologi».

Oversatt fra «Potential cause of an unwanted incident, whichcan result in harm to individuals, a system or organization,the environment or the community».

8 NOU 2006: 6 Når sikkerheten er viktigst — Beskyttelse avlandets kritiske infrastrukturer og kritiske samfunnsfunksjo-ner, s. 36.

9 NSM (2015): Helhetlig IKT-risikobilde 2015.10 NS 5814:2008.11 Ibid.12 NS 5832:2014. 13 Forsvarets forskningsinstitutt (2015): FFI-rapport 2015/

00923 Tilnærminger til risikovurderinger for tilsiktede uøn-skede handlinger. Om Forsvarsbyggs operasjonalisering avNS 5814:2008 og NS 5832:2014.


Disse begrepene eller nært beslektede begre-per finner man igjen i standarder og mønsterprak-sisdokumenter fra ENISA14 og World EconomicForum.15 16 I ISO 27005 defineres risiko som

«potensialet for at en gitt trussel vil utnytte sårbar-hetene til et sett av verdier og derigjennom å for-årsake skade».

14 ENISA (2012): ENISA Threat landscape 2012. Begrepenebenyttes også i Threat landscape-rapportene fra 2013 og2014, men de defineres i rapporten fra 2012.

15 World Economic Forum (2012): Risk and responsibility in aHyperconnected world – pathways to global cyber resilience.

16 World Economic Forum (2015): Partnering for Cyber Resi-lience – Towards the quantification of cyber threats.


Kapittel 5

Sikring av IKT og digital informasjon

5.1 Hva er IKT-sikkerhet?

Ulike begreper blir brukt om det digitale sikker-hetsarbeidet, blant annet informasjonssikkerhet,IKT-sikkerhet og cybersikkerhet. I Norge er begre-pene brukt om hverandre de siste årene. I dennasjonale strategien på området utgitt i 20121 bru-kes begrepet informasjonssikkerhet. Informasjons-sikkerhetsbegrepet handler om sikring av infor-masjon, uavhengig av om den er digital eller ana-log. I kongelig resolusjon av 20132 er begrepetIKT-sikkerhet brukt. I Forsvarsdepartementetscyberretningslinjer fra 2014 benyttes begrepetcybersikkerhet. Internasjonalt brukes også oftebegrepet cybersikkerhet, der cyber henviser til altcyberdomenet består av – datasystemer og kom-munikasjonsinfrastruktur, i tillegg til informasjo-nen som lagres og overføres. Cybersikkerhethandler derfor om å beskytte «alt» som er sårbartfordi det er koblet til, eller på annen måte eravhengig av informasjon- og kommunikasjonstek-nologi.

En svensk offentlig utredning fra 2015 tilleg-ger cybersikkerhet en mer internasjonal strategiskbetydning, mens informasjonssikkerhet henviser tilteknisk beskyttelse og standardisering:

«Cybersäkerhetsbegreppet är mer strategisktoch fokuserar mer på nationella och internatio-nella nätverk. Därmed har cybersäkerhet enstörre internationell räckvidd med t.ex. fol-krättsliga frågeställningar och normer på cybe-rområdet än det mer tekniska informationssä-kerhetsbegreppet. Det senare har en störretyngdpunkt mot hård- och mjukvara samt stan-dardisering.»3

Utvalget benytter i denne NOU-en begrepet IKT-sikkerhet, og legger til grunn hele spekteret avdigitale sårbarheter (se punkt 4.1 «Sårbarhetsbe-grepet»). Videre legger utvalget til grunn at IKT-sikkerhet er synonymt med cybersikkerhet.

Sikkerhet innebærer beskyttelse mot farer ogtrusler som kan forårsake uønskede hendelser.Høy grad av sikkerhet gir en trygghetsfølelse, og inoen situasjoner kan følelsen av trygghet være velså avgjørende som det objektive sikkerhetsnivået,selv om disse ikke nødvendigvis er sterkt korre-lert med hverandre.

IKT-sikkerhet handler om å beskytte IKT oginformasjonen i informasjonssystemer mot uøn-skede hendelser. Spørsmålet er så hvilke målset-tinger – sikkerhetsmål – vi har når vi sikrer oss.De tre mest kjente er konfidensialitet, tilgjengelig-het og integritet. Utvalget legger til grunn en vidforståelse av de tre begrepene, men understrekerat disse ikke gir et komplett bilde.

Konfidensialitet innebærer beskyttelse mot atinformasjon blir kjent for uvedkommende, og der-med at bare de vi gir lov til å se informasjonen,faktisk får se den. Det er verdt å merke seg at kon-fidensialitetsbrudd i praksis er uopprettelige i detdigitale domenet. Et eksempel på konfidensiali-tetsbrudd er hackingen av SnapSave, som førte tilat private bilder og videoer ble spredt på diversefildelingsnettverk i 2014.

Tilgjengelighet innebærer at informasjon og tje-nester er tilgjengelige når de trengs. For noen årsiden, da Norge startet med digitale selvangivel-ser, var det mange som frustrert ble møtt med attjenesten ikke var tilgjengelig rett etter at selvan-givelsen ble sluppet. Tjeneren hadde ikke ressur-ser til å håndtere tilstrekkelig antall samtidigeoppkoblinger, og dermed klarte den ikke å leveretjenesten til alle. Dette er et eksempel på utilsiktettjenestenekt. Et annet eksempel er sanntidsover-føring av lyd og bilde, som IP-telefon og videokon-

1 Fornyings- og administrasjonsdepartementet, Samferdsels-departementet, Justis- og beredskapsdepartementet ogForsvarsdepartementet (2012): Nasjonal strategi for infor-masjonssikkerhet.

2 Statsministerens kontor (2013): Overføring av samordnings-ansvaret for forebyggende IKT-sikkerhet fra Fornyings-, admi-nistrasjons- og kirkedepartementet til Justis- og beredskapsde-partementet. Kgl. res. 22.03.2013.

3 SOU 2015: 23 Informations- och cybersäkerhet i Sverige –Strategi och åtgärder för säker information i staten, punkt2.4 «klargörande av begrepp».


feranser. Det ligger i designet til Internett at data-trafikk mellom to punkter kan forsvinne under-veis dersom det er stor belastning på nettet. Detteopplever vi som uklar lyd og hakkete bilde.

Integritet innebærer at informasjon er til åstole på, og at systemer og tjenester fungerer slikdet er tenkt. Informasjonen skal være korrekt oggyldig. Bare de som har lov til å endre informasjo-nen, får endret den. Relatert til integritet har viautentisitet, som handler om å sikre opphavet tilinformasjonen, for eksempel bekrefte identitetentil en sendt melding. Nært relatert har vi ogsåikke-fornekting (non-repudiation), som handler omat en digital handling ikke skal kunne benektes ietterkant. Innen digital kontraktsinngåelse ønskerman for eksempel ikke en situasjon der motpartenkan fornekte en signert kontrakt i ettertid. Det ermange eksempler på områder der vi er avhengigeav at informasjonen er korrekt, blant annet trans-aksjoner og kontobalanser i finansnæringen, samtovervåkings- og styringssystemer for industripro-sesser og regulering av luftfart. Et eksempel påintegritetsbrudd er fra 2013, da utpressingsskade-varen CryptoLocker ble brukt for å presse ofre tilå betale for å få tilgang til filene sine igjen. Rentteknisk var dette en ikke-ønsket – såkalt uautori-sert – endring av informasjon som medfører atinformasjonen ikke lenger er tilgjengelig. Uansetthvor store ressurser samfunnet legger i beskyttel-sestiltak, må vi akseptere at vi ikke alltid vil være istand til å oppfylle sikkerhetsmålene. Ved bruddpå sikkerhetsmålene, eller ved sterk mistanke ombrudd, sier vi at systemet har blitt kompromittert.Siden vi ikke kan beskytte oss fullstendig motkompromittering, må vi ha mekanismer som laross rydde opp i ettertid og dermed minimere kon-sekvensene. For mange virksomheter innebærerslik gjenoppretting å reinstallere programvare ipåvente av sikkerhetsoppdateringer fra eksterneleverandører. I andre situasjoner kan det værebehov langt mer komplekse verifikasjons- og tilba-kerullingsprosedyrer, samt endringer i konfigura-sjon og rutiner.

Vi kan her trekke frem et fjerde sikkerhets-mål, kalt sporbarhet. Sporbarhet handler om åkunne finne ut hva som har skjedd, i etterkant, foreksempel hvem som har håndtert informasjonen,og hvor den har vært kommunisert. Typiskeeksempler er tilgangslogger, endringslogger ogandre typer hendelseslogger. Kompromittering avsporbarheten innebærer at det blir vanskelig ellerumulig å etterforske i ettertid.

5.2 Motsetninger mellom sikkerhetsmål

Noen ganger er det også motsetninger mellomforskjellige sikkerhetsmål. Sensitiv informasjonkan «låses ned», deles med færrest mulig. På denmåten oppnås høy grad av konfidensialitet. Ulem-pen er at tilgjengeligheten og dermed effektivite-ten blir mindre. For eksempel vil det å jobbe i ethøygradert IKT-system frakoblet Internett redu-sere angrepsflaten for dataspionasje, men samti-dig gjøre det vanskeligere å kommunisere medomverdenen. Motsatt vil høy grad av tilgjengelig-het øke sjansen for at informasjon kommer påavveie eller blir endret på en ukontrollert måte.

Informasjonssikkerhetsfeltet har tradisjoneltvært sterkt fokusert på konfidensialitet, det vil sihemmelighold av informasjon, men ofte kan inte-gritet eller tilgjengelighet være viktigere. Foreksempel er mye informasjon i samfunnet offent-lig og kravene om konfidensialitet dermed småeller ikke-eksisterende. Det kan likevel ha storekonsekvenser dersom informasjonen er feil ellerutilgjengelig.

Uttrykket «need to know» handler om at barede som virkelig trenger informasjonen, bør få til-gang til den. Som et motstykke har begrepet«need to share» oppstått. Tanken bak det er atskadepotensialet ved at allierte mangler kritiskinformasjon, kan være større enn om uvedkom-mende får kjennskap til informasjonen. I militærtinternasjonalt samarbeid er det eksempler på atliv har gått tapt fordi avgjørende informasjon ikkehar kunnet deles. En relatert situasjon har vi vedhåndtering av IKT-hendelser der deling av klausu-lert etterretningsinformasjon potensielt kunne haavverget nye IKT-innbrudd, men der strategiskehensyn har veid tyngst.

5.3 Sikkerhetsnivå og risikoaksept

Et spørsmål som ofte blir stilt, er om et system ersikkert. Sikkerhet handler om at vi vil oppnå sik-kerhetsmål, som blant annet konfidensialitet, inte-gritet, tilgjengelighet og sporbarhet.

Men sikkerhet handler også om hva og hvemvi ønsker å beskytte oss mot. Vi må ta stilling tilhva og hvem vi ønsker å beskytte oss mot. Er dettilfeldige feil og svikt? Er det nysgjerrige naboerog teknologisk kyndige tenåringer? Eller er detutro tjenere, organiserte kriminelle og fremmedestater?

Hvilket sikkerhetsnivå som er nødvendig fordet aktuelle systemet eller tjenesten, kan vi først


avgjøre etter å ha gjennomført en risikovurdering.For å kunne vurdere hvilket sikkerhetsnivå en tje-neste eller et system har behov for, må vi se påhelheten, og ikke bare tekniske forhold, men ogsåmiljøet systemet eksisterer i, og hvilke trusler ogfarer vi ønsker å beskytte oss mot.4

For å eksemplifisere kan vi vise til anonymise-ringsnettverket The Onion Router (TOR). Formå-let med TOR er å skjule egen identitet ved kom-munikasjon via Internett. Sammen med noen for-holdsvis enkle tiltak gir TOR beskyttelse mot endel trusler, som at Internett-tilbyderen din avlytterdeg. Dersom du prøver å beskytte deg mot aktø-rer som har kontroll over store deler av Internett-infrastrukturen, slik enkelte nasjonstater har, fin-nes det flere måter å bryte anonymitetsbeskyttel-sen TOR gir.

Etter å ha foretatt en risikovurdering og defi-nert et sikkerhetsnivå vil det alltid kunne være enrestrisiko. En målsetting kan være å ha en over-sikt over den konkrete restrisikoen, slik at priori-teringen mellom tiltak blir så hensiktsmessig sommulig. Kriterier for risikoaksept er verbale ellertallfestede uttrykk som setter grenser for hvilkenrisiko som er akseptabel eller ønskelig. Uaksepta-bel risiko krever tiltak. Å ha kriterier for risikoak-sept betyr ikke at en aksepterer at en ulykkeshen-delse inntreffer, men innebærer en erkjennelse avat en ikke kan fjerne all risiko, og at en må priori-tere mellom ulike gode risikoreduserende tiltak.Å kunne gjøre gode prioriteringer mellom tiltakkan imidlertid være en ambisiøs målsetting, ikkeminst fordi det vil være mange ukjente og usikrestørrelser i en slik vurdering. Usikkerheten inytte–kostnads-vurderinger vil være ekstra storfordi det også vil være usikkerhet knyttet til sann-synligheten for at den hendelsen man ønsker åforebygge eller ha beredskap mot, faktisk inntref-fer, eller ville ha inntruffet dersom tiltakene ikkeble gjennomført. En annen side ved dette er atsamfunnets aksept av risiko kan være ulik fraområde til område.

5.4 Noen sentrale IKT-sikkerhetstiltak

For å sikre IKT-systemer og digital informasjonhar vi bygd opp en «verktøykasse» for å beskytteoss mot både utilsiktede og tilsiktede hendelser.Her gir vi en beskrivelse av de mest essensielleverktøyene vi har.

5.4.1 Menneskelige og organisatoriske sikkerhetstiltak

IKT-politikk, ledelse og rutiner handler om å regu-lere ønsket bruk av IKT-systemer og informasjo-nen i dem. Kjente mekanismer er utarbeidelse avstrategier og risikovurderinger, lover og retnings-linjer, god sikkerhetskultur, verdivurderinger, sik-kerhetsgradering av informasjon, personellklare-ring, autorisasjon, godkjenning av systemer, avta-levilkår, brukerveiledninger og konfigurasjons-kontroll. Rutiner rettet mot brukere kan håndte-res både med og uten tekniske hjelpemidler.Merk at rutiner er skjøre sikkerhetstiltak når per-sonalet kan omgå eller ignorere dem.

5.4.2 Preventive tekniske sikkerhetstiltak

Sikkerhetskopier og redundans. Sikkerhetskopierav data er kanskje det mest kjente sikkerhetstilta-ket mot systemsvikt. Det finnes mange løsningerfor sikkerhetskopiering på eksterne lagringsme-dium, både lokalt og eksternt, for eksempel i sky-baserte tjenester. Sikkerhetskopiløsninger kanvære svært sårbare for tilsiktede hendelser. Deter flere eksempler på virus som sletter, krypterereller endrer dokumenter, også på tilkoblede lag-ringsmedia. Løsninger som baserer seg på åspeile data, vil da stå i fare for å erstatte sikker-hetskopier med infiserte versjoner. Sikkerhetsko-pier av data er en av flere former for redundans.Andre eksempler er alternative dataoverførings-linjer, reservedeler og ekstra strømforsyningsmu-ligheter. Det essensielle er at alternativene er uav-hengige av hverandre.

Antivirus er en samlebetegnelse på dedikerteprogrammer som leter etter og forsøker å fjerneskadevare. Virus er en type skadevare, og navnethar sitt opphav i måten det biologiske virusetsprer seg på. Antivirus er ofte en form for svarte-listing som innebærer at man oppretter en storkatalog med kjennetegn som skal blokkeres. Enannen fremgangsmåte for å løse problemet kalleshvitlisting og innebærer å lage lister over hvilkeprogrammer som skal få lov til å kjøre, mens altannet blokkeres. Kontroll med hva som får kjørepå maskinvaren, håndheves ved hjelp av digitalesignaturer.

Sikkerhetsoppdateringer («patching») består i åbytte ut gammel, sårbar programkode med nyprogramkode. Vi kan grovt skille mellom utvi-delse av funksjonalitet og reparasjon av feil. Nyfunksjonalitet er som regel det vi forbrukere spøretter, mens det sistnevnte – ofte kalt sikkerhets-oppdateringer – er det som gjør systemene sik-

4 Direktoratet for forvaltning og IKT (2010): Risikovurdering– en veiledning til Rammeverket for autentisering og uavvise-lighet i elektronisk kommunikasjon med og i offentlig sektor.


rere. Det tar ofte lang tid fra sårbar programvareblir oppdaget, til en sikkerhetsoppdatering blirutviklet.5 Dette kommer blant annet av kompleksi-tet i programvare, som gjør at nødvendigeendringer kan få konsekvenser for annen funksjo-nalitet. Systemer der operative behov står sterkt,blir derfor ikke oppdatert uten at oppdateringeneer forsvarlig testet. Manglende oppdateringer kanogså skyldes uvitenhet og «latskap». Leverandø-rer av programvare har derfor gradvis gått framanuelle til helautomatiske oppdateringer, særligfor operativsystemer og nettlesere.

Ofte blir nye sårbarheter oppdaget ved at debenyttes i et angrep. Da eksisterer det naturligvisheller ingen «patch» (reparasjon) for sårbarheten.Vi kaller disse sårbarhetene for «zero-day» sårbar-heter.

Programvare har ofte mange muligheter forkonfigurasjon og innstillinger, og utgjør et poten-sial for sårbarheter som sikkerhetsoppdateringersjelden retter. En særlig problemstilling her erstandardinnstillingene til leverandøren, fordidisse normalt forblir uendret. Se boks 5.1.

Brannmur. En brannmur har som oppgave åblokkere uønsket nettverkstrafikk. Skallsikring eren tradisjonell sikkerhetstankegang og går ut påat man forsøker å plassere alt innenfor beskyttel-sen av brannmurer. Skallsikring utfordres av allemåtene vi kobler ting sammen på, ved at det erblitt svært krevende å «holde skallet».6 Alterna-tive strategier er å dele nettverk inn i soner medegen skallsikring, transaksjonskontroll og ulikeformer for filtrering, samt å bygge moduler derhver enhet er ansvarlig for sin egen sikkerhet.

I Internetts barndom var personlige brannmu-rer programvare vi på lik linje med antivirus måttekjøpe separat. I dag har de mest kjente operativ-systemene innebygd brannmur. Nettlesere og e-post utgjør i dag to sentrale punkter for introduk-sjon av skadevare. Når nettlesere laster inn nettsi-der, henter de også små programsekvenser framange steder på Internett, og disse kan være infi-sert. Det samme gjelder vedlegg og aktivt innholdi e-postmeldinger. Det finnes derfor mer spesiali-serte former for blokkering, som for eksempel«script-blokkere» for nettlesere, og løsninger somser etter virus i e-post under overføringen, før e-posten når frem til mottakeren.

Kryptografi. Det typiske kryptografiske proble-met er to personer som ønsker å snakke sammen,men som også ønsker å beskytte seg mot avlyt-ting. Tradisjonelt har kryptografi vært forbeholdtdiplomatiet og militæret, men i løpet av de siste 50årene har kryptografi blitt tatt i bruk av alle.

I klassisk bruk av kryptografi utveksler manførst en hemmelig nøkkel. For å beskytte informa-sjonen man vil sende, brukes nøkkelen til å kryp-tere informasjonen. Resultatet er en chiffertekstsom man sender til mottakeren. Mottakeren bru-ker nøkkelen til å dekryptere chifferteksten ogkan så lese informasjonen. Uten nøkkelen er det ipraksis umulig å trenge gjennom krypteringen forå lese den beskyttede informasjonen. Denne for-men for kryptografi kalles ofte symmetrisk kryp-tografi, der ordet symmetrisk henspeiler på at deter symmetri i hvilke hemmelige nøkler man kjen-ner.

Det finnes nå en annen form for kryptografi,der de som skal kommunisere, ikke lenger tren-ger å forhåndsutveksle hemmelig informasjon. Istedet trenger man bare en sikker måte å utveksleoffentlig kjent informasjon på. Dette kalles asym-metrisk kryptografi, siden de som skal kommuni-sere, ikke lenger kjenner de samme hemmeligenøklene.

Det mest kjente eksempelet på asymmetriskkryptografi er såkalt offentlig-nøkkel-kryptering,der hver kommunikasjonspart har et såkalt nøk-kelpar bestående av en offentlig krypteringsnøk-kel og en hemmelig dekrypteringsnøkkel. Krypte-ringsnøkkelen er offentlig kjent og kan brukes avenhver til å kryptere informasjon som skal sendestil eieren av nøkkelparet. Dekrypteringsnøkkelener hemmelig – uten den er det i praksis umulig åtrenge gjennom krypteringen for å lese denbeskyttede informasjonen.

Et annet eksempel på asymmetrisk krypto-grafi er digitale signaturer. Også her har hverkommunikasjonspart et nøkkelpar, som består av

5 Se også punkt 5.5 «Utfordringer knyttet til programvareut-vikling».

6 Se også punkt 6.2.2 «Tingenes Internett» og punkt 6.4.3«Bruk av privateid datautstyr i jobbsammenheng».

Boks 5.1 Slik stopper du 90 prosent av alle angrep1

1. Oppgrader program- og maskinvare.2. Vær rask med installasjon av sikkerhets-

oppdateringer, gjør det automatisk hvismulig.

3. Ikke tildel sluttbrukere administratorret-tigheter.

4. Blokker kjøring av ikke-autoriserte pro-grammer.

1 Nasjonal sikkerhetsmyndighet (2014): Fire effektive til-tak mot dataangrep.


en hemmelig signeringsnøkkel og en offentligverifiseringsnøkkel. Nå kan eieren av nøkkelparetbruke signeringsnøkkelen til å signere informa-sjon. Alle kan bruke verifiseringsnøkkelen til åsjekke at informasjonen kom fra eieren av nøkkel-paret og ikke er endret etter signering. Uten sig-neringsnøkkelen er det i praksis umulig å endreeller forfalske signert informasjon.

Det er ikke slik at man bruker enten asym-metrisk eller symmetrisk kryptografi. Nesten allemoderne systemer bruker en blanding av asym-metrisk og symmetrisk kryptografi.

Det er viktig å merke seg at vi ved hjelp avasymmetrisk kryptografi ikke lenger trenger åutveksle hemmelige nøkler. Men offentlige nøklermå fortsatt utveksles. Infrastrukturen for åutveksle offentlige nøkler kalles ofte for «publickey infrastructure» (PKI).7

En vanlig måte å lage en PKI på er ved hjelp avsåkalte sertifikater. Et sertifikat består av et navn,en offentlig nøkkel og en digital signatur på nav-net og nøkkelen. Den digitale signaturen er lagetav en tiltrodd tredjepart, en såkalt sertifikatutste-der, og hele sertifikatet tolkes som at sertifikatut-stederen går god for at det er den navngitte perso-nen eller virksomheten som eier den offentligenøkkelen.

Når en person kontakter Altinn for å sende innselvangivelsen, begynner «samtalen» med atAltinn sender sitt sertifikat til personen. Hvis per-sonen stoler på den som har utstedt sertifikatet,kan hun sjekke at signaturen i sertifikatet stem-mer, og slik være sikker på at hun har fått Altinnsoffentlige nøkkel.

En utfordring ved denne modellen er at hem-melige nøkler iblant kompromitteres og ikke len-ger kan brukes. Da må det tilhørende sertifikatetheller ikke brukes lenger. En vanlig løsning er atbrukerne laster ned lister over tilbakekalte sertifi-kater8 med jevne mellomrom og sjekker at sertifi-katene ikke er tilbakekalt. En annen løsning er åspørre sertifikatutstederen direkte om sertifikatetfortsatt er gyldig.9 Merk at disse løsningene harforskjellig personvernvirkning, siden direkte veri-fikasjon gir utstederen innsyn i bruken av deutstedte sertifikatene.

En annen utfordring er at det kan være sværtmange sertifikatutstedere. Om man ikke stoler påen sertifikatutsteder, har man heller ingen grunntil å stole på sertifikatene vedkommende utsteder.Et godt eksempel på hvor komplisert dette kanbli, er den såkalte Internett-PKI-en som brukes påoffentlige nettsteder i dag. Hver nettleser har enlang liste med sertifikatutstedere, men det eringen god måte for brukeren å finne ut hvemdisse sertifikatutstederne er eller hvorfor bruke-ren bør stole på dem.

Denne formen for kryptografi er i dag etmodent fagfelt, selv om praksisen fortsatt liggernoe etter den teoretiske kunnskapen. Merk atkryptografi i dag er et mye bredere fagfelt ennbare kommunikasjonssikkerhet.

Selv om kryptografi er nødvendig for åbeskytte digitale systemer, finnes det en langrekke angrep som kryptografi ikke beskytter mot.Å si at noe er kryptert, er ikke det samme som atdet er sikkert. Se eksempel i boks 5.2.

5.4.3 Overvåking

Forebyggende sikkerhet kan ikke forhindre alleuønskede hendelser. Vi er derfor avhengige av åkunne oppdage og håndtere hendelser. Enmetode er å plassere sensorer i nettverket for åinspisere datatrafikken inn og ut av virksomheter.De benytter hovedsakelig svartelisting, på lik linjemed antivirus. Varslingssystem for digital infra-struktur (VDI) fra NSM NorCERT er et eksempelpå et slikt system. Disse teknologiene kan bådevære passive og aktive. De aktive forsøker også åstoppe angrepet, da ofte i kombinasjon medbrannmurfunksjonalitet. En stor utfordring foralle systemer som overvåker nettverkstrafikk, erbruk av kryptering som hindrer dem i å inspisereinnholdet. Dette er et økende problem. Samtidigser vi løsninger som gjør det mulig for slike over-våkingsenheter å ta del i nøkkelinformasjon, slikat de blir i stand til å inspisere på innsiden av denkryptografiske beskyttelsen. Det forskes på løs-ninger som oppdager unormale hendelser, såkaltanomali, men de har som oftest et altfor høyt nivåav falske alarmer til at de er praktiske i dag.

En annen strategi er å opprette såkalte lokke-duer («honeypots»), det vil si ressurser som ingenbruker, men som er attraktive for en innbryter.Ved å følge med på disse vil man i liten grad ha fal-ske alarmer, siden legitim bruk omtrent ikkeeksisterer. På mange områder er vi avhengige avat de som har tilgang, ikke misbruker den. Det ermulig å aktivere logging, slik at innlogging, opp-

7 Begrepet PKI gis ofte en bredere betydning enn infrastruk-turen for å utveksle offentlige nøkler, for eksempel kan detpeke på spesifikke kryptografiske teknologier eller heleomfanget av tjenester man kan få ved å bruke bestemtekryptografiske teknologier.

8 Certificate Revocation Lists (CRL).9 Typisk ved hjelp av protokollen Online Certificate Status

Protocol (OCSP).


slag, endring og sletting kan tas vare på og benyt-tes ved stikkprøver eller ved etterforskning.

5.5 Utfordringer knyttet til programvareutvikling

Det er programvare i nær sagt alt, og vi vet ennåikke hvordan vi skal bygge programvare som all-tid fungerer slik vi ønsker. Det er vanskelig nok åfå ønsket funksjonalitet til å virke, og det før noenmed intensjon prøver å misbruke funksjonalite-ten. Mye programkode blir også kopiert og gjen-brukt for å spare tid, noe som medfører at eksis-terende svakheter blir videreført.

Det er en interessant observasjon at program-utviklingsindustrien i liten grad blir ansvarliggjortfor sikkerhetsfeil. Det henger igjen sammen medkompleksiteten knyttet til utviklingen. Det er nor-malt at programvare slippes i uferdig tilstand forså å bli fulgt opp med oppdateringer fortløpende

etter som feil blir avdekket.10 Programvare medhøy utbredelsesgrad er særlig interessant for demsom leter etter sårbarheter, og der vi ikke kjennertil mange feil, har trolig få lett etter dem. Mangefunksjonalitetsfeil og sikkerhetshull er derfor blittfikset, og stadig nye introduseres i dagens jaktetter ny funksjonalitet. Mye utdatert programvareer fremdeles i bruk. Eldre Android-baserte telefo-ner kan ikke oppdateres, og det er fremdelesmange som bruker eldre Windows-versjoner somMicrosoft har sluttet å utgi sikkerhetsoppdaterin-ger til.

En sårbarhet kan ha en livssyklus, slik illus-trert i figur 5.1. Den blir først oppdaget av noen,for eksempel en forsker eller en hacker. Så blirden kanskje publisert, og en kommer i en fase avtesting. Når dette så viser seg å kunne bli utnyttetøkonomisk, henger flere kriminelle seg på – kan-

Boks 5.2 Eksempel på et elektronisk valgsystem

Når en angriper har overtatt styringen av et sys-tem, heter det at det er kompromittert. Sværtmange digitale systemer er sårbare overforkompromittering av sentrale deler. For eksem-pel er mange registre bygd opp rundt essensieltsett én lagringsenhet som inneholder registe-rets informasjon. Dersom denne lagringsenhe-ten kompromitteres, kan informasjonen bliendret uten at noen nødvendigvis legger merketil det. Dersom man får mistanke om at en feilak-tig endring har skjedd, kan man ofte få bekreftetdet ved å analysere gamle arkivkopier ellerandre kopier av databasen. Problemet er at detdigitale systemet ikke er i stand til å oppdageden feilaktige endringen.

For noen systemer lar det seg gjøre å byggedistribuerte systemer som tåler at én eller flereav delene blir kompromittert uten at evnen til åoppdage angrep blir redusert. Et eksempel erInternett-valgsystemet som ble prøvd ut i Norgeved valgene i 2011 og 2013.

I 2011 og 2013 kunne velgerne i utvalgte dis-trikter forhåndsstemme hjemmefra via Inter-nett. De brukte datamaskinen sin til å logge segpå et nettsted, gjorde klar en elektronisk stem-meseddel, krypterte den og sendte den inn tilvalginfrastrukturen. Etter å ha stemt fikk vel-gerne en SMS-melding på telefonen som dekunne bruke til å sjekke at stemmen hadde blitt

korrekt registrert. Valgsystemet var delt opp ifem deler – velgerens datamaskin pluss en fire-delt infrastruktur. Hver del av infrastrukturenvar drevet av forskjellige organisasjoner.

Om velgerens datamaskin var kompromit-tert og endret stemmen før den ble sendt inn,kunne velgeren bruke SMS-meldingen til å opp-dage dette. Om én av de fire infrastrukturdeleneskulle bli kompromittert, ville de tre andredelene sammen oppdage ethvert forsøk på åendre valgresultatet.

Det er verdt å merke seg tre ting ved Inter-nett-valget. I 2013 gjorde en programmeringsfeilat krypteringen sviktet og ikke lenger skjultestemmene. Ytterligere lag med sikkerhet sørgetfor at stemmene likevel forble hemmelige.Senere brukertester har vist at få velgere villevære i stand til å bruke SMS-meldingen riktig,så nesten ingen ville ha oppdaget om stemmenble endret før innsending. I praksis ville manderfor ikke kunne oppdage angrep i liten skala.

Det teknologiske landskapet har endret seg.For eksempel er det viktig for sikkerheten isystemet at SMS-meldingen går til en telefon ogikke til velgerens datamaskin. Men dette gjelderikke nødvendigvis lenger, da mange modernetelefoner kan videresende SMS-meldinger tilvelgerens datamaskin.

10 Noen utviklere benytter såkalt betatesting for å luke vekknoen typer feil i forkant av lansering.


skje havner sårbarheten eller skadevaren på mar-kedet, og andre kan kjøpe den. Da kommer pro-gramvareprodusentene på banen med oppdaterin-ger og sikkerhetsindustrien med produkter. Sår-barheten og skadevaren mister sin markedsverdietter som stadig flere tetter hullene, men nye sår-barheter er allerede inne i en ny syklus, og slikfortsetter utviklingen. For å forstå digital sårbar-het er det derfor viktig å forstå hvordan utviklingav programvare fører til utilsiktet digital sårbar-het. Utvikling av programvare handler om åbygge et komplisert system, og det er et faktum atdet gjøres feil underveis i prosessen. Antall feil ergrovt sett proporsjonalt med størrelsen på pro-gramvaren som utvikles, og det er vanskelig åsvare på hvordan antallet utnyttbare sårbarheterøker med økt kompleksitet.11 Feil gjøres i allefaser av programvareutviklingen, fra kravspesifi-kasjon via arkitektur til faktisk koding.

Noe av kvalitetsarbeidet med programvarehandler om å redusere feilraten, men mye dreierseg om å finne og rette feil. Gjennomsnittlige pro-gramvareutviklere fjerner 85 prosent av feilenesine før programvaren overlates til kundene. Utvi-klere med høy kvalitet har vesentlig lavere feilrateog fjerner mellom 95 og 99 prosent av feilene førprogramvaren overlates til kundene. Det har visst-nok blitt utviklet programvare der det ikke er fun-net feil etter ett år, men det er sjelden. Prosjektermed høy feilrate og lav feilrettingsrate er langtvanligere.

Ikke alle feil i programvare fører til sårbarhe-tene omtalt i livssyklusen over. Disse sikkerhets-feilene er gjerne annerledes enn majoriteten avprogramvarefeil, og vil typisk ikke påvirke dendaglige driften av et system. Mange av teknikkene

som brukes for å finne programvarefeil, vil derforikke finne sikkerhetsfeil. Metodikker for utviklingav sikker programvare forsøker både å reduserefeilraten, og å øke andelen sikkerhetsfeil som opp-dages og rettes.

For å redusere konsekvensene av at vi utviklersårbar kode, må vi bli bedre til å konstruere feilto-lerante systemer, der sårbarheter i én komponentikke nødvendigvis fører til sårbarheter i systemetsom helhet.

5.6 Teknologiarven

Den raske utviklingen i trusselbildet gjør at tekno-logi som ble vurdert å ha et høyt sikkerhetsnivåfor noen år siden, vil kunne være svært usikkernå. Dette stiller infrastruktureiere og teknologi-brukere overfor et krav om å ha en oppdatert ogrelativt nyutviklet teknologi i systemene sine. Deter imidlertid et faktum at dette ikke alltid etterle-ves. Årsakene til at det er slik er mange og sam-mensatte. I noen tilfeller har det enkle forklarin-ger, som motstand mot å endre en teknologi mankjenner og er vant til å bruke. I andre tilfeller kandet være mangel på investeringsvilje som gjør atman ikke bytter ut et eldre teknologisystem. Ienkelte kritiske systemer vil det være slik at manunngår å oppdatere til moderne teknologi oftereenn man må, da endringen i seg selv vurderessom en sårbarhet. En siste kategori er de tilfelleneder man ikke kan bytte ut eldre teknologi fordiannet kritisk utstyr er avhengig av at den gamleteknologien fremdeles er i funksjon. Et kjenteksempel på det er at mobilselskapene i Norge måha en gammel mobiltelefonistandard i drift i til-legg til de mer moderne, selv om det er velkjentesårbarheter i den gamle standarden.11 For estimering av antall sikkerhetsfeil i kode, se Dan Geer

(2015): For Good Measure: The Undiscovered. ;login april2015, Vol. 40, No. 2.

Figur 5.1 Sårbarhetslivssyklus.

Sårbarhets-livssyklus

Crimeware-syklus

Forsker/hackeroppdager sårbarhet

Testing avsårbarheter

Økonomisk vinningCrimeware

Redusert nytte avCrimeware

Sikkerhets-produktsyklus


5.7 Sikkerhet i prosesskontrollsystemer

Prosesskontrollsystemer eller SCADA12-systemerbenyttes først og fremst om systemer som styrerog overvåker industrielle prosesser i for eksempelfabrikker, raffinerier og energi- og vannforsynin-gen. SCADA-systemer er imidlertid i omfattendebruk i samfunnet og benyttes blant annet til sty-ring av heiser, ventilasjonsanlegg og trafikklys ogtil kontroll av tog- og flytrafikk.

En studie gjort i 2011 viste at mange prosess-kontrollsystemer på verdensbasis var koblet tilInternett.13 Søkemotoren Shodan ble brukt for åidentifisere 7 500 åpne prosesskontrollsystemer,deriblant 271 norske. Prosesskontrollsystemenehadde i liten grad krav til autorisering ved fore-spørsler, og de brukte i stor grad samme type pro-gramvare. Noen av systemene kjørte på gamleoperativsystemer med kjente sårbarheter, og detvar flere feilkonfigurerte brannmurer som ikkeskjulte prosesskontrollsystemene tilstrekkelig.Noen var bare beskyttet med passord. Ved brukav Shodan kan en ondsinnet aktør for eksempelsøke etter versjoner av programvare med kjentesårbarheter og angripe alle søkeresultatene ved åautomatisere angrepet. Sofistikerte angrep motprosesskontrollsystemer er allerede en realitet ifor eksempel USA.

I Norge hadde Dagbladet i 2013 en serie kaltNull CTRL, der journalister ved bruk av densamme søkemotoren, Shodan, klarte å identifi-sere norske prosesskontrollsystemer i ulike sek-torer. Søkemotoren indekserer utstyr som erdirekte koblet til Internett, og tilrettelegger for åsøke etter spesifikt utstyr. Se boks 5.3 for detaljerrundt Null CTRL.

Digitale sårbarheter i sammenkobledesystemer går på tvers av sektorer og bransjergjennom leverandørindustrien. Store internasjo-nale selskaper leverer industrikontrollsystemer tilen rekke bransjer globalt, inklusiv norske virk-somheter. En har sett at samme type sårbarhetergår igjen i ulike produkter som benyttes i ulikebransjer. Innebygde passord i programvare blirbrukt for intern eller ekstern autentisering av

enheter og programmer, og representerer der-med digitale sårbarheter som kan utnyttes. Hard-kodede passord er vanskelige å oppdage av sys-temadministratorer, og de er vanskelige å retteopp hvis de blir oppdaget.14 I tillegg til disse sår-barhetene er det funnet programvaresårbarheter inye og gamle produkter. Dessuten har introduk-sjonen av webapplikasjoner bidratt til å introdu-sere ytterliggere sårbarheter.15

5.8 Elektronisk identifisering

Det er i utgangspunktet vanskelig å vite hvemman kommuniserer med på Internett. For å løsedette problemet har vi såkalt elektronisk identifi-kasjon (e-ID). E-ID handler om elektronisk verifi-kasjon av identitet mellom personer og ting sombefinner seg «på andre siden av Internett». Et til-hørende problem er å knytte digital informasjontil personer og ting, på samme måte som en signa-tur knytter et fysisk dokument til en person. Dettekalles elektronisk signatur (esignatur).

Vanligvis bruker man kryptografi basert pådigitale signaturer og en PKI til både e-ID-er ogesignaturer. Ideen er at en sertifikatutsteder utste-

12 SCADA er en forkortelse for «Supervisory Control AndData Acquisition». Tilsvarer «driftskontrollsystemer» og«prosesstyringssystemer».

13 Éireann P. Leverett (2011): Quantitatively Assessing andVisualising Industrial System Attack Surfaces, University ofCambridge, Dissertation.

14 National Cybersecurity and Communications IntegrationCenter (2014): ICS-CERT Monitor. January-April 2014.

15 Idaho National Laboratory (2011): Vulnerability Analysis ofEnergy Delivery Control Systems.

Boks 5.3 Dagbladets Null CTRL-serie

Dagbladets Null CTRL-serie i 2013 skaptestore overskrifter og mye oppmerksomhetrundt digital sårbarhet. Ved hjelp av søkemo-toren Shodan klarte journalistene å identifi-sere mange åpne systemer. Dagbladetavslørte brannberedskapen i flere kommuner iNordland, informasjon om barn på hemmeligadresse, sensitive kundedata og dokumenterom Ørland flystasjon. De avslørte hvordanflere ulike servere med dokumenter vedrø-rende aktivitet på norsk sokkel lå åpne og søk-bare på flere tusen nett-tilknyttede databaserog servere i Norge. Mange av dem tilhørtestørre og mindre norske selskaper. I forbin-delse med artikkelserien fant Dagbladet over2 500 ulike typer styringssystemer i Norgekoblet til Internett med lite eller ingen beskyt-telse.


der et sertifikat til en person. Ved å bruke denhemmelige nøkkelen og sertifikatet på rett måtekan personen overbevise noen om at han sitterforan en datamaskin. Han kan også signere infor-masjon, slik som for eksempel en e-post eller enkontrakt.

En person kan ikke gjøre de komplekse bereg-ningene som inngår i kryptografi. Datamaskinenmå gjøre dette for eieren av e-ID-en. Men data-maskiner kan bli kompromittert. Dersom noen fårtak i den hemmelige nøkkelen tilknyttet en e-ID,kan de utgi seg for å være denne personen ellersignere informasjon som om de var personen.

Det tradisjonelle svaret på dette problemet erdet såkalte smartkortet, en ørliten datamaskinsom er spesialkonstruert for nettopp å gjøre deberegningene som kreves for e-ID-er. Denne lilledatamaskinen er mye sikrere enn en vanlig data-maskin, og det er derfor mye vanskeligere å stjelenøkkelen. Likevel – om man har fysisk tilgang,kan man selvsagt stjele hele smartkortet. Nårman ønsker å bruke e-ID-en, kobler man smart-kortet til datamaskinen, og smartkortet utførerden nødvendige kryptografien for datamaskinen.

Et hovedprinsipp i kryptografi er at nøkleneikke er interessante i seg selv – det er hva mankan gjøre med nøklene, som er interessant. Selvom smartkortet har nøkkelen og gjør beregnin-gene, er det datamaskinen som forteller smart-kortet hvilke beregninger som skal gjøres.

Det å koble smartkortet til datamaskinen eraltså det samme som å gi datamaskinen bruksretttil e-ID-en din. Dersom datamaskinen er kompro-mittert av kriminelle, gir du i praksis de kriminellebruksrett til e-ID-en din. Tradisjonelle smartkort-baserte e-ID-er har altså ikke høyere sikkerhetenn datamaskinen du kobler smartkortet til.

Merk at e-ID basert på smartkort og PKI,arver alle problemene til PKI. Spesielt er det verdtå merke seg at i den tradisjonelle mentale model-len for smartkortsystemer er personvernet godtivaretatt. Men avhengig av konkrete teknologivalgkan svært mye informasjon om bruken av ensmartkort-basert e-ID i praksis tilflyte sertifikatut-stederen, noe som kan være en utfordring for per-sonvernet.

Teknologibildet er i endring, og et problem fore-ID basert på smartkort er at stadig flere termi-naler folk ønsker å bruke e-ID på, ikke kan koblestil smartkort.

En e-ID behøver ikke være basert på sertifika-ter. Et alternativ er basert direkte på en tiltroddtredjepart. Typisk har eieren av e-ID-en et etablertforhold til tredjeparten (for eksempel basert påpassord og engangskoder). Eieren overbevisertredjeparten om at han er den han er. Deretterkan tredjeparten gå god for eierens identitet.

Tradisjonelle e-ID basert på smartkort er oftesårbare overfor andre angrep enn e-ID basert påtiltrodde tredjeparter. E-ID-er basert på passordog engangskoder kan for eksempel være sårbareoverfor phishing, mens de kan være litt mot-standsdyktige mot en kompromittert datamaskin.Hvordan en sertifikatutsteder og en tiltrodd tred-jepart kan misbruke tilliten din, er også forskjel-lig.

Ulikt Internett-PKI-en er forskjellige e-ID-erofte basert på svært forskjellige tekniske løsnin-ger. Interoperabilitet blir dermed en utfordring.En måte å begrense kompleksiteten på er å lageen innloggingsportal basert på en tiltrodd tredje-part. Eieren bruker e-ID-en sin til å overbeviseinnloggingsportalen om at han sitter foran data-maskinen. Innloggingsportalen går deretter godfor at brukeren sitter foran datamaskinen.

Dette gjør livet mye enklere for brukerste-dene, som forholder seg til én innloggingsportal istedet for mange e-ID-er. Det kan også gjøre livetenklere for eierne av e-ID-ene. På den annen sidekan det oppstå en del subtile sikkerhetseffekter,der en innloggingsportal i praksis nuller ut sikker-hetstiltak i en e-ID.

En annen fordel med en innloggingsportal erat det er lett å få til såkalt engangsinnlogging(«single sign-on»). I praksis handler dette om å gidatamaskinen tilgang til alle brukerstedene somer omfattet av engangsinnloggingen, noe som kanvære et problem hvis datamaskinen er kompro-mittert.


Kapittel 6

Trender som påvirker sårbarhetsbildet

En rekke trender påvirker sårbarhetsbildet i sam-funnet og vår aksept for risiko. Teknologiske, poli-tiske og samfunnsmessige endringer har ført tilstore endringer også i verdikjedebildet. Der tje-nesteleverandører tidligere hadde tilnærmet fullkontroll over verdikjeden, er bildet i dag langt merfragmentert. Dette illustreres best ved et eksem-pel. For 30 år siden eide Televerket til og medtelefonen hjemme i abonnentens hus. De eide ogdriftet kobberlinjen inn til sentralen og videre heleveien opp til øverste nivå i tjenestekjeden. Dehadde egen FoU-avdeling og store tekniske mil-jøer. Som et resultat av politiske, teknologiske ogsamfunnsmessige endringer er dette bildet nåmye mer oppstykket. Selv om Telenor fremdeleseier infrastrukturen, er deres egenkompetansekonsentrert om færre områder. Utstyrsleverandø-rer spiller en vesentlig rolle når det gjelder drifts-messige forhold, og legger premissene for tilgjen-gelig teknologi. Eksterne, konkurransedyktigetjenesteleverandører tar over for eget personell påområder der det er kommersielt lønnsomt oggjennomførbart i forhold til regulatoriske krav.Organisering, metoder og kunnskap som før vartilpasset menneskelig arbeidskraft, tilpasses nåarbeidsformer der oppgaver automatiseres. Skulledet oppstå et behov for å gå tilbake til manuelle,menneskelige prosesser, for eksempel på grunnav teknologisk svikt, vil effektiviteten høyst troligsynke drastisk.

Utvalget har ikke utført noen omfattende ana-lyse av strategiske trender som påvirker samfun-nets digitale sårbarheter. Vi kan likevel konstatereat samfunnsutviklingen påvirker de fremtidigedigitale sårbarhetene på overordnet nivå. Stikkordher kan være1

– forandringer i demografien– urbanisering

– samfunnets økende ressursforbruk– miljøspørsmål og klima– helse og utviklingen innen medisin– informasjonsteknologi og informasjonshånd-

tering– utviklingen innen utdanning og kompetanse– automatisering i hverdagen og i arbeidslivet– kriminalitet og rettsvesen– forsvarsutgifter og forsvarsevne– identitet og rollen til staten

I dette kapittelet omtaler vi et utvalg trender ogdrivkrefter som påvirker utviklingen av samfun-nets digitale sårbarheter. Både på kort og lengresikt, og i all hovedsak med en teknologisk vin-kling. Teknologirådet har bidratt med tekstlig inn-spill.

6.1 Digitaliseringen av samfunnet og sårbarhetsbildet

Digitalisering har forenklet hverdagen til enkeltin-dividet, og er en driver for innovasjon, økonomiskvekst og produktivitet. Teknologien skaper ogsånye sårbarheter og utfordringer. For eksempel girden en utvidet angrepsflate for kriminelle. Uten-riksdepartementet har uttrykt at Internett er blitten generator for økonomisk vekst og sosial utvik-ling, men at håndtering av sikkerhetsutfordringeri det digitale rom er en forutsetning for at detteskal skje.2

Det er all grunn til å tro at den teknologiskeutviklingen vil fortsette å gå raskere, og at etter-spørselen etter kunnskap vil øke kraftig. EU-kom-misjonen har estimert at 90 prosent av jobbene iEU innen 2020 vil kreve digitale ferdigheter, ogadvarer om at EU i inneværende år vil mangle509 000 årsverk med denne kompetansen. Det er

1 En bred analyse av strategiske trender finnes i Ministry ofDefence UK (2014): Global Strategic Trends – Out to 2045.Se også National Intelligence Council (2012): Global Trends2030: Alternative World, samt diskusjon om teknologiskeog samfunnsmessige utviklingstrekk i Nasjonal sikkerhet-smyndighet (2015): Helhetlig IKT-risikobilde 2015.

2 Meld. St. 37 (2014–2015) Globale sikkerhetsutfordringer iutenrikspolitikken – Terrorisme, organisert kriminalitet,piratvirksomhet og sikkerhetsutfordringer i det digitale rom,s. 26.


på verdensbasis estimert med rundt 5 milliarderInternett-brukere innen 2020.

Mennesker har naturlig en viss forståelse avhvordan vi sikrer informasjon i manuelle, papirba-serte prosesser. Med digitaliseringen er vi i storgrad fremmedgjort, og ingen har lenger oversiktover sårbarhetsbildet, slik vi en gang hadde.

En datamaskin er for eksempel utviklet lag forlag, der hvert lag skjuler en underliggende kom-pleksitet for det neste. Disse maskinene kobler viså sammen i datanettverk basert på en tilsvarendelagdelt modell. Når vi utvider funksjonalitet ogknytter sammen IKT på nye måter, glemmer viofte de underliggende forutsetningene og antagel-sene som er gjort, og noen ganger henger vi igjenmed antagelser som ikke lenger gjelder.

Lagringsmediene vi lagrer data på, var en tidtilbake bare «dumme» mekaniske enheter underfull kontroll av datamaskinens sentralprosessor –som da måtte bruke mye tid på å gi lese- og skriv-einstrukser. Av ytelseshensyn er harddisker i dagsmarte. Sentralprosessoren kan nå utføre andreoppgaver samtidig som lagringsmediet jobber ibakgrunnen. Dette innebærer at lagringsenhetenhar full tilgang til systemets internminne og kan –hvis den er ondsinnet – skrive og lese til heltandre områder enn den blir bedt om. Den kan foreksempel plassere skadevare eller hente ut kryp-tografiske nøkler.

Et eksempel på endrede forutsetninger erbruk av SMS-meldinger med bekreftelseskoderfor innlogging på webtjenester og for digital signe-ring av digitale handlinger. En grunnleggende sik-kerhetsforutsetning er at denne koden kommervia en annen kanal enn den som skal bekreftes, ogslik er det når vi logger inn via en annen enhet enntelefonen. I dag foregår mye pålogging, foreksempel til nettbank, direkte fra smarttelefonen.Mange programmer på telefonen kan på lik linjemed brukeren lese SMS og derfor selv fylle inninformasjonen som kommer via SMS, der denetterspørres. Vi ser også innebygd funksjonalitetfor å synkronisere meldinger, inkludert SMS, påtvers av digitale enheter. Dette betyr i praksis atskillet viskes ut og er med på å redusere sikker-hetsnivået til systemer.

Et annet eksempel som viser den fremmed-gjøringen vi står overfor, er knyttet til de grense-snittene vi presenteres for. Metaforer som map-per, skrivebord og papirkurv skjuler viktig informa-sjon. Vi legger filer i papirkurven og tømmer denfor å slette informasjonen i filene. Det er naturlig åtro at informasjonen dermed er tilintetgjort. I rea-liteten er det bare referansene til informasjonensom er borte. Over tid vil informasjonen kunne bli

overskrevet, men ofte kan informasjonen hentestilbake lang tid etter slettingen. Det samme ser vipå nettbaserte tjenester. Når et bilde eller et kom-mentarinnlegg slettes fra sosiale medier, blir inn-holdet skjult for deg og meg, men det blir ikkenødvendigvis borte, selv om det ser slik ut.

6.2 Informasjonsteknikk og informasjonshåndtering

Det foregår hele tiden en utvikling i vår evne til åsamle inn, lagre og analysere informasjon. Det harvært en dramatisk økning i regnekraft og en utvik-ling av algoritmer for å analysere store datameng-der. Dagligdagse gjenstander kobles i økendegrad til Internett. Elektronikk integreres i ting vihar på oss, som klær og annet tilbehør. Nettverketav sensorer samler inn stadig mer datamaterialeom våre liv og omgivelser. Det fører til at det påsikt vil være vanskelig å fungere i samfunnet utenå være tilkoblet («off the grid»).3

6.2.1 Økt regnekraft, store data og stordataanalyse

Datamaskinene blir stadig raskere. Det har værtobservert en vedvarende økning i antall transisto-rer i integrerte kretser helt tilbake til 1960-tallet.Moores lov er en stadfesting av denne trenden,der antallet transistorer dobles hvert annet år.Antall transistorer henger sammen med ytelsen,og vi kan litt forenklet si at ytelsen dobles hverttredje år. I mange år målte vi progresjonen i klok-kehastighet, men vi har nå nådd begrensninger ihvor høyt vi kan skru denne opp. Vi ser derfor nåen trend i retning av flere parallelle, uavhengigeprosesseringsenheter. At vi utnytter parallell reg-nekraft, har igjen gitt nye utfordringer, bådeinnenfor rammene av det vi anser som «en data-maskin», og for måten vi utnytter den samledeberegningskraften til sammenkoblede datamaski-ner på.

Selv om datamaskinene blir raskere, er detmåten vi instruerer dem på, som er avgjørende fornytteverdien av dem. Det er mange evner vi men-nesker tar for gitt, men som datamaskiner harstore problemer med – for eksempel det å identifi-sere gjenstander i et bilde. Det har imidlertid værtstor fremgang innen utvikling av algoritmer somlar datamaskiner «lese» håndskrift, oversette mel-

3 Ministry of Defence UK (2014): Global Strategic Trends –Out to 2045.


lom språk, utføre medisinsk diagnostisering oggjenkjenne ansikter, med mer.

Store data («Big Data») er en teknologisktrend som beskriver de voksende mengdene meddigital informasjon som blir produsert og gjort til-gjengelig, og som ulike aktører kan samle inn,analysere og utnytte til mange ulike formål. Data-mengdene produseres i vår daglige omgang medteknologi, for eksempel via sosiale medier, nett-søk og bruk av smarttelefon, men også gjennomsensorer knyttet til maskinelt utstyr som medisin-ske apparater, smarte strømmålere og biler. Stor-datanalyse utføres ved hjelp av statistikk og algo-ritmer som er tilpasset det å trekke ut mønstre ogtrender fra store menger data.

Bruken av store data forventes å tilta kraftig iårene som kommer. Trenden understøttes av syn-kende kostnader knyttet til datainnsamling, lag-ring og regnekraft, samtidig som teknologien blirtilgjengelig for flere gjennom ulike skytjenester.4

Banebrytende fremskritt innen analyse og kuns-tig intelligens, samt fremveksten av billig sensor-teknologi som bygges inn i stadig flere Internett-baserte enheter, er også viktige drivere.

Ifølge IBM blir det daglig generert mer enn2,5 milliarder gigabyte data, og dette tallet vil bareøke. Daglig lastes det opp mer enn 500 millionerbilder på nettet, og hvert minutt mer enn 200timer med video. I løpet av 2020 er det forventet atmer enn 80 prosent av verdens voksne befolkningvil bruke en smarttelefon i hverdagen, samtidigsom kroppsnær teknologi og tingenes Internett vilgi opphav til nye informasjonsstrømmer.

Store data forsterker sikkerhetsutfordringerved en distribuert infrastruktur, skytjenester ogsanntidsregistrering av data. Risikobildet forster-kes ytterligere når teknologien blir billigere ogmer tilgjengelig også for mindre virksomheter.Når bruken av store data brer om seg, kan detbidra til nye former for sårbarhet.

Størrelse, omfang og varighet. Med økendedigitalisering samler både private og offentligevirksomheter inn mer data, gjerne både mer fin-masket og oftere enn før. Ett eksempel er at tele-selskapene automatisk registrerer mobiltelefo-nens kommunikasjon med ulike basestasjoner, etannet hvordan butikkjedene registrerer innkjø-pene kunden gjør, gjennom ulike fordelskort.Hyppig og finmasket registrering gjør at datasettsom lagres i datasentre, vokser i størrelse ogomfang. Lagring i skytjenester og deling medulike tredjeparter gjør dataene mer sårbare fordatatyveri. Størrelsen på datasettene gjør slike

innbrudd mer omfattende enn tidligere. Eksem-pelvis førte et datainnbrudd hos det amerikanskehelseforsikringsselskapet Anthem Inc. i 2015 til atopplysninger som navn, bostedsadresse, fødsels-nummer, inntekt og jobbsituasjon knyttet tilnesten 80 millioner kunder kom på avveier. Slikeinnbrudd kan altså ha vidtrekkende konsekvenserfor svært mange mennesker.

Ikke bare er det mulig å oppbevare store data-mengder over veldig lang tid, slike datasett kanogså kopieres og deles både raskere og bredereenn det som var tenkelig tidligere. Når et digitaltbilde deles over Internett, kan eieren vanskeligvite hvor mange kopier som eksisterer rundt om iverden, og hvor lenge disse lagres. Slik sett hardigitale data lang varighet. Når store mengderinformasjon bevares over tid og forvaltes av ulikeaktører eller ukjente tredjeparter, kan det gjøreindividet sårbart for misbruk lenge etter at data-ene ble produsert og registrert.

Tilgangsregulering og kontroll. For å dra nytteav store data vil man ofte ønske å kombinere data-sett fra ulike kilder. Når dette skal gjøres i en kom-pleks, distribuert infrastruktur, kan det væreutfordrende å kontrollere hvem som har tilgang tilhvilke datasett, og hvordan de brukes. Dermedkan det være vanskelig å se til at uvedkommendeikke får tilgang til informasjon de ikke er autori-sert for. Det kan også være vanskelig å etablererobuste sporingslogger som viser nøyaktig hvemsom har fått tilgang til hvilke data, til hvilket for-mål og til hvilken tid. Denne sårbarheten forster-kes når ulike datasett har ulike sikkerhetsbehov,og når datasett kombineres for å lage nye datasett.

Datakvalitet og opphav. Når store data brukes ibeslutningsprosesser, er det viktig at man kjenneropphavet og vet når dataene er skaffet til veie. Nårinnsamlingen skjer fra mange ulike kilder og nyedatasett oppstår som kombinasjoner av andre,eldre datasett, kan det bli stadig mer utfordrendeå spore opphav og sikre kvalitet og integritet. Somen følge kan viktige beslutninger baseres på datasom enten er ufullstendige eller av dårlig kvalitet.Dersom det mangler systemer for å kontrollereopphav og kvalitet, kan viktige beslutningsproses-ser i verste fall også være sårbare for manipulertedatasett.

Analyse og personvern. Analyse av store datakan bidra til innsikt med stor nytteverdi, men ogsåtil å avsløre sensitiv eller hemmelig informasjon.Dette kan blant annet skje ved at man krysskoblerulike datasett. Datasett som isolert sett virkeruskyldige, uten personlig eller sensitiv informa-sjon, og som reguleres deretter, kan, sammenstiltmed andre datasett, være svært avslørende. Et4 Se også punkt 23.7 «Utkontraktering og skytjenester».


eksempel er at den amerikanske dagligvarekjedenTarget ved å analysere kjøpemønsteret til kun-dene sine kunne sannsynliggjøre hvilke kundersom var gravide.

I kombinasjon med andre datasett har anony-miserte datasett i flere tilfeller vist seg å være sår-bare for re-identifisering. Når innsamlingen avdigital informasjon øker i omfang samtidig somdatasett frigjøres for bruk eller deles mellom ulikeaktører, svekkes individets kontroll over person-lige data. Individet kan da fort bli stående som denmest sårbare parten, med risiko for uønsket iden-tifisering, misbruk av sensitiv informasjon ellerID-tyveri.

Teknologien kan kanskje til slutt endre bådehva vi kan holde privat i fremtiden, og synet påhva som bør holdes privat.

6.2.2 Tingenes Internett

Tingenes Internett («Internet of things» eller«Internet of everything») er et samlebegrep forhvordan Internett brukes for å koble sammen sta-dig flere autonome komponenter til et komplekstsystem. Ulike gjenstander, apparater og maskinervi omgir oss med i hverdagen får muligheten til åkommunisere med hverandre og dele informasjonfra innebygde sensorer.5

Tingenes Internett gir mange anvendelsesom-råder i samfunnet, blant annet innen industri,butikkvirksomhet, logistikk og godshåndtering,overvåking og sikkerhet, eiendom og boliger,smart transport og helsevesen, smart infrastruk-tur, markedsføring, underholdning og så videre.

Begrep som smarte strømnett, smarte trans-portsystemer, smarte hjem og smarte byer brukesfor å beskrive hvordan integrering av mikropro-sessorer og digital kommunikasjon forandrersamfunnet. På denne måten kan smarte byer sespå som en visjon der mange ulike infrastrukturerkobles sammen, slik som strømnettet, muligheterfor å lade elbiler, trafikklys, bygninger, posisjons-informasjon, data fra offentlige registre, rednings-tjeneste og ambulanse.

Antall gjenstander som er koblet til Internett,øker raskt. Det er i dag rundt 20 milliarder til-koblede enheter.6 Selv om dette i hovedsak erdatamaskiner, smarttelefoner og nettbrett, spåsdet at veksten fremover vil drives av tingenesInternett.7 I følge estimater vil det i 2020 være

mellom 40 og 50 milliarder enheter koblet tilInternett.

Når flere ting vi omgir oss med i hverdagen,blir koblet på Internett, bidrar det til å forsterkeeksisterende sårbarheter knyttet til sikkerhet ogpersonvern på nett. Dette kan skyldes at produ-sentene bak mange gjenstander som nå kommerpå nett, tidligere ikke har måttet bekymre seg forinformasjons- og nettverkssikkerhet, som foreksempel mulighet for oppgraderinger. Det man-gler fremdeles bransjenormer for hvordan disseskal plasseres inn i våre private nettverk.

Uberettiget tilgang til og misbruk av personliginformasjon. I likhet med datamaskiner er andregjenstander og apparater som er koblet til Inter-nett, sårbare for angrep fra inntrengere uten rett-messig tilgang til systemene. Slike angrep kan giinntrengeren tilgang til sensitiv informasjon somenten ligger lagret i gjenstanden eller blir formid-let videre til andre gjenstander i nettverket. Eteksempel er en smart-TV, som også kan brukes tilå surfe på Internett og til å lagre kredittkortopp-lysninger for å muliggjøre nettkjøp. Svekket sik-kerhet kan gi uvedkommende opplysninger somkan brukes til kortsvindel eller identitetstyveri.

Tilrettelegge for angrep på andre systemer. Nårgjenstander er koblet i nettverk, blir de sårbarefor sikkerhetssvakheter andre steder i nettverket.En inntrenger kan utnytte svakheter i en gjen-stand for å angripe systemer som gjenstanden erkoblet til. Eksempelvis kan angriperen gjøre etsmarthus utilgjengelig for eieren.

Skade på mennesker og systemer. Svakheter isikkerheten kan også utgjøre en risiko for person-lig sikkerhet. En angriper kan eksempelvisomprogrammere en tilkoblet bil slik at bremse-systemet ikke fungerer som forventet, eller jus-tere innstillingene på en tilkoblet insulinpumpefor å endre medisineringsdosen. Sikkerhetsrisikokan også følge uten at inntrengeren endrer funk-sjonaliteten til systemet.

Personvern. Tingenes Internett vil gjøre at vilegger igjen enda flere digitale spor i hverdagen.Gjenstander koblet til tingenes Internett vil påulike måter kunne samle følsomme personopplys-ninger, som presis stedsinformasjon, bankdataeller helseopplysninger. Over tid vil slike datakunne tegne detaljerte bilder av hvor vi befinneross, hva vi gjør, hvilke vaner vi har, og hvordanhelsen vår utvikler seg. Slik informasjon vil kunnebrukes og misbrukes i vurderinger av kredittver-dighet, forsikring og ansettelser.5 White House (2014): Big data: Seizing opportunities, preser-

ving values.6 EMC (2014): The Digital Universe of Opportunities: Rich

Data and the Increasing Value of the Internet of Things.7 Cisco (2011): The Internet of Things - How the Next Evo-

lution of the Internet Is Changing Everything.


Tingenes Internett kan også «åpne et vindu»inn til private rom. Forskere har for eksempel vistat analyse av data fra smarte strømmålere kanbrukes til å fastslå hvilket TV-program eieren såpå.8

6.2.3 Kroppsnær teknologi

De siste årene har sensorer og datachips blittbedre, billigere og så små at de kan plasseres påkroppen, i smykker, på briller eller på klærne. Slikkan vi bruke dem hele tiden, uten at de er i veienfor det vi ellers gjør. Denne typen teknologi harfått navnet «wearables», eller kroppsnær teknologi.

Et eksempel på kroppsnær teknologi er digi-tale klokker, som kan fungere som en forlengelseav smarttelefonen. Digitale armbånd og sensorerbåret på kroppen kan måle vitale trenings- og hel-sedata som bevegelse, puls, søvnmønster og hjer-terytme. Små skjermer som festes på brillene kanvise informasjon tilpasset stedet du er på. De kanintegrere informasjon som fart og løypekart inn isynsfeltet i brillene eller vise målrettet reklame.Dette kalles også forsterket virkelighet.

Kroppsnær teknologi gir oss et utvidet sanse-apparat. Vi kan samle data om oss selv og omgi-velsene våre kontinuerlig. Datakraft og datalag-ring blir stadig rimeligere. Vi må regne med at detvil bli lagret mye mer informasjon om hva vi gjør,og hvor vi beveger oss. Dette forsterker de sårbar-hetene som allerede er avdekket i nettjenester,sosiale medier og tingenes Internett, men introdu-serer også noen nye sårbarheter, spesielt knyttettil personvernet.

Algoritmer som analyserer og kobler data, blirstadig mer avanserte. Vi vet i dag ikke hva algorit-mene kan utlede i fremtiden. Helsedata som visamler inn i dag, kan potensielt si veldig mye omhelsen vår i fremtiden. Dette er omtalt i kapittel 17«Helse og omsorg».

Sammenkobling av informasjon. Tjenester somlover forsterket virkelighet, er i sin natur kon-tekstspesifikke; de trenger å vite hvor du er, hvordu fester blikket, hva du gjør, og hva du ønsker åvite. Folk som bruker kroppsnær teknologi somer rettet mot omverdenen, til å ta bilder av men-nesker rundt seg, bidrar til å kartlegge oss uten atvi nødvendigvis legger merke til at det skjer. Hvor-dan andre deler og offentliggjør bilder, kan fåstore konsekvenser for oss, uten at de nødvendig-vis forstår rekkevidden av det. Personer og virk-

somheter, en fremtidig arbeidsgiver eller forsi-kringsselskapet, som får tilgang til informasjonen,kan sammenstille den med ytterligere datakilder.

Algoritmer for mønstergjenkjenning kan gjen-kjenne ting, bygninger og personer i bilder ogvideo. Ansiktsgjenkjenning står dermed i en sær-stilling i denne sammenhengen. Når du blir identi-fisert i et bilde, kan andre bruke det som en nøk-kel til å få tilgang til mye mer informasjon om deg.Virksomheter, myndigheter og privatpersoner harmulighet for å utlede hvor vi har vært, hva vi hargjort, og når vi har gjort det. Til sammen kan desette sammen puslespillbrikkene om livene våretil et omfattende bilde.

6.3 Automatiseringen av hverdagen og arbeidslivet

Roboter eller ubemannede systemer – det vil simaskiner som kan utføre kompliserte instruk-sjoner uten direkte å involvere en menneskeligoperatør – øker i anvendelse og skaper både nyemuligheter og nye digitale sårbarheter i samfun-net. I dag finnes autonome systemer til bruk ihverdagen, som støvsugere, gressklippere, selv-styrende biler og ubemannede flygende kjøretøy(såkalte droner). Slike produkter øker raskt iantall. Kostnaden for ubemannede systemer somdroner har falt dramatisk de seneste årene. Ube-mannede systemer kommer trolig til å erstattemennesker i høyere grad enn i dag, utføre opp-gaver med økende effektivitet og samtidig redu-sere risikoen for mennesker. Men ubemannedesystemer kan også brukes som en ressurs av kri-minelle og terrorister.

Den utbredte bruken av datamaskiner har alle-rede i dag gjort visse yrker nesten overflødige,samtidig som nye yrker har blitt til. Utviklingeninnen robotteknologi kan føre til alt fra små juste-ringer i måten vi jobber på, til massearbeidsløshetog sosial uro.9 10 Etter hvert som roboter blir merlivaktige, vil trolig også samspillet med mennes-ker bli mer sofistikert.

Automatiseringen fører ikke bare til at produk-tene i seg selv blir mer selvgående, men også til atproduksjonsmetodene automatiseres, slik at pro-duksjonen går raskere. Global produksjon hargått fra å være svært arbeidskrevende til i størregrad å være basert på informasjonsteknologi. Pro-duksjonsprosesser kan derfor komme til å flyttes

8 U. Greveler, B. Justus, and D. Loehr (2012): Multimediacontent identification through smart meter power usage profi-les.

9 Nicholas Carr (2014): The Glass Cage: Automation and Us.10 Ministry of Defence UK (2014): Global Strategic Trends –

Out to 2045.


nærmere forbrukerne for å unngå lange forsy-ningskjeder. Automatiseringen vi allerede har,understøtter denne trenden, og såkalt additiv pro-duksjon (ved hjelp av 3D-printere) bidrar også tildenne trenden.

6.3.1 Additiv produksjon – 3D-printere

Tradisjonelt har vi produsert gjenstander ved åstarte med materialene, for eksempel metall,plast, stein eller treverk. Deretter er materialetblitt formet til den ønskede gjenstanden gjennomkutting, støping og bøying. I additiv produksjonbygges gjenstander fra løse materialer, enten væs-ker eller pulver, ved at materialene legges lag pålag.

En 3D-printer er en maskin som bygger tredi-mensjonale objekter ut fra en datategning. Objek-tene bygges lag for lag i ett stykke i stedet for åsettes sammen av ulike komponenter. 3D-printereer tilgjengelige i form av alt fra svært enkle model-ler til et par tusen kroner til bruk i hjemmet, tilavanserte modeller til flere millioner kronerberegnet på industriell bruk.

Antallet bruksområder er økende. Det gjøresblant annet forsøk med bygging av karosserier forbiler, støping av hus, proteser og høreapparater,samt printing av elektronikk og mat. Printerne for-bedres kontinuerlig. De kan bygge stadig raskere,i flere materialer og med stadig større presisjon.

Bruk av 3D-printere åpner prinsipielt sett oppfor tre typer sårbarhet. Felles for disse utfordrin-gene er at de krever tilgang til den datafilen somskal brukes for å skrive ut produktet. IKT-sikker-het er med andre ord helt avgjørende for å redu-sere sårbarhet knyttet til bruk av 3D-printere.

Ulovlig kopiering. Personer med tilgang til en3D-printer vil kunne kopiere et produkt dersomde har tilgang til en datafil som beskriver produk-tet. Dette betinger imidlertid at produktet er av enslik beskaffenhet at det lar seg produsere vedhjelp av en 3D-printer. Per i dag gjelder dettesvært få produkter.

Manipulering av designfiler. Filer som brukes i3D-printing, kan manipuleres av personer somønsker å forsinke en produksjonsprosess ellerskade omdømmet til et firma. Man kan bygge innsmå feil i en fil som gjør at produktet ikke funge-rer, går i stykker eller lignende.

Produksjon av illegale produkter. 3D-printerekan gjøre det mulig å produsere illegale våpen ogandre produkter der bruken er regulert.

6.3.2 Ubemannede luftfartøy – droner

Droner er en vanlig betegnelse for ubemannedeluftfartøy. Den sivile bruken av droner er i kraftigvekst. Det er anslått at det ved inngangen til 2015var solgt omkring 10 000 doner til privat bruk iNorge. Dette dreier seg i hovedsak om små kame-radroner til hobbybruk, men bruken av størredroner i profesjonell sammenheng øker også mar-kant.

Droner betegnes også som RPAS (RemotelyPiloted Aircraft Systems) eller UAS (UnmannedAircraft Systems). Betegnelsene understreker atselve fartøyet må ses som del av et IKT-systemsom også involverer operatører, kommunikasjons-og fjernstyringsteknologi og dronens sensorut-rustning. Størrelsen varierer fra helikoptre pånoen få gram til fly med et vingespenn på over 40meter.

Droner gjør det mulig å sende kameraer ogannet sensorutstyr i luften raskere, enklere og bil-ligere enn med bemannende fly og helikoptre.Fordi de er ubemannet, kan de brukes i risikofylteoperasjoner og miljøer. Derfor tas droner i økendegrad i bruk i for eksempel overvåkings- og bered-skapssammenheng. Etter Fukushima-ulykken iJapan i 2011 ble droner brukt for å kartlegge ska-der og strålingsfare.

Den økende utbredelsen av droner åpner luf-trommet for mange typer ny bruk og utfordrerluftfartsikkerheten. Se punkt 18.3 «Luftfart».

Hacking og digital kapring. Droner har ogsåvist seg sårbare for hacking og digital kapring,noe som kan medføre at uønskede aktører tarkontroll over dronen eller sensordataene den sen-der til kontrollstasjonen. At droner kontrolleresvia satellitt og datanettverk, åpner for nye mulig-heter for fjernhandling. Operatøren av dronen kanvære ukjent, noe som åpner opp for samfunnsska-delig bruk. Droner er blitt brukt i kriminell aktivi-tet og i smugling, og det finnes også eksempler påat droner er blitt utstyrt med eksplosiver og for-søkt brukt i terrorangrep.

Overvåking og spionasje. Droner kan værenærmest usynlige og lydløse, og de kan manøv-rere nær bakken og inn i bygninger. De er bygdfor å registrere data, noe som også åpner opp forspionasje og ulovlig overvåking.

Autonome styringssystemer. Utviklingen gårmot stadig mer autonome styringssystemer derdroner tar egne avgjørelser om navigasjon og ope-rasjoner. Dette er systemer som er sårbare for feilså vel som for misbruk av aktører med intensjonom å skade.


6.4 Nye digitale tjenester og endringer i adferd

Den teknologiske utviklingen skaper muligheterfor nye tjenester og gir opphav til endret adferd,både på individnivå og på samfunnsnivå. Dettepåvirker samfunnets digitale sårbarheter.

6.4.1 Skytjenester

Skytjenester er en felles betegnelse på alt fra data-prosessering og datalagring, til programvare somer tilgjengelige fra eksterne serverparker tilknyt-tet Internett. Problemstillingene slike tjenesterreiser er utredet i punkt 23.7 «Utkontraktering ogskytjenester».

6.4.2 Sosiale medier

Sosiale medier er nettbaserte tjenester som gjørdet mulig for folk å kommunisere med hverandreog dele informasjon i grupper. I noen tilfeller vilgruppene være små, i andre tilfeller kan de invol-vere flere millioner brukere. Det finnes i dagmange ulike typer sosiale medier, deriblant platt-former for sosiale nettverk, informasjonsdeling,diskusjon, samarbeid og koordinering.

Bruken av sosiale medier har tiltatt kraftig desiste årene, en vekst som også er nært knyttet tilutbredelsen av smarttelefoner med Internett-til-gang. Nordmenn er flittige brukere av sosialemedier. Norsk mediebarometer rapporterer i 2015at av dem som besøker Internett i løpet av en gjen-nomsnittsdag, har 64 prosent besøkt Facebook og22 prosent besøkt andre sosiale medier.11

Når informasjon deles på sosiale medier, erden ikke lenger privat. Det kan være vanskelig åvite eller forutse hvordan informasjonen sprer seggjennom nettverket, og hvem som får tilgang.Feriebilder delt på sosiale medier kan for eksem-pel utnyttes av kriminelle som ønsker å begå inn-brudd i tomme hus. Praksisen med bruk av per-sonlige sikkerhetsspørsmål for verifikasjon avidentitet har også svakheter, ved at hackere harmulighet til å besvare disse ved å studere informa-sjonen som blir lagt ut på sosiale medier.

Sosiale medier gir bedre muligheter for å nåmålgrupper enn før, ved at nyheter kan baseres påhva man søker etter, og hva man liker. Dette girmulighet for å presentere informasjon slik mål-gruppen helst vil se den.

Når stadig mer informasjon om personligekvalifikasjoner og både private og profesjonelle

nettverksrelasjoner deles på sosiale medier, blir vimer sårbare for såkalt sosial manipulasjon. I sliketilfeller kan en angriper forsøke å bruke falskeprofiler for å lure til seg informasjon gjennom mål-rettet kommunikasjon. Slik informasjon kan bru-kes til å bryte seg inn i IKT-systemene til virksom-heter.

Fremveksten av sosiale medier har bidratt til åsenke terskelen for hvem som kan være med på åspre informasjon, og har vist seg å være en effek-tiv kanal for å spre førstehåndsinformasjon frakonfliktområder som er utilgjengelige for uavhen-gig presse.

I senere tid har sosiale medier etablert segsom et viktig middel i radikaliseringsprosesser ogsom rekrutteringsverktøy i terrorsammenheng.Som en motvekt brukes sosiale medier også idemokratiseringsprosesser. Den arabiske vårener et godt eksempel.

6.4.3 Bruk av privateid datautstyr i jobbsammenheng

Bring Your Own Device, forkortet BYOD (bruk avprivat datautstyr) er et begrep som brukes nåransatte bruker sitt eget, private utstyr for å få til-gang til tjenester og informasjon som eies av virk-somheten der den ansatte arbeider. Utstyret ergjerne datamaskiner, smarttelefoner eller nett-brett, mens tjenestene kan være e-post, kalender-funksjoner og IP-telefoni.

Bruken av privat teknologi i jobbsammenhengøker kraftig. Ifølge mørketallundersøkelsene12

har bruken av privat mobiltelefon og nettbrettdoblet seg fra 2012 til 2014, og det gjelder alletyper virksomheter. Nesten 50 prosent brukte i2014 egen mobiltelefon, mens tallene for nettbretthang noe etter, med 36 prosent. 70 prosent avvirksomhetene tillot at virksomhetens utstyr, sær-lig mobiltelefoner og bærbare datamaskiner, blebrukt til private formål.

Sikkerhetspolicyer i virksomheter er iutgangspunktet rettet mot utstyr som de selv eierog/eller har kontroll over. Ofte er ikke privatutstyr sikret på samme måte, og det åpner forbåde tilsiktede og utilsiktede sårbarheter. Flerevirksomheter har imidlertid utarbeidet sikker-hetspolicyer som omfatter bruk av privat utstyr til-knyttet deres IKT-systemer og nettverk.

Kompromittering av virksomheters informasjon.Usikret informasjon som befinner seg på digitaltutstyr, eller som man har tilgang til gjennom utsty-ret, kan kompromitteres hvis man mister utstyret,

11 Norsk mediebarometer, 2014. 12 NSR (2014): Mørketallsundersøkelsen.


låner det bort eller gir det videre, eller når en per-son slutter i en virksomhet. Hvis utstyret delesmed for eksempel et barn i familien, kan virksom-hetens informasjon bli delt via e-post eller i skyenuten at det var meningen.

Introduksjon av virus og annen skadelig pro-gramvare. Personlig utstyr kan bli infisert medvirus og annen skadelig programvare som ikkefanges opp av virksomhetens ordinære beskyttel-sesmekanismer. Disse kan smitte over i virksom-heten og skade IKT-systemer og informasjon.

Overvåking av privat informasjon. Virksom-heter kan av sikkerhetsmessige årsaker velge åovervåke bruken av personlig utstyr. Det åpnerfor at arbeidsgivere kan få tilgang til personliginformasjon.

6.5 IKT-sikkerhet på den strategiske agendaen

Digitalisering av samfunnet har skapt avhengighe-ter og sårbarheter som går på tvers av sektorer,ansvar og landegrenser. IKT-sikkerhet får stadigstørre oppmerksomhet. Spørsmålene står høyt påden politiske agendaen i mange land, og har for-svars- og sikkerhetspolitiske så vel som utenriks-og handelspolitiske dimensjoner.

Digital sårbarhet og IKT-sikkerhet blir iøkende grad sett på som noe som omhandlerbeskyttelse av velstandssamfunnet i sin helhet,ikke bare som et teknologispørsmål. Det blir sta-dig viktigere å utforme praksis og lover slik at sik-kerhet blir et konkurransefortrinn i den globaleøkonomien.

Samfunnets digitale sårbarheter gir også gro-bunn for elektronisk kriminalitet. På Internett hardet de siste par årene vokst frem tjenester for kri-minalitet – «crime-as-a-service». Samspillet mel-lom tradisjonell og elektronisk kriminalitet øker iomfang og blir mer komplekst. Utviklingen stillernye krav til rettsvesenet, for eksempel når det gjel-der samarbeid med utenlandske politimyndig-heter og private aktører,13 se for øvrig kapittel 21«Avdekke og håndtere digitale angrep».

I takt med at digitaliseringen av samfunnet hargjort oss mer avhengige av Internett, har ogsåstatlige myndighetsorganer tatt i bruk de mulig-hetene teknologien gir for å utføre spionasje motandre lands nasjonale interesser. Cyberspionasjeog cybersabotasje er allerede en del av den sikker-hetspolitiske «verktøykassen» i flere land. Denne

endringen i trusselbildet handler om en økendeprofesjonalisering av grupperinger som ønsker åutnytte våre IKT-systemer.

Statlige trusselaktører har store ressurser ogmye kunnskap, er godt organisert og har strate-giske målsettinger. Vi omtaler dem som sofisti-kerte angripere: målrettede aktører, ofte statligeeller statsfinansierte, med betydelige ressurser iform av datakraft, kompetanse og andre avansertevirkemidler. Sofistikerte angripere går også underbegrepet «avanserte vedvarende trusler».14 Detsom skiller denne kategorien fra organiserte kri-minelle, er hovedsakelig grensene for hvor langtdisse er villige til å gå for å oppnå mål som ikkedirekte gir økonomisk gevinst.

6.6 Trender i sikkerhetsteknologien

De digitale sårbarhetene i samfunnet skaper etkappløp mellom de som er angripere, og de somutvikler sikkerhetsteknologien. Her følger enkortfattet omtale av noen trender innen biometriog kryptografi.

Biometri er måling av biologiske eller adferds-relaterte mønstre, som fingeravtrykk, netthinne,stemme eller måten man signerer et brev på.Målet for biometri er å måle noe som er unikt forenkeltindividet og samtidig stabilt over tid. Detforskes aktivt på nye kilder til biometri.

Teknologien for å gjenkjenne fingeravtrykkhar modnet betraktelig. Fingeravtrykk har erstat-tet passord på mange bærbare enheter, og brukessom et alternativ til nøkler og nøkkelkort til fysiskadgangskontroll. Fingeravtrykk brukes ikke baretil tilgang til enheter, men også til å bekreftehandlinger vi utfører på enhetene, for eksempelkjøp av digitalt innhold og andre økonomisketransaksjoner.

Bruk av biometri reiser personvernrelaterteutfordringer. Teknologien for ansiktsgjenkjenningvil snart være så god at man automatisk kan gjen-kjenne og følge alle som beveger seg i et kame-raovervåket område, for eksempel et kjøpesenter.I tillegg er biologiske mønstre i all hovedsak per-manente. Derfor ønsker man ikke å lagre foreksempel et bilde av et ansikt eller et fingerav-trykk, men heller avledede data som bare kanbrukes til gjenkjenning. På denne måten kan viunngå at biometriske systemer bygger opp sår-bare databaser med sensitiv informasjon.

Kryptografi er teknikker som skal beskytteinformasjon mot uønsket innsyn og endring.15 Ste-

13 Myndigheten för samhällsskydd och beredskap (2015):Informationssäkerhet – trender 2015. 14 Advanced Persistent Threat (APT).


ganografi er et relatert begrep som handler om åskjule det faktum at informasjon sendes, gjerneved å gjemme informasjon i annen leselig informa-sjon for ikke å tiltrekke seg oppmerksomhet.

En vesentlig trend er at kommunikasjon oglagrede data i økende grad krypteres. Et viktigelement i denne trenden er at leverandører av hyl-levare og nettbaserte tjenester tar i bruk krypte-ring som standard, slik at det ikke lenger er noebrukeren selv trenger å konfigurere. Denne tren-den er et svar på høyst reelle sikkerhetsproble-mer. Kryptering av mobile enheter kan for eksem-pel hindre at privat informasjon kommer på avveiedersom enheten mistes eller blir stjålet. Detsamme gjelder ukryptert kommunikasjon somkan avlyttes. Åpen ubeskyttet kommunikasjon kanogså være en måte å lure inn skadevare i folksdatamaskiner på.16 Til en viss grad er kryptering isenere tid også blitt tatt i bruk som et svar på mas-seovervåking. Myndighetsaktører i flere land harytret ønske om å forby eller regulere bruken avkryptografi.

En ny fremtidsrettet krypteringsteknologi ersåkalte fullt homomorfiske kryptosystemer, for-kortet FHE17. Vanligvis er det umulig å arbeidemed krypterte data uten først å dekryptere dem.Med FHE er det mulig å gjøre beregninger påkrypterte data under visse forutsetninger. Det tra-disjonelle eksempelet er nettsøk, som er en av

dagens utfordringer for personvernet. Med FHEkan man tenke seg at brukeren sender et kryptertsøk til søketjenesten. Søketjenesten gjennomførersøket og kommer frem til et kryptert svar somden sender tilbake til brukeren. Brukeren kan sådekryptere svaret. Slik kan brukeren gjennom-føre et nettsøk uten at søketjenesten vet hva søkethandler om. Da FHE først ble presentert i 2009,var det som en teoretisk konstruksjon som ikkekunne gjennomføres i praksis. Siden den gang hardet vært en rivende utvikling som vil kunne for-bedre personvernet.

En kilde til usikkerhet i kryptografien ersåkalte kvantedatamaskiner. Kvantedatamaskinervirker på en fundamentalt annerledes måte ennvanlige datamaskiner. Det gjør at kvantedatamas-kiner vil være i stand til å bryte noen klasser avkryptosystemer som er mye brukt i dag. Selv omkvantedatamaskiner er blitt demonstrert, har deså langt ekstremt liten kapasitet. Det er usikkertom, og eventuelt når, vi vil være i stand til å byggepraktiske kvantedatamaskiner. Likevel har arbei-det med å utvikle og standardisere alternativer tilde «sårbare» kryptosystemene begynt. Det ergrunn til å tro at dette arbeidet vil være ferdig igod tid før noen eventuelt klarer å bygge en prak-tisk kvantedatamaskin. Man bør imidlertid væreklar over at informasjon som er kryptert med«sårbare» systemer, ikke nødvendigvis vil opprett-holde konfidensialitet på sikt.

Et tilsynelatende relatert fagfelt er kvante-kryptografi, der resultater fra kvantemekanikkenbrukes til å bygge fysiske kryptosystemer som iteorien ikke kan brytes. I praksis har slik kvante-kryptografi blitt brutt en rekke ganger.

15 Se også punkt 5.4.2 om kryptografi.16 Et eksempel er at kriminelle kompromitterer det trådløse

nettverket på hotell. Når en hotellgjest leser en nettavis,kan de kriminelle injisere skadevare i nettsidene til avisen.

17 Fully Homomorphic Encryption.


Kapittel 7

Utilsiktede og tilsiktede IKT-hendelser

Når IKT-hendelser blir oppdaget, starter proses-sen med å finne ut hva som er årsakene. Det kanvære forskjellige former for naturhendelser ogsvikt, eller det kan være tilsiktede angrep. Avhen-gig av årsak og hvem som står bak, vil det væreflere måter å håndtere situasjonen på. For eksem-pel ved å følge med på angriper eller stoppe angre-pet, begrense skade og gjenopprette systemer.For mange angrep forblir angriperen ukjent, tiltross for tidkrevende analyse.

I Norge har Næringslivets Sikkerhetsråd i enårrekke beskrevet det digitale sårbarhetsbildethos norske virksomheter, og flere aktører utgirperiodiske trussel- og risikobilder, deriblant Nasjo-nal sikkerhetsmyndighet, Etterretningstjenestenog Politiets sikkerhetstjeneste. Internasjonalt erdet mange som jevnlig rapporterer om IKT-situa-sjonen.

Det er stor variasjon knyttet til forutsigbarhetog konsekvens når det gjelder utilsiktede og tilsik-tede hendelsestyper. Naturhendelser kan i storgrad predikteres basert på historisk statistikk, detsamme gjelder til dels også menneskelig og tek-nisk svikt. For noen typer tilsiktede hendelser,som visse hyppige former for IKT-kriminalitet, vildet også tegnes et mønster. For eksempel blir«tagging» på websider, tjenestenektangrep ogkjente datavirus observert svært hyppig. Sofisti-kerte angripere som skjuler sporene sine, foreksempel ved skjult inntrenging, informasjonslek-kasjer og informasjonstyverier, er vanskeligere åoppdage og å forutsi.

7.1 Utilsiktede IKT-hendelser

7.1.1 Naturhendelser

Værfenomen på jorden. De vanligste værfenome-nene her til lands er storm, flom, skred og brann.Sterk vind får trær til å knekke og falle ned på høy-spentledninger, og skred river av kabler både ibakken og i master. Dette er hendelser som tref-fer oss regelmessig, og sannsynligheten for å blirammet er avhengig av geografiske forhold. Øst-

Norge er lite utsatt for sterk vind, mens Nord-Norge og Vestlandet er mer utsatt. Stormen Dag-mar i 2011 førte til strømbortfall, og det sammeskjedde under ekstremværet Hilde i 2013. Flom-men i Gudbrandsdalen i 2013 førte til driftsforstyr-relser på grunn av fiberbrudd og strømbrudd.Under Lærdals-brannen i januar 2014 brantmobile knutepunkter opp. Hendelser som girutfall av strømforsyningen til et område, vil i storgrad ramme elektronisk kommunikasjon ogdatasystemer. Bortfall av elektronisk kommunika-sjon har vist seg å forsterke konsekvensene avnaturkatastrofer, da det kompliserer krisehåndte-ringen og samhandlingen mellom redningsmann-skaper, kommuner og private.

Romvær. Mange ganger i løpet av et år sendersolen koronamasse ut i verdensrommet. Dette eret solstormfenomen som normalt blir absorbertav atmosfæren, men kan forstyrre jordens elektro-magnetiske felt dersom utbruddet er kraftig.Endringer i magnetfelt kan indusere skadeligstrøm i strømlinjer og elektroniske komponenter.Små strømstyrker vil føre til forstyrrelser i IKT-utstyr, og blir strømmen for sterk, vil kretsenebrenne opp. I 2012 var vi ganske nær ved å bli truf-fet av et kraftig utbrudd. Hvis denne stormenhadde truffet atmosfæren en uke tidligere, villemassive skyer med magnetisert plasma ha truffetjorden. Den etterfølgende solstormen ville blittminst like sterk som Carrington-hendelsen i 1859,som hadde en enormt ødeleggende kraft. Samfun-net var ikke elektrifisert på samme måte som idag, så konsekvensene den gang kan ikke sam-menliknes med konsekvensene hendelsen villefått i dagens samfunn.

Beskyttelsen mot solstormer er noe mindrerundt polene, og det gjør at vi i Norge er ekstrautsatt. Konsekvensene av en «100-års solstorm» ervurdert til å gi forstyrrelser i satellittsignaler ogstrømutfall, med de følgeskadene det vil gi.1

1 Direktoratet for samfunnssikkerhet og beredskap (2015):Nasjonalt risikobilde 2014. Scenario 09 Romvær.


7.1.2 Svikt

Mennesket. Et kjent uttrykk er at «mennesket erdet svakeste leddet», og vi mennesker gjør feilselv med de beste intensjoner. Det er dokumen-tert at svak lederforankring, menneskelige feil-handlinger og ubevissthet, samt organisatoriskeforhold, er årsaker til mangelfullt sikkerhetsar-beid og uønskede hendelser i IKT-systemer.2 3

Sensitive dokumenter blir sendt til feil mottakere,fiberkabler blir gravd over, og systemoppgraderin-ger feiler av og til katastrofalt.

Det er flere årsaker til at menneskelig sviktoppstår. Det kan dreie seg om lav brukervennlig-het i sikkerhetstiltak og manglende sikkerhets-kunnskap. Mennesker kan ha problemer med åfølge kompliserte rutiner, særlig når de ikke for-står hvordan systemet virker. Utviklere og sikker-hetsledere må derfor ta hensyn til brukerne nårde lager systemer og sikkerhetsrutiner, slik at detblir lett å bruke systemene sikkert og riktig. Bare40 prosent av norske virksomheter gir sineansatte slik opplæring ved nyansettelse, og bare20 prosent gir opplæring senere i løpet av ansettel-sesperioden.4

Utover intuitive sikkerhetstiltak og opplæringvil enkeltindividets holdninger til sikkerhetsarbei-det og sikkerhetskulturen i miljøet rundt påvirkesikkerhetsnivået. Det kan oppstå konflikter mel-lom det å prioritere sikkerhetsrutiner og det å fåoppgaver gjort tidsnok. I tillegg er det alltid ensjanse for at det blir gjort tilfeldige feil.5

Det er viktig å være klar over at ansatte ofte vilerstatte tungvinte systemer og rutiner medenklere systemer og rutiner. Disse kan ha et heltannet sikkerhetsnivå. Enkeltindividet er understort press og tillagt stort ansvar for sikkerhetsni-vået. Man bør derfor spørre seg om det alltid erriktig å skylde på menneskelig svikt. Sikkerhets-rutiner kan være svært vanskelige å følge i prak-sis. For eksempel får ansatte beskjed om å væresvært forsiktige med å trykke på lenker og åpne e-

post-vedlegg, samtidig som det å åpne vedlegg eren naturlig og nødvendig del av arbeidet deres.

Organisatorisk svikt. Selv om tradisjonelle ogmodne sikkerhetstiltak er utbredt hos norskevirksomheter og IKT-systemene teknisk sett blirmer motstandsdyktige, tyder mørketallsundersø-kelser utgitt av NSR på at det er manglende kunn-skap om informasjonssikkerhet ute i virksomhe-tene. Virksomhetene har ikke oversikt over hvilkeverdier de besitter, og under halvparten har gjorten verdivurdering av informasjonen sin.6 ENISAvurderer at mer enn halvparten av de vellykkedeIKT-angrepene skyldes slurv fra virksomhetene.7

De enklest utnyttbare sårbarhetene internasjonaltskyldes ifølge Cisco programvare som er utdatertpå grunn av manglende sikkerhetsoppdateringer.8

Systemsvikt. Systemteknisk svikt starter oftemed at enkeltkomponenter bryter sammen, oftesom følge av overbelastning. Elektronikk kankortslutte eller ta fyr, harddisker slutter å fungere,og logiske feil i programkode ender med system-feil. Mange kjenner seg igjen i ufrivillig å ha mis-tet dokumenter, bilder og videoklipp som følge avsystemsvikt, og mange oppdager i slike situasjo-ner at sikkerhetskopier ikke er tilgjengelige, ellerat de er utdaterte – en kombinasjon av teknisk ogmenneskelig svikt.

Når sikkerhetsmekanismene enten manglereller ikke blir fulgt opp tilstrekkelig, vil slike hen-delser raskt kunne forplante seg i avhengige ognærliggende systemer. Strømutfallet i en ekom-sentral i Ålesund 2014 førte til store tjenesteav-brudd på grunn av mangelfull alarmhåndtering,kombinert med at adgangen til sentralen var elek-trisk styrt.

Et annet relevant eksempel er Tieto-hendelsenfra Sverige mot slutten av 2011.9 Teknisk svikt hosen driftsleverandør førte til at både primær- ogreservesystemet for lagring av data hos leveran-døren sviktet. Ny maskinvare var på plass etterkort tid, men prosessen med å gjenopprette data-ene tok flere uker. En serie uhell forsterket avmanglende beredskapsplanlegging førte til atcirka 50 virksomheter, både offentlige og private,mistet datatjenester i opptil flere uker. Blant dissevar 350 apotekfilialer, som ikke fikk delt ut resep-

2 Forsvarets forskningsinstitutt (2014): FFI-Rapport 2014/00948. Norges sikkerhetstilstand – en årsaksanalyse av man-gelfull forebyggende sikkerhet.

3 Hagen, J (2009): How do employees comply with securitypolicy? A comparative case study of four organizations underthe security act. In: The human factor behind the SecurityPerimeter, Evaluating the effectiveness of organizationalinformation security measures and employees’ contribution tosecurity. Universitetet i Oslo.

4 Næringslivets sikkerhetsråd (2014): Mørketallsundersøkel-sen 2014 – Informasjonssikkerhet, personvern og datakrimi-nalitet.

5 IEEE Volume 7, Issue: 4 (2009): Human Relationships: ANever-Ending Security Education Challenge? Security & Pri-vacy.


7 ENISA (2012): ENISA Threat landscape 2012.8 CISCO (2015): Annual security report.9 Myndigheten för samhäldsskydd och beredskap (2012):

Reflections on civil protection and emergency preparednessduring major IT incidents.


ter, og det svenske biltilsynet, som ikke fikk effek-tuert kjøretillatelser.

Tieto-hendelsen i 2011 viser en sterk avhen-gighet av driftsleverandøren, og er et eksempel påstor grad av konsentrasjonsrisiko. Konsentra-sjonsrisiko innebærer at mange avhengigheterpeker i samme retning. Den amerikanske sosiolo-gien Charles Perrow har fremhevet at kompleksi-tet, tett kobling og lineære interaksjoner påvirkerrisikoen for systemsvikt.10 Disse egenskapene ertydelige i det digitale samfunnet, der komponen-ter, systemer og menneskelige handlinger koblesstadig tettere sammen gjennom blant annet tinge-nes Internett, automatisering og systemintegra-sjon.

7.2 Tilsiktede IKT-hendelser

IKT-kriminalitet, digitale angrep, spionasje, sabo-tasje og terror brukes i utvalgets mandat for åomtale tilsiktede hendelser.11 Begrepene kan hen-vise til ulike grupper av trusselaktører, som harulik motivasjon, ulik tilgang på ressurser og ulikgrad av kunnskap og organisering. Motivenespenner fra å demonstrere ferdigheter og påvisesårbarheter til å utøve makt og politisk press.Angrep kan være målrettet mot et spesifikt offer,eller de kan være opportunistiske ved å ramme til-feldige.

Blant de minst teknisk avanserte truslene harvi såkalte «script kiddies» og sosiale hackere.Dette er ofte enkeltpersoner på jakt etter utfor-dringer, og de bruker helst eksisterende hacker-verktøy eller sosial manipulasjon. Kripos erbekymret for at det bygges opp nettverk av ungemennesker i Norge som lærer hverandre ulikeformer for IKT-kriminalitet uten fullt ut å skjønnekonsekvensene av slike lovbrudd. Det er også enfare for at slike nettverk kan fungere som rekrut-teringsarena for alvorligere former for IKT-krimi-nalitet.12

De som representerer trusler med høy kapasi-tet, de såkalte sofistikerte angriperne, kan værestatlige eller statsfinansierte grupperinger sombryter seg inn i IKT-systemer for å samle inninformasjon knyttet til politiske eller militære for-mål. Motivene kan i ytterste konsekvens være for-

beredelser til fremtidige sabotasjeoperasjoner.Leverandører, utviklere og operatører knyttet tilkritisk infrastruktur er utsatte grupper, for eksem-pel i forbindelse med plassering av digitale bakdø-rer og utro tjenere.

I spennet mellom disse ytterpunktene kan detvære mange ulike aktører. Politisk motiverteenkeltpersoner og grupper bruker digitale verk-tøy for å true og påvirke. De kalles ofte hacktivis-ter. Økonomisk motiverte kriminelle bruker for-skjellige former for svindel og ID-tyveri. Cyberter-rorister tilhører ideologisk motiverte grupper sombruker IKT for å ramme grupper eller samfunns-funksjoner med vold eller trusler om vold. Selvvirksomheter kan tenkes i rollen som trusselaktørdersom de søker å oppnå konkurransefortrinnved hjelp av ulovlig innsamling av informasjoneller destruktive dataangrep mot konkurrenter.

Aktørene benytter seg av ulike metoder ogverktøy: Anonymiseringstjenester, kryptering ogvirtuell valuta blir stadig mer avansert, og Europoluttrykker bekymring for denne utviklingen.13

Teknikkene er med på å skjule hvem som kommu-niserer, og hva som blir sagt, og vanskeliggjørsporing av økonomiske transaksjoner.

Skadevare («malware») benytter tekniske sår-barheter for å oppnå tilgang og rettigheter tilutstyret den infiserer. Skadevare kan klassifiseresetter spredningsform, som virus, orm, bakdøreller trojansk hest. De kan også klassifiseres ut fraintensjon, som reklamevare, løsepengevirus, spi-onprogramvare og logiske bomber14. Mange trus-selaktører samler maskiner de tar kontroll over, istore nettverk kalt botnett. Dette foregår ved at enbakdør installeres på maskinen, som i sin tur opp-rettholder kontakten med kommandoinfrastruktu-ren under kontroll av trusselaktøren. En aktørmed tilgang til et stort botnett kan bruke dentotale datakraften til eksempelvis å sende ut spam,automatisk generere klikk på nettannonser, over-belaste nettsteder med datatrafikk eller tjene pen-ger ved å misbruke utregningskraft.15 Se for øvrigboks 7.1.

«Crime-as-a-service». Det har oppstått et glo-balt marked for kjøp og salg av tjenester for åunderstøtte IKT-kriminalitet,16 der kriminelle frittkan kjøpe kriminelle tjenester som botnett, tjenes-

10 Perrow, Charles (1984): Normal Accidents: Living withHigh Risk Technologies. Basic Books.

11 Se definisjoner i kapittel 21 «Avdekke og håndtere digitaleangrep».

12 Kripos (2014): Trendrapport 2015 – den organiserte krimi-naliteten i Norge.

13 Europol (2014): The internet organized crime threat assess-ment (IOCTA).

14 Skadevare som utløses ved en forhåndsdefinert hendelse isystemet eller på et bestemt tidspunkt.

15 For eksempel deltagelse i beregningsnettverk for «mining»av digitale kryptopenger.

16 UNODC (2013): Comprehensive Studyon Cybercrime(Draft).


tenektangrep, utvikling av skadevare, data- ogpassordtyveri på et globalt marked. Det har gjortIKT-kriminalitet attraktivt for tradisjonelle organi-serte kriminelle grupper. Dette markedet ermodent, og trolig større enn narkotikamarke-det.17 Her handler ulike aktører, både stater, orga-nisasjoner og privatpersoner.

Sosial hacking. Med økende grad av tekniskebarrierer kan kriminelle oppleve det som vanskeli-gere å gå direkte på systemene. Da er det lettere ågå indirekte via menneskene i organisasjonen. Envanlig metode er å sende ansatte persontilpassedee-postmeldinger (nettfiskeangrep) med infisertevedlegg eller linker. En annen metode er opprin-ging for å lure den ansatte til å oppgi informasjonom virksomhetens sikkerhetssystemer. Det ererfaringsmessig alltid noen som lar seg lure avslike angrep,18 og det rapporteres om en økning iantall nettfiskeangrep.19 Tilsvarende kan ogsåforegå via SMS og sosiale medier.

Kriminelle bak nettbankangrep trenger oftehjelp til å sende penger ut av landet, og rekrutte-rer derfor hvitvaskere (money mules), som for

eksempel stiller kontoen sin til disposisjon. Kjenteprinsipper er manipulasjon basert på fristelser,autoritet, tiltrekning og sympati. I eksemplet medhvitvaskere kan det være høy lønn, bonus ogmuligheten til å jobbe hjemmefra det fristes med.Tiltrekning kan misbrukes ved at kriminelle opp-retter falske profiler på nettdatingtjenester for åinnlede falske forhold og lure offeret til å overførepenger. Det er også flere eksempler på at politi- ogmyndighetslogoer blir misbrukt i kombinasjonmed «bøter», og falske veldedighetsorganisasjo-ner kan utnytte vår sympati til å lure fra oss ver-dier.

7.2.1 IKT-kriminalitet

Internasjonalt. Europol gir årlig ut rapporter medvurderinger av gjeldende og forventede trenderinnenfor organisert Internett-kriminalitet.20 Rap-porten for 2015 beskriver at IKT-kriminalitet21

skiller seg fra annen kriminalitet ved at den krimi-nelle ikke trenger å være i fysisk nærhet til offe-ret, kan angripe flere ofre samtidig og med mini-male muligheter for å bli oppdaget. Som en konse-kvens reises behovet for mer samarbeid mellompolitimyndigheter på tvers av landegrenser. Sliktsamarbeid blir riktignok hindret ved at flere juris-diksjoner utenfor Europa mangler juridiske ram-meverk for slikt samarbeid.

I en studie av FN som sammenligner 21 land,rapporterer mellom 1 prosent og 17 prosent avbefolkningen at de har vært utsatt for kriminalitetvia Internett, som kredittkortsvindel, ID-tyveri,nettfiskeforsøk og ulovlig adgang til e-postkonto.Til sammenligning rapporterte mindre enn5 prosent av befolkningen i studien at de haddevært utsatt for konvensjonell kriminalitet. Blanteuropeiske bedrifter rapporterte mellom 2 pro-sent og 16 prosent at de hadde vært utsatt forcyberkriminalitet.22

I henhold til internasjonal rett skal kriminellesaker ivaretas av det enkelte lands interne politiog rettsvesen. En rapport fra FN hevder at åbeskytte seg mot cyberkriminalitet globalt er såkomplekst at det ikke kan løses av stater enkelt-

17 Ablon, Lillian, Martin C. Libicki og Andrea A. Golay (2014):Markets for Cybercrime Tools and Stolen Data: Hackers'Bazaar. Santa Monica, CA: RAND Corporation, 2014.

18 Nasjonal sikkerhetsmyndighet (2015): Sikkerhetsfaglig råd.Side 15.

19 Symantec (2015): Internet Security Threat Report.

Boks 7.1 Nyttevare eller skadevare?

Det er et faktum at grensen mellom nyttig pro-gramvare og skadevare i en del tilfeller ikke erklar. Etter som trusselen øker, utvikles det sta-dig flere sikkerhetsverktøy for å dekke beho-vet for overvåking, analyse og reaksjon. Bruktpå en annen måte kan sikkerhetsverktøy bli endel av et innbruddsverktøy. Eksempler på deter programvare for å lese av passerende data-trafikk og for å søke etter åpne porter overdatanettverk.

I 2015 ble det kjent at private tekstmeldin-ger ble oppbevart i en skjult fil i en mobilappli-kasjon utviklet av en strømleverandør. Pro-gramkode utviklet under test ble liggendeigjen i produksjonsversjonen. Eksemplet bely-ser det faktum at en ondsinnet aktør kan lageen tilsvarende nyttig applikasjon som påenkelt vis kan sende tekstmeldingene dine tilet arkiv ute på Internett.

20 Europol: The Internet Organised Crime Threat Assessment(IOCTA).

21 IKT-kriminalitet er IKT-hendelser som er kriminalisertetter norsk lov, og deles ofte inn i kriminalitet rettet motselve IKT-systemene, og kriminelle handlinger begått vedhjelp av IKT som et vesentlig redskap. Kapittel 21 omtalerIKT-kriminalitet i konteksten av å avdekke, håndtere ogetterforske digitale angrep.

22 UNODC (2013): Comprehensive Study on Cybercrime(Draft).


vis, men må løses gjennom etablerte samarbeids-fora og bilateralt.23 Det nærmeste man kommeren helhetlig tilnærming, er enn så lenge Europa-konvensjonen mot cyberkriminalitet.24

Etter hvert som antall Internett-brukere, inklu-dert mobilbrukere, globalt stiger, vil virksomhe-ter og innbyggere i EU kunne bli utsatt for et sta-dig større antall digitale angrep fra utviklingsland.Relativt større rikdom, avansert infrastruktur ogøkende avhengighet av Internett innenfor øko-nomi og betalingssystemer gjør EU-landene tilattraktive mål for cyberkriminelle, samtidig somangrepene stort sett gjennomføres fra land uten-for EU.25 Men vel så viktig er den sårbarhetenutviklingsland utsetter seg selv for, da med tankepå landenes modenhet på IKT-sikkerhetsområdet.Utenriksdepartementet skriver at «Norge kanspille en viktig rolle i å bistå med kapasitetsbyg-ging på cyberfeltet i utviklingsland slik at flereland i større grad også evner å håndtere digitaleutfordringer og digitale trusler». Et av tiltakene tilregjeringen er å intensivere samarbeidet og dialo-gen med EU om slik kapasitetsbygging.26

IKT-kriminaliteten i Norge. Ifølge Kripos erIKT-kriminalitet i ferd med å bli et reelt samfunns-problem. Den teknologiske utviklingen har ført tilat tradisjonell kriminalitet kan begås på nye måter,blant annet ved bruk av Internett. Oppdagelses-risikoen er lav og fortjenestepotensialet høyt.Bruk av Internett som kommunikasjonskanalutfordrer politiets bekjempelse av en rekke for-mer for kriminalitet – som bedragerier, seksuelleovergrep og narkotikakriminalitet.27

Det pågår kontinuerlig forsøk på å innhentepersonlig informasjon som senere skal brukes tilkriminelle handlinger. Identitetstyveri, bedrageriog planting av skadelig programvare er bare noenav metodene som benyttes. Det finnes en rekkeeksempler på tjenestenektangrep mot banker,mediehus, politiske partier, myndigheter ogoffentlig sektor. Disse angrepene kan være bådeideologiske, politiske, økonomiske og personligmotivert.

Så godt som alle de norske bankene har opp-levd at kriminelle infiserer kundenes PC-er medskreddersydd og skadelig programvare i den hen-sikt å gjennomføre urettmessige pengetransaksjo-ner. Kripos vurderer det som svært sannsynlig atnorske banker vil bli utsatt for omfattende hacker-forsøk der profesjonelle aktører står bak.28

Det er en utvikling i retning av at stadig fleretyper bedragerier finner sted med Internett somkommunikasjonskanal mellom lovbryter ogoffer.29 Svindel på digitale markedsplasser er etøkende problem, både med ulovlige og falskevarer.

I en NorSIS-undersøkelse fra 2014 oppgir3,2 prosent av befolkningen at de har opplevd atnoen har benyttet deres identitet til å begå straff-bare handlinger. Dette er en nedgang fra 5,9 pro-sent i 2013.

Flere mennesker blir i dag ofre for cyberkrimi-nalitet enn for konvensjonell kriminalitet. Forsik-ring mot ID-tyveri er også i ferd med å innta for-sikringsmarkedet.

Internetts opplevde anonymitet, utbredelse ogbillige tilgang, sammen med utbredelsen av digi-tale muligheter for bilder og film, gjør at produk-sjonen og tilgjengeligheten av overgrepsbilderøker raskt, både nasjonalt og internasjonalt. Inter-nett benyttes også i økende utstrekning til kjøp ogsalg av ulike typer narkotika og bestanddeler somkan brukes til å fremstille syntetiske narkotiskestoffer.30

Europakonvensjonen mot cyberkriminalitetbeskriver flere former for IKT-kriminalitet rettetmot selve teknologien, blant annet:

Uautorisert tilgang til et IKT-system kan oppnåsfor eksempel ved å utføre et datainnbrudd ellerved å misbruke autorisasjon. Enhver datamaskin,spesielt når den er tilkoblet Internett, kan ha verdifor en angriper med økonomiske motiver. Selv entilfeldig infisert maskin uten spesielt interessantinnhold kan benyttes til blant annet angrep påandre datamaskiner, lagring av ulovlige filer,utsendelse av «spam», innhenting av brukerkontiog kredittkortnumre og en rekke andre formål.Dette kan igjen omsettes for penger. I 2010 var detstore oppslag om at noen hadde skaffet seg ulov-lig tilgang til regjeringens ugraderte IKT-systemer gjennom et datainnbrudd, og at storemengder dokumenter hadde blitt kopiert. Lekka-sje av data kan også skje ved ulovlig avlytting av

23 Krutskikh, A.V. (2012): Developments in the Field of Infor-mation and telecommunications in the Context of Internatio-nal Security. Study Series 33, Part 1: A/65/201, United Nati-ons, New York.

24 Council of Europe (2001): Convention on Cybercrime, Addi-tional Protocol, Budapest, 23.XI.2001. ETS No 185.

25 Europol (2014): The internet organized crime threat assess-ment (IOCTA).

26 Meld. St. 37 (2014–2015) Globale sikkerhetsutfordringer iutenrikspolitikken – Terrorisme, organisert kriminalitet,piratvirksomhet og sikkerhetsutfordringer i det digitale rom.Side 60.

27 Politiet (2010–2012): Tendenser i kriminaliteten.


29 Politiet (2010–2012): Tendenser i kriminaliteten.30 Ibid.


datakommunikasjon der informasjon overføresuten sterk kryptering eller tilsvarende beskyt-telse.

Hindre tiltenkt funksjonalitet til et IKT-system.Det har vært en økning i antall distribuerte tjenes-tenektangrep (DDoS) i Norge. Det kan være ideo-logiske, politiske, økonomiske eller personligemotiver som ligger bak tjenestenektangrep.31

Politiets datanettverk ble i 2009 infisert av skade-varen «conficker», noe som førte til to uker mednedetid. Et tjenestenektangrep ble i 2014 rettetmot norske banker og andre store bedrifter av en17-åring. Angrepet pågikk bare noen timer. Kon-sekvensene var hovedsakelig økonomiske tapsamt noe nedetid på systemene som ble rammet.Jamming er en form for tilsiktet interferens medhensikt å blokkere sendere eller mottakere avradiokommunikasjon. Rent teknologisk har sliktutstyr blir lettere, billigere og mer effektivt.32

Utvikling og distribusjon av verktøy og metoderfor å utføre handlingene som er nevnt ovenfor,hører også til IKT-kriminalitetsformen rettet motselve teknologien. Eksempler er utvikling av ska-devare og distribusjon av stjålne tilgangsdata i for-bindelse med ID-tyveri.

Kostnaden ved IKT-kriminalitet

Mange land ønsker å vite hva IKT-kriminalitetkoster. Dette skaper et behov for nøyaktig statis-tikk over IKT-kriminalitet og økonomiske tap.Imidlertid er mange av studiene på dette områdetgjort av organisasjoner med en agenda. Eksem-pler er sikkerhetsselskaper og politiske organisa-sjoner. En pekepinn på omfanget gir Center forStrategic and International Studies (CSIS), somhar estimert at de årlige globale tapene knyttet tilIKT-kriminalitet er på mellom 375 milliarder og575 milliarder dollar per år på verdensbasis. IKT-kriminalitet ødelegger handel, konkurranseevneog innovasjon.

For Norge ligger CSIS-estimatet på cirka 20milliarder kroner. Dette tallet står i skarp kontrasttil det norske virksomheter selv rapporterer at dehar hatt av direkte og indirekte tap, i Mørketalls-undersøkelsen 2014. Det er stor usikkerhet knyt-tet til norske mørketall både når det gjelder antallestimerte hendelser, og når det gjelder kostnadersom følge av hendelser. Et problem er at norskevirksomheter ikke vet at de er angrepet. Mørke-

tallsundersøkelsen viser store avvik mellom esti-merte hendelser og hendelser som er anmeldt tilpolitiet. Sammenligner vi data fra NSM og mne-monic med svar fra store virksomheter, ser vi atover halvparten har vært utsatt for datainnbrudd ien eller annen form, og ikke bare 5 prosent somdet er rapportert om i Mørketallsundersøkelsen.

7.2.2 Sabotasje, spionasje og terror

Antall registrerte hendelser ved NSM NorCERTøker. NSM vurderer denne økningen som en indi-kasjon på at aktivitet fra ulike trusselaktører øker,til tross for at både antall sensorer og antall nasjo-nale og internasjonale samarbeidspartnere øker.Dette er blant annet basert på hva internasjonalesamarbeidsparter beskriver. Figur 7.1 viser antallhendelser per kvartal siden 2011.

Fra 2011 til 2014 økte antallet håndterte hen-delser og antallet hendelser klassifisert som alvor-lige hos NSM NorCERT. Tallene for 2015 viser ennedgang. Nedgangen i antall håndterte angrepkan forklares med et unormalt høyt nivå i tredjekvartal 2014. Nedgangen i antall klassifisertealvorlige hendelser forklares av NSM med enkombinasjon av økt kompleksitet og endrede prio-riteringer av bistand.33 Se figur 7.2.

Vi må anta at sofistikerte aktører kan trengegjennom kryptografiske beskyttelsesmekanismerog kompromittere systemer før de når kunden, ogat de har høy kapasitet når det gjelder å oppdagesvakheter i programvare som ikke bevisst er sattinn.

Sofistikerte aktører kan angripe kryptografiskbeskyttelse ved hjelp av kryptoanalyse, ved åstjele nøkler eller ved å sabotere komponenter ikryptosystemet. En angriper kan enten angripetegningene til systemet, byggingen av systemeteller selve systemet under transport til kunden, ogdet er grunn til å tro at sofistikerte angriperemanipulerer systemer under transport til kun-dene.

Nesten all programvare vi bruker, inneholdersårbarheter med varierende grad av kompleksitetog alvorlighet. Sofistikerte aktører angripersystemer ved å finne og utnytte sårbarheter i pro-gramvaren. Det er mange eksempler på feil somer funnet i programkode, men det er uklart omdet er bevisste eller utilsiktede feil. Det er grunntil å tro at sofistikerte angripere er vesentlig bedre


32 Forsvarets forskningsinstitutt (2004): TEK14: Militærtek-nologiske trender – Oversiktsrapport.

33 NSM sier at hver enkelt sak krever mer bistand på grunnav kompleksitet og omfang. Skadevaren blir også mer kom-pleks og tar lengre tid å analysere. I 2015 fikk eiere av kri-tisk infrastruktur eller samfunnskritiske funksjoner betyde-lig høyere prioritet.


enn akademikere og andre åpne analytikere34 til åfinne sårbarheter i programvare. Vi må legge tilgrunn at velfinansierte, sofistikerte angripere er istand til å bygge opp større grupper, som ikkebare kan analysere programvare mer systematisk,

men også er i stand til å bygge et miljø, samtutvikle og vedlikeholde analyseverktøy. Slikegrupper vil være i stand til å finne sårbarhetersom akademikere eller åpne analytikere ikke harkapasitet til å finne. De vil også ha en mye størretotal analysekapasitet.

34 Analytikere som offentlig publiserer sine funn.

Figur 7.1 Det har vært en økning i antall registrerte hendelser. Den kraftige økningen i fjerde kvartal 2014 skyldes et målrettet angrep mot olje- og gassektoren.

0

500

1000

1500

2000

2500

2011

-01

2011

-03

2011

-05

2011

-07

2011

-09

2011

-11

2012

-01

2012

-03

2012

-05

2012

-07

2012

-09

2012

-11

2013

-01

2013

-03

2013

-05

2013

-07

2013

-09

2013

-11

2014

-01

2014

-03

2014

-05

2014

-07

2014

-09

2014

-11

2015

-01

2015

-03

2015

-05

2015

-07

2015

-09

Figur 7.2 Oversikt over antall manuelt håndterte og antall alvorlige saker observert ved NSM NorCERT.1

* Tallene for 2015 er et lineært estimat fra henholdsvis 2943 og 13 saker per 31. august 2015.1 Nasjonal sikkerhetsmyndighet (2015): Helhetlig IKT-risikobilde 2015.

1657

2332

3400

5066

4415*

0

1000

2000

3000

4000

5000

6000

2011 2012 2013 2014 2015

Håndterte

23

46 51

88

20*

0

10

20

30

40

50

60

70

80

90

100

2011 2012 2013 2014 2015

Alvorlige


I det påfølgende er åpne kilder benyttet for åbeskrive sentrale aktørers vurdering av digital spi-onasje, sabotasje og terrorisme. Tekstutdrag ergjengitt i teksten for å unngå å forvrenge budska-pet.

Digital spionasje

Digitaliseringen av det norske samfunnet og inter-nasjonaliseringen av forskning og næringsliv harforenklet arbeidsvilkårene for fremmede etterret-ningstjenester.35 Risikoen for spionasje (også kaltnettverksbaserte etterretningsoperasjoner) motnorske verdier vurderes å være høy og økende.Flere større norske virksomheter har ikke kapasi-tet til å håndtere nivået på flere av trusselaktø-rene, og de har i varierende grad evne til å opp-dage at sikkerhetsgradert og annen sensitiv infor-masjon blir stjålet. En liten leverandør med lav sik-kerhetsbevissthet kan utgjøre en vesentlig sårbar-het for en stor kunde. Skadepotensialet er stort pågrunn av økt sammenkobling på tvers av sektorerog at systemer kobles til Internett. NSM ser atdatahaller ofte er dårligere sikret enn markedsfø-ringen og verdiene tilsier. Sosiale media har skaptnye arenaer der det er lett å forsnakke seg omsensitive forhold. For eksempel har mange for-svarsansatte delt informasjon om utenlandsopp-drag i sosiale medier uten å ha sjekket sikkerhe-ten i disse systemene.36

Ifølge Etterretningstjenesten angriper frem-med etterretning daglig norsk digital infrastruk-tur, og det er statlige aktører som står bak denmest alvorlige trusselen.37 Vurderinger av spiona-sjetrusselen tar blant annet utgangspunkt i deland Norge oppfatter å ha motstridende interessermed. Blant de land Norge ikke har et sikkerhets-politisk samarbeid med, vurder PST at Russlander den staten med størst kapasitet og skadepoten-sial knyttet til etterretning mot norske interesser(herunder nettverksbaserte etterretningsopera-sjoner), etterfulgt av Kina. Datanettverksoperasjo-ner38 vurderes som den etterretningsmetodensom kan ha de mest alvorlige og omfattende ska-devirkningene på hele spekteret av norskeinteresser.

Russiske myndigheter har i mange år benyttetseg av nettverksbaserte etterretningsoperasjoner

for å skaffe seg informasjon om andre lands poli-tiske beslutninger samt aktuelle militære og finan-sielle forhold. Russland har under Ukraina-kon-flikten benyttet nettverksbaserte etterretnings-operasjoner i kombinasjon med en rekke andrevirkemidler.

Kinesiske nettverksbaserte etterretningsope-rasjoner har først og fremst til hensikt å under-støtte landets økonomiske vekst og være et red-skap for å innhente Vestens teknologiske for-sprang. Operasjonene utføres av en rekke statligeog ikke-statlige grupperinger. Sentrale sektorerinnen kinesisk industri understøttes av den stat-lige etterretningsvirksomheten.

Utover disse vises det til at enkelte andre sta-ter har etablert samarbeid mellom sine hemme-lige tjenester og organiserte kriminelle som utfø-rer nettverksbaserte etterretningsoperasjoner påderes vegne.

Metadata etterlatt i digitale tjenester, som sosi-ale medier, kan ved analyse avdekke kunnskapom både enkeltpersoner, grupper og lokasjoner.E-tjenesten fremhever at utenlandsk etterretningkan få tilgang til denne kunnskapen der disse tje-nestene blir forvaltet gjennom skytjenester, ogved serverparker i utlandet.

Angrepsmetodene preges i dag av e-post ogkompromitterte websider med skadelig innhold(vannhull39). Utnyttelse av tjeneste- og underleve-randører brukes også som en indirekte vei tilmålet gjennom sammenkoblede nettverk ellergjennom felles brukere.

Et internasjonalt eksempel på tyveri av infor-masjon er hackergruppen Dragonfly, som haddesom mål å stjele informasjon. Gruppen benyttet totyper ondsinnet programvare i angrepet, beggesåkalte fjernstyrings- og tilgangsverktøy. Disse bledistribuert gjennom e-post, vannhullsangrep ogprogramvare lastet ned fra leverandørene avindustrikontrollsystemer. Et annet eksempel erTelenor som i 2013 ble rammet av målrettede for-søk på datatyveri mot nøkkelpersonell.

Digital sabotasje

Nettverksbasert sabotasje utgjør en alvorlig, menforeløpig langt mindre spesifikk trussel enn etter-retningstrusselen. Fremmede makter kan gjen-nom nettverksbaserte etterretningsoperasjoner ifredstid erverve inngående kjennskap til kritisk35 Politiets sikkerhetstjeneste (2015): Åpen trusselvurdering

2015.36 Nasjonal sikkerhetsmyndighet (2015): Risiko 2015.37 Etterretningstjenesten (2015): Etterretningstjenestens vur-

dering, FOKUS.38 Datanettverksoperasjoner er av NSM definert som «Data-

tangrep, datainnbrudd via internett».

39 En metode der skadevare plantes på steder der det er sann-synlig at målgruppen vil bli eksponert. For eksempel gjen-nom å kompromittere annonsefunksjonalitet på en populærwebside.


infrastruktur. Kunnskapen kan senere benyttes tilå gjennomføre sabotasjeaksjoner. Flere staterutvikler skadevare som vil kunne brukes til åsabotere infrastruktur eller forstyrre kritiske sam-funnsfunksjoner. Utviklingen minner mer og merom et våpenkappløp. Skadevare kan ramme allesystemer som er koblet til nett. Brannmurer ogantivirusprogramvare er ingen garanti mot kom-promittering, selv om slike tiltak reduserer risi-koen.

Internasjonalt finnes det eksempler på digitalsabotasje med militærpolitisk motivasjon, kanskjeså langt tilbake som tidlig på 1980-tallet. Bekref-telse på hvem som står bak slike sabotasjehandlin-ger, får vi sjelden, og om vi får det, er det lengeetter at handlingen fant sted. Det spekuleres i omeksplosjonen i de sovjetiske transsibirske gassled-ningene i 1982 var forårsaket av en innplantetlogisk bombe i programvaren til styringssystemet.Andre tidlige eksempler er sabotasjeaksjoner motserbiske og syriske luftvernsystemer for å settedisse ut av spill under de alliertes luftoperasjoner.

I nyere tid har vi blant annet sett digitaleangrep mot Estland i 2007, der tjenestenektan-grep ble brukt i stor skala for å avskjære befolk-ningen fra myndighetene, samt andre viktige sam-funnsfunksjoner som bankvesenet. Websider blekompromittert for å spre propaganda. I 2008eksploderte rørledninger i Baku i Aserbajdsjan,og det er også der mistanke om manipulasjon avovervåkingssystemene. I 2010 herjet Stuxnet-ska-devaren, som var utviklet for å sabotere sentrifu-geanlegg for å anrike grunnstoffet uran i Iran. Ettysk stålverk fikk store skader i 2014 som følge avet digitalt innbrudd i kontrollsystemene.40

Digital terrorisme

Angrep i og gjennom det digitale rom er ogsåattraktivt for idelogiske grupperinger og privat-personer. Disse kan bruke enkle, nedlastbareverktøy for eksempel for å endre på websider ellergjennomføre nektelsesangrep. Mer avanserteangrep mot godt beskyttede systemer kreverimidlertid helt andre ressurser både til å driveetterretning og til å utføre selve angrepet. Realise-ring av den digitale terrortrusselen er foreløpigbegrenset av trusselaktørenes mangel på evne ogkunnskap.41

Terrorister bruker Internett til rekruttering,spredning av ideologi og til å samle inn informa-sjon om hvordan de kan lage bomber. De brukerkodede meldinger ved hjelp av teknikker somskjuler meldinger i vanlig tekst i e-post og på nett-sider. I tillegg stenges og åpnes nettsider stadig,noe som gjør det vanskelig å spore dem. Å stoppeslik aktivitet er bortimot umulig.42 Internett er enviktig arena for rekruttering, radikalisering ogspredning av propaganda.43

40 BBC (2014): «Hack attack causes ‘massive damage’ at steelworks».

41 Etterretningstjenesten (2015): Etterretningstjenestens vur-dering, FOKUS.

42 Hubbard, Z.P. (2007): Information Operations in the GlobalEar on terror: Lessons Learned From Operations in Afgha-nistan and Iraq. In Information Warfare. Separating hypefrom reality, L. Armistead, ed., Dulles, Virginia: PotomacBooks Inc, pp. 45–72.

43 Politiets sikkerhetstjeneste (2015): Åpen trusselvurdering2015.


Kapittel 8

Organisering av roller og ansvar

8.1 Overordnede mål og prinsipper for IKT-sikkerhetsarbeidet

IKT-sikkerhet følger de fire overordnede prinsip-pene for samfunnssikkerhet – ansvar, nærhet, lik-het og samvirke.1

Ansvarsprinsippet innebærer at den myndighe-ten, virksomheten eller etaten som til daglig haransvaret for et område – for eksempel en funksjoneller et system – også har ansvaret for nødvendigesikkerhets- og beredskapsforberedelser og forden utøvende tjenesten ved kriser og katastrofer.

Likhetsprinsippet innebærer at den organisa-sjonen man opererer med under kriser, skal væremest mulig lik den organisasjonen man har tildaglig. Dette er en utdyping av ansvarsprinsippet,og innebærer at ansvarsforholdene internt og mel-

lom virksomheter/organisasjoner ikke skal endresi forbindelse med krisehåndtering.

Nærhetsprinsippet innebærer at kriser organi-satorisk skal håndteres på lavest mulig nivå. Dettebygger på en forutsetning om at den som harstørst nærhet til krisen, i de fleste tilfeller også vilha best situasjonsforståelse og være best egnet tilå håndtere krisen.

Samvirkeprinsippet viser til at myndigheten,virksomheten eller etaten har et selvstendigansvar for å sikre et best mulig samvirke medrelevante aktører og virksomheter i arbeidet medforebygging, beredskap og krisehåndtering. For åsikre en best mulig utnyttelse av ressurser påtvers av sektorer er det et stort behov for samar-beid på tvers av ansvarsområder.

En rekke utredninger og strategier peker påutfordringer innen IKT-sikkerhet, og flere initiati-ver er iverksatt for å redusere sårbarhetene. Figur8.1 gjengir utvalgte sentrale, tverrsektorielle doku-menter og initiativer de siste 15 årene.

1 St.meld. nr. 17 (2001–2002) Samfunnssikkerhet – veien til etmindre sårbart samfunn og Meld. St. 29 (2011–2012) Sam-funnssikkerhet.

Figur 8.1 Sentrale utredninger og IKT-sikkerhetsinitiativer i Norge i perioden 2000–2015. Figuren er ikke uttømmende.

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

NOU 2000:24 Et sårbart samfunn

(Sårbarhetsutvalget):

Stortings- meldinger og -proposisjoner

Sentrale initiativer

Rapporter/ utredninger

Strategier Nasjonal strategi for informasjons-

sikkerhet

Nasjonale retningslinjer for å

styrke informasjons-sikkerheten

Nasjonal strategi for informasjons-

sikkerhet

OECD: Country studyNorway

NOU 2006:6 Når sikkerheten er viktigst

(Infrastrukturutvalget)

St.meld. Nr 17 (2001-2002):

Samfunnssikkerhet – veien til et mindre sårbart

samfunn

St.meld. Nr 39 (2003-2004):

Samfunnssikkerhet og sivilt-militært

samarbeid

St.meld. nr. 17 (2006-2007):

Et informasjons-samfunn for alle

St.mld.nr. 22 (2007-2008):

Samfunnssikker-het – samvirke og

samordning

Meld. St. 29 (2011-2012): Samfunns-sikkerhet

Meld. St. 37 (2014-2015):

Globale sikkerhets-

utfordringer i utenrikspolitikken

Etablering av Koordinerings-

utvalg for informasjons-

sikkerhet

Etablering av

Nettvett.no

Etableringav

NorCERTog

NorSIS

Etablering av Slettmeg.no

Opprettelse av ID-tyveri

prosjekt

Overføring av samordnings- ansvaret for

forebyggende IKT-sikkerhet fra KMD til JD

Strategi for å bekjempe IKT-

kriminalitet

Etablering av VDI

prøveprosjekt

Etablering av Nettverk for

informasjons-sikkerhet

NOU 2009:1 Individ og integritet –

personvern i det digitale samfunnet

(Personvernkommisjonen)

Prop. 73S (2011-2012)

Et forsvar for vår tid

St.prp. nr. 48 (2007-2008)

Et forsvar til vern om Norges sikkerhet,

interesser og verdier


Nasjonal strategi for informasjonssikkerhet blelansert i 2012, og angir retning og prioriteringerfor myndighetenes informasjonssikkerhetsarbeid.Strategien definerer fire overordnede mål forinformasjonssikkerhetsarbeidet, som igjen er ope-rasjonalisert gjennom sju strategiske prioriterin-ger:– å ivareta informasjonssikkerheten på en mer

helhetlig og systematisk måte– å styrke IKT-infrastrukturen– å sørge for en felles tilnærming til informa-

sjonssikkerhet i statsforvaltningen– å sikre samfunnets evne til å oppdage, varsle og

håndtere alvorlige IKT-hendelser– å sikre samfunnets evne til å forebygge,

avdekke og etterforske IKT-kriminalitet2

– kontinuerlig innsats for bevisstgjøring og kom-petanseheving

– høy kvalitet på nasjonal forskning og utviklinginnenfor informasjons- og kommunikasjonssik-kerhet

Strategien slår fast at IKT-sikkerhet først ogfremst er den enkelte virksomhetens ansvar. Fag-departementene har et overordnet ansvar for åivareta sikkerheten i sektorens IKT-infrastrukturog for at det forebyggende IKT-sikkerhetsarbei-det i sektoren er tilfredsstillende.

Til strategien er det utarbeidet en handlings-plan med konkrete tiltak og fordeling av ansvarfor oppfølging. I 2014 initierte Justis- og bered-skapsdepartementet en rapportering fra departe-mentene om oppfølgingen av strategi- og hand-lingsplanen. Rapporteringen viste at alle departe-mentene er kjent med strategien, og at det eriverksatt en rekke tiltak på bakgrunn av denne.Justis- og beredskapsdepartementet ser imidler-tid behov for ytterlige oppfølging, og har på bak-grunn av dette gitt en individuell tilbakemeldingtil hvert departement.

Departementenes ansvar for samfunnssikker-het og beredskap følger av en instruks fra 2012.3

Formålet med instruksen er å fremme et helhetligog koordinert samfunnssikkerhets- og bered-skapsarbeid som bidrar til å øke samfunnets evne

til å forebygge kriser og uønskede hendelser og tilå håndtere kriser. Instruksen stiller krav til bådeforebyggende beredskapsarbeid og evne til åhåndtere kriser. Instruksen fastsetter at departe-mentene blant annet skal– på grunnlag av oversikt over risiko og sårbar-

het i egen sektor og DSBs nasjonale risikobildevurdere risiko, sårbarhet og robusthet i kri-tiske samfunnsfunksjoner i egen sektor somgrunnlag for kontinuitets- og beredskapsplan-legging og hensiktsmessige øvelser, samtarbeide systematisk for å utvikle og vedlike-holde oversikten over risiko og sårbarhet iegen sektor

– vurdere og iverksette forebyggende og bered-skapsmessige tiltak

– dokumentere at det er gjennomført tiltak somavbøter manglende robusthet i kritisk infra-struktur og funksjoner innenfor departemen-tets ansvarsområde

– være forberedt på å håndtere alle typer kriser iegen sektor og yte bistand til andre departe-menter i kriser som involverer flere sektorer

– være forberedt på å være lederdepartement

Punktene over omfatter alle typer forebygging,beredskap og krisehåndtering, inkludert IKT-hen-delser. Kravene fra instruksen er bindende, og detblir ført tilsyn med departementenes oppfølgingav kravene. En oversikt over ansvar for ulike sam-funnsfunksjoner fremgår av vedlegg 25.2.

Styringsverktøyene til den enkelte statsråden ogde enkelte departementene overfor underlagteetater og virksomheter er det årlige tildelingsbre-vet, virksomhetenes rapportering på måloppnå-else, instrukser, etatsstyringsmøter med mer.Departementene er gjennom den tidligere nevnteinstruksen4 pålagt å «synliggjøre mål og priorite-ringer for samfunnssikkerhets- og beredskapsar-beidet i de årlige budsjettproposisjonene».

I tillegg skal de kunne «dokumentere at det ergjennomført tiltak som setter dem i stand til å iva-reta prioriterte funksjoner og oppgaver i hele kri-sespekteret, herunder også forebyggende tiltakog at virksomheter i egen sektor er i stand til å iva-reta ansvar for kritiske samfunnsfunksjoner uav-hengig av hvilke hendelser som måtte inntreffe».Videre er sektorenes regelverk og tilsynsvirksom-het sentrale. Disse er nærmere omtalt for de sam-funnsområdene NOU-en beskriver.

2 Dette punktet er fulgt opp gjennom Justis- og beredskaps-departementets strategi for å bekjempe IKT-kriminalitet,medio 2015.

3 Justis- og beredskapsdepartementet (2012: Kgl.res.15.6.2012: Instruks for departementenes arbeid med sam-funnssikkerhet og beredskap, Justis- og beredskapsdeparte-mentets samordningsrolle, tilsynsfunksjon og sentral krise-håndtering. 4 Ibid.


8.2 Sentrale myndighetsaktører med særlig ansvar for oppfølging av IKT-sikkerhet

Utover det generelle ansvaret til alle fagdeparte-mentene har enkelte departementer og under-lagte virksomheter en særskilt rolle knyttet tilIKT-sikkerhet.

Statsministerens kontor (SMK) bistår statsmi-nisteren i å lede og samordne regjeringens arbeid,også i en krisesituasjon. SMKs involvering i denenkelte krisen vil avhenge av krisens art, omfangmed videre. I kriser som faller innenfor bered-skapslovens virkeområde, er statsministeren dele-gert særskilte fullmakter i situasjoner der det eruomgjengelig nødvendig å treffe beslutninger forå ivareta samfunnets interesser. Statsministerenskontor må planlegge for at statsministeren ogregjeringen skal kunne utføre sine oppgaver ogsåi krisesituasjoner, og for at kontoret skal kunneutføre oppgaver som sekretariat for regjerings-konferanser, Regjeringens sikkerhetsutvalg(RSU) og Kongen i statsråd. Kontoret må kunneyte både administrativ støtte og sekretariatsfunk-sjoner og bidra med rådgivning.5 Statsministerenskontor har ansvar for beskyttelsesinstruksen.

Justis- og beredskapsdepartementet (JD) har engenerell samordningsrolle for samfunnssikkerhetog beredskap i sivil sektor, og et samordningsan-svar innen IKT-sikkerhet. Justis- og beredskaps-departementet har videre et overordnet ansvar forå bekjempe IKT-kriminalitet.

Justis- og beredskapsdepartementets totaleansvar for IKT-sikkerhet utledes fra– instruks for departementenes arbeid med sam-

funnssikkerhet og beredskap, Justis- og bereds-kapsdepartementets samordningsrolle, tilsyns-funksjon og sentral krisehåndtering (kgl.res.15. juni 2012)

– overføring av samordningsansvaret for forebyg-gende IKT-sikkerhet fra Fornyings-, administra-sjons- og kirkedepartementet til Justis- og bered-skapsdepartementet (kgl.res. 22. mars 2013)

– fordeling av ansvar for forebyggende sikker-hetstjeneste og Nasjonal sikkerhetsmyndighet(kronprinsreg.res. 4. juli 2003)

I kgl.res. 15. juni 2012 fremgår følgende:

«Departementet skal gjennom sin samord-ningsrolle sikre et koordinert og helhetlig

arbeid med samfunnssikkerhet og beredskappå tvers av sektorgrenser.»

I kronprinsreg.res. 4. juli 2003 går det frem at JDskal ha

«et overordnet sektorovergripende ansvar –konstitusjonelt og parlamentarisk – for fore-byggende sikkerhet i sivil sektor i henhold tilsikkerhetsloven».

I forbindelse med overføringen ble Justis- ogberedskapsdepartementets ansvar ytterligerekonkretisert i kgl.res. 22. mars 2013, ved at depar-tementet skal– utforme en nasjonal politikk og nasjonale krav

på IKT-sikkerhetsområdet som omfatteroffentlig og privat sektor

– utarbeide og følge opp nasjonale strategiermed tilhørende handlingsplaner

– identifisere sektorovergripende spørsmål ogbidra til at ansvar blir plassert og oppgaverhåndtert på en god måte

– drive arenaer for erfaringsutveksling– bidra til bevisstgjørings- og veiledningsaktivite-

ter rettet mot hele samfunnet, for eksempelgjennom tilskudd til Norsk senter for informa-sjonssikring (NorSIS)

– ivareta kontakten med næringslivet, for eksem-pel gjennom Næringslivets Sikkerhetsråd

– være Norges deltager i internasjonale fora ogbidra til at internasjonale relasjoner på områdetblir håndtert på tvers av departementsområder

– videreutvikle et fagmiljø (NSM) som kanunderstøtte JD

Justis- og beredskapsdepartementet fører jevnligtilsyn med departementenes arbeid med sam-funnssikkerhet og beredskap. Tilsynene utføresav DSB på vegne av JD, og er basert på risiko ogvesentlighet. Departementenes ansvar for å tavare på kritisk infrastruktur og kritiske samfunns-funksjoner inngår som et viktig tema i tilsynene.En nærmere redegjørelse av PODs, PSTs ogKripos’ ansvar er beskrevet i kapittel 21 «Avdekkeog håndtere digitale angrep».

Forsvarsdepartementet (FD) har ansvar forforebyggende IKT-sikkerhet i forsvarssektoren.FD skal, som overordnet ansvarlig for sektoren,sørge for at informasjonssikkerhet i cyberdome-net og cyberoperasjoner er en integrert del avdepartementets planleggings-, ledelses- og sty-ringsprosess. FD har blant annet etatsstyringsan-svar for Nasjonal sikkerhetsmyndighet (NSM) ogforvaltningsansvar for sikkerhetsloven.

5 Forsvarsdepartementet, Justis- og beredskapsdepartemen-tet (2015): Støtte og samarbeid. En beskrivelse av totalforsva-ret i dag.


Forsvaret planlegger, leder og gjennomføreralle militære operasjoner i hele krisespekteret.Forsvaret planlegger, etablerer, drifter, forsvarerog utvikler Forsvarets kommunikasjonsinfra-struktur og leverer administrative og operativeIKT-systemer til forsvarssektoren. Forsvarsdepar-tementets underliggende etat Etterretningstje-nesten er beskrevet i kapittel 21 «Avdekke oghåndtere digitale angrep».

Begrepet sivilt–militært samarbeid omfatter iprinsippet alt sivilt–militært samarbeid på allenivåer og spenner over et svært bredt felt medmange ulike aktører. Begrepets innhold er i storgrad situasjonsbetinget. I noen tilfeller støtter For-svaret sivil virksomhet, mens Forsvaret i andresituasjoner støttes av sivile ressurser.

Totalforsvaret som konsept skal sikre en bestmulig utnyttelse av samfunnets begrensede res-surser når det gjelder forebygging, beredskaps-planlegging, krisehåndtering og konsekvenshånd-tering i hele krisespekteret. Totalforsvarskonsep-tet er dermed en del av et sivilt–militært samar-beid, men er avgrenset til å omfatte gjensidigstøtte og samarbeid mellom Forsvaret og detsivile samfunnet i forbindelse med kriser.

Utenriksdepartementet (UD) har som oppgaveå arbeide for Norges interesser internasjonalt.Norges interesser bestemmes blant annet av vårgeografiske plassering i et strategisk område, våråpne økonomi, vår posisjon som kyststat og for-valter av store marine ressurser og en omfattendeeksport av olje og gass. UDs rolle innenfor IKT-sikkerhet er primært å samarbeide med andreberørte departementer og bistå med koordineringav norsk deltagelse på ulike arenaer. I tillegg kanUD spille en rolle i å fremme norsk næringsliv ognorsk teknologi og i å samarbeide med norsknæringsliv på aktuelle arenaer når det er naturlig.UD vil ha en ledende rolle på arenaer der cyber-sikkerhet diskuteres i en internasjonal kontekst.Blant annet uttrykkes det i UDs stortingsmeldingom globale sikkerhetsutfordringer i utenrikspoli-tikken at det skal etableres en gruppe «for koordi-nering av norske posisjoner i internasjonal cyber-politikk for å styrke arbeidet med å fremme nor-ske interesser og verdier i det digitale rom inter-nasjonalt».6

Samferdselsdepartementet (SD) har ansvar foren fungerende og sikker IKT-infrastruktur og forIKT-sikkerheten knyttet til elektroniske kommu-nikasjonsnett og -tjenester, herunder Internett. I

tillegg har SD ansvar for å sikre pålitelig person-og godsfremføring på sjø, vei, bane og i luften.SDs ansvar for elektronisk kommunikasjon erregulert gjennom lov om elektronisk kommunika-sjon med forskrifter, og følges opp av Nasjonalkommunikasjonsmyndighet (Nkom). Nkom ernærmere beskrevet i kapittel 11 «Elektroniskkommunikasjon».

Kommunal- og moderniseringsdepartementet(KMD) har ansvar for å koordinere regjeringensIKT-politikk, og har et særskilt ansvar for åarbeide for en styrket og mer helhetlig tilnærmingtil informasjonssikkerhet i statsforvaltningen.KMD har etatsstyringsansvar for Departemente-nes servicesenter (DSS), som leverer IKT-tjenes-ter til elleve av departementene, og for Direktora-tet for forvaltning og IKT (Difi). KMD har i tilleggansvar for regjeringens personvernpolitikk ogetatsstyringsansvar for Datatilsynet.

Nasjonal sikkerhetsmyndighet (NSM) er etnasjonalt fagmiljø for IKT-sikkerhet og skal under-støtte og bidra til utøvelsen av FDs og JDs ansvarpå IKT-sikkerhetsområdet. NSMs oppgaver er å– etablere og vedlikeholde et IKT-risikobilde

som omfatter statssikkerhet, samfunnssikker-het og individsikkerhet, og foreslå tiltak, gianbefalinger og fremme forslag til krav innenIKT-sikkerhet i samfunnet, samt følge opp medråd og veiledning

– utøve et overordnet og sektorovergripendeansvar for forebyggende sikkerhetstjeneste ihenhold til sikkerhetsloven

– utøve sertifiseringsmyndighet for IKT-sikker-het i produkter og systemer (SERTIT)

– organisere og drive et nasjonalt varslingssys-tem for digital infrastruktur

– koordinere håndteringen av alvorlige IKT-angrep mot samfunnskritisk infrastruktur ogandre viktige samfunnsfunksjoner

– koordinere arbeidet mellom myndigheter somhar en rolle innenfor forebyggende IKT-sikker-het, og legge til rette for hensiktsmessig sam-handling mellom disse

– være Norges representant i internasjonale forainnen forebyggende sikkerhet og i bi- og multi-lateralt samarbeid på fagområdet

– gi støtte til norsk kryptoindustri– ved behov iverksette nødvendige beredskaps-

messige tiltak innenfor gitte fullmakter, her-under i sikkerhetsloven og i Nasjonalt bered-skapssystem (NBS)

NSM fører tilsyn med styringssystemer for sik-kerhet i virksomheter som er underlagt sikker-hetsloven, sikring av digital informasjon gradert

6 Meld. St. 37 (2014–2015) Globale sikkerhetsutfordringer iutenrikspolitikken – Terrorisme, organisert kriminalitet,piratvirksomhet og sikkerhetsutfordringer i det digitale rom.


etter sikkerhetsloven og sikring av objekter klas-sifisert som skjermingsverdige i henhold til sik-kerhetsloven. Et stort antall av de skjermingsver-dige objektene er komponenter i digital infra-struktur.

Regjeringen har i Forsvarets langtidsplan for2012 lagt opp til at NSM skal videreutvikles somdet sentrale direktoratet for beskyttelse av infor-masjon og infrastruktur av betydning for samfunn-skritiske og andre viktige samfunnsfunksjoner.7

Dette har materialisert seg gjennom en jevnøkning av tildelingen til NSM i inneværende lang-tidsperiode, styrking av NorCERT-funksjonen i2013 og en styrking av rådgivningsfunksjonen forIKT-sikkerhet i 2015.

Direktoratet for samfunnssikkerhet og beredskap(DSB) har et samordningsansvar for samfunns-sikkerhet og beredskap på vegne av JD som ogsåomfatter IKT-området. DSBs arbeid med IKT-sik-kerhetsspørsmål omfatter forebygging, tilsiktedeog ikke-tilsiktede hendelser og gjenoppretting.DSB fører tilsyn med departementenes styrings-system for IKT-sikkerhet, med hjemmel i kgl.res20. juni 2012 på vegne av JD. DSB gjennomføreret systemrettet tilsyn og går ikke i dybden på tek-niske løsninger. DSB gjennomfører halvårligemøter med NSM for å samordne tilsynsvirksom-heten.

DSB har ansvar for å gjennomføre nasjonaleøvelser på tvers av sektorer, der det blant annetøves på IKT-scenarioer. DSB understøtter JDssamordningsrolle innen samfunnssikkerhet ogberedskap og legger til rette for tverrsektoriellearenaer for samarbeid, blant annet gjennom arbei-det med Nasjonalt risikobilde (NRB) og Kritiskinfrastruktur og kritiske samfunnsfunksjoner(KIKS). Ved større hendelser og krisesituasjonerhar DSB ansvar for å sammenstille tverrsektoriellinformasjon fra lokalt, regionalt og direktoratsnivåfor å bidra til en felles situasjonsforståelse for kri-serådet og JD.

Direktoratet for forvaltning og IKT (Difi).KMDs ansvar for å arbeide for en styrket og merhelhetlig tilnærming til informasjonssikkerhet ioffentlig forvaltning er delegert til Difi. I tråd medhandlingsplanen til Nasjonal strategi for informa-sjonssikkerhet er det bygd opp en seksjon forinformasjonssikkerhet i Difi som skal utgjøre etkompetansemiljø for informasjonssikkerhet istatsforvaltningen. Difi har også ansvar for veiled-ning av internkontroll for informasjonssikkerhetetter eForvaltningsforskriften for offentlig sektor.I tillegg er Difi ansvarlig for flere felleskomponen-

ter i offentlig sektor og for informasjonssikkerhe-ten i disse løsningene. Dette gjelder blant annetutvikling og forvaltning av ID-porten og digitalpostkasse.

Datatilsynet er en faglig uavhengig forvalt-ningsmyndighet i medhold av personopplysnings-loven. Personopplysningsloven med forskrift er entverrsektoriell lov og spesielt utformet med tankepå digital bruk av personopplysninger. Tilsynetforvalter derfor også myndighet etter flere andrelover, blant annet helseregisterloven og politi-registerloven. Tilsynet kontrollerer at personopp-lysninger blir behandlet i samsvar med lov og for-skrift, herunder at det etableres nødvendig og til-strekkelig informasjonssikkerhet ved innsamling,bruk, lagring og utlevering av opplysninger. Kon-trollen utøves dels gjennom forhåndskontroll,konsesjon, og dels gjennom etterkontroll i form avtilsyn.

Personvernnemnda er klageorgan for Datatil-synets beslutninger. Personvernmyndighetene eradministrativt underlagt KMD, mens ansvaret forpersonopplysningsloven ligger i JD. Datatilsynethar også en ombudsrolle overfor befolkningen oggir bistand i form av råd og veiledning. Viderebistår Datatilsynet bransjeorganisasjoner med rådog utarbeidelse av normer for å sikre personopp-lysninger i virksomheter.

Fylkesmannen har i henhold til egen instruksansvar for å samordne, holde oversikt over oginformere om samfunnssikkerhet og beredskap ifylket. Det innebærer blant annet en plikt til å haoversikt over risiko og sårbarhet i fylket. I den for-bindelse kan Fylkesmannen innhente nødvendigeopplysninger fra alle statlige, fylkeskommunale ogkommunale myndigheter i fylket. Fylkesmanneninnhenter også nødvendig informasjon fra øvrigerelevante virksomheter med ansvar for kritiskesamfunnsfunksjoner i fylket. I tillegg skal Fylkes-mannen ha oversikt over og samordne myndighe-tenes krav og forventninger til kommunenes sam-funnssikkerhets- og beredskapsarbeid. Fylkes-mannen fører også tilsyn med kommunenes sam-funnssikkerhets- og beredskapsarbeid og oppføl-ging av lov om kommunal beredskapsplikt ograpporterer til DSB på området.

Kommunene har et generelt og grunnleg-gende ansvar for å ivareta befolkningens sikker-het og trygghet innenfor sitt geografiske område.Gjennom kommunal beredskapsplikt er kommu-nene blant annet pålagt et ansvar for å gjennom-føre en helhetlig risikoog sårbarhetsanalyse, her-under kartlegge, systematisere og vurdere sann-synligheten for uønskede hendelser som kan inn-treffe i kommunen, og hvordan disse kan påvirke7 Prop. 73 S (2011–2012) Et forsvar for vår tid.


kommunen. Kommunene har også et ansvar for åvære forberedt på å håndtere uønskede hendel-ser, og skal med utgangspunkt i den helhetligerisiko- og sårbarhetsanalysen utarbeide en over-ordnet beredskapsplan. Kommunens overord-nede beredskapsplan skal samordne og integrereøvrige beredskapsplaner i kommunen.

8.3 Øvrige aktører

Nedenfor listes en rekke sentrale aktører innenIKT-sikkerhet opp. Utover dette er det en rekkesektorvise responsmiljøer, interesseorganisasjo-ner og foreninger. Disse er beskrevet i de øvrigekapitlene. Det samme gjelder utdanningsinstitu-sjoner, forskningsinstitutter og forskningspro-grammer som er sentrale for utdanning innenIKT-kompetanse og forskning på IKT-relaterteproblemstillinger.

Norsk senter for informasjonssikring (NorSIS)er en uavhengig og ideell virksomhet som jobberfor å styrke informasjonssikkerheten i samfunnet.Målgruppen er små og mellomstore norske virk-somheter, herunder kommunene. NorSIS jobberaktivt i media og med å skape møteplasser. Nor-SIS tilbyr veiledning på nett, kurs og konferanser,arrangerer Nasjonal sikkerhetsmåned og driftertjenestene slettmeg.no og idtyveri.no.

Teknologirådet er et uavhengig, offentlig organsom gir råd til Stortinget og regjeringen om nyteknologi. Deres visjon er «teknologiråd for frem-tidens samfunn». Teknologirådet skal gi Stortin-get og øvrige myndigheter nyskapende ogbegrunnede innspill om ny teknologi og settemuligheter og utfordringer ved ny teknologi pådagsordenen.

Næringslivets Sikkerhetsråd (NSR) er en med-lemsforening uten profittformål, og representerergjennom sine stifterorganisasjoner og medlem-mer bredden i norsk næringsliv. NSR er en privatorganisasjon som ikke er tillagt myndighetsutø-velse, men deltar i forebyggende og utviklendearbeid og har formalisert samarbeid med enrekke myndigheter. NSR fungerer som en samar-beidsarena og et knutepunkt mellom næringslivetog myndighetene, og arbeider i hovedsak medforebyggende rådgivning og veiledning overforbedrifter i norsk næringsliv. Et overordnet mål forNSR er å styrke bedriftenes egen evne til å ivaretaIKT-sikkerhet helhetlig og systematisk innenforegen organisasjon, og søkelyset er rettet mot degrunnleggende tiltakene virksomhetene selv kaniverksette for å beskytte seg, heller enn på trusse-laktørene og risikobildet. NSR gir både generelle

og spesielle råd til næringslivet om alle former forIKT-hendelser som kan ramme medlemsvirksom-hetene, og veileder næringslivet generelt og med-lemmene spesielt om hvor de bør henvende seghvis de mistenker at de er utsatt for IKT-kriminali-tet.

Næringslivets sikkerhetsorganisasjon (NSO) eren privat organisasjon med myndighetsoppgaverinnen industrivern. NSO rapporterer til Direktora-tet for samfunnssikkerhet og beredskap (DSB) ogNæringslivets Hovedorganisasjon (NHO). Deresmyndighetsoppdrag innebærer å følge opp – her-under føre tilsyn med – cirka 1 100 virksomhetersom har plikt til å etablere industrivern i henholdtil forskrift om industrivern. Industrivern erberedskap innen sikkerhet/safety. NSO har ikkemyndighetsoppgaver innen sikring/security.

KS er kommunesektorens interesse- og arbeids-giverorganisasjon i Norge. Alle landets 428 kom-muner og 19 fylkeskommuner er medlemmer iKS, i tillegg til mer enn 500 bedrifter. KommIT eret program i KS som skal høyne forståelsen av ogkunnskapen om IKT som virkemiddel for effekti-visering og kvalitetsheving i kommunal forvalt-ning og tjenesteproduksjon.

Den Norske Dataforening (DND) er Norgesstørste IT-faglige forening, og er et åpent, frittstå-ende forum av og for IT-profesjonelle og avan-serte IT-brukere. Dataforeningen skal være etsamlende fagmiljø for utøvere og brukere av IT-fagene. En av oppgavene deres er å belyse pro-blemstillinger vedrørende informasjonsteknologiog databehandling overfor norske offentligemyndigheter, andre faglige sammenslutninger ogallmenheten, blant annet for å bidra til å heve detgenerelle kunnskapsnivået om IT.

Norsk Informasjonssikkerhetsforum (ISF) er enideell organisasjon som arbeider med informa-sjonssikkerhet for medlemmene. Medlemmene erorganisasjoner innen offentlig forvaltning og pri-vat næringsliv, og de har uttrykt et ønske om åetablere og opprettholde et høyt sikkerhetsnivå.ISF jobber for å være det foretrukne samlendefagmiljøet for informasjonssikkerhet og for å hevesikkerhetsnivået hos medlemsvirksomhetene og idet norske samfunnet generelt.

IKT-Norge er IKT-næringens interesseorgani-sasjon og har 440 medlemsbedrifter, som repre-senterer en omsetning på 120 milliarder kroner.IKT-Norge er opptatt av at myndigheter, nærings-liv og brukere skal ha tillit til IKT-produkter og -systemer. Deres interesser innen sikkerhet omfat-ter alt fra enkle problemstillinger som virus ogtrojanere til sårbarhet i digital samfunnskritisk


infrastruktur og problemstillinger rundt person-vern.

Riksrevisjonen skal bidra til at fellesskapetsmidler og verdier blir brukt og forvaltet slik Stor-tinget har bestemt. Dette gjør de gjennom revi-sjon, kontroll og veiledning. Bakgrunnen er at dehar myndighet til å kontrollere at arbeidet medsamfunnssikkerhet som politikerne har bestemtblir fulgt opp. De rapporterer til Stortinget, og deer dermed et viktig og sterkt virkemiddel for åfølge opp politiske vedtak, også på samfunnssik-kerhetsområdet.

8.4 Sentrale koordineringsarenaer for IKT-sikkerhet

Kriserådet er det overordnede administrativekoordineringsorganet som ivaretar og sikrer stra-tegisk koordinering. Kriserådet har fem fastemedlemmer; regjeringsråden ved Statsmi-nisterens kontor, utenriksråden i Utenriksdepar-tementet og departementsrådene i Justis- ogberedskapsdepartementet, Helse- og omsorgsde-partementet og Forsvarsdepartementet. Rådetsuppleres med departementsråder fra andredepartementer og ledere fra berørte etater avhen-gig av krisens karakter. Kriserådet gjennomførerfaste møter og møter ved behov, der overordnedeberedskaps- og krisehåndteringsutfordringerdrøftes for å sikre god samordning av departe-mentenes beredskaps- og krisehåndteringsarbeid.

Regjeringens sikkerhetsutvalg (RSU) er et poli-tisk utvalg som ledes av statsministeren og erregjeringens organ for å diskutere og ta beslutnin-ger i viktige graderte sikkerhets- og beredskaps-spørsmål. Det avholdes møter i RSU minst éngang hver måned. Sikkerhetsutvalget har fastemedlemmer. I tillegg møter statsråder fra berørtedepartementer og representanter fra ulike rele-vante etater, avhengig av hvilke saker sombehandles. I juli 2015 ble det besluttet å oppretteet sekretariat for RSU. Sekretariatet skal ledes aven fagdirektør som er ansatt på Statsministerenskontor. Håndtering av IKT-angrep med nasjonalekonsekvenser vil være en typisk hendelse somhåndteres i RSU.

Departementenes samordningsråd for sam-funnssikkerhet ble etablert i 2007 og er et forumfor informasjons- og erfaringsutveksling mellomdepartementene i arbeidet med samfunnssikker-het og beredskap, redningstjeneste og sivilt–mili-tært samarbeid. Rådet består av representanterfor alle departementene og Statsministerens kon-tor. Justis- og beredskapsdepartementet har en til-

retteleggende funksjon for rådet, og alle departe-mentene har ansvar for å ta initiativ til å bringeaktuelle og relevante problemstillinger til drøf-ting. Samordningsrådet utgjør en felles arena idepartementsfellesskapet for å drøfte overord-nede retningslinjer og rammer for sikkerhets- ogberedskapsarbeidet.8

Ifølge kgl.res. fra 2012 skal Justis- og bered-skapsdepartementet legge til rette for systemerfor en robust, helhetlig og koordinert kommuni-kasjon mellom myndighetene og for at dette blirivaretatt blant annet gjennom koordinering avinformasjon i samordningsrådet.

Koordinerings- og rådgivningsutvalget (KRU)er et samarbeidsorgan for spørsmål som gjelderetterretnings- og sikkerhetstjenestene, og et råd-givningsutvalg for de berørte statsrådene. Utval-gets oppgaver er å ivareta overordnet koordine-ring av de tre tjenestenes arbeidsoppgaver, priori-teringer og mål og å analysere og utrede fellesproblemstillinger knyttet til trusselbildet. Delta-gere i KRU er én representant fra Forsvarsdepar-tementet, én representant fra Justis- og bered-skapsdepartementet og én representant fra Uten-riksdepartementet, alle på ekspedisjonssjefnivåeller høyere, sjefen for Etterretningstjenesten, sje-fen for Nasjonal sikkerhetsmyndighet og sjefenfor Politiets sikkerhetstjeneste.

Nettverk for informasjonssikkerhet er en møte-plass for departementene for å drøfte sentraletema innen informasjonssikkerhet og er et verk-tøy for JDs samordningsansvar for forebyggendeIKT-sikkerhet i sivil sektor. Nettverket ble eta-blert høsten 2015 og erstatter det tidligere Koordi-neringsutvalget for informasjonssikkerhet (KIS).Sentrale oppgaver omfatter blant annet å følge oppimplementeringen av Nasjonal strategi for infor-masjonssikkerhet og drøfte behovet for å iverk-sette tverrsektorielle tiltak.

Sentralt totalforsvarsforum er det forumet påetatsnivå som i størst grad representerer breddeni totalforsvaret. Forumet består av de mest sen-trale sivile og militære etatene og direktorateneinnenfor samarbeidet i totalforsvaret og skal bidratil gjensidig orientering, samordning og overord-net koordinering av alle aktuelle totalforsvarsrela-terte problemstillinger og spørsmål knyttet tilsivilt–militært samarbeid, beredskap og sam-funnssikkerhet. Rådet ledes av Forsvaret og DSBpå rundgang.9

8 St.meld. nr. 22 (2007–2008) Samfunnssikkerhet – samvirkeog samordning.

9 Prop. 73 S (2011–2012) Et forsvar for vår tid.


Cyberkoordineringsgruppen (CKG) er en koor-dineringsgruppe for EOS-tjenestene. NSM lederCKG, og formålet er å sikre at EOS-tjenestene erkoordinert i håndteringen av alvorlige IKT-hen-delser. Det er utarbeidet en egen instruks forCKG-samarbeidet, der det blant annet går frem atCKG skal skaffe tidsriktig informasjon og beslut-ningsgrunnlag til den operative og strategiskeledelsen om trusler og sårbarheter i cyberdome-net. For dette formålet har man informasjonsut-veksling med sektororganer, herunder Forsvaretog politiet. Videre står det at CKG ved alvorligecyberhendelser skal koordinere varsling, rådgiv-ning og informasjonsutveksling innen sine full-makter. I den enkelte sak skal én av tjenestenevære koordineringsansvarlig, og denne skal ledearbeidet og ta initiativ til å koordinere ogavstemme tiltak mellom EOS-tjenestene, her-under det som gjelder informasjonsdeling og sam-handling med andre aktører i den enkelte saken.

Skate (Styring og koordinering av tjenester i e-forvaltning) er et strategisk samarbeidsråd sam-mensatt av toppledere på virksomhetsnivå. Skateer et rådgivende organ som skal bidra til at digita-liseringen av offentlig sektor blir samordnet oggir gevinster for innbyggerne, næringslivet og for-valtningen. Skate består blant annet av felleskom-ponentforvaltere, kommunesektoren, ved KS/

KommIT, og et utvalg av statlige tjenesteeiere.Rådet ledes av Difi.

NorCERT Sikkerhetsforum er et forum forNSM NorCERT-medlemmer og -partnere, derNSM NorCERT presenterer hva man har arbeidetmed (koordinert håndtering av, bistått med, analy-sert med videre) siste halvår. I tillegg er NasjonaltCybersikkerhetssenter (NCSS), Operativt forumog NCSS myndighetsforum etablert. En nærmereomtale av disse finnes i kapittel 21 «Avdekke oghåndtere digitale angrep».

Kommunal Informasjonssikkerhet (KINS) eren idealistisk forening basert på medlemskap ogdugnadsarbeid for kommuner og fylkeskommu-ner. KINS’ rolle er å stimulere til bedre informa-sjonssikkerhet. KINS har ikke formelt ansvar forIKT-sikkerheten i kommunene, men gir informa-sjon om hva som kreves av kommuner på informa-sjonssikkerhetsområdet. KINS er gjennom sinmedlemsorganisering i direkte kontakt med med-lemskommunene og er opptatt av hvordan medar-beiderne i kommuneorganisasjonen håndterersikkerhet.

I tillegg til disse er det etablert en rekke koor-dineringsgrupper i de enkelte sektorene. Dissearenaene er beskrevet i del III «Sårbarheter i kri-tiske samfunnsfunksjoner» og del IV «Tverrsekto-rielle forhold».


Kapittel 9

IKT-sikkerhetsarbeid i andre land

Utfordringene ved samfunnets stadig større gradav digitalisering er grenseoverskridende ogmange. Nasjonale myndigheter i de fleste land deter naturlig å sammenligne Norge med, anerkjen-ner at den digitale utviklingen fører med seg nær-mest grenseløse positive muligheter, så vel somen rekke sikkerhetsutfordringer som må håndte-res.

Det har i tråd med utvalgets mandat værtnaturlig å se på hvordan andre land arbeider pånasjonalt nivå for å møte disse utfordringene. Deter derfor foretatt en gjennomgang av offentligedokumenter og nasjonale strategier i følgendeland: USA, Canada, Tyskland, Nederland, Storbri-tannia, Sverige, Finland og Estland. I tillegg er lan-denes myndigheter spurt om å komme med inn-spill.

Det er identifisert en rekke forhold ved andrelands arbeid med informasjonssikkerhet sompotensielt kan ha overføringsverdi for norske for-hold. Noen momenter er identifisert i alle eller defleste av landene. For eksempel legger alle storvekt på en helhetlig tilnærming, selv om de orga-nisatoriske løsningene for å ivareta denne er noeulike. Samtlige land har også ett eller flere nasjo-nale responsmiljøer for håndtering av IKT-hendel-ser. Videre har flere av landene prioritert å inklu-dere offentlige og private virksomheter, sikker-hetsindustrien, akademia, organisasjoner ogøvrige institusjoner både i utviklingen av cybersik-kerhetsstrategier og i gjennomføringen av tiltak.FoU-innsatsen er i alle landene fremhevet som etsamarbeidsprosjekt mellom myndigheter, akade-miske miljøer og privat sektor. Hvor det er overfø-ringsverdi til Norge, er omtalt i relevante kapitler iNOU-en. Utvalgets omtale av IKT-sikkerhets-arbeid er i all hovedsak basert på rapporten«Andre lands arbeid med digitale sårbarheter»(BDO), se elektronisk vedlegg.

9.1 Generelle betraktninger

Digitale sårbarheter, som en del av den digitaleutviklingen, har vært gjenstand for diskusjon imange år. Det er likevel først de siste tiårenenasjonale myndigheter har løftet dette høyt på denpolitiske agendaen. Siden 2010 har samtlige av delandene som er omtalt i dette kapittelet, utvikletegne nasjonale strategier for informasjonssikker-het, IKT-sikkerhet eller cybersikkerhet. De flesteav landene har en nasjonal sikkerhetsstrategi somcybersikkerhetsstrategien blir forankret i.

De siste fem årene har myndighetene i flere avdisse landene vært svært tydelige i det offentligerom på at dette er et høyt prioritert område. Ame-rikanske myndigheter har uttalt at cybertrusselener den største nasjonale sikkerhetsutfordringen. IStorbritannia er cybertrusselen kategorisert somen «tier 1 threat». I 2011 gikk UK Cabinet Office uti sin rapport The cost of cybercrime1 og slo fast atnasjonen tapte 27 milliarder pund årlig som følgeav manglende cybersikkerhet.

De digitale utfordringene er grenseoverskri-dende. I 2013 lanserte Den europeiske union(EU) en egen strategi – EU Cyber Security Stra-tegy. Strategien angir prioriteringer for EUs inter-nasjonale politikk for det digitale rom, grunnleg-gende rettigheter som også skal gjelde i det digi-tale samfunnet, og et fritt og åpent Internett.Videre har EU-kommisjonen lagt frem et forslagtil europaparlaments- og rådsdirektiv om tiltak forå sikre et felles høyt nivå for nettverks- og infor-masjonssikkerhet i hele unionen, Network andinformation security directive.

Med det formål å identifisere relevante forholdsom kan ha overføringsverdi til norske forhold, erdet sett til andre lands gjennomførte og pågåendearbeid for å håndtere digitale utfordringer. Områ-der som myndighetenes organisering og ansvar,nasjonale strategier, hendelseshåndtering, FoUog regulering er omhandlet. I tillegg er det gitt engenerell og overordnet beskrivelse av landenes

1 Detica, Cabinet Office (2011): The cost of cyber crime.


arbeid med personvern. Det presiseres at person-vern er et sentralt hensyn i informasjonssikker-hetssammenheng.

9.2 Nasjonale myndigheters organisering og ansvar

Samtlige land ser på cybertrusselen som en alvor-lig sikkerhetsutfordring, og den økende risikoer-kjennelsen har ført til at arbeid med cybersikker-het er plassert høyt på den politiske agendaen ialle de utvalgte landene.

Alle landene legger vekt på å organisere cyber-sikkerhetsarbeidet på en måte som sikrer at detforebyggende sikkerhetsarbeidet blir sett i sam-menheng med kriminalitetsbekjempelse, bered-skap og hendelseshåndtering. Samtidig er det engjennomgående økende bevissthet om at det ernødvendig å inkludere alle relevante aktører icybersikkerhetsarbeidet. Dette gjenspeiles blantannet ved at myndighetene i USA har etablert ensåkalt «whole of government»-tilnærming tilcybersikkerhet (samme tilnærming som i kontra-terrorarbeidet). I praksis betyr dette at alle offent-lige organer samvirker på tvers av ansvarslinjerfor å nå et felles mål om å redusere sikkerhetsrisi-koen. En slik tilnærming stiller strenge krav tiletablering av funksjonelle samarbeidsstrukturerder alle relevante aktører deltar. Flere land erkjen-ner at myndighetsorganenes mandater og kompe-tanse ofte er overlappende, og at manglende sam-arbeid og samvirke kan føre til at det oppstår«blindsoner».

Behovet for en helhetlig tilnærming har imange tilfeller ført til omfattende organisatoriskeendringer. I Nederland medførte dette at Justis-og sikkerhetsdepartementet ble utnevnt somoverordnet ansvarlig for informasjonssikkerhet.Med denne organisatoriske strukturen samord-nes sikkerhets- og etterretningstjenesten innen-lands og kontra-terrorarbeidet med cybersikker-hetsarbeidet. Som en del av NCTV ble NationalCyber Security Centre (NCSC) etablert i 2012. Sen-teret fungerer som bindeledd mellom de ulikeansvarlige organene innen cybersikkerhet, ogskal dermed sikre koordinering av de ulike aktivi-tetene.

Alle de åtte landene uttrykker at de har en hel-hetlig tilnærming til cybersikkerhetsarbeidet sitt,men konkretiseringen av helhetstilnærmingenvarierer noe. De fleste av landene satser på samar-beid mellom offentlige og private virksomheter

(«public–private cooperation»). Denne samar-beidsformen springer ut av et behov for informa-sjonsdeling både for å forebygge uønskede hen-delser og for å begrense skadene når slike hendel-ser likevel har inntruffet. Særlig Nederland, USAog Storbritannia har fokusert på å forbedre cyber-sikkerheten gjennom å etablere strukturer forinformasjonsdeling og gjennom samarbeid mel-lom offentlig og privat sektor. The National Cyber-security and Communications Integration Center(NCCIC) i USA har som oppdrag å sikre at rele-vant informasjon knyttet til risikobildet, hendelserog analyser blir beskyttet og delt. NCCIC delerinformasjon mellom offentlige og private virksom-heter, og er også et 24/7-senter som utgjør et sam-lepunkt for føderale myndigheter, etterretnings-tjenestene og politimyndighetene.

I de tre landene som er nevnt ovenfor, er detogså skapt markedsincentiver for innovasjon ogutvikling av sikkerhetsløsninger, samt lagt grunn-lag for implementering av overordnede standar-der for cybersikkerhet. Disse landene inkludereroffentlige og private virksomheter, sikkerhetsin-dustrien, akademia, organisasjoner og øvrigeinstitusjoner i utviklingen av sine cybersikkerhets-strategier og gjennomføringen av tiltak.

De offentlige budsjettene til organer medansvar for cybersikkerhet har økt betydelig desenere årene. Dette reflekterer en økende bekym-ring for IKT-risikobildet og en større vilje til ådemme opp for denne utviklingen. Landene satserpå oppbygging av både offensive og defensivekapasiteter knyttet til cybersikkerhet. Det er i dagingen land som har overordnede nasjonale indika-torer for måling av IKT-sikkerhet. Det er derforvanskelig, om ikke umulig, å fastslå om gittenasjonale strategier, budsjettsatsinger og øvrigevirkemidler faktisk gir en tilfredsstillende sikker-hets- og beredskapsmessig effekt eller ikke.

Det er et gjennomgående trekk at justis-/innenriksdepartementene og forsvarsdeparte-mentene har sentrale roller i alle de åtte aktuellelandene. Videre er det tydelig at alle legger stadigstørre vekt på de sikkerhetspolitiske aspekteneved cybersikkerhetsarbeidet. Som et resultatutvikler flere land et eget «cyberdiplomati» somen del av utenrikstjenesten. Her er USA et fore-gangsland.

Canada, Storbritannia og Tyskland har orga-ner med mandater der formålet er å sikre kritiskinfrastruktur og kritiske samfunnsfunksjoner, uav-hengig av om dette er sivilt eller militært.


9.3 Nasjonale strategier

OECDs Guidelines for the security of informationsystems and networks: Towards a culture ofsecurity2 var på mange måter startskuddet forutarbeidelsen av nasjonale strategier for informa-sjonssikkerhet3. De fleste sammenlignbare landhar som følge av den digitale utviklingen og utvik-lingen i risikobildet i flere omganger revidert sinenasjonale strategier på dette området. I de senereårene er blant annet ENISAs Good practice guideon national cyber security strategies brukt somutgangspunkt i flere lands strategier.4

Informasjonssikkerhet prioriteres høyt på denpolitiske agendaen og fremheves som en nødven-dig forutsetning for å opprettholde samfunnetsfunksjonsdyktighet, nasjonale sikkerhet og øko-nomiske vekst. Det er en økende erkjennelse av atmanglende risikohåndtering knyttet til digitalesårbarheter kan true vitale nasjonale interesser ogføre med seg enorme økonomiske tap. Dette harført til økt oppmerksomhet rundt organiseringenav informasjonssikkerhetsarbeidet, samt etable-ring av hensiktsmessige systemer for risikohånd-tering på nasjonalt nivå. Begge aspektene harbidratt til å øke graden av nødvendig samordningog koordinering, samtidig som de har utfordret detradisjonelle ansvarslinjene og organisasjons-strukturene i både offentlig og privat sektor.Eksempelvis har USA gjennomført en omfattendeevaluering av sitt strategiske arbeid, for at det skalbli mest mulig målrettet.

Det er et gjennomgående trekk ved landene atde har en helhetlig tilnærming til informasjonssik-kerhet i sine nasjonale strategier. Strategieneomfatter tiltak rettet mot både enkeltindivider,offentlige og private virksomheters egenbeskyt-telse og det samlede statlige virkemiddelappara-tet. Samtidig blir behovet for operative og strate-giske samarbeidsmekanismer på tvers av myndig-hetsorganer og mellom alle relevante aktører ioffentlig og privat sektor fremholdt som helt nød-vendig for å redusere digitale sårbarheter og IKT-kriminalitet på en effektiv og målrettet måte.Dette gjelder både nasjonalt og internasjonalt.

Storbritannia fremhever behovet for regionalesamarbeids- og informasjonsdelingsmekanismer.Flere land, deriblant USA og Tyskland, fremheversærlig behovet for økt innovasjon knyttet til sik-kerhetsløsninger som følge av stadig strengerekrav til effektivitet og mobilitet.

Nedenfor følger en oversikt over hvilketemaer som er felles for de åtte landenes nasjonalestrategier:– styring og ledelse– samarbeids- og informasjonsdelingsmekanis-

mer– hendelseshåndtering– IKT-kriminalitet– sikkerhetskultur og bevisstgjøring– kunnskapsutvikling og innovasjon– sikkerhetsutdanning– rammeverk og standarder– menneskerettigheter og personvern

9.4 Hendelseshåndtering

Alle de åtte landene har ett eller flere nasjonaleresponsmiljøer for håndtering av IKT-hendelser.Samtlige har også nasjonale CERT-er (ComputerEmergency Response Team), men organiseringener noe ulik, både når det gjelder ansvarsområderog plasseringen i forhold til myndighetsstruktu-rene. Landene poengterer i sine nasjonale strate-gier at CERT-arbeidet er en avgjørende del av denstrategiske tilnærmingen til håndtering av IKT-hendelser på nasjonalt nivå. I tillegg fremheverflere at hendelseshåndtering og IKT-sikkerhet eret virksomhetsansvar. Flere land har publisert pla-ner som beskriver hvordan IKT-hendelser håndte-res nasjonalt. Når det gjelder å håndtere IKT-kri-minalitet, er det flere ulike måter å organiserepolisiære ressurser på. Én fremgangsmåte ervære å etablere et IKT-kriminalitetssenter i eneller annen form.

Nederland har valgt å samle hovedtyngden avsin IKT-sikkerhetsekspertise og hendelseshånd-tering på nasjonalt nivå i et nasjonalt cybersikker-hetssenter (NCSC). Dette inkluderer både etnasjonalt rapporteringspunkt, CERT-funksjonenfra den tidligere GOVCERT-NL, koordineringsan-svar ved IKT-hendelser, monitoring og informa-sjonsdeling. NCSC opererer i tillegg et offentligvarslingssystem rettet mot mindre virksomheterog befolkningen for øvrig.

I 2011 etablerte også Tyskland sitt NationalesCyber-Abwehrzentrum (nasjonalt cyber-respons-senter). I senteret samarbeider Bundesamt für Sic-herheit in der Informationstechnik (BSI) blant

2 OECD (2002): Guidelines for the Security of Information Sys-tems and Networks: Towards a Culture of Security.

3 Benevnelsen informasjonssikkerhet brukes her synonymtmed cybersikkerhet. På engelsk benevnes de nasjonalestrategiene for informasjonssikkerhet National cybersecurity strategy.

4 ENISA (2012): National Cyber Security Strategies - Settingthe course for national efforts to strengthen security incyberspace.


annet med føderale politimyndigheter, etterret-ningstjenesten og forsvaret. Formålet med sente-ret er å optimalisere samarbeidet mellom de stat-lige myndighetene. Ved BSI finnes også funksjo-nene CERT-Bund og Nationales IT-Lagezentrum.

USA har en noe annerledes tilnærming. Her erde nasjonale kapasitetene på IKT-sikkerhet spredtpå flere aktører, herunder US-CERT, en egen ICS-CERT (CERT for SCADA-systemer), en nasjonaltask force for etterforskning i det digitale rom(NCIJTF) i regi av FBI, US Cyber Command underForsvarsdepartementet, Intelligence Community-Incident Response Center (IC-IRC), NationalSecurity Agency / Central Security Services ThreatOperations Center (NTOC), DoD Defense CyberCrime Center (DC3) og det nylig etablerte CyberThreat Intelligence Integration Center (CTIIC).Samtidig er ambisjonen at IKT-hendelseshåndte-ring skal være en samlet innsats fra disse aktø-rene, koordinert gjennom National Cyber Securityand Communications Integration Center (NCCIC).NCCIC skal blant annet ha et oppdatert situa-sjonsbilde, drive IKT-hendelseshåndtering og sty-ring og være et nasjonalt knutepunkt for føderalemyndigheter, etterretningssamfunnet og poli-timyndighetene. US-CERT og ICS-CERT er enintegrert del av NCCIC. Department of HomelandSecurity (DHS) har ansvaret for National CyberIncident Response Plan (NCIRP).

De ulike organene i den amerikanske satsin-gen på IKT-sikkerhet utfyller det flersidige bildet iet stort land med en kompleks organisering.Mens DHS, gjennom National Cyber Security andCommunications Integration Center (NCCIC), pro-aktivt skal håndtere digital risiko og sørge forinformasjonsdeling om digitale sårbarheter, harThe National Cyber Investigative Joint Task Force(NCIJTF), som består av 19 etterretningsbyråerog rettshåndhevende myndigheter, som mål åtrygge Internett gjennom aktivt å jakte på trussel-aktører.

For IKT-hendelseshåndtering i Storbritanniahar man på nasjonalt nivå delt ansvaret mellomGovCERT.uk og CERT-UK. Sistnevnte ble grunn-lagt i 2014, og var en viktig satsing som oppfølgingav den nasjonale cybersikkerhetsstrategien.CERT-UK fokuserer på å ha et oppdatert situa-sjonsbilde, hendelseshåndtering på nasjonalt nivå,samt å støtte virksomheter med samfunnskritiskinfrastruktur. GovCertUK har på sin side ansvaretfor å koordinere hendelseshåndtering og tiltak formyndighetsorganer. Den nasjonale håndteringenav alvorlig IKT-kriminalitet koordineres av Natio-nal Cyber Crime Unit (NCCU) ved National CrimeAgency (NCA).

I juni 2014 lanserte britiske myndigheter sat-singen «Cyber Essentials», en sertifiseringsord-ning som støttes av industrien, og som skal stimu-lere til utbredt bruk av grunnleggende sikker-hetskontroller for å beskytte organisasjoner motmindre avanserte IKT-hendelser. Sertifiseringenkommer med et merke som benyttes av bedriftertil å demonstrere sitt sikkerhetsnivå til kunder oginvestorer, og som forsikringsselskaper kan ta ibetraktning når de vurderer IKT-sikkerhetsnivåeti forbindelse med at de beregner forsikringspre-mie til bedrifter. Som et annet initiativ har TheCouncil for Registered Ethical Security Testers(CREST) nylig innført en godkjenningsordningfor selskaper som jobber med IKT-sikkerhet iStorbritannia. Ordningen er godkjent av Govern-ment Communications Headquarters (GCHQ) ogCentre for the Protection of National Infrastru-cture (CPNI) og fokuserer på aktuelle standarderfor hendelseshåndtering justert til å passe allesektorer og industrier.

I Sverige er CERT-SE tillagt Myndigheten församhällsskydd och beredskap (MSB), som på opp-drag fra regjeringen har utarbeidet Nationell han-terandeplan för allvarliga IT-incidenter. Den 1.oktober 2015 ble det etablert et nasjonalt IKT-kri-minalitetssenter av Polismyndigheten. Senteret haren nasjonal koordineringsfunksjon og er interna-sjonalt kontaktpunkt for IKT-relatert kriminalitetog IKT-kriminalitet. I Canada er Canadian CyberIncident Response Centre (CCIRC) lagt til PublicSafety Canada (PSC). I tillegg har Royal CanadianMounted Police (RCMP) opprettet Cyber CrimeFusion Centre med ansvar for å etterforske mis-tenkelige nasjonale og internasjonale hendelser idet digitale rom. PSC har også ansvaret for CyberIncident Management Framework for Canada.

9.5 Informasjonsdeling og offentlig–privat samarbeid

Det er enighet om viktigheten av å dele informa-sjon, både i det forebyggende sikkerhetsarbeidetog ved hendelseshåndtering, i et flertall av denasjonale myndighetene. Dette understrekesbåde i de nasjonale strategiene og i annet informa-sjonsmateriell fra disse myndighetene. Mekanis-mer og plattformer for å dele informasjon er tettintegrert med hendelseshåndteringsmiljøene,herunder USAs National Cyber Security andCommunications Integration Center (NCCIC),Nederlands National Cyber Security Center(NCSC) og Storbritannias CERT-UK.


Tyskland har etablert National Cyber SecurityCouncil ved Federal Government Commissioner forInformation Technology. Målet er å styrke samar-beidet mellom den føderale regjeringen og privatsektor, samt gi anbefalinger om strategiske spørs-mål til politisk nivå. I Nederland har NCSC eta-blert National Cyber Security Council med repre-sentanter fra privat og offentlig sektor samt akade-mia. Målet er å øke forståelsen for cybersikkerhetog støtte beslutningstagere ved cyberkriser.

NCFTA5 er et samarbeid mellom myndigheter,private og akademia, tilrettelagt ved FBI og lokali-sert ved universitetet Carnegie Mellon.6 Repre-sentanter for andre lands politistyrker deltar også.Formålet er å identifisere aktører bak digitaleangrep, begrense skade og nøytralisere identifi-serte aktører. Styrende for samarbeidet er virk-somhetenes egne behov, rask deling, sektoruav-hengighet og et ugradert arbeidsmiljø på «nøytralgrunn». I motsetning til CERT-miljøene fokusererNCFTA på de kriminelles verdikjeder. De kartleg-ger nettverk av kriminelle grupperinger og delerindikasjoner på datainnbrudd seg imellom.NCFTA har også en underavdeling av FBI kaltCIRFU7, som følger den innledende etterforsknin-gen ved teknisk kompleks IKT-kriminalitet førsaken overføres til lokalt eller internasjonalt politi.Samarbeidet har oppnådd resultater særlig knyt-tet til å stoppe botnett og ta utviklere av skade-vare.

I Storbritannia er det også satt i gang et fellesi-nitiativ mellom myndighetene og industrien angå-ende informasjonsdeling og samarbeid for å møtede digitale truslene, kalt Cyber-Security Informa-tion Sharing Partnership (CISP). Allerede vedutgivelsen av den nasjonale strategien i 2011 bledet gjort klart at myndighetenes tilnærming tilcybersikkerhet er risikobasert, og at arbeidet mågjøres i partnerskap med private aktører.

President Obamas Executive order 13691 angiret rammeverk for utvidet informasjonsdeling ogpromoterer informasjonsdeling både innad i privatsektor og mellom private virksomheter og myn-dighetene i USA.

Offentlig–privat samarbeid er også løftet somet satsingsområde i flere av de andre landene. Detlegges generelt stor vekt på at deling av informa-sjon mellom offentlige og private aktører er et vik-

tig premiss for at samfunnet skal kunne møteutfordringene som følger av den digitale utviklin-gen. Nederland reviderte sin første nasjonale stra-tegi allerede to år etter utgivelsen. I 2013-versjo-nen var rundt 130 nye aktører, fra både offentligog privat sektor, involvert i forarbeidet.

9.6 Forskning og utvikling

Alle landene har over tid fokusert på og prioritertforsknings- og utviklingsarbeid i sine nasjonalestrategier. Alle legger vekt på viktigheten av FoU-området, da særlig med tanke på sårbarhetsre-duksjon, men også når det gjelder effektiv utnyt-telse av samfunnets samlede informasjonstekno-logi. I de fleste nasjonale strategiene er FoU-begrepet nært knyttet til myndighetenes ognæringslivets behov for informasjonssikkerhet.Enkelte av landene kobler også begrepet opp motbefolkningens behov for økt sikkerhetsbevissthet(og -kunnskap).

Et annet fellestrekk er at FoU-innsatsen er etsamarbeidsprosjekt mellom myndigheter, akade-miske miljøer og privat sektor. Imidlertid er selvefinansieringen av utdanningsprogrammer og lig-nende i liten grad beskrevet i strategiene. Et unn-tak er Tyskland, der Utdannings- og forskningsde-partementet tilsynelatende har finansiert enrekke større forskningsprosjekter de siste årene.

Måten å operasjonalisere FoU-begrepet på istrategiene varierer. Generelt vektlegger samt-lige av landende behovet for spesialiserte utdan-nings- og forskningsprogrammer, særlig på uni-versitetsnivå. De fleste har også iverksatt sær-skilte strategier og initiativer som skal sikre til-gang på stabil og kvalifisert arbeidskraft. USA ogStorbritannia fremhever spesielt hvordan deressikkerhets- og etterretningstjenester har et sær-skilt samarbeid med utvalgte universiteter.

Den bredeste tilnærmingen til FoU-begrepetfinner vi i Finland, Storbritannia, Nederland ogdelvis i Estland. Her vektlegger man at IKT-sik-kerhet må være en del av det generelle utdan-ningsløpet allerede fra barneskolen av.

9.7 Regulering

Gjennomgående vurderer landene det slik at delovene og reglene vi i dag har i den fysiske ver-den, også gjelder i den digitale verden. Samtidigerkjenner de at det kan være utfordrende å finnede riktige regulatoriske virkemidlene og å oppda-

5 National Cyber Forensics and Training Alliance i Pitts-burgh/Pennsylvania.

6 Lokasjonen gjør at medlemmene kan kommunisere uhin-dret ved at kommunikasjonen foregår på et sikkerhetsnivåsom ikke ekskluderer noen.

7 Cyber Initiative and Resource Fusion Unit (CIRFU).


tere lovverket slik at det blir anvendbart i det digi-tale rom.

Selv om det er variasjon i tradisjonene forrettslig regulering i de forskjellige landene, synesdet å være et fellestrekk at de benytter både sær-lovgivning og generell lovgivning. Regulering avinformasjonssikkerhet kan følge begge spor,avhengig av om det er særlige faglige hensyn sommå ivaretas, eller om et generelt lovverk dekkerbehovene for sikkerhet. Slik særregulering er foreksempel brukt for kraftsektorens informasjons-sikkerhetsarbeid. Personopplysningslover ergenerelle lover som gjelder alle offentlige og pri-vate virksomheters behandling av personopplys-ninger, med mindre de har egne lovverk. Eksem-pelvis er mandater og oppgaver til både BSI iTyskland og DHS i USA gitt i egne spesiallover.Det er foreløpig uvanlig med en overordnet cyber-sikkerhetslov. Det pågår imidlertid regelverksar-beid knyttet til dette i flere land. Eksempelvissøker Obama-administrasjonen å få vedtatt en slikoverordnet cyberlov.

Selv om det ikke er vanlig med en overordnetlov for cybersikkerhet, legges et økende antallstandarder til grunn for informasjonssikker-hetsarbeid. Mange av disse standardene er over-lappende i det at de regulerer implementeringenav et styringssystem for informasjonssikkerhet,med mål om et mer strukturert og systematiskarbeid for å bedre kvaliteten på informasjonssik-kerheten generelt og implementeringen av risi-koreduserende tiltak spesielt. Et eksempel på enslik standard er Framework for Improving CriticalInfrastructure Cybersecurity, utgitt av NationalInstitute of Standards and Technology (NIST) iUSA, og det helhetlige veiledningsmaterialet icybersikkerhet utarbeidet av britiske GCHQ,CPNI og Department for Business Innovation andSkills (BIS). Sistnevnte inkluderer blant annet enlett tilgjengelig og svært anerkjent veileder, kjentsom 10 Steps to Cyber Security.

President Obama utstedte i 2013 ordre EO13636, Improving Critical Infrastructure Cyberse-curity og Presidential Policy Directive-21 (PPD)Critical Infrastructure Security and Resilience. Idisse dokumentene ble det henstilt til føderalemyndigheter om å iverksette tiltak for å styrke sik-kerheten og robustheten i kritisk infrastrukturmot økende trusler, gjennom et oppdatert og over-ordnet nasjonalt rammeverk som anerkjennerIKTs økte rolle i å sikre fysiske verdier. Sammenangir disse to dokumentene en retning mot en«whole of community»-tilnærming til risikosty-ring, sikkerhet og robusthet. Ordren (EO 13636)

ga også National Institute of Standards and Techn-ology (NIST) i oppdrag å utvikle det ovennevnterammeverket for cybersikkerhet, basert på ensammenstilling av standarder og beste praksis ibransjen. Denne ordren henstilte også til DHS omå etablere et frivillig program for cybersikkerhet ikritisk infrastruktur, om å fungere som en føderalkoordineringsenhet for cybersikkerhetsressurserog om å støtte økt digital motstandsdyktighet vedå fremme bruk av rammeverket. Programmet skallegge til rette for en felles tilnærming til risikosty-ring, sikkerhet og robusthet.

Utarbeidelse av standarder for cybersikkerhetsynes å være styrt av markedsincentiver. Eksem-pelvis er alle myndighetsorganer i Storbritanniaforpliktet til å kreve at leverandører som skalbehandle sensitiv informasjon, overholder gittestandarder for informasjonssikkerhet. Viderepågår det en diskusjon i USA om erstatningsan-svar ved uaktsomhet knyttet til informasjonssik-kerhet, som følge av hendelser som har hatt storeøkonomiske konsekvenser. Manglende juridiskforankring av spesifikke sikkerhetskrav kan imid-lertid gjøre dette vanskelig å gjennomføre.

De fleste land har et regelverk rundt informa-sjonssikkerhet som regulerer klassifisering avskjermingsverdig informasjon, tilsvarende detnorske graderingssystemet i sikkerhetsloven. Deter imidlertid ikke fullt ut samsvar mellom antallgraderingsnivåer, noe som kan skape utfordringermed hensyn til deling av skjermingsverdig infor-masjon mellom nasjoner.

9.8 Personvern

Ivaretakelse av innbyggernes rett til beskyttelseav personlig integritet er anerkjent som et viktigpremiss for arbeidet med IKT-sikkerhet. EU- ogEØS-land er underlagt felles regelverk, som per-sonverndirektivet. Direktivet pålegger statene åinnarbeide direktivet i sine lands lovverk og å eta-blere uavhengige personvernmyndigheter, «Data-protection Authority (DPA)», for å unngå direktepolitisk styring og for å sikre en mest mulig ensar-tet praksis i landene.

Canada har et tilsvarende lovverk som EU. Deter derimot ingen enkelt lov i USA som gir enomfattende beskyttelse av personopplysninger.Personvern løftes likevel frem som et viktig pre-miss, blant annet av DHS, og nevnes i både strate-gier og annet lovverk som omhandler IKT-sikker-het.


Kapittel 10

Folkerett og internasjonalt samarbeid

Den digitale utviklingen har endret samfunnet ogden menneskelige samhandlingen vår på måtersom var utenkelige for få år siden. Det digitalerom, også omtalt som cyberdomenet eller cyber-space, har i all hovedsak bidratt til positiveendringer. Det har bidratt til økonomisk utvikling,det har etablert nye former for demokratiskekanaler, og det har bidratt til å fremme menneske-rettigheter. Samtidig åpner cyberdomenet for nyeog alvorlige trusler fra både statlige og ikke-stat-lige aktører. Området krever politikkutvikling ogoperative tiltak både nasjonalt og internasjonalt.

Vesentlig for forståelsen av det digitale rom erat reguleringene i vesentlig grad er blitt til gjen-nom avanserte kontraktsrettslige konstruksjonerinnenfor rammene av amerikansk rett og jurisdik-sjon. Dette er ikke til hinder for at andre staterprinsipielt kan utøve myndighet eller jurisdiksjon,men det at sentrale næringsaktører på dette områ-det har kontraktsfestede standardvilkår medtransnasjonale virkninger, medfører i realitetensterke begrensninger på effektiv reguleringsmyn-dighet av andre stater. Dette spørsmålet er imid-lertid blitt reist blant annet i EU og i Europarådet iforskjellige former. Blant annet er rammevilkå-rene i det europeiske indre marked og menneske-rettigheter av vesentlig betydning for en fremtidigregelutvikling.

Det digitale rom kjennetegnes derfor av uover-siktlige strukturer, kompleksitet og stor grad avprivat eierskap. Den teknologiske utviklingen gårpå mange områder langt raskere enn myndighete-nes evne til å forstå og iverksette tiltak for å fore-bygge sårbarhet, for eksempel i samfunnskritiskinfrastruktur. Samtidig har forvaltningen av Inter-nett («Internet governance») – cyberdomenetsdesidert viktigste arena – skapt dyptgripendeinternasjonal debatt og de siste to årene utvikletseg til et av vår tids store spørsmål, med betyde-lige maktpolitiske dimensjoner. Dette stiller stateroverfor helt særegne spørsmål av rettslig og sik-kerhetspolitisk karakter og krever et nært samar-beid både mellom stater og mellom privat ogoffentlig sektor, både nasjonalt og internasjonalt.

Spørsmål knyttet til det digitale rom har derfor påkort tid blitt sentrale utenrikspolitiske spørsmål.

Mange utenrikstjenester som Norge kan sam-menligne seg med, har de siste par årene styrketsine kapasiteter til å håndtere utenrikspolitiskespørsmål knyttet til cyberdomenet. I norsk UD bledet i 2013 etablert en egen stilling som cyberkoor-dinator som koordinerer utvikling og samordningav norske posisjoner i internasjonal cyberpolitikk,både internt i Utenriksdepartementet og sammenmed andre berørte departementer.

Utvalget har mottatt en grundig skriftlig rede-gjørelse om Norges folkerettslige forpliktelser fraUDs rettsavdeling vedrørende spørsmålene somer behandlet under punktene 10.1 til 10.5. jf. elek-tronisk vedlegg «Folkerettslige rammer for gren-seoverskridende informasjonsinnhenting». Forøvrig har vi hatt et møte med UDs cyberkoordina-tor som orienterte om FNs arbeid og andre sen-trale internasjonale organisasjoners arbeid medforvaltning av Internett og Domenenavn. Omtalenav EU og EØS er hovedsakelig basert på NOU2012: 2 Utenfor og innenfor. Øvrig omtale er hentetfra organisasjonenes hjemmesider og SOU2015: 23 Informations- och cybersäkerhet i Sverige.Strategi och åtgärder för säker information i staten.Oversikten er ikke uttømmende.

10.1 Folkerettslige rammer for grenseoverskridende informasjonsinnhenting

Først behandles alminnelige folkerettslige skran-ker for grenseoverskridende informasjonsinnhen-ting, herunder først og fremst suverenitetsprinsip-pet (punkt 10.2). Deretter vil vi kort omtalebegrensninger som følger av Wien-konvensjonenom diplomatisk samkvem (punkt 10.2.1).Overvåking og informasjonsinnhenting må videreskje innenfor rammene av de internasjonale men-neskerettighetene (punkt 10.3). Vi vil også omtaleEuroparådets konvensjon nr. 108 om personvern


(punkt 10.4) og Europarådets konvensjon nr. 185om datakriminalitet (punkt 10.5).

Den stadig økende digitaliseringen av samfun-net har medført nye folkerettslige problemstillin-ger. Det er enighet om at den alminnelige folke-retten i utgangspunktet kommer til anvendelse påovervåking og informasjonsinnhenting i det digi-tale rom. Samtidig kan det være usikkerhet og dis-kusjon knyttet til hvilket resultat anvendelse avgjeldende folkerett vil få i konkrete saker. Dette erderfor et område hvor folkeretten fortsatt ikkenødvendigvis alltid gir klare svar og hvor den kanvære under utvikling. Dessuten medfører den tek-nologiske utviklingen at det kan være uklart omen stat utfra de konkrete omstendighetene kanholdes ansvarlig for en bestemt handling ellerunnlatelse, dvs. om staten har jurisdiksjon.

De ulike folkerettslige spørsmålene som gjen-nomgås nedenfor er bare i begrenset grad regu-lert i traktater. Når det gjelder avgjørelser frainternasjonale domstoler, finnes det noen, men deer hovedsakelig knyttet til menneskerettslige pro-blemstillinger (punkt 10.3). Enkelte folkerettsligevurderinger kan gjøres ut fra statspraksis ogalminnelige folkerettslige prinsipper. Det fore-ligger også uttalelser fra for eksempel FNs høy-kommissær for menneskerettigheter og resolusjo-ner fra FNs generalforsamling. Selv om den folke-rettslige rettskildeverdien av disse er begrenset,får de omtale nedenfor (punkt 10.3.3), bl.a. i lys avutvalgets anmodning til Utenriksdepartementetom å gjennomgå de internasjonale fora der pro-blemstillingene blir drøftet.

Omtalen av menneskerettighetsforpliktelsergis relativt sett en bred plass i det følgende. Disseanses særlig relevant for utvalgets arbeid, og pådette området i folkeretten finnes det flere inter-nasjonale rettsavgjørelser, særlig fra Den euro-peiske menneskerettighetsdomstolen.

10.2 Alminnelige folkerettslige skranker for grenseoverskridende informasjonsinnhenting

Med unntak for visse avgrensede områder er detfå eksempler på traktatfestede forbud mot uten-landsetterretning eller spionasje i fredstid. Manmå derfor falle tilbake på alminnelige folkeretts-lige prinsipper, herunder først og fremst suvereni-tetsprinsippet, dvs. prinsippet om en stats suve-rene myndighet på sitt territorium. Av suvereni-tetsprinsippet utledes bl.a. forbudet mot innblan-

ding i en annens stats indre anliggende på detsterritorium. Den internasjonale domstolen i Haaguttalte i dom av 7. september 1927 i Lotus-saken(Frankrike mot Tyrkia):

«[T]he first and foremost restriction imposed byinternational law upon a State is that – failingthe existence of a permissive rule to the contrary– it may not exercise its power in any form in theterritory of another State».

Det er sjelden at stater har påberopt at etterret-ningsvirksomhet utgjør folkerettsbrudd. Det fore-ligger heller ingen avgjørelser fra internasjonaledomstoler eller tribunaler som konkluderer medat spionasje i seg selv utgjør en suverenitetskren-kelse. Statenes manglede vilje til å påberope segfolkerettsbrudd skyldes nok dels at stater haransett det nødvendig å ivareta sin egen mulighettil å drive etterretningsvirksomhet i utlandet. Tildette bildet hører også at statene har kunnet straf-feforfølge spioner under nasjonal jurisdiksjon,eller – dersom disse har hatt diplomatisk immuni-tet – erklære disse persona non grata, jf. Wien-konvensjonen om diplomatisk samkvem av 1961art. 9 (punkt 10.2.1).

Det legges på denne bakgrunn til grunn at detikke er internasjonal konsensus om at grense-overskridende etterretningsvirksomhet, herunderi det digitale rom, som utelukkende består i infor-masjonsinnhenting, og som ikke forårsaker noenform for fysisk skade eller tap av funksjonalitet, iseg selv utgjør en suverenitetskrenkelse. Det kanimidlertid diskuteres, ikke minst i lys av den tek-niske utviklingen, om det kan tenkes situasjonerder de negative konsekvenser for eksempel på enstats økonomi (industrispionasje) er av en slik artat handlingen vil kunne utgjøre et brudd på suve-renitetsprinsippet. Hensikten med informasjons-innhentingen, og hvordan denne er foretatt, vilogså kunne ha betydning.

Det nevnes i denne forbindelse at NATOCooperative Cyber Defence Centre of Excellence,med kontor i Tallinn, har invitert en uavhengigekspertgruppe til å utarbeide en manual omanvendelsen av folkeretten i det digitale rom ifredstid (som en oppfølgning av den såkalteTallinn-manualen 1.0 som gjelder anvendelse avfolkeretten på digital krigføring). Tallinn-manual2.0 forventes å ville kaste nærmere lys over suve-renitetsprinsippets anvendelse i en digital kon-tekst.


10.2.1 Wien-konvensjonen om diplomatisk samkvem

Wien-konvensjonen om diplomatisk samkvem av1961 fastsetter rapportering om forholdene i verts-landet som en av funksjonene for en diplomatiskstasjon, jf. artikkel 3 nr. 1 (bokstav d). Informa-sjonsinnhenting er da en forutsetning. Imidlertidfremgår det av samme bestemmelse at denne akti-viteten skal foregå ved lovlige midler («by alllawful means»). Videre fremgår det av artikkel 41nr. 1 og nr. 3 at vertslandets lover skal følges, og atambassadens lokaler ikke skal benyttes på enmåte som er i strid med stasjonens funksjoner slikde er fastsatt i konvensjonen. Dette leggerbegrensninger på denne type aktivitet.

Vertslandet kan erklære en diplomat som uøn-sket, persona non grata, dersom den anser at dissebestemmelsene ikke respekteres, jf. artikkel 9 nr. 1.

Wien-konvensjonen har også bestemmelsersom beskytter den diplomatiske stasjons lokaler,områder, arkiver og korrespondanse, og setterderved grenser for vertslandets aktivitet overforstasjonen.

10.3 Menneskerettslige skranker for informasjonsinnhenting

Overvåking og informasjonsinnhenting kan førstog fremst komme i strid med retten til respekt forprivatliv og korrespondanse, som vil bli behandletnærmere under punkt 10.3.2. nedenfor. Andremenneskerettigheter kan imidlertid også værerelevante. Overvåking av en journalist vil foreksempel kunne innebære både et inngrep i jour-nalistens privatliv og i vedkommendes ytringsfri-het.1 Forsamlingsfriheten kan også etter omsten-dighetene være berørt.

Når det gjelder grenseoverskridende informa-sjonsinnhenting, reiser det seg et tilleggsspørs-mål om internasjonale menneskerettigheter kanpåberopes mot den staten som har innhentet opp-lysningene, også av personer som befinner segutenfor statens territorium. Tilsvarende spørsmålreiser seg når en stat innhenter opplysningene påeget territorium, men virkningen i form av inn-grep i privatliv eller kommunikasjon skjer utenforstatens territorium. Dette er spørsmål om men-neskerettighetenes ekstraterritorielle anvendelseog vil bli nærmere belyst under punkt 10.3.2.

Det foreligger omfattende rettspraksis fraEMD vedrørende retten til et privatliv. Vi antar athemmelig overvåking og informasjonsinnhentingav hensyn til nasjonal sikkerhet og kriminalitets-bekjempelse er særlig relevant i tilknytning tilutvalgets mandat. Vi fokuserer derfor særlig pådette i det følgende. Av særlig interesse mht. demenneskerettslige rammene for hemmelig over-våking og informasjonsinnhenting er EMDs avvis-ningsavgjørelse Weber og Saravia mot Tyskland av29. juni 2006, hvor EMD vurderte tysk etterret-ningstjenestes myndighet til å drive såkalte strate-gisk overvåking av nasjonale sikkerhetshensyn,så vel som bruk og videreformidling av informa-sjonen oppnådd på denne måten. Det vises også tildommen Liberty m.fl. mot UK av 1. juli 2008, hvordagjeldende britisk lovgivning for overvåking avkommunikasjon ble funnet å være i strid medEMK, jf. også den senere frifinnelsesdommenKennedy mot UK av 18. mai 2010. Av fremtidigeavgjørelser nevnes Big Brother Watch m.fl. motUK (klage nr. 58170/13 av 4. september 2013),som vil kunne kaste nærmere lys over rettstilstan-den på dette området.

10.3.1 Den europeiske menneskerettskonvensjonen art. 8 og FNs konvensjon om sivile og politiske rettigheter art. 17

Den europeiske menneskerettskonvensjonen(EMK) art. 8 og FNs konvensjon om sivile og poli-tiske rettigheter (SP) art. 17 om rett til respekt forens privatliv og korrespondanse er noe ulikt for-mulert:

EMK art. 8 lyder:

1. Enhver har rett til respekt for sitt privatliv ogfamilieliv, sitt hjem og sin korrespondanse.

2. Det skal ikke skje noe inngrep av offentligmyndighet i utøvelsen av denne rettighet unn-tatt når dette er i samsvar med loven og ernødvendig i et demokratisk samfunn av hen-syn til den nasjonale sikkerhet, of fentligetrygghet eller landets økonomiske velferd, forå forebygge uorden eller kriminalitet, for åbeskytte helse eller moral, eller for å beskytteandres rettigheter og friheter.

Mens SP art. 17 fastsetter at:

1. Ingen må utsettes for vilkårlige eller ulovligeinngrep i privat- eller familieliv, hjem ellerkorrespondanse, eller ulovlige inngrep påære eller omdømme.

1 Se for eksempel EMDs avgjørelse Weber og Saravia motTyskland (klage nr. 54934/00) av 29.6.2006.


2. Enhver har rett til lovens beskyttelse mot slikeinngrep eller angrep.

Praksis fra de to konvensjonenes overvåkingsor-ganer, henholdsvis Den europeiske menneske-rettsdomstolen (EMD) og FNs menneskerettsko-mité, viser imidlertid at de nærmere vurderingste-maene etter de to bestemmelsene vil være sam-menfallende. Vi vil derfor i det følgende forholdeoss til EMK art. 8 og EMDs rettspraksis med min-dre det skulle være særlig grunn til også å nevneFN-konvensjonen.

Hva utgjør et inngrep i ens privatliv eller korrespondanse?

Det følger av EMDs rettspraksis at alle typer kor-respondanse vil være beskyttet av EMK art. 8,herunder e-post og andre typer elektronisk kom-munikasjon, video-klipp og lydopptak og GPS-overvåking. EMD har også lagt til grunn at ikkebare innsamling av innhold i kommunikasjon,men også av trafikkdata eller metadata (data omkommunikasjon) er et inngrep i privatlivet (seMalone mot UK av 2. august 1984, avsnitt 84).Videre utgjør ikke bare selve innsamlingen avkommunikasjon, men også senere lagring ogbruk av personlige opplysninger et inngrep i pri-vatlivet (se for eksempel Leander mot Sverige av26. mars 1987, avsnitt 48). Deling av informasjo-nen som utvider gruppen med kjennskap til per-sonlige opplysninger, utgjør et ytterligere selv-stendig inngrep i privatlivet (Weber og Saravia motTyskland, avsnitt 79). Til og med selve eksistensenav lovgivning som tillater hemmelige overvåkingav kommunikasjon, kan utgjøre et inngrep i privat-livet, selv om klager selv ikke har vært overvåket(se Weber og Saravia, avsnitt 78 med videre hen-visninger).

Ikke bare individer, men også selskaper er ver-net av EMK artikkel 8, jf. EMDs dom Societé ColasEst m.fl. mot Frankrike av 16. april 2002. Når detgjelder hvilken type opplysninger som er beskyt-tet av EMK art. 8, har EMD sett hen til Europarå-dets personvernskonvensjons vide definisjon avpersonopplysninger, som er «enhver opplysningsom gjelder en bestemt eller identifiserbar enkelt-person» (se for eksempel Rotaru mot Romania av4. mai 2000 avsnitt 42–43).

Retten til privatliv er ikke absolutt

Inngrep i privatlivet kan imidlertid skje dersomdet har sitt grunnlag i lov og kan anses nødvendig

i et demokratisk samfunn av hensyn til et legitimtformål, jf. EMK art. 8 nr. 2. Legitime formål er iht.bestemmelsen nasjonal sikkerhet, offentlig trygg-het, landets økonomiske velferd, for å forebyggeuorden eller kriminalitet, for å beskytte helse ellermoral, eller for å beskytte andres rettigheter ellerfriheter.

EMD fremhevet i sin første avgjørelse omhemmelig overvåking, Klass m.fl. mot Tyskland av6. september 1978, at moderne demokratiskesamfunn er truet av svært sofistikerte former forspionasje og terrorisme og derfor under særligeomstendigheter må kunne være i stand til å gjen-nomføre hemmelig overvåking av kommunika-sjon for effektivt å bekjempe slike trusler (dom-mens avsnitt 48).

Inngrep må være i samsvar med loven

For at inngrep i privatlivet eller korrespondanseskal være tillatt, må det skje i samsvar med loven.Det følger av EMDs rettspraksis at dette inne-bærer at inngrepet må ha hjemmel i nasjonal lovsom må oppfylle visse kvalitative krav. Lovgivnin-gen må være tilstrekkelig tilgjengelig, sikre forut-beregnelighet mht. under hvilke omstendigheterovervåking kan skje, og være i tråd med retts-statsprinsipper (jf. Weber og Saravia avsnitt 84).

EMD har lagt til grunn at selv om kravet omforutberegnelighet i konteksten hemmelig over-våking selvfølgelig ikke kan bety at den overvå-kede skal forhåndsinformere om overvåkingen,må lovgivningen ha klare og detaljerte regler ominnsamling av kommunikasjon for å forebygge vil-kårlighet. Det må herunder ikke åpnes opp forstor grad av diskresjonær myndighet for den utø-vende makt eller domstolene, men trekkes oppklare rammer for skjønnsutøvelsen (se bl.a.Malone avsnitt 67–68 og Weber og Saravia avsnitt93–94). I tillegg må et minimum av rettssikker-hetsgarantier være oppfylt for hemmelig overvåk-ing, jf. nærmere Weber og Saravia avsnitt 95:

«In its case-law on secret measures of surveil-lance, the Court has developed the followingminimum safeguards that should be set out instatute law in order to avoid abuses of power:the nature of the offences which may give riseto an interception order; a definition of the cate-gories of people liable to have their telephonestapped; a limit on the duration of telephone tap-ping; the procedure to be followed for exami-ning, using and storing the data obtained; theprecautions to be taken when communicatingthe data to other parties; and the circumstan-


ces in which recordings may or must be erasedor the tapes destroyed…»

EMD har videre lagt til grunn at inngrep ikkebare må være i samsvar med nasjonal lovgivning,men også internasjonale offentligrettslige reglersom staten er bundet av, herunder folkerettensregler om staters suverenitet, jf. følgende uttalelsei Weber og Saravia avsnitt 87:

«The Court reiterates that the term «law» wit-hin the meaning of the Convention refers backto national law, including rules of public inter-national law applicable in the State concerned(…). As regards allegations that a respondentState has violated international law by bre-aching the territorial sovereignty of a foreignState, the Court requires proof in the form ofconcordant inferences that the authorities ofthe respondent State have acted extraterritori-ally in a manner that is inconsistent with thesovereignty of the foreign State and thereforecontrary to international law.»

EMD kom i saken Weber og Saravia til at det ikkevar bevist at den tyske lovgivningen vedrørendestrategisk overvåking, var blitt anvendt på en påen måte som kom i strid med en fremmed statssuverenitet, jf. avsnitt 88:

«The Court observes that the impugned provi-sions of the amended G 10 Act authorise themonitoring of international wireless tele-communications, that is, telecommunicationswhich are not effected via fixed telephone linesbut, for example, via satellite or radio relaylinks, and the use of data thus obtained. Signalsemitted from foreign countries are monitoredby interception sites situated on German soiland the data collected are used in Germany. Inthe light of this, the Court finds that the appli-cants failed to provide proof in the form of con-cordant inferences that the German authori-ties, by enacting and applying strategic moni-toring measures, have acted in a manner whichinterfered with the territorial sovereignty offoreign States as protected in public internatio-nal law.»

Inngrepet må være nødvendig i et demokratisk samfunn av hensyn til et legitimt formål

Dersom man kommer til at inngrepet er i samsvarmed loven, blir spørsmålet om inngrepet også er

nødvendig i et demokratisk samfunn pga. et legi-timt hensyn (eller i FN-konvensjonens termino-logi om inngrepet er vilkårlig).

EMDs rettspraksis viser at domstolen genereltsett har akseptert at overvåking og informasjons-innsamling har tilstrebet et legitimt formål, uten ådra statenes vurdering av dette i tvil. EMDs drøf-telser har først og fremst dreid seg om overvåkin-gen og informasjonsinnhentingen kan anses «nød-vendig i et demokratisk samfunn». For at inngre-pet skal anses nødvendig i et demokratisk sam-funn må det være forholdsmessig («proportional») iforhold til det legitime formålet som forfølges.Forholdsmessighetsvurderingen er en konkretskjønnsmessig vurdering hvor en rekke faktorertas i betraktning. EMD har lagt til grunn at sta-tene har en nokså vid skjønnsmargin når de skalforeta interesseavveiningen mellom retten til etprivatliv og hensynet til å beskytte nasjonal sikker-het. Se for eksempel avvisningsavgjørelsen Weberog Saravia mot Tyskland avsnitt 106 med viderehenvisninger:

«[W]hen balancing the interest of the respon-dent State in protecting its national securitythrough secret surveillance measures againstthe seriousness of the interference with anapplicant’s right to respect for his or her privatelife, it has consistently recognized that the nati-onal authorities enjoy a fairly wide margin ofappreciation in choosing the means for achie-ving the legitimate aim of protecting nationalsecurity…».

Samtidig understreker domstolen samme sted atdette ikke betyr at statene har ubegrenset diskre-sjonær myndighet til å gjøre personer innen sinjurisdiksjon gjenstand for hemmelig overvåking,og at interesseavveiningen vil avhenge av en kon-kret vurdering av alle sakens omstendigheter:

«Nevertheless, in view of the risk that a systemof secret surveillance for the protection of nati-onal security may undermine or even destroydemocracy under the cloak of defending it, theCourt must be satisfied that there exist adequ-ate effective guarantees against abuse (…) .This assessment depends on all the circum-stances of the case such as the nature, scopeand duration of the possible measures, the gro-unds required for ordering them, the authori-ties competent to authorise, carry out andsupervise them, and the kind of remedy provi-ded by the national law...».


På grunn av at hemmelig overvåking ikke kanpåklages, da den som overvåkes ikke er kjent medden, har EMD videre lagt til grunn at overvåk-ingen må være underlagt effektiv kontroll. Kon-trollen bør normalt sett ligge til den dømmendemyndighet, i alle fall i siste instans, da domstolenegir de beste garantier for uavhengighet og upar-tiskhet (jf. Klass m. fl. mot Tysland avsnitt 55–56og Kennedy mot UK avsnitt 167). EMD har imid-lertid lagt til grunn at fravær av rettslig kontrollikke automatisk fører til brudd på EMK art 8. IKlass m.fl. fant EMD at en parlamentarisk komitémed balansert politisk sammensetning og en uav-hengig myndighetskommisjon som gjennomførteovervåkingen, var tilstrekkelig for å oppfylle kra-vet om effektiv, uavhengig og permanent kontroll.Det ble også lagt vekt på at en person som mis-tenkte at han var gjenstand for overvåking, haddeklageadgang til kommisjonen, selv om denneadgangen bare forelå under særlige omstendighe-ter (se Klass m. fl. mot Tyskland avsnitt 56).

Lagring i lang tid av opplysninger innhentetgjennom overvåking kan også anses som et ufor-holdsmessig inngrep, jf. Segerstedt-Wiberg ogandre mot Sverige av 6. juni 2006. EMD kom til atoppbevaring gjennom lang tid av opplysninger omat noen hadde planlagt et bombeattentat, ikke vari strid med EMK art. 8, mens oppbevaring avinformasjon vedr. deltakelse på et politisk møte i1967 eller at en klager hadde planlagt å utøve vol-delig motstand mot politiet under en demonstra-sjon i 1969, ble ansett for å være uforholdsmessig,tatt i betraktning opplysningenes natur og deresalder.

Som det fremkommer foran vil videreformid-ling av innhentet informasjon utgjøre et selvsten-dig inngrep i privatlivet. Selv om selve innhentin-gen av informasjonen var forholdsmessig av hen-syn til et legitimt formål, er det ikke dermed sagtat videreformidling av informasjonen vil være det,enten informasjonen deles med andre nasjonalemyndigheter eller med utenlandske myndigheter.

10.3.2 I hvilken grad kommer menneskerettighetene til anvendelse ved grenseoverskridende overvåking og informasjonsinnhenting, jf. EMK art. 1 og SP art. 2 nr. 1?

For at en stat skal kunne holdes ansvarlig forhandlinger eller unnlatelser som gir grunnlag forbrudd på menneskerettskonvensjonene, er det etvilkår at staten må kunne anses å utøve jurisdik-sjon, jf. EMK art. 1 og SP art. 2 nr. 1.

Hvor en stat overvåker noen som befinner segpå statens territorium, er det på det rene at statenkan bli holdt ansvarlig for menneskerettsstridigeinngrep i vedkommendes privatliv, selv om detteskulle skje i form av grenseoverskridende infor-masjonsinnhenting. Men hvordan stiller jurisdik-sjonsspørsmålet seg hvis informasjonsinnhentin-gen finner sted på statens territorium, men hvorden som overvåkes ikke befinner seg der (foreksempel hvor en stat henter ut opplysninger ompersoner i utlandet fra en fiberoptisk kabel sombefinner seg på statens territorium eller i statensterritorialfarvann)? Og hva hvis man fjerner segenda lengre fra statens territorium, ved at densom er gjenstand for et inngrep i sitt privatliv ikkebefinner seg på statens territorium og heller ikkestatens inngrep skjer der (for eksempel hvor enstat hacker seg inn i PCen til noen i utlandet ellerfanger opp vedkommendes e-post i et annet land)?I begge tilfeller har statens handling virkningutenfor statens territorium.

Spørsmålet om menneskerettighetenes ekstra-territorielle anvendelse var et vanskelig punktunder forhandlingene i 2013 og 2014 om FNsgeneralforsamlings resolusjon om retten til et pri-vatliv i den digitale tidsalder, jf. nærmere nedenforom denne. Iht. FNs konvensjon om sivile og poli-tiske rettigheter art. 2 nr. 1 skal statene «respek-tere de rettigheter som anerkjennes i konvensjon,og sikre dem for alle som befinner seg på densterritorium og er undergitt dens jurisdiksjon»(«within its territory and subject to its juris-diction»). USAs offisielle holdning er at SP art. 2nr. 1 inneholder to kumulative vilkår for jurisdik-sjon, som begge må være oppfylt for at konvensjo-nen skal komme til anvendelse, og at menneske-rettighetene derfor ikke kan komme til ekstrater-ritoriell anvendelse. Dette er et syn som ikke harstøtte i internasjonal rettspraksis, og som Norgesammen med en rekke andre stater ikke deler.Norge er dessuten i tillegg bundet av EMK, somhar en jurisdiksjonsbestemmelse som ikke refere-rer til territorium, bare til jurisdiksjon. Etter EMKart. 1 skal statspartene sikre enhver konvensjo-nens rettigheter og friheter «innen sitt myndig-hetsområde» («within their jurisdiction»). EMDhar gitt EMK ekstraterritoriell anvendelse i enlang rekke saker under visse vilkår. Tilsvarendehar FNs menneskerettskomité gjort med FNskonvensjon om sivile og politiske rettigheter. Atmenneskerettighetene derfor generelt sett,avhengig av de nærmere omstendighetene, kankomme til ekstraterritoriell anvendelse er ettervårt syn på det rene.


Også EMD har imidlertid lagt til grunn i sinrettspraksis at en stats jurisdiksjon etter EMK art.1 først og fremst er territoriell, og at handlingerbegått av en statspart som er utført på, eller somhar virkninger utenfor en stats territorium, bareunntaksvis kan utgjøre utøvelse av jurisdiksjonetter EMK art. 1.2 Om slike eksepsjonelleomstendigheter foreligger, må etter EMDs retts-praksis besluttes utfra de særlige omstendighe-tene i den foreliggende sak. EMD har i sin retts-praksis anerkjent en rekke slike eksepsjonelleomstendigheter som kan medføre jurisdiksjonsut-øvelse utenfor en stats eget territorium.

For det første har EMD lagt til grunn at stat-lige agenters utøvelse av myndighet og kontroll(«authority and control») utenfor eget territoriumkan gi grunnlag for jurisdiksjon. (Se nærmere foreksempel Al- Skeini m.fl. mot UK av 7.7.2011avsnitt 133–137). For det andre har EMD lagt tilgrunn at en stat kan ha ekstraterritoriell jurisdik-sjon etter EMK art. 1 når staten utøver effektivkontroll over et område. Den kontrollerende statenhar i disse tilfeller ansvar for å sikre alle konvens-jonsrettighetene staten er bundet av på det kon-trollerte området. (Se nærmere for eksempel Al-Skeini m.fl. avsnitt 138–140.) FNs menneskeretts-komité har lagt til grunn tilsvarende vur-deringstema etter FN-konvensjonen om sivile ogpolitiske rettigheter.3

EMD har så langt, så vidt vi er kjent med, ikkeavsagt noen avgjørelse hvor domstolen tar uttryk-kelig stilling til jurisdiksjonsspørsmålet i grenseo-verskridende internettrelaterte saker eller omgrenseoverskridende informasjonsinnhenting.Spørsmålet ble berørt i den ovennevnte sakenWeber and Saravia mot Tyskland fra 2006, hvorklagerne klaget over at Tyskland hadde bruttderes konvensjonsrettigheter i forbindelse medovervåking av telekommunikasjon fra deres tele-fonforbindelser i Uruguay. Tyskland argumen-terte bl.a. med at «the monitoring of telecommuni-cations made from abroad, however, had to be qua-lified as an extraterritorial act. In accordance withthe Court’s decision in the case of Bankovic andOthers v. Belgium and Others (…) the applicantstherefore did not come within Germany’s juris-diction within the meaning of Article 1 of the Con-vention – a concept which was primarily territorial

– on account of that act». Domstolen fant det imid-lertid ikke nødvendig å ta stilling til spørsmåletsiden klagen uansett måtte avvises da domstolenfant at det ikke hadde funnet sted noe konven-sjonsbrudd. I ovennevnte sak Liberty m.fl. motStorbritannia fra 2008 ble Storbritannia domfeltfor brudd på EMK art. 8 for overvåking av samta-ler mellom en britisk og to irske organisasjonerbasert i henholdsvis London og Dublin. Kommu-nikasjonen frem og tilbake mellom Dublin og Lon-don ble fanget opp på «Capenhurst ElectronicTest Facility» på britisk territorium. Det ble ikkeanført av Storbritannia i saken at EMK ikke komtil anvendelse på saksforholdet for så vidt gjaldt deirske klagerne, og EMD reiste heller ikke spørs-målet av eget tiltak.

Hvor informasjonsinnhentingen skjer på enstats territorium, som i Liberty m.fl., kan det argu-menteres for jurisdiksjon på grunnlag av territori-alprinsippet, selv om virkningen er ekstraterritori-ell. Når det gjelder situasjoner hvor både informa-sjonsinnhentingen og virkningen av inngrepet iprivatliv eller kommunikasjon skjer utenfor sta-tens territorium, for eksempel hvor en stat hackerseg inn i PCen til noen eller fanger opp vedkom-mendes e-post i et annet land, vil det derimot væremodellen med myndighet og kontroll over perso-ner som er relevant. Samtidig kan det stilles spørs-mål ved om det er noen grunn til å behandle de tosituasjonene forskjellig. I begge tilfeller er virknin-gen av menneskerettsinngrepet ekstraterritoriell.

Det er uklart hvordan EMD vil forholde seg tilkriteriene effektiv kontroll over et område ellermyndighet og kontroll over personer i fremtidigesaker om grenseoverskridende overvåking oginformasjonsinnhenting dersom spørsmålet kom-mer på spissen, evt. om domstolen kan komme tilat det kan tenkes andre typer av eksepsjonelleomstendigheter som kan nødvendiggjøre ogberettige ekstraterritoriell jurisdiksjon enn detsom er dekket av disse to vurderingstemaene.

I denne forbindelse synes bl.a. følgendeuttalelse i EMDs avgjørelse Ben El Mahi mot Dan-mark (klage nr. 5853/06) av 11.12.2006 relevant,hvor EMD begrunner de unntakene fra territorial-prinsippet som domstolen har fastsatt gjennomsin rettspraksis:

«Accountability in such situations stems from thefact that Article 1 cannot be interpreted so as toallow a State Party to perpetrate violations of theConvention on the territory of another Statewhich it would not be permitted to perpetrate onits own territory.»

2 Se for eksempel. Al- Skeini m.fl. mot UK av 7.7.2011 avsnitt131.

3 Se FNs høykommissær for menneskerettigheters rapportom rett til privatliv i den digitale tidsalder av 30. juni 2014,avsnitt 32.


Hvis man skulle konkludere med at EMK art. 8ikke kan komme til ekstraterritoriell anvendelsepå overvåking eller informasjonsinnhenting, fordistaten ikke vil kunne anses å ha effektiv kontrollover området hvor vedkommende befinner seg,eller myndighet og kontroll over vedkommende,vil en stat med relativt enkle hjelpemidler og utenå pådra seg nevneverdige kostnader kunne begåomfattende konvensjonsbrudd utenfor sine gren-ser som ikke vil være tillatt etter konvensjonen påstatens eget territorium. Det har også blitt argu-mentert med at dette ville kunne åpne for samar-beid om deling av etterretningsinformasjon mel-lom stater med sikte på å omgå statenes mennes-kerettsforpliktelser overfor personer på eget terri-torium. Det kan derfor argumenteres for at dette,etter omstendighetene, vil kunne gi et lite tilfreds-stillende resultat, og utfordrer derfor EMDs ogFNs menneskerettskomites hittil utviklede retts-lige vurderingstema mht. ekstraterritoriell juris-diksjon. På den annen side kan det imidlertid ogsåargumenteres med at innhenting av informasjonom personer som befinner seg på et statskontrol-lert territorium eller som på annen måte er under-lagt statens myndighet og (fysiske) kontroll, let-tere kan brukes, herunder misbrukes, mot ved-kommende av staten, enn når det gjelder informa-sjonsinnhenting rettet mot personer på andre sta-ters territorium, og at EMDs gjeldende kriterierfor ekstraterritoriell jurisdiksjon derfor er rele-vante og ikke bør strekkes for langt.

FNs høykommissær for menneskerettigheteromtaler spørsmålet om ekstraterritoriell anven-delse av SP art. 17 i rapport om retten til et privat-liv av 30. juni 2014, utarbeidet på anmodning avFNs generalforsamling i resolusjon 68/167 omsamme tema (se rapportens avsnitt 32–34). I rap-portens avsnitt 34 uttaler høykommissæren:

«It follows that digital surveillance (….) mayengage a State’s human rights obligations if thatsurveillance involves the State’s exercise of poweror ef fective control in relation to digital commu-nications infrastructure, wherever found, forexample, through direct tapping or penetration ofthat infrastructure. Equally, where the Stateexercises regulatory jurisdiction over a thirdparty that physically controls the data, that Statealso would have obligations under the Covenant.If a country seeks to assert jurisdiction over thedata of private companies as a result of the incor-poration of those companies in that country, thenhuman rights protection must be extended tothose whose privacy is being interfered with,whether in the country of incorporation or

beyond. This holds whether or not such an exer-cise of jurisdiction is lawful in the first place, orviolates another State’s sovereignty».

FNs generalforsamling uttrykte i enstemmigeresolusjoner om rett til et privatliv i den digitaletidsalder av desember 2013 og desember 2014(res. 68/167 og res. 69/166) at den var «deeplyconcerned at the negative impact that surveillanceand/or interception of communication, includingextraterritorial (...), may have on the exercise andenjoyment of human rights». Men statene klarteikke å enes om tekst som reflekterte Høykommis-særens uttalelser ovenfor.

Som belyst ovenfor er det betydelig usikker-het knyttet til jurisdiksjonsspørsmålet ved grense-overskridende overvåking og informasjonsinn-henting, hvor den som overvåkes ikke befinnerseg på statens territorium. Det forventes imidler-tid at det etter hvert vil komme rettsavgjørelsersom vil kaste lys over dette spørsmålet.

Vi finner avslutningsvis grunn til å under-streke at selv om EMK art. 8 skulle komme tilanvendelse på overvåking av og informasjonsinn-henting om personer i utlandet, betyr selvfølgeligikke dette at slik informasjonsinnhenting av sik-kerhetshensyn ikke vil være tillatt. Dette vil berorpå en nærmere forholdsmessighetsvurdering. Detkan ikke utelukkes at denne vurderingen vilkunne slå annerledes ut dersom det er tale ominnhenting av informasjon relatert til eksternetrusler.

10.3.3 FN-resolusjonene om retten til et privatliv i den digitale tidsalder

Vi nevner også FNs generalforsamlings to resolu-sjoner om retten til et privatliv i den digitale tidsal-der. Resolusjonene er ikke rettslig bindende, menkan anses å reflektere visse minstestandarder.Resolusjon 68/167 av 18. desember 2013 haddeførst og fremst betydning ved at den innledet eninternasjonal dialog om personvern i det digitalerom. Resolusjonen ga FNs høykommissær formenneskerettigheter i mandat å utarbeide en rap-port om temaet, som forelå 30. juni 2014.

Høykommissærens rapport dannet såutgangspunktet for forhandlingene om en ny reso-lusjon på området, nr. 69/166, vedtatt av FNsgeneralforsamling 18. desember 2014. Som opp-følging av Generalforsamlingens sistnevnte reso-lusjon, vedtok FNs menneskerettsråd 24. mars2015 å oppnevne en spesialrapportør for person-vern.


10.4 Europarådets personvernkonvensjon

Europarådets konvensjon nr. 108 av 28. januar1981 om personvern i forbindelse med elektroniskdatabehandling av personopplysninger ble ratifi-sert av Norge 20. februar 1984. Konvensjonen erså langt ratifisert av 46 stater, hvorav én ikke-Europarådsstat (Uruguay). Det er den enesteinternasjonale konvensjonen som gjelder behand-ling av personopplysninger, herunder som søker åregulere grenseoverskridende strømmer av data.

Konvensjonens formål, nedfelt i artikkel 1, er

«å sikre respekt for enhver enkeltpersons rettighe-ter og grunnleggende friheter og især retten tilprivatlivets fred på territoriet til enhver part,uten hensyn til statsborgerskap eller bopel, i for-bindelse med elektronisk databehandling av per-sonopplysninger som vedrører ham».

I konvensjonens forklarende rapport understre-kes det at de garantier konvensjonen gir, ikke kanbegrenses til statens egne borgere eller personermed lovlig opphold i staten:

«The guarantees set out in the convention areextended to every individual regardless of natio-nality or residence. This provision is in accor-dance with the general principle of the Council ofEurope and its member States with regard to theprotection of individual rights. Clausesrestricting data protection to a State’s own nati-onals or legally resident aliens would beincompatible with the convention.»

Konvensjonen definerer personopplysninger vidt:«enhver opplysning som gjelder en bestemt elleridentifiserbar enkeltperson», jf. konvensjonens art.2 bokstav a.

Ved bearbeiding av denne type opplysningerved elektronisk databehandling, skal de iht. kon-vensjonens art. 5:

«a) innsamles og bearbeides på rettferdig og lovligvis;

b) lagres for bestemte og lovlige formål og ikkenyttes på en måte som er uforenlig med disseformål;

c) være adekvate, relevante og ikke for omfat-tende i relasjon til de formål de lagres til;

d) være nøyaktige og, der det er nødvendig, holdta jour;

e) oppbevares på en måte som ikke gir anledningtil å identifisere datasubjektene lenger ennnødvendig for det formål som disse opplysnin-gene lagres til.»

Konvensjonen gir enhver rett til å vite om deteksisterer et elektronisk persondataregister, detsformål og få vite om og evt. korrigert eller slettetopplysninger som er lagret i strid med konvensjo-nen, samt ha klageadgang dersom disse rettighe-tene ikke respekteres, jf. konvensjonens art. 8.

Konvensjonens art. 6 peker på kategorier avsærlig sensitive opplysninger som skal nyte etsærskilt vern:

«Personopplysninger som åpenbarer rasemessigopprinnelse, politiske oppfatninger samt religiøseller annen tro, så vel som personopplysningervedrørende helse eller seksualliv, kan ikkebehandles elektronisk med mindre intern lovgiv-ning gir tilstrekkelig vern. Det samme skal gjeldefor personopplysninger som gjelder domfellelserfor straffbare handlinger.»

Det kan gjøres unntak fra konvensjonens art. 5, 6og 8, nevnt ovenfor, når dette er fastsatt i lov og eret nødvendig tiltak i et demokratisk samfunn avhensyn til a) beskyttelse av statens sikkerhet,offentlig sikkerhet, statens økonomiske interes-ser eller bekjempelse av kriminelle handlingereller b) beskyttelse av datasubjektet eller andresrettigheter og friheter. Dette er mer eller mindresammenfallende med ordlyden i EMK art. 8 nr. 2.

10.5 Europarådets konvensjon nr. 185 om datakriminalitet

Europarådets konvensjonen nr. 185 om datakrimi-nalitet (Budapestkonvensjonen) ble ratifisert avNorge 30. juni 2006. Så langt har 39 Europaråds-medlemsstater og seks ikke-medlemsstater, deri-blant USA og Japan, sluttet seg til konvensjonen.Partene til Budapestkonvensjonen har forpliktetseg til gjensidig strafferettslig samarbeid i sakervedrørende datakriminalitet, herunder til å biståhverandre med innhenting av elektroniske bevisfor datakriminalitet. Vi nøyer oss med å vise tilkonvensjonens kapitel III om strafferettslig sam-arbeid som i artiklene 25–34 gir nærmere ogdetaljerte regler om grenseoverskridende infor-masjonsinnhenting for dette formål.


10.6 Norges forpliktelser som følger av EØS-avtalen og øvrige avtaler med EU

EUs regelverk omfatter i dag store deler av infor-masjonssamfunnet. Regelverket er i all hovedsaktatt inn i norske lover og forskrifter gjennom EØS-avtalen, og omfatter blant annet ekom/telekom,elektronisk handel, elektroniske signaturer, fre-kvensforvaltning, gjenbruk av offentlige data ogpersonvern.4

Det indre markedet i EU består av over 500millioner innbyggere. I EU har det helt fra samar-beidet startet, vært store forventninger til dettemarkedets betydning for europeisk økonomi, ogdet satses i stor grad på at en felles digital politikkvil realisere intensjonen om ett felles europeiskindre marked. Dette krever felles regelverk ogstrategiprogrammer som skaper tillit til markedethos både næringsliv og forbrukere. Et sentraltmål er derfor at både næringslivet og forbrukerneskal beskyttes gjennom sikker kommunikasjon,sikre betalingsløsninger, forbrukerrettigheter ogivaretagelse av borgernes personvern. For åkunne realisere et trygt indre digitalt handelsmar-ked stilles det også krav til felles forebygging ogbekjempelse av kriminalitet som må innrettes slikat tilliten mellom markedsaktørene og forbru-kerne opprettholdes.

EØS-avtalen er Norges mest omfattende folke-rettslige avtale. Avtalen er multilateral og omfatteri dag 31 land – de 28 EU-statene og de tre EFTA-statene Island, Liechtenstein og Norge. For ådelta i EUs indre marked forpliktet Norge seg til åoverta EU-retten og gjennomføre den på sammemåte som i EU. Norge har tatt inn tre fjerdedelerav EUs rettsakter i norsk rett.5 Å gjennomførerettsreglene på samme måte som i EU innebærerogså at reglene skal fortolkes og anvendes påsamme måte som i de øvrige medlemslandene.Det betyr at EU-domstolens avgjørelser også erbindende for Norge. Videre forpliktet Norge segtil å utvikle avtalen i pakt med den underliggendeEU-retten. EØS-avtalen og de øvrige avtaleneNorge har inngått med EU, er langt mer omfat-tende enn det som tradisjonelt omfattes av folke-rettslige avtaler. Det som kjennetegner de folke-rettslige avtalene, er at det etableres gjensidigeforpliktelser mellom statene som sådanne. Norgesavtaler med EU er til sammenligning å betraktesom overnasjonale, ved at både Stortingets, regje-

ringens og domstolenes kompetanse i praksisbegrenses som følge av plikten til å følge EUsrettsutvikling, selv om Norge formelt sett haradgang til å reservere seg.6

Kjernen i avtalen er at EFTA-statene overtarall relevant EU-rett som regulerer det felles mar-kedet, som igjen er basert på reglene om «de firefriheter» – fri bevegelse av varer, tjenester,arbeidskraft og kapital. Et annet kjerneområde erreglene som skal sikre like konkurransevilkår imarkedet, gjennom blant annet regler om stats-støtte, offentlige kontrakter og forbud mot ulovligprissamarbeid og misbruk av markedsmakt. Gjen-nom årene er reguleringen av det indre markedeti EU spesifisert nærmere for viktige sektorer somenergi, samferdsel, bank og forsikring, IKT medmer, og er dermed utvidet til å gjelde en langrekke områder som grenser opp mot markedet.Videre er markedsreglene supplert med reglersom skal kompensere for uheldige sider ved mar-kedet – herunder arbeids- og arbeidsmiljørett,personvern, miljø og klima med mer. I tilleggkommer egne avtaler om politisamarbeid, somSchengen-avtalen med tilleggsavtaler.

10.6.1 EUs regelverk for nettverks- og informasjonssikkerhet (NIS-direktivet)

Den 7. februar 2013 la EU-kommisjonen frem for-slag til et direktiv for å sikre et felles nivå for nett-og informasjonssikkerhet i EU. Bakgrunnen er atdet i EU per i dag ikke er etablert tilstrekkelige oghelhetlige felles sikkerhetstiltak. Medlemslan-dene har ulik kvalitet på sikkerhetstiltakene dehar implementert, noe som skaper en fragmenterttilnærming. EU har frem til nå bare hatt felles sik-kerhetsregulering av ekomsektoren, mens fellesregler er viktig også for annen infrastruktur ogIKT-tjenester.

Aktørene som omfattes av direktivet, er offent-lig og privat sektor, det vil si stat, kommuner, fyl-ker og virksomheter innenfor sektorene trans-port, vannforsyning, helse og omsorg, bank ogfinans, samt eiere og driftere av samfunnskritiskIKT-infrastruktur. For samfunnskritiske tjenestergjelder forslaget tilbydere som er sterkt avhen-gige av informasjons- og kommunikasjonstekno-logi, som er av avgjørende betydning for å kunneopprettholde viktige økonomiske eller samfunn-skritiske funksjoner. I tillegg omfattes e-handels-plattformer, Internett-betalingsportaler, sosiale

4 NOU 2012: 2 Utenfor og innenfor – Norges avtaler med EU,kapittel 5.1.2.

5 Ibid.6 Basert på kapittel 26 i NOU 2012: 2 Utenfor og innenfor –

Norges avtaler med EU.


nettverk, søkemotorer, skytjenester og applika-sjonsbutikker. Softwareutviklere og hardwarepro-dusenter er ikke omfattet.

Direktivet vil også stille krav om at det utarbei-des nasjonale strategier for nettog informasjons-sikkerhet, og at det skal finnes én eller flere nasjo-nale myndigheter på dette området – et nasjonaltkontaktpunkt og et nasjonalt hendelseshåndte-ringsorgan (CSIRT). Det skal også etableres nett-verk for samarbeid mellom medlemsstatene, blantannet for de nasjonale CSIRT-ene og CERT-EU,som er dedikert EU-institusjoner, og byråer somgir operasjonell støtte til deres IT-team og er kon-taktpunkt for andre lands CERT-miljøer. NSMNorCERT mottar jevnlig rapporter og nyhetssam-menstillinger fra CERT-EU. I tillegg har de opera-tivt hendelseshåndterings- og informasjonsde-lingssamarbeid. CERT-EU er også medlem avEGC. Gjennom nettverk for kompetente nasjonalemyndigheter skal medlemsstatene utveksle infor-masjon og samarbeide på basis av den europeiskeplanen for samarbeid innenfor dette området for åforebygge, bekjempe og håndtere trusler og hen-delser innenfor nettog informasjonssikkerhets-området.

Direktivet vil, gjennom bestemmelsene i artik-kel 14–16, bidra til å etablere felleseuropeiskesektorovergripende minimumsstandarder fornettverks- og informasjonssikkerhet. Basert påmodellen fra rammedirektivet for elektroniskkommunikasjon tar forslaget sikte på å utvikle enrisikostyringskultur og at informasjon deles mel-lom privat og offentlig sektor. Virksomheter i desærlig kritiske sektorene og offentlige myndig-heter vil bli forpliktet til å vurdere risikoen de ståroverfor, og til å gjennomføre nødvendige og for-holdsmessige risikoreduserende tiltak for å iva-reta nettverks- og informasjonssikkerheten. Disseenhetene vil bli pålagt å underrette den nasjonalekompetente enheten om enhver hendelse som ialvorlig grad truer deres nettverks- og informa-sjonssystemer. Direktivet stiller krav om at med-lemslandene etablerer regler om sanksjoner hvisaktørene ikke oppfyller sine plikter. Direktivet kanpå dette området medføre en endring i forhold tildagens rettstilstand som etter omstendighetenevil kunne berøre og få konsekvenser for et betyde-lig antall virksomheter.

Når det gjelder virksomhetenes plikter, visesdet til rammedirektivet for ekomtjenester (2002/21/EF) og kommunikasjonsdirektivet (2002/58/EF). Etter planen skulle direktivet besluttes i løpetav våren 2015.

10.6.2 Ekom

På europeisk nivå reguleres elektroniske kommu-nikasjonsnett og -tjenester i hovedsak av densåkalte ekompakken, en samling rettsakter somble vedtatt i 2002. Den siste større revisjonen blegjort i 2009. I Norge er disse forpliktelsene inntatti lov 4. juli 2003 nr. 83 om elektronisk kommunika-sjon (ekomloven). Særlig viktig i denne forbin-delse er reglene om sikkerhet og beredskap irammedirektivet (2002/21/EC) og kommunika-sjonsverndirektivet (2002/58/EC).

Overordnet sett er den europeiske regulerin-gen av kommunikasjonsvern, som hovedsakeligregulerer personvern og informasjonssikkerhet,mer moden og utfyllende enn reguleringen av sik-kerhet og beredskap. Sistnevnte har tradisjoneltblitt ansett som mer av et ansvar for de enkeltemedlemslandene, og har vært mer preget avnasjonale sikkerhetsinteresser.

Gjennom rammedirektivet artikkel 13 a og 13b er medlemslandene forpliktet til å sikre at detiverksettes tilstrekkelige («appropriate») tekniskeog organisatoriske tiltak for å kontrollere sikker-hetsrisikoen i nett og tjenester. Bestemmelsen erinkorporert i ekomloven § 2-10, som går til delsbetydelig lenger enn direktivets minimumsregule-ring. Medlemsstatene skal også varsle EU-orga-net ENISA ved utfall og forstyrrelser over visseterskelverdier i nett.

Kommunikasjonsverndirektivet legger rela-tivt sterke begrensninger på tilbydernes mulighe-ter til å benytte seg av brukernes kommunikasjoni deres nett og tjenester til andre formål enn ålevere tjenesten. Medlemsstatene skal for eksem-pel forby innholdsanalyse uten samtykke (artikkel5), samt at trafikk- og lokaliseringsdata er under-lagt behandlingsbegrensninger og sletteplikt(artikkel 6 og 9). Disse forpliktelsene er gjennom-ført i norsk rett gjennom ekomloven §§ 2-7 og 2-9.Også myndighetenes adgang til slik informasjonfra tilbyderne avskjæres tilsynelatende gjennomde materielle begrensningene som er nevnt oven-for.

Etter kommunikasjonsverndirektivets syste-matikk er dermed all nasjonal lovgivning om foreksempel kommunikasjonskontroll, innhenting avtrafikkdata og strategisk trafikkovervåking å ansesom unntak fra direktivet. Slike unntak må opp-fylle vilkårene i artikkel 15, som setter krav til atlovgivningen må være forholdsmessig og nødven-dig for å ivareta definerte formål. Videre stilles detkrav om samsvar med generelle EU-rettslige prin-sipper og EUs charter om grunnleggende rettig-heter.


Kommunikasjonsverndirektivet artikkel 15legger med andre ord opp til en vurdering som lig-ger nær opp til inngrepsvurderingen etter EMKartikkel 8, men der EU-domstolen er øverste tolk-ningsinstans. Senere rettspraksis fra EU-domsto-len, særlig Digital Rights Ireland (C-293/12), girgrunn til å tro at EU-domstolen vil prøve dennetypen spørsmål med større intensitet enn EMDtradisjonelt har gjort. Kommisjonen har varslet atkommunikasjonsverndirektivet skal revideres, ogarbeidet er antatt å starte etter at personvernfor-ordningen er vedtatt.

10.6.3 Personverndirektivet

Regler for en forsvarlig elektronisk behandling avpersonopplysninger innenfor EU er en vesentligforutsetning for digital kommunikasjon innenfordet felles markedet. Gjeldende norsk lovgivningom behandling av personopplysninger, person-opplysningsloven, er gjennomført som del avEØS-avtalen ved personverndirektiv 95/46/EF.Reglene er forankret i Den europeiske menneske-rettskonvensjonen EMK artikkel 8, som er omtalti ovenfor under punkt 10.3.1. Europakommisjonenpresenterte 25. januar 2012 en reform for moder-nisering av EUs personvernregler. Kommisjonenhar foreslått to nye regelverk: en generell forord-ning om beskyttelse av personopplysninger og etdirektiv for myndighetenes behandling av person-opplysninger i politiog straffesektoren. Person-vernforordningen skal erstatte gjeldende direktiv.Det overordnede målet med EU-kommisjonensforslag til reform er å oppdatere og moderniserepersonvernprinsippene som er nedfelt i 1995-direktivet, i tråd med den digitale utviklingen ogde mulighetene dette byr på for realiseringen avett felles digitalt marked innenfor EU.

Hovedintensjonen med reguleringsforslageter å sørge for et mer enhetlig regelverk i EU. Der-for benyttes forordning fremfor direktiv, ettersomen forordning vil sikre identiske generelle person-vernregler i samtlige EU/EØS-land. Den tidligerereguleringen i form av direktiv gir minimumsre-gler med større adgang for den enkelte stat til åtilpasse reglene til nasjonal lovgivning. Det harvidere vært et mål å styrke enkeltindividets rådig-het over egne opplysninger og å bygge opp befolk-ningens tillit til at virksomheter behandler person-opplysninger på en forsvarlig måte.

Kommisjonen legger til grunn at det er nød-vendig å ta borgernes mistillit til virksomhetersom behandler personopplysninger, på alvor etteren befolkningsundersøkelse om personvern i EU.Undersøkelsen viste at ni av ti (92 prosent) er

bekymret for blant annet mobile applikasjonersom samler og bearbeider data uten deres sam-tykke. Videre gikk det frem at sju av ti europeereer bekymret for virksomhetenes bruk av person-opplysninger.

Reformen har derfor som et helt sentralt mål åstyrke borgernes personvernrettigheter. Bedrebeskyttelse av personopplysninger og større gradav kontroll over egne opplysninger hos denenkelte borger skal gjenoppbygge tilliten til at per-sonopplysninger behandles forsvarlig, herundernår opplysninger formidles via Internett over lan-degrensene. Viktige endringsforslag er innførin-gen av en rett til – på nærmere bestemte vilkår – åfå slettet personopplysninger om seg selv («rett tilå bli glemt»),7 rett til å få kopi av egne personopp-lysninger, rett til å overføre egne personopplys-ninger til alternative tilbydere av en tjeneste («retttil dataportabilitet»), samt styrking av barns per-sonvern. Videre skal borgerne gis økte rettighe-ter til informasjon om forhold knyttet til behand-lingen av egne personopplysninger, som lagrings-tid og klagerett. Det skal også innføres bestem-melser som skal øke bruken av personvernfrem-mende teknologi med det mål å sikre atpersonvernhensyn blir tatt i betraktning på et tid-lig stadium ved utvikling og valg av IT-løsninger.

Regelverksutkastet legger opp til en ny institu-sjonell struktur på personvernområdet. Det erogså foreslått å opprette en felles europeisk data-tilsynsmyndighet (European Data ProtectionBoard), som skal bestå av representanter fra deulike medlemsstatenes tilsynsmyndigheter. For-slaget åpner videre for en stor grad av delegertlovgivningsmyndighet til Kommisjonen. For åredusere kostnadene knyttet til å etterleve person-vernregelverket ønsker Kommisjonen å innføreen «one stop shop»-ordning. Det vil innebære atvirksomheter som etablerer seg innenfor flereEU-land, bare skal forholde seg til én tilsynsmyn-dighet innenfor EØS-området. Videre gis nasjo-nale personvernmyndigheter nye verktøy for å

7 Den 13. mai 2014 avgjorde EU-domstolen at EUs person-verndirektiv og nasjonal personvernlovgivning gjelder forsøkemotorselskaper som har tilstedeværelse i et EU-land.Dommen slår blant annet fast at slike selskaper har et selv-stendig behandlingsansvar for personopplysningene somindekseres, selv om opplysningene først er publisert avandre medier. Søkemotorselskaper må legge til rette for atenkeltpersoner kan be om å få fjernet belastende informa-sjon, som nettsaker fra aviser eller lignende, som er indek-sert av søkemotoren. Informasjon som i utgangspunktet erriktig, kan med tiden vise seg å bli utilstrekkelig, irrelevanteller overdimensjonert, slo domstolen fast. Dermed skalprivatpersoner ha rett til å få fjernet opplysninger i søkemo-torens treffliste, selv om de ikke kan kreve at den som harpublisert informasjonen, trekker den tilbake.


sanksjonere brudd på regelverket, herunder myn-dighet til å ilegge bøter på inntil 1 000 000 euro,eller, for næringsselskaper, inntil 2 prosent av sel-skapets omsetning på verdensbasis.

Det rettslige grunnlaget for rettsakten er artik-kel 16 i traktaten om Den europeiske unions vir-kemåte. Forordninger gir som nevnt i mindregrad adgang til å gi regler på nasjonalt nivå enndet direktiver gjør. Fordelen er at EU-landene fåret mer enhetlig regelverk, noe som forhindreruoversiktlig og ulik gjennomføring av personvern-regler i de ulike landene. Dette gir også større for-utsigbarhet for norske borgere og deres rettighe-ter i møte med utenlandske aktører. For nærings-livet vil det bli enklere å operere internasjonaltfordi det vil foreligge ett europeisk regelsett å for-holde seg til.

Medlemslandene synes å være enige om at deter på høy tid å fornye EU-regelverket om behand-ling av personopplysninger. Det er viktig at regel-verket er tilpasset dagens teknologiske virkelig-het med mål om en teknologinøytral reguleringsom tar høyde for å kunne fungere også for fremti-dig teknologi. Rettighetene som foreslås for bor-gerne, er langt på vei i samsvar med dagens nor-ske personvernlovgivning.

10.6.4 Politisamarbeid

I tillegg til EØS-avtalen har Norge inngått enrekke forpliktende avtaler med EU. Justissektorener et av områdene med størst omfang, og Norgedeltar aktivt i EUs politisamarbeid. En del av detteskjer gjennom Schengen-avtalen, som særlig harregler om informasjonsutveksling for politiet.Blant de prioriterte områdene for dette samarbei-det er Internett-kriminalitet. Det er utformetregler og prosedyrer for blant annet felles tekniskinfrastruktur, felles strategier og prioriteringer ogikke minst effektiv informasjonsutveksling meden utvikling i retning av direkte søkeadgang i sam-arbeidende lands databaser.

Politisamarbeidet i EU er bygd på tanken omat dette skal være kompenserende tiltak for åredusere de negative virkningene i form av øktgrensekryssende kriminalitet som bortfallet avgrensekontroll har hatt. Dette er fortsatt engrunntanke, men den har utviklet seg og omfatternå også bekjempelse av alvorlig kriminalitet mergenerelt. Samarbeidet omfatter en rekke forskjel-lige elementer. Norges avtaler med EU på detteområdet er i første rekke:

Europeisk cyberkrimsenter (EC3)

Senteret ble opprettet 01. januar 2013 ved Europolog skal være navet i EUs kamp mot datakriminali-tet og bidra til raskere reaksjoner ved lovbrudd pånett. Senteret skal dessuten støtte medlemssta-tene og EUs institusjoner i å bygge operativ oganalytisk kapasitet for undersøkelser og samar-beid med internasjonale partnere.

The European Union’s Judicial Cooperation Unit (EUROJUST)

EUROJUSTs oppgave er å bidra til et effektivtsamarbeid mellom medlemsstatene i saker omalvorlig, organisert og grenseoverskridende kri-minalitet, samt å få lovovertredere for retten hur-tig og effektivt. Innenfor sitt ansvarsområde harEUROJUST vært involvert i en rekke saker knyt-tet til IKT-kriminalitet, blant annet saker som gjel-der spredning av overgrepsbilder på nett. I tillegger det avtaler på følgende områder:– den europeiske arrestordren– gjensidig bistand i straffesaker– informasjonsutveksling gjennom SIS, SIS II

med mer– Informasjonsutveksling gjennom Prüm-avtalen

Etter anmodning, og etter en omfattende prosess,oppnådde Norge i november 2009 en avtale om til-knytning til EUs forsterkede politisamarbeid etterdet såkalte Prüm-regelverket. Formålet med detteer ikke å gi politiet tilgang til nye opplysningskate-gorier, snarere en forbedring og effektivisering avinformasjonsutvekslingen mellom Europas poli-timyndigheter. Samarbeidet innebærer at denasjonale politimyndighetene kan søke direkte ihverandres databaser med opplysninger om DNA,fingeravtrykk og kjøretøy. Når det gjelder DNA ogfingeravtrykk, medfører søket at man oppnår ettreff eller et ikke-treff i databasen man søker i.Dette innebærer at når norske politimyndighetersøker i for eksempel Tysklands DNA-register, vilman få tilgang til referansedata i den tyske DNA-databasen, det vil si DNA-profil og et referanse-nummer. Disse opplysningene gjør det ikke muligå identifisere en person, men man kan fra norskpolitis side, med den informasjonen man sittermed etter søket som Prüm-regelverket tillater,bruke de kanalene for informasjonsinnhentingsom er etablert ved andre EU-regelverk, og andreinternasjonale avtaler om gjensidig bistand i straf-fesaker. Da Prüm-regelverket ble vedtatt i EU, bledet ikke ansett for å være Schengen-relevant.Regelverket ble imidlertid fra norsk side vurdert


som et nyttig verktøy i kampen mot grenseover-skridende kriminalitet, og det var et uttalt mål åknytte seg til det. Norge oppnådde dette gjennomen parallellavtale i november 2009. Avtalen bleendelig godkjent av EU 26. juli 2010, men er ennåikke operativt i påvente av stortingsbehandling iNorge og installering av nødvendig datasystemhos Kripos.

10.7 EUs strategier, programmer og fora

10.7.1 EUs strategi for sikkerhet i det digitale rom

EU-kommisjonen og utenrikstjenesten presen-terte 7. februar 2013 en samlet europeisk cyber-sikkerhetsstrategi: Et åpent, sikkert og trygt digi-talt rom. Strategien berører IT-spørsmål i et bredtperspektiv og presenterer unionens visjon og prin-sipper for hvordan de sentrale vurderingene oginteressene skal gjennomføres og tydeliggjøres idet digitale rom. Strategien berører både interneog eksterne spørsmål om hvordan man skal iva-reta Kommisjonens visjon og sentrale prinsipper idet digitale rom, og omfatter IKT-sikkerhet, IKT-kriminalitet, industri- og handelspolitikk og uten-riks-, sikkerhets- og forsvarspolitikk.

Implementering og oppfølging av strategienog konklusjoner, samt spørsmål som berører EUsinternasjonale cyberpolitikk, håndteres samlet iarbeidsgruppen Friends of the Presidency Groupon Cyber Issues, FoP. Arbeidet tar utgangspunkt igrunnleggende verdier som menneskerettigheter,demokrati og rettsstatsprinsipper. Konklusjonerbasert på strategien ble vedtatt i 2013, og i 2014har flere områder i strategien blitt fulgt opp, somfor eksempel videre arbeid med forvaltning avInternett.

10.7.2 ENISA

European Agency for Network and InformationSecurity, ENISA, er EUs byrå for nettog informa-sjonssikkerhet og ledes av en administrerendedirektør. Byrået ble etablert i 2004 og er etekspert- og kompetanseorgan for informasjons-sikkerhetsspørsmål som skal legge til rette for fel-lesskapets og medlemsstatenes, inkludertnæringslivets, evne til å forebygge, håndtere ogløse problemer som gjelder nettverks- og informa-sjonssikkerhet. Byråets arbeid bygger på ulike til-tak som både de enkelte medlemsstatene og EUhar iverksatt. ENISA gir råd til Europaparlamentetog EU-kommisjonen. Kort gjengitt er byråetsarbeidsoppgaver å analysere endringer i risikobil-

det, først og fremst på europeisk nivå, samt åbidra til større bevissthet om nettog informa-sjonssikkerhet. TF-CSIRT er et initiativ fra ENISAfor økt samarbeid mellom europeiske CERT-mil-jøer, og er i hovedsak en arena for informasjonsut-veksling. Det gjøres enkelte utredninger i mindrearbeidsgrupper. NSM NorCERT representererNorge.

Det er et mål at ENISA skal styrke samarbei-det mellom næringsliv, forskere, leverandører ogbrukere av produkter og tjenester innenfor infor-masjonssikkerhetsområdet. Videre skal det leg-ges til rette for samarbeid om å utvikle metoderfor å forebygge og håndtere informasjonssikker-hetsproblemer, samt bidra til det internasjonalesamarbeidet med tredjeland utenfor EU.

Mer detaljerte beslutninger om ENISAsløpende virksomhet tas av byråets ledelse, sombestår av alle medlemsstatene og EU-Kommisjo-nen Beslutningene utformes som årlige arbeids-programmer. Norge deltar som EØS-land utenstemmerett.

ENISA deltar i mye av det arbeidet som initie-res eller ledes av Kommisjonen, for eksempel iEuropean Forum for Member States, EFMS, enuformell gruppe for medlemsstatenes nettverks-og informasjonssikkerhetsspørsmål, samt NIS-plattformen, som også kartlegger næringslivetsproblemstillinger innenfor dette området. I sam-svar med Kommisjonens gjennomgang av digitalagenda for Europa i 2012 ble behovet for en«cybersikkerhetsstrategi» tatt opp. Dette dannergrunnlaget for forslaget til NIS-direktivet.

I EUs digitale agenda for Europa understrekesviktigheten av og behovet for en felles politikk fornett- og informasjonssikkerhet som tydelig skalomfatte elektronisk kommunikasjon, og ENISAsmandat ble besluttet modernisert i 2013. Norgedeltar i ENISAs Artikkel 13 a-arbeidsgruppe.Gruppen møtes tre ganger i året og utgir rekom-mandasjoner for nettog tjenestesikkerhet.

10.7.3 Digital agenda

EU-kommisjonens digitale agenda for Europa(KOM[2010] 245) er et av hovedinitiativene forEuropa 2020 (KOM[2010] 2020), også kalt Europa2020-strategien. Strategien ble lansert i mars 2010som et ledd i å få Europa ut av den finansielle kri-sen og for å forbedre EUs økonomi for den nestetiårsperioden. Strategien beskriver blant annethvor viktig bruk av informasjons- og kommunika-sjonsteknologi er for at Europa skal kunne oppnåstrategiens målsettinger.


Forslag til tiltak omfatter sju forskjellige områ-der:– et pulserende digitalt indre marked– interoperabilitet og standardisering– tillit og sikkerhet– rask og ultrarask Internett-tilgang– forskning og innovasjon– heving av digital kompetanse, digital kunnskap

og digital integrasjon

10.7.4 EU-fora for personvern

10.7.4.1 Artikkel 29-gruppen

Gruppen er opprettet i henhold til EUs person-verndirektiv (artikkel 29), og er den øverste rådgi-vende forsamlingen for EU-kommisjonen i spørs-mål om personvern og informasjonssikkerhet.Her møter alle lederne for EU-landenes datatil-synsmyndigheter. Norge har observatørstatussom EØS-land, og møter med en representant forledelsen i Datatilsynet. Artikkel 29-gruppen erførst og fremst rådgivende overfor Kommisjonen,og står fritt til å tolke og konkretisere direktivetsinnhold. Gruppen møtes i Brussel fem–seks gan-ger per år og arbeider ofte med utgangspunkt idokumenter fra uformelle arbeidsgrupper der allemedlemslandene kan være med. Uten at det fore-ligger noe formelt vedtak, er det i praksis aksep-tert at også observatørland kan tiltre disse grup-pene.

10.7.4.2 Technology Subgroup

Technology Subgroup er en arbeidsgruppe somgjør saksforberedelser for Artikkel 29-gruppen.Disse forberedelsene danner grunnlag for mangeav Artikkel 29-gruppens uttalelser. I og med atDatatilsynet er observatør i selve Artikkel 29-gruppen, er deltagelse i denne arbeidsgruppenviktig fordi tilsynet her deltar på lik linje med alleandre deltagere fra EU-land.

10.7.4.3 Berlin-gruppen

Dette er en gruppe som arbeider med personverninnen elektronisk kommunikasjon i utvidet for-stand. I det vesentlige er det personvernmyndig-heter som deltar i her. Gruppen avgir uttalelser(Working Papers) om aktuelle personvernspørs-mål. I 2013 påtok Datatilsynet seg ansvar for åskrive gruppens rapport om Big Data. Rapportenble endelig godkjent våren 2014. Det var førstegang det norske Datatilsynet skrev en rapport fordenne gruppen.

10.7.4.4 Schengen Coordination Group (SCG)

Gruppen er sammensatt av representanter for alleSchengen-landenes tilsynsmyndigheter og utveks-ler informasjon om egne saker og felles problem-stillinger i praktiseringen av reglene for SchengenInformations System (SIS). Datatilsynet er tilsyns-myndighet for den norske delen av SIS, og deltar iSchengen Coordination Group. En representantfra Datatilsynet deltok i det internasjonale inspek-sjonsteamet som våren 2014 førte tilsyn medSveits’ forpliktelser etter Schengen-regelverket.

10.7.4.5 Eurodac/Visumsamarbeid (VIS)

Datatilsynet har i 2014 vært representert med éndeltager i møtene, som arrangeres av henholdsvisEurodac Supervision Coordination Group og VisaInformation System Supervision CoordinationGroup (VIS SCG) i Brussel.

Eurodac er et sentralt europeisk register overfingeravtrykk fra asylsøkere, og brukes primært iasylsaker. I det siste har imidlertid også politimes-sige formål blitt inkludert i Eurodac-regelverket,og Europol kan under visse vilkår få tilgang tildatabasen.

VIS er et tilsvarende register som inneholderopplysninger om visumsøkere, og formålet medregisteret er å forbedre gjennomføringen av enfelles visumpolitikk og konsulært samarbeid iEuropa. Det er også et viktig mål å forenkleutvekslingen av opplysninger mellom medlems-statene om søknader og avgjørelser om visum.

I disse gruppene møter samtlige ansvarligedatatilsynsmyndigheter etter de aktuelle forord-ningene for å samkjøre oppfølgingen av sine kon-trolloppgaver.

10.8 IKT-arbeid i OECD

OECD ble grunnlagt i 1961 og er et samarbeidsor-gan for 34 land og lokalisert i Paris. Målet medsamarbeidet er å bidra til utvikling, sysselsettingog å heve levestandarden i medlemslandene. Detarbeides for å bidra til en sunn økonomisk utvik-ling, både i medlemslandene og i omverdenen,samt å bidra til ekspansjon i verdenshandelen.

Samarbeidet foregår ut fra et markedsøkono-misk grunnlag. OECD er et forum for utvekslingav idéer og erfaringer samt foretar analyser innen-for flere politikkområder. Et viktig mål er at med-lemslandene skal lære av hverandre og diskuterefelles problemer og aktuelle internasjonale økono-


miske spørsmål. OECD samler inn statistikk oghar en omfattende publikasjonsvirksomhet.

OECD har cirka 200 komiteer og arbeidsgrup-per. Her arbeider medlemslandene, partnerlandog inviterte organisasjoner sammen med OECDssekretariat med studier, rekommandasjoner ogretningslinjer til støtte for medlemslandenespolicyutvikling. OECDs anbefalinger og retnings-linjer er ikke juridisk bindende, men veiledende,og har gjennom dette påvirkningskraft og blirfulgt i stor grad. Sekretariatet har cirka 2 500ansatte, og det årlige budsjettet er på cirka 350millioner euro. Vedtak fattes med enstemmig kon-sensus.

OECDs virksomhet er inndelt i direktorater.Direktoratet for vitenskap, teknologi og industri(Directorate for Science Technology and Indus-try) har fire underkomiteer, og en av disse(Committee on Digital Economy Policy, CDEP)arbeider med den digitale økonomien. CDEPbestår av tre arbeidsgrupper. En av disse erarbeidsgruppen for informasjonssikkerhet ogintegritet (Working Party on Information Securityand Privacy in the Digital Economy, WPSPDE),som ble etablert i 1992 og er den gruppen sombehandler områder som spesielt angår denneutredningen.

Arbeidsgruppen forvalter og revidererløpende flere rekommandasjoner og retningslin-jer som det redegjøres nærmere for nedenfor. Fortiden pågår det et arbeid med å etablere indikato-rer for måling av informasjonssikkerhet, blantannet via data fra CSIRTs arbeid med ID-forvalt-ning, samt utvikling av «Privacy Risk Manage-ment».

Arbeidsgruppen har, sammen med helsekomi-téen, ferdigstilt en rapport om sikkerhet og inte-gritet ved gjenbruk av helseopplysninger. Tidli-gere arbeider har blant annet handlet om analyseav medlemsstatenes nasjonale strategier for infor-masjonssikkerhet, informasjonssikkerhetsspørs-mål angående «Internet of Things» og Big Data,forberedelse av en rekommandasjon om beskyt-telse av barn på Internett («Protection of ChildrenOnline»), analyser av nasjonale strategier ominformasjonssikkerhet for kritisk infrastruktur,med mer. Arbeidsgruppen foretar også forskjel-lige analyser innenfor personvernområdet.

10.8.1 OECDs retningslinjer for «cybersecurity»

I 1992 utviklet OECD sine første retningslinjer forå understøtte medlemsstatenes arbeid med infor-masjonssikkerhetsområdet. De ble revidert i 2002

og på nytt revidert i 2015. Revisjonen fokuserte påinformasjonssikkerheten i nettverk og IKT-systemer ut fra økonomiske og sosiale hensyn ogvelferdshensyn i et åpent, internasjonalt og til-koblet teknisk miljø. Internett har blitt en stadigviktigere plattform for samfunnets funksjonalitet.De digitale truslene øker med mer sofistikerteaktører.

Nye former for økonomisk og sosial ustabilitethar oppstått. Økt digital mobilitet, skytjenester,sosiale nettverk, tingenes Internett (Internet ofThings) med mer er nye parametre for informa-sjonssystemene. Ambisjonen er at de nye ret-ningslinjene skal ivareta disse og andreutviklingstrekk med utgangspunkt i en helhetligtilnærming. Utgangspunktet er basert på risiko-tenkning fordi systemer og nettverk i dag er inter-nasjonale, større og mer komplekse. Både fore-byggende tiltak og krisehåndteringsevne forutset-tes. Den nye rekommandasjonen er inndelt i treseksjoner: generelle prinsipper, operasjonelleprinsipper og nasjonale strategier. Rekommanda-sjonen har også et tillegg med veiledning.

De generelle prinsippene handler om åbevisstgjøre alle berørte om hvilke digitale sikker-hetsrisikoer de utsettes for, og betydningen av åsørge for utdannelse, slik at alle har kunnskap til åkunne bedømme og håndtere slike risikoer. Allehar et felles ansvar ut fra sin egen rolle eller virk-somhet. Det må likevel tas i betraktning at et visstrisikonivå må aksepteres i et åpent og sammen-vevd internasjonalt miljø. Det anbefales å innføreet styringssystem for risikohåndtering («riskmanagement») for å oppnå en felles styring av sik-kerhetsarbeidet som er transparent og i samsvarmed menneskerettighetene og øvrige grunnleg-gende verdier. Et globalt Internett krever at alleaktører må samarbeide internasjonalt, på tvers avlandegrenser.

De operasjonelle prinsippene handler om sys-tematiske risikoog sårbarhetsanalyser og hånd-tering av disse. Risikohåndtering kan resultere i atrisiko aksepteres, reduseres, unngås eller kombi-nasjoner av de forskjellige alternativene. Viderehandler den andre seksjonen om sikkerhetstiltak,innovasjon og kontinuitetsplanlegging.

I den tredje seksjonen anbefaler OECD atmedlemsstatene utarbeider nasjonale strategier.Hensikten er å redusere digital sikkerhetsrisikopå alle nivåer, innenlands og på tvers av lande-grenser, uten unødvendige restriksjoner sompåvirker den frie informasjonsutvekslingen ellerteknologiutviklingen. Også individene skalbeskyttes mot digitale sikkerhetstrusler som foreksempel datainnbrudd, identitetstyveri og øko-


nomisk bedrageri. Statene må også sørge fornasjonal sikkerhet og suverenitet og sikre at men-neskerettigheter og grunnleggende verdier blirivaretatt. Strategiene skal rettes mot alle aktørerog tilpasses så vel små og mellomstore virksom-heter som individer.

Det anbefales også tiltak som bør gjennomfø-res på regjeringsnivå. Eksempler på denne typentiltak er blant annet å utarbeide en helhetlig hand-lingsplan for den offentlige forvaltningen basertpå risikoog sårbarhetsanalyser, forbedre koordi-neringen mellom relevante myndigheter, opp-rette CSIRT, høyne informasjonssikkerhetskra-vene i offentlige anskaffelser, ansette flere sikker-hetseksperter, stimulere FoU og innovasjon, samtutvikle åpne standarder.

Behovet for internasjonalt samarbeid og assis-tanse understrekes.

Å delta i internasjonale fora, etablere bilateraleog multilaterale nettverk for utveksling av erfarin-ger og en best mulig tilpasset teknologi er veien ågå. Internasjonalt samarbeid for å kunne møte oghåndtere grenseoverskridende trusler kan foreksempel skje via samarbeid mellom CSIRT oggjennom internasjonal øvingsvirksomhet.

Opparbeiding av tillit i samarbeid mellom aktø-rer tar tid. Informasjonen som det oppfordres til åutveksle, kan i mange tilfeller være sensitiv ellerhemmelig og påføre skade hvis den havner hosuvedkommende. Partnerskap og ulike former forsamarbeid mellom offentlige og private aktører,formelt eller uformelt, kan stimuleres med detmål å skape arenaer for tillitsfull utveksling avkunnskap og erfaringer.

Andre tiltak som regjeringene kan benytte forå stimulere den digitale sikkerheten, er å støtte fri-villige merkeordninger, oppmuntre til sertifise-ring og rapportere hendelser. Statistikk på områ-det trenger også utvikling gjennom planlegging avnye og internasjonalt sammenlignbare indikato-rer.

10.8.2 OECDs retningslinjer for personvern

Beskyttelse av personopplysninger ved overføringog datalagring er et område OECD har arbeidetmed i over 35 år. De første retningslinjene ble lan-sert i 1980. Ulovlig lagring av personopplysninger,oppbevaring av uaktuelle opplysninger og utleve-ring av sensitive opplysninger er de temaene sombehandles i retningslinjene.

Personopplysninger må kunne behandlesinnenfor viktige sektorer som økonomi, helse ogfor forskningsformål, samt av myndighetene.Gjenbruk av data er et annet område. Retningslin-

jene ble utarbeidet for å unngå forskjeller i lovre-guleringen mellom landene og med et mål omblant annet å legge til rette for fri utveksling overlandegrensene.

Åtte forskjellige prinsipper ble lagt til grunnmed rammer og krav knyttet til mengden innsam-lede personopplysninger, datakvalitet, formåletmed å behandle dataene, behandlingen, det vil sihåndtering og bruk, sikkerhet, åpenhet om bru-ken, individets rettigheter, samt det å definerehvem som har ansvaret for databehandlingen.Disse prinsippene ligger til grunn også for dagenspersonvern, og er blitt utviklet ytterligere i enrevidert versjon som ble fullført i 2013. To tilleggble innført med de nye retningslinjene. Det ene til-legget gjelder behovet for å innføre et risikobasertstyringssystem for å beskytte personopplysninger,det andre er å øke den globale interoperabilitetenfor området gjennom internasjonale regelverk.

Nye konsepter er også introdusert, herunderbehovet for å utarbeide nasjonale strategier forhåndtering av persondata, behovet for å utarbeideet program for ledere av virksomheter, samt kravtil hendelsesrapportering ved datalekkasje. Virk-somheters ansvar for håndtering av personopplys-ninger løftes spesielt frem.

10.9 FNs arbeid i fora knyttet til det digitale rom

FNs generalforsamlings første komité

Denne komiteen er tilegnet nedrustning og inter-nasjonal sikkerhet og behandler cybersikkerhetut fra et internasjonalt sikkerhetsperspektiv. Enresolusjon fremmet av Russland har blant annetvært førende siden 1998 og satte utviklingen avinformasjons- og telekommunikasjonsteknologierinn i en internasjonal sikkerhetskontekst. Resolu-sjonen tar blant annet opp risiko og trusler i for-bindelse med bruk av teknologiene og behovet forå vedta mulige samarbeidstiltak for å håndtereutviklingen, herunder tiltak i form av normer ogtillitsbygging. Resolusjonen, som så langt er ved-tatt med konsensus, har gitt mandat til etablerin-gen av en ekspertgruppe for IKT relatert til inter-nasjonal sikkerhet, United Nations Group ofGovernmental Experts on Developments in theField of Information and Telecommunications inthe Context of International Security (UNGGE).Slike grupper er blitt oppnevnt fire ganger, og toav gangene er det oppnådd konsensus om rappor-ter med gruppens anbefalinger. Spesielt erUNGGE-rapporten som ble antatt i 2013, blitt viet


betydelig oppmerksomhet, ettersom den konsta-terte at folkerettens prinsipper for maktanven-delse også gjelder i det digitale rom.

Den fjerde UNGGE-gruppen, med et utvidetantall medlemmer fra 15 til 20 eksperter, ble ned-satt i fjor og leverte sin sluttrapport i forkant avFNs generalforsamling i 2015. Russland, Kina,Tadsjikistan, Usbekistan, Kasakhstan og Kirgisis-tan fremmet i januar 2015 et forslag til adferdsko-der («Code of Conduct») til FNs generalforsam-ling. Flere vestlige land har møtt dette forslagetmed skepsis fordi det ikke anses akseptabelt i etmenneskerettighets- og ytringsfrihetsperspektiv.Diskusjonen om cyberspørsmål som et sikker-hetsanliggende innenfor FN har tydeliggjortbetydningen av et bredere sikkerhetsperspektivsom også løfter frem menneskerettighetene ogbetydningen av hvordan Internett forvaltes glo-balt, der særlig flerpartsmodellen (samarbeid mel-lom offentlige og private aktører) er tillagt betyd-ning.

En UNGGE rapport fra 22. juli 2015 oppfor-drer statene til økt samarbeid og utveksling avinformasjon, og hjelp til å straffeforfølge terror ogkriminell bruk av IKT. Videre statueres det at sta-tene ikke bør skade informasjonssystemene til deautoriserte responsmiljøene i en annen stat ellerbruke disse responsmiljøene til å engasjere seg iondsinnet internasjonal aktivitet.

FNs generalforsamlings andre komité

FNs generalforsamlings andre komité behandlergenerelle økonomiske og sosiale spørsmål inklu-dert utviklings- og bistandsspørsmål. IKT vektleg-ges som et viktig virkemiddel for økonomisk ogsosial utvikling på verdensbasis. Et høynivåmøtesom skal holdes i 2015, skal vurdere dette innen-for rammen av World Summit on the InformationSociety (WSIS).

I FN-kontekst har det eksistert en viktig kon-flikt omkring WSIS-prosessen, en utviklingspro-sess som startet med to toppmøter, i Genève i2003 og i Tunis i 2005. Den opprinnelige bærendeideen om å styrke FNs arbeid for å forbedre til-gangen til IKT i lav- og middelinntektsland, endtemed skarpe motsetninger om kontrollen overInternetts sentrale tekniske ressurser, standardermed mer. Spørsmålet gjaldt om Internett skullestyres i en flerpartsmodell eller ved opprettelse avet nytt FN-organ.

En kompromissløsning førte til etableringenav en åpen, global møteplass i FNs regi – «Inter-net Governance Forum» – samt et løfte om i løpetav de nærmeste ti årene å etablere «enhanced

cooperation», en formulering uten tydelig defini-sjon som gjorde at Tunisagendaen kunne vedtas.Ti år etter toppmøtet i Tunis er utredningsproses-sen avsluttet – der ITU, Den internasjonale tele-unionen, og Unesco har spilt en fremtredenderolle. Internet Governance Forum (IGF), er englobal arena for dialog mellom myndigheter ogprivate aktører om Internett-utvikling og utfor-dringer knyttet til styringen av Internett, her-under sårbarhet, sikkerhet og stabilitet for infra-struktur. I tillegg diskuteres folkerettslige pro-blemstillinger knyttet til ytringsfrihet og person-vern i det digitale rom. Norske myndigheter del-tar aktivt i dialogen i IGF med representasjon fraNkom, Samferdselsdepartementet og Utenriksde-partementet. Et høynivåmøte innenfor rammen avWSIS-prosessen skal holdes i New York i desem-ber 2015.

FNs generalforsamlings tredje komité

Den tredje komiteen behandler menneskerettig-hetsspørsmål. Vestlige land og Norge legger tilgrunn at menneskerettighetene gjelder i det digi-tale rom på lik linje med samfunnet for øvrig. Dis-kusjonen om balansen mellom sikkerhet og frihetog mellom privatliv og overvåking er krevende.Brasil og Tyskland fremmet en resolusjon omovervåking og privatliv i 2013 som Norge sluttetseg til. FN har avgitt to resolusjoner om retten tilet privatliv i den digitale tidsalder. Resolusjoneneer ikke rettslig bindende, men anses for å reflek-tere visse minstestandarder.

FNs råd for menneskerettigheter

I FNs råd for menneskerettigheter i Genève 2012ble det vedtatt en resolusjon med konsensus somfor første gang bekrefter at de samme rettighe-tene som finnes offline, også gjelder online. Enoppfølgingsresolusjon ble vedtatt i 2014, der ogsåspørsmål om retten til utdanning og styrings-spørsmål ble tatt opp. Høykommissærens rapportThe right to privacy in the digital age ble diskutert iet panel i september og presentert i UNGAs tredjeavdeling i oktober. Debatten tok blant annet oppmenneskerettighetenes ekstraterritorielle anven-delse.

OSSE

Fra 1993 har OSSE vært en regional organisasjoni FN. Den 3. desember 2013 besluttet medlemssta-tene i Organisasjonen for sikkerhet og samarbeidi Europa (OSSE) å vedta en første etablering av til-


litsskapende tiltak innenfor cybersikkerhetsområ-det. Målet med tiltakene er å fremme samarbeid,åpenhet, forutsigbarhet og stabilitet for åbegrense risikoen for misforståelser og eskale-ring av konflikter i det digitale rom. I beslutningenunderstrekes det at iverksetting av tiltakene skalvære i samsvar med internasjonal rett og isærFNs konvensjon om sivile og politiske rettigheter.Ifølge overenskomsten påtar de deltagende sta-tene seg frivillig å rapportere om nasjonale ogtransnasjonale trusler som gjelder IKT. I tilleggkan statene på frivillig basis bistå med konsulta-sjoner for å redusere risiko for misforståelser,konflikt og politisk spenning.

Sårbarheter i det digitale rom er en globalutfordring. Det eksisterer ingen internasjonaleavtaler som regulerer hvordan nasjonalstateneskal håndtere globale sikkerhetsutfordringer. Deninternasjonale debatten rundt sårbarhet, sikker-het og stabilitet for Internett skjer i stor grad i forasom ikke etablerer rettslige forpliktelser mellomstatene. For at norske myndigheter skal kunnevære informert og påvirke utviklingen innen sår-barhet, sikkerhet og stabilitet for Internett, er detessensielt at norske myndigheter er representertog deltar i debatten på den internasjonale are-naen.

10.10 NATO

Cyberforsvar er en del av NATOs kjerneoppgaveom kollektivt forsvar, som bekreftes av deklarasjo-nen fra toppmøtet i Wales i 2014. NATO beslutter idet enkelte tilfelle om et cyberangrep mot en med-lemsstat skal utløse de gjensidige forsvarsforplik-telsene i artikkel 5. NATOs strategiforslag somble vedtatt på toppmøtet i Lisboa i 2010, understre-ker betydningen av at NATO har fokus på cyber-forsvarsområdet.

Cooperative Cyber Defence Centre of Exellence (CCD-COE)

Det NATO-akkrediterte cyberforsvarssenteret bleopprettet i Tallinn i Estland for å øke kunnskapenom trusselbilder innenfor cybersikkerhetsområ-det. I 2013 presenterte en ekspertgruppe som vartilknyttet senteret, forskjellige perspektiver påhvordan folkeretten kan få anvendelse innenforcyberområdet. Arbeidet er publisert i rapportenManual on the International Law Applicable toCyber Warfare, også kalt Tallinmanualen.

NATO Computer Incident Response Capability (NCIRC)

Organisasjonen som har som oppgave å beskytteNATOs egne nettverk. NSM NorCERT mottarrapporter fra NCIRC og deler informasjon viaNATO MISP (Malware Information Sharing Plat-form) som de drifter. NSM NorCERT har ogsådirektekontakt i relevante hendelseshåndterings-saker.

10.11 Interpol

I september 2014 ble Interpol Global Complex forInnovation (IGCI) etablert i Singapore. Dette skalfungere som et forsknings- og utviklingssentrum.Innenfor IGCI ligger Interpols Digital Crime Cen-tre, som skal øke informasjonssikkerheten ogbekjempe IKT-relatert kriminalitet. Senteret haret kriminalteknisk laboratorium som støtter etter-forskning av IKT-kriminalitet. Her foregår ogsåforsknings- og utviklingsaktiviteter som å testeprotokoller, verktøy og tjenester og å utvikle prak-tiske løsninger i samarbeid med politiet, akademiaog øvrig offentlig og privat sektor. Senteret utar-beider i tillegg trendanalyser om IKT-angrep. Detre viktigste initiativene overfor medlemsstateneer harmonisering, å bygge kapasitet, samt gi ope-rativ og kriminalteknisk støtte.

10.12 Andre multilaterale samarbeidsfora

ICANN

Allokering av IP-adresser, domenenavnsystemer(DNS) og toppdomener utgjør tre sentrale funk-sjoner for sikker og stabil bruk av Internett. Dettehåndteres i dag av The Internet Corporation forAssigned Names and Numbers (ICANN), en pri-vat stiftelse i California. Arbeidet er basert på enkontrakt med amerikanske myndigheter.

Norske myndigheter kan gi innspill til ICANNgjennom et myndighetsforum (Government Advi-sory Committee), men i realiteten har offentligemyndigheter utenfor USA begrenset påvirkningpå ICANNs beslutninger. Stabilitet og funksjonali-tet for de nasjonale toppdomenene, som «.no», erav stor betydning. Det er så opp til de enkeltelands myndigheter å beslutte nasjonal reguleringog iverksette sikkerhetstiltak for nasjonal infra-struktur. Det foregår stor grad av europeisk koor-dinering i regi av EU-kommisjonen når det gjelderarbeidet innen ICANN.


European Government CERT (EGC)

Dette er et uformelt nettverk av myndighets-CERT-er i Europa. Oppgaver det samarbeides om,er blant annet informasjonsutveksling knyttet tilskadevare og sårbarheter og utvikling av tiltak forå håndtere hendelser. EGC er en operativ gruppemed teknisk fokus, og de fastsetter ikke policyer.NSM NorCERT representerer Norge.

Nordic CERT Consortium (NCC)

Dette er en samarbeidsarena for de nordiskenasjonale CERT-organisasjonene. Det blir jevnligholdt møter, og det er etablert et gradert sambandmellom landene. Landene samarbeider også omfelles øvelser og kurs.

European Network of Forensic Science Institute (ENFSI)

ENFSI har etablert en gruppe, Forensic Informa-tion Technology, som arrangerer årlige møter.Deltagelsen gir Norge tilgang til ressurspersonerog et bredt kontaktnett innen det tekniske fagfel-tet og til erfaringer og metoder fra Europa. Grup-pen er også en inngangsport til tilsvarende tek-niske grupper i Asia og USA.

FIRST (global Forum for Incident Response and Security Teams)

Dette er et forum med over 300 medlemmer glo-balt, og er et samarbeid mellom en rekke respons-miljøer fra myndigheter, private virksomheter ogakademia. Formålet er samarbeid og koordine-ring for å forebygge hendelser, sikre hurtigrespons på hendelser og promotere informasjons-deling mellom medlemmene og samfunnet forøvrig.

ILETS

Dette er et internasjonalt samarbeid om kommu-nikasjonskontroll og utnyttelse av elektroniskespor over landegrenser hvor juridiske og teknolo-giske utfordringer blir diskutert. USA, Australia,Canada, Frankrike, Tyskland, Italia og Englanddeltar aktivt med representanter fra departemen-ter og politiorganisasjoner som har ansvar forpoliti- og sikkerhetstjenester.

Hardware Forensics

Dette er en liten, eksklusiv internasjonal ekspert-gruppe som består av teknologer (ikke politi) medspisskompetanse som møtes for å diskutere meto-deutvikling i faget Hardware Forensics, sommetoder innen dypsikring av mobiltelefoner, GPS-er, knekking av passordbelagte harddisker/min-nepinner, analyse av bilelektronikk, og lignende.Dette er det viktigste forumet Kripos benytter forkompetanseheving og tilgang på verdensledendeteknikker innen fagfeltet.

International Watch and Warning Network (IWNN)

Dette er en internasjonal samarbeidsarena somdiskuterer trusler, sårbarheter og angrep på Inter-nett. Hensikten er å etablere en felles situasjons-forståelse og evne til å håndtere hendelser. NSMNorCERT representerer Norge.

Den internasjonale personvernkonferansen

Denne internasjonale arenaen samler verdenspersonvernmyndigheter med et mål om konsen-sus om overordnede prinsipper og retninger forpersonvernarbeidet. Det blir utført komité- oggruppearbeid mellom konferansene.

Det norske Datatilsynet, med støtte fra enrekke andre personvernmyndigheter, fremmetutkast til en resolusjon om hvordan personvern-myndighetene bør forholde seg til Big Data. Reso-lusjonen ble vedtatt. Også resolusjonen Privacy inthe Digital Age er vedtatt. Dette er en støtteerklæ-ring til FNs pågående arbeid med oppfølging avmyndighetenes masseovervåking på tvers av lan-degrenser.

Global Privacy Enforcement Network, GPEN

GPEN er et samarbeidsforum for personvern-myndigheter. Datatilsynet deltok på et møte i foru-met i sammenheng med den internasjonale per-sonvernkonferansen, og deltar i telefonkonferan-ser gjennom året. GPEN legger til rette for infor-masjonsutveksling, og det planlegges koordinerteaktiviteter. Det pågår en oppgradering av sam-handlingsløsningen for GPEN-medlemmene, ogDatatilsynet har bidratt økonomisk ved etablerin-gen av denne. «Internet Sweep Day» er en GPEN-koordinert aktivitet. Sist ble ivaretakelse av per-sonvernet i mobilapper undersøkt.

Del IIISårbarheter i kritiske samfunnsfunksjoner


Kapittel 11

Elektronisk kommunikasjon

Samhandling og utveksling av informasjon fore-går i stadig større grad gjennom elektronisk kom-munikasjon. Internett blir brukt til e-post, publise-ring og innhenting av informasjon og til interak-tive e-tjenester som e-forvaltning, e-handel ognettbank. IKT-systemer og nettverk danner basisfor prosesstyring og overvåking av installasjonerpå norsk kontinentalsokkel, av kraftverk, vann-verk og etter hvert de fleste deler av industrien.

Ekom er en innsatsfaktor i all vare- og tjeneste-produksjon og økonomisk virksomhet. Helseve-sen, betalingstjenester, stat, kommune og ordens-makt er avhengige av at den elektroniske kommu-nikasjonen fungerer. Innovasjon og utvikling avnye tjenester som er basert på støtte fra telekom-munikasjon, gjør denne avhengigheten enda ster-kere.

De verdiene og funksjonene som ekomnett og-tjenester leverer, er en helt sentral forutsetningfor at andre samfunnsfunksjoner skal kunnelevere det de skal. Samtidig er det en stadigøkende forventning i samfunnet om at ekom sominnsatsfaktor er stabil og tilgjengelig. 100 prosentoppetid tas mer eller mindre for gitt, og det ermeget lav aksept for brudd.

Privatpersoner og organisasjoner har fått sinportal til offentlige myndigheter gjennomnorge.no. Så viktig er Internett blitt at også sosialtsamkvem i stor grad nå skjer via sosiale medier ogonline-spill. Mange norske bedrifter bekrefter atnoen få dager uten Internett vil være katastrofaltfor virksomheten.1

Samfunn og næringsliv er i stor grad avhen-gige av ekom også i krisesituasjoner. Erfaringenefra hendelser der ekom har sviktet, viser at kri-tiske samfunnsfunksjoner som kriseledelse, nød-og redningstjeneste er avhengige av ekomtjenes-ter som en innsatsfaktor for å ivareta befolknin-gens behov. Også Forsvaret er avhengig av sivil

ekom i samvirket med totalforsvaret og i forbin-delse med logistikkstøtte og drift.

11.1 Ekominfrastruktur

Ekom er en forkortelse for «elektronisk kommuni-kasjon» og defineres i lov om elektronisk kommu-nikasjon, ekomloven, som «kommunikasjon vedbruk av system for signaltransport som muliggjøroverføring av lyd, tekst, bilder eller andre data vedhjelp av elektromagnetiske signaler i fritt romeller kabel der radioutstyr, svitsjer, annetkoplings- og dirigeringsutstyr, tilhørende utstyreller funksjoner inngår».

Ekomtjenester er tjenester som formidler sig-naler i ekomnett, for eksempel TV, taletjenestereller Internett. Som brukere forholder vi ossoftest til taletjenester og ulike distribuerte data-programmer som krever kommunikasjon for åfungere. Eksempler på det siste kan være alt fraenkle applikasjoner på mobilen til systemer somkontrollerer kritiske produksjonsprosesser forindustrien. Ekomtjenestene må ha en infrastruk-tur av nettverk og nettverkskomponenter for åfungere.

På Internett kommuniserer alle tilknyttedeenheter ved hjelp av en felles protokoll – IP (Inter-net Protocol). Andre store nettverk (for eksempelde tradisjonelle telenettene) har benyttet andreprotokoller, men vi ser at stadig flere systemermigrerer mot IP. Selv om IP er standardisert, erdet en kontinuerlig utvikling av utstyret somkobles på Internett, og utskifting av komponenteri selve nettet for å tilfredsstille krav til stabilitet,sikkerhet, kapasitet og effektivitet.

De grunnleggende elementene som tilsammen utgjør ekominfrastrukturen, er kjerne-nett, regionalnett, aksessnett, tjenestenett ogdrifts- og støttesystemer. Dette er illustrert i figur11.1.

Selv om vi beskriver ekomnettet i entall, eksis-terer det i virkeligheten flere mer eller mindreuavhengige ekomnett. Disse er igjen i større eller



mindre grad integrert med hverandre. De ulikenettene vil i varierende grad inneholde alle ele-mentene i figur 11.1.

Figuren illustrerer forbindelsen mellom bru-keren og ekomtjenesten. Kjernenettet løser tra-fikkbehovet mellom større byer og regioner, regi-onalnettet løser trafikkbehovet innad i større byerog regioner, mens aksessnettet knytter utstyrethos brukeren til regionalnettet. Kjernenettet harnødvendigvis større kapasitet enn regionalnettetog aksessnettet. De ulike begrepene blir bruktulikt innenfor sektoren, men utvalget har valgt føl-gende definisjoner i denne rapporten:

Kjernenettet2 er den landsdekkende «motor-veien» for tele- og datakommunikasjon. Kjernenet-tet består av overføringssystemer med stor kapa-sitet, fiberkabel og i noen tilfeller radiolinje. Kjer-nenettet knytter sammen regionalnettene og erforbindelsen mellom de store byene eller knute-punktene.

Regionalnettene3 er «riksveiene» for tele- ogdatakommunikasjon. Regionalnettene knytteraksessnettet og kjernenettet sammen gjennomflere sentraler som samler opp trafikk fra aksess-nettene. Regionalnettene dekker en region – foreksempel et fylke eller en stor by.

Transportnettet er en kombinasjon av kjerne-nett og regionalnett.

Aksessnettene knytter forbindelse mellom denenkelte sluttbrukeren og transport- og tjeneste-nettene. De faste aksessnettene kan være fiber,koaks eller kobber, og sender trafikk mellomsluttbrukeren og nærmeste sentral i regionalnet-tet. Mobilnettene er en type aksessnett med tråd-løs forbindelse mellom basestasjoner og bruker-nes mobiltelefoner. Den enkelte basestasjonendekker et lite geografisk område, og hver basesta-sjon er knyttet til den faste delen av ekomnettetmed en fast linje eller en radiolinje. Basestasjonerbestår grovt sett av to elementer: antenner somsender og mottar signalene, og et skap med utstyrsom behandler signalene.

For at en tilbyder av mobilnett skal kunnedekke hele landet, kreves det et aksessnett medflere tusen basestasjoner.

Tjenestenett er ikke selvstendige fysiske over-føringsnett, men kan benytte ulike typer infra-struktur som også brukes til andre typer tjenester.Disse benytter det samme transportnettet for åformidle informasjon mellom et antall tjenesteno-der. Fasttelefonnettet og mobiltelefonnettene ereksempler på tjenestenett. Tjenestenettene bestårav diverse systemer og utstyr som er nødvendigfor å levere de ulike tjenestene.

Transmisjon er den tjenesten som leveres avkjernenett og regionalnett i fellesskap. Et lands-dekkende sett av basestasjoner trenger derfortransmisjon for å kunne levere mobiltelefoni.

Drifts- og støttesystemene er IKT-systemer somovervåker og styrer ekomnett og tjenestenett.Drifts- og støttesystemene er en kritisk del av

2 Kjernenettet kalles i noen sammenhenger transportnettet.3 Regionalnettene kalles i noen sammenhenger metronett.

Figur 11.1 Ekominfrastruktur.

Kilde: Oslo Economics.

Kjernenett

Regionalnett

Aksessnett

Sender/ mottaker

Antenne

Basestasjon

PE ruter

P ruter


infrastrukturen og er ofte felles for flere funksjo-ner i nettet. Det er en tendens at funksjonene sen-traliseres og styres ved hjelp av elektronisk kom-munikasjon. Mange av komponentene er derforavhengige av at nettene fungerer, for å kunne fun-gere normalt.

En node er i IKT-sammenheng betegnelsen påen enhet i et nettverk. Det kan være for eksempelen ruter, en server eller en svitsj.

En svitsj er et apparat som mottar signaler fraen rekke inngående linjer og sender dem videreetter bestemte regler. Klassisk telefoni er et typiskeksempel på et nettverk som er avhengig av svit-sjer. Her brukes svitsjer for å koble en midlertidigkrets mellom samtalepartnere (linjesvitsjing). Idatakommunikasjon deles strømmen av digitaledata opp i pakker med avgrenset lengde, som alleinneholder informasjon om opphavet og hvor deskal (pakkesvitsjing). Svitsjer i telefonnettet kallesvanligvis telefonsentraler.

11.1.1 Robusthet i infrastrukturen

Når man snakker om robusthet i ekomnettene, erdet særlig to begreper som er sentrale: redundansog fremføringsdiversitet. Redundans oppnås ved åha flere maskiner eller strukturer som kan leveresamme tjeneste, i noen tilfeller også ved å ha mas-kiner på flere lokasjoner. Maskinene kan opereresuavhengig av hverandre og overtar for hverandredersom det skulle oppstå svikt i én av dem. Dettereduserer faren for utfall av nettet ved tekniskefeil eller elektroniske eller fysiske angrep på nett-verksutstyr i en node. Fremføringsdiversitet er enform for redundans (et «sub-set» av redundans),Med fremføringsdiversitet menes fysisk adskilteføringsveier for infrastrukturen. Dette redusererfaren for utfall av nettet ved naturhendelser, gra-veskader eller fysiske angrep på infrastrukturen.Fremføringsdiversitet kan enten oppnås gjennomparallelle føringsveier eller gjennom ringstruktur iinfrastrukturen. Ringstrukturens funksjon er illu-strert i figur 11.2. Kommunikasjonen mellom sen-tralene A–E går normalt én vei i en ringstruktur ikjernenettet. Ved brudd i ringen kan trafikken leg-ges om slik at den samme kapasiteten benyttes,men nå i begge retninger.

Brudd i kjernenett eller systemfeil i en sentralruter kan få store konsekvenser for store deler avbefolkningen. Brudd i aksessnett eller feil i en CE-ruter vil bare få lokale konsekvenser for etbegrenset antall sluttbrukere. Ettersom trafikkon-sentrasjonen er størst i denne delen av infrastruk-turen, er kjernenettet bygd med høy grad avrobusthet, og det er samtidig dimensjonert med

høy kapasitet. Robustheten avtar når man bevegerseg ut i regionalnettet og aksessnettet mot slutt-brukerne.

11.1.2 Kjerne- og transportnett

Det finnes flere virksomheter i Norge som eierfiberinfrastruktur, men det er kun Telenor og Bro-adnet som har landsdekkende transportnett påland. Begge disse nettene utgjør en kritisk infra-struktur i ekomsektoren, siden all type trafikksom telefoni, mobiltelefoni, bredbånd, nødnett-samband, fjernsyn og så videre går via disse net-tene. En del av infrastrukturen til Telenor og Bro-adnet er fremført i felles traseer. Dette kan væreen faktor som svekker robustheten i nettet.

I kjernenettet til Telenor er redundansen iva-retatt ved at det er to parallelle, fysisk og logiskadskilte nett, samt at deler av nettet har ringstruk-tur. Ringstrukturen gir en ekstra grad av redun-dans og robusthet. Dersom ringen brytes, vil tra-fikken kunne rutes motsatt vei. I tillegg finnes detdelvis et reservenett som tas i bruk ved utfall avdet ordinære nettet. I regionalnettet er redundan-sen i infrastrukturen også ivaretatt ved hjelp avringstrukturer. Foruten redundansen i føringsvei-

Figur 11.2 Ringstrukturens funksjon.

Kilde: DSB.

A B

C

D

E

A B

C

D

E


ene er kritiske nettverkselementer som rutere/svitsjer duplisert for å øke robustheten i tilfelle feili maskinvarer. I tillegg er noder (sentraler medrutere/svitsjer/servere) i nettet utstyrt medreservestrømløsninger, enten batteri eller nød-strømsaggregat, for å kunne sikre fortsatt driftved utfall i strømnettet.

Altibox har etablert sitt eget høykapasitetsnettover langtidsleie av mørk fiber, som så langt dek-ker 17 av 19 fylker. Mye av infrastrukturen er leidav egne partnere i Altibox. Altibox knyttersammen nettene sine uten å gå via Telenor, mentilbyr foreløpig ikke operatør-transmisjons pro-dukter utover standard lag 2 og 3 bedriftsproduk-ter. Partnerkonseptet til Altibox innebærer at detbygges fibernett i en rekke regioner hvor lokalpartner har ansvar for utbygging og installasjon, ihovedsak lokale elektrisitetsverk. Altibox levererkomplette forretnings- og operasjonelle støtte-systemer, teknologisk nettverksdesign og bred-båndsprodukter til partnerne.

Det finnes også et landsdekkende transport-nett som benyttes til kringkasting. Nettet eies ogdrives av Norkring, som er et heleid datterselskapav Telenor. Tradisjonelt har fjernsyns- og radiosig-naler utelukkende vært distribuert over kringkas-tingsnettet, men i dag suppleres dette i økendegrad med digital overføring gjennom ekomnet-tene.

11.1.3 Aksessnett

Et aksessnett knytter sluttbrukeren til transmi-sjons- og transportnettet og derigjennom til tje-nestetilbyderne. Det finnes flere forskjellige typeraksessnett, både faste og trådløse. Gjennomaksessnettet kan en sluttbruker få tilgang til uliketjenester som telefoni, fjernsyn, radio og Inter-nett.

For faste aksessnett finnes det kobberlednin-ger, koaksialkabler og optisk fiber. Optisk fiber tilbruk for aksessnett er i større grad blitt utbygd desenere årene, særlig i tettbebygde og urbanestrøk. Dette nettet har betydelig større bånd-bredde enn aksessnett basert på kobberledningerog koaksialkabler.

Det er planer om å fase ut det linjesvitsjedePSTN-systemet4, slik at verken analog fasttelefonieller digital ISDN-telefoni5 vil være tilgjengeligom noen år. Årsaken til den planlagte utfasingener redusert etterspørsel etter tjenester basert påPSTN/ISDN-teknologien og at mobiltelefoni og

VoIP6 (telefoni over IP-nettverk) i økende grad hartatt over markedsandeler. En annen viktig årsaker manglende tilgang på reservedeler, support ogteknisk personell.

11.1.4 Mobilnett

Trådløse nett er systemer som bruker radiosigna-ler til kommunikasjon i aksessnettet. Mobilnet-tene, som er eksempler på trådløse aksessnett, til-byr mobiltelefoni- og dataoverføringstjenester.Telenor og TeliaSonera (Netcom) er de størsteaktørene på dette området. Per i dag er GSM (2.generasjon mobilnett) fullt utbygd og har dekningså godt som alle steder der folk bor. UMTS (3.generasjon mobilnett) er også utbygd, men harlavere dekningsgrad enn GSM-nettet. LTE (4.generasjons mobilnett) er fortsatt under utbyg-ging. Foruten å tilby mobiltelefonitjenester blirmobilnettet i dag i økende grad brukt til overfø-ring av datatrafikk. ICE er på vei inn i dette mobil-telefonimarkedet som en tredje aktør. De vil iløpet av 2015 starte utbyggingen av et rent LTE-basert mobilnett.

11.1.5 Satellittkommunikasjon

Satellittbasert kommunikasjon er med sine sær-skilte egenskaper et svært viktig element i dentotale ekominfrastrukturen, spesielt for et landsom Norge med tilhørende topografi, geografiskutstrekning og ressursforvaltningsinteresser fraAntarktis til Arktis. Se kapittel 12 «Satellittbasertetjenester».

11.1.6 Kommunikasjonsinfrastruktur på norsk sokkel

Satellittkommunikasjon var opprinnelig enestekommunikasjonsmåte offshore og er fortsatt vik-tig for oljevirksomheten. Ikke minst er den viktigsom reserveløsning for å skape redundans. I dagfremstår Tampnet og MCP (Maritime Communi-cations Partner) som viktige infrastrukturleveran-dører. Kabelutbyggingen er drevet frem av detbehovet olje- og gassoperatørene har for stadigmer datakapasitet.

Tampnets infrastruktur leverer høyhastighetsbåndbredde til offshore olje- og gassinstallasjonerpå norsk og britisk side av Nordsjøen. Deres infra-struktur tilbyr raskeste vei ut av Norge til Europa,uten å gå via Sverige. Infrastrukturen består avundersjøiske fiberkabler, radiolinjer og LTE 4G og

4 Public Switched Telephone Network.5 Integrated Services Digital Network. 6 Voice Over IP.


har fire landingspunkter i Norge og to i Storbritan-nia. Nettverket er lukket, og det er ikke direktekoblet til Internett.

MCP (Maritime Communications Partner) eren fullverdig mobiloperatør, i motsetning til Tamp-net, som til nå har vært aktør med fiberbasertedatatjenester. MCP opererer på alle sju hav, og harbåter med sin løsning over hele verden. I 2013hadde MCP 20 millioner unike brukere i nettet.Tampnet vil tilby mobilaktører å roame i sitt nett-verk i Nordsjøen, noe som betyr at flere mobilak-tører vil tilby sine tjenester i Nordsjøen, og ikkebare MCP.

11.1.7 Nødnett

Nødnett er det nye digitale radiosambandet fornød- og beredskapsetater. Det er basert påTETRA-standarden og opererer ved 380–400MHz. Dette frekvensområdet er reservert for nød-samband i hele Europa. Nødnett er primært ettalesamband for gruppekommunikasjon, ogmuliggjør blant annet kryptert kommunikasjon påtvers av nødetater. Ved siden av talekommunika-sjon er det mulighet for utveksling av tekstmeldin-ger (SDS) og dataoverføring med begrenset has-tighet. Ved bruk av TEDS-funksjonalitet i TETRA,som tilsvarer GPRS/EDGE i GSM, kan dataover-føringer gjennomføres med realistisk hastighetopp mot cirka 80 kbit/s. Det pågår for tidenuttesting av TEDS. På lengre sikt vil det kanskjevære mulig å integrere TETRA og LTE, noe somvil gi en langt bedre dataoverføringshastighet enndagens løsninger. Digitalt nødnett kjøper transmi-sjon og transport fra tredjeparter.

Figur 11.3 viser ringstrukturen som nødnetteter bygd med, og som bidrar til en ekstra redun-dans. Nødnettet skal etter planen være ferdigutbygd innen utgangen av 2015.

11.1.8 Internett

Forløperen til Internett var et forskningsnett somble kalt ARPANET og opprinnelig var et militærtnettverk. Protokoller for utveksling av filer bleutviklet, og med protokollen IP ble det mulig åkoble sammen nettverk. I 1972 ble Norge koblettil ARPANET. Norge var dermed det første landetutenom USA som kom til å bruke ARPANET.7

Standarder og protokoller utviklet over tidgjorde at geografisk spredte nett vokste frem tildet vi i dag kjenner som Internett, et nettverk avnettverk som går på tvers av landegrenser ognasjonale ekominfrastrukturer – uten noen over-ordnet styring. I dag finnes det tjenester forutveksling av informasjon, informasjonssøk, ned-lasting og opplasting av data, og sammenstillingog analyse av informasjon. Datamaskiner kommu-niserer med hverandre over Internett, og algorit-mer (matematiske regler) bestemmer reaksjons-mønsteret.

Utviklingen har gjort det mulig for globaleaktører å utvikle skytjenester der store serverpar-ker kan levere tjenester og prosessorkapasitet tildet globale markedet på tvers av nasjonale gren-ser (se punkt 23.7 «Utkontraktering og skytjenes-ter»). Om vi ser tilbake, er skyen egentlig en vide-reføring av opprinnelsen til Internett, der ressurs-tilgang og økonomi la grunnlaget for sammenkob-ling av datamaskiner. Ringen er dermed på enmåte sluttet, og en ny utviklingsspiral trer fremmed innovasjon av innholdstjenester basert påInternettet.

Det tidligere tjenesteskillet mellom tale, tekst,bilde og data er i ferd med å forsvinne helt. Alletjenestene leveres etter hvert på samme vis (overIP) og tilbys som en applikasjon på mobiltelefo-

Figur 11.3 Digitalt nødnett.

Kilde: DNK.

7 Bing, J.: «Building cyberspace: a brief history of Internet».In: Internet Governance, Infrastructure and Institutions.Eds: Bygrave, L.A. and Bing. J., Oxford University Press:8–47.


nen, nettbrettet, PC-en og så videre. Tjenestenekombineres på helt nye måter, og det blir vanske-lig å skille dem fra hverandre. Mange av tjenes-tene blir i økende grad også tilbudt fra globale inn-holdsleverandører som Google, YouTube og Face-book. Valgmulighetene blir flere, og det blirenklere for sluttbrukerne å kommunisere på fleremåter. Kommunikasjonsform vil i større gradavhenge av kontekst og hensikt, uten at brukernemå gjøre veldig bevisste valg.8

11.2 Roller og ansvar

Samferdselsdepartementet (SD) har det overord-nede ansvaret for ekomsektoren. SD er nærmereomtalt i kapittel 8 «Organisering av roller ogansvar».

Nasjonal kommunikasjonsmyndighet (Nkom)er underlagt SD og har ansvar for å forvalte ekom-loven og føre tilsyn med ekomtilbydere. Nkomhar videre ansvar for koordinering og rapporte-ring ved uønskede hendelser som rammer ekom-nett eller -tjenester for markedsregulering av tilby-dere og frekvensforvaltning. Nkom arbeider ogsåmed forebyggende IKT-sikkerhet gjennom nett-stedet nettvett.no.

Direktoratet for nødkommunikasjon (DNK) haransvaret for utbyggingen av et digitalt nødnett iNorge. Direktoratet ble opprettet 1. april 2007 oger underlagt Justis- og beredskapsdepartementet.

Utenriksdepartementet (UD) har en viktig rollei forbindelse med internasjonale arenaer der blantannet Internetts styring og fremtid blir drøftet.

Sivilt–militært samarbeid

Forsvarets kommunikasjonsinfrastruktur (FKI) eret landsdekkende nett med kommunikasjonstje-nester. Den underliggende infrastrukturen somdette bygges på er imidlertid under endring og erdelvis eid av private aktører. Dette nettet dekkerForsvarets behov for teletjenester internt i Forsva-ret og til noen viktige sivile beredskapsaktører,men for omfattende sivilt–militært samhandlinger Forsvaret også avhengig av sivile ekomtjenes-ter. FKI har totalt om lag 50 000 brukere. Forsva-ret har tidligere drøftet spørsmålet om å sette bortog selge deler av FKI til andre offentlige etatereller til private selskaper. I anledning effektivise-ring og modernisering av FKI er det spørsmål omenkelte radiolinjestasjoner, som også støtter sivile

behov i dag, fortsatt skal driftes selv om Forsvaretikke lenger trenger dem i den moderniserte mili-tære infrastrukturen. Fra sivil side er det enbekymring at Forsvaret bygger ned denne infra-strukturen, fordi sivile basestasjoner og utstyrkan være montert på samme radiolinjetårn.

Internasjonalt samarbeid

Innenfor EØS-området er reguleringen av ekom-markedene relativt lik. Krav til sikkerhet ogberedskap er imidlertid et nasjonalt anliggende.Norsk regulering på feltet vil i europeisk sammen-heng lettest kunne sammenlignes med øvrige nor-diske og i en viss grad nordeuropeiske land, dergraden av digitalisering er høy og den samfunns-messige avhengigheten stor. Dette reflekteresgenerelt i strengere krav til sikkerhet og bered-skap. Ellers er aktørbildet innenfor EØS-områdetkjennetegnet av samme status med en bredspek-tret blanding av store aktører, gjerne, men ikkenødvendigvis, tidligere monopolister, og en langrekke mindre og mellomstore utfordrere.

Styring av Internett og Norges påvirkningsmulighet

Internet Assigned Numbers Authority (IANA) eransvarlig for global koordinering av rotservere fordomenenavn, IP-adressering og andre proto-kollressurser, og er organisert under The InternetCorporation for Assigned Names and Numbers(ICANN). ICANN er en global privat flerinteres-sentorganisasjon som styrer forvaltningen av deglobale Internett-ressursene. Amerikanskemyndigheter har et kontraktsforhold medICANN, men vurderer å avslutte kontrakten forutførelse av IANA-funksjonene. ICANN fasilitererderfor en prosess der verdenssamfunnet kommersammen og utarbeider forslag til en ny styrings-modell. Norge ved Nkom deltar i arbeidsgruppen.I tillegg deltar blant annet representanter for.com, .shop og lignende domener. USA har stilt endel betingelser for løsningen man skal kommefrem til: Løsningen skal blant annet støtte og for-sterke flerinteressentperspektivet, man skalbeholde sikkerhet, robusthet og stabilitet i dome-nenavnsystemet, og man skal imøtekomme kravtil åpenhet, forventninger og behov hos de globalekundene.

International Telecommunication Union (ITU)ligger i Sveits og er FNs globale spesialorgan fortelekommunikasjon med 193 medlemsland.Norge har vært med helt fra starten. ITU er delt itre byråer, som arbeider med henholdsvis radio,standardisering og utvikling. ITU er viktig blant

8 Post- og teletilsynet (2014): Ekomtjenester, -nett og -utstyr.Utvikling og betydning for PT.


annet for frekvensforvaltning. Hvert fjerde år hol-der ITU en fullmaktskonferanse, den nittende bleavholdt i 2014. Fra Norge deltok representanterfra Samferdselsdepartementet, Utenriksdeparte-mentet, Nasjonal kommunikasjonsmyndighet,Telenor og Norid.

Forvaltningen og styringen av Internett debat-teres internasjonalt, og diskusjonen er blitt inten-sivert og aktualisert de siste to–tre årene. Detinternasjonale samfunnet har en stor utfordringnår det gjelder å enes om prinsipper og veienvidere for utvikling og styring av det fremtidigeInternettet. Nkom deltar aktivt internasjonalt somforvalter av Internett-ressurser og tilsynsmyndig-het for infrastruktur for elektronisk kommunika-sjon, for å fremme norske interesser. Sikkerhet ogstabilitet for Internett globalt inngår i Nkoms for-valtningsansvar gjennom å være norsk represen-tant i Governmental Advisory Committee (GAC) iICANN. Nkom er ansvarlig for å ivareta nasjonaleinteresser innen effektiv ressursforvaltning avInternett-ressurser som domenenavn og IP-adres-ser, som også innebærer å være pådriver sammenmed andre lands myndigheter og andre privateinteressenter for ivareta sikkerhet og stabilitet fordomenenavnsystemet.

Med hjemmel i ekomloven og domeneforskrif-ten § 9 har Nkom tilsynsansvar for Uninett NoridAS (Norid). Norid har ansvar for drift av vår nasjo-nale del av domenenavnsystemet, landkode-topp-domenet .no. Nkom har vedvarende dialog medNorid vedrørende utvikling og forvaltning avnasjonale domenenavnresurser.

11.3 Hjemmelsgrunnlag og tilsynsvirksomhet

Lov om elektronisk kommunikasjon (ekomlo-ven)9 regulerer kommersielle ekomtilbydere iNorge, og er grunnlaget for reguleringen av dennasjonale kommunikasjonsinfrastrukturen. Sam-ferdselsdepartementet er sammen med Nkommyndighet etter ekomloven. Nkom har ansvar fortilsyn når det gjelder lovens virkeområde både påfastlandet og på norsk sokkel. Nkom fører tilsynmed tilbydere av elektroniske kommunikasjons-nett og -tjenester (ekomtilbydere), domeneinfra-struktur og utstedere av kvalifiserte sertifikaterfor esignatur.

Formålet med loven er å sikre brukerne i helelandet gode, rimelige og fremtidsrettede elektro-

niske kommunikasjonstjenester gjennom effektivbruk av samfunnets ressurser ved å legge til rettefor bærekraftig konkurranse og stimulere tilnæringsutvikling og innovasjon.

Loven gjelder virksomhet knyttet til elektro-nisk kommunikasjon og tilhørende utstyr. Forvalt-ning og bruk av det elektromagnetiske frekvens-spekteret og nummer, navn og adresser er omfat-tet. Det samme gjelder all utstråling av elektro-magnetiske bølger fra elektronisk kommunikasjonog all utilsiktet utstråling av elektromagnetiskebølger som kan forstyrre elektronisk kommunika-sjon. Loven gjelder også for norske skip og luftfar-tøy og for anlegg og innretninger av enhver artsom har tilknytning til petroleumsvirksomhet påkontinentalsokkelen, og for utnyttelse av forny-bare energiressurser til havs innenfor havenergil-ovens virkeområde.

Nkom har flere tilsynsområder som følges oppmot forskjellige aktører i ekommarkedet. I tilleggtil markedstilsynsrollen kan vi nevne teknisk til-syn med markedet for radioog teleterminalutstyr,i tillegg til frekvensbruk, bygging og drifting avnett og i sterkt økende grad forhold knyttetdirekte til sikkerhet og beredskap i nett.

NSM fører også tilsyn etter sikkerhetslovenog objektsikkerhetsforskriften. Det direkte til-synsansvaret med objekter i ekominfrastruktursom er utpekt som skjermingsverdige etterobjektsikkerhetsforskriften, ligger hos Nkom.

Sikkerhet og beredskap

Ekomloven § 2-10 gir nærmere bestemmelser omsikkerhet og krav til beredskap. Første ledd inne-holder de overordnede kravene, og her angir ord-lyden «forsvarlig sikkerhet» den normen som til-byderne til enhver tid skal oppfylle. Tilbyderneskal selv dekke kostnadene knyttet til å oppfyllekrav i dette leddet.

I henhold til andre ledd kan myndighetentreffe enkeltvedtak eller inngå avtale om at tilby-deren skal gjennomføre tiltak for å sikre oppfyl-lelse av nasjonale behov for sikkerhet, beredskapog funksjonalitet i elektronisk kommunikasjons-nett og -tjeneste utover det som følger av førsteledd. Tilbyderens merkostnader ved levering avslike tiltak skal kompenseres av staten.

Nkom kan, som tilsynsmyndighet, utføre til-syn og pålegge tilbyderne å sette i verk tiltak for åsikre at kravene som er nevnt ovenfor, blir ivare-tatt. Tilbyderne kan nektes tilgang til markedetdersom det er nødvendig av hensyn til offentligsikkerhet, helse eller andre særlige forhold.9 Lov om elektronisk kommunikasjon (ekomloven), Samferd-

selsdepartementet 01.10.2015.


I tillegg er det innført en klassifiseringsord-ning for nettutstyr i henhold til klassifiseringsfor-skriften10 som har til hensikt å sikre nettutstyr ianlegg mot uønsket ytre fysisk påvirkning. Sen-tralt i klassifiseringsforskriften er bestemmelsensom krever at tilbydere av ekomnett gjennomfø-rer en helhetlig risikoog sårbarhetsvurderingknyttet til anleggene sine og sørger for at anlegg ide ulike klassene er forsvarlig sikret i samsvarmed denne vurderingen.

Basert på både øvelser, hendelser og egneROS-analyser gjennomfører Nkom i økende gradtilsyn med forhold knyttet til oppfølging av krav tilsikkerhet og beredskap. De siste to årene har detvært gjennomført varslet stedlig tilsyn med de tostørste tilbyderne knyttet til hele spekteret avrelevant regelverk. I tillegg har det vært gjennom-ført særskilte dokumentbaserte tilsyn med de sjustørste tilbyderne knyttet til varslingsplikten.11

Avvik og mangler følges opp gjennom vedtak ograpportering.

Kommunikasjonsvern

Etter ekomloven § 2-7 har en tilbyder plikt til ågjennomføre nødvendige sikkerhetstiltak til vernav kommunikasjon i egne elektroniske kommuni-kasjonsnett og -tjenester. Trafikkdata skal sletteseller anonymiseres så snart de ikke lenger er nød-vendige for kommunikasjons- eller fakturerings-formål, med mindre noe annet er bestemt i eller imedhold av lov. Annen behandling av trafikkdatakrever samtykke fra brukeren.

Taushetsplikt

Etter ekomloven § 2-9 har en tilbyder plikt til åbevare taushet om innholdet av og andres bruk avelektronisk kommunikasjon, herunder opplysnin-ger om tekniske innretninger og fremgangsmåter.Tilbyderen plikter å gjennomføre tiltak for å hin-dre at andre enn de som opplysningene gjelder,får anledning til selv å skaffe seg kjennskap tilslike opplysninger. Opplysningene kan heller ikkebenyttes i egen virksomhet eller i tjeneste ellerarbeid for andre, med unntak av statistiske opplys-

ninger om nettrafikk som er anonymisert, og somikke gir informasjon om innretninger eller tek-niske løsninger.

Taushetsplikt gjelder også for alle som utførerarbeid eller tjenester for tilbydere av elektroniskekommunikasjonsnett eller -tjenester, installatører,tekniske kontrollorganer eller myndighetene,også etter at vedkommende har avsluttet arbeideteller tjenesten.

I ekomforskriften er det gitt ytterligere reglerfor sikkerhet og beredskap, kommunikasjonsvernog taushetsplikt. Enkelte av disse er videre presi-sert innenfor konteksten av logiske angrep.12

Utstyr

Nkoms markedskontroll sjekker at utstyr oppfyl-ler grunnleggende krav til sikkerhet, elektromag-netisk kompatibilitet og bruk av radiospektrum,samt særskilte funksjonelle krav. I enkelte tilfellertestes også utstyrets funksjonalitet.

Nkom velger ut utstyret som skal underleggesmarkedskontroll, basert på en vurdering av risikoog vesentlighet, etter klage fra brukere eller somen del av felles markedskontrollkampanjer i EU.

Frekvenskontrollen

Nkoms frekvenskontroll utfører planlagt tilsynsar-beid og behandler en rekke henvendelser frapublikum, brukere og operatører av elektroniskkommunikasjon og kringkasting. For å sikre atsystemer og utstyr kan funksjonere etter formålet,fører Nkom tilsyn med at tildelte frekvenser er frifor interferens og forstyrrelser, og at det blirbrukt i samsvar med tillatelser.

Frekvenskontrollen arbeider typisk medmåling av elektromagnetiske felt, håndtering avinterferens mellom tjenester, lokalisering av elek-tromagnetiske forstyrrelser og identifisering avproblemer med brukerutstyr.

Kontroll med installasjoner

Nkom fører årlig tilsyn med cirka 50 nett når detgjelder dokumentasjon, elektrisk sikkerhet, tekniskutførelse og kvalitet, samt bruk av autorisert virk-somhet for bygging og vedlikehold av installasjon.10 Nasjonal kommunikasjonsmyndighet (2013): Forskrift om

klassifisering og sikring av anlegg i elektroniske kommunika-sjonsnett (klassifiseringsforskriften).

11 «Tilbyder skal varsle Post- og teletilsynet om hendelsersom vesentlig kan redusere eller har redusert tilgjengelig-heten til elektroniske kommunikasjonstjenester» Ekomfor-skriften § 8-4.

12 Ekomlovens krav vedrørende kommunikasjonsvern, integritetog tilgjengelighet – logiske angrep. Presiseringsnotat fraPost- og teletilsynet til ekomtilbydere 2.4.2013.


Tilsyn med utstedere av kvalifiserte sertifikater for esignatur

Nkom har tilsynsansvar med utstedere av kvalifi-serte sertifikater etter esignaturloven. Bruk avkvalifiserte sertifikater er grunnleggende for åkunne utvikle tillitsbaserte tjenester som blantannet understøtter regjeringens digitale agenda.

11.4 Beredskap og hendelseshåndtering

Hver enkelt privat virksomhet har et eget ansvarog en egeninteresse ut fra kommersielle hensyntil å sørge for tilstrekkelig beredskap. I dette lig-ger for eksempel det å ha evne til å håndtereangrep som kommer fra Internett. Ekomoperatø-rene som driver infrastrukturen i Norge, har egnesikkerhetsavdelinger som driver med både fore-byggende sikkerhet og hendelseshåndtering.Telenor har sitt eget sikkerhetsovervåkingssentersom driftes 24/7/365.

Tilbyderne har plikt til å varsle Nkom ved eko-mutfall. Viktigheten av varsling øker etter hvertsom samfunnet blir stadig mer avhengig av elek-troniske kommunikasjonstjenester. Informasjonom utfall er viktig for koordinering med og viderevarsling til myndighetsorganer med bered-skapsansvar for andre sektorer. Nkom har underutvikling en tjeneste for bransjen som skal gi ensamlet oversikt over nettutfall (Nettutfall.no).

I 2014 var det 18 hendelser der alvorlighetsgra-den krevde ekstra oppmerksomhet eller øktberedskap i Nkom. Varsling fra tilbyderne blirfortløpende vurdert, og Nkom utarbeider en situa-sjonsrapport når hendelsen blir vurdert som alvor-lig. Situasjonsrapportene sendes SD og deles ruti-nemessig med DSB, NVE og berørte fylkesmenn.

Nkom har etablert beredskapsvakt som en fastordning 24/7/365. Flere fylkesmenn har etterøvelser eller reelle hendelser påpekt at det er nød-vendig med bedre representasjon av ekomsekto-ren i fylkesberedskapsrådet. Nkom samhandlermed fylkesmennene gjennom fylkesberedskaps-sjefene, og kan selv bistå fylkesberedskapsrådeneder det er hensiktsmessig. Nkoms bidrag til fyl-kesberedskapsrådene kommer i tillegg tilTelenors og eventuelt andres deltagelse. Nkomhar ved flere tilfeller i 2014 etablert kriseledelse.

Ekomsektoren har et eget beredskapsforumder bransjen møter myndighetene. Slike fora kanbidra til at kriser løses raskere enn dersom privateikke inkluderes i et beredskapssamarbeid med

myndighetene. Dette samarbeidet kommer innunder totalforsvaret.

Tilbyderne har som oppgave å tilby elektro-nisk kommunikasjon til brukerne, uten å måtte tastilling til hva kommunikasjonen brukes til, og hvaslags informasjon som formidles. I et slikt per-spektiv kan ekomnettene være innsatsfaktor forkriminelle handlinger i cyberdomenet. Samtidig erekomnettene svært potente mål i seg selv, entenhensikten er spionasje eller det er å ramme kri-tiske samfunnsfunksjoner, for eksempel under ensikkerhetspolitisk krise eller i en krigssituasjon.

Ekomsektoren har i dag ikke et felles senterfor håndtering av tilsiktede digitale hendelser.Kapasitet for deteksjon og hendelseshåndteringer lokalisert i de enkelte selskapenes egne sikker-hetssentre. Telenor har for øvrig sin egen TelenorSecurity Operations Centre (TSOC) som overvå-ker trafikken og sikkerheten i tillegg til en egenCERT-funksjon. Andre teletilbydere har egne ope-rasjonssentre. I tråd med føringene i Nasjonalstrategi for informasjonssikkerhet har Nkom frasommeren 2015 startet oppbyggingen av et egethendelseshåndteringsmiljø for digitale hendelser,Nkom CSIRT. Denne funksjonen skal videreutvi-kles i dialog med øvrige myndighetsaktører, sek-torvise responsmiljøer og bransjen.

I beredskapssituasjoner kan Forsvaret bidramed enkelte ressurser for å avhjelpe en prekærsituasjon. Forsvaret har for eksempel mobile løs-ninger for kommunikasjon og transportberedskapsom har vært benyttet i sivile kriser. Det er Cyber-forsvaret som i så fall bidrar via bistandsinstruksentil politiet. Cyberforsvaret samarbeider også medaktører i ekomsektoren i forbindelse med øvelserog læring om hendelseshåndtering og sikkerhet.Cyberforsvaret har imidlertid presisert at deresviktigste rolle er å drifte egen infrastruktur, og atenhver bistand til det sivile samfunnet vil måtte gåpå bekostning av den egne militære beredskapen.

11.4.1 Øvelsesfunn

Alle aktører og virksomheter med ansvar for kri-tiske samfunnsfunksjoner og som er avhengige avfungerende ekomnett og -tjenester, har et egetansvar for å gjennomføre øvelser på området. Ihenhold til retningslinjer for departementene ogunderliggende etater i alle sektorer skal det gjen-nomføres nødvendig øvelsesaktivitet. Det sammegjelder det regionale og lokale nivået. Ekomfor-skriften stiller krav til tilbydere om å utarbeideberedskapsplaner og delta i øvelser.

Nkom gjennomfører øvelser i håndtering avIKT-hendelser, både internt i Nkom, innad i sekto-


ren og på tvers av sektorer. Blant annet har Nkomgjennomført en større øvelsesserie sammen medNVE og Vegvesenet i perioden 2008–2013, medvekt på samhandling ved skade på kritisk infra-struktur som følge av ekstremvær. Nkom har star-tet planleggingen av en nasjonal cyberøvelse idesember 2015 for infrastruktureiere og myndig-hetene. Samarbeidet med NVE videreføres medcyberøvelsen i 2015. DSB planlegger også encyberøvelse i 2016, der Nkom vil delta aktivt iplanleggingen sammen med DSB.

Det gjennomføres årlig større nasjonale tverr-sektorielle øvelser i regi av DSB som har som målå øve på samordning. Få av disse øvelsene harhatt digitale sårbarheter som hovedtema, menunder Øvelse IKT i 2008, Øvelse Orkan i 2012 ogØvelse Østlandet i 2013 ble IKT-hendelser øvd.Hovedfunn i DSBs evalueringer fra disse øvelseneviser at det generelt er manglende egenberedskaphos aktørene (uavhengig av sektor) når det gjel-der utfall av digital infrastruktur. Man mangleralternative kommunikasjonsløsninger, det er man-gel på kompetanse i bruk av teknisk utstyr, ognødstrøm er en klart begrensende faktor.

Det kreves av hver sektor og hver virksomhetat de skal øve på krisehåndtering og at de tar initi-ativ til øvelser der det øves på tverrsektorielleavhengigheter. Etter en gjennomgang av øvel-sesvirksomhet det siste året er det grunn til å troat det øves for lite, både på samordning og koordi-nering på tvers av etater og virksomheter, inklu-dert private aktører, og på IKT-håndtering av IKT-hendelser i hver enkelt virksomhet. Manglendeøvelser kan blant annet bidra til å forsterke uklarerolle- og ansvarsforhold i hendelseshåndtering.

11.5 Sårbarheter i ekominfrastruktur

Hendelser som forårsaker svikt i telekommunika-sjon, kan ha mange ulike årsaker. En skiller gjernemellom tilsiktede og utilsiktede hendelser.

Grovt sett vil truslene mot ekomnettet kunneoppsummeres i tabell 11.1.

Nkom har siden 2010 fulgt opp nær 40 hendel-ser som kan kategoriseres som alvorlige. De hyp-pigst forekommende årsakene til disse hendel-sene fordeler seg grovt sett slik:– 35 prosent skyldtes programvarefeil.– 25 prosent skyldtes fiberbrudd/transmisjons-

feil.– 20 prosent skyldtes strømbrudd.– 15 prosent skyldtes feil ved planlagt arbeid

(oppgradering).

Siden Nkom bare håndterer de mest alvorligehendelsene, vil ikke denne feilårsakfordelingennødvendigvis samsvare med fordelingen av årsa-ker til feil hos den enkelte tilbyder. For eksempelkan det være en stor andel strømbrudd som barehar lokale konsekvenser, og som Nkom dermedikke har regnet med. Nkom bemerker på generellbasis at det forebyggende arbeidet med sikkerhetog beredskap i nettet har blitt bedre og høyereprioritert i perioden 2010–2015.

11.5.1 Verdikjeder i ekom

Ekomverdikjeden strekker seg fra transport- ogtransmisjonsnett, via aksessnett til tale- og datatje-nester. På toppen av datatjenestene er såkalteOver The Top-tjenester, som gjerne tilbys av aktø-rer som ikke tradisjonelt er regnet som en del avekombransjen, og som derfor kan være utenfordirekte regulatorisk kontroll. Noen få aktører til-byr hele verdikjeden opp til tjenestene tale ogdata. Den mest sentrale er Telenor, den opprinne-lige nasjonale teleoperatøren i Norge. Broadnethar et tilnærmet landsdekkende transportnettsom i stor grad følger jernbanelinjene. Altibox,som består av en sammenslutning av flere kraft-selskaper, er også en totalleverandør med egeninfrastruktur. Aktørene handler med hverandre,de leier fiber av hverandre, og kabler legges isamme grøft. Derfor kan en også oppleve svikt

Tabell 11.1 Trusler og farer mot ekomnettet

Logiske feil Fysiske feil

Tilsiktede hendelser – Elektroniske angrep på nettelementer, drifts- og støttesystemer

– Fysiske angrep på infrastruktur

Utilsiktede hendelser – Tekniske feil– Menneskelig svikt– Overbelastning– Strømbrudd

– Tekniske feil– Naturhendelser (ras, storm,

is, flom mv.)– Graveskader


hos flere leverandører for eksempel når kablerblir gravd over ved et uhell.

Aktører som bygger ut aksessnett-infrastruk-tur, benytter i hovedsak Telenors eller Broadnetskjerne- og regionalnett for transport.

Dette leder frem til noen grunnleggende digi-tale sårbarheter når det gjelder ekominfrastrukturi Norge:

Felles sambandsinfrastruktur

Telenors kjernenett utgjør ryggraden i infrastruk-turen og er et kritisk element ettersom svært myeav trafikken går gjennom dette nettet. Ved utfall avdette nettet vil vesentlige deler av ekom på nasjo-nalt nivå falle bort. Til sammenligning vil et tilsva-rende utfall i et aksessnett bare få lokale konse-kvenser for et begrenset antall sluttbrukere. Etter-som trafikkonsentrasjonen er størst i denne delenav infrastrukturen, er transportnettet bygd medhøy grad av robusthet og samtidig dimensjonertmed høy kapasitet. Det meste av infrastrukturen ikjernenettet er basert på optisk fiber. I noen tilfel-ler brukes også radiolinje og satellittsamband.

Robustheten avtar når man beveger seg utovermot aksessnettet og sluttbrukerne. Robustheten iinfrastrukturen styrkes typisk ved å bygge innredundans i føringsveier/nettverkselementer ogved å ha reservestrømberedskap i tilfelle utfall.

De ulike tilbyderne av ekomtjenester benytteri stor utstrekning Telenors kjernenett, som ogsåer bærer av IP-infrastruktur. Det betyr at de sår-barhetene som denne infrastrukturen har, er fel-les for mange tilbydere. Kabler ligger flere stederi felles grøfter, og antenner er i mange tilfellermontert på de samme antennetårnene. Brudd isentrale sambandsfremføringer og svikt i IP-baserte infrastrukturer kan dermed gi store utfallav ekomtjenester.13

Infrastruktursårbarheten har også en geo-grafisk komponent. Infrastrukturen er genereltmindre utbygd og robust i distriktene enn i sen-trale, tett befolkede strøk av landet. Det er enkeltforklart et mindre marked og derfor behov forfærre basestasjoner for å dekke det daglige beho-vet. Dessuten har utfall med høy kundekonsentra-sjon større konsekvenser enn utfall der færre kun-der rammes. Dette er en type begrensninger somkan være en utfordring med tanke på nasjonensevne til å håndtere kriser og forsvare seg mot enrekke trusler. Erfaringer som ble gjort under

Dagmar og brannen i Lærdal, viser hvor hardtekomutfall kan ramme krisehåndteringen.

Sentraliserte nettfunksjoner

Tjenestene i ekomnettene har liten grad av lokalautonomi, men er avhengige av sentraliserte funk-sjoner. De er implementert på noe ulikt vis hos deulike tilbyderne. Sentraliserte funksjoner er troligden mest kosteffektive måten å produsere tjenes-tene på, og operatøren har mulighet til å bygge myerobusthet inn i løsningene. Hendelser som har rela-tivt lav sannsynlighet, kan imidlertid få svært storekonsekvenser dersom disse sentraliserte funksjo-nene rammes. Eksempler på slike funksjoner erviktige svitsjer/rutere, registre over abonnenter,telefonnumre og simkort, telenett management,overvåkings- og sikkerhetsstyring med mer.14

Eksempler på sårbarheter som finnes spesifikt isentraliserte funksjoner, er logiske trusler og pro-gramvarefeil. Skadepotensialet og konsekvenseneved feil kan i mange tilfeller øke uforholdsmessig,og kanskje uakseptabelt, om kritiske enkeltkompo-nenter kommer fra samme leverandør.

Akkumulert sårbarhet

Sårbarheter i ekomnettene akkumuleres gjennomat kabler fra flere leverandører blir lagt i sammegrøft, og ved at utstyr monteres på felles mobil-master eller telesentraler. Sårbarheter akkumule-res og kamufleres gjennom kjøp og salg av tjenes-ter og infrastrukturleie mellom ulike aktører.Omruting av trafikk på grunn av feil eller oppgra-deringer gjør også at sårbarhetsbildet er å ansesom dynamisk. Dette gjør at det er vanskelig foren aktør å vite om det som fremstår som en redun-dant løsning, faktisk er det.

Teleoperatøren som leverer tjenestene, haransvaret for sikkerheten i sine tjenester. Men deter en umulig oppgave å gardere seg helt mot slikesårbarheter, blant annet på grunn av mangel påtransparens i systemer som i så sterk grad avhen-ger av programvare og har så komplekse og langeverdikjeder.

11.5.2 Samfunnets avhengighet av ekominfrastruktur

DSB har vurdert i hvilken grad kritiske samfunns-funksjoner vil påvirkes av et bortfall av ekomnet-tet.15

13 Hentet fra blant annet Sårbarhetsanalyse av mobilnettene iNorge 2012, Post- og teletilsynet. 14 Ibid.


Scenarioet som ligger til grunn for vurderin-gene i DSBs rapport, er at sentrale noder i detlandsdekkende transportnettet for ekom blirangrepet, slik at transportnettet settes ut av drift ien femdagersperiode. Dette er et ekstremtilfelleog kan anses som et worst case scenario, men giret godt bilde av samfunnets avhengighet av elek-tronisk kommunikasjon.

I tabell 11.2 har vi gjengitt DSBs vurdering avkonsekvensene ved bortfall av ekom for de ulikesamfunnsfunksjonene som er analysert.

Bortfall av ekomtjenester påvirker mange kri-tiske samfunnsfunksjoner. Av de ni analysertesamfunnsfunksjonene er transportsektoren, hel-sesektoren og finanssektoren vurdert å bli ster-kest påvirket av ekombortfallet. Et fåtall virksom-heter som har egen mørk fiber, vil imidlertid fort-sette å fungere når transportnettet ligger nede.Dette inkluderer blant annet Forsvaret, kraftver-kene, T-banen i Oslo og helseforetakene i HelseSør-Øst.

DSB har vurdert og gjort beregninger av sam-funnskonsekvenser av bortfall av ekomnettet medutgangspunkt i scenarioanalysen.

Tabell 11.3 gjengir vurderingene som er gjortav DSB i rapporten.

Det er videre gjort en vurdering av hvilke kost-nader de ovennevnte samfunnskonsekvensene vilha. DSB antar at nettotapet vil overstige 10 milliar-der kroner16 for de fem dagene landet i henholdtil scenarioet er uten ekomnett. Det er beregnet atekomtilbydernes inntektstap vil utgjøre mellom 3milliarder og 5 milliarder kroner basert på normalomsetning i en femdagersperiode. Med utgangs-punkt i disse beregningene vil det påløpe tap påom lag 2 milliarder kroner for hver dag man eruten ekomnett. Dette innebærer at selv relativt

15 Direktoratet for samfunnssikkerhet og beredskap (2014):Risikoanalyse av cyberangrep mot ekom-infrastruktur. Del-rapport til Nasjonalt risikobilde 2014.

Kilde: DSB.

Tabell 11.2 Samfunnsfunksjoners avhengighet av ekomtjenester

Samfunnsfunksjon Grad av påvirkning ved bortfall av ekom

Forklaring

Kraftforsyningen Liten Kraftforsyningen påvirkes i liten grad, manglende feilretting ved strømbrudd.

Veitrafikken Moderat Manglende overvåking av tunneler, ingen varsling fra trafikanter ved hendelser, moderate forsinkelser.

Jernbanetrafikken Stor Full stans i togtrafikken.

Kystfarten Moderat Det blir moderate forsinkelser i kystfarten.

Luftfarten Stor Full stans i kommersiell flytrafikk.

Sentral kriseledelse og krisehåndtering

Stor Mangelfull koordinering og informasjon uten telefon, Internett, radio og TV. Reserve-løsninger med begrenset kapasitet.

Vannforsyningen Liten Vannforsyningen påvirkes i liten grad.

Bank- og finansvirksomheten

Stor Ingen økonomiske transaksjoner, begrenset bruk av betalingsterminaler.

Helse og omsorg Stor Sykehus og legevakt uten kontakt med omver-denen – redusert effektivitet, utsatt behandling.

Nødsentralene Ambulanse, politi og brannvesen kan ikke nås på nødnumrene. Mangelfull koordinering av aksjoner.

Nødnett Nødnettet fungerer bare lokalt.

16 DSB har med utgangspunkt i bruttonasjonalproduktet(BNP) for 2013, som var på om lag 3 000 milliarder kroner,beregnet at samlet produksjon i Norge i løpet av fem dagerbeløper seg til ca. 40 milliarder kroner. Det er videre antattat om lag 1/3 av normalproduksjonen (ca. 13 milliarderkroner) vil gå tapt som følge av ekombortfallet. Selv omnoe av omsetningssvikten kan innarbeides, antar det at net-totapet vil overstige 10 milliarder for de fem dagene landet ihenhold til scenariet er uten ekomnett.


korte utfall av kjernenettet vil kunne medførebetydelige kostnader for samfunnet.

I scenarioet i Nasjonalt risikobilde (NRB) erdet i tillegg beskrevet at utfall av ekomnettet vilkunne medføre flere følgehendelser som medfø-rer konsekvenser for liv og helse: manglendemulighet for å varsle nødetatene på nødnumreneved akutte hendelser, ikke mulig å rekvirereambulanse på vanlig måte, mangelfull kommuni-kasjon og koordinering mellom nødetatene fordiNødnett bare fungerer lokalt, samt redusert effek-tivitet og utsatt pasientbehandling. Som en følgeav dette er det beregnet at en konsekvens vil væreen øking i dødsfall på 10 prosent per dag, noe som

innebærer 10 flere dødsfall daglig i forhold til nor-malsituasjonen (basert på tall fra 2013).17

Overbelastning i nettet

Ekominfrastrukturen er dimensjonert for å hånd-tere normal trafikk. I situasjoner der behovet økermarkant, for eksempel i krisesituasjoner somUtøya-hendelsen, vil visse tjenester kunne svikteved at brukeren ikke får tilgang til tjenesten. Slik

Kilde: DSB.

Tabell 11.3 Konsekvenser ved utfall av ekomnettet

Samfunnsverdi Konsekvenstype Konsekvenser Usikkerhet Forklaring

Liv og helse Dødsfall Store Stor 50 ekstra døde som følge av manglende mulighet til å ringe ambulanse og varsle nødetatene ved akutte hendelser.

Alvorlig skadde og syke

Middels/store

Stor 200–300 alvorlig skadde og syke som følge av utsatt behandling eller feil-behandling.

Natur og miljø Langtidsskader på naturmiljø

Ikke relevant.

Uopprettelige skader på kultur-miljø

Ikke relevant.

Økonomi Direkte økono-miske tap

Store Moderat Reparasjons- og erstatningskostnader knyttet til ødelagte systemkomponenter på mellom 2 milliarder og 10 milliarder kroner.

Indirekte økono-miske tap

Svært store

Moderat Tap av inntekter, forsinkelseskostnader, produksjonsnedgang og redusert handel til et samlet tap på 10 milliarder kroner.

Samfunns-stabilitet

Sosiale og psyko-logiske reak-sjoner

Svært store

Stor Manglende informasjon fra myndig-hetene, vanskelig krisehåndtering, ukjent og tilsiktet hendelse skaper uro og bekym-ring.

Påkjenninger i dagliglivet

Store Stor Manglende tilgang til tele- og data-tjenester og betalingsmidler. Forsinkelser i vare- og persontransport.

Demo-kratiske verdier og styringsevne

Tap av demokra-tiske verdier og nasjonal styrings-evne

Store Moderat Angrep mot svært viktig infrastruktur, som er bærer av samfunnets evne til å styre. Sentrale institusjoners funksjons-evne trues. Krenkelse av demokratiske verdier og individuelle rettigheter.

Tap av kontroll over territorium

Ikke relevant

Samlet vurde-ring av konse-kvenser

Store/svært store

Stor Totalt sett store, til dels svært store, konsekvenser.

17 Direktoratet for samfunnssikkerhet og beredskap (2015):Risikoanalyse av cyberangrep mot ekom-infrastruktur. Del-rapport til Nasjonalt risikobilde 2014.


overbelastning kan også oppstå ved nektelsesan-grep, der en motpart sender falsk trafikk mot ser-vere i ekominfrastrukturen med formål å lammedisse. Trusselen fra nektelsesangrep er av flereoperatører fremhevet som en reell trussel somkan ramme både operatøren og operatørens kun-der.

Logiske og fysiske feil

Etter som mer og mer av funksjonaliteten i net-tene har med programvare å gjøre, vil logiske feilutgjøre en stadig større andel av feilene. Dennetypen feil i kjernenettet vil kunne ha konsekven-ser for mange brukere og store områder og i ver-ste fall for hele tjenester i hele landet.

Logiske feil som følge av overbelastning avnettene kan også bli et økende problem. Stadigflere får smarttelefoner, som ikke bare brukes til åringe med, men også til å surfe på nettet, sende e-post og andre mobile tjenester. Samtidig øker bru-ken av mobilt bredbånd kraftig. Dette medføreromtrent en dobling av datatrafikken hvert år.

Kjernenettene er dimensjonert for å tåle storbelastning, og det er gjerne aksessnettene somsetter grensene for mengden trafikk. Dersom deter brudd eller vedlikehold på en strekning (ellergjerne to) i kjernenettet, kan det imidlertid bliproblemer med overbelastning på den andre ellertredje strekningen.

Alt ekomutstyr er avhengig av strøm og vilvære sårbart for strømbrudd. Sentrale punkter iinfrastrukturen er imidlertid som oftest sikretmed en betydelig reservestrømkapasitet.

Fysiske skader på infrastrukturen vil i hoved-sak være en følge av naturhendelser. Eksemplerpå hendelser er Dagmar og brannen i Lærdal.Utfordringene i forbindelse med disse hendelsenehar imidlertid ikke oppstått som følge av bruddeller problemer med kjernenettene, men i regio-nalnettet. Kjernenettet har større grad av fremfø-ringsdiversitet og redundans, og brudd som følgeav naturhendelser får gjerne liten betydning forbefolkningen.

Det finnes imidlertid eksempler på situasjonerder en naturhendelse har ført til brudd på kjerne-nettet samtidig som det er blitt utført oppgraderin-ger eller vedlikehold på alternative føringsveier. Islike tilfeller kan naturhendelser utgjøre en trus-sel mot kjernenettene.

Jordkabler er utsatt for skade i forbindelsemed ulike typer gravearbeid. De som utfører gra-vearbeid, har ofte liten oversikt over hvilke lednin-ger og kabler som befinner seg hvor, og graveska-der forekommer hyppig. I likhet med naturhen-

delser utgjør dette først og fremst en trussel motkjernenettet i tilfeller da det enten er flere gra-veskader samtidig eller utføres vedlikeholdsar-beid eller lignende på alternative føringsveier.

Fysisk skade på infrastrukturen kan ogsåvære en konsekvens av tekniske feil. Tekniske feilkan føre til overoppheting av komponenter somfølge av svikt i kjøling, feilmontering eller skaderpå komponenter under vedlikehold. Dette er igjenfeil som kan føre til at et helt system slutter å fun-gere som forventet.

11.5.3 Avhengigheten av kraftforsyning

Ekom kan ikke driftes over lengre tidsrom utenstabil strømforsyning. Statistikk viser at utfall istrømnettet er en av de viktigste årsakene til utfalli ekominfrastrukturen. Det er imidlertid storevariasjoner i reservestrømkapasiteten hos deulike nettleverandørene og i de ulike delene avnettet.18 Spesielt noder i kjernenettet er utstyrtmed god reservestrømkapasitet, men jo lengerman kommer ut mot aksessnettet, er reserve-strømberedskapen enten fraværende eller harsvært begrenset kapasitet. En medvirkende årsaker at kostnaden med å etablere reservestrømløs-ninger er lavere i kjernenettet/regionalnettet enni aksessnettet.

En gjennomgang av driftsstatistikken for Nød-nett for 2011 dokumenterte to hovedårsaker tilutfall av basestasjoner – for lite reservestrøm påegen basestasjon (inkludert egen transmisjon) ogutfall av transmisjon på leide linjer. Om lag 92 pro-sent av utfallene ville vært unngått gjennom å økereservestrømberedskapen til 24 timer, og 99 pro-sent av feilene som er registrert, kunne vært unn-gått ved å øke reservestrømtiden til 48 timer –dette under forutsetning av at leide linjer også hartilsvarende reservestrøm. Utbyggingen av Nød-nett baseres i stor grad på bruk av den eksis-terende infrastrukturen for telekommunikasjon,inkludert leide telelinjer. Reservestrømkapasite-ten i denne infrastrukturen varierer og er mangel-fullt kartlagt. Oppetiden for transmisjon vedstrømbrudd er derfor ikke forutsigbar, og det erda ikke mulig å sikre et forutsigbart nødnett vedlengre strømbrudd.19

I juni 2014 gjorde Nkom vedtak om minste-krav til reservestrømkapasitet i mobilnett. Vedta-

18 Nexia/Styrmand (2012): Kost/nyttevurdering av tiltak forstyrking av norsk sambands- og IP-infrastruktur. For Post- ogteletilsynet.

19 Fra Robusthet i transmisjon. Reservestrøm i transmisjonslin-jer i Nødnett, DNK februar 2014.


ket var rettet mot mobilnetteierne Telenor, Telia-Sonera (NetCom), Mobile Norway (Tele2) ogICE, og er hjemlet i ekomloven § 2-10 første ledd.I vedtaket stiller Nkom krav om minst to timerreservestrømkapasitet i mobilnettenes deknings-områder der det er fast bosetting eller nærings-virksomhet. I områder utenfor byer med mer enn20 000 innbyggere skal reservestrømkapasiteten isnitt være på fire timer. Vedtaket ble påklaget avsamtlige. SD som klageinstans stadfestet vedta-ket.

11.5.4 Sårbarheter knyttet til drift og styring

Svakheter i regimene hos operatørene når det gjelder fysisk og logisk tilgang til anlegg og systemer

Nkom har identifisert sårbarheter knyttet til drif-ten hos de enkelte operatørene. Det er forskjellmellom de ulike operatørene i hvordan de harvalgt å styre risiko og sikkerhet. Et generelt funnfra Nkoms sårbarhetsanalyse av mobilnettene varsvakheter relatert til fysisk og logisk tilgang tilanlegg og systemer.

Problemstillinger knyttet til utstyrets opprinnelsesland

Det har i de senere årene vært mye oppmerksom-het omkring opprinnelsesland for viktig utstyr forkritisk infrastruktur. I Norge har den offentligediskusjonen i stor grad vært knyttet til Huaweisleveranser til store teletilbydere.

Potensialet til statlige aktører i cyberdomeneter en vesentlig og dimensjonerende faktor fordesign av gode sikkerhetsløsninger. Opprinnelses-land for leverandør av utstyr er dermed en del avtotalbildet. I IKT- og ekomsektoren er imidlertidde fleste leverandører globale aktører som inte-grerer utstyr fra en rekke ulike underleverandø-rer fra ulike land. Å avgjøre hvilket land utstyret«kommer fra», vil dermed i en del tilfeller bare haverdi som en teoretisk øvelse.

Komplekse markedsstrukturer og omfattende utstyrsportefølje

Aktørene i markedet må forholde seg til et mang-fold av samarbeidspartnere. Noen av disse samar-beidspartnerne vil i andre sammenhenger fremståsom konkurrenter. Å ha full oversikt over dettebildet er en utfordring, særlig når markedet er istadig endring. Uoversiktlige organisasjoner ogmangelfulle arbeidsprosesser er også påvist i sår-barhetsanalysen av norske mobilnett. Enkeltkom-ponenter kan også ha defekter og feil i maskin-vare og programvare.20

De større elektroniske kommunikasjonsnet-tene er satt sammen av en omfattende utstyrspor-tefølje fra ulike leverandører. Programvare for sty-ring av de enkelte komponentene og for samvirketmellom de ulike komponentene er svært kom-pleks. Tester kan verifisere at programvare ogteknisk utstyr samvirker og utfører de funksjo-nene de skal. Samtidig vil det for slike systemervære tilnærmet umulig å verifisere at det ikke

Boks 11.1 Ekstremværet Dagmar

Ekstremværet Dagmar i romjulen 2011 avdek-ket ikke bare fysiske sårbarheter i kritisk eko-minfrastruktur, men også hvor avhengig sam-funnet har blitt av fungerende mobiltjenester.Denne hendelsen og erkjennelsen av samfun-nets stadig økende avhengighet av elektroniskkommunikasjon omtales som et «paradigme-skifte» for arbeidet med sikkerhet i ekominfra-struktur.

Dagmar førte til større bortfall i fasttele-fonnettet, med cirka 31 500 abonnenter utenfasttelefon og cirka 12 000 uten Internett/bredbånd. De største regionale utfallene varpå Nordvestlandet med cirka 20 000 abonnen-ter uten fasttelefon og cirka 7 500 uten Inter-nett/bredbånd.1 Hovedårsaken til utfallene påNordvestlandet var bortfall av strøm i sentralenoder og i enkelte tilfeller transmisjonsfeil ogskader på selve utstyret i nodene. Dagmarførte også til utfall i mobilnettene, spesielt bleSogn og Fjordane og Møre og Romsdal hardtrammet. Av de 728 basestasjonene som haddefalt ut 27. desember 2011, var 445 lokalisert ide to fylkene på Nordvestlandet. Hovedårsa-ken til bortfallet var strømbrudd og mangel-fulle reservestrømløsninger sett i forhold tilvarigheten av hendelsen. Strømutfallet somfølge av stormen førte også til redusert dek-ning i deler av Nødnett i Akershus og Buske-rud. 45 av 240 basestasjoner hadde kortereeller lengre utfall, og åtte av disse hadde len-gre nedetid enn ti timer.

1 Foreløpige erfaringer og forslag til tiltak etter ekstremvæ-ret Dagmar. PT-rapport nr. 2 2012.

20 Hentet fra blant annet Sårbarhetsanalyse av mobilnettene iNorge, Nkom-rapport nr. 1 2012, Post- og teletilsynet.


foreligger alvorlige intenderte eller ikke-inten-derte logiske sårbarheter. Forholdet mellom leve-randør og kunde av slikt utstyr og programvaremå derfor bygge på tillit. Denne tilliten er viktigfor leverandørene i et konkurranseutsatt marked,og myndigheters eventuelle inngripen i sliktutstyr for å installere bakdører kan ødelegge forde private leverandørene.21

Vedlikehold og endringsledelse av en sammensatt infrastruktur

Elektroniske komponenter, maskinvare, fastvareog programvare som benyttes innen ekom, er istadig utvikling både når det gjelder forbedring avfunksjonalitet, og når det gjelder sikkerhet. Detteer noe av dynamikken teleoperatører må forholdeseg til i daglig drift. Etterslep på vedlikehold ogoppgradering av systemer, programvare og pro-gramvarelisenser representerer mulige digitalesårbarheter. Det er vel kjent at angripere går ettergamle sårbarheter, og ekominfrastruktur bestårav både nye og eldre systemer. Imidlertid er detikke uproblematisk å oppgradere all infrastruktur.Feilkonfigurasjon representerer en risiko somkan medføre feilsituasjoner og svikt.

Kompetanse hos nasjonale tilbydere

Tradisjonelle tilbydere utkontrakterer oppgavertil entreprenører og leverandører. Der dette skjer istor utstrekning, bygges det opp en avhengighetav kompetansen og kapasiteten hos underleveran-dørene. Dette fører til at erfaring fra hendelserikke flyter tilbake til tilbyderens organisasjon, ogevnen til å improvisere og håndtere situasjonersvekkes over tid. I slike tilfeller kan organisasjo-nens evne til å lære av hendelsene og forbedresikkerheten bli redusert.

11.5.5 Driftsmodeller under press fra den globale konkurransen

En av de store utgiftspostene for tilbyderne erdrift av og gjentatte reinvesteringer i nett og ser-verpark. Delvis kan dette gjøres ved effektivise-ring, men i tillegg er det ønskelig å flytte en deldriftsaktiviteter til land med lavere kostnader.Blant de store tilbyderne av ISP- og skytjenesterer det et ønske om å utkontraktere drift, både med

tanke på stordriftsfordeler og med tanke på delavere lønnskostnadene man finner utenfor Nor-den. Ettersom mange av de store tilbyderne ellerderes partnere har operasjonssentre over storedeler av verden, ligger det store besparelser i åsamkjøre drift.

Mange tilbydere har de siste årene redusertsin egen bemanning med teknisk kompetanse ogkjøpt inn denne fra underleverandører. Det kanvære betydelige kostnadsbesparelser for tilby-derne i å slippe å vedlikeholde den spisskompe-tansen som kreves. Underleverandørene leverertjenester til flere tilbydere, systemintegratorer ogdriftssentre, og kan derfor utnytte kompetansenbedre.

Frafallet av teknisk personell hos tilbydernebetyr også at det er nødvendig med tjenesteavta-ler med produsenter av nettverksutstyr. Vedendringer i komponenter, programvare ogsystemer, periodisk vedlikehold og håndtering avfeil i utstyr kan det være nødvendig å gi produsen-ter og eksternt personell logisk eller fysisk tilgangtil kritisk nettverksutstyr.

11.5.6 Nasjonal autonomi og personvernut-fordringer

Sikkerhets- og beredskapsregelverket utfordres i markeder der aktører og tjenester opererer på tvers av landegrenser

Mens regelverket som regulerer ekomaktører, ihovedsak er nasjonalt, blir aktørene i økende gradmultinasjonale. Utkontraktering av tjenester frade tradisjonelle operatørene, internasjonal konso-lidering i bransjen og nye, Internett-baserte aktø-rer bidrar til et nytt bilde der de nasjonale lande-grensene mister relevans. Et eksempel er uten-landske morselskaper, som TeliaSonera, somlokaliserer viktige tjenesteelementer utenfor Nor-ges grenser. Sett fra operatørens ståsted er det avkostnads- og effektivitetshensyn fornuftig å gjøredette, men fra et norsk ståsted kan det øke risi-koen for utfall av tjenester og informasjonslekka-sje. Slike driftsmodeller kan føre til at tilsynsmyn-dighetene ikke har nødvendige virkemidler over-for markedsaktøren.

Samtidig utvikler store internasjonale aktørerOTT-tjenester22 som ikke er underlagt norskemyndigheters jurisdiksjon. Hvis slike aktører fåroperere uten å ta hensyn til nasjonale sikker-hetskrav og beredskapsregelverk, vil det repre-sentere en konkurransefordel for disse sammen-

21 Brev fra John T. Chamber, CEO Cisco System, til presidentObama, vedrørende lekkasjer i media om at NSA har bruttopp CISCO-forsendelser og modifisert CISCO-produkter.Datert 15. mai 2014. 22 Over the top.


lignet med nasjonale aktører som er underlagtnasjonalt lovverk. Dermed kan dette i nesteomgang medføre press fra bransjen som operereri Norge mot mindre streng regulering, eller betyat bransjen må omstilles for å tilpasse seg den nyekonkurransesituasjonen.23

Personvern

Utviklingen innen global ekom og Internett, deren sammensatt infrastruktur av eierforhold ogverdikjeder krysser landegrenser, og der ulikeland har ulike regler for innsyn i teletrafikk, utfor-drer personvernet. For eksempel har ikke norsketilsynsmyndigheter anledning til å drive tilsynmed OTT-tjenester. De vil være underlagt andrelands regulering. Facebooks kommunikasjonstje-neste og Skype er eksempler på dette.

Norske myndigheter regulerer politiets inn-synsrett i Norge. Det følger av ekomloven § 2-9 attilbydere av elektronisk kommunikasjon har plikttil å bevare taushet om innhold av elektroniskkommunikasjon. Etter straffeprosessloven § 118første ledd og § 230 første og fjerde ledd kan ret-ten og politiet anmode Nkom om fritak fra den lov-pålagte taushetsplikten. I de senere årene har detvært en betydelig økning i antall anmodningerknyttet til signaleringsdata, som vurderes å væreen meget personverninngripende metode. Signa-leringsdata er informasjon som genereres oglagres selv når telefonene ikke er i bruk. Data somgenereres, gir blant annet informasjon om hvortelefonen befinner seg. Når abonnenten har telefo-nen med seg, er det nærliggende å sammenlignedenne typen informasjon med det som kommerfra inngripende og spesifikt regulerte skjultetvangsmidler som teknisk sporing. Nkom har lagt

denne analogien til grunn for sin skjønnsutøvelseved anmodning om å oppheve tilbyderens taus-hetsplikt for å få tilgang til signaleringsdata.

Det er en del ulike forespørselstyper med vari-erende hjemmelsgrunnlag for frigivelse og regi-mer for håndtering som må holdes fra hverandre.Dette gjelder for eksempel– forespørsler fra politiet om abonnentinforma-

sjon som ikke trenger myndighetsgodkjenning– anmodninger om trafikk- og signaleringsdata

der Nkom kan innvilge eller avvise å opphevetilbyderens taushetsplikt om disse

– anmodning om kommunikasjonskontroll (KK)som trenger rettens kjennelse før iverksetting

Når trafikken krysser landegrenser og personopp-lysninger lagres på servere i andre land, er detandre lands jurisdiksjon som gjelder. Imidlertidhar tilbyderne plikt til å informere kunder hvis tra-fikkdataene går over landegrenser, for eksempelvia Sverige. Innen ekom vil typisk både innholds-informasjon, abonnementsdata, faktureringsopp-lysninger og trafikkdata representere personopp-lysninger som enkeltmennesker ikke ønsker skalkomme på avveier.

Risiko er knyttet både til lekkasje i forbindelsemed det enkelte lands myndigheters tilgang tildata til ulike formål og til den generelle trusselsi-tuasjonen i det enkelte landet. Det er på sikt storrisiko for enkeltmennesket dersom stordataana-lyse får stor utbredelse og for eksempel trafikk-data og personopplysninger kobles med andre kil-der. Personopplysningsloven og EU-lovgivning vilkunne motvirke noe av denne risikoen, men det erlikevel slik at både Norge og EU er deltagere i etglobalt marked, og det er usikkerhet knyttet tilhvem som setter personvernagendaen på sikt (sepunkt 23.6 «Næringsutvikling og IKT-sikkerhet»).

Den teknologiske utviklingen setter også per-sonvernet under press. Et eksempel er saken med

23 Post- og teletilsynet (2014): Ekomtjenester, -nett og -utstyr.Utvikling og betydning for PT.

Kilde: Nkom.

Tabell 11.4 Anmodning om trafikk- og signaliseringsdata. Det er bare strekpunkt 2 over som gjenspeiles i tabellen

Trafikkdata Basestasjonssøk PUK-kode

Trafikkdata/Basestasjonssøk

inkl. signaliseringsdata

2014 1091 208 121 161

2013 1260 234 117 65

2012 1199 250 135 2

2011 1408 332 184 0

2010 1491 316 243 0


falske basestasjoner der en mulig angriper kunnefange opp mobiltelefonene til intetanende perso-ner som passerte.24 Dette er langt fra den enestemåten å få tilgang til teletrafikken fra mobiltelefo-ner på, det finnes også utviklet skadevare sombrukere kan lures til å installere på smarttelefo-nene sine. Også i forbindelse med programvare-oppdateringer kan skadevare som senere spione-rer på offeret, bli implementert.

11.6 Fremtidige problemstillinger og trender

Fra «fysiske» til «logiske» nettverk

Ekomtilbyderne benytter IP-nett for produksjonav de fleste av tjenestene sine, og IP-infrastruktu-ren er i ferd med å bli en felles produksjonsplatt-form for ekomtjenester. Telenors IP-nett vil denærmeste årene bære alle Telenors egne faste ogmobile telefoniog bredbåndstjenester, i tillegg tilå være det nasjonale transportnettet for mangeandre tilbydere. IP-infrastruktur generelt, ogTelenors IP-nett spesielt, er og vil fortsette å væresvært viktig for produksjon av ekomtjenester pånasjonalt nivå.

Mens ulike produksjonsplattformer tidligerebesto av spesialiserte produkter av maskin- ogprogramvare fra enkeltleverandører, blir funksjo-naliteten i ekomnett i økende grad realisert gjen-nom konfigurerbar programvare som er «fri-koblet» fra den fysiske infrastrukturen. På denene siden skaper dette større effektivitet og fleksi-bilitet ved produksjon av ekomtjenester og girgrunnlag for reduserte kostnader. På den andresiden medfører slike løsninger høy grad av kom-pleksitet i programvare, integrasjon og konfigura-sjon samt avhengighet av underleverandører. I til-legg introduserer de nye sårbarheter knyttet tilbåde utilsiktede hendelser som programvarefeilog konfigurasjonsfeil og tilsiktede hendelser somIKT-angrep. Sentralisering av tjenesteproduksjonfører dessuten til økt skadepotensiale.

Utkontraktering og internasjonalisering

I de senere årene har tilbyderne i økende gradbenyttet eksterne leverandører i alle ledd i sinvirksomhet, og det er i dag i hovedsak eksterneleverandører som står for installasjon, drift og ved-likehold av tilbydernes nett, samt en del adminis-trative funksjoner. I tillegg plasserer tilbydere i

økende grad det fysiske utstyret hos eksternedatasenterleverandører som leverer strøm, kjø-ling og fysisk sikkerhet. En annen trend er såkaltemanaged services, der utstyrsleverandører ogsåstår for den daglige nettverksdriften.

En trend er også at tilbyderne i økende gradkonsoliderer virksomheten sin ved å sentraliseretjenesteproduksjonen til ett land, for så å tilbyekomtjenester på tvers av landegrenser. Detteforegår i dag i stor utstrekning i de nordiske lan-dene. I likhet med ekomtilbyderne er også ekom-tilbydernes underleverandører i all hovedsak sel-skaper som opererer multinasjonalt. Produksjonav norske ekomtjenester vil derfor i økende gradavhenge av innsatsfaktorer fra flere virksomheteri flere land. Fra et sikkerhetsperspektiv er denomfattende utkontrakteringen og internasjonalise-ringen utfordrende for forhold som de nasjonaletilbyderes egenkompetanse, evne til risikostyringav virksomheten og kontrollen med trafikkdata ogkommunikasjon på tvers av landegrenser. En delsikkerhetsaspekter knyttet til tilbydernes virk-somhet vil også kunne ligge utenfor regulerendemyndigheters jurisdiksjon.

Bevissthet rundt trusselbilde

Både tilbyderne og myndighetene vil fremover istørre grad måtte forholde seg til, og tilpasse seg,et dynamisk trusselbilde og se trusselbildet i lysav samfunnets avhengighet av elektronisk kom-munikasjon. I tillegg er det viktig at brukere avelektroniske kommunikasjonstjenester, virksom-heter så vel som individer, i nødvendig grad erkjent med trusler mot disse tjenestene og har for-ståelse for at det kan være nødvendig med egnesikringstiltak tilpasset egen risikoaksept.

11.7 Vurderinger og tiltak

Økningen i samfunnsverdier som legges på top-pen av ekominfrastrukturen, mangler historisksidestykke. For tilbyderne er det svært krevendeå ha et forhold til de verdiene de forvalter påvegne av kundene. For kundene er det komplisertå sette seg inn i den risikoen tilbyderne har aksep-tert, gjerne gjennom en lang verdikjede av tilby-dere og tjenesteleverandører. For myndigheteneer det komplisert å drive risikostyring på vegne avsamfunnet som helhet når verdiopphopningen gårså raskt som den gjør i dette tilfellet.

Basert på denne vurderingen av situasjonenfremmer Lysneutvalget følgende forslag til tiltak:24 http://www.pst.no/media/pressemeldinger/

vedtak-om-henleggelse-falske-basestasjoner/


11.7.1 Redusere kritikaliteten av Telenors kjerneinfrastruktur

Utvalget ser det som en naturlig konsekvens at til-tak må rettes inn mot de sårbarhetene som har etpotensial for å gi et massivt ekomutfall, nærmestuavhengig av hvor sannsynlig det er at sårbarhe-ten leder til en hendelse. Vi mener derfor at detmå rettes spesiell oppmerksomhet mot Telenorskjerneinfrastruktur. Denne er godt utbygd medtanke på robusthet, den er profesjonelt operert oghar historisk sett hatt svært stabil drift. Sannsyn-ligheten for at den skulle svikte, anses som lav.Den vil likevel kunne settes ut av spill vedmenneskelige feil, rutinesvikt eller utro tjenere.

Etter utvalgets syn er den totale summen avsamfunnsverdier dette nettet er bærer av, uaksep-tabelt høy, samtidig som verdiene det bærer, bareøker.

Basert på egne vurderinger og en utredning fraOslo Economics25 anbefaler utvalget derfor at SDog Nkom utvikler og gjennomfører tiltak som redu-serer kritikaliteten av kjernenettet. Vi anbefaler atdisse tiltakene rettes inn mot følgende fremtidigemålbilde:1. Minst én tilleggsaktør har et landsdekkende

kjernenett som er på samme nivå som Telenorsmed hensyn til dekning, kapasitet, fremførings-diversitet, redundans og uavhengighet (utred-ningen til Oslo Economics peker i retning av ensamfunnskostnad på om lag 575 millioner kro-ner. Tallet inkluderer investering og vedlike-hold over 10 år).

2. I en normalsituasjon er trafikken spredt mel-lom de to kjernenettene på en slik måte at sam-funnsverdiene de bærer, er fordelt. Spesielt børdet etterstrebes at fullstendig utfall i ett av kjer-nenettene gir en håndterbar samfunnsmessigsituasjon.

3. De to kjernenettene har samtrafikkspunktersom kan omrute trafikk mellom nettene.Denne omrutingen kan knyttes til et begrensetantall prioriterte brukere.

11.7.2 Sikre mangfold blant leverandørene til infrastrukturen

En annen kilde til sårbarheter som kan være fellesfor flere ekomoperatører, er den som er knyttet tilutstyrs- og tjenesteleverandører. Feil og bakdøreri utstyr og programvareoppgraderinger fra en

leverandør vil samtidig kunne slå ut i nettene tilflere operatører. Diskusjonene som har pågått imange land i den vestlige verden om bruk avutstyr fra kinesiske leverandører, har relevans forsamtlige norske infrastruktureiere. Utvalgetmener at man bør tilstrebe å ha en kontrollertheterogenitet i utstyrsleverandørbildet i norskekominfrastruktur, slik at sårbarheter med opp-hav hos én enkelt leverandør – uansett opphav-sland – kun kan ha begrensede skadeeffekter.Utvalget observerer at det i høringsutkastet til nysikkerhetslov er lagt inn et forslag om at Kongen istatsråd skal kunne stoppe enkeltinnkjøp til kri-tisk infrastruktur. Vi mener imidlertid at en sliklovendring er lite egnet til å håndtere den fullekompleksiteten i sårbarhetsbildet knyttet til utvik-ling, produksjon, leveranse og drift av ekomutstyr.

Det er et faktum at de leverandørene som erbest og billigst, selger mye og dermed overtarsvært store deler av markedet. Dette kan væreuheldig sett fra et sikkerhets- og avhengighetsper-spektiv. En leverandørstyring kan bidra til å sprerisiko på flere. Dette er en problemstilling som enser på flere områder og i flere sektorer, men det ergrunn til å tro at sårbarheten er størst på detteområdet. Konkurranselovgivningen vil i noengrad bidra til å forhindre monopolleverandører,men lovgivningen har ikke i tilstrekkelig gradklart å forhindre at det er en ensidighet i visseutstyrsleverandører. Nkom bør derfor, i samrådmed Konkurransetilsynet, ta initiativ til å utredehvorvidt vi i dag har tilstrekkelige virkemidler for åivareta dette forholdet, eller om det er behov for åetablere virkemidler for å sikre diversitet i utstyr.Denne problemstillingen bør også tas med i utfor-mingen av ny sikkerhetslov (del II).

11.7.3 Opprette en CSIRT i ekomsektoren i regi av Nkom

Det er totalt cirka 175 tilbydere av elektroniskekommunikasjonstjenester i Norge. Av disse erflesteparten svært små, og de færreste eier egetnett. Det er nødvendig med en god overgripendehåndtering av hendelser i det digitale rom somfavner hele dette spekteret. Det er under planleg-ging å etablere en CSIRT for sektoren i regi avNkom, som skal bistå selskapene i håndteringenav digitale angrep. Det er pekt på at det kan væreen utfordring tillitsmessig ved at CSIRT-enhetenligger i en tilsynsmyndighet, og dette må det tashensyn til ved utvikling av funksjonen. En fordelmed denne plasseringen er blant annet at Nkomer øverste myndighet til nedstenging som et virke-middel ved uønskede hendelser, og vil sitte nær

25 Oslo Economics (2015): Konsekvensutredning – Alternativerfor styrket robusthet i landsdekkende kjernenett. Utarbeidetfor Lysneutvalget.


selve hendelsen. I dette tilfellet anbefaler vi derfororganisatorisk oppheng hos Nkom. Retningslinjenefra Justis- og beredskapsdepartementet underbyggerogså en myndighetstilknytning for organet.26

11.7.4 Aktiv myndighetsutøvelse fra Samferdselsdepartementet og Nasjonal kommunikasjonsmyndighet

Det funksjonsbaserte regelverket innenfor ekom-sektoren vurderes i utgangspunktet å være godtegnet for å møte stadige endringer i trusselbilde,teknologi og tjenesteproduksjon. Dersom samfun-nets behov for forsvarlig sikkerhet i nett og tje-neste skal møtes, krever dette imidlertid en sterkog endringsdyktig ekommyndighet (SD ogNkom). Det vurderes som viktig, som Nkom selvpåpeker, at pålegg, avtaler og tiltak innenfor sekto-ren er forankret i en overordnet ROS-analyse somogså adresserer avhengighet av andre sektorer,som eksempelvis kraftforsyningen og justismyn-digheten. Det er viktig med en offensiv videreut-vikling av regelverket, slik at det til enhver tid eroppdatert i forhold til trusselbildet, den teknolo-giske og markedsmessige utviklingen og samfun-nets behov for ekom. Ekommyndigheten må styrkeinnsatsen ytterligere ved å veilede tilbyderne ominnholdet i rettslige standarder knyttet til sikkerhetog robusthet. Utvalget vurderer videre at en forsvar-lig kobling mellom sentrale ekomaktører og denasjonale sikkerhetstjenestene er helt nødvendig forå ivareta nasjonale sikkerhetsmessige behov, oganbefaler at dette arbeidet videreutvikles gjennomdet etablerte Ekomsikkerhetsforumet.

Nasjonal ekomplan

Det utarbeides for tiden en ekomplan innenforSamferdselsdepartementets ansvarsområde knyt-tet til en ny digital agenda for Norge. Det er posi-tivt at en slik plan etableres. Som nevnt over erimidlertid dette et komplekst felt med flere sen-trale sektormyndigheter og aktører som tilsammen ivaretar en helhetlig verdikjede. Avhen-gig av hvordan denne blir seende ut, kan det væreønskelig med en bredere fremtidig plan som ogsåomfatter ekomperspektivet på tvers av sektorer iNorge, inkludert blant annet Nødnett og fremti-dige behov for nødkommunikasjon. En slik helhet-lig plan bør ta innover seg hvordan krav til ekom-nett og -tjenester gjenspeiler samfunnets økende

behov for digitale tjenester. Planen bør inneholde ensystematisk oversikt som jevnlig viser hvor ulikeforebyggende tiltak bør prioriteres.

Denne oversikten på ekomområdet bør viderebenyttes som et bidrag i Justis- og beredskapsdeparte-mentet større oversiktsbilde over IKT-sårbarhet iNorge.

11.7.5 Etablere tiltak for å regulere utlevering av trafikkdata til politiet

I et samfunn der det teknologiske mulighetsrom-met endres så raskt som i dag, vil lovgivningen,som blir til gjennom demokratiske prosesser, all-tid ligge etter de teknologiske realitetene. Noe avutfordringene rundt dette er søkt løst ved at lov-verket har skjønnsmessige kriterier, mens dettesamtidig kan medføre at formålet med bruken avinformasjonen endres over tid, såkalt formålsglid-ning. Her kan vi nevne som eksempel at trafikk-data lagret for faktureringsformål i mange tilfellerbrukes til å kartlegge enkeltpersoners bevegel-ser/aktiviteter knyttet til spesifikke basestasjoner.Man ser også at signaleringsdata lagret for tek-niske driftsformål og som genereres uten abon-nentens aktive bruk, benyttes til formål som gren-ser mot teknisk sporing.

Et annet og prinsipielt eksempel er at trafikk-data knyttet til alle personers trafikk ved en spesi-fikk basestasjon (eller flere) brukes til å kartleggegruppers tilstedeværelse/bevegelser i et område(«basestasjonssøk»). Dette gjøres typisk når deter begått en kriminell handling og man ikke haren konkret mistenkt person. Etterforskerneønsker informasjon om trafikkdata for å kunnesammenligne med senere vitneuttalelser, avhørmed mer. Et slikt basestasjonssøk vil, innenfor engitt tidsramme, vise hvem som har vært aktive,hvem som har snakket med eller sendt SMS tilhvem. Ved basestasjonssøk for signaleringsdatavil man også kunne finne lokasjonen til alle som ertilknyttet basestasjonens område. Dette kan imange tilfeller gjelde svært mange mennesker.

Slik generell kartlegging av folkemengderskommunikasjon og lokasjon bør vurderes ut fragrunnleggende rettslige rammer, legalitetsprin-sippet, og eventuelt reguleres særskilt. Det frem-står som en større formålsglidning at tekniske sig-naleringsdata (som skjer uten brukerens initiativ)brukes til å identifisere mulige mistenkte, enn atrene trafikkdata (generert ved aktiv bruk avmobil) gjør det.

I denne sammenhengen kan det også være enutfordring for dommere å ha tilstrekkelig tekniskinnsikt til å forstå de tekniske begrepene, hvordan

26 Justis- og beredskapsdepartementet (2014): Modell forhåndtering av IKT-sikkerhetshendelser – anbefalinger og ret-ningslinjer, brev til departementene.


de aktuelle dataene genereres, hvilket informa-sjonspotensial dataene har, og hvordan de kanbrukes. Det er relevant å se på hvor grundig dom-stolene vurderer anmodninger om tilgang til data.Lysneutvalget har ikke hatt tidsmessig rom for ågjennomføre noen undersøkelse av dette, menviser til Metodekontrollutvalgets utsagn om at13,8 prosent av dommerne selv og 58,4 prosent avadvokatene mener det ikke blir gjort en tilstrekke-lig vurdering av vilkårene for kommunikasjons-kontroll, og at dette er bekymringsverdig.27 Detfremgår samme sted at det er svært sjelden dom-stolene avslår en begjæring om kommunikasjons-kontroll, noe som også er betenkelig.

Lysneutvalget har ikke grunnlag for å fastslåat Metodekontrollutvalgets funn illustrerer etgenerelt trekk som er overførbart til utvalgetsmandat.

Som omtalt i punkt 11.5.6 «Nasjonal autonomiog personvernutfordringer», er omfanget av politi-ets uthenting av trafikkdata rimelig stabilt, mensandelen forespørsler om opphevelse av taushets-plikt for utlevering av signaleringsdata er sterktøkende. Det er mange spørsmål knyttet til forhol-det mellom beslutninger om opphevelse av entaushetsplikt med hjemmel i straffeprosessloven§ 118 jf. § 230 og menneskerettsloven § 2 jf. EMKartikkel 8.

Utvalget mener at formålsutglidning av bruk avopplysninger som omtalt over (særlig signalerings-data) bør utredes. I denne sammenheng bør ogsådommernes tekniske kompetanse som grunnlag forå ta stilling til innsynsbegjæringer vurderes.

Utvalget mener det er behov for å avklare hjem-melsgrunnlaget for regulering av tilgang til signale-ringsdata.

Utvalget er videre av den oppfatning at bruk avsignaleringsdata er blitt så utbredt som etterfors-kningsverktøy at det bør vurderes å lovregulere dettesom et særskilt tvangsmiddel.

27 NOU 2009: 15 Skjult informasjon – åpen kontroll, side 164,høyre spalte.


Kapittel 12

Satellittbaserte tjenester

I løpet av de siste tiårene har tjenester som utnyt-ter infrastruktur i verdensrommet, blitt en inte-grert del av hverdagen vår. Antallet samfunnsom-råder som blir berørt av bruk av rombasert infra-struktur, har økt. Det samme gjelder antallet aktø-rer som er aktivt involvert i den globale romvirk-somheten. Satellittsystemer vil i løpet av de nesteårene få større strategisk og samfunnsøkonomiskbetydning. Satellittbaserte tjenester brukes på defleste områder – i navigasjons- og kommunika-sjonssystemer, til skredovervåking og i avansertestyringssystemer for offshoreoperasjoner. Flereog bedre satellitter, økt dataprosesseringskapasi-tet, utbredelsen av Internett og fremveksten avmobilt kommunikasjonsutstyr har medvirket tildenne utviklingen.

12.1 Romrelatert infrastruktur

En rekke kritiske samfunnsfunksjoner er avhen-gige av satellittbaserte tjenester for å være opera-tive. Med satellittbaserte tjenester menes i dennesammenheng tjenester for posisjonsbestemmelse,navigasjon og presis tidsangivelse (PNT), kom-munikasjonstjenester og jordobservasjonstje-nester. Tjenestene leveres via satellitter som går ibane rundt jorda, og tilleggstjenester knyttet tildisse for økt ytelse.

Globale satellittsystemer for posisjon, navigasjonog presis tidsangivelse (PNT). USA og Russlandopererer i dag hvert sitt globale system, henholds-vis GPS og GLONASS. Begge er militæresystemer, men spesielt GPS har fått stor sivilbetydning.

Et tredje system, Galileo, er planlagt å være ifull operativ drift fra 2020. Galileo er et systemunder sivil kontroll, eid og drevet av EU. Kinaplanlegger sitt eget globale satellittnavigasjons-system (Beidou), som ventes å bli satt i drift rundt2020. Slike satellittsystemer går under fellesbeteg-nelsen GNSS (Global Navigation Satellite Sys-tems).

De ulike GNSS-systemene er interoperatible.Det vil si at brukeren kan benytte seg av alle satel-litter som er tilgjengelige fra de ulike systemene,hvis brukerutstyret er tilpasset dette.

Støttesystemer til GNSS er utviklet for å gibrukerne bedre ytelse. Disse systemene leverertjenestene sine enten via satellitt eller fra bakkenog betjener brukere langs kysten, offshore, påland og i luften.

Satellittsystemer for kommunikasjon. Kommu-nikasjonssatellitter er konstruert for overføring avfjernsynsprogrammer, telefonsamtaler, data, bred-båndstjenester og lignende. Satellittkommunika-sjon kan spille en viktig rolle for å sikre liv oghelse og gjenopprette kritiske funksjoner når bak-kebaserte systemer er satt ut av spill, for eksem-pel i forbindelse med storm, flom eller skred. Detviktigste satellittkommunikasjonssystemet idenne sammenhengen er Inmarsat (UK), som til-byr data/bredbånds- og telefonitjenester på nærglobal basis til maritime, landmobile og aeronau-tiske brukere. Inmarsat er så langt det enestesatellittsystemet for tale og data som er en del avIMOs1 GMDSS (Global Maritime Distress andSafety System). Systemet er basert på geostasjo-nære satellitter som står over ekvator, og hargradvis dårligere dekning nord for 72 grader. Formobile brukere i Arktis er i dag lavbane-satellitt-systemet Iridium (USA) eneste kommunikasjons-mulighet for telefoni og lavrate datakommunika-sjon. Iridium arbeider med å få akseptert systemeti GMDSS. Inmarsat ble i sin tid grunnlagt som eninternasjonal ideell organisasjon, men er i dag pålik linje med Iridium et privateid kommersielt sel-skap.

Telenors Thor-satellitter tilbyr i hovedsakkringkastingstjenester. Dette kan være viktig forbred spredning av informasjon i kritiske situasjo-ner sammen med annen bakkebasert infrastruk-tur. Nyeste generasjon Thor-satellitter (fra 2015)vil også adressere maritime markeder for bred-båndskommunikasjon og vil gradvis kunne bli vik-

1 International Maritime Organization, FN.


tigere her. Telenor og utenlandske aktører medavdelinger i Norge, som Airbus DS, tilbyr ogsåleid kapasitet for punkt-til-punkt-forbindelser viasatellitt. Betydelig trafikk, både kringkasting ogtoveis tale- og datakommunikasjon, håndteres avTelenors jordstasjon i Nittedal og Airbus’ jordsta-sjon på Eik i Rogaland.

I tillegg benyttes systemer som er helt ellerdelvis eid av utenlandske aktører, for kommunika-sjon både på norsk jord og til/fra nordmenn iutlandet og i internasjonalt farvann. Forsvaret haregne jordstasjoner for satellittkommunikasjon. Enrekke meteorologiske målestasjoner og oseano-grafiske bøyer rapporterer også inn sine målingervia satellitt.

Satellittsystemer for jordobservasjon. Værsatel-litter er nå den viktigste måletypen i numeriskværvarsling. Norge deltar derfor aktivt i det euro-peiske værsatellittsamarbeidet EUMETSAT, somopererer satellitter både i geostasjonære og polarebaner. EUMETSAT har neste generasjon satellit-ter under utvikling for innfasing i geostasjonærbane fra 2018/2019 og i polar bane rundt 2021.EUMETSATs hovedbakkestasjon for de polareværsatellittene ligger på Svalbard. Det er Meteo-rologisk institutt (MET) som ivaretar Norgesinteresser i EUMETSAT. Også Norsk Romsenterer representert i EUMETSATs råd.

EUMETSAT og den amerikanske værvars-lingsorganisasjonen NOAA (National Oceanic andAtmospheric Administration) i USA har et forplik-tende samarbeid om bruk av hverandres satellit-ter. NOAAs satellitter betjenes av KongsbergSatellite Services (KSAT) bakkestasjon på Sval-bard. De amerikanske polare værsatellittene erderfor svært viktige for værvarslingen også iNorge.

Norge har nylig besluttet å bli med i EUs ope-rative jordobservasjonssystem, Copernicus, som iårene fremover skal skyte opp en rekke operativesatellitter for miljøovervåking. Også Copernicus-systemet vil ha sin polare hovedbakkestasjon påSvalbard.

AIS-satellitter. Automatic Identification Sys-tem (AIS) ble opprinnelig utviklet som et anti-kol-lisjonshjelpemiddel for skip. Alle fartøy over 300bruttotonn er pålagt å ha systemet om bord. Detrapporterer jevnlig om skipets posisjon, kurs, fartog andre skipsdata. AIS brukes i dag også til tra-fikkovervåking og flåtestyring ved at signalenemottas av bakkestasjoner og satellitter.

AISSat-1 og AISSat-2 er norske småsatellittersom er i drift nå. AISSat-3 er planlagt skutt opp i2016. Satellittene inngår i AIS-systemet for å gidekning utover det landbasert AIS gir. Satellittene

er å betrakte som teknologidemonstratorer, menhar allerede vist seg å være svært nyttige foroffentlig forvaltning. Satellittene AISSat-1 og AIS-Sat-2 eies av Norsk Romsenter, mens AISSat-3eies av Kystverket. Kystverket er ansvarlig forsentral forvaltning av dataene fra satellittene,sammen med data fra den landbaserte kjeden.Bakkestasjoner for kontroll av satellittene og ned-lesing av data er etablert på Svalbard og i Vardø,med tilhørende infrastruktur.

Svalbardkabelen er en fiberoptisk kabelforbin-delse som går mellom Fastlands-Norge og Sval-bard. Den ble primært etablert for å sikre påliteligdataoverføring for satellittvirksomheten på Sval-bard. Forbindelsen består av to kabler som går fraHarstad via Andøya til Longyearbyen. Den enekabelen er reserve for den andre. Etter landfall iHarstad og i Longyearbyen knyttes fiberkabelensammen med Telenors kabler og utstyr. SpaceNorway AS (SPN) eier forbindelsen og noe av detelektroniske linjetermineringsutstyret. Selskapethar inngått kontrakt med Telenor Svalbard (TNS)om linjeleie og om lokaler for linjetermineringsut-styr både på Svalbard og på fastlandet.

Svalbardkabelen brukes av KSAT til overfø-ring av data som hentes ned på Svalbard til ulikekunder og brukere i inn- og utland, av TNS tiloverføring av teleforbindelser (telefon, TV/radioog Internett) og av UNINETT til overføring avforskningsdata fra Svalbard til Norge og utlandet.SPN har i tillegg leid satellittkapasitet for et enkelttjeneste-/sikringssamband til bruk for Sysselman-nen og KSAT i tilfelle brudd i kabelforbindelsen.

Gjennom avtale mellom SPN og TNS er allovervåking og drift av anleggene og trafikkengjennom kabelen ivaretatt av Telenor. Telenor erogså ansvarlig for all kommunikasjon og annentrafikk som går gjennom fiberkabelen til dereskunder, herunder institusjoner, bedrifter og pri-vatpersoner. TNS har knyttet til seg TelenorNorge for å ivareta av deler av dette ansvaret, foreksempel nettovervåking.

TNS har utarbeidet en egen risikoog sårbar-hetsanalyse (ROS) for denne forbindelsen. SPN ernå i ferd med å utarbeide sin egen ROS-analyse ut fraselskapets eieransvar for kabelen. Ved hendelsersom innebærer brudd i den ene eller begge kablene,ved planlagte arbeider på kabelforbindelsen, eller iandre situasjoner der kabelforbindelsen utsettes forrisiko, vil TNS og SPN kommunisere og samarbeideom situasjonshåndteringen, herunder varsling tilbrukerne. Ved brudd i begge kablene samtidig vileneste kommunikasjon være det enkle tjeneste-/sik-ringssambandet til bruk for Sysselmannen og KSAT,samt Iridium satellitt-telefoni.



Leveranse av satellittbaserte tjenester er i hoved-sak et internasjonalt anliggende, men flere norskeetater er premissleverandører og har en myndig-hetsrolle på området. Det er ingen etat som hardet overordnede ansvaret for satellittbaserte tje-nester. Nedenfor gir vi en oversikt over de viktig-ste myndighetsaktørene.

Nærings- og fiskeridepartementet (NFD) er detnasjonale romdepartementet. NFD møter i ESAsministerråd og i ESA/EU Space Council. NRS(Norsk romsenter) tar hånd om koordineringenav den nasjonale romsatsingen på vegne av NFD.Bevilgningene til ESA og NRS går i sin helhetover NFDs budsjett, og departementet er ansvar-lig for de dominerende delene av den offentligefinansieringen av rominfrastrukturen. NFD erogså ansvarlig for Galileo og Copernicus, medNRS som sekretariat.

Kunnskapsdepartementet (KD) er gjennomMeteorologisk institutt og deltagelsen i EUMETSATen viktig aktør innenfor norsk anvendt romvirk-somhet.

Samferdselsdepartementet (SD) har ansvar forkoordineringen av den sivile radionavigasjonspoli-tikken, som også omfatter satellittnavigasjon.Kystverket overvåker skipstrafikk og oljesøl viasatellitt og er hovedbruker av de norske satellit-tene for overvåking av skipstrafikken til havs(AIS).

Justis- og beredskapsdepartementet (JD) hargjennom sitt ansvar for samfunnssikkerhet og kri-sehåndtering direkte eller indirekte behov forsatellitt-tjenester. Redningstjenesten brukerromtjenester i forbindelse med redningsoperasjo-ner, og JD deltar i søk- og redningssamarbeidetCOSPAS-SARSAT. Under redningsaksjoner påSvalbard benyttes i økende grad både satellitt-kommunikasjon, satellittnavigasjon og jordobser-vasjon. Satellittbasert infrastruktur blir ogsåbenyttet av DSB og NSM. Politiet er en aktuellbruker av nye romtjenester som den offentligregulerte tjenesten i Galileo.

Justis- og beredskapsdepartementet har ogsådet overordnede ansvaret for de norske polareområdene og for embetsstyringen av Sysselman-nen på Svalbard.

Forsvarsdepartementet (FD) bidrar gjennomForsvarets forskningsinstitutt (FFI) til romfors-kning og jordobservasjon. Forsvaret og Kystvak-ten er brukere av informasjon fra jordobserva-sjons-, kommunikasjons- og navigasjonssatellitter.Forsvarets bruk vil de neste årene bli så omfat-tende og viktig at Forsvaret vil jobbe for sikker til-

gang til satellittkapasitet. Gjennom GLOBUS 2-radaren ved Vardø bidrar Forsvaret til overvåkingav romsøppel. FD forvalter avtalen med USA omtilgang til den militære delen av GPS.

Utenriksdepartementet (UD) bidrar tilforskningsvirksomhet gjennom prosjektmidler tilForskningsrådet. UD har ansvar for at folkeretts-lige forpliktelser blir ivaretatt i forvaltningen avnorsk romvirksomhet, og for eksportkontroll. UDer involvert i internasjonalt samarbeid der ogsåromvirksomhet er et element, som internasjonaltsamarbeid om kriser og beredskap, samt skog-vernprosjektet. UD ivaretar også utenrikspolitiskeproblemstillinger knyttet til romvirksomhet pånorsk jord.

Norsk Romsenter (NRS) er en etat underNærings- og fiskeridepartementet (NFD) og erstatens strategiske, samordnende og utøvendeorgan for å sikre en effektiv utnyttelse av verdens-rommet til beste for det norske samfunnet. NorskRomsenter ivaretar norske interesser i ESA og iEUs satellittnavigasjonsprogrammer, Galileo ogEGNOS, samt i EUs jordobservasjonsprogram,Copernicus. NRS forvalter også diverse bilateraleavtaler. Nasjonalt forvalter Norsk Romsenternasjonale følgemidler og er en støttespiller fornorske industriaktører. I tillegg utarbeider de stra-tegier for norsk romvirksomhet.

Meteorologisk institutt (MET) er landets stør-ste bruker av jordobservasjonsdata fra satellitt, ogrepresenterer Norge i den europeiske meteorolo-giorganisasjonen EUMETSAT. Instituttet har ogsånoen egne antenner for direkte nedlesing av vær-data fra satellitt.

Justervesenet har ansvaret for at Norge har enmåleteknisk infrastruktur som både har nasjonalog internasjonal tillit. Justervesenet har også detforvaltningsmessige ansvaret for regelverketinnenfor måleteknikk, blant annet normaltid. Jus-tervesenet definerer tid som kritisk infrastruktur.

Nasjonal kommunikasjonsmyndighet (Nkom)er underlagt SD og har ansvar for frekvensforvalt-ning, herunder også for frekvenser som brukes avsatellitter, og for tillatelser til etablering og drift avjordstasjoner. Internasjonale innmeldinger ogkoordinering foregår gjennom FN-byrået ITU(International Telecommunications Union). Sys-selmannen på Svalbard fører, i samarbeid medForsvarets forskningsinstitutt, tilsyn med forholdsom omtales i kapittel 3 i jordstasjonsforskriften2.

Nasjonal sikkerhetsmyndighet (NSM) er tillagten særlig oppgave knyttet til oppfølgingen av sik-

2 Samferdselsdepartementet (1999): Forskrift om etablering,drift og bruk av jordstasjon for satellitt.


kerhetsarbeidet i de europeiske satellittprogram-mene Galileo og EGNOS. NSM har også ansvarfor oppfølging av avtaler om utveksling av sikker-hetsgradert informasjon og sikkerhetsmessiggodkjenning (akkreditering) av infrastruktur pånorsk territorium.

UNINETT utvikler og driver det norskeforskningsnettet, som forbinder norske utdan-nings- og forskningsinstitusjoner, og knytter demopp mot internasjonale forskningsnett. UNINETThar ansvaret for drift av forskningsnettet på Sval-bard.

Norsk romindustri består i dag av rundt 40store og små selskaper spredt over hele landet.De utvikler og produserer alt fra terminaler forsatellittkommunikasjon til blomsterpotter for plan-teforskning i rommet, og selger tjenester fraAntarktis i sør til Svalbard i nord, blant annet:

Telenor har ansvar for Thor-satellittene og Nit-tedal jordstasjon.

Airbus DS har ansvar for Eik jordstasjon.Space Norway AS (SPN) støtter opp under

Norsk Romsenters operative funksjoner. Selska-pet eier den optiske fiberkabelen mellom Svalbardog fastlandet. Kabelen er et sentralt ledd i Norgesinfrastruktur i nordområdene. Space Norway har50 prosent eierandel i Kongsberg Satellite Ser-vices (KSAT). Space Norway disponerer satellitt-basert kommunikasjonskapasitet som dekkerTrollstasjonen i Antarktis. Løsningen om bord iThor 7-satellitten er utviklet i samarbeid medTelenor. Space Norway er også eier av Statsat AS,et selskap som skal håndtere norske statlige små-satellitter, som for eksempel AISSat.

Kongsberg Satellite Services AS (KSAT) eier ogdrifter infrastruktur og satellittstasjonene på Sval-bard, i Tromsø og i Antarktis. KSAT eies av SpaceNorway AS (SPN) og Kongsberg Defence & Aer-ospace AS med 50 prosent hver.

Andøya Space Center (ASC) er et senter somgir forskningsstøtte til forskere som studerermekanismene i atmosfæren, primært ved oppsky-ting av raketter og forskningsballonger. Beliggen-heten på Andøya er svært gunstig for oppskyting.USA og flere europeiske land samarbeider påASC.

Samordning mellom myndighetsaktører – det interdepartementale koordineringsutvalget for romvirksomhet

Slik det er i dag, finnes det ikke noe overordnetorgan som formelt sett har ansvaret for den hel-hetlige romvirksomheten. Det er imidlertid opp-rettet et interdepartementalt koordineringsutvalg

for romvirksomhet (IKU) som fungerer som infor-masjonsutvekslings- og møtearena for myndig-hetsaktørene som har ansvaret for ulike typerromrelaterte saker.3 Utvalget ble opprinnelig opp-rettet for å koordinere Norges deltagelse i Galileo.IKU koordinerer etter hvert alle romrelatertetverrsektorielle saker, for eksempel AIS-satellit-tene, BarentsWatch, Copernicus, Radarsat, romre-latert forskning i og utenfor EUs rammeprogramfor forskning og oppfølging av rompolitikken somutvikles i EU og ESA. Utvalget blir ledet avNærings- og fiskeridepartementet med NorskRomsenter som sekretariat.

Underlag for en nasjonal romsikkerhetsstrategi

Norsk Romsenter (NRS) har tatt initiativ til å utar-beide et underlag for en nasjonal romsikkerhets-strategi. Underlaget skal blant annet omhandleproblemstillinger rundt arbeidet for et sikkert ogbærekraftig rommiljø, sikkerhetsutfordringerknyttet til bygging, drift og utnyttelse av rominfra-struktur i rommet, sårbarhet knyttet til samfun-nets avhengighet av satellittbaserte tjenester oghvordan rombasert infrastruktur kan styrke sik-kerhetsnivået på ulike samfunnsområder. I arbei-det innhenter NRS innspill fra en rekke av de sen-trale aktørene som er nevnt ovenfor. Arbeidet erventet ferdigstilt i desember 2015.


Rombaserte tjenester består av et utstrakt interna-sjonalt samarbeid, der departementer, etater ogprivate virksomheter deltar på en rekke ulikeområder. I tillegg til områdene som er nevnt over,samarbeider blant annet romfartsnasjonene iInter-Agency Space Debris Coordination Commit-tee (IADC) for å få kontroll over forurensingen avsatellittbanene.4


Mye av romvirksomheten bærer preg av å ha enflerbruksnatur (dual-use) og omfatter derfor sik-kerhetsrelaterte problemstillinger, som foreksempel eksportkontroll. Forsvaret er kunde avtjenester fra Kongsberg Satellite Services, blantannet når det gjelder nedlesing og prosesseringav data fra den kanadiske satellitten Radarsat-2.

3 Hjemmelen for opprettelsen av IKU ligger i St.prp. nr. 54(2008–2009).

4 Norsk romsenter (2013): Vurdering av sårbarhet ved brukav globale satellittnavigasjonssystemer i kritisk infrastruktur.


Innen satellittkommunikasjon kjøper Forsvaretnoen tjenester fra kommersielle aktører.

12.3 Hjemmelsgrunnlag og regulering

Regulering av romvirksomheten er hjemlet imange ulike lover og forskrifter, og ansvaret foroppfølging tilhører ulike departementer og etater.Lovverket som angår norsk romvirksomhet, er pådenne måten relativt komplekst. I tabellen over erdet listet opp relevante lover og forskrifter med til-hørende ansvarlig myndighet. Tabellen er ikkeutfyllende.

12.4 Sårbarheter i satellittbaserte tjenester

Samfunnets avhengighet av satellittbaserte tjenes-ter fører også til en ny type risiko. Trusler fra

eksempelvis sabotører, cyberangrep, kollisjonmed romsøppel eller naturfenomener som rom-vær kan gjøre betydelig skade på samfunnets ver-dier gjennom å slå ut kritisk satellittinfrastruktur.Håndtering av denne risikoen er blitt en viktigmyndighetsoppgave i Norge og blant store inter-nasjonale aktører som EU og USA.

Sårbarheter i infrastruktur for satellittbasertetjenester kan eksempelvis knyttes til– selve satellittene og radioforbindelsen til/fra

disse– stasjoner på bakken (jordstasjoner)– terminalutstyr hos brukerne

Konsekvensene av feil og skader på disse elemen-tene og bevisst eller ubevisst påførte forstyrrelserkan for berørte brukere være av kritisk karakter.Norge har eierskap og operasjonelt ansvar forbåde satellitter og jordstasjoner.

Kilde: Norsk Romsenter.

Tabell 12.1 Et utvalg relevante lover og tilhørende ansvarlig myndighet

Lov/Traktat Angår Ansvarlig dept./etat

Sikkerhetsloven med forskrifter Forebyggende sikkerhet JD/FD (NSM)

Ekomloven med forskrifter Regulering av beskyttelse og radio-frekvenser + bakkestasjoner

SD (Nkom)

Svalbardtraktaten Bruk av Svalbard til ikke-militære formål

UD/JD

Romloven Lov om oppskyting av gjenstander fra norsk territorium ut i verdensrommet

NFD

International Convention on Maritime Search and Rescue

Internasjonal koordinering av SAR JD

Metarea 19 Værvarsling KD (met.no, Kystverket)

Galileo/Copernicus-forordningene

Beskyttelse av infrastruktur og tjenester

NFD (NRS)

Romregistreringskonvensjonen Forvaltning av romregister for norske satellitter

UD (NRS)

ITU-konvensjonen Frekvensfordeling SD (Nkom)

Svalbardloven med forskrifter Etablering, drift og bruk av bakkestasjoner med mer

SD

Havressursloven med forskrifter Krav til satellittsporingsutstyr om bord på fiskebåter med mer

NFD, Fiskeridirektoratet

Lov om petroleumsvirksomhet med forskrifter

Satellittsporing av seismikkskip OED

Skipssikkerhetsloven med forskrifter

Krav til kommunikasjonsutstyr med mer

NFD


12.4.1 Trusler mot romrelatert infrastruktur

I 2002 uttrykte USAs riksrevisjon, GAO (GeneralAccounting Office) bekymring over at kommersi-elle satellitter er sårbare for hackere. Siden 2004har flere presentasjoner på hackersamlinger somUndercon og Black Hat drøftet muligheten formisbruk av datasamband via satellitt i ulike for-mer for kriminell virksomhet. Eksempelvis påståren presentasjon på hackersamlingen Black Hat atman med gratis programvare og standardutstyrverdt 50 euro kan misbruke datakommunikasjonover satellitt til ikke-sporbare angrep.

Etableringen av mulige alternative satellittna-vigasjonssystemer til GPS, gjennom utbyggingenav Galileo, GLONASS og Beidou, bidrar til å redu-sere sårbarheten som følger med det å væreavhengig av ett enkelt system. Den offentlig regu-lerte tjenesten Public Regulated Service (PRS)som planlegges for EUs Galileo-program, skalsikre nasjonale beredskapsmyndigheter tilgang tilkrypterte satellittnavigasjonstjenester. Disse vilvære mindre sårbare for forsøk på sabotasje ogmanipulasjon.

Global informasjonsutveksling og verdensom-spennende handel med elektroniske komponen-ter som oscillatorer, tunere, forsterkere, transisto-rer og batterier gjør støysendingsutstyr lett til-gjengelig til lave priser. Miniatyriseringen av kom-ponenter bidrar til å gjøre støysendere skjulbare,lett transportable og dermed vanskelige å detek-tere. Risikoen for tilsiktet forstyrrelse av satellitt-signaler er derfor reell.

Etter hvert som satellittsystemer får stadigstørre betydning for kritiske anvendelser som luft-fart, sivil beredskap og aktiviteter relatert til For-svaret, er det naturlig at disse systemene vilkunne være mål for fiendtlige angrep, både i formav angrep mot fysisk infrastruktur og i form avcyberangrep mot styrings- og driftssystemer.

Interferens, det vil si blokkering av signaler,kan være et resultat av både tilsiktede og utilsik-tede hendelser. Tilsiktet interferens kan forårsa-kes av eksempelvis støysending (jamming), utsen-

ding av falske signaler (spoofing) eller retransmi-sjon av forsinket signal (meaconing).

Satellittnavigasjonssignaler er i utgangspunk-tet svake og vil lett kunne forstyrres av et sterkerejammesignal. Et jammesignal kan derfor reduserenavigasjonsnøyaktigheten og gi feilaktig tidsinfor-masjon. Risikoen for tilsiktede forstyrrelser erreell, særlig ettersom radioutstyr som kan benyt-tes til dette, er relativt billig og lett tilgjengelig.

Sannsynligheten for at signalskjerming inn-treffer, er avhengig av topografiske forhold ogbrukernes generelle kunnskap om egenskapeneved satellittsystemer. Risikoen for flerveisinterfe-rens er stor i mange brukeromgivelser, spesielt ibyområder og tett ved store konstruksjoner.

12.4.2 Samfunnets avhengighet av satellittbaserte tjenester

I Norge har romvirksomheten blitt en forutset-ning for effektiv og sikker samfunnsdrift og for åfølge opp prioriterte politiske målsettinger i nord-områdene og i klima- og miljøpolitikken.

Satellittkommunikasjon punkt til punkt har tilnå vært relativt kostbart sammenlignet med andrealternativer og benyttes derfor primært der anneninfrastruktur ikke er tilgjengelig. I tillegg brukesden ofte som reserveforbindelse (backup) for kri-tiske forbindelser til for eksempel utestasjoner.For omtale av avhengigheter av satellittbasertetjenester i sjøtransport, se punkt 18.4 «Sjøtrans-port».

Maskin-til-maskin-kommunikasjon, somfjernovervåking av anlegg og installasjoner ogprosesstyring (også kalt SCADA), er et bruksom-råde i vekst, og avhengigheten av slike systemerer økende. Tabell 12.3 viser en oversikt over sam-funnsfunksjoners avhengighet av satellittbasertetjenester. Tabellen er ikke utfyllende.5

Tabell 12.2 Trusler som kan påvirke rombasert virksomhet

Fysisk infrastruktur System

Tilsiktede Anslag mot infrastruktur InterferensCyberangrep

Utilsiktede RomværRomskrotNaturfenomener

Menneskelig sviktInterferens

5 Tabellen er basert på tabell i Sikkerhet i kritisk infrastrukturog kritiske samfunnsfunksjoner – modell for overordnet risi-kostyring. Direktoratet for samfunnssikkerhet og bered-skap, 2012.


12.4.3 Romvær og romskrot

Romskrot er biprodukter av ulike typer romvirk-somhet og består hovedsakelig av gamle satellit-ter som er tatt ut av drift, fragmenter av satellitter,utbrente deler av bæreraketter, fragmenter etterkollisjoner, samt objekter som er mistet i forbin-

delse med at astronauter har oppholdt seg utenforromfartøyer. Når det gjelder den generelle risi-koen for kollisjon med romskrot, er den størst iden lave jordbanen, der de operative observa-sjons- og kommunikasjonssatellittene befinnerseg, sammen med ikke-aktive satellitter, rakettres-ter og annet romskrot.

Kilde: DSB.

Tabell 12.3 Samfunnsfunksjoners avhengighet av satellittbaserte tjenester

Kritisk samfunns-funksjon

PNT, kommunikasjon, jor-dobservasjon

Merknad

Opprettholde trygghet for liv og helse

Posisjon, navigasjon og tid, kommunika-sjon og jordobserva-sjon

Nødetatene, inkludert Nødnett, er helt avhengige av PNT. Det samme gjelder SAR. Ved landing av fly benyttes GNSS støttesystemer (SBAS/GBAS). Elektroniske kartsystemer (ECDIS) og andre systemer for navigasjon og for rapportering av skipets posisjon er helt avhengige av satellittnavigasjonssystemet om bord. Kommunikasjon via satellitt er i enkelte områder eller når bakkenett er satt ut av drift, eneste mulighet for kommunikasjon eller kringkasting av informasjon. Værvarsling, skredvarsling og flomvarsling er avhengig av jordobservasjonstje-nester fra satellitter.

Opprettholde lov og orden

Posisjon, navigasjon og tid

Nødetatene er helt avhengige av PNT. Tollvesenet er avhengig av PNT.

Opprettholde finansiell stabi-litet

Tid Finansnæringen er helt avhengig av tidssignaler i transaksjoner.

Opprettholde befolkningens behov for varme

Tid Styring av kraftnett er helt avhengig av presis tid og frekvens.

Ivareta styring og kriseledelse

Posisjon, navigasjon og tid, kommunika-sjon og jordobserva-sjon

PNT, satellittkommunikasjon og data fra jordobservasjonssatellitter sammen med geodata kan i noen kriser vært svært viktige verktøy.

Ivareta nasjo-nal sikkerhet

Jordobservasjon, PNT og kommunika-sjon

Militære operasjoner er helt avhengige av PNT, og satellittkommunika-sjon og data fra jordobservasjonssatellitter kan være vesentlig i enkelte sammenhenger. Suverenitetshevdelse og overvåking, spesielt av Norges store havområder, er avhengig av data fra jordobservasjons-satellitter.

Beskyttelse av natur og miljø

Jordobservasjon, satellittkommunika-sjon, posisjon, naviga-sjon og tid

Detektering av oljesøl i havområder er helt avhengig av jordobserva-sjonssatellitter. For å unngå utslipp fra skip ved kollisjon eller grunn-støting er man avhengig av navigasjon, kommunikasjon og jordobser-vasjonssatellitter.

Vare- og per-sontransport

Posisjon, navigasjon og tid

Særlig luft- og sjøfart, men også veitransport og sikring av verdifull og farlig last, er avhengig av PNT.

Ekomtjenester Satellittkommunika-sjon

Kommunikasjon via satellitt er i enkelte områder eller når bakkenett er satt ut av drift, eneste mulighet for kommunikasjon eller kringkasting av informasjon.

Elforsyning Tid og satellittkom-munikasjon

Styring av kraftnett er helt avhengig av presis tid og frekvens. Det samme gjelder fjernstyring av kritisk infrastruktur der bakkebasert kommunikasjon ikke er tilgjengelig, for eksempel damanlegg.

Meteorolo-giske tjenester

Jordobservasjon, PNT

Værvarsling er helt avhengig av jordobservasjonssatellitter og bidrag fra navigasjonssatellitter.

Olje og gass Posisjon, navigasjon og tid

Dynamisk posisjonering.


Den tekniske kompetansen og evnen til åbruke våpensystemer mot satellitter er det i dag etbegrenset antall stater, primært USA, Russland ogKina, som har. Et angrep i en krigssituasjon vil for-uten eskalerende effekter ha store konsekvenserogså for en angripers egen bruk av rommet, da etangrep med fysisk ødeleggelse vil skape enda mersøppel, som også vil komme til å utgjøre en trus-sel mot angriperens egne romsystemer.

Trusler mot brukernes utstyr i denne sam-menhengen består i blokkering av signaler pågrunn av radiostøy, ionosfæriske fenomener ellertilsiktet interferens, samt villedning gjennomutsendelse av falske signaler. Mangelfull bruker-innsikt kan derfor øke risikoen for at feilnavige-ring kan føre til ulykker.

Av utilsiktede hendelser vil romvær kunne slåut kommunikasjon og føre til unøyaktig satellittna-vigasjon, noe som igjen kan skape kritiske situa-sjoner. Romvær kan også forstyrre retningsstyrtoljeboring og leting etter olje og gass der det bru-kes magnetiske sensorer.

Norge er mer sårbart for romvær ettersom viopererer teknologi lenger nord enn de flesteandre land. Det er derfor viktig at samfunnet erklar over disse effektene og settes i stand til åtakle kraftig uvær i rommet.

Tilsvarende vil naturhendelser på jordenkunne utgjøre en trussel mot den bakkebaserteromvirksomheten.

Bruk av ett system (GPS) i nordområdene iperioder med kraftig ionosfærisk aktivitet kan

innebære risiko for bortfall av signaler i korte tids-rom. Tilgang til flere satellitter vil gi bedre spred-ning av satellitter på himmelen, noe som igjen vilkunne gi bedre ytelse og økt signaltilgjengeligheti slike situasjoner. Faren for signalsvekkelse eller -tap på grunn av stor ionosfærisk aktivitet er reell iperioder med høy solaktivitet. Disse forholdenegjør det nødvendig med tiltak på brukersiden.Under meteoroideskurer velger derfor satellitto-peratører å redusere den eksponerte flaten ved åreposisjonere satellittenes solpaneler.

12.4.4 Menneskelig svikt

Menneskelig svikt kan også utgjøre en trusselmot drifts- og støttesystemer. Skader og ulykkerkan eksempelvis inntreffe ved operatørfeil ellernår brukere har mangelfull innsikt i begrensnin-ger og muligheter ved bruk av satellittmottakerut-styr.

Interferens kan, som nevnt ovenfor, fore-komme som følge av både tilsiktede og utilsiktedehendelser. Utilsiktet interferens kan eksempelvisinntreffe når signaler fra andre radiotjenester for-styrrer eller blokkerer mottak av satellittsignaler.Slike forstyrrelser kan oppstå dersom annet radio-utstyr sender på de samme eller nær frekvensenesom benyttes for satellittsignalene.6

12.4.5 Restsårbarhet og redundans

Selv om det stadig arbeides med å øke sikkerhe-ten i systemene, i tjenester og i brukerutstyret, erdet et sterkt behov for økt bevissthet og kjenn-skap til risikofaktorene hos brukere når det gjel-der avhengighet og sårbarhet. Sektorbaserte ogbedriftsinterne risikoanalyser for å iverksette rele-vante og kosteffektive sårbarhetsreduserende til-tak, er relevant i så måte.

Satellittbaserte systemer vil i flere sammen-henger kunne benyttes for å gi redundans til bak-kebaserte løsninger. Samtidig vil det være tilfellerder det motsatte er aktuelt.

Når det gjelder satellittnavigasjonssystemer,vil ulike bakkebaserte metoder kunne gi redun-dans. De ulike metodene har forskjellige sterkeog svake sider, og det kan være en utfordring åfinne en bakkebasert løsning som dekker beho-vene i alle brukersegmenter. Dessuten eksistererdet også sårbarheter knyttet til de bakkebaserteløsningene.

Boks 12.1 Romvær

Kraftige solstormer kan gi stråling mot jorden,noe som kan ødelegge elektronikken i satellit-ter. De kan også gi forstyrrelser i ionosfærenog i magnetfeltet som kan påvirke kvalitetenpå trådløs kommunikasjon og navigasjon. I for-bindelse med solflekkmaksimum i 2013/2014har solstorm med påfølgende geomagnetiskstorm her på jorden vært et av momentene idet nasjonale risikobildet hos DSB de sisteårene.

Kartverket har en sanntidstjeneste forvarsling av brukerne av presisjonsnavigasjonnår det registreres geomagnetiske stormer. Påsamme måte varsles mange oljeselskaper fraRomværsenteret ved Tromsø GeofysiskeObservatorium når det er geomagnetiske for-styrrelser som kan påvirke horisontale boreo-perasjoner offshore. 6 Norsk romsenter (2013): Vurdering av sårbarhet ved bruk

av globale satellittnavigasjonssystemer i kritisk infrastruktur.


Eksempler på systemer som kan benyttes somredundans for forskjellige typer PNT-tjenestersom nå leveres over satellitt, er radarsystemer,VHF Omnidirectional range (VOR) and distancemeasuring equipment (DME), Wide Area Multila-teration (WAM), eLoran og digitalt bakkenettkombinert med atomklokker. Det digitale bakke-nettet med tilhørende sendere er godt utbygd ogmeget godt egnet for å distribuere tid fra atom-klokker. Å utnytte dette nettverket kan være kost-nadseffektivt for å få opp en redundans i forholdtil tidsanvendelser i kraftnett og nødnett, og forfinansielle transaksjoner og andre anvendelsersom har behov for presis tid.

Loran-C og eLoran

Med sin rekkevidde på 1 000–1 200 km over vanndekker Loran-C (Long Range Navigation System)store deler av norske havområder. I disse farvan-nene kan fartøyer som er utstyrt med Loran-C-mottakere, bruke systemet som et redundant radi-onavigasjonssystem. Imidlertid er bare et liteantall skip i dag utstyrt med Loran-C-mottaker.Regjeringen besluttet i 2013 at det ikke skullebevilges midler til oppgradering til eLoran. Samti-dig ble det klart at man ville legge ned Loran-Csom tjeneste fra 1. januar 2016. Det er imidlertidflere som påpeker nødvendigheten av at systemetblir beholdt som en backup til satellittnavigasjons-systemer. Selv om det etter hvert kommer fleresatellittbaserte PNT-plattformer, lider de prinsi-pielt av noen av de samme digitale sårbarhetenesom eksempelvis sårbarhet for elektronisk jam-ming eller bruk av narresignaler (spoofing) somkan mislede brukeren. Et system som eLoran villeabsolutt kunne representere et jammeresistentalternativ til GPS i områder med dekning, men detkrever at det er brukere av systemet, og at detproduseres mottakerutstyr i volumer som byggeropp under bruk. Avgjørelsen om nedleggelse avLoran-C uten oppgradering til eLoran er et godteksempel på en avgjørelse som krever at interes-ser fra flere brukergrupper og sektorer blir belystog tatt inn i en overordnet kost–nytte-analyse somer forankret i et realistisk trusselbilde. Lysneut-valget har ikke hatt grunnlag til å følge opp dennetypen problemstillinger.

12.4.6 Bevissthet rundt sårbarhet og risiko

Det har vært en betydelig økning i bruken av rom-baserte tjenester på en rekke samfunnsområder.Utviklingen har gått raskt, og det har i intervjuenekommet frem bekymringer knyttet til at aktørene

som benytter seg av rombaserte tjenester, i forliten grad er bevisste på den avhengigheten ogsårbarheten dette medfører.

Aktørene som er avhengige av rombaserte tje-nester, gjennomfører i varierende grad egne sår-barhetsanalyser. Det synes å være stor forskjell påi hvilket omfang forskjellige sektorer har tatt inno-ver seg dette nye risikobildet, både med hensyn tilhvor omfattende bruken av rombaserte tjenesterer, hvor avhengig man er av satellittnavigasjon, ogi hvilken grad de skal forholde seg til bortfall ogforstyrrelser.7

Dette understøttes av innspill som er kommetfrem i intervjuer med sentrale aktører, der detblant annet etterlyses at myndighetsansvaret knyt-tet til blant annet følgende punkter bør tydeliggjø-res:– å vurdere risiko og sårbarhet– å utarbeide tilstandsrapporter, initiere og gjen-

nomføre nødvendige utredninger og foreslå til-tak

– å føre tilsyn med virksomheter opp mot gjel-dende lovverk eller yte romfaglig bistand tileksisterende tilsynsmyndigheter

– å identifisere avhengigheter– å sørge for kontakt mellom myndigheter – sek-

torovergripende «uavhengig» dialog– å gi virkemidler til å regulere romvirksomhe-

ten– å stille krav knyttet til bruk av rombaserte tje-

nester– å etablere en helhetlig nasjonal romsikkerhets-

strategi

12.4.7 Sårbarheter knyttet til verdikjeder

Det finnes ingen overordnet myndighet som regu-lerer norsk romvirksomhet og de satellittbasertetjenestene som samfunnet er avhengig av. Atansvaret er fordelt på flere ulike myndigheter,innebærer ikke nødvendigvis gråsoner utenansvar eller sårbarheter knyttet til dette. Innenforromvirksomheter er det imidlertid mange sompåpeker at det fragmenterte ansvarsforholdet kaninnebære en sårbarhet – ikke minst i tiden frem-over, da satellittbaserte tjenester som innsatsfak-tor for kritiske samfunnsfunksjoner blir enda mersentralt.

Et eksempel er knyttet til å ivareta Svalbardka-belens funksjonalitet og sikkerhet. Samarbeidetmed NASA og NOAA var utslagsgivende for at detble lagt fiberkabel til Svalbard i 2004. I tillegg tiloperativ værvarsling og overvåking av atmosfæ-

7 Ibid.


rens og havets tilstand driver NOAA en utstraktforskningsvirksomhet. Blant annet har organisa-sjonen ansvaret for flere meteorologiske satellitterog måledata som kommer fra disse.

Kabelen må anses som en særdeles viktig delav den norske rominfrastrukturen. Den har i dagmange andre oppgaver for befolkningen på Sval-bard og er kritisk for Svalbards kommunikasjons-løsninger med fastlandet. Svalbardkabelen erogså kritisk med tanke på norske internasjonaleforpliktelser.

Den tekniske sårbarheten i kabelforbindelsenknytter seg primært til feil i det digitale endeutsty-ret eller signalforsterkerne, svikt i kraftforsynin-gen og svikt i spenningsmatingen til signalforster-kerne. Den fysiske sårbarheten knytter seg pri-mært til brann i lokaler som huser fiberrelatertutstyr, sabotasje, overgraving av kabelen på landog brudd i kabelen til sjøs som følge av fiskeriakti-vitet, ras på sjøbunnen eller lignende.

Den samfunnsmessige sårbarheten knytterseg til det faktum at det ikke er andre muligheterfor bredbåndet telekommunikasjon til Svalbard,bortsett fra meget begrensede og kostbare satel-littforbindelser. I tillegg til de drøyt to tusen inn-byggerne i Longyearbyen, Svea og Ny-Ålesund vilviktige institusjoner som Sysselmannen, Avinorog Longyearbyen sykehus bli sterkt skadelidendeom kabelforbindelsen blir brutt. Norges interna-sjonale forpliktelser overfor for eksempel EU(Galileo) vil ikke kunne overholdes om kabelfor-bindelsen faller ut.

Deler av satellittinfrastrukturen på Svalbard erunderlagt krav og tilsyn med hjemmel i sikker-hetsloven noe som innebærer at det skal beskyt-tes i henhold til de føringene som NSM gir. SpaceNorway påpeker imidlertid en stor utfordringknyttet til at det i dette regimet kun gis føringerfor å vurdere beskyttelse mot tilsiktede hendelser,mens de største utfordringene og den største risi-

koen for forbindelsen er knyttet til utilsiktede hen-delser. Det er videre en utfordring at objektsikker-hetsregimet bare ser på deler av en verdikjede,noe som gjør at sikkerhetstiltak som blir etablert,ikke vil ha tilstrekkelig effekt, siden kjeden ikkeblir sikrere enn det svakeste leddet. De fysiskebeskyttelsestiltakene som SPN kan iverksette foreksempel på Svalbardkabelen, er primært knyttettil ilandføring på Svalbard og i Harstad, og tar ikkehøyde for sikkerheten videre. Fra enden av kabe-len på Svalbard og videre inn til bebyggelsen erdet andre aktører som har et ansvar, og detsamme gjelder på fastlandet. Linjetermineringsut-styret som SPN eier, er plassert i lokaler som leiesav andre aktører, og der andre har sikkerhetsan-svaret.

Svalbardkabelen representerer et svært sen-tralt eksempel på verdikjeder innen satellittba-serte tjenester og hvordan ulike aktører og virk-somheter er avhengige av hverandre. Utvalget serdet som en utfordring at det er flere andre eiere«utenfor kabelen» og i liten grad et ende-til-ende-fokus. En konsekvens av dette er at det ikke nød-vendigvis stilles krav til sikkerhet som ivaretar ethelhetlig sårbarhetsperspektiv.

Samtidig er det ingen overordnet myndighetsom har et helhetsbilde av hvilke samfunnstje-nester som er avhengige av kabelens funksjonali-tet eller sørger for at alle hensyn blir ivaretatt vedfor eksempel oppgradering, sikkerhetstiltak ellervedlikehold.

Hendelser som fører til brudd i kabelforbindel-sen, berører ikke bare det nasjonale, også deinternasjonale forpliktelsene Norge har, blirberørt ved en mulig svikt.

Kabelens levetid er anslått til 25 år – til 2029.Det er uklart om SPN som kabeleier vil ha ellerkan ta ansvar for fornyelse av kabelforbindelseneller ha økonomisk løftekraft til å gjøre det utenmyndighetenes medvirkning.


12.5.1 Tydeliggjøre myndighetsansvar for norsk romvirksomhet

De fleste samfunnsområder er i dag mer eller min-dre avhengige av satellittbaserte tjenester, entendet er PNT, kommunikasjon, jordobservasjoneller annet. Myndighetsbildet knyttet til områdeter komplekst. Regulering av romvirksomheten erhjemlet i mange ulike lover og forskrifter, ogansvaret for oppfølging av romsektoren er desen-tralisert.

Boks 12.2 Svalbardkabelen

I løpet av de siste fem årene har kabelforbin-delsen blitt brutt to ganger: cirka 4,5 timer ijuni 2014 og cirka 10 minutter i september2014. Begge gangene skjedde det i forbindelsemed oppgradering av endeutstyret i kabelen,og begge gangene som følge av svikt hosunderleverandører som utførte selve oppgra-deringsarbeidet. Det første bruddet fikk storekonsekvenser for brukerne, blant annet måtteSvalbard lufthavn stanse all flytrafikk.


Det er grunn til å tro at ikke alle sårbarheter iet verdikjedeperspektiv er kjent og innkalkulert ieksisterende ROS-vurderinger og i forebyggendeog beredskapsmessige tiltak som skal reduseresårbarheten i den enkelte sektor. Videre er detslik at den akkumulerte sårbarheten, knyttetenten direkte eller indirekte til bruk av satellittba-serte tjenester, ikke nødvendigvis samsvarer medsummen av alle delbidragene. Uavhengig av omtotal avhengighet ikke samsvarer med summen avalle delbidragene, vil summen av sikringstiltaketter sin natur sjelden samsvare med et nødvendigsikringsnivå. Det synes derfor naturlig å vurdereom det bør være et myndighetsorgan som får sær-skilt ansvar for å følge opp satellittbaserte tjenes-ter på nasjonalt, tverrsektorielt nivå. De fleste avaktørene som Lysneutvalget har vært i dialogmed relatert til romvirksomhet, etterlyser størreoppmerksomhet fra myndighetssiden på området– både når det gjelder overordnet regulering ogkrav til et sikkerhetsarbeid som evner å se helhe-ten og bredden i dette komplekse feltet.

Videre er det tverrsektorielle avhengighetersom medfører et behov for samordning mellomsektorene. Problemdefinisjoner, virkemidler ogtilskuddsordninger som er utviklet i én sektor,kan eksempelvis skape utilsiktede konsekvenserfor måloppnåelsen i en annen sektor. Samtidig kanenkelte sektorer være avhengige av at andre sek-torer medvirker, for å kunne nå sine mål. Koordi-neringen mellom myndighetsaktørene er imidler-tid i liten grad formalisert. Det interdepartemen-tale koordineringsutvalget har ikke selv beslut-ningsmyndighet, og utvalget synes også å kunnevære sårbart overfor utskifting av nøkkelpersonelli de ulike departementene og etatene.

Utvalget anbefaler derfor at det blir tydeliggjortet myndighetsansvar for norsk romvirksomhet.

Behovet for tydeliggjøring av myndighetsan-svaret for norsk romvirksomhet oppsummeres ifølgende tre punkter:

Man bør– øke bevisstheten rundt de ulike samfunnsom-

rådenes sårbarheter og risiko knyttet til rom-virksomhet

– identifisere avhengigheter og det samlede sår-barhetsbildet knyttet til romvirksomheten

– stille krav til og føre tilsyn med romvirksomhe-ten

For å kunne utføre disse oppgavene må myndig-heten som får ansvaret, tilføres kompetanse til åkunne utføre oppgavene. Myndigheten som fårdet overordnede ansvaret, trenger derfor engrunnleggende forståelse av romvirksomhet oggenerell innsikt på området, men ikke nødvendig-vis på et teknisk nivå. Fokuset bør trolig være påsårbarhetsaspektet og hvordan sårbarheter kanreduseres. I tillegg vil det kunne være relevantmed kompetanse på hvordan samfunnet skalhåndtere en situasjon der rombaserte tjenestersvikter. Til dette kreves kompetanse innen sam-funnssikkerhet og beredskap.

Lysneutvalget ser det som formålstjenlig atdet i første rekke opprettes en mindre enhet,bestående av fem stillinger, som får som oppgaveå vurdere videre hva som per i dag eksisterer avretningslinjer, lover, regler og så videre for satel-littbaserte tjenester, og deretter utleder hva sommå etableres av nytt regelverk, retningslinjer, til-synsbehov og andre reguleringsmekanismer.Kostnader knyttet til tiltaket vil utgjøre om lag 5,5millioner kroner årlig.8

Basert på egne vurderinger og en utredning fraOslo Economics anbefaler utvalget at ansvaretenten legges til Nkom eller til DSB. Utvalget menerdet kreves en egen vurdering for å kunne besluttehvilken av disse enhetene som skal ivareta detteansvaret.

8 For beregning av kostnader se Konsekvensutredning – Tyde-liggjøring av myndighetsansvar for norsk romvirksomhet.Utarbeidet for Lysneutvalget, september 2015 Oslo Econo-mics.


Kapittel 13

Energiforsyning

Svikt i forsyningen av elektrisk kraft får konse-kvenser for alle samfunnssektorer og digitalesystemer som samfunnet er avhengig av. I Norgeer det høy leveringssikkerhet for elektrisk kraft.Samtidig er det umulig å garantere 100 prosentleveringssikkerhet.

Selskapene i energiforsyningen har i mange årbenyttet IKT-systemer for å understøtte drift ogfor å overvåke og fjernstyre anleggene i energifor-syningen. Dette er i dag svært kompleksesystemer, som omfatter selve driftskontrollsys-temet (SCADA)1, datanettverk for å føre signalertil og fra SCADA-systemet og ut til anleggene, sta-sjonsdatamaskiner og utstyr som oversetter digi-tale signaler til fysisk handling i stasjonene, samtnettverksutstyr som binder driftskontrollsystemetsammen. Inkludert i driftskontrollsystemet erogså driftssentralene, der operatørene får sann-tidsinformasjon om tilstanden i kraftsystemet ogkan fjernstyre anleggene. Tidligere var dette heltsæregne systemer som var helt uavhengige avandre IKT-systemer som virksomhetene benyttet.Systemene ble bygd for maksimal tilgjengelighetog integritet. Ivaretakelsen av konfidensialitetenvar ikke prioritert, da systemene ikke hadde kon-takt med omverdenen. I dag er situasjonen en heltannen.

IKT er i dag en integrert og svært viktig del avenergiforsyningen for å kunne tilfredsstille sam-funnets krav til effektiv drifts- og forsyningssik-kerhet. For å oppnå dette har driftskontrollsys-temene blitt knyttet stadig tettere opp mot tilgren-sende systemer som for eksempel systemer formåling, avregning og fakturering, kundeinforma-sjonssystemer (KIS), nettinformasjonssystemer(NIS), geografiske informasjonssystemer (GIS)og kontorstøttesystemer.

Innføring av automatisk måling og avregning(AMS), som innebærer at alle strømkunder fårinstallert en strømmåler med toveiskommunika-sjon til nettselskapet, vil øke innslaget av IKT i

virksomhetene betydelig. AMS vil gi nettselska-pene langt bedre informasjon om status og til-stand i overføringsnettet og flere og mer effektivestyringsverktøy. Samtidig er utrullingen av AMSmed på å forsterke avhengigheten mellom energi-forsyningen og ekomsektoren, som er sterk frafør. Selskapene benytter i stor grad tjenester frakommersielle ekomtilbydere for å overføre signa-ler fra AMS-målerne og inn til nettselskapene.

Denne utviklingen har gjort at høy driftssik-kerhet i energiforsyningen, herunder god IKT-sikkerhet, er blitt sentralt for samfunnet og bran-sjen.

13.1 Kraftsystemet

Cirka 98,5 prosent av den norske elektrisitetspro-duksjonen kommer fra vannkraftverk, hvorav denstørste delen er regulerbar. Levering av fjern-varme har økt vesentlig i omfang de senere årene.For helseinstitusjoner er dette av spesielt storbetydning gjennom hele året.

Kraftsystemet er et sammenhengende ogkomplekst system, og både utbygging og drift avde enkelte elementene må koordineres for atsystemet skal fungere tilfredsstillende. Kraftsys-temet er i stor grad redundant, og betydningen avdet enkelte anlegget vil variere med revisjoner,nedbør, temperatur, årstid og tidspunkt på døgnet.

Kraftnettet deles inn i tre nettnivåer: sentral-,regional- og distribusjonsnett. Sentralnettet beståri hovedsak av kraftledninger med 300 eller 420 kVspenning og knytter sammen forbrukere, produ-senter og overføringsledninger til utlandet. Sen-tralnettet består i enkelte deler av landet også avkraftledninger med 132 kV spenning. Regionalnet-tene er bindeledd mellom sentralnettet og distri-busjonsnettene. De mest utbredte spenningsnivå-ene i regionalnettene er 132 kV og 66 kV. Distribu-sjonsnettene sørger normalt for distribusjon avkraft til sluttbrukerne, som husholdninger, tjenes-teytere og annen næringsvirksomhet. Store indus-trivirksomheter og kraftkrevende industri er

1 For generell omtale av SCADA-systemer, se punkt 5.7 «Sik-kerhet i prosesskontrollsystemer».


koblet direkte på 132 kV- og 420 kV-nettet. Distri-busjonsnettene har normalt en spenning på opptil22 kV, men spenningen transformeres ned til230 volt før den leveres til vanlige strømforbru-kere.

Sentralnettet drives som en enhet med Stat-nett SF som operatør og dominerende eier (omlag 90 prosent). Det øvrige sentralnettet er fordeltmellom 20 eiere. Hafslund Nett AS, BKK Nett ASog SKL Nett AS har de største eierandelene.Underliggende nett har en variert eiersammenset-ning. Det er mange nettselskaper, og enkelte sel-skaper eier både deler av sentralnettet og regio-nalnett. Noen få av dem eier også distribusjons-nett.

Innkjøp av komponenter og teknologi til bruk idet norske kraftsystemet baseres på internasjo-nale standarder, for eksempel CENELEC og IEC,der utstyret godkjennes av nasjonale standardise-rings- og kontrollorganer (NEK, Nemko). I tillegger sentrale komponenter og utstyr som blir brukt ikraftsystemet, underlagt NVEs beredskapskrav,Justervesenets kvalitetskrav og DSBs for-skriftskrav.


Olje- og energidepartementet (OED) har det over-ordnede ansvaret for energiforsyningen. Samord-ningsinstruksen pålegger OED å ha oversikt overrisiko og sårbarhet i egen sektor, herunder IKT-sikkerhet.

Norges vassdrags- og energidirektorat (NVE)har ansvar for å forvalte Norges vann- og ener-giressurser, og er beredskapsmyndighet for kraft-forsyningen. NVE fører tilsyn med sikkerhet ogberedskap med utgangspunkt i beredskapsfor-skriftens krav. Forvaltningen skjer gjennom regel-verk og regelverksutvikling, veiledning og tilsyn,men også gjennom FoU.

Enhetene i Kraftforsyningens beredskapsorga-nisasjon (KBO) har en varslings- og rapporte-ringsplikt til NVE ved hendelser som truer sikker-heten. Alle selskaper som har konsesjon til å eieeller drive nett, kraftproduksjon eller fjernvarme,inngår automatisk i KBO. NVE følger i dennesammenheng opp de 200 KBO-enhetene innennett, produksjon og fjernvarme. I tillegg utøvesNVEs forvaltningsrolle gjennom ulike samvirke-arenaer med bransjen og gjennom samarbeid med

Figur 13.1 Kraftsystemet.

Kilde: Basert på Skagerak Energi.

Kraftmarked

Elhub

Kraftbørs

nett(

Kraft-produsenter

(konkurranse-utsatt)

Statnett(operatør)

Nettselskap(monopol)

Kobling til utlandet

MonopolisterDistribusjons-

styring

Nettselskap(monopol)


andre myndigheter. NVE etablerte i 2013 Sam-virke for infrastruktur, som er et beredskaps-forum for myndigheter som har et fag- og/eller til-synsansvar for infrastrukturer i Norge. Målsettin-gen er et effektivt samvirke mellom etater somledd i en god og robust samfunnsberedskap.Beredskapsforumet er organisert som et likever-dig kollegium, og NVE ivaretar sekretariatrollen.

Statnett ivaretar både rollen som systeman-svarlig og rollen som anleggseier. Som systeman-svarlig for kraftsystemet har Statnett ansvar for åopprettholde den nordiske balansen mellom pro-duksjon og forbruk og ivareta driftssikkerheten ikraftsystemet. Rollen som anleggseier av hoved-delen av sentralnettet innebærer å drifte om lag1 000 km med høyspentlinjer og 150 stasjonerover hele landet. Driften overvåkes av én landsen-tral og tre regionsentraler.2 Statnett har ogsåansvar for forbindelser til Sverige, Finland, Russ-land, Danmark og Nederland. Statnett er et stats-foretak (SF) opprettet i henhold til statsforetakslo-ven og er eid av staten ved Olje- og energideparte-mentet.

Nord Pool er en kraftbørs som driver handelmed og «clearing»3 av fysiske og finansielle kraft-kontrakter i Norden. Det er bare store aktører ikraftmarkedet som handler direkte på kraftbørsenNord Pool eller gjennom bilaterale kraftkontrak-ter. Disse aktørene omfatter kraftprodusenter,kraftleverandører, tradere, meglere, større indus-tribedrifter og andre større virksomheter.

Statkraft AS er den største kraftprodusenten iNorge og står for cirka 50 prosent av produksjo-nen. Statkraft er et ledende selskap innen vann-kraft internasjonalt og Europas største produsentav fornybar kraft. Konsernet produserer vann-kraft, vindkraft, gasskraft og fjernvarme og er englobal markedsaktør innen energihandel. Stat-kraft AS er heleid av Statkraft SF, som igjen erheleid av staten ved Nærings- og fiskerideparte-mentet.

Flere nettselskaper har inngått kompetanse-og innkjøpssamarbeid, som skal ivareta eiernesinteresser gjennom å etablere konkurransedyk-tige og attraktive fellestjenester. En undersøkelsegjort av NVE viser at 78 prosent av selskapene harinngått samarbeidsavtaler med andre nettselska-per om planlegging, innkjøp og installasjon av

AMS-utstyr.4 Behovet for samarbeid er også tidli-gere påpekt av Reiten-utvalget.5

Interesseorganisasjoner

Energi Norge er en interesse- og arbeidsgiverorga-nisasjon for norsk kraftnæring, og representerer280 bedrifter innenfor området kraftproduksjon,kraftoverføring og salg av strøm og varme. EnergiNorge har blant annet fokus på forsyningssikker-het, nett, kraftmarkedet, kompetanse og andreproblemstillinger av høy relevans for medlem-mene. KS Bedrift organiserer over 500 kommunalteide bedrifter i en rekke bransjer, deriblant kraft-bransjen. Distriktenes energiforening (Defo) eropptatt av distriktspolitikk og kraftselskapenesrammebetingelser.

Forum for informasjonssikkerhet i kraftforsynin-gen (FSK) har 21 medlemsbedrifter blant de stør-ste kraftprodusentene og nettselskapene i Norgeog skal arbeide med aktiviteter relatert til infor-masjonssikkerhet i kraftforsyningen slik dette erdefinert i NVEs beredskapsforskrift. FSK arrange-rer faglige samlinger, utarbeider utredninger ogfelles veiledninger og rammeverk for informa-sjonssikkerhetsarbeid der slikt ikke finnes, ogavklarer/påvirker myndighetskrav innen informa-sjonssikkerhet.

Kontaktutvalget for telesaker i Kraftforsyningen(KOTE) er et koordinerende organ for alle aktø-rer innen ikke-kommersiell televirksomhet i elfor-syningen i Norge. NVE har ikke fast plass i FSKog KOTE, men blir invitert til å holde innlegg ellerdiskutere særskilte tema innenfor IKT-sikkerhet.


Forsvaret er avhengig av pålitelig kraftforsyningfor drift av administrative systemer spesielt.Innenfor beredskapsområdet er kraftforsynings-anlegg registrert på lister over objekter som skalbeskyttes særskilt dersom en alvorlig krise / krigtruer. Utover dette foregår det samarbeid gjen-nom Fylkesberedskapsrådet.

Forskning og utvikling

Energi Norge deltar i og koordinerer FoU-virk-somhet innenfor kraftsektoren, eksempelvis pro-

2 Fra 1.9.2016 legges regionsentralen på Sunndalsøra ned,mens regionsentralene i Oslo og Alta består. Beslutningenble tatt som en del av Statnetts arbeid med å styrke bered-skapen og forsyningssikkerheten i kraftsystemet.

3 «Clearing» betyr at en tredjepart håndterer transaksjonen,og sikrer at kjøpers og selgers forpliktelser blir ivaretatt.

4 Norges vassdrags- og energidirektorat (2015): Smartemålere (AMS). Status og planer for installasjon og oppstartper 1. kvartal 2015.

5 Olje- og energidepartementet (2014): Et bedre organisertstrømnett fra 2014.


sjekter knyttet til leveringskvalitet, driftssikkerhetog smartnett-løsninger. Gjennom NVEs økono-miske regulering av nettselskapene får selska-pene mulighet til økte inntektsrammer ved å fågodkjent egne FoU-prosjekter innen for eksempelIKT-sikkerhet. Flere prosjekter og søknader blantEnergi Norges medlemmer er finansiert og igang-satt gjennom denne ordningen. NVE er i ferd medå vurdere et samarbeid med FFI om FoU-prosjek-ter innenfor temaet EMP-beskyttelse. Bransjensamarbeider allerede med akademia på en rekkeområder, blant annet innenfor AMS, risikoanaly-ser og sårbarhetsindikatorer.


NVE deltar blant annet i det nordiske samarbeids-organet NordBER, der energimyndighetene ogsystemansvarlige selskaper i Norden samarbeiderom beredskap og krisehåndtering innen elforsy-ningen. Kraftnettene i de nordiske landene erknyttet sammen og drives som ett sammenheng-ende system. Samarbeidet har bakgrunn i etuttrykt ønske fra nordiske energiministre om etforpliktende og samordnet arbeid for å sikre forsy-ningssikkerheten i Norden. I tilknytning til Nord-BER er det opprettet en undergruppe med repre-sentanter for myndighetene og systemansvarlige iNorden som samles for å diskutere felles utfor-dringer innen IKT-sikkerhet. NVE er med somobservatør i EU-organet Agency for the Coopera-tion of Energy Regulators (ACER). Etter EU-kom-misjonens syn foreligger det et regulatorisk hullblant annet i spørsmål om grensekryssende han-del.

13.3 Hjemmelsgrunnlag, konsesjoner og tilsynsvirksomhet

Kraftforsyningen er regulert gjennom energil-oven. Pålitelig forsyning av elektrisitet med riktigkvalitet (spenning og avbruddsfri forsyning) erregulert i forskriftsform. I tillegg er det etablertøkonomiske incentiver som skal sørge for at netts-elskaper inkluderer samfunnsøkonomiske kostna-der ved redusert leveringspålitelighet i sinebedriftsøkonomiske beslutninger.

Forsyningssikkerhet for strøm er definert som«kraftsystemets evne til kontinuerlig å levere elek-trisk kraft av en gitt kvalitet til sluttbrukere». For-syningssikkerhet omfatter både energisikkerhet,effektsikkerhet og driftssikkerhet.6

Energiloven og beredskapsforskriften regulerersikkerhet og beredskap innenfor kraftsystemet,

herunder informasjonssikkerhet. Olje- og energi-departementet har revidert kapittelet om bered-skap i energiloven.7 NVE forvalter forskrifter sominneholder bestemmelser om beskyttelse av infor-masjon, IKT-sikkerhet og krav til kompetanse.Bestemmelsene omfatter både forebyggende, ska-debegrensende og beredskapsmessige tiltak. For-skrift om forebyggende sikkerhet og beredskap ienergiforsyningen (beredskapsforskriften) skalsikre at energiforsyningen opprettholdes, og atnormal forsyning gjenopprettes på en effektiv ogsikker måte i og etter ekstraordinære situasjonerfor å redusere de samfunnsmessige konsekven-sene av strømutfall. I beredskapsforskriften stillesdet blant annet strenge krav til risikovurderinger,tilgangskontroll og tilgang til systemene fra leve-randører. I tillegg er kravene i forskriften differen-siert, slik at de viktigste selskapene er underlagtde strengeste sikkerhetskravene.

Energiloven § 9-3 og kapittel 6 i beredskaps-forskriften omfatter informasjonssikkerhet. Detteomfatter identifisering og håndtering av kraftsens-itiv informasjon og opplysninger om energiforsy-ningen som kan brukes til å skade anlegg ellerpåvirke funksjoner som har betydning for energi-forsyningen. Kapittel 7 i beredskapsforskriftenomfatter krav til sikring av selskapenes driftskon-trollsystemer, som er kritiske for å overvåke ogstyre energiforsyningen. Beredskapsforskriftenhar en omfattende veileder som gir selskapeneytterligere informasjon om hva som forventes forat kravene i forskriften skal være oppfylt.

NVE har ikke kjennskap til noen myndighet inoen andre land som har tilsvarende regelverk forbeskyttelse av driftskontrollsystemer, men innenNorden ser de at særlig Finland er spesielt kom-petent på IKT-sikkerhet i flere sektorer, ogsåenergiforsyningen.

Beredskapsforskriften pålegger enhetene iKBO en rekke krav for å beskytte sensitiv infor-masjon om kraftsystemet. Med sensitiv informa-

6 Energisikkerhet er definert som «kraftsystemets evne til ådekke energiforbruket». Energiknapphet eller svikt i ener-gisikkerhet karakteriseres ved redusert produksjon avelektrisk energi som følge av mangel på primærenergi(vann, gass, kull etc.). Effektsikkerhet defineres som «kraft-systemets evne til å dekke momentan belastning» og karak-teriseres ved tilgjengelig kapasitet i installert kraftproduk-sjon eller i kraftnettet. Driftssikkerhet defineres som «kraft-systemets evne til å motstå driftsforstyrrelser uten at gittegrenser blir overskredet».

7 Se Prop. 112 L (2010–2011) om endringer i energiloven.Dagens kapittel 9 i energiloven omhandler beredskap, og §9-3 omhandler informasjonssikkerhet. Her sies det atenhver plikter å hindre at andre enn rettmessige brukerefår adgang eller kjennskap til sensitiv informasjon om kraft-forsyningen.


sjon menes informasjon som kan benyttes til åskade energiforsyningen. Hva som er sensitivinformasjon, er klargjort i § 6-2.

Enheter i KBO som setter ut oppdrag til leve-randører og andre, skal påse at disse etterleverbestemmelsene om informasjonssikkerhet ogtaushetsplikt for sensitiv informasjon. Det skalogså opplyses i avtale at beredskapsmyndighetenkan føre tilsyn med etterlevelsen av disse bestem-melsene, jf. beredskapsforskriften § 6-5.

Et annet krav i beredskapsforskriften erbeskyttelse og beredskap mot elektromagnetiskpuls (EMP). EMP kan i ytterste fall slå ut elektro-nikk over et stort område, men også et avgrensetområde, for eksempel i et enkelt anlegg. Norge erdet eneste landet som har krav til EMP-beskyt-telse i energiforsyningen.

Forskrift om leveringskvalitet regulerer kvalite-ten og stabiliteten på levert energi og effekt tilsluttkundene. Forskriften skal bidra til å sikre entilfredsstillende leveringskvalitet i det norskekraftsystemet og en samfunnsmessig rasjonelldrift, utbygging og utvikling av kraftsystemet.Leveringskvalitetsforskriften presiserer blantannet nettselskapenes plikt til å gjenopprette elek-trisitetsforsyningen til nettkundene så raskt sommulig etter et avbrudd, og det er gitt konkretegrenseverdier for enkelte parametre på spen-ningskvalitet i kraftsystemet.

I kontrollforskriften inngår et element som skalsørge for at nettselskapene tar hensyn til samfun-nets kostnader knyttet til leveringspåliteligheten ikraftnettet, KILE (kvalitetsjusterte inntektsram-mer ved ikke levert energi). KILE-ordningen eren incentivregulering som skal gi nettselskapeneøkonomisk motivasjon til riktig ressursallokeringinnenfor de rammene og vilkårene som ellers ergitt av myndighetene. KILE inngår i selskapetsinntektsramme som en del av selskapets kost-nadsgrunnlag og normkostnad på samme måtesom andre kostnader. Faktisk KILE i et gitt årkommer til fratrekk i selskapets inntektsramme,slik at selskapets tillatte inntekt reduseres somfølge av avbrudd (ikke levert energi).

Avregningsforskriften pålegger aktører i kraft-sektoren en rekke plikter for å legge til rette for eteffektivt kraftmarked. Flere av disse pliktene gjel-der for nettselskap og er innført på grunn av atnettselskapene ellers ikke ville utført dem, da deikke er bedriftsøkonomisk lønnsomme. I denneforskriften er det også krav til måling av innma-ting og uttak fra nettet, herunder kravene til AMS.

13.3.1 Konsesjoner

Utbygging av nettanlegg med høyt spenningsnivå,det vil si regional- og sentralnett, trenger anleggs-konsesjon etter energiloven. Søknader om byg-ging og drift av kraftledninger, transformatorsta-sjoner og andre elektriske anlegg i sentral- ogregionalnettet behandles av NVE. Driftskontroll-systemer er ikke underlagt konsesjonsplikt, menselskapene som etablerer eller i vesentlig gradendrer omfanget av driftskontrollsystemet, harifølge beredskapsforskriften § 5-9 plikt til å meldefra om dette. NVE fastsetter gjennom enkeltved-tak sikringsklasse på driftskontrollsystemet i dehøyeste klassene. NVE kan også i særskilte tilfel-ler forby bruk av utstyr i driftskontrollsystemer, jf.beredskapsforskriften § 7-6.

NVE hadde tidligere et sterkt virkemiddel ikompetanseforskriften som stilte krav til egenbe-manning. Reiten-utvalget konkluderte med atdette kravet kunne være konkurransevridende,og kompetanseforskriften er nå opphevet, slik atdet i større grad skal være mulighet for samarbeidog bortsetting av tjenester til tredjepart. Krav tilkompetanse vil nå bli lagt inn i energilovforskrif-ten.

13.3.2 Tilsyn

NVE fører tilsyn med kraftforsyningsanlegg, ogdet gjennomføres både stedlige og skriftlige til-syn. NVE har i tillegg hjemmel til å føre uan-meldte tilsyn, men dette benyttes ikke ofte. I 2015har NVE planlagt 90 tilsyn, inkludert skriftlige til-syn. Av NVEs tilsyn i 2014 ble ett gjennomført isamarbeid med Nkom.

Tilsynsobjektene blir valgt ut blant annet pågrunnlag av hvilken betydning de har for kraftsys-temet, og tidligere gjennomførte tilsyn. De sisteårene har NVE i stadig større grad prioritert tilsynmed selskapenes driftskontrollsystemer. Bak-grunnen for dette er den økte trusselsituasjonen.Tilsyn med selskapenes driftskontrollsystemer erde mest omfattende og gjennomføres som regelover to dager. Ettersom evnen til å håndtere IKT-hendelser er vesentlig, gjennomførte NVE i 2015et større skriftlig tilsyn der kravene til overvåkingog logging av datatrafikk var tema.

Av NVEs egen database går det frem atomtrent alle selskaper der det ble ført tilsyn medinformasjonssikkerhet, fikk avvik. Tabell 13.1viser avvik i forhold til beredskapsforskriften § 6om informasjonssikkerhet og § 7 om beskyttelseav driftskontrollsystemer.


De fleste funnene etter tilsynene omhandlermangler ved ROS-analyser og hvordan dissekobles mot beredskapsplanverket. Dokumentasjo-nen, særlig av kobling mellom nettverk i drifts-kontrollsystemer og andre nettverk, er ofte man-gelfull. Det er også mangelfull dokumentasjon avavtaler og retningslinjer rundt kontroll med fjern-tilgang til systemene i driftskontrollsystemene.Videre har NVE påpekt at det må øves mer på åhåndtere IKT-hendelser.

NVE har ikke hjemmel i lovverket til å føredirekte tilsyn med leverandører til virksomheter,men lovverket pålegger enhetene i KBO å kon-traktfeste at beredskapsmyndigheten kan føre til-syn med leverandøren (jf. beredskapsforskriften§ 6-5). I tillegg stilles det krav om at det skal inn-gås sikkerhetsavtale mellom leverandøren ogNVE eller en enhet i KBO for at leverandøren skalfå tilgang til sensitiv informasjon (jf. beredskaps-forskriften § 4-3). NVE kan imidlertid vedta atvirksomheter som leverer varer eller utfører tje-nester, eller andre som kan ha betydning for kraft-forsyningens drift og sikkerhet, skal inngå i KBO(beredskapsforskriften § 2-2).

Hendelsesbaserte tilsyn benyttes også somvirkemiddel av NVE. Disse utløses av selskapenesinnrapporterte hendelser, jf. rapporteringsplikten.Et eksempel er tilsyn etter at et selskap meldte fraom en hendelse der årsaken var manglendeendringshåndtering.


NVE er delegert beredskapsmyndighet av OED.NVE har ansvaret for å samordne energiforsynin-gens beredskapsplanlegging og skal lede landetsenergiforsyning ved nasjonal beredskap og i storeekstraordinære hendelser. For dette formålet erdet etablert en landsomfattende organisasjon –Kraftforsyningens beredskapsorganisasjon (KBO),som består av NVE og de virksomhetene som stårfor kraftforsyningen.

Statnett har fullmakt til å sette i verk tiltak for åbalansere forbruk og tilbud på effekt. Ved størreutfall som skaper effektknapphet, kan Statnett

koble ut forbruk for å opprettholde balansen ikraftsystemet. Ved langvarig energiknapphet kanOED iverksette tiltak etter råd fra NVE.

Det viktigste grunnlaget for god evne til åhåndtere hendelser ligger hos selskapene. Alleselskapene i energiforsyningen har en selvstendigplikt til å sørge for effektiv sikring og beredskapog til å iverksette tiltak for å forebygge, begrenseog håndtere virkningene av ekstraordinære situa-sjoner. Alle kriser skal i utgangspunktet håndterespå lavest mulig nivå. Dette følger av ansvarsprin-sippet. Selskapene i energiforsyningen har imid-lertid en varslings- og rapporteringsplikt til NVEved hendelser som truer sikkerheten.

Etter hvert som truslene mot IKT-systemenehar økt, har NVE prioritert arbeidet med IKT-sik-kerhet. Eksempler på dette er den siste revisjonenav beredskapsforskriften, flere tilsyn med drifts-kontrollsystemer, dialog og veiledning. På lik linjemed krav om å kunne håndtere utfall ved uværeller teknisk svikt skal KBO-enhetene ha evne til åhåndtere IKT-hendelser. Beredskapsforskriftenstiller for eksempel krav om at selskapene skal haen ordning for hendelseshåndtering av sikker-hetstruende hendelser i driftskontrollsystemet.Undersøkelser gjort i en doktorgradsstudie vedNTNU viste imidlertid at selskapene som var medi studien, ikke hadde tilstrekkelige deteksjonsme-kanismer, og at det av ressursmessige årsakerikke er en systematisk tilnærming til oppfølgingav logger og varsler.8

KraftCERT

Med økningen i IKT-trusselnivået og IKT-kom-pleksiteten innså NVE og bransjen at det varbehov for å etablere et kompetansemiljø somkunne gi råd og bistå selskapene ved større IKT-hendelser. KraftCERT AS ble da etablert medStatnett, Statkraft og Hafslund Nett som eiere inovember 2014. Selskapet skal bistå medlemmerinnenfor kraftbransjen i Norge med håndtering ogforebygging av angrep på selskapenes IKT-

Tabell 13.1 NVEs tilsynsfunn

År Antall selskapAvvik beredskaps-

forskriften kap. 6Avvik beredskaps-

forskriften kap. 7

2013 28 6 18

2014 22 12 12

8 Line, Maria Bartnes (2015): Understanding InformationSecurity Incident Management Practices – A case study in theelectric power industry. NTNU.


systemer. KraftCERT hadde medio 2015 13 storemedlemmer, inkludert Hafslund, Statnett og Stat-kraft, og har samlet mange av de mindre krafts-elskapene under NC-Spectrum og via KS-bedrift.Noen av de små selskapene leverer tjenesterinnen vann og avløp, men bruker de samme IKT-leverandørene som kraftbransjen. De har derforfunnet det hensiktsmessig også å være med iKraftCERT-samarbeidet.

KraftCERT ser at det kan bli en utfordring å fåkraftselskapene med, blant annet fordi enkeltesynes medlemsavgiften er høy. KraftCERT samar-beider med sektor-CERT-er og andre relevanteaktører både nasjonalt og internasjonalt, deriblantICS-CERT og JPCERT (ICS). I Japan, USA, Øster-rike, Sverige og Finland har energisektorens mil-jøer for hendelseshåndtering tung statlig støtte iform av midler og tilknytning til de nasjonale res-sursene.

Energi Norge mener det er viktig å støtte oppom og videreutvikle det initiativet som er tatt vedetableringen av KraftCERT. Dette bør skje i nærdialog med NVEs forvaltning av beredskap i kraft-forsyningen og øvrige sentrale sikkerhetsmyndig-heter.

Naturhendelser er fortsatt det som fører tilflest avbrudd og blackout, og dette gir seg utslag istatistikken. Eksempelvis gjenfinner vi omfat-

tende avbrudd som følge av ekstremvær somDagmar i 2011 i avbruddsstatistikken. For nær-mere omtale av Dagmar, se kapittel 11 «Elektro-nisk kommunikasjon».

IKT-hendelser i energiforsyningen

NVE har god statistikk over avbrudd der årsakener teknisk svikt eller uvær. Det finnes ikke noentilsvarende nasjonal statistikk over tid når det gjel-der IKT-sikkerhetsrelaterte hendelser. Det er ven-tet at dette bildet blir bedre med etableringen avKraftCERT. I USA viser statistikken til den ameri-kanske ICS-CERT at hele 87 prosent av de identi-fiserte sårbarhetene i driftskontrollsystemerkunne utnyttes via fjerntilgang, mens deresterende trengte lokal tilgang. Nesten65 prosent av sårbarhetene ble av eierne avsystemene klassifisert som høyprioritetssårbarhe-ter. To kjente driftskontrollangrep som kan karak-teriseres som digital sabotasje, er Stuxnet ogangrepet mot et tysk stålverk i 2015. Angrep somHavex og Dragonfly viser også at det foregår spio-nasje og etterretningskampanjer mot energisekto-ren.

Energi Norge påpeker at NVE har hatt økendeoppmerksomhet på IKT-sikkerhet og på utfordrin-ger knyttet til skytjenester, oppdagelse og logging

Boks 13.1 Uvær forårsaker fortsatt mest utfall

NVEs avbruddsstatistikk gir et samlet bilde avforsyningssikkerheten på elkraft. I Norge skyl-des mer enn 50 prosent av avbruddene været.

Leveringspåliteligheten i 2014 for hele landetvar 99,985 prosent.

Figur 13.2 Leveringspålitelighet 1996–2014.

Kilde: NVE.

100,00 %

99,99 %

99,98 %

99,97 %

99,96 %

99,95 %

99,94 %

99,93 %

99,92 %

99,91 %

99,90 %

1996

1997

1998

1999

2000

2001

2002

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

Varslet avbrudd

Ikke-varslet avbrudd

Totalt


av unormal og uønsket datatrafikk. Bransjen erblitt bedre til å stille krav til leverandører, til åvarsle om hendelser til NVE og til å samarbeidepå tvers av selskaper for å bedre IKT-sikkerheten.Til det siste punktet kommer også forskningssam-arbeid innenfor hendelsesidentifikasjon og -hånd-tering.

Øvelser

Øvelser gir gode muligheter for å avdekke sårbar-heter, og de bedrer grunnlaget for å håndterereelle hendelser. Selskapene i energiforsyningenhar gjennomført beredskapsøvelser i en årrekke,men i liten grad inkludert IKT-hendelser. De vik-tigste forbedringspunktene etter øvelsene har istor grad gått ut på å forbedre beredskapsplanver-ket, prosedyrer og rutiner, samt internt samarbeidmellom ulike funksjoner.

Etter hendelsene sommeren 2014, der NSMoffentlig advarte om et storstilt angrep mot norskenergisektor, har bransjen etter påtrykk fra NVE istørre grad gjennomført beredskapsøvelser sominkluderer IKT-hendelser. Frem til nå har ingen

norske selskaper vært utsatt for målrettedeangrep mot sine driftskontrollsystemer, derfor erdenne typen øvelser nyttig for selskapene for åavdekke svakheter i beredskapen og forbedredenne.

13.5 Digitale sårbarheter i kraftforsyningen

Den økte digitaliseringen i energiforsyningen ogden stadig tettere sammenkoblingen av systemerog nettverk har medført at de totale systemeneblir mer komplekse, og det kan være vanskelig åha full oversikt. Dette kan igjen medføre at manikke har god nok kunnskap om hvordan samhand-lingen mellom systemene fungerer, noe som kanføre til feil bruk.

Dette øker risikoen for teknisk feil, menneske-lig svikt og også for uautorisert inntrenging isystemene.

Nasjonale kraftsystemer og markeder integre-res dessuten i økende grad på tvers av landegren-sene. Stadig flere strømkabler knytter Norge tet-tere sammen med resten av Europa, og kraftmar-kedene vil etter hvert smelte sammen til ett storteuropeisk marked. Sentrale problemstillingersom diskuteres internasjonalt er krav til SCADA-og AMS-sikkerhet, krav til godkjenning avsystemer og krav til sertifisering.

13.5.1 Verdikjeden i norsk kraftforsyning

Produksjon og forbruk av elektrisitet må tilenhver tid være synkronisert for å unngå tekniskubalanse i kraftnettet. IKT-systemer understøtterdenne balansen, og digitale sårbarheter kan opp-stå i alle ledd i verdikjeden, herunder hos underle-verandører og kraftbørsen Nord Pool Spot. Alvor-lig svikt vil derfor kunne påvirke forsyningssik-kerheten negativt. NVE har oversikt over forsy-ningssikkerheten i regional- og sentralnett gjen-nom ordningen med kraftsystemutredninger ogga i 2014 ut en rapport som sammenstiller data fraalle de regionale kraftsystemutredningene. Det er467 punkter i regionalnettet og 312 i sentralnettetsom har redusert forsyningssikkerhet i henholdtil å tåle en feiltilstand.

Verdikjeden i kraftforsyningen har frem til nåblitt overvåket og styrt av driftskontrollsystemerfor henholdsvis produksjonsanlegg, sentralnett-nivå, regionalnettnivå og høyspent distribusjons-nivå. Etter utrullingen av smarte målere vil mangeselskaper også vurdere å etablere overvåking ogstyring på lavere distribusjonsnettnivå.

Boks 13.2 Havex utnyttet menneskelig sårbarhet

Skadevaren Havex, som ble rapportert av ICS-CERT i juni 2014, er en fjernstyringstrojanersom angriper leverandører via phishing-angrep (e-post), omdirigering til infiserte nett-sider og ved å infisere gjennom regulære pro-gramvareoppdateringer. Den siste måten åangripe på, via programvareoppdateringer, erbekymringsfull, da oppdatering av program-vare er et av de viktige sikkerhetstiltakene ogangrep mot dette kan undergrave tilliten tiloppdateringer.

Havex kommuniserer med en kommando-og kontrollserver. Havex samler inn informa-sjon om systemet og nettverket den har infi-sert, og kan sende data tilbake inn i det infi-serte systemet, noe som har medført atsystemer har brutt sammen.

Analyse av angrep og skadevare haddeikke vært mulig uten logger som dokumente-rer hendelser i systemet. NVE vil fremover sepå prinsipper for logging – oppbevaringstid,hvordan man kan gå frem for å søke i logger,med videre. Det kan bli vurdert å utvide kravom logging for selskaper med driftskontroll-systemer i klasse 1.


Figur 13.3 er en forenklet fremstilling av verdi-kjeden i norsk kraftforsyning, fra vann i magasinettil strøm i kontakten.

13.5.2 Sårbarheter i driftskontrollsystemer

Driftskontrollsystemer har som tidligere beskre-vet omfattende krav til sikring. De fleste netts-elskaper har et eget driftskontrollsystem medreserveløsning i en eller annen form, og flere sel-skaper samarbeider også om felles løsninger ogberedskap.

SCADA-systemer og administrative IKT-systemer har generelt ulike sikkerhetsbehov.9

ENISA har pekt på utfordringene med å lage etfelles sikkerhetsregime og en felles sikkerhetsar-kitektur når SCADA-systemer kobles sammenmed administrative IKT-systemer.10

De viktigste selskapene i Norge har krav tilredundant kommunikasjon i driftskontrollsys-temet, slik at feil i én kommunikasjonslinje ikkemedfører funksjonssvikt.

Økt tilgang fra Internett – også fra utlandet

For driftskontrollsystemene er tilgjengelighet ogintegritet det mest sentrale. De største driftskon-trollsystemene er omfattende og i stor grad spesi-altilpasset det enkelte selskapets behov, og detkan være flere leverandører som leverer ulikedeler av det totale driftskontrollsystemet.

Den økte kompleksiteten og økte krav til forsy-ningssikkerhet har gjort at selskapene har blittmer avhengige av leverandører til vedlikehold ogfeilretting via fjernaksess. Selskapene har i størregrad også tilrettelagt for overvåking og styring avanleggene via fjernaksess.

Driftskontrollsystemene var opprinnelig ikkeutviklet med tanke på sikkerhet, noe som har førttil et omfattende og kostbart arbeid med å sikresystemene mot uautorisert tilgang etter hvertsom systemene i stadig større grad har blittkoblet til andre IKT-systemer og mot Internett.Dette innebærer også å etablere en moderne arki-tektur i nettverket i driftskontrollsystemet sombidrar til større kontroll med trafikken i nettver-ket.

Et annet eksempel på utfordringer er bruk avantivirusprogramvare eller systemer for overvå-king av datatrafikk på SCADA-systemer. I eldresystemer er bruken av disse problematisk fordirisikoen er stor for at disse systemene forstyrrer,forsinker eller stopper lovlig og nødvendig data-trafikk.

I tillegg er kravet til tilgjengelighet så stort atdet krever omfattende arbeid og forberedelser nårdet skal installeres oppdateringer, for å sikre segmot at oppdateringene ikke fører til nedetid isystemene. Det økte trusselbildet har også utfor-dret selskapene med hensyn til sikkerhetskompe-tanse.

Alt dette kan medføre at selskapene blir meravhengige av leverandørene for raskest muliggjenoppretting ved omfattende systemfeil. Samti-dig er trenden at flere store leverandører i størregrad satser på å utføre supporttjenester fra utlan-det. Det kan by på utfordringer i forhold til bered-

9 Weiss, Joseph (2010): Protecting Industrial Control Systemsfrom Electronic Threats. Momentum Press. New York.

10 ENISA (2012): Smart Grid Security – Annex I General Con-cepts and Dependencies with ICT.

Figur 13.3 Verdikjeden i norsk kraftforsyning.

Vann i magasinet Kra�produsent

Sentralne�, regionalne� og

høyspent distribusjonsne�

Lavspent distribusjonsne� Salgsapparat Strøm i kontakten

Leverandører og underleverandører

Dri�skontrollsystemer (SCADA) Prosesskontrol (DMS) AMS

Elhub

Nord Pool


skapsforskriftens krav til beskyttelse av sensitivinformasjon og kontroll med egne data. NVEsregulering krever at fjernaksesstjenester leveres ikontrollerte former.

Konsentrasjonsrisiko i leverandørleddet

Enkeltleverandører av SCADA-systemer har storemarkedsandeler i Norge. Det kan føre til at feil ikjernesystemet fra én stor leverandør påvirkerflere selskaper i energiforsyningen. Dette er ogsåen problemstilling som drøftes i kapittel 11 «Elek-tronisk kommunikasjon».

Det er viktig å hindre at uvedkommende får til-gang til sensitive opplysninger om kraftforsynin-gen i landet, og å sørge for oppetid for systemersom ivaretar viktige driftskontrollfunksjoner.Sensitiv informasjon om kraftforsyningen vil væreinformasjon som, i gale hender, kan brukes til åskade eller hindre funksjoner i kraftforsyningen.

Analysen av Stuxnet-angrepet viser at tradisjo-nelle beskyttelsestiltak som holdningskampanjer,sikkerhetsoppdateringer og antivirusbeskyttelse

har liten effekt på denne typen sofistikerteangrep. Data fra Open Source Vulnerability Data-base (OSVDB) viser at Stuxnet førte til økt opp-merksomhet rundt sårbarheter i industrikontroll-systemer. Av det totale antallet kjente sårbarheterble i følge ICS-CERT hele 80 prosent oppdaget itiden etter Stuxnet.

Kostbart å oppgradere

Dagens SCADA-system og stasjonsdatamaskinerutvikles på moderne programvareplattformer derogså sikkerhetsmekanismer er mer integrert isystemene. Men å modernisere SCADA-systemerog implementere moderne nettverksteknologi ersvært kostbart og arbeidskrevende, og det targjerne fra ett til tre år å gjennomføre, avhengig avhvor omfattende driftskontrollsystemet er. Selska-pet gjør da dette stegvis, og det betyr at det frem-deles er en god del eldre systemer og komponen-ter i driftskontrollsystemene i energiforsyningen.Dette innebærer at proprietære og sårbare proto-koller fremdeles benyttes, og at det finnes utstyr

Figur 13.4 Forenklet illustrasjon som viser hvordan driftskontrollsystem og administrativt nett er tilknyttet Internett.

Kilde: NVE.

Driftssentral

HistorianSCADA-server 1

Kommunikasjon

Arbeidsstasjoner

Epost www.-server Filserver ApplikasjonerNIS/GIS/KIS etc

Administrativt nettverk

Arbeidsstasjoner

Kontrollsystem Lokalt kontrollanlegg

RTU IDE/PLC

IDE/PLCRTU

Lokalt kontrollanlegg

IDE/PLCRTU

Lokalt kontrollanleggKommunikasjonKommunikasjon

Reserve driftssentral

SCADA 2HMI

Arbeidsstasjon Historiske data

Leverandør 2

Leverandør 1Internett

Hjemmevakt

DMZ

Fildelingstjenester/ datautveksling

Kontrollsystem LAN

Kommunikasjon


ute i anleggene som ikke har innebygd sikker-hetsfunksjonalitet.

13.5.3 Sårbarheter i tilknytning til smarte nett

NVE har pålagt alle nettselskapene å innførestrømmålere med toveiskommunikasjon (AMS)innen 1. januar 2019 for sluttbrukere. Dette vilgjøre strømforsyningen sikrere og mer stabil,eksempelvis ved å lokalisere og reparere feil ras-kere enn før, men det vil også kunne øke den digi-tale sårbarheten.

Måleren er nettselskapets eiendom, og det erselskapets ansvar å beskytte den. Målerne er plas-sert i private bygg, og etter den nye NEK-nor-men11 skal målere til nye bygg plasseres utendørspå vegg og i felles skap med ekom.

Gjennom innføringen av AMS vil strømkunderi Norge få registrert strømforbruket sitt med enoppløsning på en time eller mindre. Datainnsam-ling og styring av målere skjer gjennom løsningersom er designet for automatiserte prosesser samtovervåking av drift og feilsituasjoner i strømnet-tet. Utover ren innsamling av måleverdier samlersystemet inn data rundt hendelser i strømmå-lerne, kommunikasjonen eller elnettet. Gjennomdette vil nettselskapene ha mulighet til å mottadata av sterkt forbedret kvalitet, noe som vil gi et

Boks 13.3 Stuxnet

Stuxnet fikk i 2007 det iranske atomprogram-met til å stoppe midlertidig ved at et prosess-kontrollsystem i et atomanlegg i Natanz (Iran)ble angrepet av skadevare. Dataviruset skal haødelagt omtrent 1 000 av Irans 6 000 uransen-trifuger.1

Iransk atomindustri hadde en gammel,upålitelig prosessteknologi og hadde imple-mentert systemer som bidro til høyere feiltole-ranse enn det som var vanlig for slike anlegg.Operatørene var dermed vant til feilsituasjo-ner. Teknologien i anlegget stammet fra pakis-tansk atomindustri på 1970–1980-tallet.

En teknisk analyse av Stuxnet-angrepet(Lagner, 2013) viser at begge angrepene motanlegget i Natanz hadde som mål å ødeleggesentrifugene. Men taktikken var forskjellig.Det første angrepet, som skjedde skjult, haddesom mål å øke overtrykket i sentrifugene. Detandre angrepet hadde som mål å manipulerehastigheten på sentrifugerotorene og på denmåten få dem til å spinne med for høy hastig-het og ødelegge dem. Skadevare ble fraktetinn i anlegget og la seg som et «man-in-the-middle-angrep». Det overstyrte dermed opera-tørene. Dataviruset skapte i egenskap av trus-selen bekymring også i norsk kraftindustri.

1 Lagner, Ralph (2014): To Kill a Centrifuge. A Technical Analysis of What Stuxnet’s Creators Tried to Achieve.

11 Norsk elektroteknisk norm – NEK 399-1 2014 Tilknytnings-punkt for el- og ekomnett. Normen omhandler etablering ogutforming av felles grensesnitt (skap) for blant annet elnett,elmåler og ekomnett.

Figur 13.5 Eksempel på AMS-system.

Kilde: NVE.

Målernode Kommunikasjon-infrastruktur Sentralsystem (nettselskap)

Display/ bruks- og

prisinformasjon

Innsamlingspunkt/ konsentrator

Tilleggs- tjenester

Tilleggs-tjeneste 1

Tilleggs-tjeneste 2

Toveiskommunikasjon mellom nettselskap og måler

Kraftleverandør

Trygghetsalarmer

Avlesning vann- gassmålere

Bryting- struping

SCADA

DMS/EMS

Elhub

Leverandør tilleggstjenester

Nettstasjon


stort forbedringspotensial for planlegging, drift ogvedlikehold av lavspentnettet.

Med innføring av AMS øker antallet flater somkan angripes, med antall husholdninger og virk-somheter som skal tilknyttes AMS-systemet.Utfordringene er knyttet til økt avhengighet avoffentlig telekommunikasjon og økt behov for til-kobling, personvern og sikkerhetsstyring. Innfø-ringen av AMS vil gjøre kraftsystemet mer ekspo-nert for programvarefeil og trusler som kommergjennom Internett. Dette følger naturlig av bru-ken av kommersielle systemer og tilkoblingene tilInternett for å overføre data fra AMS til Elhub(sentralisert KWh-server). For eksempel byggerSORIA-prosjektet en sky med IPv6 som gjør atman kan fase inn andre funksjoner i nettet, eksem-pelvis gatelys. AMS blir da en del av et SmartCity/Smart Grid.

Beslutningen om å implementere AMS harskjedd uten stor debatt i Norge og Norden, i mot-setning til i enkelte andre land, særlig Nederlandog USA. NVE har imidlertid tydeliggjort overforbransjen viktigheten av å gjennomføre risikoana-lyser ved innføringen av AMS og at nettselska-pene er ansvarlige for å sørge for tilstrekkelig sik-kerhet i AMS-løsningen.

Strategisk sårbarhet som følge av bryterfunksjonaliteten

I Norge er det et krav til AMS-målerne som instal-leres, at de støtter bryter- og strupefunksjonalitet.Per i dag har nettselskapene bare adgang til åfjernutkoble én kunde om gangen. Det kan bliaktuelt på sikt, etter testing og utredning, å tilret-telegge for masseutkobling eller massestrupingpå et gitt effektnivå i forbindelse med en bered-skapssituasjon eller ved rasjonering, typisk vedeffektknapphet. Ved inntrenging i systemene somadministrerer AMS-bryterfunksjonaliteten for åforeta uautorisert utkobling, kan man risikere atmange strømkunder mister strømmen.

Sikkerhet rundt bruk av bryterfunksjonalitet iAMS er en aktuell problemstilling som diskuteresinternasjonalt. EUs funksjonskrav for AMS inne-holder bryterfunksjonalitet. Det eneste landetsom har valgt å gå imot anbefalingene og ikkeinkludere bryterfunksjonalitet, er Nederland.

Uautorisert tilgang

Det er allerede vist at smarte målere kan hackes,at radioantenner kan avlyttes, at signaler kan stop-pes, eller at måleren fysisk modifiseres når denikke er godt fysisk beskyttet. Dette synet er støt-

tet av internasjonale sikkerhetseksperter somadvarer mot sårbarheter og fare for misbruk iAMS.

Uautorisert tilgang til sentralsystemet forAMS kan gjøre det mulig å manipulere brytere.Samme konsekvens kan oppnås dersom SCADA-systemet ikke er tilstrekkelig sikret mot uautori-sert tilgang, eller at tilkoblingen til andre typersystemer er tilsvarende sikret. Dessuten vil enslik sammenkobling kunne gi muligheter formanipulering av data.

I tillegg til dette kommer innsidetrusselen.Dersom en utro tjener i eget selskap eller hosleverandøren får uautorisert tilgang, kan vedkom-mende tappe systemet for informasjon og i verstefall overta styringen av systemet. Alle landetsmåleverdier vil bli lagret i Elhub, som også inne-holder noe informasjon om de enkelte kundene.Potensielt kan informasjon komme på avveie hvisen ansatt med tilstrekkelig tilgang tapper informa-sjon fra systemene.

Håndtering av endringer, konfigurasjoner og grensesnitt

AMS-systemet er komplekst og kjennetegnes avmange grensesnitt og gjensidige avhengighetermellom ulike komponenter, men også avhengig-heter til eksterne systemer som elektroniskekommunikasjonssystemer og satellittbaserte tje-nester som gir nøyaktig tid.

Det er krevende å holde oversikt over og fåverifisert at alle målerne er oppdatert og riktigkonfigurert. Leverandørene sender konfigura-sjonsdata til nettselskapene, som selv gjennomfø-rer oppdateringer. Driftsselskapene kan også ståfor oppdateringer, slik det for eksempel er tenkt iSORIA-samarbeidet. Det er en risiko for at feil kanfå utilsiktede konsekvenser et annet sted i verdi-kjeden, for eksempel dersom systemet blir infisertav skadevare i forbindelse med oppdateringer.

Logging og analyse

Systemkompleksiteten gjør at det blir viktig åvære i stand til å oppdage unormal og utilsiktettrafikk. Eierskap til AMS-infrastrukturen vil vari-ere fra selskap til selskap. Enkelte nettselskapervil eie en god del infrastruktur selv, mens andre villeie mye av infrastrukturen, som for eksempelmobildatakommunikasjon. Leverandører har hev-det at trafikk fra målere er lett å gjenkjenne ved atdet danner seg et mønster. Ved å logge datatrafikkog være i stand til å analysere disse loggene kanleverandøren skille uvesentlige feil fra feil en bør


reagere på. Ved å se på adferden til sensorene kanen se om en måler er fysisk manipulert eller ikke.Så langt har NVE standardisert at det ut mot kun-dene av nettselskapene bare skal være ett lese-grensesnitt, og at kunden skal kunne kryptereeller skru av dette.

Sårbarheter ved bruk av datasentre eller utkontraktering av drift

Noen leverandører tilbyr driftsløsninger til krafts-elskapene. Dersom en utkontrakterer drift avAMS, kan det oppstå andre sårbarheter. IfølgeSINTEF drifter 70 prosent av nettselskapene sinegen driftssentral, men dette bildet kan endres ifremtiden.12 Flere nettselskaper har påpekt at deter stor variasjon i modenheten hos leverandørerav sikkerhetsløsninger for AMS. Blant annet somfølge av lav modenhet hos nettselskapene og leve-randørene på enkelte områder ble enkelte krav,som for eksempel PKI og kryptering, «bør-krav»og ikke «må-krav». Alle nettselskapene stilte imid-lertid krav om at sikkerhetsløsningen på sikt børkunne tilpasses et endret trusselbilde.

Bruken av datasentre og skytjenester knyttettil AMS er i dag liten. Flere selskaper har ut fraeffektivitetshensyn satt i gang et arbeid for inn-samling av måle- og avregningsdata gjennom åetablere regionale datahuber. Når AMS er gjen-nomført i 2019, vil timesdata av alt forbruk fracirka 2,9 millioner målere bli innsamlet via regio-nale datasentraler og videreformidlet til den nasjo-nale datahuben (Elhub). Dette tilsier at sikring avinformasjon i datasentre/skytjenester vil bli spesi-elt viktig i prosessen frem til oppstart avsystemene.

Personvernutfordringer i smarte nett

Personopplysningsloven stiller krav til hvordannettselskapene kan bruke opplysningene somsamles inn.

Strømforbruk kan spores til enkeltpersoner. Opp-lysninger om strømforbruk er i utgangspunktetknyttet til et målernummer på en bestemtadresse, ikke til en person. Men når måleren igjenknyttes til en huseier, kan opplysningene omstrømforbruket spores tilbake til en bestemt per-son. Dette kan være abonnenten selv eller enannen person, for eksempel en leietaker.

Ved å analysere detaljerte data om strømfor-bruk kan det i fremtiden være mulig å anta ellerforutsi når personene i hjemmet er på ferie ellerpå jobb, når de sover, når de er våkne, og andrebruksmønstre.

Bruksmønstrene kan være nyttige ved at mankan analysere strømforbruket vårt med tanke påfor eksempel strømsparing. Men bruksmønstrenekan også bli brukt til andre ting, som markedsfø-ring og reklame. Politiet, skattemyndighetene,forsikringsselskaper, utleiere, arbeidsgivere ogandre tredjeparter kan også være interessert iinformasjon om personlig strømforbruk.

Fare for misbruk av personopplysninger. Det erdefinerte rammer for hvordan de personopplys-ningene som samles inn ved hjelp av automatiskemålesystemer, kan brukes. Det europeiske per-sonvernombudet, The European Data ProtectionSupervisor (EDPS), advarer likevel om at denneinformasjonen kan misbrukes hvis den ikke sik-res forsvarlig. EDPS anbefaler at selskapene måinnhente samtykke fra forbrukerne før nettselska-pet bruker informasjonen fra slike målere tilandre formål enn det som er nødvendig for åutøve virksomheten.

NVE har pålagt nettselskapene å innhente datafor fakturering (fra Elhub). Kunden eier sine egnestrømdata og må selv aktivt samtykke i at kom-mersielle aktører skal få tilgang til disse dataene.

13.5.4 Avhengighet av ekom og satellittbaserte tjenester

På sentralnett- og regionalnettnivå eier og drifterselskapene sine egne telekommunikasjons-systemer. Dette sikrer selskapene tilgang til tele-kommunikasjonstjenester også på områder derdekningen fra ekomleverandører ikke er god nok.Selskapene gjør seg mer avhengige av driftskon-trollsystemene for å ha mest mulig effektiv driftog detektere feil raskere. En gradvis effektivise-ring over tid, der personell blir erstattet med infor-masjons- og kommunikasjonssystemer, forster-ker avhengigheten av telekommunikasjon. Myn-dighetene og bransjen selv er klar over avhengig-heten.

De største selskapenes driftssentraler er der-for, etter krav fra NVE, knyttet med dublert sam-band til underliggende stasjoner av sikkerhets-klasse 2 og 3. Selv om det er dublerte samband påviktige installasjoner, kan sekundærforbindelsenha lavere kapasitet enn hovedforbindelsen, noesom kan hemme effektiviteten i driften dersomhovedsambandet faller ut. Det er imidlertid et

12 Sæle, H., Sagosen, Ø., Bjørndalen, J. (2014): Norsk driftssen-tralstruktur Funksjon, kostnadsforhold og fremtidig utvikling.SINTEF Energi.


krav at kommunikasjonslinjer som faller ut, rasktskal gjenopprettes.

Det er et krav at selskapene har et mobiltradiosamband som skal fungere uavhengig avoffentlige teletilbydere. Det er dette som skalbenyttes når mannskap skal påkalles, og nårarbeid i felten skal koordineres. Reparasjon ogvedlikehold krever imidlertid samvirke medmange aktører og underleverandører. Kommuni-kasjon med andre aktører enn de rent driftsrela-terte innen bransjen går via teletjenester kjøpt imarkedet. Bortfall av mobilnettet vil dermedkunne redusere effektiviteten i samvirke og hånd-tering av kriser og hendelser i sektoren. NVE haruttrykt at selskapene står fritt til å velge teknologisåfremt de oppfyller kravene i beredskapsforskrif-ten. Bruk av Nødnett til kraftforsyningens behover ikke avklart. For å opprettholde nødvendigberedskap skal kraftforsyningen etter behov vedli-keholde, anskaffe og bygge radionett for mobil-kommunikasjon (driftsradio) uavhengig av utbyg-gingen av Nødnett.13

Ekstremværet Dagmar medførte store utfor-dringer for kraftbransjen. Mange hovedveier ogmindre veier ble stengt, ferjer var ute av drift oghele eller deler av jernbanestrekninger ble stengt.Dette medførte ekstra utfordringer både for netts-elskapenes opprydning og feilretting og for kom-munenes håndtering av hendelsen. At kommuni-kasjonsmuligheter i stor grad var fraværende ellersterkt redusert, medførte store utfordringer forkrisehåndteringen – både i kommunene, hosnødetatene og hos mannskapene som skulle gjen-opprette feil og ødeleggelser. Hendelsen visteimidlertid at kraftforsyningens kommunikasjonmed reparasjonsmannskapene i stor grad ble iva-retatt, ettersom de benyttet egne driftsradio-systemer. Hendelsene i forbindelse med Dagmarhar bidratt til en rekke tiltak knyttet til sikkerhetog beredskap. For nærmere omtale, se kapittel 11«Elektronisk kommunikasjon».

Akkumulert sårbarhet fra elektronisk kommunikasjon

Kompleksiteten i kraftforsyningen er ventet å økemed den planlagte innføringen av AMS. AMSfører til behov for ny IKT-infrastruktur. AMS villegge til rette for større styringsevne når det gjel-der ut- og innkobling av forbruk på distribusjons-nettnivå, og også gi kundene raskere og riktigereinnhenting av måleverdier, bedre grunnlag forfaktura og muligheter for å effektivisere strømfor-

bruket. På sikt vil dette systemet gi grunnlag forsmarte byer (se punkt 6.2.2 «Tingenes Internett»)der også husholdninger og virksomheter kanselge energi og effekt fra egenproduksjon(eksempelvis vindmølle på taket / solcellepanel /batteri). Systemdriften blir trolig mer sammensattfremover som følge av økt innmating fra ikke-regulerbar produksjon. Dette gjelder også i distri-busjonsnettet. Forbruket endres i form av øktfleksibilitet og større variasjoner (økt effektuttak).Smarte nett og AMS gir nye muligheter for åhåndtere systemdriften, men øker i følge Reiten-utvalget samtidig behovet for investeringer ogkompetanseutvikling.

AMS gjør seg nytte av elektronisk kommuni-kasjon, som GPRS. Selv om det er krav i avreg-ningsforskriften om sikker kommunikasjon iAMS-løsningen, er denne typen teknologi sårbarfor avlytting. Derfor vil ifølge NVE alle entenbruke et krypteringslag på toppen eller bruke løs-ninger som i seg selv beskytter informasjonenmot innsyn under transport. Det er krav til lokallagring av måledata i AMS-målerne, slik at AMS’primære funksjon ikke faller ut ved kommunika-sjonsutfall.

Avhengighet av satellittbaserte tjenester – tid

Både driftskontrollsystemer og AMS blir stadigmer avhengige av korrekt tid. Internasjonalt utar-beides det nye standarder for kontrollanlegg (IEC61850) som innebærer synkroniseringskrav påmikrosekundnivå. Det anses derfor som sannsyn-lig at strengere tidssynkroniseringskrav på siktkan bli relevant også i Norge.14 Dette kan igjen fåkonsekvenser for sårbarheten i systemet som hel-het.


Samfunnet har lenge vært og blir stadig meravhengig av stabil kraftforsyning med høy kvali-tet. Kraftforsyningen står overfor store teknolo-giskifter som blant annet vil kunne medføre at sel-skapene i større grad også blir leverandører avIKT-tjenester. Fremtidige sårbarheter er knyttettil fortsatt automatisering, herunder utrullingenav AMS og fremtidig bruk av skyløsninger i kraft-forsyningen.

13 Energi Norge og Telenor (2013): Sikkerhet og beredskapmot ekstremvær i telesektoren.



Ny teknologi innenfor desentral produksjon(småskala vindkraft, småkraft og solkraft) ogendringer i forbruksmønstre (flere effektkre-vende apparater, hurtiglading av elbiler og såvidere) endrer tradisjonell kraftflyt og gir nyeutfordringer for nettselskapene og produsentene.Det er usikkerhet knyttet til hva den nye teknolo-gien gjør for stabiliteten i nettet når flere kunderblir pluss-kunder og leverer overskuddsstrøm til-bake til kraftsystemet. Ny teknologi åpner ogsåfor nye forretningsområder og markedsorientertsluttbrukerstyring, samt løsninger for energief-fektivisering.

Utviklingen går i retning av smarte målere,smarte nett og smarte byer, noe som betyr øktkompleksitet, tettere koblinger og økt risiko former vidtrekkende konsekvenser ved feil. I fremti-den vil strømleverandørene kunne bli IKT-selska-per som analyserer data og leverer informasjon ogtjenester til forbrukernes smarttelefoner og nett-brett. Målesystemer som gir detaljerte opplysnin-ger om hva enkeltpersoner gjør i hjemmet, kanlegge til rette for velferdsteknologi og trygghets-pakker for eldre. Nettselskapene har pekt på atdet er ønskelig at NVE gjør det tydelig hvilkeandre bruksmuligheter AMS åpner for.

IKT og kraftsystemet smelter mer og mersammen. Det trengs sikre IKT-systemer og til-strekkelig kompetanse der problemene oppstår.Det finnes enormt med data, men det blir en utfor-dring å administrere og analysere disse. Mer over-våking basert på IKT og økning i fornybare ener-gikilder blir mulig. Det er et aktuelt tema iEuropa. Det ventes også en økning i cybertruslerog i sabotasje og fysisk ødeleggelse av kommuni-kasjonssystemer. Elektroniske komponenter blir

stadig mindre, samtidig blir de mer sensitive forelektromagnetisk interferens. Dette represente-rer også en sårbarhet i et stadig mer automatisertsystem.

Kravene til kontinuerlig risikoanalyse ogendringsledelse vil øke som følge av denne utvik-lingen.


Infrastrukturer og samfunnsfunksjoner er avhen-gige av stabil kraftforsyning med god kvalitet.Den økte digitaliseringen gjør avhengighetenenda større, og sårbarheter innen kraftforsynin-gen akkumuleres til andre områder i samfunnet.Det gjør at det stilles særlige krav til denne bran-sjen og til hvilke tiltak som må gjennomføres for åredusere sårbarheten. Utvalget har observert atdet er uenighet mellom Olje- og energideparte-mentet og Forsvarsdepartementet knyttet til utpe-king av skjermingsverdige objekter i energiforsy-ningen etter sikkerhetsloven. Utvalgets synspunk-ter på slike problemstillinger er beskrevet i kapit-tel 23 «Tverrsektorielle sårbarhetsreduserendetiltak». Gitt kraftforsyningens kritikalitet i samfun-net og økte digitale sårbarhet vil utvalget anbefalefølgende:

13.7.1 Styrke tilsyn og veiledning i IKT-sikkerhet

NVE har ansvaret for beredskapen i norsk kraft-forsyning og regulerer dette gjennom forskrifterog veiledning av bransjen. Den økte digitaliserin-gen medfører et behov for tett oppfølging frem-over og for mer spissede tilsyn innenfor enkelteområder. NVE har begrenset kapasitet til å følgeopp med tilsyn innen IKT-sikkerhet og sårbarhet.Disse forholdene legges til grunn for utvalgets for-slag om å styrke NVE betraktelig på området tilsynog veiledning.

Det er et generelt utviklingstrekk at det leggesopp til stadig tettere koblinger mellom driftskon-trollsystemer og forretningssystemer. Dette er enbetydelig utfordring fordi driftskontrollsys-temene i utgangspunktet er bygd for et langt liv iet beskyttet miljø med store krav til stabilitet ogdriftssikkerhet. Det står i et misforhold til behovetfor stadige oppdateringer og tilpasninger som erimperativt for systemer som fungerer i den åpneverden. Utvalget mener ikke det er veien å gå åjobbe mot denne utviklingen, til det er de forret-ningsmessige og styringsmessige gevinstene forstore og åpenbare. Utvalget mener at dette er en

Boks 13.4 Mulighetsrommet ved avanserte målere

Avanserte målere gir muligheter for å utvikletjenester knyttet til smarte hus og pleie- ogomsorgstjenester. Et eksempel er Lyse energi,som leverer tjenester både til smarte hjem ogtil velferdstjenester, der kunden skal kunnestyre hele boligen med én fjernkontroll.Smartly AS utvikler løsninger for smart sty-ring av varme, lys, innbrudds- og brannalarm.Smartly tilbyr også velferdsteknologiproduk-ter som skal hjelpe eldre og andre med spesi-elle behov til å klare seg lenger hjemme. Disseproduktene kan styres fra nettbrett og smart-telefoner.


utfordring som må møtes med gode og gjennomgri-pende tiltak knyttet til teknisk arkitektur, transak-sjonskontroller og hensiktsmessig soneinndeling. Pådette området mener utvalget at NVE bør kunnespille en viktig rolle i å formidle beste praksis og forøvrig veilede berørte virksomheter i sikker imple-mentering.

Utvalget observerer at det i kraftbransjen, somi andre bransjer, er en økt trend mot tjenesteutset-ting. Denne trenden har innvirkning på IKT-sik-kerheten. Tjenesteutsetting omfatter også oppføl-ging av leverandører. Virksomhetene må sørgefor at relevante IKT-sikkerhetskrav inngår i avta-ler med leverandøren, og at kravene følges opp.Den enkelte virksomheten vil ikke alltid evne å sede samfunnsmessige konsekvensene av utilstrek-kelige IKT-krav. Derfor mener utvalget at NVE ifellesskap med interesseorganisasjoner og bransjenbør utarbeide veiledere og krav til tjenesteutsetting ikraftbransjen. Utvalget anbefaler sektoren å se påinternasjonale standarder.

13.7.2 Stimulere til større og mer ressurssterke fagmiljøer innen IKT-sikkerhet

Flere KBO-enheter er små med få ansatte, og deter en kompetanseutfordring å etablere og opprett-holde nødvendige fagmiljøer. Utvalget mener atNVE i samarbeid med interesseorganisasjonene børstimulere til større og mer ressurssterke fagmiljøerpå IKT-sikkerhet i KBO-enhetene. Dette kan gjørespå flere måter, eksempelvis gjennom økt samar-beid mellom KBO-enheter eller gjennom struktu-rendring.

Bransjeorganisasjonene har et veletablert sys-tem for kurs og opplæring. Utvalget foreslår atdette videreutvikles til å dekke de nye utfordrin-gene vi står overfor innenfor IKT-sikkerhet. Bran-sjeorganisasjonene bør kunne bidra med å organi-sere kurs innenfor IKT-sikkerhet, gjerne i samarbeidmed andre organisasjoner, eller henvise til NVE,andre myndigheter eller undervisningsinstitusjonerder det er hensiktsmessig. Det bør også utvikles kursog studieretninger innenfor prosesstyring, systemin-tegrasjon og IKT, noe som kan bidra til at bransjenfår den kompetansen som trengs for å driftesystemene i fremtiden.

Kraftbransjen har lang tradisjon for å gjennom-føre øvelser. Utvalget er gjort kjent med at kompe-tansen knyttet til IKT-sikkerhet er varierendeblant virksomheter i bransjen, og mener derfordet er behov for å gjennomføre flere øvelserinnenfor IKT-sikkerhet, der leverandører inviteresmed. Gjennom ulike typer øvelser kan organisa-

sjoner og samarbeidspartnere øve på planverk ognye utfordringer. Utvalget anbefaler at NVE gjen-nom sin veiledningsrolle er pådriver for flere øvelserpå IKT-sikkerhetsområdet både i sektoren og oppmot andre sektorer det er naturlig å samarbeidemed.

13.7.3 Bygge et sterkt operativt fagmiljø for IKT-hendelseshåndtering

Leveringssikkerheten i kraftbransjen er høy. Like-vel gir naturhendelser og teknisk svikt tidsbe-grensede kraftbortfall. Sektorens kritiske rolle til-sier at bransjen må ha god beredskap mot alletyper hendelser, også tilsiktede IKT-hendelsersom vi ennå ikke har sett så mange av. IKT er tettintegrert i kraftforsyningen og avgjørende for åsikre en effektiv og sikker drift av systemet. Virk-somhetene må selv ha evne til å håndtere hendel-ser. I den sammenheng er det viktig med åpenhetog rask informasjonsutveksling om trusler,erfarte hendelser og mulige avbøtende tiltak.

Kraftforsyningen er en viktig infrastruktur forresten av samfunnet. Bransjen bør ha et kompe-tent felles miljø for hendelseshåndtering som bådekan koordinere hendelser internt i sektoren ogvære kontaktpunkt ut mot andre sektorer. Utvalgetstøtter ideen om å videreutvikle KraftCERT som etsterkt fagmiljø innen operativ hendelseshåndtering.NVE må tydeliggjøre krav om tilknytning til et ope-rativt fagmiljø for hendelseshåndtering, enten motKraftCERT eller mot andre miljøer. Virksomhetenebør ha en tydelig begrunnelse for hvilket alterna-tiv de velger. Det er viktig med avklarte roller mel-lom responsmiljøene, slik at kraftbransjen opptrerenhetlig overfor andre sektorer.

13.7.4 Vurdere de sikkerhetsmessige forhold ved å behandle og lagre kraftsensitiv informasjon i utlandet

Noen typer informasjon er kritisk for drift av kraft-forsyningen i ordinære og ekstraordinære situa-sjoner. Hva som er kraftsensitiv informasjon, ogsom skal beskyttes særskilt, går frem av bered-skapsforskriften. Samtidig observerer utvalget atteknologiutviklingen, økt systemintegrasjon ogorganisasjonsendringer hos leverandører endrermulighetsrommet for tjenesteutvikling. Med detteblir tradisjonelle sikkerhetstiltak og begrensnin-ger for informasjonsdeling utfordret, se nærmereomtale i punkt 23.7 «Utkontraktering og skytje-nester».

Norsk kraftforsyning må kunne driftes selv isituasjoner der ekom mot utlandet svikter. Dette


har konsekvenser for hvilken informasjon somkan lagres utenfor Norges grenser. Utvalgetobserverer at dagens regelverk gir utfordringerfor tjenesteutvikling og effektiv drift av kraftforsy-ningen, og vil derfor anbefale at NVE gjør en vur-dering av hvilken informasjon som, gitt deendrede teknologiske og organisatoriske ram-mene, er så kritisk at den ikke bør lagres ogbehandles utenfor Norges grenser. Utvalget anbe-faler at NVE ser på hele verdikjeden og identifisererhvilken informasjon i denne som må være undernasjonal kontroll.

13.7.5 Gjennomføre risikoog sårbarhetsanalyse for utvidet bruk av AMS

Vedtak om innføring av AMS skjedde uten en for-utgående risikoog sårbarhetsanalyse.15 Utrullin-gen av AMS innebærer et stort potensial for øktnettnytte, innovasjon og effektivisering i sektoren.Utvalget stiller seg positivt til at denne effektenmå tas ut, men mener det må gjøres med en gradav forsiktighet. Ukritisk implementering av funk-sjonalitet som for eksempel knytter AMS tetteresammen mot driftskontrollsystemer, vil medføreen sårbarhetsoppbygging med et betydelig skade-potensial. Utvalget mener det er viktig med engod og bredt dekkende risikoog sårbarhetsana-

lyse i forkant av teknologiskifter, ved bruk-sendringer og ved system- og organisasjons-endringer. Utvalget anbefaler at NVE gjennomførernødvendige risikoog sårbarhetsanalyser for utvidetbruk av AMS inn mot driftskontrollsystemene.

13.7.6 Utarbeide en oppdatert analyse av kraftforsyningens avhengighet av ekom

Utvalget har merket seg NVEs uttalelser om atkraftbransjens avhengighet av ekom er lav, og atdette i hovedsak skyldes gjeldende krav i regel-verket om å kunne drifte kraftsystemet selv nårkommersiell ekom er nede. Utvalget er kjent medat kraftforsyningen har et eget samband, men stil-ler spørsmål ved om denne vurderingen fullt ut tarinnover seg kompleksiteten og samhandlingen påtvers av aktører i og utenfor bransjen. Utvalgetkonstaterer videre en generell trend for alle andresamfunnsaktører om økt avhengighet av IKT ogkommersiell ekom. Dette henger sammen med etbredere aktørbilde og økt kompleksitet i verdikje-den.

Utvalget vil peke på at selv om kraftbransjen sålangt har klart å håndtere kritiske situasjoner utenkommersiell ekom, kan evnen utfordres i fremti-den når enda mer IKT blir lagt til og integrert ikraftinfrastrukturen. Utvalget anbefaler derforNVE og bransjen å foreta en ny gjennomgang for åetterprøve om dagens krav gir den «uavhengighe-ten» som regelverket krever.

15 En rekke ROS-analyser er imidlertid gjennomført etter ved-taket, se eksempelvis Proactima og Energi Norge (2015),Overordnet risikoog sårbarhetsanalyse for innføring avAMS.


Kapittel 14

Olje og gass

Enhver aktivitet i olje- og gassektoren er forbun-det med risiko forårsaket av trusler og sårbarhe-ter. Det gjelder i økende grad også risiko somskyldes digitale sårbarheter. Norske etterret-ningsmyndigheter har de senere årene advart omen økning i antall digitale trusler rettet mot norskindustri. Det er mange indikasjoner på at hele ver-dikjeden i petroleumssektoren nå er et mål for til-siktede digitale angrep. Sektoren er svært viktigfor norsk økonomisk bæreevne og for Norgesinternasjonale betydning og omdømme som olje-og gassleverandør. I ytterste konsekvens får alvor-lig svikt i leveransene konsekvenser for land somimporterer store deler av sin gass fra Norge.

Mens digitale sårbarheter har vært viet storoppmerksomhet innen tradisjonell informasjons-og kommunikasjonsteknologi, har vektleggingenav slike sårbarheter innen prosess- og industrisek-toren kommet det siste tiåret. I 2010 ble man opp-merksom på Stuxnet, som viste at målrettede digi-tale angrep kan utnytte digitale sårbarheter ogpåføre industrielt utstyr og infrastruktur signifi-kante skader. For olje- og gassektoren ble eksplo-sjonen i en oljerørledning i den tyrkiske byenErzincan i 2008 en tankevekker. Flere år etterulykken ble årsaken presentert, og det var tyde-lige indikasjoner på at dette var resultatet av etdigitalt angrep. Hackere hadde slått av alarmer ogkommunikasjonslinjer og økt trykket i rørlednin-gen.

Deler av utvalgets omtale av olje og gass erbasert på rapporten «Digitale Sårbarheter Olje &Gass (DNV GL)», se elektronisk vedlegg.

14.1 Olje- og gassinfrastruktur

Olje- og gassvirksomheten er basert på en omfat-tende infrastruktur som består av faste og fly-tende produksjonsinnretninger, flyttbare boreinn-retninger, undervannsinstallasjoner, rørtransport-systemer, mottaks- og prosessanlegg, raffinerier,kontrollsentraler, forsyningsbaser, lagre, forsy-ningsfartøy, helikoptre og helikopterterminaler.

Av infrastruktur er produksjonsplattformer, raffi-nerier, rørledninger og skipningsterminaler mestkritisk. Sanntidsoverføring av data fra brønn tilland og sanntidsdeling av informasjon mellompersonell offshore og personell på land gjør nyesamarbeidsformer mellom ulike grupper og ulikeekspertgrupperinger – også omtalt som inte-grerte operasjoner – mulig. Mens man tidligeremåtte få eksperter til å reise ut til en plattform forå løse et problem, kan problemet nå ofte løses fraland. Norsk olje og gass anslo i 2008 at integrerteoperasjoner kan øke verdiskapingen med 300 mil-liarder kroner.

Det er omtrent 50 år siden man startet petrole-umsvirksomhet på norsk sokkel, og flere av deførste feltene er fortsatt i drift. Samtidig har aktivi-teten bredt seg utover den norske sokkelen. Ibegynnelsen var det bare utenlandske selskaperpå sokkelen, men etter hvert som kompetansenøkte, kom norske selskaper med. I dag er det nær40 selskaper på norsk sokkel. Statoil er det størsteselskapet, etterfulgt av internasjonale selskapersom ConocoPhillips, British Petroleum, Exxon,Shell, Total og ENI.

Petroleumsvirksomheten har hatt mye å si forden økonomiske veksten i Norge og for finansier-ingen av det norske velferdssamfunnet. I 2013 stopetroleumssektoren for 22 prosent av verdiskapin-gen i landet. Verdiskapingen i sektoren er merenn dobbelt så stor som i landindustrien og rundt15 ganger den samlede verdiskapingen i primær-næringene. Norge eksporterer 97 prosent av allgass, noe som gjør Norges til verdens nest størstegasseksportør.


Olje- og energidepartementet har det overordnedeansvaret for forvaltningen av petroleumsressur-sene på den norske kontinentalsokkelen. Departe-mentet skal se til at petroleumsvirksomheten fore-går etter de retningslinjene Stortinget og regjerin-gen gir, og har i tillegg et eieransvar for de statlige


selskapene Petoro AS og Gassco AS og for det del-vis statlige oljeselskapet Statoil ASA.

Oljedirektoratet er administrativt underlagtOlje- og energidepartementet og er et statlig fag-direktorat og forvaltningsorgan for norsk petrole-umsvirksomhet. Oljedirektoratet har et nasjonaltansvar for at data og informasjon fra petrole-umsvirksomheten er tilgjengelig og derved bidrartil verdiskaping. Oljedirektoratet har en sentralrolle innenfor petroleumsforvaltningen og er etviktig rådgivende organ for Olje- og energidepar-tementet. Direktoratet utøver forvaltningsmyndig-het og skal bidra til å skape størst mulige verdierfor samfunnet fra olje- og gassvirksomheten gjen-nom en forsvarlig ressursforvaltning med for-ankring i sikkerhet, beredskap og ytre miljø.

Arbeids- og sosialdepartementet har det over-ordnede ansvaret for forvaltning av arbeidsmiljøetog for sikkerhet og beredskap på norsk sokkel.Departementet gir føringer for Petroleumstilsy-nets prioriteringer gjennom årlige tildelingsbrev.

Petroleumstilsynet er et selvstendig, statlig til-synsorgan med myndighetsansvar for sikkerhet,beredskap og arbeidsmiljø i norsk petrole-umsvirksomhet. Petroleumstilsynet var tidligereen del av Oljedirektoratet. Regjeringen bestemte i2002 at Oljedirektoratet skulle deles, slik at tilsy-net med sikkerhet ble lagt til en egen etat (Petro-leumstilsynet).1 Petroleumstilsynet er nå under-lagt Arbeids- og sosialdepartementet.

I tillegg har Petroleumstilsynet et spesielt sam-ordningsansvar med andre etater som har ansvarpå norsk sokkel. Ansvaret for deler av petrole-umsvirksomheten er fordelt på andre departe-menter: Oljevernberedskap, helikoptertransportog radiokommunikasjon er underlagt Samferd-selsdepartementet, petroleumsskattlegging erunderlagt Finansdepartementet, helsemessigesider er underlagt Helse- og omsorgsdepartemen-tet, og det ytre miljøet er underlagt Miljøvernde-partementet. Flytende innretninger er underlagtSjøfartsdirektoratet, som igjen er underlagtNærings- og fiskeridepartementet.

Direktoratet for samfunnssikkerhet og beredskap(DSB) har et ansvar for oppfølging av prosessty-ringsanlegg, på bakgrunn av brann- og eksplo-sjonsvernloven med forskrifter, samt storulykke-forskriften. Ved etablering av nye anlegg følgerDSB opp saksbehandling, tilsyn og annet som blirgjort relatert til behandling av virksomhetens søk-nad om samtykke. I ordinært tilsyn er det vanlig

at DSB følger opp hvordan virksomhetene sørgerfor at systemene deres virker etter intensjonene.Alle storulykkemyndighetene (DSB, Miljødirekto-ratet, Petroleumstilsynet, Næringslivets sikker-hetsorganisasjon (NSO) og Arbeidstilsynet) vilunder tilsyn med storulykkevirksomheter følgeopp denne typen systemer. Anlegg på land erunderlagt storulykkeforskriften.

Norsk olje og gass (NOROG) er en interesse-og arbeidsgiverorganisasjon under NæringslivetsHovedorganisasjon for oljeselskaper og leveran-dørbedrifter knyttet til utforsking og produksjonav olje og gass på norsk kontinentalsokkel. Orga-nisasjonen representerer 53 oljeselskaper og 54leverandørbedrifter. Formålet med organisasjo-nens aktiviteter på IKT-sikkerhetsområdet er åforebygge gjennom erfaringsoverføring iNOROGs nettverk og prosjekter/arbeidsgrupperder interesserte medlemsbedrifter deltar.NOROG har et tett samarbeid med aktuellemyndigheter, i dette tilfellet NSM NorCERT ogPetroleumstilsynet.

Ifølge Oljedirektoratets faktasider er 37 opera-tørselskaper registrert som operatører på norsksokkel. Leverandørindustrien brukes som samle-begrep på aktørene som leverer produkter og tje-nester til petroleumsvirksomheten.

Gassco AS er et statlig selskap som siden 2002har hatt operatøransvaret for transport av gass fraden norske kontinentalsokkelen. Transportsys-temet er omfattende og består av flere plattformerog tusenvis av kilometer med rørledninger.Gassco er operatør for Gassled, som er et interes-sentskap og den formelle eieren av infrastruktu-ren forbundet med gasstransporten fra norsk sok-kel. Petoro AS og Solveig Gas Norway AS er destørste eierne, med til sammen nær 70 prosent aveierandelene. Gassco har ikke eierandeler i Gass-led, men har tilsyn med operatørselskapet.


Olje- og energidepartementet er et av de departe-mentene som bevilger store summer til forskningog innovasjon hvert år. Det meste av overførin-gene til FoU skjer via programmer i Forsknings-rådet. IKT inngår i flere store programmer. Foreksempel forskes det mye på integrerte operasjo-ner i offshorevirksomheten, det er blant annet eta-blert et eget senter for dette temaet ved NTNU,og det pågår sikkerhetsrelevant forskning på IKTi større programmer som DEMO 2000 og PETRO-MAKS 2.1 Olje- og energidepartementet (2003): Kronprinsregentens

resolusjon om det nye Oljedirektoratets ansvar og oppgaveretter utskillelsen av Petroleumstilsynet.



Petroleumstilsynets DwH-rapport med vurderin-ger og anbefalinger for norsk olje- og gassektorinneholder en beskrivelse av internasjonale pro-blemstillinger og pågående samarbeid på genereltnivå.2 I dag reises det blant annet krav om interna-sjonal sikkerhetsregulering og -koordinering ogom etablering av tverrnasjonale regelverkskrav.Fra flere hold er det tatt til orde for mer ensartedeinternasjonale sikkerhetsregimer i olje- og gass-virksomheten.


Petroleumsloven regulerer myndighetenes for-valtning av norske petroleumsressurser. Lovenkommer til anvendelse på petroleumsvirksomhetknyttet til undersjøiske petroleumsforekomstersom er underlagt norsk jurisdiksjon. Loven gjel-der også petroleumsvirksomhet i og utenfor riketog norsk kontinentalsokkel når det følger av folke-retten eller av overenskomst med en fremmedstat. I 2013 ble ansvaret for å ivareta petroleumslo-ven § 9-3 Beredskap mot bevisste anslag delegertfra Olje- og energidepartementet til Arbeids- ogsosialdepartementet (Petroleumstilsynet). Kapit-tel 9 i petroleumsloven stiller krav til sikkerhet ogberedskap, også mot tilsiktede handlinger, menIKT er ikke nevnt spesielt i petroleumsloven.

Olje- og gassindustrien har et funksjonsbasertregelverk innenfor helse, miljø og sikkerhet(HMS). Regelverket har lagt til grunn at selska-pene selv vurderer risiko, setter akseptkriterierog beslutter relevante tiltak. Dette gjøres gjennomrisiko- og beredskapsanalyser i de enkelte selska-pene. Bransjens egenutviklede standarder leggestil grunn for arbeidet.

Næringens retningslinjer

Operatørselskapene har et selvstendig ansvar ogen egeninteresse i å ivareta IKT-sikkerheten iegen virksomhet. Næringen har selv, gjennomNorsk olje og gass, utarbeidet spesifikke retnings-linjer for informasjonssikkerhet i IKT-baserte pro-sesskontroll-, sikkerhets- og støttesystemer (sistrevidert i 2009).3 Bakgrunnen for etableringen avretningslinjene var en dramatisk økning i antallvirusangrep, hendelser på norsk sokkel og ønsket

om å etablere et reaksjonsmønster tilpasset pro-sesskontrollsystemer og ikke bare «normal IT-drift». Fra 2014 henvises det til retningslinjene iinnretningsforskriften § 34 a.

Tilsyn

Siste års tilsynsrapporter på selskapsnivå er til-gjengelige på Petroleumstilsynets nettsider. Rap-portene fokuserer på HMS og sikkerhet i jobbutø-velse for ansatte. På teknisk side har Petroleums-tilsynet gjennomført tilsyn hos enkeltvirksomhe-ter innenfor for eksempel prosessintegritet ogbarrierer. Tidligere tilsyn med IKT-sikkerhet fra2007 har påvist mangler i barrierer mellom pro-sessnettverk og administrativt nett, mangler i IKT-sikkerhetskompetanse, mangelfull oppdatering avdokumentasjon og uklarheter rundt håndtering avfeil i kommunikasjonssystemer. Disse forholdeneer nå inkludert i retningslinjene til bransjen.Petroleumstilsynet gjennomfører systemtilsyn, oghar ikke spesialistkompetanse på teknisksystemevaluering av IKT-sikkerhet.


Olje- og gassektoren er utpekt som fortsatt særligutsatt for etterretningstrusler i Politiets sikker-hetstjenestes årlige trusselvurdering for 2015.Etterretningstjenestens rapport FOKUS 2014peker på cybertrusselen mot teknologi- og energi-virksomheter. Også Olje- og energidepartementetvurderer industrispionasje som en risiko det aktivtmå settes i verk forebyggende tiltak mot.

Det har vært en rekke hendelser mot olje- oggassektoren som har bidratt til å sette sikkerhetpå dagsordenen. I 2012 ble oljeselskapet SaudiAramco angrepet av et virus, og 30 000 datamaski-ner ble ødelagt. I 2013 skapte Shamoon-viruset nybekymring da det angrep prosesskontroll-systemer. I august 2014 gikk Nasjonal sikkerhet-smyndighet ut med et varsel til 300 virksomheter iolje- og energiselskaper. Det spesielle med dennesituasjonen var ifølge Norsk olje og gass omfan-get, antallet virksomheter som var angrepet, og at

2 Petroleumstilsynet (2011): Deepwater Horizon-ulykken –Vurderinger og anbefalinger for norsk petroleumsvirksomhet.

3 Retningslinje 104 Anbefalte retningslinjer krav til informa-sjonssikkerhetsnivå i IKT-baserte prosesskontroll-, sikkerhets-og støttesystemer, 110 Recommended guidelines for imple-mentation of information security in Process Control, Safetyand Support ICT systems during the engineering, procure-ment and commissioning phases, og retningslinje 123Recommended guidelines for classification of process control,safety and support ICT systems based on criticality.


det så ut til å være relativt avansert skadevare ved-lagt e-postene.

Trusselen mot bransjen har dermed eksisterten tid, og også internasjonalt er bransjen blitt klarover trusselen. En frykter innbrudd og integritets-angrep mot prosesstyringssystemene, og medøkende systemintegrasjon kan denne trusselenkomme til å øke. En undersøkelse blant 46 selska-per som opererer på norsk sokkel,4 viser at pro-sesstyringssystemene (SCADA-systemene) ope-rerer i et miljø som er utsatt for høy grad av trus-sel for blant annet hacking. Sammenkobling mel-lom SCADA-systemer og andre IKT-systemerover Internett øker risikoen for bevisste angrepog tilfeldige feil i prosesstyringssystemene. Seogså nærmere omtale av SCADA-problematikk ikapittel 13 «Energiforsyning» og kapittel 15«Vannforsyning».

En uoffisiell, internasjonal undersøkelse blantamerikanske oljeselskaper konkluderer med at60 prosent av selskapene ikke har en beredskaps-plan mot digitale sårbarheter.5 Det er en oppfat-ning om at dette også er representativt for selska-pene på norsk sokkel. Mens selskapene leggerstor vekt på beredskap for brann og eksplosjonermed mer, har mange av dem verken planer ellerrutiner for å håndtere en hendelse basert på digi-tale sårbarheter. Det er få av selskapene som haretablerte rutiner for å koble seg fra Internett ellersperre forbindelsen mellom selskapets IKT-nett-verk og selskapets produksjonsnettverk, og barenoen få aktører er tilknyttet VDI-systemet tilNasjonal sikkerhetsmyndighet.

Ved behov for melding om digitale trusler framyndighetene til bedriftene i olje- og gassektorenhar Petroleumstilsynet mulighet til å benyttenæringens eget nettverk dersom de ordinærekommunikasjonsløsningene ikke er tjenlige. Veden hendelse i 2014 sendte Nasjonal sikkerhet-smyndighet melding til Petroleumstilsynet, sombrukte kontaktnettet sitt til å varsle bedriftene.Petroleumstilsynet er etterpå blitt kritisert for atmeldingen ble gitt til feil personer, og at personersom burde blitt informert, ikke ble det. Det finnesingen formell prosedyre for melding om digitaletrusler fra sikkerhetsmyndighetene til selska-pene. Noen selskaper har etablert en egen direktedialog med sikkerhetsmyndighetene og blir fort-løpende oppdatert om trusselbildet gjennom den.

De store internasjonale selskapene blir oppdatertfra sine sentrale fagmiljøer. Det kan se ut som ommindre selskaper har en større utfordring når detgjelder å bli oppdatert om nye trusler.

Rapportering av hendelser

Hendelser og nesten-hendelser med alvorlig ska-depotensial skal rapporteres til Petroleumstilsy-net. Virksomhetene i olje- og gassvirksomhetenopplever stadig angrep på IKT-systemene sine.Petroleumstilsynet har ikke avdekket IKT-sårbar-heter som årsak til rapporterte hendelser. Varseltil bransjen har kommet fra NSM NorCERT og tildet enkelte selskapet.

Petroleumstilsynets regelverk krever varslingav «alvorlig svekking eller bortfall av sikkerhets-relaterte funksjoner eller barrierer, slik at innret-ningens eller landanleggets integritet er i fare».6

Grensen for når digitale hendelser skal rapporte-res, og for hva som skal rapporteres til Petrole-umstilsynet, kan være noe uklar. Det samme gjel-der koordinert innsamling av denne typen data.Uten en koordinert registrering har man begren-set mulighet til analyse av data og læring. Man-glende rapportering kan skyldes at uønskede digi-tale hendelser ikke er tydelig omtalt i forskrift oglov og dermed heller ikke vektlagt i tilsyn. Detkan også skyldes at bedriftene er redde foromdømmet sitt, eller det kan være et uttrykk forat bedriftene ikke anser disse truslene som såalvorlige at de kan få alvorlige konsekvenser forproduksjonen. Manglende åpenhet om og utveks-ling av erfarte digitale trusler gjør at samarbeideti sektoren ikke er optimalt. Både Petroleumstilsy-net og Norsk olje og gass har tatt initiativ til aktivi-teter for å få satt arbeidet med digitale trusler pådagsordenen.

Kapasiteter for deteksjon og hendelseshåndtering

Operatørselskapene har et selvstendig ansvar forå ivareta IKT-sikkerheten hos seg selv og på sinefelt. Oljedirektoratet har ingen operativ rolle i for-bindelse med hendelser i næringen. Dersom enIKT-hendelse påvirker og fører til stopp i produk-sjonen og i leveranser fra norsk sokkel, vil Oljedi-rektoratets beredskapsvakt bli varslet. I gitte situ-asjoner vil Oljedirektoratet varsle videre til eget

4 Johnsen, Stig Ole (2012): An Investigation of Resilience inComplex Socio-Technical Systems to Improve Safety and Con-tinuity in Integrated Operations. NTNU.

5 FOX IT (2015): Cyber security: 60 percent of oil and gascompanies do not have an Incident Response Plan in place.

6 Helse- og omsorgsdepartementet, Klima- og miljødeparte-mentet, Arbeids- og sosialdepartementet (2011): Forskriftom styring og opplysningsplikt i petroleumsvirksomheten ogpå enkelte landanlegg (styringsforskriften), § 29.


departement. Det er ikke etablert et fellesresponsmiljø for sektoren.

Det synes som om det er liten grad av myndig-hetsinitierte øvelser i håndtering av IKT-hendel-ser i sektoren eller sammen med andre sektorer.Oljedirektoratet har imidlertid deltatt i øvelser ini-tiert av eget departement, men da med vekt påleveransesikkerhet fra norsk sokkel.

14.5 Digitale sårbarheter i olje- og gassektoren

Industrielle automatiserings-, kontroll- og sikker-hetssystemer som benyttes i olje- og gassektoren,er i stor grad digitalisert og avhengige av digitalteknologi.

Det er gjennomført noen myndighetstilsynhos enkeltvirksomheter innenfor olje- og gassek-toren når det gjelder IKT-sikkerhet, og Petrole-umstilsynet har bedt virksomhetene vurdere sinegen IKT-sikkerhet opp mot retningslinjene tilNorsk olje og gass. De samlede resultatene viserat både landanleggene og produksjonsinnretnin-gene har relativt gode systemer og rutiner forIKT-sikkerhet slik de vurderer situasjonen selv,mens riggnæringen kommer noe svakere ut.Dette gjelder spesielt på kriterier som at brukernemå ha tilstrekkelig forståelse for sikkerhetsrisikoog akseptabel bruk av systemene, og planer forgjenopprettelse etter at mulige hendelser har inn-truffet.

Tidligere ble det benyttet isolerte og proprie-tære nett mellom prosessutstyr og kontroll-systemer. Behov for overføring av produksjons-data til informasjonssystemer, samt fjernvedlike-hold, gjør at fullstendig separasjon ikke lenger erpraktisk mulig. Den økende bruken av fjernopera-sjon fra naboplattformer eller land kan innebærebruk av felles kommunikasjonssystemer, og pro-duksjonsutstyr kan dermed være eksponert fornettverksrelaterte sårbarheter.

14.5.1 Verdikjede

Den norske olje- og gassvirksomheten assosieresofte med de store produksjonsinstallasjonene som

henter hydrokarboner opp fra grunnen, de storelandbaserte prosessanleggene som produsererolje- og gassprodukter, og de lange rørledningenepå havbunnen som transporterer olje og gass tilEuropa. I olje- og gassvirksomhetens verdikjedeinngår også sentrale ledd som salg, markedsfø-ring, foredling, transport, forskning, myndighets-rapportering med mer. I virksomheten skiller enmellom oppstrømsaktiviteter som de aktivitetersom gjøres for å bringe borestrøm opp fra grun-nen og prosessere denne, og nedstrømsaktivitetersom aktiviteter for å bringe olje- og gassprodukterut til forbrukerne. I alle ledd i både opp- og ned-strømsaktiviteter er informasjonssystemer vitalefor alle operasjoner som blir utført.

I de videre diskusjonene i dette kapittelet prio-riteres den digitale sårbarheten i de fire leddene iverdikjeden der olje- og gassvirksomheten er spe-siell i forhold til annen industri. Det er den digitalesårbarheten i letevirksomhet, under feltutvikling, iproduksjonsfasen og i transport av olje og gass tilEuropa i de store rørledningssystemene. Anleg-get på Mongstad er vesentlig i denne verdikjeden.

14.5.2 Letevirksomhet

Letefasen er en informasjonsintensiv fase. Formå-let med leteaktivitetene er å finne nye forekomsterav hydrokarboner som kan utvinnes. Enormemengder data blir samlet inn. Disse representererstore verdier for olje- og gasselskapene blantannet for at de skal kunne vurdere verdi og lønn-somhet i mulige nye utbyggingsprosjekter. Kunn-skap om verdien av nye felt kan påvirke børsver-dien for selskapene. Viktige beslutninger ominvesteringer og samarbeidsforhold tas basert påinformasjon om størrelser og hvilken type sam-mensetning (olje, gass, kondensat) man finner påfeltet.

Den digitale sårbarheten til disse dataene blirprimært relatert til beskyttelse mot tilgang til,sletting eller manipulasjon av dataene. Datastruk-turene er sammensatte, og man trenger spesialist-kompetanse for å kunne tolke og forstå dataene.Et strengt regime for informasjonsforvaltning ernødvendig for å beskytte disse dataene. Det erikke kjent at det har vært noen hendelser relatert

Figur 14.1 Verdikjede olje og gass.

Leting Feltutvikling Produksjon Transport


til digital sårbarhet med denne typen data. Det vir-ker som om bedriftene er bevisste på verdien avsin lete- og utvinningsrelaterte informasjon ogbeskytter denne godt.

Dokumenter med sammendrag og konklusjo-ner fra letevirksomhet vil være av meget storinteresse for utenforstående, og kan være et målfor digital spionasje. Digitale sårbarheter som kanføre til at slik informasjon kommer på avveie,består primært i manglende oppmerksomhet ogopplæring hos de ansatte, i tillegg til manglenderutiner for klassifisering og behandling av sensitivinformasjon.

Databasen Diskos er sentral i norsk olje- oggassvirksomhet. Diskos er en nasjonal lagrings-base for lete- og utvinningsrelatert informasjon.Databasen er opprettet og utformet av Oljedirek-toratet og oljeselskapene som er representert pånorsk sokkel. Den inneholder til dels konfidensi-ell informasjon, og består hovedsakelig av brønn-og seismikkdata for norsk kontinentalsokkel.Mens oljeselskapene ikke har tilgang til hver-andres data, har ansatte i offentlig virksomhet sliktilgang. Diskos styres av Oljedirektoratet og inne-holder nesten alle kartdata som finnes for norsksokkel. Riksrevisjonen påpeker at dataene kan ha

stor betydning for konkurransen mellom oljesel-skapene og være et mål for dataangrep fra andrestater.7

Sanntids IKT-systemer er vitale under bore-virksomheten. Storulykken på Deepwater Hori-zon (DwH) skjedde under boring av en brønn påMacondo-feltet i Mexicogolfen. For å illustrerehvordan digitale sårbarheter på en boreplattformkan bidra til ulykker, og hva konsekvensene av enslik ulykke kan bli, er hendelsesforløpet som førtetil ulykken gjengitt i boks 14.1.

14.5.3 Feltutvikling

Utvikling og utbygging av nye felt er en investe-ringsintensiv fase. Mange aktører er involvert,som produsenter av hele eller store deler av instal-lasjonene, utstyrsleverandører og tjenesteleveran-dører. Konkurransen er hard, og et tilslag på et til-bud kan være avgjørende for et selskap. Olje- oggasselskapene har velfungerende, velprøvde ogsikre anbuds- og evalueringsprosesser. Strenge

Boks 14.1 Deepwater Horizon-ulykken1

Den 20. april 2010 skjedde en utblåsing, eksplo-sjon og brann om bord på den flyttbare innret-ningen Deepwater Horizon (DwH). Elleve av desom var om bord da ulykken inntraff, omkom,og flere fikk alvorlige skader. Mer enn fire milli-oner fat olje strømmet ukontrollert ut av brøn-nen før lekkasjen ble stoppet.

Brønnen var designet slik at den senereskulle kunne brukes som produksjonsbrønn.Under boreprosessen traff man på høyere trykkenn man hadde forventet, noe som førte tilendringer i det planlagte boreprogrammet. Enmåtte også gjøre endringer på grunn av opera-sjonelle problemer som oppsto underveis. DwHvar utstyrt med moderne, databaserte sikker-hetssystemer relatert til overvåking av brønn,avstenging av brønn, frakobling av rigg, kraftfor-syning, deteksjon og varsling av mannskap.Under ulykken sviktet alle disse informasjons-systemene helt eller delvis. Det ble i den påføl-gende granskingen påvist at det var kjent at flereav informasjonssystemene hadde feil og man-gler, og at dette var blitt ignorert og akseptert.Det var flere kjente programvarefeil på riggen.

Et nytt system var bestilt, men feil i det nye ope-rativsystemet gjorde at gammel programvareikke lot seg kjøre på det nye operativsystemet.Noen av riggens alarmsystemer, inkludert rig-gens generelle alarmsystemer, var slått av. Dettemedførte at selv om sensorer på riggen regis-trerte høye gassnivåer, giftig gass og brann, ogoverførte disse signalene til brann- og gassvars-lingssystemet, ble ingen alarm aktivert.Blowout-preventeren (BOP) stengte ikke avbrønnen, slik den skulle gjøre. Det er uklart omden ble skadet under ulykken, eller om den alle-rede var i ustand. Det var gjort observasjonerom lekkasjer fra BOP-ens hydrauliske kontroll-system, uten at man hadde gjort noe med dette.Myndighetene hadde krevd en resertifisering avBOP-en, noe som ville gjøre det nødvendig meden nedstenging i 90 dager, men dette var ikkeutført.

1 Vinnem, J.E., Utne, I.B., Skogdalen, J.E. (2011): LookingBack and Forward: Could Safety Indicators Have GivenEarly Warnings about the Deepwater Horizon Accident?Deepwater Horizon Study Group. Working Paper – Jan-2011.

7 Riksrevisjonen (2013): Riksrevisjonens rapport om denårlige revisjon og kontroll for budsjettåret 2013, Dokument 1(2014-2015).


regler sørger for at informasjon om tilbud fra kon-kurrentene beskyttes, er tilgjengelig for kun etfåtall personer og bare blir benyttet til det som erformålet. Denne typen informasjon kan være etmål for digital spionasje.

Gjennom forskning, erfaring og samarbeid ibransjen har norsk industri bygd opp en bredekspertise på feltutvikling av olje- og gassinstalla-sjoner til havs. Dette er kunnskap som gir bran-sjen konkurransefordeler ved både norske oginternasjonale feltutbyggingsprosjekter. Slikkunnskap og dokumentasjon er ettertraktet og måbeskyttes.

I byggefasen designes og dokumenteresinstallasjonene. Dokumentasjon om datanett,adresser med mer utveksles mellom leverandø-rene og oljeselskapet. Slik informasjon vil være avstor verdi for trusselaktører.

Digitale sårbarheter som kan føre til at slikinformasjon kommer på avveie, består primært imanglende oppmerksomhet og opplæring hos deansatte, manglende rutiner for klassifisering ogbehandling av sensitiv informasjon og manglendeherding og oppdatering av programvare.

Utstyr for prosesskontroll tilpasses og utviklesi byggefasen. Det benyttes standardkomponentersom for eksempel PC-er med Microsoft Windowseller Linux. Det innebærer at kjente sårbarheterfor disse kommersielle produktene også vil væretil stede. Programvare som utvikles, er i begren-set grad designet, utviklet og testet med tanke pådigitale sårbarheter.

Underleverandører spiller en viktig rolle i for-bindelse med design og produksjon av nye instal-lasjoner. Det er stor bekymring for at manglendesikkerhetskultur hos underleverandører fører tilat digitale sårbarheter etableres i feltutviklingsfa-sen og blir med prosjektene over i produksjonsfa-sen.

Konsekvenser av uønskede hendelser grunnetdigitale sårbarheter i feltutviklingsfasen er pri-mært av økonomisk art for næringslivet.

14.5.4 Produksjon

Tidligere ble det benyttet proprietære nettverkmellom prosessutstyr og kontroll- og sikkerhets-systemer, mens det i dag ofte benyttes nettverkbasert på Internett-teknologi (TCP/IP). Industri-elle automatiserings- og kontrollsystemer var tidli-gere fysisk adskilt fra tradisjonelle informasjons-systemer og åpne nett. Overføring av produk-sjonsdata til informasjonssystemer og fjernvedli-kehold gjør at en slik fullstendig separasjon i dagikke er praktisk mulig. Dette betyr at produk-

sjonsutstyr kan være mer eksponert for nettrela-terte sårbarheter. Dersom en angriper brytergjennom forsvarsmekanismene til kontroll- ellersikkerhetssystemet, kan vedkommende blantannet forstyrre kontrollsystemets funksjonalitetved å forsinke eller blokkere flyten av informasjoneller gjøre uautoriserte endringer i kontrollsys-temet.

En amerikansk studie fra 2011 om prosesskon-trollsystemer viser at det er flere digitale sårbar-heter i slike systemer. Sårbarhetene er rapportertinn til Common Weakness Enumeration-registeret(CWE), der produsenter, forskere og leverandø-rer kan se de siste oppdagede sårbarhetene ogarbeide med å lukke dem.8

Personell som opererer installasjonene ogbemanner kontrollrom, kan påføre installasjonenestor skade. Spredning av ondsinnet kode oppståroftest på grunn av menneskelige feil. Det åpnesvedlegg i e-post, det settes inn minnepinner, detlades mobiltelefoner, bærbare datamaskinerkobles til kritiske nett, og så videre. Mobiltelefo-ner kan også lett etablere Internett-forbindelser.Brukere lures til å oppgi passord, med mer. Ved ålegge operasjonsrom på land kan oppmerksomhe-ten bli mindre og gi muligheter for flere slike sår-barheter. Mangelfull avlåsing og merking av rom,skap og kabling bidrar også til slike sårbarheter.Utro tjenere med omfattende rettigheter kanpåføre virksomheten stor skade.

Fjernoperasjon fra naboplattformer eller fraland kan innebære bruk av felles kommunika-sjonsløsninger. For å få redundante nettløsningerbenyttes ofte felles, delte datanett. Slike nett kanvære sårbare for avlytting, inntrenging og mang-lende tilgjengelighet, og kommunikasjonsenheterhar operatørgrensesnitt som er sårbare. Et tjenes-tenektangrep på et lite beskyttet segment (foreksempel brukt til underholdningsformål) i et deltnettverk kan medføre at kritiske segmenter blirberørt. Ettersom datanettet går via en rekke platt-former, vil strømstans på én plattform kunneberøre nettforbindelsen fra andre plattformer.

Datanett i Nordsjøen er primært basert påfiberoptisk kabling på havbunnen. Det har vært fåskader på denne infrastrukturen, men i områdermed grunt vann (15–20 meter) og mye havstrømhar det oppstått 5–6 skader i løpet av de siste 15årene.

Kontrollsystemene blir anskaffet og drevet igrenselandet mellom to kulturer – informasjons-

8 Office of Electricity Delievery and Energy Reliability(2011): Vulnerability analysis of energy delivery control sys-tems.


teknologi (IT) og operasjonsteknologi (OT). Man-glende forståelse mellom disse miljøene kan med-føre digitale sårbarheter. Eksempelvis prioriteresnormalt konfidensialitet som den viktigste egen-skapen i et IT-miljø, mens tilgjengelighet priorite-res høyest i et OT-miljø. Løpende oppdatering avprogramvare kan aksepteres i et IT-miljø, menkreve mer omfattende testing i et OT-miljø.

Integrerte operasjoner bidrar til integrasjon avorganisasjonene som jobber på feltene og på land,ved at personer og team knyttes sammen i avan-serte (virtuelle) kommunikasjonsrom. Samtidigkan nye samarbeidsrelasjoner internt i oljeselska-pene og mellom leverandørene og oljeselskapenebli skapt. Integrerte operasjoner er et bredt begrep,og selskapene legger gjerne noe ulikt innhold ibegrepet.

Lavere oljepris og reduksjon i produksjonenvil kunne øke incentivet for å effektivisere driftenog ta i bruk integrerte operasjoner. Integrerteoperasjoner kan gi konsekvenser for kommunika-sjon og samhandling, innføring av ny teknologi ogendret beslutningstaking og HMS-ledelse.9 Nåroppgaver flyttes til land og man blir avhengig av atkommunikasjonsnettene er oppe, kan dette endrerisikobildet.

Eldre anlegg representerer en større digitalsårbarhet enn nye. Kontrollsystemene var isolertog ikke tenkt oppkoblet i nettverk og integrertmed andre IKT-systemer. Disse kontrollsys-temene inneholder ikke det samme nivået av inne-bygd sikkerhet som nyere systemer.

Olje- og gassinstallasjoner benytter i storutstrekning underleverandører med eget utstyrog systemer i komplette pakker i form av modu-ler/«containere». Dette er ikke minst vanlig i til-knytning til boreoperasjoner. Slike moduler skalknyttes til strøm og nett. Manglende dokumenta-sjon gjør det vanskelig å kontrollere hvilke digi-tale sårbarheter hver enkelt av disse modulenemedfører.

Konsekvensene av uønskede hendelser basertpå digitale sårbarheter i produksjonsfasen vil i før-ste rekke være av økonomisk art. Når produksjo-nen må stenges, innebærer det tapte inntekter fornæringslivet, og samfunnet får reduserte skatterog avgifter. Uønskede hendelser vil få betydningfor selskapenes omdømme, noe som igjen kanpåvirke Norges omdømme som en stabil produ-sent og leverandør av energi. Dersom sabotasje-og terrororganisasjoner lykkes i å kontrollere

vitalt produksjonsutstyr, kan konsekvensen blimiljøødeleggelse og tap av menneskeliv. Olje- oggassektoren er spesielt utsatt fordi det behandlesstore mengder brann- og eksplosjonsfarlig materi-ale, og fordi ansatte bor på installasjonene.

14.5.5 Transport

Norge er en viktig leverandør av olje og gass tilEuropa. Olje og gass blir i hovedsak levert gjen-nom rørledninger, men også med skip. RapportenThe partnership between the Norwegian Oil & GasIndustry and the EU countries,10 viser hvor viktigenorske gassleveranser til Europa er, og også hvorviktige petroleumsaktivitetene på norsk sokkel erfor næringslivet i Europa.

Rørledninger er eksponert for sabotasje ogulykker, siden de i store områder ligger ubeskyt-tet. I tillegg påvirker automatiserings-, kontroll- ogsikkerhetssystemer selve flyten av hydrokarboneri rørene. Disse systemene kan også være sårbare.Rørledningssystemene inkluderer stigerør, pro-sessanlegg og mottaksterminaler.

Ifølge kravene til beredskap i petroleumslovenskal Gassco til enhver tid opprettholde en effektivberedskap med sikte på å møte farer og ulykkessi-tuasjoner. Gasscos beredskapsorganisasjon byg-ger på et nært samarbeid med Statoil og andre tje-nesteleverandører, myndigheter og nødetater.

14.5.6 Avhengigheter av andre samfunnsfunksjoner

For å redusere utslipp av CO2 fra kraftproduksjonpå oljeinstallasjonene baserer nye feltutbyggingerseg ofte på kraftforsyning fra land (elektrifisering).De fleste av disse installasjonene må stenge pro-duksjonen i tilfelle brudd på kraftforsyningen fraland. Det har over lengre tid vært en økende opp-merksomhet rettet mot digitale sårbarheter i distri-busjonssystemer for elektrisk kraft. Slike distribu-sjonssystemer er komplekse nettstrukturer medstor avhengighet av styring- og kontrollsystemer.

Store avstander og store havdyp gjør at det erkostbart å etablere datanett til oljeinstallasjoner pånorsk sokkel. Fiberoptiske kabler på havbunnenkan være utsatt for skade fra byggevirksomhet,fiskeriaktivitet og erosjon. Det kan være utfor-drende å etablere redundante og helt uavhengigenettverksløsninger. Manglende kommunikasjonkan bety umiddelbar nedstenging av produksjonpå plattformer som opereres fra land eller fra

9 Oljeindustriens landsforening (nå Norsk olje og gass)(2007): HMS- og Integrerte operasjoner: Forbedringsmulighe-ter og nødvendige tiltak.

10 ECON (2014): The partnership between the Norwegian Oil& Gas Industry and the EU countries.


naboplattformer. Dette er også kritisk for rørled-ninger, der blant annet trykk og mengde måkunne reguleres og overvåkes i hele systemet.

Avhengighet av kraftforsyning

Kraftproduksjon på land som alternativ til kraftpro-duksjon på olje- og gassinstallasjonene er et miljø-tiltak som nå innføres på en rekke installasjoner. Ihenhold til Innstilling nr. 114 (1995–1996) fra Stor-tingets energi- og miljøkomite besluttet Stortinget(St.prp. nr. 65 (1996–97)) at «ved alle nye feltut-bygginger skal det legges fram en oversikt overenergimengden og kostnadene ved å elektrifisereinstallasjonen framfor å bruke gassturbiner».

Martin Linge blir det sjuende feltet på norsksokkel som får strømtilførsel fra land. Til nå er til-svarende løsning etablert for feltene Gjøa, Valhall,Ormen Lange, Troll A, Snøhvit og Goliat. Stortin-get har besluttet at Johan Sverdrup-feltet skal fådekket kraftbehovet sitt fra land, og at felteneGina Krog, Ivar Aasen og Edvard Grieg senestinnen 2022 skal forsynes med kraft fra land.11

Det store energibehovet til en olje- og gassin-stallasjon stiller krav til elektrisitetsproduksjon oginfrastruktur på land og vil ha betydning for den

innenlandske kraftbalansen. Utfall i leveranse avelektrisk kraft vil føre til at produksjonen på instal-lasjonen stopper.

Sikring av systemene som styrer norsk kraft-forsyning, er regulert i forskrift om beredskap ikraftforsyningen. De elektriske anleggene somforsyner landanlegg og petroleumsinstallasjo-nene, er ikke omfattet av disse bestemmelsene,men er regulert av Petroleumstilsynets forskrifter.

Avhengighet av elektronisk kommunikasjon

Datakommunikasjon til oljeinstallasjoner på konti-nentalsokkelen er primært basert på fiberoptiskkabel, men i noen grad også radiolinje eller satel-littkommunikasjon. Firmaet Tampnet operererdet største offshore kommunikasjonsnettverket iNordsjøen og betjener de fleste olje- og gassinstal-lasjoner i Nordsjøen ved fiberkabler og punkt-til-punkt radiolinjeforbindelser. Tampnet har dermeden unik rolle som leverandør av infrastruktur tilnorsk olje- og gassvirksomhet. De kan tilby redun-dans ved å kombinere linjeforbindelsene, og redu-serer dermed sårbarheten for utfall. Tampnetshovedprodukt er stabil og pålitelig fysisk kommu-nikasjon mellom to punkter. Sikring av trafikkenpå nettverket og bruk av nettverket er brukerenselv ansvarlig for.11 Norges vassdrags- og energidirektorat (2015): Kraft fra

land til Johan Sverdrup-feltet.

Boks 14.2 Digital sabotasje på rørledning i Tyrkia

Rørledningen fra Baku i Aserbaidsjan går viaTbilisi i Georgia til Ceyhan i Tyrkia. Statoil er,sammen med ti andre foretak, deleier i rørled-ningen. Rørledningen er utstyrt med sensorerfor hver mil. Trykk, oljeflyt og andre kritiskeindikatorer blir sendt til et sentralt kontrollromgjennom et trådløst overvåkingssystem. Kame-raer overvåker hele den 1 099 mil lange rørled-ningen. Eksplosjonen den 7. august 2008 akti-verte ikke et eneste feilsignal. Tyrkiske myndig-heter hevder at en feilfunksjon forårsaketeksplosjonen, kurdiske separatister (PKK) hev-der at de står bak. Hovedeieren, British Petro-leum, hadde rørledningen operativ igjen ettertre uker.

Det har senere vist seg at 60 timer med over-våkingsvideoer var slettet av hackere. Et infra-rødt overvåkingskamera som ikke var koblet tildet samme nettverket, viser to menn med bær-bare datamaskiner som oppholdt seg i nærhetenav rørledningen noen dager før eksplosjonen.

Senere undersøkelser har avslørt at hackerneutnyttet et svakt punkt i systemet, selve overvå-kingskameraene. Kameraenes kommunika-sjonsprogramvare hadde sårbarheter som hac-kerne brukte til å få tilgang til og komme seginn i det interne datanettverket. Inne i nettverketfant hackerne en maskin som benyttet etWindows operativsystem, og som var ansvarligfor alarmstyringsnettverket. De kunne plassereegen kode her som gjorde det mulig å snike segtilbake når de måtte ønske. Det sentrale elemen-tet i angrepet var å få kontroll over styringssys-temet, slik at de kunne øke trykket i rørlednin-gen uten at alarmer ble utløst. Angripernekunne infiltrere programvaren på flere ventilsta-sjoner uten å trenge inn i hovedkontrollsentra-len. De kunne øke trykket slik at det forårsaketen eksplosjon, og de kunne manipulere overvå-kingssystemene slik at det ikke ble sendt mel-dinger om feilfunksjonering og lekkasjer til kon-trollrommet.


En av de viktigste endringene som nå pågår ipetroleumsvirksomheten, er relatert til bruk avIKT. IKT-baserte løsninger og samhandlingsmøn-stre innen leting, reservoarstyring, boring, drift,vedlikehold og logistikk er i fokus. Nye driftsfor-mer skaper nye risikomomenter. Personell påland overvåker prosesser på plattformer og rig-ger, og de mottar mye informasjon. Økt utnyttingav IKT kan lede til økt avhengighet og økt sårbar-het. Den digitale sårbarheten vil øke ved økt auto-matisering og fjerndrift. Med fjerndrift gjør manseg helt avhengig av en elektronisk kommunika-sjonsinfrastruktur og pålitelige prosesstyrings- ogIKT-systemer. Her er det mange utfordringer,ikke minst når det gjelder informasjonssikkerhet,og da spesielt tilgjengelighet og integritet. Digita-liseringen innebærer bruk av videokonferanserog video-overvåking (CCTV), blant annet i forbin-delse med drillingoperasjoner og i forbindelsemed overvåking av helse, miljø og sikkerhet.Trenden er at gamle analoge systemer blir inte-grert med digitale systemer, og at kommunika-sjon går over IP.

Den teknologiske utviklingen har også førtmed seg økt bruk av fjernstyrte undervannsbåter.Mer enn halvparten av norsk olje- og gassproduk-sjon skjer ved hjelp av undervannsbrønner, ogdenne andelen blir stadig større. Disse blir ofteoperert fra såkalte flerbruksfartøyer, som vanlig-vis er skip, lekter eller halvt nedsenkbare innret-ninger. Fartøyene kan være utstyrt for konstruk-sjon og vedlikehold av faste installasjoner, haboligkapasitet, tilby tjenester som lagerplass,vann-, trykkluft- og elektrisitetsforsyning, kontor-plass, kommunikasjonssentral og landingsplassfor helikoptre. Personellet på flerbruksfartøy kanbestå av mange faggrupper. På skipene etterspørde datanettverk og større båndbredde. Det erflere utganger til mobilnettet. Hvis ikke det er tilstede, går kommunikasjonen via satellitt. Mann-skapet kan bruke ulike simkort, ett til sjøs og ett iland. MCP, som leverer mobiltjenester offshore,ser på kompresjon av mobiltrafikk for å kunnedekke viktig datatrafikk.

Avhengighet av satellittbaserte tjenester

Det er stor skipsaktivitet i tilknytning til olje- oggassvirksomheten. Maritim navigasjon er i dagbasert på en rekke typer utstyr som kan brukesuavhengig av hverandre. Mye navigasjonsrelatertutstyr ombord på et fartøy er tilkoblet GPS ogbruker posisjonsinformasjon fra GPS for utstyretssekundære funksjoner. Det gjelder blant annet

radar og gyrokompass. Integrasjon av systemerom bord og hvordan disse er avhengige av hver-andre, kan variere fra skip til skip. Ved plutseligtap av GPS-signaler vil denne integrasjonen avsystemer i mange tilfeller skape et komplekstalarmbilde og et behov hos navigatøren for åskaffe seg oversikt over hvordan ulike typer navi-gasjonsutstyr er påvirket, og hvordan ulike navi-gasjonshjelpemidler kan benyttes under denvidere navigasjonen.12

En rekke fartøy holder seg tett inntil oljeinstal-lasjonene ved hjelp av dynamiske posisjonerings-systemer (DP) som er avhengige av posisjonssig-naler fra satellitt. Et DP-system er et styringssys-tem som automatisk holder skipet i en posisjoneller på en programmert rute, samt holder skipetsretning konstant. Dette skjer ved hjelp av aktivstyring av propeller, thrustere og ror. Et felles-trekk ved DP-systemer er at de anvender satellitt-navigasjon (GPS og GLONASS) som posisjonsre-feransesystem for nøyaktig posisjonering. Gyro-kompass, vind-, strøm- og bølgesensorer, akus-tiske systemer, treghetsnavigasjon, mikrobølge-systemer og laser inngår som støtte- ogreservesystemer. Data fra sensorsystemene over-føres kontinuerlig til datamaskiner som beregnernødvendig pådrag for å posisjonere fartøyet medtilstrekkelig nøyaktighet i forhold til kravene forspesifikke operasjoner.13

En kollisjon mellom en plattform og foreksempel et forsyningsfartøy eller en flytendeboligplattform kan få alvorlige konsekvenser. Påsamme måte kan feil i posisjoneringssystemerføre til alvorlige hendelser i forbindelse med dyk-keaktivitet. Antall fartøyer på kollisjonskurs erblitt sterkt redusert de siste årene, blant annet pågrunn av utvidet radarovervåking av installasjo-nene.

14.5.7 Kompetanse og sikkerhetskultur

Forståelsen for den digitale sårbarheten i virk-somheten og evnen til å innføre tilstrekkelige til-tak for å beskytte seg mot digitale trusler er rela-tert til kulturen i virksomheten. En god kultur forå ta de digitale truslene på alvor er avhengig avden generelle sikkerhetskulturen i sektoren ogvilje til å bruke ressurser på adekvate og tilstrek-kelige tiltak. Petroleumstilsynet sier i sin


13 Ibid.


hovedrapport14 etter gjennomgangen av DwH-ulykken blant annet:

«Sikkerhetskulturen i Olje- og Gassnæringenhar en sammenheng med kostnadskutt, utsattvedlikehold og manglende investeringer i sik-kerhetssystemer. Dette er et ledelsesansvar. Istedet for å ta inn over seg usikkerheten aktø-rene står overfor i forkant av en uventet hen-delse, klandrer vi dem for at de ikke på forhåndskjønte det vi ser så tydelig i ettertid. I stedetfor å lære noe om hvor stor usikkerhet vi stårovenfor i beslutningene vi fatter, blir vi etterpå-kloke. Igjen blir konsekvensen at vi undervur-derer behovet for robuste beslutninger fordi vilærer oss å undervurdere usikkerhet om frem-tiden.»

Granskningsrapporten etter terrorangrepet motStatoils gassanlegg i In Amenas i 2013 viste blantannet til at arbeid med sikkerhet ikke hadde fåttlike stor oppmerksomhet som det tradisjonelleHMS-arbeidet. Rapporten inneholdt flere anbefa-linger og pekte blant annet på viktigheten av ådefinere en ambisjon for selskapets sikkerhetsar-beid, og at sikkerhet måtte være en integrert delav virksomheten gjennom en helhetlig sikkerhets-tilnærming.15

Fagmiljøene innen IKT-sikkerhet og prosesser adskilte, noe som er en utfordring for samhand-lingen og helheten i sikkerhetsarbeidet. Dersomen stopper en prosess i automasjonsverdenen, vildet kunne gi større skade enn selve hendelsen.Tradisjonelt har IKT-sikkerhet vært konsentrertom kontorstøttesystemer, mens prosessikkerhetomhandler hydrokarboner, høyt trykk og fysiskeog mekaniske prosesser. I en doktorgradsavhand-ling fra 2012 pekes det på forutsetninger for tryggog sikker fjerndrift og fjernstøtte. Blant dissefremheves god design av arbeidsprosesser ogsystemer, samspill i distribuerte team, stabilitet ogkvalitet i kommunikasjon og systemer, sikker-til-stands-prosedyre og en proaktiv ledelse.16


Investeringsviljen til tiltak for å forebygge digitaletrusler i olje- og gassvirksomheten på norsk sok-kel vil bli utfordret i nedgangstider. Viljen til åinvestere i sikringstiltak i et område der man sålangt ikke har hatt alvorlige konsekvenser av hen-delser, vil bli satt på prøve.

Forskning og utvikling pågår for å bringe fremløsninger for å navigere, analysere og kombinerestore datamengder. Dette skaper ikke bare mulig-heter for olje- og gassvirksomheten, men også nyetrusler. Intelligente enheter som kan motta kon-trollsignaler utenfra, kan manipuleres hvis ikke til-gangen beskyttes godt nok. Ved å analysere storedatamengder kan man avdekke mønstre somavslører rutiner i anvendelse, bruksmønster, svak-heter og mangler i teknologi, tilstand på utstyr, også videre.

Stadig smartere og flere sensorer overvåkerog kontrollerer de fysiske prosessene. Nye forret-ningsmodeller der leverandørene selv får ansvarfor å samle inn, overvåke og forbedre eget utstyr,diskuteres i sektoren. Dette vil gjøre det nødven-dig at leverandørene får bedre tilgang til sensor-data og innsamlet historikk, samt mulighet til åoppdatere programvaren sin. Flere aktører medtilgang til kritiske produksjonssystemer vil økeeksponeringen for inntrenging av skadelig pro-gramvare.

Mange av innretningene på norsk kontinental-sokkel er designet for en levetid på mellom 15 og25 år, og en rekke av disse har fått samtykke tilforlenget levetid. Det betyr at mye av utstyret ogprogramvaren er utdatert. Se ytterligere omtale ipunkt 5.6 «Teknologiarven».

Digitaliseringen av sektoren pågår kontinuer-lig. Tingenes Internett vil føre med seg flere enhe-ter med digitale sårbarheter. Mengden av datasom skal transporteres, øker, og standard IKT-utstyr vil i større grad være integrert med de spe-sialiserte styresystemene.


Det er utvalgets oppfatning at dagens sikkerhets-og tilsynsregime gitt med hjemmel i petrole-umsloven er for svakt med tanke på den viktighe-ten anlegg på norsk sokkel har for norsk økono-misk bæreevne og for Norges internasjonalebetydning og omdømme som olje og gass-leveran-dør. IKT-sikkerhetsnivået er i dag bestemt avbransjen selv gjennom egenutviklede standarder

14 Petroleumstilsynet (2011): Deepwater Horizon-ulykken –Vurderinger og anbefalinger for norsk petroleumsvirksomhet.

15 Granskningsgruppe (2013): Angrepet mot In Amenas – Rap-port fra granskningen av terrorangrepet mot In Amenas.Utarbeidet for styret i Statoil ASA.

16 Johnsen, Stig Ole (2012): An Investigation of Resilience inComplex Socio-Technical Systems to Improve Safety and Con-tinuity in Integrated Operations. NTNU.


basert på ISO-standardene for sikkerhetsledelse. Isektoren ser man et behov for å oppdatere disseretningslinjene. I revisjonsarbeidet som pågår, erPetroleumstilsynet ikke invitert med. Utvalget serat denne modellen gir et sterkt eierskap for bran-sjen. Den frakoblede myndighetsrollen er uheldigmed tanke på de samfunnshensynene som rentbedriftsøkonomisk styring ikke ivaretar. Uøn-skede hendelser i digitale systemer på norsk sok-kel, som i neste omgang kan gi utslag i fysiskskade på anlegg, jf. Tyrkia-hendelsen og Stuxnet,kan få store konsekvenser, ikke bare for Norge,men også for Norges viktige kunder i utlandet. Iytterste konsekvens får alvorlig svikt i leveran-sene konsekvenser for land som importerer storedeler av sin gass og olje fra Norge. Utvalgetmener at anlegg på norsk sokkel har betydningfor vitale samfunnsinteresser og rikets sikkerhet,og at det ikke kan utelukkes at alvorlige hendelserkan inntreffe i fremtiden. Dette taler for en revi-sjon av sikkerhets- og tilsynsregimet sektoren hari dag. Utvalget anbefaler følgende:

14.7.1 Overføre sikkerhetstradisjonen innen HMS til det digitale området

Olje- og gassektoren har en lang sikkerhetstradi-sjon, en sterk sikkerhetskultur og høy kompe-tanse når det gjelder HMS. Selskapene har selvbygd ut infrastrukturen som er på norsk sokkel,inklusiv kommunikasjonsinfrastruktur. Arbeidetmed IKT-sikkerhet er også så langt drevet avbransjen selv og Norsk olje og gass, samt gjen-nom initiativer til samarbeid som den enkelte virk-somhet tar overfor Nasjonal sikkerhetsmyndighetog andre sikkerhetsvirksomheter. Bransjen selvhar tatt initiativ for bedre IKT-sikkerhet ogutviklet en felles standard for sikkerhetsstyring,samt etablert samarbeid innen forebyggende sik-kerhet.

Det funksjonelle regelverket plasserer et stortansvar på virksomhetene, som daglig oppleverdigitale trusler. For å redusere risiko implemente-rer selskapene barrierer, dels for å hindre at enuønsket hendelse skjer, dels for å redusere konse-kvensene av en uønsket hendelse som har inntruf-fet. Det har vært økende oppmerksomhet rundtbarrierer som hindrer en uønsket hendelse, menkvaliteten på disse barrierene er i liten grad testetog verifisert. Utvalget mener at bransjen bør videre-utvikle den gode sikkerhetstradisjonen innen HMS,og overføre denne tradisjonen til det digitale områ-det. Utvalget vil her henvise til arbeidet som gjøres iEU med hensyn til personvern og IKT-sikkerhet.

14.7.2 Verdivurdere sektorens anlegg og IKT-systemer, og etablere regelverk for digitale sårbarheter

Sikkerhetsloven og dens virkeområde er underrevisjon. I påvente av ny sikkerhetslovgivning ogen eventuell implementering av NIS-direktivet fraEU bør krav til IKT-sikkerhet gjøres tydelig i for-skrifter. Kapittel 9 i petroleumsloven stiller krav tilsikkerhet. I 2013 fikk Petroleumstilsynet ogsåansvar for sikring og beredskap mot bevissteanslag, slik det fremgår av petroleumsloven § 9-3.Den omtalte lovparagrafen har ingen forskriftereller juridiske forarbeider knyttet til seg. De sen-trale forskriftene for den digitale sårbarheten isektoren finnes i HMS-forskriftene for petrole-umsaktiviteten og i arbeidsmiljøforskriftene. For-skriftene er ikke konkrete når det gjelder digitaletrusler, men omfatter implisitt også digital sikker-het. Utvalget mener at det bør foreligge krav fra til-synsmyndigheten (Petroleumstilsynet) om at barrie-rer mot digitale sårbarheter skal være etablert.

Ingen av olje- og gassinstallasjonene er per idag definert som skjermingsverdige objekter ihenhold til sikkerhetsloven. Behovet for beskyt-telse bør uansett vurderes i lys av virksomhetensbetydning for statens inntekter, og – som utvalgethar påpekt ovenfor – den internasjonale betydnin-gen olje- og gasseksporten har for våre viktigesamarbeidspartnere. I påvente av ny sikkerhetslov,samt eventuelle pålegg og direktiver fra EU, anbefa-ler utvalget at det settes i gang et arbeid med ver-divurdering og klassifisering av anlegg og IKT-systemer.

14.7.3 Tydeliggjøre rolle og kapasitet hos Petroleumstilsynet

Det norske tilsynsregimet i olje- og gassektorener basert på prinsippet om internkontroll, tre-partssamarbeidet og risikobasert tilnærminginnen HMS. Det norske regimet kan derfor virkeoverordnet og ikke detaljstyrende på forhold somblant annet har med den digitale sikkerheten ågjøre. Det norske regelverket inneholder enrekke krav som regulerer myndighetenes kontrollav selskapene, i tillegg til å regulere søknader,rapporter, varslinger med mer fra selskapene tilmyndighetene. Selskapene har kunnskap om ver-dikjeden. Petroleumstilsynet har faglig myndig-hetsansvar for sikkerhet, beredskap og arbeidsmi-ljø i petroleumsvirksomheten på norsk kontinen-talsokkel, samt på enkelte anlegg på land.

Utvalget observerer at Petroleumstilsynet harverdikjedekompetanse og kompetanse på teknisk


sikkerhet i sektoren, men begrenset kapasitet nårdet gjelder tilsyn med sektorens IKT-sikkerhet ogsårbarhet. Utvalget foreslår derfor at Petroleumstil-synet styrkes betraktelig på dette området.

14.7.4 Vurdere tilknytning til responsmiljø for IKT-hendelser

Sektoren mangler et felles responsmiljø. Bransjener internasjonal og består av utenlandske og nor-ske selskaper. De utenlandske selskapene kanvære del av større internasjonale konsern og hasikkerhetssamarbeid via sitt moderselskap ellereget responsmiljø innad i virksomheten. Barenoen få aktører i bransjen er tilknyttet NSM Nor-CERT. De små selskapene, som ikke er en del avet CSIRT-samarbeid, faller utenfor. Det er ikkeetablert noe felles kontaktpunkt for sektoren sommyndighetene eksempelvis kan benytte til vars-ling om nettbaserte angrep. Det er også få for-melle fora der sektoren kan utveksle erfaringer.

Utvalget anbefaler at virksomhetene i sektorenenten inngår et samarbeid med KraftCERT ellerfinner andre løsninger for operativt samarbeid. Vedvalg av KraftCERT kan sektoren oppnå synergiersom følge av likhet i teknologi, slik som styrings-systemer. Dette er i tråd med løsninger som ervalgt internasjonalt, slik som blant annet ICS-CERT i USA. Dette vil eventuelt aktualisere endebatt om alternativ tilknytning for KraftCERT.

Barrierer som reduserer konsekvensene av enuønsket hendelse, er mer mangelfulle i bransjenenn forebyggende barrierer. Det har vært økendeoppmerksomhet rundt barrierer som hindrer enuønsket hendelse, men kvaliteten på disse barrie-rene er i liten grad testet og verifisert. Bransjenhar en egen beredskapsorganisasjon som skal trei kraft ved større hendelser, jf. sivilt beredskaps-system. Utvalget er ikke kjent med at denne harøvd på å håndtere store IKT-hendelser. Utvalgetanbefaler derfor at sektoren gjennomfører øvelser ihåndtering av uønskede IKT-hendelser.


Kapittel 15

Vannforsyning

Samfunnet forventer at vannforsyningen er sårobust at vannverket kan levere nok og godt vannselv om vannforsyningssystemet utsettes for uliketyper trusler og påkjenninger. Dette gjelder ogsåved utfordringer som oppstår som følge av digitalesårbarheter.

I dette kapittelet har vi konsentrert oss omvannforsyning. Mange av de problemstillingene vibeskriver, har imidlertid direkte overføringsverditil avløpshåndtering. Svikt i vannforsyningen vilogså medføre svikt i avløpshåndteringen. Utenvann til å transportere avløpet i ledningsnettet vilavløpsnettet bli tilstoppet. Konsekvensene avdette ville svært fort blitt uakseptable og uhygi-enisk.

I en undersøkelse utført av Myndigheten församhäldsskydd och beredskap (MSB), som kartlaSCADA-sikkerhet i svensk vannforsyning, heterdet i konklusjonen:

«Resultaten från enkäten indikerar att kunska-perna om informationssäkerhetsfrågor hospersonal inom svensk dricksvattenförsörjningär relativt låg (…) Dessutom är kunskapen ombefintliga riktlinjer och föreskrifter ofta bristfäl-lig.»1

I en fersk undersøkelse utført av Mattilsynet i20152 ble det sendt ut et spørreskjema til om lag500 vannverk.3 Undersøkelsen viser de sammetendensene som den svenske.

Utvalgets omtale av vannforsyning er basertpå innspill fra SINTEF.

15.1 Vann- og avløpsinfrastruktur

Sikker vannforsyning er i stadig større gradavhengig av robuste digitale systemer. Vannforsy-ningen styres og forvaltes i dag via SCADA, led-ningsdatabaser, adgangskontroll og en rekkeandre IKT-baserte systemer. Økende bruk avdriftskontrollsystemer (DKS)4 innen drift av vann-og avløpssystemer (VA-systemer) gir bedre over-våking og styring og dermed økt effektivisering,pålitelighet og produktivitet. Samtidig gjør dennedigitaliseringen VA-sektoren sårbar for nye typerfarer og trusler.

Figur 15.1 viser bruken av DKS innen vann-bransjen – fra nedbørfelt via vannbehandling ogdistribusjonsnett til avløpsnett og videre til avløps-renseanlegg.5 Driftskontrollsystemet brukes til åstyre og overvåke vann- og avløpssystemene og tilå overvåke ulike målepunkter både i nedbørfelt, inettet og i prosessanlegg. Ulike utestasjoner erogså koblet til driftskontrollsystemet, som foreksempel vannpumpestasjoner, høydebasseng,reduksjonskummer, målekummer, avløpspum-pestasjoner, påslippspunkter, avløp, overløp, ned-børstasjoner, vassdragsmålestasjoner og bekke-rister. Prosessanlegg (vannbehandlingsanlegg ogavløpsrenseanlegg) har ofte egne driftskontroll-systemer som samler inn tilsvarende informasjonfra ulike målere/sensorer i disse anleggene.

For en del vannverk har det historisk sett værtvanlig med ulike DKS-er for henholdsvis lednings-nett og prosessanlegg, gjerne med en eller annenform for overføring av måleverdier og alarmermellom systemene. DKS-ene består av ulike elek-troniske komponenter som er plassert i et stortgeografisk område. Systemene varierer i oppbyg-ging fra vannverk til vannverk.1 MSB (2010): Kartläggning av SCADA-säkerhet inom svensk

dricksvattenförsörjning.2 Undersøkelsen er ikke publisert.3 Norsk Vann. Rapport 195/2013: Sikkerhet og sårbarhet i

driftskontrollsystemer for VA-anlegg. 11.03.2013. Undersøkel-sen var basert på sjekklisten utarbeidet i Norsk Vann. Rap-port 195/2013.

4 Driftskontrollsystem brukes synonymt med SCADA-system,se for øvrig kapittel 13 «Energiforsyning».

5 Som beskrevet i Norsk Vann (2013): Jaatun M.G., RøstumJ. og Petersen S. (2013): Veiledning for sikkerhet av drifts-kontrollsystemer for VA-systemer.



I Norge er totalt cirka 1 800 vannverk registrert iVannverksregisteret, hvorav cirka 1 100 kommu-nale eller interkommunale.

Vannforvaltningen i Norge er sektorisert meden forvaltning og et lovgrunnlag som er delt påflere departementer. Det innebærer at det rele-vante lovgrunnlaget for vannverk fremstår somnoe uoversiktlig. Dette forholdet har vært påpektved flere anledninger, og Helse- og omsorgsdepar-tementet har derfor fått rollen som overordnet«vannmyndighet». Ansvaret er likevel fordelt påmange aktører. Hovedaktøren er kommunenesom eier og drifter over 90 prosent av alle norskevannverk.

Helse- og omsorgsdepartementet (HOD) har detoverordnede ansvaret for norsk vannforsyning ogavløpshåndtering og fastsetter forskrifter.

Klima og miljødepartementet har ansvar forrammebetingelsene for kommunenes vann- ogavløpsgebyr.

Mattilsynet har ansvar for blant annet matlovenog for godkjenning og tilsyn etter drikkevannsfor-skriften.

Nasjonalt folkehelseinstitutt er faglig rådgiverfor HOD, Helsedirektoratet (Hdir), Helsetilsynet(Htil), Mattilsynet og andre når det gjelder helse-faglige spørsmål om blant annet vannforsyning/drikkevann. Miljødirektoratet er ansvarlig forvannforskriften og forurensningsforskriften.

Miljødirektoratet er ansvarlig for vannforskrif-ten og forurensningsforskriften.

Norges vassdrags- og energidirektorat (NVE)behandler konsesjonssøknader og meldingeretter § 8 i vannressursloven.

Direktoratet for samfunnssikkerhet og beredskap(DSB) er nasjonal brannmyndighet og gir førin-ger for brannvern overfor befolkningen, virksom-heter og kommunene. DSB forvalter lov om kom-munal beredskap.

Nasjonal sikkerhetsmyndighet (NSM) fører til-syn etter sikkerhetsloven med objektsikkerhets-forskriften. Noen av vannverkene i Norge er defi-nert som skjermingsverdige objekter.

Figur 15.1 Vann og avløp fra nedbørfelt til resipient med angitte eksempler på hvordan driftskontroll-systemer styrer og overvåker (figur hentet fra Norsk Vann. Rapport 195/2013).1

1 Jaatun M.G., Røstum J. og Petersen S. (2013): Veiledning for sikkerhet av driftskontrollsystemer for VA-systemer. Norsk Vann. Rap-port 195/2013.

KommunikasjonsnettverkVia egne eller leide linjer, trådløs, kobber, fiber

Driftsoperatør

Nedbørfelt Kilde

Vannforsyningsystem

Avløpsnett Overvannssystem Avløpsrenseanlegg Resipient

Avløpsystem

Vannbehandling Overførings-system

Distribusjons-nett

Utstyr på nett

Kobber

PC

Fiberkabel


Fylkesmannen er forurensningsmyndighet foren rekke virksomheter. Fylkesmannen gir utslipp-stillatelser og fører tilsyn og kontroll etter foru-rensningsloven, forskrifter og tillatelser og etterlov om kommunal beredskapsplikt.

Vannverkseieren bygger og driver vannverk itråd med gjeldende regelverk.

Utvalgte fylkeskommuner har rollen som vann-regionmyndighet, med et særlig ansvar for å koor-dinere prosessen med å gjennomføre planarbeideti tråd med vannforskriften.

Kommunene er i hovedsak eierne av vann- ogavløpsanlegg og har ansvar for overordnet arealog teknisk planlegging. Kommunene skal påse atalle bygninger har vann og avløp før det blir gittbyggetillatelse. De er også forurensningsmyndig-het for avløpsanlegg i mindre tettbebyggelser.


Drikkevannsforskriften6 med tilhørende veilederer grunnleggende i norsk drikkevannsarbeid.Drikkevannsforskriften er fastsatt med hjemmel ilov om matproduksjon og mattrygghet mv. (matlo-ven), lov om helsemessig og sosial beredskap oglov om folkehelsearbeid (folkehelseloven). Det ervannverkseieren som er ansvarlig for at forsynin-gen av drikkevann oppfyller kravene til tilfredsstil-lende mengde og tilfredsstillende kvalitet.

Dagens drikkevannsforskrift med tilhørendeveileder fokuserer i liten grad på IKT-sikkerhet.Det samme gjelder sikkerhets- og beredskapsvei-ledningen fra Mattilsynet fra 2006.7 Norsk Vannsnye lærebok8 innen vann- og avløpsteknikk fra2014 omhandler ikke IKT-sikkerhet og bruk avIKT innen vannbransjen.

Mattilsynet er godkjennings- og tilsynsmyn-dighet for vannverk. Andre viktige lover sompåvirker sikkerheten i vannforsyningen, er sikker-hetsloven og sivilbeskyttelsesloven.

15.4 Beredskap og krisehåndtering

Som det går frem av lov om kommunal bered-skapsplikt, har hver enkelt vannverkseier, altså ihovedsak hver enkelt kommune, et selvstendig

ansvar både for å iverksette forebyggende tiltakfor å hindre uønskede hendelser og kriser og for åhåndtere situasjonen om en hendelse skulle opp-stå. Planer for å håndtere uønskede hendelserskal gå frem av kommunens kriseplanverk. Dettegjelder både for tilsiktede og utilsiktede hendel-ser.

Det er per i dag ikke etablert en felles funk-sjon eller et responsmiljø som kan oppdage ogbidra til å håndtere eventuelle digitale angrep, slikvi finner i andre sektorer. Kommunal- og moderni-seringsdepartementet har imidlertid tatt initiativtil å bygge opp en CERT-ordning.

15.5 Digitale sårbarheter i vannforsyningen

15.5.1 Bruk av driftskontrollsystemer innen vannforsyning

Digitale avhengigheter fører med seg økt kom-pleksitet og nye sårbarheter. Vannforsyningenbenytter i dag i økende grad IKT-systemer ogfjernstyring i alle deler av driften. IKT er blitt enintegrert del av vannforsyningssystemet og frem-står som en egen infrastruktur i vanninfrastruktu-ren.

Driftskontrollsystemer (DKS) for styring ogovervåking av anleggene er i seg selv et av demest sårbare punktene i et vannforsyningssystem.

Økt bruk av DKS innen vannbransjen har gjortdet mulig å effektivisere driften. Det redusererkostnadene, og færre ansatte trengs for å drifteanleggene. Videre kan man nå innføre bedre tje-nester, som tilbyr raskere responstid ved hendel-ser og bedre overvåking av anleggene. Systemene

6 Helse- og omsorgsdepartementet (2002): Forskrift omvannforsyning og drikkevann (Drikkevannsforskriften).

7 Mattilsynet 2006: Økt sikkerhet og beredskap i vannforsynin-gen. Veiledning.

8 Norsk vann (2014): Vann- og avløpsteknikk.

Boks 15.1 Svikt i DKS

En av de mest klassiske hendelsene knyttet tilsvikt i DKS innen vannsektoren er MaroochyShire-hendelsen i Australia i år 2000, der entidligere innleid IT-konsulent hadde installertDKS som styrte 300 pumpestasjoner for avløpvia radiokommunikasjon. Konsulenten fikkikke jobb i vannverket og hevnet seg ved åmanipulere pumpestasjoner, ventiler og lukerslik at en million liter ubehandlet avløpsvannrant ut i nærliggende vassdrag.1

1 J. Slay and M. Miller: «Lessons Learned from theMaroochy Water Breach» in Critical Infrastructure Pro-tection, vol. 253, E. Goetz and S. Shenoi, Eds., ed: Sprin-ger Boston, 2007, pp. 73–82.


har samtidig gjort sektoren mer sårbar for nyetyper trusler. DKS har gått fra å være lukkedesystemer som bare virket på egne maskiner, til åbli integrerte systemer som også er tilknyttet kon-torstøttesystemer og Internett. Det er kjent atIKT-baserte styringssystemer kan manipuleres påulike måter, noe som gjør at systemene i seg selvkan utgjøre en sikkerhetsrisiko.

Vann- og avløpssektoren kjennetegnes av geo-grafisk spredt infrastruktur. Særlig gjelder dettevann- og avløpsnettet, som har anlegg og utesta-sjoner lokalisert der behovet for anlegg finnes(kummer, pumpestasjoner og så videre). Tilhø-rende IKT-infrastruktur må følgelig være tilsva-rende geografisk plassert. For prosessanleggene,som for vannbehandling og avløpsrensing, er altutstyr samlet i én eller flere bygninger, og dengeografiske utfordringen er mindre. Dette gjørfysisk sikring enklere.

I dag kan pumper og ventiler fjernstyres ogovervåkes mye enklere enn tidligere. Størreanlegg, som vannbehandlingsanlegg og avløps-renseanlegg, er også blitt mer kompliserte og kre-ver avansert styring av de ulike integrerte proses-sene. Nye vannbehandlingsanlegg er kompliserteprosessanlegg med mange komponenter, signaleri styringssystemet og prosess- og analyseinstru-menter. Manuell drift av de mest komplekse vann-behandlingsanleggene er ikke mulig, spesielt ikkeover lengre perioder. Ved hurtige endringer i inn-gangsdataene, slik som ved endringer iråvannskvalitet under flomperioder, er det behovfor raske endringer i driftsbetingelsene. Dette for-utsetter styring av anleggene via driftskontroll-systemer.

Vannbransjens ønske om reduserte lekkasjerog effektivisering medfører økt bruk at IKT.Smarte vannmålere tilsvarende AMS, som innfø-res i strømsektoren, prøves nå ut i en del norskevannverk. I Oslo skal det for eksempel installeresom lag 2 500 smarte vannmålere i løpet av 2015som et prøveprosjekt for at man skal skaffe segerfaring med bruken. Innføring av smarte vann-målere og mer aktiv styring av driftsforholdene påledningsnettet vil kreve økt oppmerksomhetrundt IKT-sikkerhet.

IKT-sikkerhet knyttet til ledningsdata

Når det gjelder sikring av IKT-systemer og deninformasjonen som ligger i disse systemene, snak-ker man gjerne om sikring av konfidensialitet,integritet og tilgjengelighet (se forøvrig punkt 5.1«Hva er IKT-sikkerhet?»):

– Konfidensialitet innebærer å sikre at informa-sjonen er tilgjengelig bare for dem som harautorisert tilgang. Eksempler på tap av konfi-densialitet er at hackere får tilgang til hemme-lig informasjon som ligger lagret i driftskon-trollsystemet (DKS), eller at ledningsdata(GIS) kommer på avveier.

– Integritet innebærer å sikre at informasjonenog metodene/beregningene er nøyaktige ogfullstendige. Uvedkommende kan da ikkeendre informasjonen eller systemet sombehandler informasjonen.

– Tilgjengelighet innebærer å sikre autorisertebrukeres tilgang til informasjon og tilhørenderessurser ved behov. Eksempel på tap av til-gjengelighet er at driftsoperatørene ikke klarerå logge seg på systemet og endre verdier vedbehov. Tilgjengelighet kan også henspille påevnen et vannbehandlingsanlegg har til ålevere rent vann.

Når det gjelder drifts- og styringssystemer, vilintegritet og tilgjengelighet ofte være vel så viktigsom konfidensialitet. Man er avhengig av atsystemet er tilgjengelig og gjør de oppgavene deter satt til. Dette forutsetter også at systemet hartilgang til riktig informasjon til enhver tid. Samti-dig vil tap av konfidensialitet gjøre det lettere åtappe integriteten og tilgjengeligheten ved ensenere anledning.

Ledningskartverk tilgjengelig på Internett

Det har de senere årene pågått en diskusjon ivannbransjen om ledningsdata skal ligge offentligpå Internett. Ut fra praktiske hensyn bør lednings-kartverk være åpent tilgjengelige for alle, menmye tyder på at det ut fra sikkerhetshensyn børvære restriksjoner med hensyn til hvem som fårtilgang. I mangel av myndighetssignaler om infor-masjonssikkerhet har vannbransjen selv anbefaltat ledningskartverk ikke bør gjøres fritt tilgjenge-lige på Internett.9 En må videre være klar over atmange vannverk har lagt mye informasjon omsine DKS-er ut på Doffin i forbindelse med anbud.Innsynssystemene for kart legges stadig oftereover på ulike portalløsninger der data ligger lagreti skybaserte tjenester.

I en krisesituasjon uten strøm og ekom vil detfortsatt være viktig å lokalisere ledninger, kum-mer og så videre. Her pågår det et tverrsektorieltarbeid i regi av Kommunal- og moderniseringsde-partementet som blant annet skal se på regel-

9 http://norskvann.no/images/pdf/ledningskartverk.pdf.


verksløsninger knyttet til ledninger i grunnen oginformasjonssikkerhet.10

Driftskontrollsystemer og risiko

Det er en tendens til at driftskontrollsystemer iøkende grad blir integrert med tradisjonelle kon-torstøttesystemer og tilkoblet Internett. Driftskon-trollsystemene er dermed ikke lenger selvsten-dige systemer, men integrerte løsninger, noe somgjør at driftskontrollsystemene er utsatt for desamme sårbarhetene som vanlige IKT-systemer,blant annet med hensyn til virus og hacking. Denøkende bruken av IKT, sammen med økt bruk avhyllevare og sammenkobling mot andre nett istørre grad, gjør at sårbarheten for IKT-trusler erstørre enn før.

SINTEF har i flere publikasjoner belyst sikker-heten i norske vannverk. I arbeidet sitt har de fåtttilbakemeldinger fra en del vannverk om at ulikenasjonale sikkerhetsaktører og -rådgivere – somNSM og Forsvarets forskningsinstitutt – tilsynela-tende vurderer det samme trusselbildet forskjel-lig. Dette kom godt frem på TEKNAs konferanseom samfunnssikkerhet i vannbransjen i april 2015,der begge aktørene holdt innlegg. Der NSMbasert på sine data peker på viktigheten av å foku-sere mer på IKT-sikkerhet, har FFI i sine analyserfor utvalgte vannverk nedtonet den digitale sårbar-heten. For vannbransjen fremstår en slik dobbelt-kommunikasjon som forvirrende, og det kan formange være uklart om den digitale sårbarhetenutgjør en stor trussel eller om den er økende.

NSM skriver i årets statusrapport, Risiko2015,11 at de har avdekket alvorlige sårbarheterinnen norsk vannforsyning i løpet av 2014. Sårbar-hetene kunne i verste fall gitt uvedkommendemulighet til å lamme vannforsyningen. NSMs vur-dering er at risikoen ved bruk av DKS ikke er blittmindre i 2015. De peker i sin trusselvurdering for2015 på sårbarheten i norske vannverk, men deter usikkert hvor bredt datagrunnlag denne vurde-ringen bygger på.

Tradisjonelt har ikke IKT-sikkerhet i drifts-kontrollsystemer vært viet stor oppmerksomhet,verken i vannbransjen eller i industrien for øvrig.Det er imidlertid eksempler på hacking av vann-verk i USA via driftskontrollsystemet (DKS), ogautomatiserte verktøy gjør det nå enkelt for hac-kere å lete opp kontrollenheter som er koblet tilInternett. Det er også enkelt for uvedkommende å

skaffe seg informasjon om kritiske deler av etDKS via Internett. Standard passord for enkeltesystemer kan finnes via Internett, og manualer ogvideoer for hvordan de ulike DKS-ene virker, kanogså lastes ned. Dette gjør det mulig for ikke-eksperter å tilegne seg kunnskap om eventuellesårbarheter ved de enkelte DKS-ene.

Innføring av systemer som gjør fjernaksessinnen drift av vannforsyningen mulig, har gjortdet enkelt og effektivt å få tilgang til status forvannforsyningssystemene utenom kontortid. Meden hjemmevaktordning kan en operatør logge segpå systemene og se på status på driften av anleg-gene og også endre driftsbetingelse (slå av og på,lukke/åpne ventiler). Dette er en fordel medtanke på tilgjengelighet og effektivitet for bru-kerne, men på den andre siden innebærer mulig-heten for en slik ekstern pålogging til systemeneen fare for at uvedkommende får tilgang til VA-systemene dersom sikkerhetsmekanismene ikkeer gode nok. Dette kan dermed påvirke integrite-ten og til og med konfidensialiteten til systemet.

Tradisjonelle risikoog sårbarhetsanalyser ivannbransjen fokuserer oftest på prosesstekniskeproblemstillinger, siden kunnskap om IKT-systemer som regel representerer et ukjent fag-område for vanningeniører. Mattilsynet har tradi-sjonelt også hatt lite oppmerksomhet rettet motsårbarheten knyttet til IKT og driftskontroll-systemer, og synes å ha liten faglig kompetansenår det gjelder IKT-sikkerhet. Dette gjenspeilesogså i de veiledningene og forskriftene som er til-gjengelige.

I en undersøkelse utført av Mattilsynet i201512 ble det sendt ut et spørreskjema til om lag500 vannverk.13 Figur 15.2 viser to resultater fraundersøkelsen. På spørsmålet «Er det tilstrekke-lig bevissthet rundt IKT-sikkerhet i hele organisa-sjonen?» svarer 67 prosent «Ja» og 30 prosent «Inoen grad». Vannbransjen i Norge ser altså ut til åvære rimelig fornøyd med eget ambisjonsnivå ogegen bevissthet vedrørende IKT-sikkerhet. Nårdet derimot kommer til mer konkrete spørsmålsom: «Er det krav til regelmessig bytte av allepassord?» svarer 61 prosent «Nei». Dette viser atdet er lite sammenfall mellom svarene på de ulikespørsmålene, og det er grunn til å tro at mangevannverk ikke har full forståelse av de spørsmå-lene som stilles.

10 Samarbeidsforum for ledninger i grunnen, Kommunal- ogmoderniseringsdepartementet.

11 Nasjonal sikkerhetsmyndighet (2015): Risiko 2015.

12 Presentasjon av Mattilsynet på TEKNAs konferanse «Sam-funnssikkerhet og vannbransjen», 21.–22. april 2015.

13 Basert på sjekklisten utarbeidet i Norsk Vann. Rapport195/2013.


SINTEF er i samtaler med leverandører avdriftskontrollsystemer blitt kjent med at flere avvannverkene fikk sine leverandører av DKS til åfylle ut spørreundersøkelsen på vegne av vannver-ket. Dette illustrerer at IKT-sikkerhet ikke ergrundig forankret hos ledelsen i alle vannverk.Resultatene viser at det er stort behov for kompe-tanseheving og økt oppmerksomhet rundt IKT-sikkerhet hos vannverkene.

15.5.2 Vannforsyningens avhengighet av kraft og ekom

Vannforsyningen er sårbar overfor svikt i de kri-tiske infrastrukturene kraft og ekom. En del ele-menter i vannforsyningssystemet vil ha en vikti-gere funksjon enn andre, og dette må gjenspeiles iinnebygd sikkerhet ved hvert enkelt anlegg. Vik-tige utestasjoner kan for eksempel være vannbe-handlingsanlegg, enkelte vannpumpestasjoner oghøydebasseng. Dersom vannverket for eksempeler avhengig av kommunikasjon via en mobiltele-fonsentral (basestasjon), er det viktig å være klarover at basestasjonene normalt bare har begren-set nødstrømskapasitet. Hvert enkelt vannverk

må foreta en gjennomgang av hvilke komponenterog stasjoner som er mest kritiske med tanke påkraftforsyning og kommunikasjon, og sørge for atsystemene knyttet opp mot disse er sikret i hen-hold til ønsket akseptnivå.

15.5.3 Organisatoriske forhold og kompetanse

Det er behov for økt IKT-sikkerhetskompetanseinnen vann og avløp i kommunal teknisk sektor.14

Dette er knyttet til blant annet teknisk kompe-tanse, bestillerkompetanse og gjennomføringska-pasitet. Dersom en ser mangelen på kompetanse ilys av de andre utfordringene bransjen står over-for, som klimaendringer, forfall av infrastruktur,økte krav til sikkerhet, med mer, kan konsekven-sen være at mange vannverk ikke har kapasitet tilå prioritere de digitale sårbarhetene.

Mattilsynets gjennomgang av IKT-sikkerhetknyttet til driftskontrollsystemer i vannbransjen15

viser at det er behov for ytterligere økt oppmerk-

Figur 15.2 Eksempler på svar fra Mattilsynets spørreundersøkelse i 2015 til norske vannverk knyttet til informasjonssikkerhet.

Kilde: Mattilsynet.

8. Er det tilstrekkelig bevissthet rundt informasjonssikkerhet i hele organisasjonen?

67,4%

30,1%

2,0% 0,5% 0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

90 %

100 %

1 2 3 4

Pros

ent

16. Er det krav til regelmessig bytte av alle passord?

17,5% 16,8%

61,0%

4,8%

0 %

10 %

20 %

30 %

40 %

50 %

60 %

70 %

80 %

90 %

100 %

1 2 3 4

Pros

ent

Ja I noen grad Nei Ikke aktuelt

14 Rambøll (2013): Utfordringer og muligheter i kommunaltek-nisk sektor. FOU-prosjekt nr. 134038.


somhet og kunnskapsheving knyttet til IKT-sik-kerhet. Dette gjelder både ledelsen i vannverkeneog resten av de ansatte. Et godt sikkerhetsarbeider i utgangspunktet et ledelsesansvar, men ledel-sen må ha faglig støtte når det gjelder IKT-sikker-het, og hver enkelt ansatt må få økt bevissthetrundt IKT-sikkerhet. For å øke bevisstheten omIKT-sikkerhet har Norsk Vann blant annet gitt uten veiledning om sikkerhet i driftskontroll-systemer for vann- og avløpssystemer. Denne vei-ledningen gir en god innføring i sikring av DKS.

Bruk av midlertidig innleide konsulenter,bruk av leverandørens personell og drift utsatt tiltredjepart medfører at det enkelte vannverk ytter-ligere tømmes for kompetanse. I tillegg blir kom-petanseheving vanskelig, da fagmiljøene normalter små, jf. det store antallet vannverk som finnes iNorge.

Organisasjonen må ha evne til læring. Det vilsi at den må være i stand til å registrere og analy-sere ulykker og hendelser og bruke dette somgrunnlag for både formell og uformell erfaringso-verføring og læring. Det er også viktig å trekkelærdom ut av det som fungerer, og å lære fra egneog andres erfaringer knyttet til svikt i IKT-systemer via egne systemer for hendelseshåndte-ring.

Organisasjonen må også ha reaktiv handlings-dyktighet og beredskapsevne. Det vil si at den måvære i stand til å håndtere de uønskede hendel-sene og ulykkene som måtte inntreffe, som tek-niske sammenbrudd, brann eller terrorhandlin-ger. Dette inkluderer også evne til å gjenopprettefunksjoner, slik at DKS raskt kommer opp å gåigjen etter en hendelse. For å få god beredskap-sevne mot IKT-sikkerhetshendelser må det tre-nes. I forhold til vanlige øvelser i vannverkenekjennetegnes IKT-sikkerhetsøvelser av at en måknytte hendelser som inntreffer med lengre tidsmellomrom til hverandre. For eksempel kan enforstyrrelse som oppstår én dag, ha sammenhengmed tapet av en bærbar PC som inneholdt led-ningskartverket, tre måneder tidligere.

Potensielle årsakskjeder går på tvers av orga-nisasjoner, institusjoner og teknologiskesystemer, og kartlegging av risiko og sårbarhet ogikke minst beredskap krever samhandling ogkoordinering. Ofte kan koordineringsutfordringerse enkle ut på papiret, der aktører kan gis ansvarfor å tenke helhetlig. Mange kommuner oppleverdet imidlertid som utfordrende for eksempel å

inkludere ulike ekomleverandører i sitt ansvar forhelhetlige risikoog sårbarhetsanalyser (ROS-ana-lyser) og beredskap.

En utfordring for mange vannverk er også for-holdet til kommunens egen IKT-avdeling. I mangekommuner er det en egen IKT-avdeling eller eteget interkommunalt IKT-selskap som beslutterhvilke systemer som skal anskaffes, vedtar sikker-hetsnivåer og til dels har ansvar for drift avsystemene. IKT-avdelingen i en kommune betje-ner mange ulike kommunale etater og har ikkenødvendigvis god vannfaglig forståelse.

Tilsvarende har gjerne vannverkets ansattegod vannfaglig kompetanse, men mindre kompe-tanse knyttet til IKT og IKT-sikkerhet. Vannverks-organisasjonen vil uansett ha et overordnet sik-kerhets- og beredskapsansvar i henhold til drikke-vannsforskriften, og det må avklares hvordangrensesnittet bør være opp mot IKT-avdelingenog IKT-leverandørene, både for anskaffelser ogfor drift.

Et felles responsmiljø for vannbransjen villekunne bidra til bedre planlegging av hendelses-håndtering og sørge for informasjonsdeling avhendelser knyttet til svikt i IKT i norske vannverk.Imidlertid synes en egen CERT-funksjon for allelandets vannverk som en krevende modell.

Større avhengigheter mellom kritiske infra-strukturer endrer også tilsynsrollen og krever økttverrfaglig kompetanse i de ulike tilsynene. HvisMattilsynet skal kunne vurdere robustheten tilvannverkene, må de også se etter svakheter i sek-torer som leverer tjenester til vannsektoren(strøm, ekom). Sikkerhet innen vannforsyning eri utgangspunktet vannverkseierens ansvar, men erogså noe man oppnår på tvers av andre involverteorganisasjoner. Dette innebærer store koordine-ringsutfordringer på tvers av sektorer/infrastruk-turer.

Mattilsynet som tilsynsmyndighet har ansvarfor å ivareta funksjoner med betydning for vann-sikkerheten. For tilsynet medfører dette nye utfor-dringer og spørsmål om hvor langt inn i leveran-dørkjedene de skal føre tilsyn. Skal de nøye segmed å inspisere kontraktene vannverkene harmed sine leverandører, eller skal de også gå idetalj hos leverandørene?16 Et viktig spørsmål erom Mattilsynet i tilstrekkelig grad er i stand til ågjennomføre tilsyn av vannverkene, tatt i betrakt-ning den nye utviklingen.

15 Presentasjon av Mattilsynet på TEKNAs konferanse «Sam-funnssikkerhet og vannbransjen», 21.–22. april 2015.

16 Almklov (2011): Offentlige etaters rolle i å sikre robusthet ikomplekst organiserte og tett koblede infrastruktursektorer.



15.6.1 Øke IKT-sikkerhetskompetansen i norske vannverk

Som nevnt over er det i dag svært mange småvannverk i Norge, og modenheten når det gjelderIKT-sikkerhetsarbeid, synes å være på et tidligstadium. Det store antallet vannverk gjør en godfremdrift på dette området vanskelig, siden detkreves spisskompetanse for å kunne ivareta IKT-sikkerhetsansvaret på en god måte. Se punkt 19.3«Kompetansesituasjonen i samfunnet».

Vannverkenes ROS-analyser må inkludere sik-kerhetsvurderinger knyttet til IKT og IKT-sikker-het. IKT-sikkerhet må inkluderes i det generelleberedskapsarbeidet, og det må gjennomføresøvelser som inkluderer IKT-hendelser. Vannver-kenes avhengighet av kraft og ekom må inngå iROS-analysene, og tiltak for å håndtere bortfallmå inngå i beredskapsplanene. Vannverkene måha oversikt over hvilke elementer av vannforsy-ningssystemet som er mest kritiske ved utfall, ogsette i verk nødvendige tiltak for å hindre dette.

Kommunerevisjonen i de enkelte kommu-nene må vurdere om de skal foreta revisjon avIKT-sikkerheten til det kommunale vannverket.Kommunerevisjonen har i enkelte vannverk prio-ritert IKT-sikkerhet. Selv om en revisjon medførermye arbeid for de ansatte i vannverket, er erfarin-gene at revisjonene gir IKT-sikkerheten et løft. Itillegg vil en kommunerevisjon føre til at den poli-tiske ledelsen blir bevisst på problemstillingen.

Siden bare et fåtall av norske kommuner ogvannverk har anledning til å delta på nasjonalekonferanser, er regionalt samarbeid svært rele-vant. Regionalt samarbeid kan også utvides til åutgjøre et praksisfellesskap, der ansatte medansvar for problemstillinger relatert til IKT-sikker-het både kan få faglig påfyll, utveksle erfaringerog få praktisk støtte i enkeltsaker.

Med så mange små enheter er det en kompe-tanseutfordring å etablere og opprettholde nød-vendige fagmiljøer innen IKT-sikkerhet. Utvalgetmener at Mattilsynet i samarbeid med Norsk Vannbør stimulere til større og mer ressurssterke fagmil-jøer i kommunene. Dette kan gjøres på flere måter,eksempelvis ved økt interkommunalt samarbeideller ved strukturendring.

Utvalget foreslår videre at det tas initiativ til ådekke de nye utfordringene vi står overfor innenforIKT-sikkerhet. Både myndighetssiden og NorskVann bør kunne bidra med å organisere kurs,gjerne i samarbeid med andre organisasjoner,som for eksempel NSM eller undervisningsinsti-

tusjoner, der det er hensiktsmessig. Det bør ogsåutvikles kurs og studieretninger innenfor prosessty-ring, systemintegrasjon og IKT, noe som kan bidratil at bransjen får den kompetansen som trengs for ådrifte systemene i fremtiden.

Bedre organisering av driftsassistanser vilogså være et mulig tiltak. Det vises i den sammen-heng til Norsk Vanns rapport Fra driftsassistansertil regionale vannassistanser17 med anbefalingerom hvordan dagens fylkesvise driftsassistanser påvannområdet kan videreutvikles til mer helhetligevannassistanser som gir et styrket og effektivise-rende tilbud til deltagerkommuner og vannverk,blant annet på sikkerhets- og beredskapsområdet.

15.6.2 Styrke tilsyn og veiledning i IKT-sikkerhet

Det er behov for økt oppmerksomhet hos Mattil-synet når det gjelder IKT-sikkerhet. Dette inklu-derer utarbeidelse av forskrifter som definererkrav til IKT-sikkerhet, og tilhørende veilednings-materiell for vannverk. Vannverkene synes å habehov for utfyllende informasjon utover de gene-relle kravene som er tillagt vannverkseieren i drik-kevannsforskriften18. Det bør vurderes et tetteresamarbeid mellom de ulike tilsynsmyndighetene forat hvert enkelt tilsyn skal bli bedre i stand til å føretilsyn med sin sektor knyttet til hendelser som går påtvers av sektorene (vann, strøm, ekom). Mattilsynethar i etterkant av den tidligere omtalte spørreun-dersøkelsen om IKT-sikkerhet inngått avtale medNSM om kursing av egne ansatte i IKT-sikkerhet.Mattilsynet har i dag ikke kapasitet eller mandattil å drive kursing av hvert enkelt vannverk. Enveiledningsrolle på området må også ses i forholdtil tilsynsrollen deres.

Relevante myndigheter bør avklare og vedta etnødvendig ambisjonsnivå for IKT-sikkerhet forvannverkene. Dette har lenge vært etterlyst avvannverkene og av Norsk Vann. Utarbeidelse av etkompetansehevende kurs for vannverkene somkan bidra til å styrke sikkerhetsarbeidet, vil væreavhengig av det vedtatte ambisjonsnivået.

Helse- og omsorgsdepartementet har startetet arbeid med å revidere drikkevannsforskriftenmed tilhørende veileder. Revisjonen må også inklu-dere IKT-sikkerhet og IKT utover det generelle kra-vet om at vannverkseieren er ansvarlig for å leveresikkert drikkevann.

17 Norsk Vann (2014): Fra driftsassistanser til regionale van-nassistanser. Rapport 203/2014.

18 Helse- og omsorgsdepartementet (2002): Forskrift omvannforsyning og drikkevann (Drikkevannsforskriften).


15.6.3 Bedre systemer for hendelseshåndtering

Den enkelte virksomhet er ansvarlig for IKT-sik-kerheten. Det synes imidlertid å være et behov forå etablere et felles responsmiljø for hendelses-håndtering. Et eget responsmiljø for vann er kan-skje ikke realistisk, tatt i betraktning det storeantallet små enheter i vannsektoren. Tre alternati-ver kan være:

Alternativ 1: Kommunene oppretter en egenkommune-CERT, som ikke bare omfatter vannfor-syning, men også andre deler av kommunenesansvar for kritiske samfunnsfunksjoner, som pri-mærhelsetjeneste, kriseledelse og brann og red-ning. Utvalget er kjent med at det er tatt et initiativtil å etablere en kommune-CERT.

Alternativ 2: Fylkesmannen tar initiativ til enregional plan for hendelseshåndtering for kom-munale vannverk. Et slikt initiativ bør inneholdeet forpliktende samarbeid på tvers av vannbran-sjen, også for å støtte opp under et praksisfelles-skap på regionalt og nasjonalt plan. Dette bør ogsåses i sammenheng med diskusjonen om å etablereen fremtidig krisestøtteenhet for vannverkene iNorge, tilsvarende det Sverige har. En norsk kri-sestøtteenhet bør ha kunnskap også om IKT-sik-kerhet.

Alternativ 3: At vannverkene knytter seg oppmot allerede eksisterende hendelseshåndterings-miljø.19

Utvalget anbefaler at Helse- og omsorgsdeparte-mentet, i samråd med Justis- og beredskapsdeparte-mentet og Kommunal- og moderniseringsdeparte-mentet, utreder muligheten for et responsmiljø forhendelseshåndtering som ivaretar vann og avløp.

15.6.4 Gjennomføre risikoog sårbarhetsanalyser før en eventuell innføring av smarte vannmålere

Ved en eventuell større innføring av smarte vann-målere, tilsvarende AMS som innføres i strømsek-toren, bør det foretas en omfattende risikoog sår-barhetsanalyse. Ukritisk implementering av funk-sjonalitet som knytter smarte vannmålere tetteresammen med driftskontrollsystemer, vil føre medseg en oppbygging av sårbarhet med betydeligskadepotensial. Innføring av smarte vannmålereog mer aktiv styring av driftsforholdene på led-ningsnettet vil kreve økt oppmerksomhet rundtIKT-sikkerhet. Utvalget mener det er viktig meden god og bredt dekkende risikoog sårbar-hetsanalyse i forkant av teknologiskifter, vedbruksendringer og ved system- og organisasjons-endringer. Utvalget anbefaler derfor at det gjen-nomføres nødvendige risikoog sårbarhetsanalyserfør innføring av smarte vannmålere inn mot drifts-kontrollsystemene.

19 Se kapittel 14 «Olje og gass» hvor det vurderes tilknytningtil responsmiljø for IKT-hendelser.


Kapittel 16

Finansielle tjenester

Finansnæringen er en IKT-intensiv næring ogleverer i stor grad sine tjenester på digitale platt-former. Norsk finansnæring var tidlig ute med å tai bruk IKT i sine produksjonsprosesser. Særligsamarbeidet grupper av banker om standardise-ring og felles IKT-løsninger – i første omgang omIKT-systemer for kontoføring, deretter om IKT-systemer for registrering av transaksjoner mellomkonti. Finansforetakene har benyttet IKT til åeffektivisere interne prosesser, og ligger i forkanti bruk av IKT for håndtering av kundedimensjo-nen. Dette har medført en kompleksitet i IKT-systemer og verdikjeder som gjør næringen sår-bar for både tilsiktede og utilsiktede hendelser.Den internasjonale, organiserte kriminalitetenøker. Kriminaliteten har så langt vært rettet motdistribusjonskanalene som benytter Internett.Den rammer også mobile løsninger og løsningerknyttet til brukersteder.

Finansiell stabilitet innebærer at det finansiellesystemet er solid nok til å formidle finansiering,utføre betalinger og fordele risiko på en tilfreds-stillende måte. De basiskapasitetene og basisleve-ransene som er nødvendige for å opprettholdefinansiell stabilitet, kan ikke leveres uten velfun-gerende IKT-systemer. Det norske systemet er ilikhet med systemene i de andre nordiske lan-dene kjennetegnet av at forbindelsene mellombankene er samordnet og elektronisk basert istørre grad enn i mange andre land. Dette gjør detnorske banksystemet utsatt dersom noen skullelykkes i å ta kontroll over eller ødelegge sentralefelles funksjoner. I tillegg til finansielle og materi-elle tap kan de samfunnsmessige konsekvensenebli store, og befolkningen vil kunne oppleve bety-delige belastninger i dagliglivet.

Finansnæringen må ta høyde for at det kankomme omfattende, organiserte angrep som vilkunne føre til store økonomiske tap. Dette skyl-des at flere pengetransaksjoner fra næringslivetdigitaliseres, samtidig som kriminelle, med meto-

der som blir stadig mer avanserte, følger penge-strømmen på nettet.1

For enkeltpersoner er en av de størsteendringene nye former for elektroniske betalings-tjenester, samt overgangen til et stadig mer kon-tantløst samfunn. I 2012 ble det gjennomført 1,63milliarder korttransaksjoner her i landet. Her lig-ger Norge høyt sammenlignet med andre land.Samtidig går bruken av kontanter som betalings-middel ned, og her ligger Norge svært lavt sam-menlignet med andre land.

16.1 Finansiell infrastruktur

Betalingssystemet består av interbanksystemerog systemer for betalingstjenester. Interbank-systemer er systemer for overføring av penger mel-lom banker, med felles regler for avregning ogoppgjør. Systemer for betalingstjenester er systemersom er basert på standardvilkår for overføring avpenger fra eller mellom kundekonti i banker ellerandre som kan yte betalingstjenester.

Betalingssystemene er en helt sentral forutset-ning for at kapital skal kunne formidles på en sik-ker måte mellom aktører nasjonalt og internasjo-nalt, for eksport og import av varer og tjenester, igrossistleddet, i varehandelen (detaljistleddet),for verdipapirhandel og for handel med finansielletjenester. Betalingssystemene kan deles inn iulike lag – fra der transaksjoner oppstår, til trans-aksjonene er avsluttet. En nærmere beskrivelse avbetalingssystemene er gitt i punkt 16.5.1, der ogsåsårbarhetene er beskrevet. En forenklet fremstil-ling av transaksjonsflyten fra der betalingen opp-står, samt innsamling, avregning og oppgjør, ergitt i figuren under.




Finansdepartementet har ansvar for en rekkeunderliggende etater og statlige foretak, blantannet Finanstilsynet og Norges Bank. Finansde-partementets rolle overfor de tilknyttede virksom-hetene varierer, men felles for alle er at Finansde-partementet gir retningslinjer for virksomhetenebasert på det lovverket Stortinget har vedtatt.Finansdepartementet har på lik linje med deandre fagdepartementene et overordnet ansvarfor å ivareta sikkerheten i sektorens IKT-infra-struktur og for at det forebyggende informasjons-sikkerhetsarbeidet i sektoren er tilfredsstillende.

Finanstilsynet er det sentrale offentlige orga-net som kontrollerer og vurderer om banker, for-sikringsselskaper, finansieringsforetak, verdipa-pirforetak, børs og autoriserte markedsplasser,verdipapirregistre, eiendomsmeglere, e-penge-foretak, revisorer og autoriserte regnskapsførerefølger de lover og regler som er vedtatt for finans-markedet, og driver virksomheten med aksepta-bel risiko. Tilsynet skal også se til at institusjo-nene tar hånd om forbrukernes interesser og ret-tigheter. Finanstilsynets hovedmål er finansiellstabilitet, velfungerende markeder og forbruker-

vern. Finanstilsynet leder og er sekretariat forBeredskapsutvalget for finansiell infrastruktur(BFI). Se punkt 16.4 for en nærmere beskrivelseav BFI.

Norges Bank er sentralbanken i Norge, og harsom mål å fremme den økonomiske stabiliteten ilandet. Banken har utøvende og rådgivende opp-gaver i pengepolitikken og skal medvirke tilrobuste og effektive betalingssystemer og finans-markeder. Norges Bank forvalter valutareservenei landet. Statens pensjonsfond utland skal støttestatlig sparing for finansiering av fremtidige utgif-ter og underbygge langsiktige hensyn ved bruk avNorges petroleumsinntekter. Norges Bank forval-ter Statens pensjonsfond utland, og har delegertgjennomføringen av forvaltningsoppdraget tilNorges Bank Investment Management (NBIM).

Finans Norge er hovedorganisasjon for finans-næringen i Norge, og representerer mer enn 200medlemsbedrifter fra bank og forsikring, medrundt 50 000 ansatte. Finans Norge har ulike opp-gaver på IKT-sikkerhetsområdet, både som pre-misslegger for et omforent sikkerhetsnivå på beta-lingsområdet og som representant for medlem-mene i ulike fora der IKT-sikkerhet diskuteres,herunder Næringslivets Sikkerhetsråd. Som

Figur 16.1 Transaksjonsflyten i det norske betalingssystemet.

Kilde: Finanstilsynet.

(nivå 2 bank)

(nivå 2 bank)

Minibank Nettbank og

Mobilbank

Brukersteder (EFT/POS)

Avtalebaserte betalings-tjenester

Front- og backoffice

i bank

Internett-handel

Annet

Bet

alin

gska

nale

r

Felles avregning

NICS

Betalings-mottakers bank

(nivå 1 bank)

Betalers Bank

(nivå 1 bank)

Oppgjør Norges Bank

NBO

Betaler Betalings-mottaker

Betalings-instruksjon

Innbetalings-informasjon

Betalings-oppdrag Innbetaling

Likviditets oppgjør

Likviditets oppgjør

Avregnings resultat

Valutahandel Oppgjør

CLS

Avregnings resultat

Inn-/ut-betalinger

Verdipapirhandel Oppgjør

VPO


næringsorganisasjon arbeider Finans Norge medselvregulering og standardisering innen IKT-sik-kerhet nasjonalt og i EU, og fungerer somhøringsinstans på vegne av norsk finansnæring iforbindelse med lov- og forskriftsendringer.

Norwegian Interbank Clearing System (NICS)er sentralt for gjennomføring av betalinger iNorge. Finans Norge forvalter, på vegne av finans-foretakene, flere felles operasjonelle infrastruktu-rer (FOI) innen betalingsinfrastrukturen – bådedirekte og gjennom NICS Operatørkontor, somdriftes av Finans Norge. NICS Operatørkontor erkonsesjonshaver for banknæringens hovedavreg-ning.

BankID ble initiert av Finans Norge i 2000, ogeies av bankene. Over tre millioner nordmenn harnå BankID, som er den mest utbredte og brukteelektroniske ID-en i Norge. Ingen andre euro-peiske land er på et tilsvarende nivå. BankID-serti-fikatene utstedes av bankene. Bakgrunnen for eta-bleringen av BankID var at banknæringen skullekunne spille samme rolle i kundebetjening og tje-nestetilbud over åpne nett som i den fysiske ver-den. Dette krevde en samordnet struktur for sik-ker autentisering og signering i åpne nett. Videremente man at utbredelsen av sikker digital kom-munikasjon i befolkningen krevde at brukernekunne benytte samme sikkerhetsordning ofte og iflere sammenhenger.

BankAxept ble tidligere administrert av FinansNorge, men er nå etablert som et eget AS, eiddirekte av bankene. BankAxept er det domine-rende kortsystemet i Norge. Ni av ti kortbetalin-ger med norske kort skjer via BankAxept.

FinansCERT ble etablert av finansnæringen i2013, og er et heleid datterselskap av FinansNorge. Målsettingen til FinansCERT er at finans-næringen skal være godt rustet til å møte truslerutenfra rettet mot finansinstitusjonenes IKT-virk-somhet og mot digitale tjenestekanaler til kun-dene. FinansCERTs formål er å koordinere ogstøtte finansnæringen i håndteringen av IKT-sik-kerhetshendelser, samt forebyggende arbeid.2 Ennærmere beskrivelse av FinansCERT følger ipunkt 16.4 «Beredskap og hendelseshåndtering».

Sentrale leverandører innenfor sektoren erNets, Evry og SDC. Nets tilbyr betalings-, kort- ogidentitetsløsninger i de nordiske landene og leve-rer de tekniske betalingsløsningene mellom nor-ske banker og for dagsoppgjøret i Norges Bank.Evry er en stor tjenesteleverandør i det norske

finansmarkedet, og håndterer i løpet av et år ioverkant av 300 millioner betalingstransaksjoner.SDC er en annen IKT-leverandør i det nordiskefinansmarkedet, og hadde i 2014 82 norske ban-ker på kundelisten.


Nasjonalt har Finanstilsynet tidligere hatt bistandfra Selmersenteret i Bergen og Norsk Regnesen-tral til analyser av henholdsvis sikkerhet i nett-bank og sikkerhet i betalingskort. I tillegg har devært involvert i prosjekter om operasjonell risikoved Universitetet i Stavanger. Internasjonalt harFinanstilsynet deltatt i EUs forskningsprosjektrettet mot tiltak for å gjøre finanssektorens brukav Internett sikrere,3 samt arbeid med forslag tilaktuelle områder det bør forskes mer på når detgjelder sikkerhet. Samtidig jobber næringen tettsammen om å se på fremtidige behov. Eksempel-vis har Bankenes Standardiseringskontor tatt etinitiativ overfor Standard Norge for at det skaliverksettes tiltak for å øke satsingen på internasjo-nal standardisering på sikkerhetsområdet.


Norge har tett kontakt med internasjonale organi-sasjoner, som ISACA og FI-ISAC. ISACA er eninternasjonal forening som fokuserer på styringav og kontroll med IKT og tilbyr globalt aner-kjente sertifiseringer. Financial Institutes – Infor-mation Sharing and Analysis Center (FI-ISAC) eret europeisk tiltak primært med deltakere fraCERT-er, bankorganisasjoner og politimyndighet.Det er et uformelt samarbeid mellom enkeltlandog definerte myndigheter, blant annet støttet avENISA. FI-ISAC utveksler til dels konfidensiellinformasjon om sårbarheter, angrep og tiltak knyt-tet til bruk av de elektroniske betalingsløsnin-gene.

ITSG (International IT Supervisors Group) eren uavhengig internasjonal arbeidsgruppe somhar IT-tilsyn som arbeidsområde. Formålet medsamarbeidet er å utnytte kunnskap og erfaringerpå tvers av landegrensene. Det gjelder for bådestedlige og dokumentbaserte tilsynsmetoder.Utveksling av kunnskap når det gjelder bruk avrammeverk, standarder og beste praksis ved gjen-nomføring av tilsynsaktiviteter innenfor IT-områ-

2 FinansCERT Norge opererer i dag for medlemmer i FinansNorge. Det er åpent for at også andre aktører i finansnærin-gen kan slutte seg til FinansCERT.

3 Henholdsvis CoMiFin: Communication Middleware for asecure and dependable Financial Infrastructure (underEUs 7. rammeprogram) og European Security Researchand Innovation Forum (ESRIF), som ett av flere underlagfor EUs 8. rammeprogram.


det, er et viktig tema i de årlige møtene deres. For-umet består av cirka 20 deltagerland, og det blestartet i 2002 som en forlengelse av samarbeidettilsynsmyndighetene hadde for overgangen til år2000. Områder som blant annet IT-sikkerhet,cybersikkerhet, utkontraktering, skytjenester ogberedskap, er områder som har fått bred dekningpå de årlige møtene. I tillegg blir større hendelsergjennomgått. Gjennom kontaktlister er det storgrad av informasjonsutveksling. Dette gjelderbåde for hendelser og for risikoøkninger som deenkelte medlemslandenes institusjoner opplever.

European Banking Authority (EBA) satte i2014 ned en arbeidsgruppe som skulle gjennomgåmedlemslandenes tilnærming til IT-tilsyn og infor-masjonssikkerhet med tilhørende lovverk. Resul-tatet ble at det i regi av EBA ble etablert engruppe som skal legge til rette for økt samarbeidog erfaringsutveksling på områdene som er nevntovenfor. Arbeidet vil pågå fra 2015 og vil bli en vik-tig arena for å bidra til å øke kvaliteten og kunn-skapen på IT-tilsynsområdet. De nordiske tilsynenehar løpende samarbeid og et årlig samarbeids-møte der IT- og informasjonssikkerhet er tema. Itillegg blir det gjennomført felles tilsyn i banker

med grenseoverskridende virksomhet. Dettemedfører en stor grad av kunnskaps- og erfarings-utveksling.

Finanstilsynet mener selv at metodeverktøyetsom benyttes i Norge, er godt og på høyde medtilsvarende i sammenlignbare land. Utvikling ogtilpasning i tråd med teknisk utvikling, trusselbil-det og regelverksendringer i EU er likevel nød-vendig. Dette krever et tett samarbeid med aktø-rene som er nevnt ovenfor. DNB trekker fremfinanstilsynene i USA og Singapore som særligkompetente innenfor informasjonssikkerhet. Vik-tigheten av medlemskap og dialog med private/frivillige organisasjoner som bidrar med tidligvarsling og teknisk kompetanse, blir også påpekt.


Finanstilsynet har som en av sine oppgaver å føretilsyn med sektorens bruk av IKT og betalings-systemer. Hjemmelsgrunnlaget for arbeidet erblant annet finanstilsynsloven og lov om betalings-systemer med tilhørende forskrifter. Også hvitvas-

Boks 16.1 Finanstilsynets verktøykasse

Finanstilsynet utarbeider hvert år en risiko- ogsårbarhetsanalyse av finansforetakenes bruk avIKT. ROS-analysen er basert på funn fra tilsyngjennom året, innrapporterte hendelser fra fore-takene, meldinger i henhold til meldeplikten,spørreundersøkelser og intervjuer med foreta-kene og IKT-bransjen, regelverksendringernasjonalt og fra EU, samarbeid og kontaktermed andre lands tilsynsmyndigheter og annenrelevant informasjon om hendelser og utvik-lingstrekk i bransjen.

Seksjon for tilsyn med IT- og betalingstje-nester i Finanstilsynet har tilsynsansvar når detgjelder finansforetakenes bruk av IKT og finans-tilsynslovens bestemmelser. Bestemmelsene erkonkretisert i forskrift om bruk av informasjons-og kommunikasjonsteknologi (IKT-forskriften).For å vurdere om finansforetakene etterleverkravene i IKT-forskriften, benytter IT-tilsynetsåkalt egenevaluering, med spørsmål basert påCobit, ITIL, ISO og andre kilder, tilpasset avFinanstilsynet for det norske finansmarkedet.Rapportering av alvorlige og kritiske IKT-hen-delser er fra 1. desember 2009 forskriftsregulertgjennom IKT-forskriften. Basert på rapporterte

hendelser lager IT-tilsynet statistikker og analy-serer årsaksforhold. I tillegg er meldeplikten forsystemer for betalingstjenester et viktig virke-middel for oppfølging av betalingssystemene.Meldeplikten er utformet som en egenevalue-ringsmelding med 19 kontrollspørsmål. I tilleggtil disse verktøyene (som er beskrevet påFinanstilsynets nettside) har Finanstilsynetutviklet en del egne verktøy til eget, interntbruk.

Finanstilsynet samarbeider tett med NorgesBank. Finanstilsynet samhandler ogsåregelmessig med andre tilsynsmyndigheter. I til-legg har de regelmessige møter med BankID ogFinansCERT, samt møter med Finans Norge ogBSK. Utover det samarbeider Finanstilsynetmed IT-tilsyn i andre land, både i Norden, i EU/EØS og globalt, om utvikling av verktøykassen.En nyopprettet gruppe under EBA forventes påsikt å bli en sterk bidragsyter, og Finanstilsynetdeltar direkte. I EBA pekes det på både Finans-tilsynets IKT-forskrift og ROS-analyse som godeeksempler til etterfølgelse og mal for felles euro-peiske tiltak.


kingsloven kommer til anvendelse. For oppfølgingav sektorens operasjonelle risiko, inkludert brukav IKT, benyttes kapitalkravforskriften, IKT-for-skriften og forskrift om risikostyring og intern-kontroll som hjemmelsgrunnlag i det praktiske til-synsarbeidet. Nåværende IKT-forskrift er fra2003, og tilsynsmetodene har siden blitt utvikletmed beste praksis og anerkjente internasjonalerammeverk.

Virksomheten til Norges Bank er regulert gjen-nom sentralbankloven og betalingssystemloven.Her kommer det blant annet frem et ansvar for åvurdere effektiviteten til systemer for betalingstje-nester og hva disse systemene betyr for effektivi-teten til det norske betalingssystemet, inkludertsamspillet med andre lands betalingstjenester.

Finanstilsynet samarbeider med Norges Bankder omfanget av tilsynet ligger innenfor det fellesansvarsområdet. Det gjelder spesielt betalingstje-nester og avregning/oppgjør innen betalingsfor-midlingen, der det tidvis er gjennomført enkeltefelles tilsyn. Samarbeidet er regulert gjennombetalingssystemloven.

Gjennom mandat gitt av Finans Norge fastset-ter Bankenes Standardiseringskontor (BSK) stan-darder og sikkerhetskrav for transaksjons- ogmeldingsutvekslingen mellom bankene. BSK fast-setter også sikkerhetskrav til minibanker og kort-terminaler, samt til kortutstedelse. BSK-kravomfatter også BankID, inkludert FOI (felles ope-rativ infrastruktur). Bankene er gjennom detteforpliktet til et felles avtalt nivå for sikkerhet og

risiko som er nødvendig for å kunne ha gjensidigtillit i en informasjonsutvekslingskjede.


Ansvaret for håndtering av hendelser går frem avIKT-forskriften og er tillagt finansinstitusjoneneog deres leverandører. Dette inkluderer krav tilhendelseshåndtering for gjenoppretting, eskale-ring og rapportering til ledelse, samt krav om åiverksette korrektive tiltak for å unngå at sammeproblem oppstår på nytt. I tillegg er det krav om atalvorlige og kritiske hendelser skal rapporteres tilFinanstilsynet uten unødig opphold. På dennemåten får myndighetene en oversikt over hendel-sesbildet, samtidig som de er sikret rask informa-sjon om alvorlige hendelser.

Figur 16.2 viser antall rapporterte eksterneangrep i forhold til det totale antallet rapportertehendelser for perioden 2009 til 2015, aggregertper kvartal.

Finanstilsynet anslår at i kjernevirksomhetentil tilsynsobjektene deres finner cirka 70 prosentav de alvorlige hendelsene sted på områder derinstitusjonene bruker underleverandører.

Finanstilsynet har etablert en rutine for åmotta og behandle hendelsesrapporter og har enberedskapsplan for situasjoner der en virksomhetunder tilsyn utsettes for en alvorlig IKT-krise.Beredskapsplanen viser til hendelsesrapporterin-gen som en aktuell kilde for å identifisere en

Figur 16.2 Antall rapporterte eksterne angrep i forhold til totalt antall rapporterte hendelser.


0

10

20

30

40

50

60

70

80

90

Q1

09

Q2

09

Q3

09

Q4

09

Q1

10

Q2

10

Q3

10

Q4

10

Q1

11

Q2

11

Q3

11

Q4

11

Q1

12

Q2

12

Q3

12

Q4

12

Q1

13

Q2

13

Q3

13

Q4

13

Q1

14

Q2

14

Q3

14

Q4

14

Q1

15

Q2

15

Antall rapporterte hendelser Av dette, antall eksterne angrep


beredskapssituasjon. Finanstilsynsdirektøren skalsammen med lederen for tilsynsansvarlig avdelingbeslutte om det skal varsles til instanser utenforFinanstilsynet, eksempelvis styret, departemen-ter, bransjeorganisasjoner, media og så videre.Beredskapsplanen viser også til Beredskapsutval-get for finansiell infrastruktur (BFI).

Beredskapsutvalget for finansiell infrastruktur(BFI) har ansvaret for å komme frem til og koor-dinere tiltak for å forebygge og løse krisesitua-sjoner og andre situasjoner som kan resultere istore forstyrrelser i den finansielle infrastruktu-ren. Ifølge sitt mandat skal BFI i en krisesituasjonvarsle og informere berørte aktører og myndig-heter om hvilke problemer som har oppstått,hvilke konsekvenser problemene kan medføre, oghvilke tiltak som settes i verk for å løse proble-mene. BFI har etablert en rutine for varsling, pro-blemhåndtering og informasjonsformidling somskal gjelde i en beredskapssituasjon. Finanstilsy-net leder og er sekretariat for BFI, og vurderernår det skal kalles inn til møter. BFI representereren viktig møteplass for sentrale finansaktører iNorge. Finanstilsynet er omfattet av myndighete-nes sivile beredskapssystem (SBS), og BFI tarhånd om den nødvendige koordineringen innen-for finansiell sektor.

FinansCERT er en egen sektor-CERT (respons-miljø) for finansnæringen, og har et utstrakt sam-arbeid med aktører i næringen, samt et eksterntnettverk med både myndighetene/politiet oginternasjonale nettverk innen IKT-sikkerhet.FinansCERT mottar informasjon fra mange kilderog videresender relevant informasjon til finansbe-driftene og sentrale aktører i infrastrukturen.

FinansCERT Norge deltar aktivt i hendelses-håndtering og har en døgnkontinuerlig bered-skap. Videre opererer FinansCERT et system forrask og sikker informasjonsdeling til relevantepersoner i aktuelle miljøer i næringen. Eksempel-vis produseres det kvartalsvise rapporter om trus-selbildet, der alvorlige trusler presenteres med envurdering av trusselnivået, en vurdering av omtrenden er økende eller synkende, og en aktørpro-fil for hver trussel. Et annet eksempel er deling avindikatorer i forbindelse med nettbanksvindel inær sanntid.

Videre gjennomfører FinansCERT aktivitetersom forum og «community» for responsmiljøene inorske banker og forsikringsselskaper. Finans-CERT har ikke en myndighetsrolle i sektoren, ogomfatter per dags dato ikke alle virksomhetene isektoren. FinansCERT har imidlertid et uttalt målom å omfatte alle virksomheter i sektoren, men erfortsatt i en etableringsfase. FinansCERT tar sikte

på å være ferdig etablert som planlagt med femansatte i løpet av 2015.

Bankenes Standardiseringskontor (BSK) føl-ger internasjonale trender og bevegelser for kri-minelle angrep mot minibanker og terminaler, oganbefaler mottiltak til banker i Norge. BSK harogså en egen nettbanksikkerhetsgruppe (medrepresentanter fra bankene) som går igjennomhendelser og aktuelle mottiltak. NICS Operatør-kontor har et eget opplegg for selvsertifisering ogegenmelding for banker som deltar i NICS (i prak-sis alle banker). Der legges det vekt på varsling avegne hendelser til andre deltagere og rutiner forhåndtering av de skjevhetene som oppstår i forde-ling av likviditet når driftsavbrudd oppstår i enbank. Operatørkontoret involveres direkte i hen-delser ved driftsstans hos deltagere, og det er gittutsettelser som innebærer senere innleverings-frister til siste daglige avregning.

I forbindelse med etableringen av objektsik-kerhetsforskriften gjorde finanssektoren en vur-dering av om det var objekter som skulle foreslåsunderlagt sikkerhetsloven. Det er kun pekt ut etmindre antall skjermingsverdige objekter i sekto-ren. Finanstilsynet har imidlertid i samarbeid med

Boks 16.2 Fisking av nettbankpåloggingsinformasjon

I 2015 har mange nettbanker opplevd gjentatteforsøk på å fiske (lure) påloggingsinformasjonfra bankenes kunder. Med denne informasjo-nen vil de kunne logge seg inn i kundenesnettbank og stjele pengene på konto. For enbedrift eller offentlig virksomhet kan dettevære store summer. Angrepene skjer ved atdet sendes epost-spam eller SMS-spam somutgir seg for å være fra banken, der kundenbes om å klikke på en link for å låse opp ensperring eller lese en melding. Dersom kun-den trykker på linken, kommer hun til en falsknettbank. Bankene, sammen med Finans-CERT og andre leverandører og samarbeids-partnere, jobber hardt for å motvirke og hånd-tere disse angrepene. Det har vært gjort for-søk på å stjele mange titalls millioner kroner,men disse har i stor grad blitt avverget – oftefordi bankene har delt informasjon som gjør atde er bedre forberedt. Hendelsene viser vik-tigheten av god sikkerhetsbevissthet hos kun-dene, samt nytten av rask informasjonsdelingog aktiv hendelseshåndtering/skadebegrens-ning når angrep skjer.


BFI pekt ut objekter som skal gis prioritet framyndighetenes side ved en alvorlig situasjon forleveranser av elektronisk kommunikasjon ogkraft.

16.5 Digitale sårbarheter i finanssektoren

I Finanstilsynets ROS-analyse for 2014 vurderesdet at betalingstjenestene generelt er stabile oghar tilfredsstillende kvalitet. Til tross for at det i2014 ble registrert en økning i antall alvorlige hen-delser, truet ikke disse den finansielle stabiliteten.Finanstilsynet understreker imidlertid at noen avdisse, dersom de hadde fått utviklet seg, kunneskapt uro for den finansielle stabiliteten.4 NorgesBank uttrykker gjennom rapporten Finansiellinfrastruktur 2015 at det har vært få avvik i inter-banksystemene og verdipapiroppgjørssystemetdet siste året.

Figur 16.3 viser utviklingen av hendelser siden2010, der disse er veiet med hvilken konsekvensde har fått for ulike typer tjenester.

Sårbarhetene beskrives i det følgende ut frafem områder. Det handler om å

1. formidle kapital på en sikker måte mellomaktører nasjonalt og internasjonalt

2. sikre befolkningen tilgang til betalingsløsnin-ger for å kunne opprettholde nødvendig handel

3. sikre at betalinger og andre finansielle transak-sjoner gjennomføres på en sikker og korrektmåte

4. sørge for sikker og stabil drift av finansielleregistre

5. kommunisere med befolkningen om kritiskehendelser i bank- og finanssektoren.

16.5.1 Formidle kapital nasjonalt og internasjonalt

Betalingssystemene er en helt sentral forutset-ning for formidling av kapital på en sikker måtemellom aktører nasjonalt og internasjonalt, foreksport og import av varer og tjenester, i grossist-leddet, i varehandelen (detaljistleddet), for verdi-papirhandel og handel med finansielle tjenester.Betalingssystemene kan deles inn i ulike lag, frader transaksjonene oppstår, til transaksjonene eravsluttet, slik som vist i tabell 16.1. I prinsippet måalle ledd og lag fungere for at transaksjonen skalkunne gjennomføres. Sårbarheten vurderes åvære størst der transaksjonene oppstår, mens kon-sekvensene øker oppover i verdikjeden. Konse-kvensene for finansiell stabilitet er størst ved man-

4 Finanstilsynet (2015): Risiko- og sårbarhetsanalyse (ROS)2014. Finansforetakenes bruk av informasjons- og kommu-nikasjonsteknologi (IKT).

Figur 16.3 Hendelser veiet mot konsekvens.


0

100

200

300

400

500

600

700

800

900

1000

2010 2011 2012 2013 2014 2015prognose

Betalinger og overføringer i NOK på mobilbank for privatpersoner

Betalinger og overføringer (NOK) på Internett for privatpersoner

Hendelser knyttet til aksjehandel på Internett

Betalinger til utlandet

Betalinger og overføringer (NOK) på Internett for bedrifter

Avregning og oppgjør

Saksbehandling, kasse, andre interne systemer

Kort


glende muligheter for oppgjør. Ettersom aktørenei finanssektoren i stor utstrekning benytter densamme nettverksinfrastrukturen, vil dette med-føre en konsensentrasjonsrisiko der konsekven-sen ved en feilsituasjon er stor. For kundene kanbortfall av felles betalingstjenester representerestore konsekvenser, særlig om bortfallet varerover lang tid.

16.5.2 Sikre befolkningen tilgang til betalingsløsninger

BankAxept-løsningen er fortsatt dominerendesom betalingsmiddel i varehandelen, ettersom alleaksepterer BankAxept. De internasjonale kreditt-kortene har gradvis økt sin andel, men det vil like-vel være slik at bortfall av BankAxept-løsningenfår størst konsekvenser for befolkningen ved bort-fall over lang tid. Dette vil også ha innvirkning påfinansiell stabilitet.

1 Disse benytter det internasjonale meldingssystemet SWIFT, som er et sentralt meldesystem for gjennomføring av internasjonalebetalinger mellom kunder (i ulike land) via banker (korrespondentbanker).

2 For store transaksjoner benyttes SWIFT-format også videre til NBO.

Tabell 16.1 Hovedinndeling av betalingssystemer

Hovedinndeling av betalingssystemer

Funksjon Overordnet om sårbarheter

Internasjonalt oppgjørssystem CLS (Continuous Linked Settle-ment)1

Sentralt system for sikkert opp-gjør med akseptabel risiko av internasjonale betalinger (valuta).

Få hendelser, liten grad av end-ring, ingen direkte kundeinvolve-ring (PC-er kommer lenger ned i verdikjeden).

Norges Banks oppgjørssystem (NBO)1

Sentralt for oppgjør av betalinger i Norge.

Alvorlige feil vil kunne stoppe betalingssystemene.

Bankenes felles avregnings- og oppgjørssystem NICS (Norwe-gian Interbank Clearing System)1

Sentralt for gjennomføring av betalinger i Norge.Dette laget inkluderer banker, som har konsesjon for å drive avregnings- og oppgjørssystemer (avleverer i praksis transaksjo-nene til NICS).2

Alvorlige feil over lengre tid vil få alvorlige konsekvenser for finan-siell stabilitet.

Verdipapiroppgjøret (VPO) for-valtet av Verdipapirsentralen

Leverer pengeoppgjøret direkte til Norges Banks oppgjørssystem. System for overføring av finansi-elle instrumenter, med felles-regler for avregning og oppgjør.

Alvorlige feil vil kunne stoppe ver-dipapirhandelen.

Bankenes egne betalings-systemer, inkludert transaksjons-innsamlingssystemer

Deler av infrastrukturen er felles, eksempelvis for pengeautomater. Leverandøren Evry er sentral.

Feil som oppstår, kan avgrenses, men for de største bankene vil konsekvensene være store. Feil får også konsekvenser for kun-dene.

Bankenes felles betalings-systemer, inkludert transaksjons-innsamlings-systemer

Felles infrastruktur, der Ban-kAxept er den sentrale løsningen. Mange mindre løsninger inngår i felles infrastruktur. Ivaretas i dag i stor grad av leverandøren Nets.

Kan medføre store konsekvenser for kundene, særlig om bortfallet varer i lang tid.

Bankenes felles autentiserings-system

Felles autentiseringssystem (inkludert digital signatur) ivare-tas av BankID Norge AS. Drift av systemer er utkontraktert til Nets.

Representerer et ledd som kan medføre store konsekvenser ved bortfall.


Det vurderes likevel å være store fordeler medet felles system der store investeringer i effektivi-tet og sikkerhet kan resultere i robuste løsningerog felles grensesnitt som er til fordel for forbru-kerne. Dette er situasjonen i Norge, samtidig somkonsekvensene ved bortfall også dermed kan blistørst.

Det introduseres stadig nye tekniske tjeneste-elementer, eksempelvis med bruk av smarttelefonog trådløs kommunikasjon for både chip ogsmarttelefon. Selv om dette representerer fleksibi-litet for den enkelte brukeren, kan det samletmedføre økt sårbarhet.

Handel på Internett er i sterk økning. En virtu-ell valuta er en type uregulerte digitale pengersom ikke er utstedt eller garantert av en nasjonalsentralbank, og kan fungere som betalingsmiddelved kjøp og handel.

De ulike løsningene for betalingsformidling ermange og med ulikt sikkerhetsnivå. Det er for-skjell på grensekryssende betalingstjenesterinnenfor og utenfor EU/EØS. Dette er omhandleti nasjonale retningslinjer for sikkerhet ved Inter-nett-betalinger og i forslag til forskrift til betalings-systemloven.5 Se også nærmere omtale av PSD2 ipunkt 16.6.

Slike løsninger i stort omfang kan represen-tere en økt samfunnsmessig risiko. Denne utvik-lingen kan være krevende å forholde seg til forbåde forbrukerne, næringen og myndighetene.Det er større sannsynlighet for kriminelle angreppå tjenestene i et åpent nett.

Dynamikken i EØS-samarbeidet og euro-områ-det vil kunne gi store endringer på bank- (særligfor betalingssystemer) og verdipapirområdet.Endringene kan samlet bidra til å øke operasjonellrisiko i en overgangsperiode. Det er en risiko forat felles EØS-regler kan resultere i at kravene tilIKT-sikkerhet blir lavere enn de kravene vi alle-rede har i Norge.

16.5.3 Sikre betalinger og andre finansielle transaksjoner

Det omfattende samarbeidet i finansnæringen iNorge har bidratt til at betalingssystemene harvært effektive (frigjort store ressurser), stabile(basert på tilgjengelig statistikk) og sikre (basertpå statistikk over tapsutviklingen). Sett opp motandre, sammenlignbare, land ligger Norge lavtnår det gjelder tap. Tiltak som har bidratt til denneutviklingen, har blant annet vært finansforetake-nes vektlegging av konfidensialitet, integritet ogtilgjengelighet, finanssektorens samarbeid i regiav felles organer og bransjeorganisasjoner, ogmyndighetskrav til sektoren.

Det betyr likevel ikke at man unngår en poten-siell alvorlig hendelse i fremtiden. Dette gjelderbåde potensielle tilsiktede og utilsiktede hendel-ser. For tilsiktede hendelser har trusselaktørenevist at de har både vilje, kreativitet og ressurser tilå angripe banker. I tillegg kan hvitvasking repre-sentere en økt risiko med misbruk av betalings-systemer og inngår som et element i økt interna-sjonal organisert kriminalitet.

Lange og uoversiktlige leverandørkjeder er enutfordring. Hvem som er involvert i finansnærin-gens «økosystem» vil kunne utfordre og øke risi-koen fremover. I tillegg kan større omfang av kjøpav ressurser og kompetanse utenfor Norge, ognedbygging av ressurser i Norge, på sikt medføreutfordringer med å opprettholde tilstrekkelig sty-ring og kontroll med betalingsløsningene. Dri-veren for bankenes utkontraktering er primærtkostnadskutt, men også det å sikre nøkkelkompe-tanse og global videreutvikling av teknologi.6

Endringstakten, både hos finansforetakene og påleverandørsiden, den teknologiske utviklingen ognye aktører både nasjonalt og internasjonalt vilstille store krav til aktørene for å opprettholde denstabiliteten Norge har hatt på betalingssystemom-rådet de seneste årene.

5 Finanstilsynet (2015): Endelige retningslinjer for sikkerhet iinternettbetalinger. Med virkning fra 15.08.2015.

Boks 16.3 Mobil «lommebok»

Smarttelefoner brukes i økende grad til beta-lingstjenester. I tillegg til nettbank og ulike for-mer for SMS-betalinger er kontaktløse betalin-ger (NFC – Near field communication) en avde nye betalingstjenestene som er kommet.NFC innebærer at man betaler med både beta-lingskort og mobilen bare ved å holde enhe-ten inntil betalingsterminalen. Mobiltelefoneneller betalingskortet er knyttet opp til en bank-konto eller en kredittkortkonto. ApplePay ereksempel på en slik tjeneste. Den norske tje-nesten mCash er en annen form for mobil lom-mebok, som benytter seg av en annen typeteknologi, der mobilkameraet benyttes i kom-binasjon med en QR-kode i butikken.

6 Gottschalk, Petter (2013): Flytting av arbeidsoppgaver tilutlandet. En oversikt over forskning om mål og resultat nårvirksomheter setter ut til andre å utføre tjenester. BI. TilFinansforbundet.


Enkelte problemstillinger må vies særskiltoppmerksomhet ved utkontraktering ut av Norge.Noen av disse er knyttet til:– Annen jurisdiksjon som ofte er vanskelig å

overskue konsekvensene av for eksempel nor-ske myndigheters behov for rask tilgang tildata i en gitt situasjon.

– Korrupsjonsgrad og den «iboende» kriminali-teten som følger av dette.

– Beskyttelse av personopplysninger.– Bruk av skytjenester kan representere gode

løsninger for mindre virksomheter som hverfor seg har liten samfunnsmessig betydning.Det er noe helt annet når det gjelder samfunns-messig virksomhet eller for eksempel banke-nes IKT-løsninger på sentrale områder somkundereskontro. Slik de fleste leverandøreneav skytjenester i dag opererer, kan en kundekanskje sikre at dataene lagres i en region, for

eksempel Europa. For virksomheter som ban-ker, der hele bankens virksomhet i praksis erIKT-basert, vil det å ha hele bankens kundepor-tefølje i en slik løsning kunne være problema-tisk. Foreløpig er det bankenes egne vurderin-ger av risiko og kvalitative regelverk som sty-rer dette.

16.5.4 Sikker og stabil drift av finansielle registre

Med finansielle registre menes i denne sammen-heng registre som gir oversikt over fordringer,innskudd, lån, pant, heftelser, eierskap og forsik-ringer.

Mange av betalingstjenestene må av naturligegrunner distribueres helt ut til sluttbrukerne, ogkanalene som benyttes kan være sårbare. Detsom ofte betegnes som kjernesystemer, innlån,

Boks 16.4 Svindel og bedragerier mot nettbankene

Fra cirka 2007 har hacking, angrep og ransfor-søk mot nettbankene vært en reell trussel. Julen2007 ble to norske banker utsatt for et nettbank-trojanerangrep samtidig, der angriperne for-søkte seg på automatisert pengeoverføring etterat kunden hadde logget på nettbanken. Bankeneoppdaget det, og samarbeidet tett om å håndtereog motarbeide angrepene. Bankene tok føl-gende lærdom av dette:– Det er viktig at kundene forstår truslene til-

strekkelig, og gjør sin del av jobben med åmotvirke dem. For bankene innebærer detteå være åpen om trusselbildet og informereom sikkerhetshendelser, slik at kundene fåren god forståelse av trusselbildet.

– De digitale truslene rammer ofte bredt, oggår gjerne mot flere banker samtidig. Samar-beid og informasjonsdeling mellom bankeneer en effektiv og kosteffektiv måte å motvirkeangrep på.

– En tilstrekkelig god forståelse av de digitaletjenestenes oppbygging og virkemåte for åoppdage og forstå angrep er viktig. En slikforståelse kommer ikke av seg selv, men vilvære et resultat av bevisste valg, prioriterin-ger og investeringer.

– Samarbeid og gode nettverk er viktig. Blantannet skjer angrepene ofte i flere land samti-dig, og det kan være mye å lære ved å samar-beide over landegrensene. Videre har samar-beidet mellom bankene og politiet/Kriposresultert i flere arrestasjoner og dommer fornettbankbedragerier i Norge de siste årene.

I årene etter 2007 ble det gradvis hyppigereangrep mot nettbankene, dette var et viktigmoment i etableringen av FinansCERT i 2013.

Boks 16.5 Hacking mot banker har gitt store økonomiske tap internasjonalt

I 2014 ble opp mot hundre banker og finansielleinstitusjoner i 30 land rammet av angrepene fraen gruppe hackere kalt Carbanak. Ifølge en rap-port fra Kaspersky Lab medførte hendelsenestore økonomiske tap, der eksempelvis en

enkelt bank ble tappet for over 10 millioner dol-lar. Hendelsen viste at hackerne fikk de størsteutbyttene via elektroniske transaksjoner. Ingennorske banker ble rammet av angrepet.


utlån, depotsystemer (omfatter også pant), pan-teregistre, forsikringssystemer og eiendomsregis-tre (offentlige), inngår i finansforetakenes sen-trale løsninger.

Særlig når det gjelder banker og forsikring,behandles denne typen løsninger i stor grad fort-satt på sentrale stormaskiner og har flere lag medbeskyttelse. Bruk av nye distribuerte plattformerkan ha samme strenge driftsopplegg. Det gjør ataktører via offentlige nett ikke uten videre får til-gang, og terskelen for å hacke seg inn er størreenn for løsninger som er knyttet direkte opp iInternett. Dette har resultert i at det er rapportertfå slike hendelser i Norge. På den annen side erdet en vurdering at ressurssterke kriminelle grup-per og stater som er engasjert i denne typen virk-somhet, har kapasitet til å utøve skadeverk.

En annen potensiell sårbarhet er at mange avdenne typen systemer er gamle, med til dels kom-plekse løsninger som er utviklet gradvis overmange år. Deler av teknologien er under utfasing,og kompetansen er heller ikke så lett tilgjengeliglenger. Konsekvensene av en alvorlig og langvarighendelse på denne typen systemer vil kunne blikatastrofal, både for samfunnet, for næringslivetog for den enkelte innbygger.

16.5.5 Kommunisere med befolkningen om kritiske hendelser

En rekke sårbarheter kan utfordre kommunika-sjonen med befolkningen om kritiske hendelser ibank- og finanssektoren og om hvordan denenkelte bør forholde seg for å opprettholde nor-malitet i dagliglivet. Sårbarheten vurderes åkunne være stor på dette området.

Finansforetakene har et klart ansvar for åinformere kundene sine om alvorlige hendelsersom får konsekvenser for dem. Finanstilsynet hareksempler på at enkeltforetak ikke tar dette ansva-ret ved en alvorlig hendelse, men i praksis pekerpå leverandøren. Bransjeorganisasjoner tar ofte etsektoransvar for informasjon om alvorlige situa-sjoner som ikke bare berører den enkelte bank.Det er et samarbeid på dette området gjennomBeredskapsutvalget for finansiell infrastruktur(BFI), med deltagelse fra myndigheter, bransjeor-ganisasjoner, viktige enkeltforetak (representativdeltagelse) og andre med viktige oppgaver forberedskapen. Hensikten er å sikre en formellmøteplass om forebyggende arbeid og ved alvor-lige beredskapssituasjoner der BFI blant annetskal gi råd til de utøvende myndighetene.

Finansmyndighetene har et ansvar for å infor-mere om alvorlige hendelser som får konsekven-

ser for finansiell stabilitet, finansforetak og kun-der. Dette må skje ut fra det mandatet myndig-hetsorganet har, eksempelvis Norges Bank ut frasentralbankloven, Finanstilsynet ut fra finanstil-synsloven og Finansdepartementet som overord-net myndighetsorgan for hele finanssektoren.Andre myndighetsorganer som har et horisontaltansvar, kan også være aktuelle, men bør sam-ordne dette med sektormyndigheten. Som eteksempel har tjenestene til Nav og Skatteetatenvært gjenstand for samordning mellom sektor-myndighetene. Finanstilsynet har redegjort forrutiner for varsling og beredskap overfor andreetater ved alvorlig svikt i betalingsformidlingen.Fra motsatt perspektiv har Nav og Skatteetatenredegjort for de mest kritiske ut- og innbetalin-gene. Varslingsveien vil være fra Finanstilsynet til

Boks 16.6 Virksomhetenes avhengighet av betalingssystemer

Nav er helt avhengig av tilgjengelige beta-lingssystemer for å løse sitt samfunnsoppdrag.Hver måned er 1,4 millioner brukere avhengigav utbetalinger fra Nav. Nav har lagt inn bered-skap ved å være tilknyttet to banker. En fjerde-del av betalingsoverføringene gjennomføresfast gjennom den andre bankforbindelsen.Med dette får begge bankene utbetalingerregelmessig, og det er mulig å bytte bankfor-bindelse dersom den ene forbindelsen skullevære nede, selv om dette vil ta noen dager. Forde mest kritiske utbetalingene er Nav ferdigmed transaksjonene til bankene fem–ti dagerfør de skal inn på konto. Dette er en sikker-hetsmargin dersom systemene er utilgjenge-lige eller det oppstår feil i transaksjonene.Utenfor Navs virkemiddelapparat kan det ogsåoppstå svikt som hindrer at brukerne får utbe-talingene til rett tid – enten ved at Navs bank-forbindelser blir forhindret fra å gjennomføretransaksjoner videre til brukernes banker,eller at brukerne i ytterste ledd ikke får bruktkort til betalinger i butikk eller uttak i mini-banker. Nav har liten innflytelse på disse toscenarioene, men ønsker å vite hva slagsberedskap bankene har for dette, ettersomNav fort vil ende opp med å være kontakt-punktet for alle brukerne dersom de blir ram-met. Nav har derfor tatt et initiativ overforFinanstilsynet for å skaffe seg innsikt i deberedskapstiltakene finansnæringen har eta-blert.


Finansdepartementet, som så vil varsle videre tildet aktuelle departementet, som igjen vil varsleden aktuelle underliggende etaten.

På tross av øvelser på dette temaet og andreforberedelser vil det alltid være utfordrende åhåndtere alvorlige hendelser som får store sam-funnsmessige konsekvenser, på en optimal måte. Itillegg er det utfordrende å få delt kunnskapen omkontinuitet og beredskap på nasjonalt nivå i til-strekkelig grad.

16.5.6 Særskilte personvernutfordringer

Finansinstitusjoner i Norge utveksler i stor gradpersonopplysninger med enheter i andre stater. Itransaksjonsdata inngår personopplysninger elleropplysninger som kan knyttes til en person. Detteer nødvendige opplysninger for å kunne vite«hvem som har betalt hva», eller «hvem som harkjøpt hvilke verdipapirer». Krav til personopplys-ningsinnhold i transaksjoner er regulert blantannet gjennom EU-lovgivning. Gjennom en fellesoperasjonell infrastruktur (FOI) behandles storemengder persondata. I felles registre på for-sikringssiden oppbevares også store mengderpersonopplysninger, noen av dem sensitive.

Utlevering av personopplysninger til andrelands stater er hjemlet i lover innrettet på åbekjempe terrorfinansiering, hvitvasking, skatte-unndragelser og annen kriminalitet. Utenom slikeoffentligrettslige bestemmelser er utleveringsad-gang regulert gjennom avtaler (konsernavtaler,herunder «Binding Corporate Rules», utkontrak-teringsavtaler og så videre). Finansinstitusjonenehar konsesjoner gitt fra både Finanstilsynet ogDatatilsynet som regulerer virksomheten ogbehandlingen av personopplysninger.

Med bakgrunn i den amerikanske lovenFATCA (Foreign Account Tax Compliance Act),har Norge og USA inngått en avtale om informa-sjonsdeling som innebærer at alle norske bankerog finansinstitusjoner skal identifisere hvilke kun-der som er skattepliktige til USA. Det blir over-sendt informasjon om privatpersoner og eiere avselskaper som har konto i norske banker, og somer bosatt i USA, født i USA eller er amerikanskeborgere. Personvernhensyn ble diskutert dareglene ble innført.

Finansinstitusjoner i Norge har også ulikehjemler til å utveksle informasjon med andrefinansinstitusjoner som ledd i for eksempel gjen-nomføring av kontraktsforpliktelser med kunder(oppgjør/betalingsforpliktelser/tvisteløsning) ogkriminalitetsbekjempelse (hvitvaskingsloven).Ved utkontraktering av virksomhet vil finansinsti-tusjoner inngå direkte avtaler med den som fåroppdraget. Dette vil kunne være foretak i Norgeog i utlandet.

Finansinstitusjoner prioriterer personvern nårde utvikler nye tjenester og systemer. Dette erifølge krav etter gjeldende regelverk, herunderpersonopplysningsloven, IKT-forskriften oghvitvaskingsloven. Finansinstitusjoner er ogsåunderlagt streng taushetsplikt, noe som begren-ser utlevering av personopplysninger og utviklingav nye tjenester og systemer.

I 2007 gjennomførte Nordea en granskingetter at det ble hevdet at bankansatte i Nordeahadde lekket informasjon om kongehuset ogandre kjendiser til Se og Hør. Granskingen varavhengig av at det fantes logger med oversikt overhvilke ansatte som hadde gjort oppslag på ulikekonti. Datatilsynet hadde ingen innvendinger motgranskingen og er et eksempel på at kundenespersonvern kan veie tyngre enn de ansattes per-sonvern.

Finans Norge ser både store utfordringer ogmuligheter knyttet til innsamling av store data iforbindelse med utvikling av nye tjenester ogsystemer. I vurderingen av ulike muligheter månæringen veie flere hensyn opp mot hverandre,

Boks 16.7 Angrep mot storbanken JPMorgan Chase

Høsten 2014 ble den amerikanske storbankenJPMorgan Chase utsatt for et stort cyberan-grep da en gruppe hackere brøt seg inn idatasystemene deres. Ifølge The New YorkTimes ble rundt ni andre banker og megler-hus rammet av innbruddet, som beskrivessom et av de mest omfattende noensinne. Enav konsekvensene av angrepet var at person-opplysninger til 83 millioner personer og virk-somheter kom på avveie.

Hendelsen ble etterforsket av amerikan-ske myndigheter og skapte frykt for at denstjålne informasjonen kunne bli brukt i svin-delforsøk. I tillegg var det en reell mulighet forat kunder ville tape tillit til banken, som i etter-kant gikk bredt ut til sine interessenter ogredegjorde for hvilke sikkerhetstiltak dehadde etablert for å unngå lignende hendel-ser. Ifølge redegjørelsen hadde JPMorganChase investert mer enn 250 millioner dollarog gitt mer enn 1 000 ansatte i oppdrag å satsepå cybersikkerhet innen utgangen av 2014.


for eksempel forretningsdrift/inntjening, taus-hetsplikt, sikkerhet, kundevennlighet og hensy-net til den enkeltes personvern. Det totale regel-verksbildet næringen er underlagt, setterbegrensninger og rammer for hvilke systemer ogtjenester som kan utvikles og markedsføres, oghvilken informasjon som kan behandles av finan-sinstitusjoner.

I en rapport fra Forbrukerrådet i 2014 påpekesdet blant annet at det eksisterer en rekke uklarebetingelser om bruk av personopplysninger. Detblir også påpekt problemstillinger knyttet til even-tuell misbruk av digitale spor. Forbrukerrådetmener at bankene bør prioritere produktinnova-sjon på betalingstjenesteområdet, og kommer til åfølge utviklingen for å sikre at forbrukernesinteresser blir ivaretatt i denne prosessen.7

16.5.7 Avhengighet av kraft og elektronisk kommunikasjon

Avhengigheten av elektronisk kommunikasjon(ekom) er stor. Sentrale finansaktører bruker istor grad samme kraft- og ekomleverandører.Finansbedrifter og IKT-leverandører kan ikke selvsikre reservekommunikasjon dersom teleoperatø-renes leveranser faller ut. Bankenes Standardise-ringskontor stiller krav til felles infrastruktur, mendet stilles i bransjen spørsmål om hvem som sitterpå den helhetlige oversikten. Dette er avgjørendefor å sikre reell redundans.

Finanstilsynet har vært pådriver i arbeidetmed å forankre finanssektorens prioritering av til-gang til kraft og ekom i en beredskapssituasjon.Det er gjennomført møter mellom aktørene ogetablert rutiner for at kraft- og ekomleverandørerskal kunne prioritere kritiske finanstjenester i enkrisesituasjon. Dette er gjort i samråd med BFI.


Det antas at utviklingen av betalingstjenesterfremover i større grad vil foregå utenfor den tradi-sjonelle banksektoren. Ny teknologi, nye aktørerog forretningsmodeller gjør dette mulig, noe somskaper økt konkurranse i markedet for betalings-tjenester – særlig for småbetalinger. Internasjo-nale aktører som PayPal og Google har betalings-løsninger som ikke er utviklet i bank. Et anneteksempel er Starbucks, som på kort tid har vokstseg til å bli en stor bank i USA. Utviklingen av nyebetalingstjenester vil gi forbrukerne flere instru-menter å velge mellom, slik at de kan velge detsom passer dem best. I en rapport fra NorgesBank fremgår det at dersom nye betalingsmåterskal få gjennomslag, må brukerne oppleve at tje-nestene er raskere eller har funksjoner som eksis-terende betalingstjenester ikke har. Samtidig måsikkerheten være god og prisen akseptabel.8

I EU foregår det store diskusjoner på regel-verkssiden, blant annet om det nye betalingstje-nestedirektivet PSD2 (Payment Services Dire-ctive 2), som trer i kraft tidlig i 2016. DG FISMAoppgir at årsaken til at behandlingen av direktivethar vært så tidkrevende, er at rådet har vært opp-tatt av gode tiltak på informasjonssikkerhet.Finanstilsynet har påpekt to vesentlige områder idet nye direktivet:

7 Forbrukerrådet (2014): Du selger deg billig – En rapport ombetalingsløsninger og personvern.

Boks 16.8 Konsekvenser for finanssektoren ved bortfall av ekom

I DSBs nasjonale risikobilde for 2014 synlig-gjøres store konsekvenser for finansiell stabili-tet som følge av bortfall av ekomtjenester ifem døgn:– Det antas at pengetransaksjoner stopper

opp og terminaler fungerer i begrensetgrad.

– Uten tilgang til kunde-, konto-, og saldoin-formasjon vil korttransaksjoner og utleve-ring av kontanter stoppe etter et par dager.

– «Masseutbetalinger» (for eksempel trygdfra Nav), nettog mobilbank, utenlandshan-del og oppgjørssystemer faller bort.

– Forbindelsen mellom bankene faller ut.

Finanssektorens nødløsninger kan minskeskadene hvis nettet innimellom fungerer, menhvis kommunikasjonen faller helt bort, vil allefinansielle transaksjoner stoppe opp. Stans ipengesirkulasjonen får virkninger for finans-sektoren, næringslivet, publikum og offentligvirksomhet. Det at finansielle registre ognasjonale felleskomponenter som Enhetsre-gisteret, matrikkelen og Altinn ikke fungerer,antas å føre til forsinkelseskostnader.

8 Langbråten, Nina (2012): Nye betalingsmåter. Norges Bank.


– Tilbydere av betalingsinitiering og kontoinfor-masjon og deres rett på vegne av den som beta-ler, å initiere betalinger og innhente kontoinfor-masjon.

– Krav til styring av operasjonell- og sikkerhetsri-siko knyttet til betalingsløsninger og krav tilautentisering, der tidligere henvisninger tilNIS-direktivet nå er erstattet med lovtekst idirektivet.

Internasjonalt fremheves finansmarkedsinfra-strukturer som avgjørende for å opprettholdefinansiell stabilitet, og Norge fremheves som etland med en moderne og stabil finansmarkedsin-frastruktur.9 I en rapport fra The Bank for Interna-tional Settlements (BIS)10 fremheves det at IKT-angrep på finansielle systemer øker i frekvens ogomfang og stadig blir mer sofistikerte. Til trossfor at dette området er høyt prioritert av ledelsen i

selskaper, fremheves det at tiltakene må intensive-res, gitt den hurtige utviklingen i truslene motfinansiell infrastruktur. Det nevnes blant annetutfordringer med deling av gradert informasjon imultinasjonale selskaper, og myndighetene opp-fordres til å bistå virksomhetene med å løse disseutfordringene gjennom koordinerte tiltak mellomoffentlig og privat sektor.

I Finanstilsynets ROS-analyse for 2014 går detfrem at det i 2014 var over 550 typer ulike virtuellevalutaer på verdensbasis. Virtuelle valutaer delesinn i to kategorier – sentrale og desentrale. Dedesentrale virtuelle valuatene som bitcoin, somikke har noen aktør bak seg, representerer en øktrisiko for brukerne, ettersom brukerne ikke harrettsbeskyttelse utover allmenn lovgivning.Finanstilsynet deltok i 2014 i et arbeid i regi avEBA (European Banking Authority), der man såpå om virtuelle valutaer kan og bør reguleres.Rapporten konkluderte blant annet med at «risi-koen man ser, overstiger langt de fordelene mankan se, særlig i europeisk sammenheng». Som enkonsekvens av konklusjonene i rapporten harflere lands myndigheter gått ut med varsler og fra-

9 International Monetary Fund (IMF)(2015): Financial Sys-tem Stability Assessment for Norway.

10 The Bank for International Settlements (BIS)(2014): Cyberresilience in financial market institutions.

Boks 16.9 Endringer i føringer

Verdiøkende tjenester knyttet til betaling ogkontoinformasjon kommer på markedet, dernye grupper av tjenesteleverandører blir regu-lert i det nye betalingsdirektivet. ECB (Euro-pean Central Bank)/ EBA (European BankingAuthority) har tatt initiativ for å definere sikker-hetskrav. Kravene vil gjelde for foretak underregulering.

Et overordnet premiss er at kravene ikkefører til uønskede innlåsingseffekter. Sikker-hetskravene for tilgang til konto må ikke væreslik at de låser kunden inne i det eksisterendetjenestetilbudet, og reglene må ikke være slik atde låser tilbyderne ute når det gjelder å tilbyalternative eller verdiøkende løsninger.

Det er ønskelig at kravene kan bidra til at tje-nestene kan virke på tvers av landene i Europa.

Finanstilsynet ser nå konturene av prinsippersom anses hensiktsmessige for å oppnå dette.– Det skal defineres standardiserte grensesnitt

som tilbydere kan benytte for å få tilgang tilkonto.

– Der det eksisterer en standard når det gjel-der krav til sikkerhet for et gitt sikkerhets-nivå, skal denne standarden kunne benyttes/tilbys. Dette kan tenkes å gjelde innenfor

områder som PKI, kryptering og autentise-ring.

– Proprietære løsninger som låser kunden inneog tjenestetilbyderen ute, er ikke ønskelige.

– Effektivitet i oppgjør og levering av varer ogtjenester, samt ønsket om utvikling av nye tje-nester, tilsier at tilgangen til konto bør væredirekte og ikke indirekte.

– En tilbyder av tjenester som bygger på konto-informasjon, skal autentisere seg overforkunden og banken.

– Tilbyderen skal kunne bygge på bankensautentiseringsløsning.

– Tilbyderen skal kommunisere med brukerog bank på en sikker måte i henhold til tek-niske standarder utviklet av EBA i nært sam-arbeid med ECB.

EBA har tidligere utgitt ECBs anbefalinger tilsikkerhet når det gjelder Internett-betalinger.Grunnsikringen har ikke vært ansett som til-strekkelig på dette området. Anbefalingeneinnebærer en innskjerping av sikkerheten nårdet gjelder betalinger med blant annet kortutstedt av norske banker og kredittkortselska-per. Anbefalingene gjelder fra 15. august 2015.


rådet finansnæringen å kjøpe eller eie slik virk-somhet. Det advares mot at virtuelle valutaer kaninnebære stor risiko for brukerne, ettersom deikke er regulert eller garantert av en sentralbank.Hittil er ingen forpliktet til å motta virtuelle valu-taer som betaling, og Skattedirektorat har vurdertomsetning av bitcoin til å være en elektronisk tje-neste og ikke en valuta.11

Valutaer som bitcoin og litecoin kan være medpå å tilrettelegge for kriminalitet, ettersom valuta-ene tillater anonymt eierskap og anonyme overfø-ringer av verdier. Samfunnets kontrollinstanser ogpolitiet vil da ikke lenger kunne følge pengestrøm-mer ved mistanke om ulovlige transaksjoner. Deter eksempler på at bitcoin er blitt brukt av krimi-nelle til å presse individer og bedrifter for penger,for eksempel ved løsepengeviruset CryptoLocker.


Utvalget mener at finansnæringen representereren sektor med høy bevissthet rundt de trusleneog sårbarhetene økt digitalisering medfører, sam-menlignet med andre sektorer. Sikkerhet har hit-til ikke vært en konkurransefaktor, men noefinansnæringen har samarbeidet om for å kunneta i bruk ny teknologi. Dette er begrunnet i blantannet økonomi, slik at bankene kan komme fremtil gode fellesløsninger på et tidlig tidspunkt.Utvalget mener det er viktig at finansnæringenfortsetter å styrke og effektivisere den samhand-lingen som allerede eksisterer. Dette vil ogsåvære avgjørende på grunn av den sterke avhen-gigheten mellom bankene, for eksempel at det forkundene vil være et problem når andre banker erutilgjengelige.

God operasjonell risikostyring er sentralt for åforstå nivået på risiko i en virksomhet, og er sær-lig viktig for virksomheter i finansnæringen, derIKT er et helt sentralt virkemiddel. Finanstilsy-nets krav bidrar til at det gjennomføres regelmes-sige risikoanalyser, men det sikrer ikke nødven-digvis nivået på kvaliteten. Det er viktig at sekto-ren – både virksomhetene og tilsynsmyndighe-tene – gjennomfører kvalitativt gode risikoanaly-ser, gitt kompleksiteten i arkitektur ogverdikjeder.

Utvalget foreslår følgende tiltak:

16.7.1 Styrke innsatsen på vurdering av fremtidige betalingstjenester

Utviklingen av nye betalingstjenester foregårraskt og utfordrer de tradisjonelle samarbeids-mønstrene mellom bankene. Ut fra et næringsper-spektiv og av effektivitetshensyn er dette en utvik-ling som gir både enkeltpersoner og næringslivetmange fordeler. Dette utfordrer imidlertid finans-næringen med hensyn til håndtering av risiko. Deter lagt stor vekt på raskt å omsette ny teknologi tilnye tjenester. Brukervennlighet og «time to mar-ket» vil ofte prioriteres, noe som kan gå på bekost-ning av sikkerhet og operasjonell stabilitet. Detteer eksempler på at de nye betalingstjenestene kanmedføre nye digitale sårbarheter, der utfordrin-gene ligger utenfor nasjonal kontroll og Norgeikke i like stor grad har mulighet til å påvirke.

Finansforetak vil kunne bli involvert i å tilrette-legge løsninger som ikke er tilstrekkelig sikre.Selv om dette foreløpig er svært begrenset, vil detkunne øke i omfang og bli en utfordring, blantannet ved at det blir flere ledd i verdikjeden sombankene ikke har kontroll over.

Utvalget mener finansnæringen bør rette meroppmerksomhet mot disse problemstillingene, blantannet for å sikre at regelverket også fremover errelevant og tilpasset. Finansdepartementet børinnta en tydeligere rolle for å følge med på nye aktø-rer som tilbyr bank- og betalingstjenester.

16.7.2 Videreføre tverrfaglig samarbeid for god beredskapsevne og håndtering av alvorlige tilsiktede IKT-hendelser

Utvalget mener det er viktig å videreføre det godearbeidet som gjøres i dag med hensyn til rapporte-ring og håndtering av tilsiktede IKT-hendelser. Ensystematisk tilnærming til hendelseshåndteringbidrar til effektiv gjenoppretting, statistisk over-sikt over utviklingen og ikke minst evne til å læreav feilene for å iverksette nye og/eller justerte til-tak. Utvalget oppfatter Finanstilsynets initiativ for2015 om identifisering av rotårsaker til alvorligehendelser som viktig i denne sammenheng. Utval-get mener det er positivt at bransjen selv har tattinitiativ til FinansCERT. Det synes å være et storteierskap til FinansCERT i sektoren. Utvalgetpoengterer at det må tilrettelegges for brederesamarbeid og informasjonsdeling nasjonalt. Deter avgjørende med et godt organisert samarbeidpå tvers av CERT-ene for å få best mulig nytte utav ressursene.

I tillegg mener utvalget at FinansCERT, i sam-arbeid med foretakene, må ta høyde for å etablere11 Norges Bank (2014): Finansiell infrastruktur 2014.


risikoindikatorer som kan fange opp hendelser somikke følger hittil kjente angrepsmønstre («blackswan»12), og i større grad være forberedt på sjeldne,men store hendelser.

Utvalget er kjent med arbeidet i Beredskapsut-valget for finansiell infrastruktur (BFI) og de felle-søvelsene som BFI iverksetter årlig. Det er viktigå tørre å planlegge for de sjeldne krisescenario-ene, som at den elektroniske infrastrukturen blirutilgjengelig over lengre tid, og at man må gå overtil alternative løsninger. Utvalget stiller spørsmålved hvor godt forberedt sektoren vil kunne være til åhåndtere de store krisene, og mener BFI, i samar-beid med FinansCERT, må ta initiativ til mer sam-ordnede og komplekse øvelser, med tilstrekkeligtyngde og realisme. Dette blir desto viktigere, gittutviklingen av lange og komplekse leverandørkje-der. Videre bør krisekommunikasjon til kundeneøves.

16.7.3 Analysere sårbarhetskonsekvensene som følge av utkontraktering ut av landet

Utvalget mener det er en svakhet at det er få øko-nomiske incentiver til å tenke langsiktig med hen-syn til kompetansebehov ved utkontraktering. Detmå stilles krav til hva slags kompetanse og kapasi-tet organisasjonen som utkontrakterer, må ha forfaktisk å ivareta ansvaret rundt leverandøroppføl-ging. Utvalget opplever en usikkerhet rundt hvor-vidt for mange utkontrakterer for mange av opp-gavene eller har for lite ressurser til at de reeltkan kontrollere og følge opp avtalen og leveran-sene. Utvalget er samtidig kjent med at det er van-skelig å finne tilstrekkelig kompetanse i Norge.

Utvalget mener noe av kompetansen må værevirksomhetsnær, spesielt med hensyn til bered-skap. Det er viktig at virksomhetene har et bevisstforhold til hvilken kompetanse som ikke børutkontrakteres. Selv om utkontraktering av virk-somhet kan være innenfor akseptabel risiko fordet enkelte foretaket, kan det medføre samfunns-messige konsekvenser som ikke kan aksepteresdersom et stort antall foretak i en sektor flytter sinIKT-virksomhet ut av landet.

Etter utvalgets vurdering må Finansdeparte-mentet gi Finanstilsynet i oppdrag å vurdere hva delangsiktige konsekvensene av offensiv bruk avutkontraktering kan bli. Det bør vurderes om utkon-

traktering av virksomhet som kan være viktig forsamfunnet, bør ha krav om at det til enhver tid skalvære en virksom «cold backup» lokalt i Norge. Ifinanssektoren i Norge er det regler for utkontrak-tering både i IKT-forskriften og i forskrift om risi-kostyring og internkontroll, men det bør vurderesom disse bør videreutvikles og detaljeres basertpå den foreslåtte kompetansevurderingen. Utval-get mener det er viktig å modnes når det gjelderdenne problemstillingen, ettersom utstrakt bruk avutkontraktering på sikt kan bidra til å svekke dennasjonale evnen til utvikling og oppfølging på sen-trale kompetanseområder.

16.7.4 Videreføre og styrke engasjementet for å påvirke internasjonal regulering av IKT-sikkerhetsmekanismer

Utvalget observerer at det er en økende trend atman har felles regelverk med EU og andre inter-nasjonale aktører. Utvalget anerkjenner FinansNorges frykt for å få lavere sikkerhetskrav iNorge som følge av felles regelverk i EU. Interna-sjonal konkurranse vil kunne bidra til å drive kra-vene ned mot en nedre grense, selv om Norge iutgangspunktet kan definere strengere minimum-skrav. Det er viktig at Finansdepartementet tar engjennomgang av hvilke arenaer Norge har tilgangtil, samt benytter de mulighetene som finnes for åpåvirke utviklingen tidligst mulig. Utvalget er enigmed Finanstilsynet i at tilsynsaktivitetene må væreà jour med beste praksis, og oppfordrer Finanstilsy-net til å videreføre det omfattende samarbeidet somallerede pågår internasjonalt, med andre lands ogEUs tilsynsorganer.

16.7.5 Styrke beredskapstiltak for utviklingen mot det kontantløse samfunnet

Norge er ett av få land der kontantandelen av detsamlede pengevolumet er på under 5 prosent. Øktinnføring av mer brukervennlige og kosteffektivebetalingsløsninger vil sannsynligvis føre til at kon-tantandelen fortsatt vil synke. Imidlertid spillerfortsatt kontanter en viktig rolle i samfunnet. Detå benytte kontanter som en del av beredskapsløs-ningen er under utredning av Norges Bank ogFinanstilsynet. Finans Norge har angitt at omfat-tende bruk av kontanter i en beredskapsløsninger lite hensiktsmessig for bankene.

Som en del av myndighetenes vurderinger inn-går også en klargjøring av bankenes plikt til åsikre tilbakebetaling til innlånskundene, også i enalvorlig beredskapssituasjon. Grupper i samfun-

12 «The black swan theory» dreier seg om hendelser somkommer som en overraskelse og har betydelig negativeffekt, men som oppstår svært sjelden, slik at det er liteeller ingen hendelseshistorie å lære av det.


net kan også være mer avhengige av tilgang påkontanter som betalingsmiddel enn andre, så envurdering av aktiv utfasing av kontanter har fleremotstridende faktorer. Full overgang til digitaleløsninger og dermed kun elektroniske penger kanut fra en beredskapsmessig synsvinkel gi økt sår-barhet ut fra dagens status for beredskapsløsnin-gene.

Utvalget mener dette er et eksempel på en storsårbarhet med digitalt utspring som Norge må haberedskap for. At det eksisterer kontanter, gir i segselv flere muligheter i en krisesituasjon. Finansde-partementet bør ta initiativ til å se på hvordan dettebest kan løses, blant annet gjennom å se til andrelands håndtering av lignende utfordringer.


Kapittel 17

Helse og omsorg

Nødvendig helsehjelp og omsorgstjenester tilbefolkningen er en vesentlig og kritisk samfunns-funksjon for å redde liv, behandle sykdom og gibistand til dem som trenger hjelp til dagliglivetsnødvendige gjøremål. Helsesektoren består av etomfattende antall virksomheter i både offentlig ogprivat sektor – cirka 17 000 virksomheter og cirka300 000 ansatte. Sektoren er komplekst organiserti administrative styringsnivåer, ulike nivåer forhelsehjelp, ulike grupper helsepersonell og flereforsknings- og kunnskapsmiljøer. Det siste tiårethar sektoren vært igjennom omfattende reformernår det gjelder organisering av helseforetak ogsenere omfordeling av oppgaver mellom spesia-listhelsetjenesten (sykehus) og primærhelsetje-nesten (kommunal helse- og omsorgstjeneste).Reformene er gjennomført ved flere særlover. Sty-ring, herunder effektivitets- og sikkerhetsmål vedbruk av IKT, er også en vesentlig del av de gjen-nomførte og pågående reformene. Sammenlignetmed andre land var Norge tidlig ute med å ta ibruk IKT på mange områder i helsesektoren.1

Dokumentasjonsplikt, taushetsplikt og beho-vet for tilgang til nødvendige opplysninger til hel-sehjelpsformål er grunnleggende krav som stillestil det omfattende antallet IKT-systemer i sekto-ren. Kombinasjonen av taushetsplikt, tilgjengelig-het og korrekt informasjon stiller høye krav tilopplysningskvalitet og informasjonssikkerhet ipasientjournalsystemene og til sikker bruk avinfrastrukturen som formidler pasientopplysnin-ger mellom virksomhetene. Helsedirektoratetarbeider med løsninger som skal sikre mulighetfor elektronisk kommunikasjon mellom lege ogpasient og gi pasienter tilgang til egne helseopp-lysninger.

Deler av utvalgets sårbarhetsbeskrivelse erbasert på oppsummering fra workshop om digi-tale sårbarheter i helsesektoren, se elektroniskvedlegg «Digitale sårbarheter i helsesektoren(SINTEF)».

17.1 Infrastruktur

Infrastrukturen internt i sykehus kan være sværtkompleks og består blant annet av systemer forpasientstyring (for eksempel elektroniske journa-ler), systemer for laboratoriestyring, radiologisty-ring, operasjonsstøtte og klinisk overvåking.Samtlige av disse består igjen av en rekke under-liggende systemer. Oslo universitetssykehus opp-gir at de anslagsvis har over 1 000 systemer.

Norsk Helsenett ble etablert i 2004 og fasilite-rer blant annet et kommunikasjonsnett – helsenet-tet – som skal legge til rette for sikker utvekslingav personopplysninger og kommunikasjon forøvrig. I tillegg skal selskapet levere basistjenestersom støtter samhandlingen i hele helse- ogomsorgssektoren. Norsk Helsenett eier ikke egenfiberinfrastruktur, men kjøper transmisjon fratredjeparter, som Telenor. Med Neste Genera-sjons Kjernenett blir Broadnet leverandør av fiber-infrastruktur til helsenettet. Broadnet vil i tilleggtil å benytte eksisterende fibernett etablere en nyinfrastruktur for dette formålet.

Helsenettet er etablert for å sikre en fellesstandardisert infrastruktur for elektronisk sam-handling i helse- og omsorgssektoren i Norge.Med et slikt nettverk blir det mulig å standardi-sere felles tjenester og sikkerhetsregimer.

Nasjonal kjernejournal, e-resept og IKT-systemer til støtte for pasientreiser er eksemplerpå nasjonale tjenester som tilbys gjennom helse-nettet. Virksomheter som knytter seg til helsenet-tet, er forpliktet til å oppfylle kravene i Norm forinformasjonssikkerhet i helsesektoren. Det er etkrav at virksomheter som knytter seg til NorskHelsenett, ikke har egen Internett-forbindelse frasitt nettverk. Som medlem av helsenettet får virk-somhetene tilgang til flere helseadministrativeregistre, blant annet Norsk Helsenetts adressere-gister, Helsepersonellregisteret og Legestillings-registeret. Norsk Helsenett administrerer påvegne av Skattedirektoratet en kopi av Folkeregis-teret som sikrer medlemmene fri tilgang til rele-

1 Meld. St. 9 (2012–2013) Én innbygger – én journal.


vante folkeregisterdata. Norsk Helsenett er for-pliktet til å levere kommunikasjon 24/7.

Utbredelsen av helsenettet har vært i betyde-lig vekst. I 2014 inkluderte helsenettet over 2 500helseaktører: offentlig og privat spesialisthelsetje-neste, nesten alle legekontorer, over 700 tannle-ger, alle norske kommuner, alle apoteker og defleste av landets laboratorier og røntgeninstitutter.Norsk Helsenett har uttrykt en ambisjon om atalle som har behov for det, skal være tilknyttethelsenettet innen 2020. Samtidig ser de på mulig-heten for å kommunisere med utenlandske klinik-ker og sykehus som behandler norske pasienter.

På det meste går det 800 000 unike medisinskemeldinger gjennom helsenettet i døgnet. Underle-verandører til helsenettet må følge kravene iNorm for informasjonssikkerhet i helse- ogomsorgstjenesten. Norsk Helsenett foretar en sik-kerhetsvurdering før tilkobling innvilges, og i til-legg blir utstyr og tjenester levert av underleve-randører testet for å forhindre uønsket eller ska-delig funksjonalitet.

I tillegg til de nasjonale tjenestene som tilbysav Norsk Helsenett, inngår en rekke IKT-systemer i primærhelsetjenesten (kommunehel-

setjeneste, fastlegekontorer med videre) og spesi-alisthelsetjenesten (regionale helseforetak). Enkomparativ studie fra 2014 viser hvilke IKT-systemer som er i bruk i den enkelte helseregion,og hvilke moderniseringsplaner som foreliggerfrem mot 2018. Av studien går det frem at katego-riene pasientstyring, spesialistsystemer og digi-tale tjenester er høyt prioritert. Innenfor kategori-ene helseovervåking og beredskap er det ikkeplanlagt modernisering i perioden.2


Sykehusreformen organiserer og regulerer, medhjemmel i helseforetaksloven og spesialisthelse-tjenesteloven, roller og ansvar for spesialisthelse-tjenesten (sykehusene). Samhandlingsreformenstiller krav til samarbeid mellom kommune ogstat, og helse- og omsorgstjenesteloven tildelerroller og ansvar i primærhelsetjenesten.

Figur 17.1 Norsk Helsenett – dagens situasjon.

Kilde: Norsk Helsenett.

Nordic ConnectHelsene�

x 2500SMO - Små og mellomstore OrganisasjonerLegekontor, Tannleger, Apotek ++

x 428Kommuner

A/S-DSL x 264x regionale Helseforetak

EvryGjøvik

Norsk HelsenettDatasenter Tromsø

Helseforetak

Norsk HelsenettDatasenter Trondheim

eResept

PasientreiserEDI

KjernejournalHelseadm reg.Helsenorge.no

Samtrafikk+++

+++

2 Helsedirektoratet (2014): Utredning av «én innbygger – énjournal», Komparativ analyse av de regionale helseforeta-kene på IKT-området.


Helse- og omsorgsdepartementet (HOD) har detoverordnede ansvaret for at befolkningen får godeog likeverdige helse- og omsorgstjenester, og hardet strategiske ansvaret for IKT-utviklingen ihelse- og omsorgssektoren.3 HOD har overordnetansvar for informasjonssikkerhet og objektsikker-het i helse- og omsorgssektoren og styrer de regi-onale helseforetakenes arbeid med beredskap ogsikkerhet. HOD gir oppdrag til Helsedirektoratetangående myndighetsoppgaver knyttet til infor-masjonssikkerhet, og til Norsk Helsenett angå-ende drift av HelseCSIRT (Computer SecurityIncident Response Team).

Helsedirektoratet er underlagt HOD og har etoverordnet ansvar for at de nasjonale strategienefor elektronisk samhandling og standardiseringblir fulgt opp og realisert. Ansvaret for etableringav flere nasjonale IKT-prosjekter, som nasjonaltmeldingsløft, e-resept, helsenorge.no, automatiskfrikort og kjernejournal, ligger også til Helsedi-rektoratet. Helsedirektoratet iverksetter IKT-tiltaksom omfatter hele helse- og omsorgssektoren, ogivaretar en faglig og koordinerende rolle på vegneav hele sektoren overfor sektorovergripende felle-skomponenter som for eksempel ID-porten.

Direktorat for e-helse opprettes 1. januar 2016basert på divisjon e-helse i Helsedirektoratet.

Direktoratet skal være fagdirektorat for Helse- ogomsorgsdepartementet når det gjelder IKT-poli-tiske spørsmål. Sentrale oppgaver vil være ledelseog styring av nasjonale oppgaver knyttet til pre-misser, standarder og retningslinjer innen IKT-området, herunder innspill til politikkutforminginnen e-helse. Direktoratet vil også få i oppgave åutvikle, implementere og drifte nasjonale felles-komponenter.

De regionale helseforetakene (RHF) (HelseVest, Helse Midt-Norge, Helse Nord og Helse Sør-Øst) er eid og styrt av Helse- og omsorgsdeparte-mentet. RHF-ene styres gjennom årlig budsjettil-deling over statsbudsjettet med tilhørende opp-dragsbrev og har «sørge-for»-ansvar og tilretteleg-gingsansvar for at helseforetakene kan yte helse-tjenester. I tillegg mottar RHF-ene styringsførin-ger fra politiske mål og strategier, også for IKT-området. Hvert av de regionale helseforetakenehar etablert en felles IKT-tjenesteleverandør forsin region: Sykehuspartner (Helse Sør-Øst),Helse Vest IKT (Helse Vest), Hemit (Helse Midt-Norge) og Helse Nord IKT (Helse Nord). I en rap-port fra Helsedirektoratet i 2015 fremmes enanbefaling om å etablere en helhetlig og fellesnasjonal leverandørfunksjon for helse- ogomsorgssektoren som kan sørge for anskaffelse,utvikling, drift og forvaltning av nasjonale felles-løsninger.43 Meld. St. 9 (2012–2013) Digitale tjenester i helse- og omsorgs-

sektoren, kap. 5, s. 43–47.

Boks 17.1 Neste Generasjons Kjernenett

Figur 17.2


I forbindelse med Norsk Helsenetts innføring avNeste Generasjons Kjernenett er det lagt bety-delig vekt på høytilgjengelig høykapasitetsnett.Bakgrunnen for det nye helsenettet er behovetfor å øke kapasiteten i nettet og gjøre det merrobust. I tillegg er det avgjørende at Norsk Hel-senett mer effektivt skal kunne implementerenye tjenester. Dagens infrastruktur tar foreksempel ikke høyde for innføringen av Nasjo-nal kjernejournal. Norsk Helsenett er i ferd medå etablere georedundante løsninger, og har til-gang til tre eller flere optiske bølgelengder iminst tre uavhengige føringsveier mellom Oslo,Bergen, Trondheim og Tromsø. Den overord-nede arkitekturmodellen inkluderer fire data-sentre, som alle er likeverdige og kan fungeresom backup for hverandre. Infrastrukturen tilNeste Generasjons Kjernenett vil være på plass iløpet av 2015. Deretter skal kundene fases overpå det nye nettet.


Helseforetakene (sykehusene) representererkjerneytelsen i spesialisthelsetjenesten, som er ågi adekvat helsehjelp poliklinisk og på døgnbasis.Helseforetakene er eid av RHF-ene, men er selv-stendige rettssubjekter. Innen IKT er foretakene istadig større utstrekning avhengige av RHF-enesIKT-enheter, som beslutter innkjøp, infrastrukturog drift av IT-systemene. Dette krever dialog ograpportering mellom foretaket og IKT-selskapet.

Primærhelsetjenesten dekker kommunalehelse- og omsorgstjenester, som fastlege, syke-hjem, legevakt med videre. Kommunenes ansvarfor helse- og omsorgstjenester omfatter pasientermed behov for sammensatte og koordinerte tje-nester, noe som krever involvering og kommuni-kasjon med flere kommunale enheter, samt medspesialisthelsetjenesten, i forbindelse med inn- ogutskriving av pasienter. Kommunale helse- ogomsorgstjenester har derfor et stort behov for sik-ker kommunikasjon. Kommunene følger nasjo-nale føringer og programmer for bruk og utvik-ling av IKT fra KS og Helsedirektoratet.

KommIT er et program for IKT-samordning ikommunesektoren. Hver kommune forvalter sineegne IKT-kjernesystemer, men enkelte samarbei-der interkommunalt. Fastlegene er en del av denkommunale helsetjenesten, og har i svært storgrad sine egne IKT-systemer med liten eller ingenintegrasjon med kommunenes IKT-systemer, medunntak av meldingsutveksling ved bruk av helse-nettet.

Statens helsetilsyn har, sammen med Fylkes-mannen, det generelle tilsynsansvaret i helsesek-toren, og fører tilsyn med utførelse av helsehjelpog med helsepersonells skikkethet. Tilsynet førerogså tilsyn med helseberedskapsloven og tilsyn iforbindelse med større uønskede hendelser.

Folkehelseinstituttet (FHI) er underlagt Helse-og omsorgsdepartementet og er en nasjonal kom-petanseinstitusjon for myndigheter, helsetjeneste,rettsapparat, påtalemyndighet, politikere, mediaog publikum. Instituttets hovedoppgaver er helse-overvåking, forskning, forebyggende helsearbeidog beredskap. FHI har ansvar for 10 av 17 sentralehelseregistre. De sentrale helseregistrene bru-kes til landsdekkende formål knyttet til helsesta-tistikk, beredskap, kvalitetsforbedring av helsetje-nester, forskning, administrasjon og styring.

Norsk Helsenett SF er et statsforetak som sty-res med oppdragsbrev fra Helse- og omsorgsde-partementet. Oppdraget er å levere og videreutvi-kle en sikker, robust og hensiktsmessig nasjonal

IKT-infrastruktur for effektiv samhandling mel-lom alle aktører i helse- og omsorgstjenesten,helsenettet. Norsk Helsenett utarbeider risikovur-deringer for nye eller endringer av eksisterendetjenester, og gjennomfører en rekke sårbarhets-kartlegginger i egen infrastruktur. Videre har deet opplegg for monitorering av løsninger og infra-struktur, både internt og i regi av HelseCSIRT.

Nasjonal IKT er spesialisthelsetjenestenshovedarena for samhandling innen informasjons-og kommunikasjonsteknologi. Det gjelder bådesamhandling innad i spesialisthelsetjenesten (mel-lom de ulike helseforetakene og de regionale hel-seforetakene) og samhandling med andre sen-trale aktører, som kommunehelsetjenesten,Helse- og omsorgsdepartementet, Helsedirektora-tet og Norsk Helsenett.

I tillegg kommer en rekke private aktører i hel-sesektoren. Flere av disse er tilknyttet Norsk Hel-senett og/eller kjøper driftstjenester fra eksterneleverandører. Det er fragmenterte ansvarsforholdi helse- og omsorgssektoren, med mange selv-stendige aktører som ikke er underlagt direktestatlig styring, unntatt gjennom lov.


Helsesektoren er sterkt lovregulert med bak-grunn i de store reformene som har vært førendesiden helseforetaksreformen i 1999. Sektoren sty-res i stor grad av rettsregler fra 2000, med hyp-pige endringer og nye lover frem til i dag. Sentralelovverk for helsetjenesten omfatter både organise-ring, beredskap, krav til ytelse av helsehjelp, her-under krav til å dokumentere helsehjelpen forsenere bruk i pasientbehandlingen og for å kunnekontrollere at den helsehjelpen som ble gitt, varforsvarlig.

For bruk av IKT som verktøy i tjenestene er demest sentrale lovene helsepersonelloven, pasien-tjournalloven, pasient- og brukerrettighetsloven,helseregisterloven og personopplysningsloven.

Lov om helsemessig og sosial beredskap (helse-beredskapsloven) pålegger kommuner, fylkeskom-muner og regionale helseforetak å utarbeide enberedskapsplan for de helse- og omsorgstje-nestene eller sosialtjenestene de skal sørge foreller er ansvarlige for å tilby. Plikt til å etablereplanverk fremgår også av spesialisthelsetjeneste-loven, den kommunale helse- og omsorgstjeneste-loven og folkehelseloven. Planplikten i helsebe-redskapsloven er utdypet i forskrift nr. 881 23. juli2001 om krav til beredskapsplanlegging og bered-

4 Helsedirektoratet (2015): Styrket gjennomføringsevne forIKT-utvikling i helse- og omsorgstjenesten.


skapsarbeid. Forskriften fastsetter at virksomhe-ten gjennom risikoog sårbarhetsanalyser skalskaffe en oversikt over hendelser som kan føre tilekstraordinære belastninger for virksomheten, ogat det på bakgrunn av avdekket risiko og sårbar-het skal utarbeides en beredskapsplan. Verkenloven eller forskriften nevner ekom eller IKTeksplisitt, men det forutsettes at dette er omfattetav pålegget om risikoog sårbarhetsanalyser.

Lov om behandlingsrettede helseregistre, pasien-tjournalloven, regulerer adgangen til å registrereog bruke pasientenes helseopplysninger for å yteog administrere helsehjelp. Loven forener beho-vene for dokumentasjon til helsehjelpsformål ogivaretakelse av pasientenes krav på personvern.Lovens § 5 viser til at personopplysningslovensupplerer pasientjournalloven. For eksempel stil-les det krav til informasjonssikkerhet i personopp-lysningsloven kapittel 2, som gjelder frem til HODeventuelt benytter adgangen til å gi forskrift etter§ 22 i pasientjournalloven.

Lov om helseregistre og behandling av helseopp-lysninger, helseregisterloven, gir hjemmel for å eta-blere helseregistre på tre forskjellige måter. Hvil-ken fremgangsmåte som skal benyttes, er avhen-gig av pasientens mulighet til å medvirke til å laseg registrere. Registre som må opprettes ved lov,omfattes av § 11, ved forskrift §§ 8 og 9 eller vedkonsesjon fra Datatilsynet § 7. Datatilsynet hargitt konsesjon til cirka 20 nasjonale sykdomsregis-tre. Til nå er det lovvedtak for ni ulike helseregis-tre,5 og det pågår et arbeid for å etablere et nasjo-nalt register for primærhelsetjenesten, tilsvarendeNorsk pasientregister for spesialist-helsetje-nesten, som registrerer alle pasientbehandlingerved landets sykehus. Personopplysningslovensregulering av informasjonssikkerhet gjelder forbåde helseregisterloven og pasientjournalloven.

Norm for informasjonssikkerhet i helse- ogomsorgstjenesten, heretter kalt Normen, er utarbei-det av aktørene i sektoren med sikte på å sørge forimplementering av rettslige krav til informasjons-sikkerhet i den enkelte virksomhet og i sektorengenerelt. Dette skal bidra til å etablere gjensidigtillit til at samtlige virksomheter behandler helse-og personopplysninger på et forsvarlig sikkerhets-nivå. Normen omsetter lovkravene til behandlingav helseopplysninger til praktiserbare funksjo-

nelle krav som skal sikre gjennomføring i IKT-systemene.

Normen er i samsvar med bestemmelser somomhandler konfidensialitet, opplysningsplikt,dokumentasjonsplikt, pasientenes rett til innsyn,med videre. Videre omfattes virksomhetenes sys-temansvar, som skal sikre at helsepersonell kanivareta sine lovpålagte plikter, herunder taushets-plikten. Ved eventuell motstrid mellom Normenog de til enhver tid gjeldende lover eller forskrif-ter vil lov og forskrift gå foran Normen.

Tilsyn

Det finnes ikke et eget sektortilsyn for informa-sjonssikkerhet på helseområdet. Helsetilsynet harsom tidligere beskrevet det generelle tilsynsan-svaret i sektoren. De fører også tilsyn med helse-beredskapsloven og utfører tilsyn i forbindelsemed større uønskede hendelser. Datatilsynet somgenerell tilsynsmyndighet fører tilsyn med atbehandlingen av helseopplysninger er i samsvarmed regelverket i både pasientjournalloven, hel-seregisterloven og personopplysningsloven. Forto av de lovregulerte helseregistrene, Norsk pasi-entregister og Hjerte- og karregisteret, førerDatatilsynet forsterket tilsyn. Det innebærer årligrapportering fra registrene med oppfølging fra til-synet. For medisinsk utstyr, elektromedisinskutstyr inkludert, er tilsynsansvaret delt mellomStatens helsetilsyn / Fylkesmannen, Helsedirek-toratet og Direktoratet for samfunnssikkerhet ogberedskap – dels for ulike typer helseinstitusjonerog dels ut fra type medisinsk utstyr.


De overordnede kravene til beredskap for kom-muner, fylkeskommuner og regionale helsefore-tak går frem av flere regelverk, som beskrevet ipunkt 17.3 «Hjemmelsgrunnlag og tilsynsvirksom-het». Nasjonal helseberedskapsplan er et nasjo-nalt rammeverk for helsesektorens beredskap.Planen beskriver lov- og plangrunnlag, aktørene ihelseberedskapen og deres rolle, ansvar, opp-gaver og ressurser når det gjelder forebygging,beredskapsplanlegging, kriser og katastrofer, ogutgjør grunnlaget for helsesektorens håndteringav alle typer kriser og katastrofer.6

5 De ni registrene som er opprettet i medhold av lov, er:Dødsårsaksregisteret, Medisinsk fødselsregister, Kreftre-gisteret, Meldingssystem for smittsomme sykdommer, Sys-tem for vaksinasjonskontroll, Forsvarets helseregister,Norsk pasientregister, Nasjonalt register over hjerte- ogkarlidelser og System for bivirkningsrapportering.

6 Helse- og omsorgsdepartementet (2014): Nasjonal helsebe-redskapsplan. Versjon 2.0.


Helse- og omsorgsdepartementet oppgir atIKT-hendelser var tema under Øvelse Østlandet2013, der all infrastruktur ble utilgjengelig. NorskHelsenett har også gjennomført flere øvelser.

Mange hendelser inntreffer som følge av man-glende opplæring, holdninger og årvåkenhet. Detøves på nedetid av IKT-systemer, men som oftestikke på redusert bemanning. Det er uttrykt at dettrengs beredskapsplaner og øvelser med tanke påsituasjoner der blant annet journalsystemer er uteav funksjon. Ifølge Norsk Helsenett anses nedetidpå IKT-systemer ofte som mindre kritisk ennevnen til å yte helsehjelp i sektoren, noe som oftegjenspeiles i beredskapsplanene. Ifølge NorskHelsenett er dette et område som antas å få størreoppmerksomhet i årene som kommer. Flere av deregionale driftsleverandørene har rapportert omIKT-hendelser som har medført utilgjengelighet iIKT-systemene og dermed redusert kapasitet tilpasientbehandling i kortere perioder. Lav grad avstandardisering og stor grad av arv av systemermedfører blant annet lang responstid når hendel-ser inntreffer.

HelseCSIRT7 ble etablert i 2011 og driftes avNorsk Helsenett. HelseCSIRT er helse- ogomsorgssektorens nasjonale senter for informa-sjonssikkerhet. Senteret kan brukes av hele sek-toren, og bistår blant annet de regionale helsefore-

takene ved IKT-hendelser. HelseCSIRT skal bidratil økt kompetanse om IKT-trusler og beskyttel-sesmekanismer og kontinuerlig holde øye medtrafikken i helsenettet. Målet er å forebygge,avdekke og håndtere trusler mot sikkerheten.Senteret er et viktig verktøy for å ivareta informa-sjonssikkerheten og kartlegge sårbare systemer isektoren. Støtten HelseCSIRT gir de regionalehelseforetakene og driftsleverandørene, blirbetraktet som svært nyttig av sektoren. Det erlikevel avgjørende for en effektiv håndtering atdet er tilstrekkelig sikkerhetskompetanse til stedelokalt.

HelseCSIRT har et eget sensornettverk,Nasjonalt beskyttelsesprogram for helse- ogomsorgssektoren (NBP). NBP består av sensorerplassert i helsenettet som oppdager uønskedehendelser og uønsket trafikk ved at all trafikkskannes i sanntid. Det er etablert varslingsrutinerfor å informere deltagerne i beskyttelsesprogram-met om hendelser, trusler og sårbarheter. Per1. oktober 2015 var det utplassert 26 sensorer påsentrale steder i helsenettet.

HelseCSIRT er tilknyttet Varslingssystem fordigital infrastruktur (VDI), og samarbeider medNSM NorCERT og øvrige sektorvise CERT-er iNorge. Norsk Helsenett har et forpliktende sam-arbeid med alle aktører som er tilknyttet helsenet-tet, og gjennom Nasjonalt beskyttelsesprogram(NBP).

Det finnes ingen rapporteringsplikt om IKT-hendelser i helsesektoren. De regionale helse-

7 I forslag til statsbudsjett for 2016 har HOD foreslått at Hel-seCSIRT skal gå over til en fullverdig CERT. HelseCSIRThar vært godkjent for det i tre år allerede. Uttrykket Helse-CERT vil dermed kunne benyttes fremover.

Boks 17.2 Økende utfordringer knyttet til løsepengevirus i helsesektoren

I helsesektoren har det vært hendelser knyttettil løsepengevirus som krypterer filene lokalt ogpå nettverksområder som det får tilgang til, ogder trusselutøveren i etterkant krever bitcoinssom løsepenger for å dekryptere filene. HelseSør-Øst har opplevd til dels alvorlige hendelserder flere hundre tusen filer har blitt kryptert i énog samme infeksjon. Dette har medført at doku-menter, databaser eller andre filer på delte fil-områder har blitt uleselige, og at personell somhar blitt rammet av dette – noen ganger i fleretimer – ikke får tilgang til ressurser for å utførearbeidsoppgavene sine. Ved et annet tilfelle bleet registreringssystem tilknyttet sykehusetsblodbank rammet.

Konsekvensen av løsepengevirusene i HelseSør-Øst har i betydelig grad blitt mitigert avgode manuelle rutiner for kontinuerlig drift,

mens det på teknisk nivå har vært implementertgod enterprise-backup. Likevel har angrep førttil at produksjon i forskjellige deler av helsefore-taket midlertidig har stoppet opp, frem til filom-rådene som er blitt kryptert, er blitt gjenoppret-tet fra frisk backup. Filer som har blitt oppretteteller endret i tidspunktet mellom siste backupog kompromittering fra løsepengeviruset, harmåttet gjenopprettes manuelt.

Ingen av løsepengevirusene ved Helse Sør-Øst har medført noen direkte fare for liv ellerhelse. Likevel har løsepengevirusene i stor gradvist hvor viktig det er med sikkerhetskontrollersom sikkerhetsoppgraderinger, beskyttelse motondsinnet kode, logganalyse og deteksjon, oghvilket skadepotensiale mer destruktive ondsin-nede virus kan ha innenfor sektoren.


foretakene rapporterer inn til HelseCSIRT vedbehov for støtte, men det er ingen fast sentral rap-portering. Etter HelseCSIRTs mening er detbehov for tydeligere krav til rapportering. Figur17.3 viser statistikk fra HelseCSIRT knyttet tilhendelser og sårbarheter de har registrert ogvarslet sektoren om.

Kompromitterte klienter er klienter der Helse-CSIRT med sikkerhet vet at det er kjørt ondsinnetkode og klienten kommuniserer eller forsøker åkommunisere med en ekstern maskin. Dette talletviser hvor mange varsler som er sendt ut til aktø-rer som er innrullert i Nasjonalt beskyttelsespro-gram angående slike hendelser. Klienter som mis-tenkes å være kompromittert, men der HelseC-SIRT ikke kan bekrefte det med 100 prosent sik-kerhet, er ikke med i statistikken. Sårbarheter iprogramvare omfatter antall varsler HelseCSIRThar sendt ut angående sårbarheter i programvaresom er utbredt i sektoren. Et slikt varsel kan inne-holde varsler om mange sårbarheter i forskjelligetyper programvare. Varsler om sårbarheter i ekspo-nerte tjenester refererer til antall sårbare tjenesterHelseCSIRT har oppdaget i sektoren. Flere sår-barheter i én tjeneste teller som én. Et varsel viltypisk inneholde varsel om flere sårbare tjenester.

Norsk Helsenett etablerte høsten 2015 etnasjonalt kompetanseforum for å dele kompe-tanse og erfaringer på tvers av regioner. Helse-CSIRT vil fungere som fasilitator for denne møtea-renaen. I tillegg finnes det ulike regionale samar-

beidsstrukturer innen informasjonssikkerhet ogberedskap.

17.5 Digitale sårbarheter i helsesektoren

Det er mange avhengigheter mellom aktørene ihelsesektoren. Sentrale utfordringer er tilgjenge-lighet av IKT-systemer og beredskap mot nedetid.Helsevesenet har så små marginer at liv kan gåtapt som følge av bortfall av IKT. Det finnes vissemanuelle rutiner og muligheter for utskrifter påpapir som gjør at sykehusene kan opprettholdedriften noen timer, men ikke dager. Sektorenbestår av mange selvstendige aktører og systemerog lite teknisk integrasjon.

Medisinsk-teknisk utstyr er på vei inn i privatehjem, og påliteligheten til dette utstyret kan vari-ere. Fremover vil private hjem i større grad værebehandlingsstedet, og dette innebærer nye sår-barheter. Infrastrukturen er privateid og kanskjedelt med mange private og offentlige aktører,eksempelvis leverandører av helsetjenester, vakts-elskaper, strømleverandører med flere. Dette giret uoversiktlig bilde med mange ulike tjeneste-leverandører, i tillegg til data som skal integreresog lagres. Økt bruk av privat utstyr for medisinskpersonell og pasienter er én problemstilling, kon-sekvensene av «det utvidede legekontoret» somblir brakt hjem til folk, en annen.

Figur 17.3 Hendelser og sårbarheter varslet fra HelseCSIRT.


0

10

20

30

40

50

60

70

80

90

100

Q1 2013 Q2 2013 Q3 2013 Q4 2013 Q1 2014 Q2 2014 Q3 2014 Q4 2014 Q1 2015 Q2 2015 Q3 2015

Kompromitterte klienter Sårbarheter i programvare Sårbarheter i eksponerte tjenester


17.5.1 Avhengighet av elektronisk kommunikasjon og øvrige infrastrukturer

Helsesektoren er svært sårbar for bortfall av elek-tronisk kommunikasjon (ekom), energi og vann-forsyning. Avhengigheten av vann og avløp erstor, og sykehus må stenge etter få timer om dettebortfaller. Tilgjengelig ekom er nødvendig for defleste tjenestene og fremheves som en av de stør-ste sårbarhetene. Nødvendige kommunikasjons-kanaler for å tilkalle helsepersonell, kommunika-sjon mellom sykehusene og mellom sykehus ogfastleger vil stoppe opp. I de fleste tilfeller er foreksempel tilgang til pasientjournaler avhengig avfungerende IKT-systemer. Uten pasientjournalervil det være svært vanskelig å opprettholde en for-svarlig drift. Akuttfunksjonene vil imidlertidkunne fortsette å behandle pasienter selv om dendigitale samhandlingen opphører.

I DSBs nasjonale risikobilde for 2014 synlig-gjøres det hvilke konsekvenser for liv og helse detvil ha dersom ekomtjenester skulle falle bort i femdøgn. Det anslås blant annet at 50 flere enn nor-malt vil dø som følge av at det ikke er mulig å ringe etter ambulanse og varsle nødetatene ved

akutte hendelser. I tillegg regner man med 200–300 alvorlige skadde og syke som følge av utsattbehandling eller feilbehandling. Det er imidlertidstor usikkerhet knyttet til anslagene, ettersomsektoren hittil ikke har erfart slike langvarigebortfall. Bortfall av ekom vil også kunne medføremangelfull kommunikasjon og koordinering mel-lom nødetatene, ettersom Nødnett bare fungererlokalt. For nærmere omtale av Nødnett, se kapittel20 «Styring og kriseledelse».

Digitale kjølesystemer er viktig for drift avsykehus. Slike systemer styres over nettet og erdermed sårbare for angrep og hendelser. Dersomman mister evnen til å kontrollere temperaturen iet sykehus, vil det gå ut over evnen til å behandlepasienter.

Helse- og omsorgsdepartementet understre-ket i etterkant av Riksrevisjonens rapport at detskal foreligge konkrete beredskapsplaner forbortfall av IKT, vann og strøm i alle helseforeta-kene. Planene skal testes ved reelle hendelser, ogogså inngå i regionale og nasjonale fellesøvelser. Itillegg må beredskapsplanene ta høyde forekstreme hendelser eller hendelser som oppstårsvært sjelden.8

Boks 17.3 Massiv IKT-svikt ved Ahus

I juni 2011 førte en feil i en svitsj til at heleAkershus universitetssykehus (Ahus) var utentelefoni- og datatilgang i 14 timer før feilen blerettet. All telefoni på sykehuset er IP-basert ogfalt dermed ut – både internt og eksternt –siden både telefoni og data ligger på sammefysiske WLAN-løsning. De ansatte kunnebenytte private mobiltelefoner, men alle rele-vante telefonnumre lå på et ikke-fungerendedatasystem. Det gjorde også kriseplanen, somdet ikke fantes papirkopi av. Også laboratori-etjenester, medisin- og journaltilganger blerammet, da tilgang til disse tjenestene eravhengig av samme IKT-system. Konsekven-sen av hendelsen var blant annet at det tok fireog en halv time å hente ut medisiner til pasien-tene, og at journaler måtte skrives ut ved åkoble en printer rett på en server, noe somogså tok lang tid. Mellom 10 og 20 pasientermåtte overføres til andre sykehus, og det varikke mulig å ta inn nye akuttpasienter. Hendel-sen fikk ingen direkte konsekvenser for liv oghelse.

8 Riksrevisjonen (2014): Riksrevisjonens kontroll med forvalt-ningen av statlige selskaper for 2013, Dokument 3:2 (2014-2015).

Boks 17.4 Tidligere påpekte mangler

I selskapskontrollen for 2013 påpekte Riksre-visjonen følgende mangler ved helseforetake-nes beredskap innen IKT, vann og strøm:1

– Helseforetakene mangler eller har mangel-fulle risikoog sårbarhetsanalyser ogberedskapsplaner for IKT, vann og strøm.

– Helseforetakene gjennomfører få øvelser iforbindelse med innsatsfaktorene vann,strøm og IKT.

– Ledelsen i helseforetakene følger i litengrad opp beredskapsarbeidet.

– Helse- og omsorgsdepartementet og deregionale helseforetakene har lagt til rettefor beredskapsarbeidet, men oppfølgingenhar vært svak.

1 Riksrevisjonen (2014): Riksrevisjonens kontroll med for-valtningen av statlige selskaper for 2013, Dokument 3:2(2014–2015).


17.5.2 Infrastruktur og tjenester

Det gjennomføres sikkerhetstesting i helsenettetfor å avdekke eventuelle svakheter i infrastruktu-ren. I 2013 gjennomførte Norsk Helsenett 19 sik-kerhetsrevisjoner fordelt på 13 kommuner, to hel-seforetak og fire tredjepartsleverandører. IfølgeNorsk Helsenett har disse testene gitt gode resul-tater, og påviste avvik er lukket.

Det ligger en generell sårbarhet i IKT-tjenes-ter som ikke er høytilgjengelige, og som kjører frakun én bestemt geografisk lokasjon. Dette medfø-rer at tjenestene kan bli utilgjengelige i enkeltelandsdeler, og at tjenestene som sådanne kan bliredusert eller lammet på grunn av infrastruktur-svikt som følge av ulykker, ekstremvær ellerandre utilsiktede hendelser. Flere av disse tjenes-tene mangler i dag automatiske og velprøvdemuligheter for reservelegging og parallelldrift.Som beskrevet i punkt 17.1 «Infrastruktur» er detsatt i gang et arbeid med et nytt høytilgjengelighøykapasitetsnett. Det strategiske målet er at kjer-netjenestene – fra et brukerståsted – skal være100 prosent tilgjengelige, gitt at brukeren harkontakt med helsenettet.

Ifølge Norsk Helsenett fremstår tilknytnings-løsningene til helsenettet, spesielt for mindreorganisasjoner som legekontorer, tannlegekonto-rer og mindre kommuner, som uhensiktsmessigeog unødig kostbare. De har derfor utviklet enenklere, men like sikker, tilknytning til helsenettetsom gir kundene større frihet i valg av nettleve-randør.

Erfaring viser at IKT-utstyr i sektoren ofte erutenfor support og ikke lar seg oppdatere. Utfa-sing og sanering av systemer kan være krevende.I tillegg påpekes det som en sårbarhet at oppdate-ringer tar tid, siden disse må testes på infrastruk-turen først. Et stort antall eldre IKT-systemer isektoren er utviklet uten evne til å beskytte segmot trusler fra nettet, direkte eller indirekte, ogutgjør dermed en sikkerhetsrisiko. Dette kreversærskilte sikringstiltak som gjerne øker komplek-siteten i totalsystemet, noe som igjen bidrar til ågjøre systemene mindre pålitelige og robuste. Iflere risikovurderinger fra helseforetakene frem-går det at det er et høyt antall kritiske feil i flereIKT-applikasjoner.

Stor grad av variasjon i tekniske løsningermedfører utfordringer for meldingsutvekslingmellom helseforetakene og primærhelsetje-nesten. Dette er også tidligere påpekt av Riksrevi-sjonen.

Helsetilsynet kjenner til eksempler på at hen-visninger og prøvesvar er blitt borte, noe som kanforårsake forsinket diagnostisering av alvorlige til-stander. Svikt i elektroniske systemer og/ellermenneskelige feil er påpekt som mulige årsaker.Helsetilsynet har sammenlignet arbeidsmeto-dene i Norge med måten svenske myndigheteranalyserer sine situasjoner på. Det går frem avsammenligningen at den svenske havarikommi-sjonen blant annet legger større vekt på å«avdekke mulig svikt i teknisk utstyr som kan hahatt betydning for hendelsen, enn det som erpraksis i Norge».9

Elektronisk pasientjournal (EPJ) er avhengigav kommunikasjon mellom mange systemer ogomfatter pasientinformasjon som for eksempelrøntgenbilder, laboratoriesvar og annen pasient-dokumentasjon. Alle landets sykehus og de flesteallmennleger har installert EPJ-systemer, og detforegår en gradvis overgang fra papirjournaler tilelektronisk lagrede journaler. Det er ikke entydigom man for eksempel i forbindelse med fritt syke-husvalg på en enkel måte eller automatisk kan tamed egne data fra ett sykehus til et annet.

I Meld. St. 9 (2012–2013) Én innbygger – énjournal påpekes det blant annet at de teknologiskemulighetene elektronisk pasientjournal gir, ikkeblir utnyttet. Dette begrunnes blant annet med atdet er mange selvstendige aktører og mangesystemer. Det pågår et omfattende arbeid somfølge av denne stortingsmeldingen, og det fore-ligger ulike konsepter. Valget av konsept vil skje iløpet av 2015.

Hensiktsmessig tilgangsstyring og sporing avbrudd på taushetsplikt er utfordrende. Riksrevi-sjonen har påpekt følgende: «Ansatte i helsefore-tak har tilgang til helseopplysninger utover tjenes-tebehov, og kontrollen av tilganger til elektroniskpasientjournal er mangelfull.» Én av årsakene somoppgis, er at helseforetakene ikke i tilstrekkeliggrad har implementert gjeldende regelverk ominformasjonssikkerhet og behandling av helse-opplysninger.10 Det pågår imidlertid et systema-tisk arbeid i de regionale helseforetakene for årette opp dette. Samtidig må det erkjennes at detteer et vanskelig område fordi det er svært mangeulike systemer med innbyrdes ulike oppsett.

9 Helsetilsynet (2015): Med tilsynsblikk på alvorlige og uven-tede hendelser i spesialisthelsetjenesten. Status og erfaringer2014 fra Undersøkelsesenheten i Statens helsetilsyn.

10 Riksrevisjonen (2014): Riksrevisjonens kontroll med forvalt-ningen av statlige selskaper for 2013, Dokument 3:2 (2014-2015).


17.5.3 Styring og samhandling

Erfaring viser at mange uønskede IKT-hendelser ihelsesektoren skyldes underleverandører, blantannet feil på strømleveranse og brudd på kommu-nikasjonslinjer. Tre av de regionale helseforeta-kene har rapportert til Lysneutvalget at henholds-vis 17–20 prosent, 26 prosent og 50 prosent avhendelsene skyldes svikt hos underleverandører.Ett av helseforetakene oppgir at de ikke har over-sikt over dette. Norsk Helsenett anslår at omkring80 prosent av større uønskede IKT-hendelserinnenfor deres ansvarsområde er forårsaket avunderleverandører. En stor andel av disse skyldeskommunikasjonsbrudd som har rammet størreeller mindre grupper av kundene.

Flere av de samme utfordringene kommerogså til uttrykk i en rapport fra Gartner i 2014, derdet konkluderes med at norske og nordiske IKT-leverandører ikke leverer den funksjonalitetensom er påkrevd.11 Det er store forskjeller mellomde regionale helseforetakene med hensyn til løs-ninger og valg av teknologi, og det er ingen fellesprosess for samordning av krav til leverandører.Helsedirektoratet har imidlertid i en rapport fra2015 foreslått en rekke virkemidler for å styrkegjennomføringsevnen for IKT-utvikling i helse- ogomsorgssektoren og for å redusere disse sårbar-hetene.12

Kommunene i samspill med leverandører og sek-toren. Manglende virksomhetsstyring når det gjel-der digitalisering og IKT-utvikling, vil kunne med-føre «skygge-IKT», det vil si IKT-prosjekter sometableres med manglende kontroll i virksomhe-tene. Ifølge Ikomm er det vanskelig å finne godedigitaliseringsstrategier både i kommunene og ihelse- og omsorgssektoren for øvrig. Manglendedigitalisering kan også i mange tilfeller være endigital sårbarhet – for eksempel ved at det blir inn-ført elektroniske verktøy uten at arbeidsprosesserendres eller gevinstene ved investeringen hentesut. En uheldig konsekvens av manglende digitali-sering og manglende utnyttelse av digitale verk-tøy kan være svekket pasientsikkerhet.

Helsepersonell har et stort behov for effektiveog funksjonelle IKT-systemer, noe som er uttrykt iflere rapporter. Flere av dagens systemer er tung-vinte for brukerne, for eksempel ved at de harlang innloggingstid og lite strukturerte pasien-tjournaler. En suksesshistorie som skiller seg utmed hensyn til involvering av helsepersonell iutviklingsarbeidet, er innføringen av e-resept ogutarbeidelsen av Norm for informasjonssikkerhet.Norm for informasjonssikkerhet blir i hovedsakansett som et godt tiltak for sektoren. Likevel opp-leves enkelte forslag til tiltak som utdaterte, ogdet etterlyses mer konkrete forslag til hvordanman skal forholde seg til IKT-sikkerhet. For deminste helseforetakene oppleves normen som foromfattende, noe som medfører at de ikke har res-surser til å følge den opp.

Helsesektoren er gjenstand for et stort antallrevisjoner og utredningsarbeider. Flere har

11 Gartner (2014): Gartner survey of EHR suppliers and sys-tems in the Norwegian market.

12 Helsedirektoratet (2015): Styrket gjennomføringsevne forIKT-utvikling i helse- og omsorgstjenesten.

Boks 17.5 Digitale sårbarheter på tvers av sektorer og bransjer

Vi omgir oss med elektronikk, digitaliserte sty-ringssystemer og apper. Store internasjonaleselskaper leverer industrikontrollsystemer ogmedisinsk-teknisk utstyr til en rekke bransjerglobalt, inklusiv norske virksomheter. Forsk-ning har vist at samme type sårbarheter gårigjen i industrikontrollsystemer og i medisinsk-teknisk utstyr på tvers av bransjer.

Forskerne testet blant annet røntgenmaski-ner ved hjelp av fuzzing1 og sjekket ut en appsom leger kan bruke for å overvåke pasienter.Appen viste seg å dele en konto på App Store,noe som viser at det ikke har vært tenkt mye påsikkerhet, mens det medisinsk-tekniske utstyrethadde innebygde hardkodede passord som

representerte sårbarheter. Slike innebygdepassord i programvare blir brukt til intern ellerekstern autentisering av enheter og program-mer og representerer digitale sårbarheter somkan utnyttes. Hardkodede passord er vanskeligeå oppdage av systemadministratorer og vanske-lige å rette opp hvis de blir oppdaget.2 Sårbarhe-tene viste seg i produkter som benyttes til opera-sjoner, anestesi, ventilatorer, medisinpumper,pasientovervåking, laboratorieanalyse og hjerte-startere. Totalt gjaldt dette 300 medisinskeenheter og 40 leverandører.

1 En testteknikk innenfor programvareutvikling.2 CWE-259: Use of Hard-coded Password.


uttrykt bekymring over all tiden som går med til åsvare på henvendelser, noe som fører til økt sår-barhet for personellet, ettersom mindre tid benyt-tes direkte til primæroppgavene, nemlig å yte hel-sehjelp.

Flere aktører etterlyser en sterkere styring fraHelse- og omsorgsdepartementet når det gjelderdigitalisering av helsesektoren. Aktørene ervidere bekymret for at informasjon fra HOD ogHelsedirektoratet ofte ikke når frem til de rele-vante miljøene i helseforetakene, eller at informa-sjonen kommer for sent frem til at man rekker åsvare på den.

I alle sektorer finnes kommunikasjonsutfor-dringer mellom IKT-ansvarlig personell og perso-nell som er ansvarlig for sektorens primæroppga-ver. Innen helsesektoren er dette spesielt fremhe-vet. Uheldige beslutninger som følge av man-glende forståelse for hverandres ansvarsområdeog arbeidshverdag er påpekt av flere aktører i sek-toren.

Det kommer også frem at det er utfordringerknyttet til kommunikasjon med andre helseaktø-rer, for eksempel når det gjelder utvikling og brukav fellesløsninger, elektronisk meldingsutveks-ling, tilgangsstyring og så videre. I tillegg klarerikke de tekniske systemene å ivareta de kravenelovene stiller til behandling av helseopplysninger,i tilstrekkelig grad.

17.5.4 Kompetanseutfordringer når det gjelder IKT-sikkerhet

Behovet for opplæring anses som viktig, da det ermye turnover i sektoren. Det har blitt nevnt at hel-sepersonell sliter med å forstå systemer, blantannet på grunn av økende kompleksitet. Som eteksempel nevnes utfordringer ved at brukerneikke forstår konsekvenser av handlinger medbruk av verktøy. Ulik bruk av verktøy medførervarierende datakvalitet.

Norsk Helsenett har uttrykt at nærheten tilteknologimiljøet i Oslo og Tromsø, og i Trond-heim spesielt, har vært avgjørende for å rekrut-tere og beholde teknisk sikkerhetskompetanse iorganisasjonen, inkludert HelseCSIRT. Høy kom-petanse, både på overordnet og detaljert teknisknivå, er svært kritisk for evnen til å forebygge oghåndtere uønskede IKT-hendelser. Som andresektorer rapporterer enkelte av de regionale hel-seforetakene at det er utfordringer med rekrutte-ring av IKT-sikkerhetskompetanse, og at kompe-tansebehovet stadig øker.

Som nevnt i blant annet kapittel 15 «Vannforsy-ning» og 20 «Styring og kriseledelse» er det en

betydelig svikt i sikkerhetskunnskap i kommu-nene. Et eksempel er en dagsaktuell sak knyttet tilat en eksisterende PKI-leverandør endret rot-ser-tifikatet sitt, noe som satte et stort antall legekon-torer ut av spill, da de ikke var i stand til å oppda-tere dette hos seg selv.

Få akademiske miljøer i Norge forsker på IKTi helsesektoren (helseinformatikk). Samtidig erdet i liten grad forskning på konsekvensene av deIKT-tiltakene som innføres, og store IKT-prosjek-ter blir i liten grad evaluert. Det er uttrykt etbehov for en mer akademisk tilnærming til helse-informatikk, i tillegg til at det trengs merforskning på dataflyt, dataeierskap og tilgangssty-ring. Det blir etterlyst en tettere involvering avhelsepersonell, slik at de som har forståelse forarbeidsprosesser, strukturering av informasjon,og så videre, inkluderes.

Små og mellomstore private helseforetak harofte begrensede ressurser til IKT-drift, og mangehar lagt for liten vekt på å utarbeide og implemen-tere styringssystemer for informasjonssikkerhet.Mange mindre helsevirksomheter har serverestående i eget hus, og de mangler ofte gode bac-kup-rutiner. De er også svært sårbare når det gjel-der kompetanse i egen IKT-drift. Ikomm menerdet er behov for at systemeierne og virksomhets-ledelsen i større grad tar grep om informasjons-sikkerhet og digitalisering i egen virksomhet ogikke lar dette være opp til IKT-ansvarlig eller sys-temansvarlig å håndtere.

En mulig sårbarhet som kan oppstå, er at kli-nisk skjønn «digitaliseres bort» som følge av hel-digitaliserte helsesystemer (for eksempel struktu-rerte pasientjournaler). At all informasjon er til-gjengelig ved hjelp av noen få tastetrykk, vilkunne medføre at den diagnostiske, analytiskekompetansen som leger i dag bygger opp, blirborte. Risikoen for at utredningen av pasienterikke blir god nok fordi pasienten ikke passer inn ien standard sjekkliste, kan oppstå. På den annenside kan innebygget sikkerhet, det vil si atdatasystemene «spør mer» og kontrollerer at til-tak er gjennomført, være en støtte for forsvarligpasientbehandling.

17.5.5 Særskilte personvernutfordringer

Helsesektoren er av åpenbare grunner avhengigav å benytte helserelaterte personopplysningernår de yter helsehjelp til pasienter. I dag er defleste pasientjournaler elektroniske. Helseopplys-ninger er juridisk klassifisert som sensitive per-sonopplysninger, jf. personopplysningsloven § 2.Styring av hvilket personell som skal ha tilgang til


opplysningene, er et viktig tiltak for å beskyttepasientenes helseopplysninger mot innsyn fra per-sonell som ikke har tjenestebehov for opplysnin-gene.

Mangelfull styring av tilgang er en problem-stilling som sist ble påpekt av Riksrevisjonen i2013, og som tidligere er påpekt i forbindelse medDatatilsynets kontroll av flere sykehus i 2008. Deter imidlertid viktig å bemerke at etablering av enforsvarlig tilgangsstyring i sykehusene er spesieltkrevende, selv om det ikke kan frita for å etableretilgangsstyring i samsvar med lovgiverens krav. Ikorthet omfatter kravene respekt for at pasienteni fortrolighet må formidle nødvendige opplysnin-ger til behandlende helsepersonell for å kunne fåhelsehjelp, og respekt for helsepersonells taus-hetsplikt.

Kontroll i ettertid av logger som viser hvordanhelsepersonell aksesserer personopplysninger,kan ha preventiv effekt, men kan ikke veie opp formanglende forebyggende tiltak i form av bedrestyring med tilgangskontrollen.

Samhandlingsreformen og planen om å reali-sere «én innbygger – én journal» gjør at denenkelte pasients opplysninger blir tilgjengelige forflere grupper av helsepersonell. En betydelig utvi-delse av grupper av helsepersonell som skal ha til-gang til pasientjournaler, understreker viktighe-ten av en forsvarlig tilgangsstyring som er i sam-svar med helsepersonells taushetsplikt, og somtar vare på tillitsforholdet mellom pasient ogbehandler.

Det er flere nasjonale helseregistre som erbasert på helsepersonells plikt til å rapporterehelseopplysninger fra en pasients journal. Helse-registrene benyttes for sekundære formål, foreksempel til forskning og styring av helsesekto-ren. Når det ikke skal ytes helsehjelp, er behovetfor å kunne identifisere den enkelte pasient anner-ledes enn i en helsehjelpssituasjon. I helseregis-trene er det fullt mulig å beskytte pasientenesidentitet ved hjelp av ulike former for anonymise-ring, men dette er i liten grad sørget for.13 At detoverveiende flertallet av helseregistre som ikke erknyttet til konkret pasientbehandling, er basert påfull identifikasjon av den enkelte pasient, kan se uttil å stride mot det som anses nødvendig. Det skallikevel fremheves at et av de store registrene,Norsk pasientregister, har etablert en forsvarligforvaltning av pasientenes identitet, der dennebehandles både teknisk og fysisk isolert fra helse-opplysningene.

Personvernkommisjonen viet helsesektorenmye oppmerksomhet og foreslo et moratorium foropprettelse av nye helseregistre frem til de eksis-terende registrene var gjennomgått og utredet.Kommisjonen anbefalte å vurdere pseudonymise-ring av pasientenes identitet i registrene.14 Kom-misjonens forslag er ikke tatt til følge, og det eropprettet ytterligere nasjonale helseregistre. Etnytt nasjonalt helseregister over alle pasienter iprimærhelsetjenesten er nå under utvikling. Der-med er enhver medisinsk konsultasjon ogbehandling av den enkelte pasient i befolkningenkartlagt. Summen av helseopplysninger ombefolkningen fra fødsel til død blir dermed altom-fattende, og ethvert sykdomsforløp hos enhverpasient kan spores i registrene.

Høsten 2013 gjennomførte Datatilsynet 15brevkontroller av fastleger, spesialister og helse-foretak som utleverer helseopplysninger til desentrale helseregistrene. En forutsetning for pasi-entenes mulighet til å ivareta sitt personvern er atde blir informert om at helseopplysningene omdem videreformidles slik regelverket krever. Kon-trollene viste at pasienten generelt ikke blir infor-mert om at helseopplysninger blir utlevert til sen-trale helseregistre som for eksempel Norsk pasi-entregister og Kreftregisteret.

En særskilt problemstilling innen helsesekto-ren er den teknologiske muligheten som fore-ligger til å lagre hele gensekvensen til enkeltindi-vider. Når dette skrives er det begrenset hvilkeegenskaper ved personen det er mulig å lese ut fraen slik sekvens. Likevel foregår det en betydeligutvikling på dette området, og man bør utvise var-somhet når det gjelder tillatelse til innsamling,lagring og bruk av slikt materiale. Det er aner-kjent at dette er spesielt sensitiv informasjon, ogat den derfor må forvaltes slik at den ikke blir mis-brukt. Vi har idag et strengt regelverk for bruk avgenetiske analyser til behandlingsformål i helse-tjenesten,15 og utredningen av et nytt regelverkpågår. Bruk av biologisk materiale har skapt inter-nasjonale debatter, og det er vedtatt konvensjo-ner16 som også Norge har forpliktet seg til å følge.

Utfordringer knyttet til velferdsteknologi i en personvernkontekst

Velferdsteknologi kan være inngripende overforenkeltindividet ettersom teknologien kan inne-

13 NOU 2009: 1 Individ og integritet – Personvern i det digitalesamfunnet.

14 Ibid. 15 Lov om humanmedisinsk bruk av bioteknologi -2003-12-05-

100.16 Oviedokonvensjonen og Helsinkideklarasjonen.


bære en omfattende kartlegging av den enkeltesprivatliv, men dette avhenger av hvordan teknolo-gien fungerer, og hvordan den settes opp. I mangetilfeller vil teknologien og bruken av dataene dengenerer, berøre personvernet.

I tillegg til de ordinære helsetjenestene samleren rekke andre næringsaktører inn helseopplys-ninger via apper. Hjemmelsgrunnlaget overforpasienten er ofte en avtale der brukeren samtyk-ker til bruken av opplysningene. En undersøkelseav apper som Datatilsynet foretok i mai 2015, viserat to tredjedeler av alle apper ber om tilgang tilpersonopplysninger, uten å informere om hva opp-lysningene skal brukes til, og hvorfor de samlesinn. Dette er problematisk. Flere aktuelle sakerviser at eksempelvis Google og andre aktører kanbygge opp helseinformasjon om enkeltpersoner,basert på den enkeltes søk på Internett. En under-søkelse fra 2015 viste at over 90 prosent av helse-relaterte nettsider initierer http-forespørsler til entredjepart.17

Gratistjenester som måler treningsaktivitet oghelsetilstand, er attraktive, men brukeren «beta-ler» ofte med personlige data som kan brukes ireklame og til andre formål. Det kan imidlertidvære uoversiktlig for den jevne nettbrukeren åvite hvor helsedataene befinner seg, om de lagrestrygt og sikkert, hvem som har tilgang til dem, og

hva de eventuelt brukes til. Som vist til i Datatilsy-nets undersøkelse, er det en risiko for at informa-sjonen brukes til andre formål enn brukeren opp-rinnelig ga tillatelse til. Det kan også være vanske-lig å få slettet dataene, fordi den enkelte sjeldenhar oversikt over alle aktørene dataene er deltmed.

I sum er det høyst betenkelig at helsetje-nestene og næringsaktører ikke alltid informererpasienter og brukere om hvordan opplysningenederes videreformidles og behandles for nye for-mål. Det kan være fare for at økende høsting avhelseopplysninger kan undergrave den nødven-dige tilliten til helsetjenestene og føre til at delerav befolkningen unngår å oppsøke det alminneligehelsehjelpstilbudet. Alternativt kan det føre til atdet oppstår et «grått» marked for behandlingstil-bud som unnlater å registrere pasientene ellerfører «skyggejournaler» som ikke rapporterer tilde lovpålagte registrene.

Dagens systemer (IKT-systemer, organise-ring og kompetanse) har åpenbare mangler nårdet gjelder å understøtte innbyggernes rett til per-sonvern. Helsepersonell gis for omfattende til-gang i forhold til hva de reelt sett har tjenstligbehov for. Det er avdekket store mangler i loggingav tilganger som gis, hvilket gjør det vanskelig ågjennomføre etterkontroller for å avdekke urett-messig tilegning av opplysninger. Det er imple-mentert for lavt sikkerhetsnivå i henhold til Nor-men på noen av de mest brukte digitale innbyg-

17 «Privacy Implications of Health Information Seeking on theWeb». Communications of the ACM. Mars 2015.

Boks 17.6 GE-sakene

I Personvernnemdas årsmelding fra 2013 gårdet frem at mange av de sakene som har værtprinsipielle, angår helsesektoren. Et eksempelfra 2013 er de såkalte GE-sakene, der situasjo-nen var at en type medisinsk utstyr som fleresykehus benyttet til diagnostisering av pasien-ter, var tilknyttet nettet. Gjennom nettet kunneGE i USA, som drev service på maskinen, henteut norske personopplysninger. Det at maskinerer tilknyttet nettet på denne måten, vil antageligbli mer vanlig fremover. Det var ingen som varklar over at personopplysningene ble sendt tilUSA, det skjedde automatisk. Da GE selv oppda-get overføringene, ble de norske sykehuseneorientert, og spørsmålet var da om man skulleorientere pasientene om hva som hadde skjedd,eller ikke. Datatilsynet fattet vedtak om at deberørte pasientene skulle informeres om hen-delsen. Flere av sykehusene ønsket ikke dette

og klaget saken inn for avgjørelse i Personvern-nemnda. Nemndas flertall konkluderte med atdet forelå rettslig grunnlag for å pålegge syke-huset en informasjonsplikt. Rettslig sett var situ-asjonen at det ville foreligget en informasjons-plikt overfor pasientene dersom sykehuset påforhånd hadde vært klar over at dataene ville blioverført til USA, og det ville være en lite balan-sert situasjon dersom en tilsvarende informa-sjonsplikt ikke forelå når overføringen skjedde istrid med avtale med sykehuset. Et av hoved-prinsippene innen personvern er retten til å kon-trollere opplysninger om seg selv, og hvis detikke er mulig, vite hvordan opplysninger om enselv blir behandlet. Nemnda antok at den tekno-logiske utviklingen gjør at lignende situasjonerkan tenkes å oppstå på flere samfunnsområderfremover, og at saken kan få betydning også fordisse.


gertjenestene i dag. Dette øker risikoen for at uve-dkommende får tilgang til helseinformasjonen.18

På den annen side gir digitalisering mulighe-ter for styrket personvern, og disse mulighetenemå utnyttes. Selv om dagens løsninger og dagensrutiner i sektoren innebærer kjente svakheter,mener Helse- og omsorgsdepartementet atdagens IKT-løsninger lokalt i sektoren må videre-utvikles for å oppnå styrket personvern og øktdigitalisering.


Utvikling og bruk av velferdsteknologi og mobilhelseteknologi er økende. Ifølge statistikk fra For-bes fra 2015 topper helseteknologi listen over demest lønnsomme industriene.

Helsetjenester vil i stadig større grad utføres ihjemmet. For eksempel vil mange undersøkelserog konsultasjoner kunne gjøres uten at man fysiskoppsøker en lege. Målet er en helsesektor som ertilpasset fremtidens økte behov, men utviklingenkan på mange måter karakteriseres som teknolo-gidrevet. Ifølge Norsk Helsenett er det naturlig åse for seg at for eksempel enheter som smarttele-foner og nettbrett blir «hub-er» for velferdstekno-logi.

Offentlig helse- og omsorgssektor vil sannsyn-ligvis miste kontrollen over deler av den digitaletjenesteleveransen til innbyggerne, blant annetfordi den enkelte brukeren selv har råderetthjemme og der tar aktivt initiativ til innføring ogbruk av ny teknologi. Det vil kreve stor innsats førsentrale systemer med strenge krav til sikkerhetog personvern kan gi tilfredsstillende integrasjonmot infrastruktur i utstyr, applikasjoner og datafra innbyggernes private hjem. På veien vil nyesårbarheter introduseres, samtidig som det erfare for at gamle sårbarheter vil gjøre seg ytterli-gere gjeldende.

Personer med spesielle omsorgsbehov kanbruke en mer avansert trygghetsalarm med foreksempel GPS-sporing, fallalarm og andre alar-mer for å bli fulgt bedre opp hjemme. Pasientermed kroniske sykdommer kan følge opp helsensin ved å utføre egenmålinger av for eksempelKOLS selv. Offentlige og private helse- ogomsorgstjenester vil da ta imot og følge opp egen-målinger og alarmer. Brukere av velferdstekno-logi og mobile helseløsninger blir avhengige av at

disse tjenestene er tilgjengelige døgnet rundt.Samfunnet blir sårbart for at utstyret ikke virker,eller at IKT-infrastrukturen mellom privatperso-ner og helsetjenestene blir utilgjengelig. NorskHelsenett mener en annen potensiell stor sårbar-het vil være at et høyt antall falske alarmer kan bliet økende problem.

Lav integritet for medisinsk utstyr brukt tilinnsamling av helsedata kan bli en sårbarhet i entid da selvdiagnostisering er utbredt og pasienterkan insistere på at deres data skal brukes. Stadigrimeligere medisinsk utstyr vil øke graden av pri-vatisering. Det er for eksempel allerede mulig åmåle parametre som puls, blodtrykk, søvnrytmemed mer med mobilen. Helsedata og private datablandes når data integreres fra hjemmet, og detblir et spørsmål hvor grensen går for hva som skalinn i en journal, og hva skal som skal holdes uten-for. Private enheter og applikasjoner vil være sår-bare for datalekkasje. Systemene skal også inte-greres mot grensesnitt som til slutt ender opp i enelektronisk journal, men også gjerne lagres fleresteder på veien, inkludert hos globale – potensieltdominerende – aktører der brukerens kontrollover lagringen og prosesseringen av dataene erliten, med mindre det foreligger særlig gode avta-ler. Dersom det er helsetjenesten som eier utsty-ret, kan de til en viss grad sikre utstyret i henholdtil egne policyer og innkjøpsavtaler. Det er imid-lertid grunn til å tro at folk vil anskaffe mye avdette utstyret selv. I disse tilfellene har ikke helse-tjenestene den samme kontrollen over kvalitetenpå utstyret. Det vil aldri være mulig å stille sammesikkerhetskrav i et privat hjem som på en helsein-stitusjon.

Videokommunikasjon for konsultasjon og lig-nende må nødvendigvis gå over Internett via stan-dardiserte åpne protokoller, som igjen må sikresmot avlytting ut fra innholdet som potensielt kankommuniseres her. Teknisk oppsett på brukersi-den vil samtidig kreve sitt av brukervennlighetentil tilbudet og kan være sårbart for feilkonfigura-sjoner og bortfall.

Nedetid/avbrudd utenfor helsetjenestens kon-troll kan i tilknytning til private hjem ta ekstralang tid å fange opp og kartlegge omfanget av. Detkan også ta lang tid å involvere ansvarlig leveran-dør, varsle pasienten/sluttbrukeren og gjennom-føre og kvalitetssikre utbedringen.

Overføring av sensitive data til nettskyer kanintrodusere ytterligere trusler mot personvernet.Slike overføringer kan for eksempel skje ved stor-data-analyse der man leier regnekraft fra eksternenettskyleverandører. Dette kan medføre at globalekommersielle aktører vil kunne få tilgang til infor-

18 Helsedirektoratet (2014): Utredning av «en innbygger – énjournal», IKT utfordringsbilde i helse- og omsorgssektoren.


masjon og til en viss grad overta kontrollen overdenne. I tillegg kan det bli utfordrende å avklareansvar på tvers av landegrenser dersom leveran-døren opererer globalt. Se også punkt 23.7«Utkontraktering og skytjenester».


Helsesektoren er en svært kompleks sektor, sombestår av mange organisatoriske enheter, kom-plekse styringsmodeller og verdikjeder som påoverordnet nivå ikke lar seg beskrive på en enkelmåte. Utvalget har ut fra en begrenset tidsrammebare sett på et lite antall problemstillinger og tje-nester innenfor dette komplekse bildet.

Utvalget mener at etableringen av Norsk Hel-senett har vært et nyttig grep for å samle nasjo-nale løsninger og sikre enhetlige krav og styring.Gitt den kompleksiteten helsesektoren består av,hadde det vært utfordrende å opprettholde til-strekkelig kompetanse til å ivareta sikkerheten ide tjenestene som etableres, dersom alle skulleopprettholdt regionale løsninger. HelseCSIRT eret annet initiativ som fungerer godt i sektoren, ogsom er en viktig ressurs for de regionale helse-foretakene. Norge er det eneste landet som haretablert et statlig kompetansemiljø for sikkerhet ihelsesektoren i form av HelseCSIRT. Utvalgetmener det er viktig at disse ordningene forvaltespå en god måte også fremover.


17.7.1 Sterkere styring av IKT-sikkerhet fra Helse- og omsorgsdepartementet

Flere aktører etterlyser en sterkere styring fraHOD. Utvalget stiller spørsmål ved hvorfor sty-ringsmuligheten som departementet har til å sam-kjøre mellom de regionale helseforetakene, ikkebenyttes i større utstrekning.

Utvalget mener det er behov for sterkere nasjo-nal styring for å identifisere og styrke felles behov ogfor å unngå divergerende løsninger i regionene. Ihelsesektoren er det et sterkt behov forbeslutningsevne hos HOD og for at det gis klareføringer for hvilke standarder som skal gjelde,hvilke IKT-områder RHF-ene må samkjøre, og såvidere. Dette kan gjøres gjennom Direktoratet fore-helse, men det må legges til rette for at de får til-strekkelige virkemidler og myndighet til å biståHOD i utøvelsen av rollen. Dette inkluderer ogsåtilgang på nødvendig IKT-faglig kompetanse derdet er nødvendig. Videre må HOD sikre god sam-handling med de ulike fagmiljøene.

Opprettelsen av Direktoratet for e-helse gir enmulighet for å utarbeide en samlet styringsstruk-tur som dekker både primær- og spesialisthelse-tjenesten, med ansvar for å implementere og følgeopp løsningene knyttet til e-helsesamarbeid. Enslik løsning vil, spesielt i kommunesektoren, væretil støtte for mange mindre aktører som kan havansker med å rekruttere og vedlikeholde tilstrek-kelig egenkompetanse. Sikkerhetskrav i innkjøps-prosessene kan for eksempel i større grad sam-kjøres med større vekt på leverandøransvar.

Utvalget har gjennom sitt arbeid registrert atdet er utgitt en stor mengde utredninger somomhandler IKT i helsesektoren, de siste årene.Flere av disse ser ut til å beskrive dagens utfor-dringer på en god måte, og det synes å være storbevissthet i sektoren om hvilke forbedringstiltaksom er nødvendige. Utvalget stiller spørsmål vedhvorfor ikke flere av tiltakene er fulgt opp, og ommengden utredninger i seg selv er til hinder for eneffektiv iverksetting av tiltakene. Flere har uttryktat evnen til å lære av tidligere utredninger ikke all-tid er til stede, og at man i stor grad «finner opphjulet på nytt». Utvalget har ikke vurdert hvorvidtdette skyldes manglende gjennomføringsevne,økonomi, eller styringsevne og -vilje. Utvalgetmener imidlertid at det er viktig med en tydeligereprioritering av forebyggende tiltak for å redusere deidentifiserte sårbarhetene, og at det sikres gjennom-føringskraft for disse. Som en del av dette foreslårutvalget at det nye Direktoratet for e-helse utarbei-der en årlig statusrapport om tilstanden for IKT-sik-kerhet i helsesektoren.

Helsefaglig personell, som best kjenner sineegne arbeidsprosesser, må være med på å settepremissene for sikkerhetstiltak, slik at disse blirtilstrekkelig forankret i virksomheten. Sterk invol-vering av helsepersonell vil ikke stå i motsetningtil sterkere nasjonal styring. Utvalget anerkjennerat kompleksiteten i sektoren, samt lang historikkmed systemer som arves og lappes på, gjør atdette er en utfordring.

Utvalget observerer at Normen er ønsket vel-kommen av sektoren, og at den i all hovedsak fun-gerer bra. Normen gjør at helseforetakene tør åstille krav, og leverandørene blir mer oppmerk-somme på temaet ved anskaffelser. Prosessenmed å utvikle Normen har hatt en god effekt i segselv og økt kompetansen i bransjen. Utvalget erorientert om at det er laget minimumskrav bereg-net for små enheter. På bakgrunn av innspillmener utvalget likevel det bør vurderes forenklingeri Normen for de minste helseforetakene i den graddet er mulig uten at det bidrar til å øke sårbarheten.


17.7.2 Mer forskning på IKT-sikkerhet innenfor ny helse- og velferdsteknologi

Den raske utviklingen av helse- og velferdstekno-logi gir en rekke nye muligheter, men kan ogsåføre til økt sårbarhet dersom det ikke tas nødven-dige forholdsregler. Dette kan være både sårbar-heter innad i helseforetakene og sårbarheter knyt-tet til bruk av helsetjenester utenfor helseforeta-kenes kontroll i privathjem. Behovet for kontrollav utviklingen understrekes av de tidligerebeskrevne sårbarhetene knyttet til velferdstekno-logi, som et økt antall angrepsflater, uklarheteromkring databehandleransvar og manglende digi-taliseringsstrategi.

Etter utvalgets vurdering bør helse- og velferds-teknologi som i stor grad endrer samfunnet, utredesog følges opp av en offentlig debatt før implemente-ring. Utvalget mener det er behov for en mer spissetforskningsinnsats for å se på sikkerhetsaspekteneved teknologien, samtidig som man ivaretar demulighetene og utfordringene som ny helse- og vel-ferdsteknologi vil gi. Forsøk som pågår med nyhelse- og velferdsteknologi, bør videre samordnesnasjonalt for å sikre kompetanseoverføring. Det nyeDirektoratet for e-helse bør sikre at disse initiativenesamordnes.

17.7.3 Etablere løsninger for å imøtekomme utviklingen innenfor helse- og velferdsteknologien

Ved innføring av helse- og velferdsteknologi børhovedregelen være at tjenesteeieren av slike løs-

ninger tar et overordnet ansvar for sikkerheten ihele verdikjeden og ikke utelukkende baserer segpå at sikkerheten er ivaretatt av underliggende tje-nester som for eksempel ekom-tilbydere. Også pådette området er leverandørkjeder og verdikjederviktig. Se for øvrig omtale av verdikjeder i punkt23.1 «Etablere nasjonalt rammeverk for å ivaretaen helhetsvurdering av verdikjeder».

Utvalget støtter Norsk Helsenetts forslag om athelsenettet, i samarbeid med sektoren, bør vurdereom det er sentrale felleskomponenter (innen kom-munikasjon mot Internett) som sektoren behøver forå fremme en trygg innføring av velferdsteknologiskeløsninger.

17.7.4 Gjennomføre flere IKT-øvelser der kritiske systemer er ute av funksjon

Det er behov for å ha en beredskap for bortfall avIKT i helsesektoren, enten dette skyldes tilsiktedeeller utilsiktede IKT-hendelser. Mindre grad avmanuelle rutiner å falle tilbake på kan i fremtidengi nye og økte sårbarheter. Utvalget mener det børgjennomføres flere IKT-øvelser der kritiske systemerer ute av funksjon. Se også kapittel 20 «Styring ogkriseledelse». I tillegg kreves det at sentrale helse-tjenester kan opprettholdes uavhengig av IKT-støtte. Utvalget stiller spørsmål ved om man vedfremtidens heldigitaliserte helsesystemer(eksempelvis strukturerte pasientjournaler) vil hamulighet og evne til å gå tilbake til manuellesystemer, og om vi med dette påfører oss en nysårbarhet.


Kapittel 18

Transport

Transportsektoren har en sentral plass i detmoderne samfunnet, og velfungerende transporter nødvendig for verdiskapingen. Transportsekto-ren kan deles inn i fire transportgrener, som hverhar sine særegenskaper. Det blir investert mye iIKT i transportsektoren for å effektivisere sekto-ren og for å øke sikkerheten.

Samferdselsdepartementet har det overord-nede ansvaret for IKT-sikkerhet innen luftfart, sjø-transport, veitrafikk og jernbane. Departementethar blant annet etatsstyring av Statens vegvesen,Vegtilsynet, Jernbaneverket, Luftfartstilsynet,Kystverket, Statens havarikommisjon for trans-port og Statens jernbanetilsyn.

Både Sårbarhetsutvalget og Infrastrukturut-valget omhandlet transportsektoren. Lysneutval-get vil peke på at de vurderingene fortsatt stårseg. I tiden etter at disse rapportene ble utgitt, hardigitaliseringen kommet mye lenger, og tenden-sene er derfor styrket. Kompleksiteten i trans-portsektoren har økt.

IKT-systemer i transportsektoren har effektivi-sert informasjonsflyten betydelig og blant annetbidratt til bedre utnyttelse av veikapasiteten. Mendette gjør også at sårbarheten blir større, etter-som transportsektoren blir kritisk avhengig avekom, satellittbaserte tjenester og elektrisitet ogen svikt i disse tjenestene vil redusere kapasitetenog effektiviteten betydelig.

Utvalget har valgt å se grundigere på sjøtrans-port, særlig på grunn av denne sektorens avhen-gighet av satellittbaserte tjenester. De øvrigetransportgrenene behandles på et overordnetnivå, og utvalget har valgt å se på noen utvalgtesårbarheter.

18.1 Veitrafikk

IKT-systemer blir stadig mer integrert og kobletsammen. Som tidligere beskrevet vil det i følgeestimater være mellom 25 milliarder og50 milliarder enheter koblet til Internett gjennomtingenes Internett. Denne trenden treffer også

veitrafikken. Statens vegvesen ser at det er enutfordring å sikre disse enhetene, da teknologienutvikles svært raskt. Nye løsninger for nasjonalreiseplanlegging og elektronisk billettering erunder gjennomføring for kollektivtransporten ihele landet. Over en og en halv million kunderbenytter seg av elektronisk reisekort eller mobil-telefon når de kjøper billett på båt, buss eller bane,og antallet brukere stiger raskt.1

Statens vegvesen er et myndighetsorgan og envei- og trafikkforvalter, og består av Vegdirektora-tet og fem regioner. Statens vegvesen drifter femregionale veitrafikksentraler (VTS), som gjør detmulig å overvåke trafikken. Fra disse sentralenestyres blant annet lyskryss, trafikkbommer, data-styrte friteksttavler og fjernstyrte skilt via fjern-styringssystemer. Sentralene har mulighet til åavlaste hverandre. Vegtrafikksentralen i Oslo haret landsansvar når det gjelder nasjonale kriser ogveimeldinger. VTS-ene samarbeider med nødeta-tene, og spesielt politiet, når dette er naturlig, foreksempel ved trafikkulykker, ras og lignende.VTS-ene har muligheten til å bryte gjennom radio-sendinger for å gi viktige beskjeder. I tillegg harStatens vegvesen ansvar for tre viktige registre:motorvognregisteret, førerkortregisteret ogNasjonal vegdatabank (som inneholder tekniskinformasjon om veinettet).

Vegtilsynet er direkte underlagt vegdirektøren,og er organisatorisk og styringsmessig skilt fraStatens vegvesen. I årsrapporten for 2014 går detfrem at Vegtilsynet driver risikobasert systemtil-syn. Ingen av tilsynene var rettet mot IKT-sikker-het.

Etablering av et felles sektor-responsmiljø forhåndtering av hendelser har vært diskutert fortransportsektoren. Aktørene konkluderte medikke å opprette et sektorvis responsmiljø pågrunn av ulikhetene mellom transportgrenene.Høsten 2014 ble det imidlertid etablert en egenIKT-sikkerhetsenhet i Statens vegvesen, og etaten

1 Meld. St. 26 (2012–2013) Nasjonal transportplan 2014–2023.


ble tilknyttet NSM NorCERT. Etaten har hittil hattlite erfaring med IKT-hendelser.

Intelligente transportsystemer (ITS) vil i frem-tiden kunne bidra til mer effektiv bruk av trans-portmidlene og bedre utnyttelse av kapasiteten iinfrastrukturen. ITS omfatter løsninger som i eneller annen form benytter informasjons- og kom-munikasjonsteknologi (IKT) i et trafikk- ellertransportsystem. ITS kan blant annet brukes somdel av en anleggsfase på store utbyggingsprosjek-ter for å ivareta trafikksikkerhet og fremkomme-lighet. ITS kan også inngå som elementer i nyetransportsystemer for å legge til rette for styring,informasjon og beredskapssituasjoner. For nøde-tatene og andre beredskapsaktører vil bruk av ITSvære avgjørende for å kunne bidra i beredskaps-og nødssituasjoner.2 Innovasjonstakten på detteområdet er høy. Et stadig viktigere trekk er denøkende integrasjonen mellom infrastruktur ogtransportmiddel. Nye ITS-løsninger utvikles i etinternasjonalt miljø. ITS-direktivet er en del avEØS-avtalen.3

Statens vegvesens strategi for bruk av ITSinneholder en rekke tiltak. Eksempler på tiltak forbedre trafikksikkerhet på vei er streknings-ATK,automatisk kjøretøykontroll og dynamiske farts-grenser. På litt lengre sikt kan elektroniske kant-og midtlinjevarslere være aktuelt. Innenfor kjøre-tøyteknologi finnes ulike kjørestøttesystemer ogsystemer for passiv sikkerhet. Statens vegvesentar også sikte på å etablere et nasjonalt trafikk- ogtransportdatasystem for alle offentlige veier.4

Bompenger utgjør en viktig inntektskilde forveiutbyggingen. En egen infrastruktur for bom-pengeinnkreving er drevet av cirka 60 ulike bom-pengeselskaper. AutoPASS Grindgut er en nynasjonal IKT-løsning som skal erstatte det eksis-terende sentralsystemet for bompengebetaling.Sentralsystemet er det administrative systemetbomselskapene benytter for å kreve inn bompen-ger. Systemet håndterer i dag nær 500 millionerpasseringer i bomstasjoner hvert år.

18.1.1 Sårbarhet i kjøretøy og digitale trafikkstyringssystemer

Den teknologiske utviklingen går i retning av selv-gående kjøretøy, samt at kjøretøy blir tilkoblet

Internett. Det finnes cirka 23 millioner biler somer koblet direkte til Internett, og dette tallet er for-ventet å stige til 152 millioner i løpet av 2020. Ame-rikanske myndigheter har opplyst at fire av 48selvkjørende biler over en periode på åtte måne-der har vært involvert i ulykker. Bilprodusentenehar avvist at de selvkjørende bilene var årsak tilulykken.5 Beregninger fra Transportøkonomiskinstitutt har vist at teknologiske tiltak kan bidra tilå oppnå en nedgang i antall drepte eller hardtskadde i trafikken.

SINTEF6 har påpekt flere aktuelle sikkerhets-utfordringer knyttet til kjøretøy som følge av denøkende graden av tilknytning til Internett. Noenav disse knyttes til masseprodusert elektronikk,der det hittil ikke har vært investert tilstrekkelig isikkerhet. Løsningene er ofte proprietære og medmanglende standarder. Selv standardiserte proto-koller har vist seg å være uten sikkerhetsmekanis-mer. Dette kan blant annet gjøre det mulig å over-styre styre- og bremsesystemene via tilgang tilunderholdningssystemet i bilen. I tillegg er kjøre-tøy utstyrt med komponenter med lang levetid,noe som gjør at disse blir hengende etter i forholdtil trusselbildet. Eksempelvis er det vist til tilfelleri bilindustrien der det ikke er implementert meka-nismer for softwareoppdatering. Konsekvensen avdette er at det vil ta lang tid å rette opp i sårbarhe-ter selv om de blir kjent.

2 Direktoratet for samfunnssikkerhet og beredskap (2012):Samfunnets sårbarhet som følge av bortfall av elektroniskkommunikasjon.


4 Ibid.

5 Walton, Mark (2015): Google’s quirky self-driving bubble carhits public roads this summer.

6 Moe, Marie (2015): Informasjonssikkerhet og personvern:Hva må vi tenke på ved tilgjengeliggjøring av data? SintefIKT, Systemutvikling og sikkerhet.

Boks 18.1 Hacking av trafikklys

En gruppe amerikanske forskere tilknyttetUniversity of Michigan utførte et hackingan-grep på ekte, operative trafikklys. Lysene i detaktuelle området brukte trådløse 5,8 GHz-nett-verk, som ligner på den vanlige 802.11-stan-darden, til å kommunisere med. Det forskerneraskt fant ut, var at de dermed enkelt kunne senettverks-ID-en (SSID) til hvert lyskryss bareved hjelp av vanlige, umodifiserte PC-er ogsmarttelefoner. De brukte i stedet en spesialla-get radio. Forskerne fant ut at kommunikasjo-nen til kontrollerne som styrer lyskryssene,heller ikke var kryptert, noe som satte dem istand til å analysere systemarkitekturen oglage sine egne kommandoer.


Sikkerheten i de digitale trafikkstyringssys-temene er en utfordring. Systemene styrer pum-pesystemer mellom undersjøiske tunneler, lyssig-naler, variable skilt med videre. Statens vegvesenhar ikke hatt IKT-hendelser (hacking eller tjenes-tenektangrep) så langt.

Internasjonale avtaler og internasjonal trans-portpolitikk stiller en rekke betingelser og gir bin-dinger og muligheter når det gjelder utviklingenav Norges transportsystem på vei. Det setter ram-mer for norsk transportpolitikk, og særlig gjelderdette tekniske standarder og krav til kjøretøy. Nårfor eksempel kjøretøy blir produsert med Inter-nett-forbindelse, gjelder dette også kjøretøy pånorske veier.

18.1.2 Trafikkstyringens avhengighet av elektronisk kommunikasjon og satellittbaserte tjenester

Staten vegvesen har virksomhet i hele landet oger avhengig av tilgjengelig elektronisk kommuni-kasjon (ekom) for at ulike systemer skal kunnesnakke med hverandre. Pinseflommen (se kapittel20 «Styring og kriseledelse») illustrerer hvilkekonsekvenser bortfall av elektronisk kommunika-sjon kan ha. Trafikkavvikling og trafikkstyring vilbli rammet ved ekombrudd og gi redusert infor-masjonsflyt til/fra veitrafikksentralene, noe somhemmer informasjon til trafikantene og fremkom-meligheten, spesielt i de større byene med mangetunneler. Ekom er særlig viktig for å opprettholdetunnelsikkerheten. Ved langvarig brudd i ekom viltrafikkavviklingen kunne bli treg eller stoppe opp,og de samfunnsmessige konsekvensene vil blistore.7 Statens vegvesen har jobbet med reserve-kommunikasjon, og har både satellitt-telefoner,nødnett og prioritert mobilsamband. De vurdererogså VHF for helt lokal bruk. IKT-avdelingen harstartet en utredning for å se på det totale kommu-nikasjonsbehovet.

Mye av kommunikasjonen som Statens vegve-sen er avhengig av, skjer via trådløse nett. Dersomkommunikasjon blir jammet i et område, vil detkunne sette viktige funksjoner ut av spill, foreksempel pumpestasjoner, trafikkstyring medvidere. Statens vegvesen har uttrykt bekymringfor politiets ønske om å få mulighet til å jammetrådløse nett.

I tråd med utviklingen av ITS, der en blantannet er avhengig av posisjoneringsdata, øker

også avhengigheten av GPS og satellittbaserte tje-nester. Se kapittel 12 «Satellittbaserte tjenester».

18.1.3 Særskilte personvernutfordringer innen veitrafikken

Digitalisering i transportsektoren utfordrer per-sonvernet. Hensynet til personvern skal være enviktig del av planleggingen og videreutviklingenav ITS.8 De fleste innsamlede opplysninger erikke sensitive, men sammenstilt med andre kilderog mulige nye anvendelsesområder kan de endrerisikoen for personvernet.9 En rekke initiativer ersatt i verk for å imøtekomme dette. Blant annethar Datatilsynet og Statens vegvesen sett på tek-niske løsninger for økt anonymitet i bompenge-systemet og vurdering av unntak for lagring avopplysninger om passeringer etter bokføringslo-ven.10 Det vises også til arbeidet med en nasjonalbransjenorm for elektronisk billettering. Der del-

7 Samferdselsdepartementet (2010): Krisescenarioer i sam-ferdselssektoren – KRISIS.


9 Øvstedal, L., Lervåg, L.E. og T. Foss (2010): Personvern ogtrafikk: Personvernet i intelligente transportsystemer. SIN-TEF.


Boks 18.2 Bruk av ITS i nødsituasjoner

ITS vil være avgjørende for å kunne bidra iberedskaps- og nødssituasjoner. Et eksempelpå bruk av ITS i nødsituasjoner er eCall.1 Tje-nesten eCall er tenkt å virke slik at en tekniskinnretning i bilen automatisk ringer nødnum-meret og opplyser om bilens posisjon vedulykker, slik at nærmeste nødsentral raskt kansende assistanse til riktig sted. Systemet erplanlagt å bli en felleseuropeisk alarmtjenestefor kjøretøy, bygd på alarmnummeret 112. Deter satt som mål at alle biler som blir solgt i EU-området, skal være utstyrt med satellittposi-sjonering og kommunikasjon via mobiltelefon-nettet. Det er anslått at 2 500 liv kan reddeshvert år i Europa når eCall blir ferdig utvikletog utbredt. Systemet vil dermed være et viktigbidrag til trafikksikkerheten gjennom å redu-sere konsekvensene av ulykker.

1 Direktoratet for samfunnssikkerhet og beredskap(2012): Samfunnets sårbarhet som følge av bortfall avelektronisk kommunikasjon.


tok både Datatilsynet, Statens vegvesen og trans-portaktører for å nå frem til en enighet om hvor-dan reise med kollektivtrafikk kan skje ved hjelpav elektroniske billetter samtidig som retten tilpersonvern, fri ferdsel og anonymitet blir ivare-tatt.11

Trafikkregistrene inneholder informasjon omblant annet folk med hemmelig adresse og kjøre-tøy som tilhører politiet og Forsvaret. Dette erinformasjon som ikke skal offentliggjøres. Statensvegvesen har påpekt at de mange innsynsbegjæ-ringene fra eksterne som ønsker kopi av heleregisteret, er en utfordring ettersom registreneikke er laget for å gi delvis tilgang. Det er satt igang et arbeid for å se på nye løsninger for bedreå kunne strukturere og skille ut sensitive data.

18.2 Jernbane

Jernbanen står overfor store investeringer og digi-talisering i årene som kommer. Det samlede jern-banenettet i Norge er på om lag 4 000 km, hvoravom lag 1 400 km ikke er elektrifisert. Hver dagfrakter jernbanen i snitt mer enn 160 000 passasje-rer og 80 000 tonn gods. Som de andre transport-grenene er jernbanen en del av et internasjonaltsystem, riktignok begrenset til våre naboland.Med innføringen av ERTMS (European Rail Traf-fic Management System) vil norsk jernbane fåsamme signalsystem som europeisk jernbane.

ITS-løsninger vil bli viktige innen trafikantin-formasjon og trafikkstyring. Ny teknologi gjør detenklere å identifisere og registrere hendelsergjennom bruk av sensorer eller kameraovervå-king og kontroll, og slik bidra til å gi bedre ogløpende informasjon om tilstanden i infrastruktu-ren. Dette vil kunne bidra til å identifisere feil iinfrastrukturen og løse problemet før det påvirkertogtrafikken. På sikt kan det også tenkes å påvirkebehovet for henholdsvis korrektivt og forebyg-gende vedlikehold av infrastrukturen.

Jernbaneverket skal på vegne av staten drifte,vedlikeholde og bygge ut statens jernbaneinfra-struktur med tilhørende anlegg og innretninger.Jernbaneverket har ansvaret for trafikkstyringenpå det nasjonale jernbanenettet.

Statens jernbanetilsyn (Jernbanetilsynet) er enselvstendig etat underlagt Samferdselsdeparte-mentet, og er tilsynsmyndighet for blant annetjernbane, trikk og T-bane. Statens jernbanetilsynfører kontroll og tilsyn med blant annet 33 jern-

banevirksomheter. En forskrift om sikkerhettrådte i kraft 1. juli 2015, og Jernbanetilsynet fikkmed den hjemmelsgrunnlag for å føre tilsyn mottilsiktede hendelser. Jernbanetilsynet har få res-surser til oppfølging av IKT-sikkerheten.

NSB er et nordisk transportkonsern der god-strafikk og persontransport med tog utgjør en vik-tig del av virksomheten. Ansvarsforholdene vil bliendret med den kommende jernbanereformen,der det er besluttet å etablere et eget jernbanedi-rektorat. Dette skal blant annet ha en koordine-rende rolle overfor aktørene i både egen sektorog øvrig kollektivtransport.

Som tidligere beskrevet er det ikke etablert etfelles responsmiljø innenfor samferdselssekto-ren. De mest sentrale aktørene har valgt å inngåsom medlemmer av VDI-samarbeidet med NSMNorCERT.

Flere aktører innenfor sektoren har blitt utsattfor utilsiktede IKT-hendelser, uten at disse har fåttkonsekvenser for den operative driften. En av hen-delsene i 2015 ble opplevd som så alvorlig at Jern-baneverket for første gang satte krisestab medhele ledelsen til stede. I dette tilfellet mente Jern-baneverket det var avgjørende med fysisk nærhettil underleverandøren for effektivt å håndtere hen-delsen.

18.2.1 Sikkerhetsutfordringer i skinnegående trafikk

Skinnegående transport er avhengig av at enrekke systemer er tilgjengelige. Systemer i trans-portmiddelet omfatter systemer som støtter opera-sjon og drift av transportmiddelet, samarbeid medandre systemer og informasjon til passasjerer.Systemer langs kjøreveien styrer uavhengige sonerog overlevering av kjøretøy fra en sone til enannen. De styrer også alle elektromekaniskeenheter i sin sone inklusiv energikontroll. Sta-sjonsystemene styrer infrastrukturen på stasjonene– alt fra heiser til systemer for passasjerinforma-sjon. Kontrollsentralsystemene styrer transportnett-verket og samarbeider med systemene på toget,langs kjøreveien, med mer. Administrativesystemer støtter transportoperatøren i forretnings-virksomheten, som transportplan, vedlikeholds-plan, regnskap, HR med videre.

ERTMS (European Rail Traffic ManagementSystem) vil være det nye signal- og sikringssys-temet for jernbanen. ERTMS er et automatisk tog-kontrollsystem, men det er ikke laget for førerløsetog. I løpet av de kommende årene vil byggingenav ERTMS medføre store endringer for den nor-ske jernbanen. Den mest synlige endringen er at

11 Statens Vegvesen, Vegdirektoratet (2014): Bransjenorm forpersonvern og informasjonssikkerhet i elektronisk billettering.


de ytre signalene som i dag står langs sporet ogregulerer togtrafikken, erstattes med overføringav signalinformasjon direkte til det enkelte togetvia jernbanens eget mobilnett GSM-R. Videre viltogene fritt kunne trafikkere andre lands infra-struktur uten å være flerdobbelt utrustet medhvert enkelt lands spesielle system for automatisktogkontroll. ERTMS kan karakteriseres som etmeget stort, sikkerhetskritisk, distribuert pro-gramvarebasert system basert på felles euro-peiske standarder. Dersom mobilnettet GSM-R fårutfall, vil konsekvensen for trafikken på jernbane-nettet være stor.

Ifølge Jernbaneverket vil innføringen avERTMS skape en mer pålitelig jernbane enn meddagens signalanlegg, som er basert på sårbar relé-teknologi. Det er forventet at antall tekniske feilknyttet til signal- og sikringsanleggene vil bliredusert. Samtidig er det fra flere hold uttryktbekymring for at dette vil introdusere nye sårbar-heter, ettersom IKT-systemer vil styre kritisk sik-kerhetsinformasjon, som blant annet hastighet ogbremselengde for togene.

Jernbaneverket har uttrykt at de vil rette opp-merksomheten mot dette fremover. Arbeidet medå sikre tilgang og kapasitet på nøkkelkompetanseinnenfor signalområdet og øvrige spesialisertejernbanefag har høy prioritet.12

18.2.2 Sårbarheter i systemer knyttet til togfremføring

FIDO (Filtrert distribusjon av operative kunngjø-ringer) er Jernbaneverkets nye distribusjonssys-tem for informasjon ved togfremføring og arbeid ispor. Med dette distribusjonsverktøyet kan jern-banen sende ut automatisert og målrettet informa-sjon til den det gjelder, i stedet for å distribuerepapirer og dokumenter manuelt. Jernbaneforetakkan også motta data direkte og implementeredisse i sine egne systemer, samt skrive ut informa-sjon dersom det er ønskelig. Systemet har enmodell av jernbaneinfrastrukturen og en ruteplansom grunndata. Disse dataene behandles isystemet og settes sammen til en visning basertpå hvem man er, og hva man skal gjøre. FIDO erkritisk ettersom man må kvittere ut informasjonper avgang for å få lov til å kjøre toget.

FIDO vil på sikt være kilden for ruteinforma-sjon til andre fagsystemer internt i Jernbanever-ket, men også til eksterne systemer hos jernbane-foretak og entreprenører. FIDO har mange bru-

kere: togførere, jernbaneselskaper, sikkerhets-vakter, entreprenører, operative ruteplanleggereog driftskoordinatorer. En feil i dette systemetførte til togstans i hele landet i mai 2015.

18.2.3 Avhengighet av ekom

De største sårbarhetene innen skinnegåendetransport er hittil knyttet til avhengigheten avandre samfunnsfunksjoner som energiforsyningog elektronisk kommunikasjon (ekom). En stordel av den skinnegående transporten er elektrifi-sert, og driften av infrastrukturen og sikkerhets-systemene krever tilgjengelig ekom.

Jernbaneverket jobber aktivt med å fase utgamle systemer. Det linjesvitsjede systemet sombærer av fasttelefon fases ut og erstattes av IP-telefoni. Transmisjonsnettets betydning fremovervil øke, ettersom det binder sammen det nye sig-nalsystemet, systemet med tilstandsovervåking,med videre. De gamle systemene har kjente sår-barheter som eksponerer Jernbaneverket forangrep. Ifølge Jernbaneverket konkurrerer forny-else av IKT-systemer med andre driftsoppgaver.En annen utfordring er de ulike tidskonstantene iinvesteringer. Jernbaneverket bygger jernbanefor 100 år og signalanlegg for 40 år, mens IKT-systemer har en mye kortere levetid enn dette ogdermed krever jevnlig fornyelse. Analog teknologigår til sikker tilstand ved feiltilstand. Ved inn-føring av digitale systemer er det usikkerhet knyt-tet til hvilken mulighet utenforstående har til åmanipulere systemene, slik at de ikke går til sik-ker tilstand. I dag må en være fysisk til stede for åmanipulere systemet. Jernbaneverket har gjen-nomført en verdivurdering av informasjon om sig-nalanleggene, og skadepotensialet er høyt. Somfor andre sektorer er det utfordrende å håndteresensitiv informasjon, særlig med hensyn til pro-blematikken med underleverandører.

18.3 Luftfart

Luftfarten i Norge har en desentralisert luft-havnstruktur som gir god tilgang til passasjer-transport og flyfrakt i hele landet. Luftfarten erblant annet sentral for helsesektoren, som benyt-ter rutefly til pasientreiser, og i form av akuttbe-redskap for ambulansefly og -helikoptre. Luftfar-ten har en lang tradisjon med sterk vekt på sikker-het, blant annet ved hjelp av prosedyrer for åkunne håndtere «enhver» situasjon. Pilotene ogmannskapet om bord er blant sikkerhetsbarrie-rene mot svikt i tekniske systemer. Dersom det



oppstår teknisk svikt eller feil, skal de manuelleprosedyrene ta over. Til tross for dette har ogsåluftfarten med økt digitalisering flere utfordringermed hensyn til IKT-sikkerhet.

Luftfartsinfrastruktur består forenklet av luft-fartøy, lufthavner og flysikringstjenester. Innunder flysikringstjenester kommer blant annetkontrollsentraler og luftromsreguleringer, og innunder lufthavner kommer blant annet bakketje-nester som bagasjehåndtering og catering. Flysel-skapenes elektroniske systemer for håndtering avpassasjerer (innsjekk, bag-drop og så videre) er eteksempel på avhengighet mellom lufthavnopera-tør og flyselskap. Alle enheter i infrastrukturen eravhengige av fungerende kommunikasjon, spesi-elt digital kommunikasjon (IKT), for å kunnelevere en sikker og effektiv tjeneste til passasje-rene.

Luftfartstilsynet har hovedansvaret for tilsynetmed norsk sivil luftfart. Dette inkluderer tilsynmed blant annet luftfartøy, flyselskaper, flyplasser,verksteder, flysikringstjenester, personell, utdan-ningsinstitusjoner med mer. Luftfartstilsynet skalogså sikre luftfarten mot terror og sabotasje(security) og ivareta helse, miljø og sikkerhet forflygende personell. Videre skal Luftfartstilsynetutvikle og oppdatere regelverk og påvirke utvik-lingen av internasjonale regler på luftfartensområde. Luftfartstilsynet har begrenset hjemmels-grunnlag for å føre tilsyn med IKT-sikkerhet i luft-fartssektoren. Luftfartsloven § 4-1 stiller krav omluftdyktighet for luftfartøy og viser til en EU-for-ordning. I forordningen, som tar for seg de flyope-rative systemene, er IKT-sikkerhet ikke nevnt.Det stilles krav til design av luftfartøy. I EASA Cer-tification Specification (CS) 25.1309 fastslås det atluftfartøy skal designes slik at ingen enkelt-systemer i seg selv skal kunne forårsake katastro-fale feil. Innenfor flysikringstjenesten slås det fasti en EU-forordning (1035/2011) at operasjonelledata skal være sikret slik at kun autorisert perso-nell har tilgang. Forordningen gjennomføres inorsk rett i forskrift om felles krav for yting av fly-sikringstjenester (BSL G 2-2). Forordningen erveldig generell, og for tilsynsmyndigheten er detutfordrende å gjennomføre tilsyn basert på veiled-ninger.

Avinor AS er et statlig eid aksjeselskap dereierskapet forvaltes av Samferdselsdepartemen-tet. Selskapet har ansvaret for å eie, drive ogutvikle et landsomfattende nett av lufthavner forden sivile luftfarten og en samlet flysikringstje-neste for den sivile og militære luftfarten.

Avinor Flysikring AS er sertifisert som tjenes-teyter for leveranser av flysikringstjenester. Avi-

nor Flysikring AS har som et ledd i barrierebyg-gingen mot den stadig økende IKT-trusselen eta-blert et eget nettverk som ikke er koblet opp motandre nettverk. Dette nettverket driftes og moni-toreres av Avinor Flysikring AS som leverandør avlufttrafikktjenester i Norge.

Som tidligere beskrevet er det ikke etablert etfelles responsmiljø innenfor samferdselssekto-ren. Det er heller ikke gjennomført nasjonale øvel-ser i samordning og håndtering av IKT-hendelseri luftfarten. Avinor har egen CSIRT-funksjon og ertilknyttet ekstern CERT. Luftfartstilsynet førerikke særskilt statistikk over IKT-hendelser, menslike hendelser tas inn i den ordinære rapporte-ringsstatistikken. Statens havarikommisjon harstatistikk over hendelser og ulykker innenfor luft-farten, men ikke over IKT-hendelser spesielt.

18.3.1 Internasjonale avhengigheter – globale premissgivere

Luftfart er en global industri der verdensomspen-nende regler og standarder setter betingelser forgodkjenning av luftfartøy, krav til IKT-sikkerhetog prosedyrer for flygning, avgang og landing.Dagens systemer innen luftfart aldres, og flytrafik-ken øker. Økt trafikk øker behovet for utnyttelseav luftrommet, sammen med krav til pålitelighet,sikkerhet, komfort og miljø. Den globale luftfar-ten vil de nærmeste årene gjennomgå en betyde-lig modernisering på IKT-området, med NextGeni USA og Single European Sky i Europa som destore initiativene.13 Slike globale initiativer girogså rammebetingelser for hva Norge selv kan ogmå gjøre som nasjon.

Sammen med Samferdselsdepartementet del-tar Luftfartstilsynet i internasjonale organisasjo-ner for å ivareta norske interesser. To av disseorganisasjonene er europeiske EASA (EuropeanAviation Safety Agency) og FNs organisasjon forsivil luftfart, ICAO (International Civil AviationOrganization). ICAO arbeider for internasjonalstandardisering og beste praksis innenfor luftfart.ICAOs standarder er folkerettslig bindende forstatene som har ratifisert Chicagokonvensjonen.Anbefalinger i vedleggene til Chicagokonvensjo-nen er ikke bindende, men fungerer som bestepraksis. Det er i EU-forordning 1035/2011 inklu-dert spesifikke krav innen IKT for tjenesteytere.14

13 Sampigethaya et al. (2011): Future E-Enabled AircraftCommunications and Security: The Next 20 Years andBeyond, Proceedings of the IEEE | Vol. 99. No. 11.

14 EU (2011): Commission implementing regulation (EU) No1035/2011.


European Aviation Safety Agency ble etablert i2002. Hovedaktivitetene er strategiutvikling ogsikkerhetsledelse (safety), sertifisering av pro-dukter og oversikt over godkjente organisasjonerog EU-medlemsland. Det internasjonale forbun-det av flyselskaper (IATA) legger stor vekt på sik-kerhet og tilbyr også en rekke verktøy for IKT-sik-kerhet.

Utvalget er kjent med at det har vært en rekkepersonvernmessige utfordringer knyttet til tvun-gen overføring av passasjerlister, såkalte PNR-data, til USA. Opplysningene blir lagret i databa-ser og sammenlignet med andre databaser før rei-sende tillates innreise til USA. Det er flere eksem-pler på at personer feilaktig har blitt ført opp på«no fly»-lister i USA som følge av ukorrekte lister.I EU pågår det arbeid med å få på plass en tilsva-rende ordning i Europa. Der diskuteres blantannet krav som skal ivareta passasjerenes rettig-heter bedre, som for eksempel at de skal væreinformert om hvilke data som samles inn.

18.3.2 Sårbarheter om bord i fly

Et luftfartøy har avansert elektronikk og IKT-systemer om bord. Systemene i luftfartøy kanklassifiseres i tre nett etter kritikalitet: 1) De fly-operative systemene om bord. Systemene er luk-ket og kommuniserer med støttesystemer på bak-ken. Kun pilotene er brukere av de operative kon-trollsystemene. 2) Tjenestenett som ivaretar beho-vet for vedlikehold og drift for flyselskapet. Mann-skapets enheter, for eksempel nettbrett, kankobles til dette tjenestenettet. 3) Passasjerenesunderholdningssystemer om bord i luftfartøyet.Disse systemene er adskilt fra de andre to. Det erbare krav om logisk adskillelse og ikke fysiskseparasjon mellom nettet til passasjerene og deandre systemene i flyet. Det er identifisert sårbar-heter knyttet til underholdning og velferdstilbudom bord, se boks 18.3.

Flyselskapene tar i bruk nettbrett som verktøy(Electronic Flightbag) i cockpiten. Dette kan med-føre at sårbarheten for inntrenging fra utenforstå-ende i flyoperative data blir en ny problemstilling.I stedet for den tidligere pilotkofferten med kart,prosedyrer og reiserute får pilotene nå med seg etnettbrett med den informasjonen de trenger for ågjennomføre flyturen. Det er et spørsmål hvordannettbrett-tilkoblingen er sikret, og i hvilken gradnettbrettet for eksempel er tilgjengelig for andre.Flyselskaper har etablert strenge rutiner for brukav Electronic Flightbag. Rutinene beskriver blantannet bruk av nettbrettet slik at informasjon ikke

kommer på avveier, ikke blir infisert av virus, også videre. Det er likevel en kjensgjerning at men-nesket er den siste barrieren også her, og det erikke nødvendigvis alltid slik at rutinene følges.

Sårbarheter i programvare kan slå ut på ulikemåter. Kart og kartoppdateringer er en kritiskfunksjon. Det har vært ett tilfelle av svikt i kar-toppdateringen som medførte at en person fysiskmåtte dra rundt til alle flyene for å oppgraderekartene manuelt ved hjelp av minnepinne. Dennehendelsen fikk ikke kritiske konsekvenser.

Landing kan skje automatisk i dag. Det er kravom landing på autopilot dersom værforholdene erspesielt dårlige. En forutsetning for å kunne landepå autopilot under dårlige værforhold er at flyplas-sen er utstyrt med avansert teknologi som støtterbruk av autopiloten. Avgang skjer alltid manuelt.Når luftfartøyet når en viss høyde, kan autopilotenkobles inn. I de fleste tilfeller vil det være slik atstyrmannen (flygende pilot) både tar av og landermanuelt. Pilotene og flygelederne anses som deviktigste barrierene i Air Traffic Management(ATM). Pilotene kan fly manuelt hele tiden, mendet er en uttrykt bekymring blant piloter i daghvorvidt de reelt sett er i stand til å håndtere ufor-utsette problemer, gitt den teknologiske avhengig-heten. Dette gjelder spesielt store luftfartøy. Ruti-nene de skal følge finnes på nettbrettet. I ytterstekonsekvens må de fly tilbake til utgangspunktet.

I mai 2015 styrtet et militært transportflyunder testing i Sevilla. Flyselskapet sendte varseltil kundene sine om mulige problemer og instru-

Boks 18.3 Trådløse passasjernettverk sårbare for

inntrenging

I en rapport skrevet for amerikanske luft-fartsmyndigheter påpekes det at fly med tråd-løst passasjernettverk kan være sårbart forinntrenging.1 Dette kan gjøre det mulig for enangriper å få tilgang til og kompromittere fly-ets kontrollsystem. Som en respons på rappor-ten har FBI og TSA varslet flyselskaper om åvære oppmerksomme på mistenkelig aktivitet.Et viktig spørsmål, som det er uenighet ommellom flyfabrikanter og sikkerhetsforskere,er om tilgang til flyoperative systemer kanoppnås via passasjernettverket.

1 United States Government Accountability Office(2015): Air Traffic Control. FAA Needs a More Compre-hensive Approach to Address Cybersecurity As AgencyTransitions to NextGen.


erte dem til å kjøre kontroll på elektroniske kon-trollenheter på motoren (Electronic ControlUnits). En programvarefeil gjorde at tre av firemotorer stoppet opp.

18.3.3 Systemkompleksitet i operative systemer og på lufthavnene

Elektronisk informasjonsflyt er viktig og skalsikre at samspillet mellom leverandører av bak-ketjenester, flyselskaper og lufthavnoperatørerfungerer. Det er mange IKT-systemer på lufthav-nene som er koblet sammen i nettverk. Avinor harfysisk adskilt det operative nettet fra det adminis-trative nettet. Det er også fysisk adskilt fra luft-havnnettet, som mange systemer på lufthavneneer avhengige av.

Ifølge Luftfartstilsynet er de operativesystemene stabile. Det har vært bortfall av redun-dans, men det har ikke medført bortfall av tjenes-ter. Luftfartstilsynet har likevel uttrykt bekymringknyttet til den reelle sikkerheten i systemene,ettersom de til nå har operert i et lukket system.Økt tilsynsaktivitet kan gi bedre grunnlag for å sinoe mer kvalifisert om sikkerheten.

I 2015 førte en teknisk feil til stans i flytrafik-ken ved Sola og Flesland. Feilen ble rettet ettercirka en halv time, men trafikken gikk da en stundmed 50 prosent kapasitet. Luftkontrollsentralenekan i dag ikke uten videre ta over oppgavene forhverandre.

For lufthavnsystemet er det mange systemersom skal virke sammen, og selv svikt i «ikke-kri-tiske» systemer, som for eksempel bagasjebånd,kan få konsekvenser for passasjerene. I mai 2015stoppet bagasjebåndene på Gardermoen opp, noesom medførte at reisende ble forhindret fra åsjekke inn. Svikten medførte forsinkelser på rundttre timer.

EUs etablering av et felleseuropeisk luftrom(Single European Sky) er tuftet på fire forordnin-ger og vil føre til store endringer for flysikringstje-nesten i Norge. Hovedformålet med initiativet er ålegge til rette for et europeisk luftrom som har øktkapasitet og er mindre oppstykket enn det som ertilfellet i dag. Avinor vil vurdere fjernstyrte tårnsom et alternativ. En vellykket test av dette blegjennomført i 2014 med sentral fjernstyring fraBodø kontrollsentral for lufthavnene Værøy ogRøst.

Den økende utbredelsen av droner åpner luf-trommet for mange typer ny bruk og nye brukere.Det kan føre til økt risiko og sårbarhetsutfordrin-ger som følge av utilsiktede hendelser og ved ataktører kan ha som hensikt å gjøre skade. Droner

utfordrer luftfartssikkerheten ved at de kankomme i konflikt med andre fartøy eller skademennesker og verdier på bakken. Styrings-systemer og kommunikasjonslinjer har vist seg åvære sårbare for feil, og det finnes en mengdeeksempler på at operatører har mistet kontrollenover droner på grunn av IKT-svikt eller mangel påferdigheter.

18.3.4 Luftfartens avhengighet av ekom og satellittbaserte tjenester

Luftfartstjenesten er svært avhengig av velfunge-rende elektronisk kommunikasjon og IKT-systemer for øvrig. Det er mulig å drive trafikkav-vikling selv om enkelte av funksjonene skullesvikte, blant annet ved å operere via forhåndsplan-lagte prosedyrer, men effektiviteten i trafikkavvik-lingen vil da kunne bli svært lav.

Hendelsen 23. mai 2011 som medførte kabel-brudd i viktige forbindelser i Telenors nett, gjordeat flytrafikken mellom Bodø og henholdsvisTrondheim lufthavn, Værnes og flyplassene iMøre og Ørland måtte settes på vent. Etter entimes tid fikk Avinor satt i gang sitt reserve-system, og luftrommet kunne åpnes igjen. Isolertsett førte ikke hendelsen til større samfunnsmes-sige problemer, men denne type hendelser kan fåkonsekvenser for næringslivet, det offentlige ogden enkelte. Skjer en svikt på et uheldig tidspunkti en pågående trafikkavvikling, kan utfallet blisvært alvorlig. Avinor har redundante føringsveierog kjøper ekomtjenester fra ulike leverandører.

Det er en stor og økende avhengighet av GPS-baserte tjenester og satellittkommunikasjon. I dager det ikke alle luftfartøy som har aktive antikollis-jonsmekanismer, derimot har de passive vars-lingssystemer. I fremtiden vil dette bildet kunneendre seg. Den gradvise innføringen av satellittba-sert flynavigasjon i Europa skjer innenfor rammenav Single European Sky (SES). SESAR (SingleEuropean Sky ATM Research) er EUs forsknings-og utviklingsprosjekt for innføring av nye adminis-trative, operative og teknologiske konsepter for enmer effektiv utnyttelse av europeisk luftrom. ISESAR vil posisjonsdata fra satellittsystemer bru-kes til navigasjon, trafikkovervåking og tjenesterved lufthavnene. I tillegg vil satellittsystemer blibrukt som tidsreferanse for synkronisering avsystemer for flykontroll (Air Traffic Management,ATM) og flybåren avionikk.15 USA og EU samar-beider om å harmonisere moderniseringen av

15 Norsk Romsenter (2013): Vurdering av sårbarhet ved brukav globale satellittnavigasjonssystemer i kritisk infrastruktur.


ATM. Sammenlignet med aldrende radarsystemerog gammeldags luftkontroll vil en ny infrastrukturbasert på GPS, automatisk kringkasting av posi-sjon (ADS-B) og IP-basert telekommunikasjon forluftfarten kunne bidra til bedre integrasjon mel-lom luftfartøy og bakkebaserte systemer. Forstyr-relser av GPS-signaler eller forfalskning av loka-sjonsinformasjon vil imidlertid kunne degradereovervåkingsnøyaktigheten, og den økte integra-sjonen gjør det mulig å spre skadevare og utføretjenestenektangrep.16

18.4 Sjøtransport

Maritim sektor har oppnådd en vesentlig rasjonali-sering og forbedring av tjenestene ved å ta i brukdigital teknologi. Et moderne skip er avhengig aven rekke digitale systemer for navigasjon, motor-kontroll, lastkontroll, sikkerhet og kommunika-sjon. Offshoreflåten er for eksempel avhengig avkompliserte systemer for dynamisk posisjonering.Logistikk knyttet til vare- og passasjertransport erhelt avhengig av sentrale IKT-systemer og kom-munikasjon mellom et stort antall aktører. Fiskeri-og kystdepartementet har utpekt 5 av totalt 32stamnetthavner som anses som særlig viktige forå utvikle en effektiv og sikker sjøtransport av per-soner og gods. Transport av varer med skip ogimport/eksport av disse varene via landets havnerutgjør en kritisk funksjon i samfunnet.

Det transporteres store mengder farlig last, ogulykker med for eksempel eksplosiv last kan gistore skader på helse og miljø. De verst tenkeligetilfellene er kollisjon mellom skip der menneskelivgår tapt, eller der store miljøødeleggelser er kon-sekvensen.

Maritim sektor har investert i sikkerhet ogberedskap med tanke på ulykker som grunnstø-ting, brann, eksplosjon med mer. Det er investert ifysisk sikring av blant annet havneområder, menmindre i sikkerhet med tanke på digitale sårbar-heter.

Utvalgets omtale av sjøtransport er i sin helhetbasert på rapporten «Digitale Sårbarheter Mari-tim Sektor (DNV GL)», se elektronisk vedlegg.

18.4.1 Roller og ansvar

Ansvaret for implementering av det internasjonaleregelverket for maritim sikring i Norge er delt

mellom Samferdselsdepartementet (SD) ogNærings- og fiskeridepartementet (NFD). Kyst-verket har ansvar for havner og havneanlegg, ogSjøfartsdirektoratet har ansvar for skip og perso-nell om bord. Det er et stort antall aktører i sekto-ren, og med ulik IKT-infrastruktur. Noen rederierhar tilstrebet like IKT-løsninger på sine skip for åforenkle bruken og vedlikeholdet.

Det finnes en rekke interesseorganisasjonersom blant annet er involvert i samarbeidet mellomnæring og myndigheter. Norges Rederiforbund eren interesse- og arbeidsgiverorganisasjon fornorsktilknyttede bedrifter innen skipsfart og offs-hore entreprenørvirksomhet. Rederiforbundetsmedlemmer sysselsetter over 55 000 sjøfolk ogoffshorearbeidere fra mer enn 50 forskjelligenasjoner. Rederiforbundet har en sentral rolle isamarbeidet mellom rederi og myndigheter.Norsk Havneforening er en medlems- og interesse-organisasjon med 47 medlemshavner langs helenorskekysten. Foreningen arbeider med havne-nes rammevilkår ved å jobbe med myndigheter ognæringsaktører, samt ved å samarbeide medandre organisasjoner og aktører.

18.4.2 Hjemmelsgrunnlag og tilsynsvirksomhet

Det internasjonale regelverket for maritim sikringer gjort gjeldende i norsk rett gjennom forskriftom sikring av havneanlegg, forskrift om sikring avhavner og forskrift om sikkerhet, pirat- og terror-beredskapstiltak og bruk av maktmidler om bordpå skip og flyttbare boreinnretninger (sikkerhets-forskriften fra Sjøfartsdirektoratet).

De nevnte forskriftene gjennomfører EU-for-ordning 725/2004, om forbedret sikkerhet for far-tøyer og havneanlegg. Forordningen gjelder fulltut som norsk forskrift, og brukerne må derfor for-holde seg til kravene i denne direkte. SOLAS-kon-vensjonen17 kapittel XI-2 og ISPS-koden (Interna-tional Ship and Port Facility Security Code) ervedlegg til forordning 725/2004. Forordningengjør ISPS-koden del A obligatorisk i alle EUs med-lemsland, i tillegg til at enkelte av bestemmelsenei del B også gjøres obligatoriske.

ISPS er en utvidelse av SOLAS-konvensjonenom sikkerhet for personell og skip på sjøen. ISPS-koden trådte i kraft i 2004 og angir hvilke ansvars-områder forskjellige parter har for å detektere og

16 Sampigethaya et al. (2011): Future E-Enabled AircraftCommunications and Security: The Next 20 Years andBeyond, Proceedings of the IEEE | Vol. 99. No. 11.

17 Titanic-ulykken for over 100 år siden satte søkelyset på sik-kerhet innen maritim sektor. Dette var forløperen til at denførste internasjonale konvensjonen om sikkerhet til sjøs,SOLAS (Safety of Life at Sea), ble utarbeidet.


hindre sikkerhetstrusler mot skip og havner sombrukes til internasjonal handel. Regelverk etterISPS-koden gjelder uavhengig av flagg, farvann,eier med mer.

Forskrift nr. 538, om sikring av havneanlegg,og forskrift nr. 539, om sikring av havner, etable-rer et begrep om sikringsnivå for havner og hav-neanlegg. Tilsvarende etablerer forskrift nr. 972,om sikkerhet og terrorberedskap om bord påskip, et tilsvarende begrep om beredskapsnivå forskip. Denne graderingen gjør det mulig å tilpassesikringstiltak til den gjeldende trusselsituasjonen.Myndighetene kan beslutte å sette i verk et for-høyet beredskapsnivå. Kystverket fastsetter detmaritime sikringsnivået som havner og havnean-legg skal operere på. Skip som befinner seg idisse eller i norsk farvann, må forholde seg tildette sikringsnivået uavhengig av flagg. Sjøfarts-direktoratet fastsetter sikringsnivået for skipunder norsk flagg, gjerne knyttet til spesielle far-vann. Ingen av forskriftene nevner digitale sårbar-heter eller IKT-sikkerhet spesielt.

Sikkerhetsforskriften fra Sjøfartsdirektoratetkrever at det skal utarbeides en sårbarhetsvurde-ring (Ship security assessment, SSA) som beskre-vet i ISPS-koden del A seksjon 8, og en sikkerhets-og terrorberedskapsplan (Ship security plan, SSP)som beskrevet i ISPS-koden del A seksjon 9. Nårdet er verifisert at fartøyet oppfyller kravene i for-skriften og i den godkjente sikkerhets- og terror-beredskapsplanen, utsteder Sjøfartsdirektorateteller klasseinstitusjonen (såkalt RSO) et interna-sjonalt sikkerhets- og terrorberedskapssertifikat(ISSC). Dette har en gyldighet på fem år med for-utsetning om en mellomliggende verifikasjon mel-lom andre og tredje år.

Et minstekrav til sikkerhetsvurderingen i hen-hold til ISPS-kodens del A, seksjon 8 er at den skalidentifisere: eksisterende tiltak, operasjoner det ersærlig viktig å beskytte, mulige trusler og deressannsynligheter, samt sårbarheter. ISPS kodennevner ikke digitale sårbarheter spesielt, men kra-vene til en sikkerhetsvurdering er formulert gene-relt slik at digitale sårbarheter også omfattes avforskriften. Dette kravet om sårbarhetsvurderingog sikringsplan gjelder også for havner og havne-anlegg.

Kystverket og Sjøfartsdirektoratet fører ikketilsyn med IKT-sikkerhet i maritime selskaper.Rederiene har uttrykt at de ikke ønsker et detal-jert regelverk og tilsynsregime for digitale sårbar-heter, men foretrekker en risikobasert tilnær-ming.

18.4.3 Beredskap og hendelseshåndtering

Det er ikke kjent at norsk maritim sektor har værtberørt av alvorlige hendelser knyttet til digitalesårbarheter, men flere mindre hendelser er identi-fisert, og alvorlige hendelser har inntruffet i andreland. Det er kjent hvordan ondsinnet modifikasjonav navigasjonssignaler og identifikasjonssignalerkan medvirke til grunnstøting og kollisjon.

Maritim sektor er en foregangssektor når detgjelder beredskapsplaner og øving av beredskap.Offshoreskip ligger kanskje lengst fremme pådette området innenfor skipsfarten. Dette arbei-det fokuserer på utilsiktede hendelser som grunn-støting, havari og brann. Disse planene har i litengrad innarbeidet digitale sårbarheter, og det erikke identifisert øvelser som involverer slike hen-delser. Det er etablert globale rutiner for varslingav hendelser eller systembortfall som kan gi farefor navigasjonssikkerhet (NAVTEX- og NAVA-REA-meldinger).

Det øves på å styre skip «manuelt» ved bortfallav industrielle automasjons- og kontrollsystemer,men systemene blir mer og mer avhengige avslike systemer. Det er tvilsomt om en flytende olje-plattform lar seg styre uten et funksjonelt DP-sys-tem (dynamiske posisjoneringssystemer). Detøves på utfall av elektroniske navigasjons-systemer, og enkelte rederier opplyser at de harberedskapsplaner for noen kritiske systemer.

18.4.4 Digitale sårbarheter innen sjøtransport

Ettersom maritim sektor i stor grad benytter IKT,er sektoren også eksponert for digitale sårbarhe-ter. Det benyttes i stor grad trådløse datanett i sek-toren, sektoren er global, og det kan forventesindustrispionasje, jf. hendelsen mot Ulstein Grup-pen. Sjøtransporten er avhengig av en rekkesystemer basert på digital teknologi:– globale posisjoneringssystemer (GNSS)– elektroniske kart og informasjonssystemer

(ECDIS)– automatisk identifisering av skip (AIS/LRIT)– nettverksbaserte kontrollsystemer om bord for

blant annet styring og fremdrift– radiokommunikasjon (satellitt, MF/HF, VHF,

UHF, mobiltelefon, kabel (i havn))– datakommunikasjon (primært via satellitt)– administrative systemer (rapportering til

myndigheter, rederi, lasteier med flere)– landbaserte systemer for administrasjon av

havneanløp, last, passasjerer med mer


Underholdning og velferdstilbud om bord på skipmedfører nye sårbarheter. Noen skip har fysiskadskilte nett, mens andre har virtuelt adskiltenett. Det er varierende kvalitet på separasjonsme-kanismene, ofte er det bare enkle brannveggfunk-sjoner. Se for øvrig omtale i punkt 18.3 «Luftfart».

18.4.4.1 Navigasjons- og posisjoneringssystemer

Navigasjonsulykker (kollisjon, grunnstøting, kon-taktskade) utgjør omtrent 50 prosent av alvorligeskipsulykker. Slike ulykker kan få store konse-kvenser, spesielt ved passasjertransport og vedtransport av farlig last. Norskekysten har mangeleder som er trange og krever presis navigeringmed hyppige kursendringer. Det er også betyde-lig transport av farlig eller forurensende last, blantannet i forbindelse med oljevirksomheten. Seila-ser i Norge med forhøyet risiko er generelt under-lagt losplikt, noe som reduserer mulige konse-kvenser av sårbarheter i digitale systemer.

Globale posisjoneringssystemer spiller en storrolle ved navigasjon. Det amerikanske GPS-systemet har flere kjente sårbarheter. Signalenekan forstyrres (jamming), signalene kan modifise-res (spoofing), og amerikanske myndigheter kandegradere ytelse eller i spesielle tilfeller slå av tje-nesten. Passasjerer kan med enkelt og rimeligutstyr forstyrre GPS-signaler om bord. Testermed GPS-blokkering (jamming), utført av TheGeneral Lighthouse Authorities of the UnitedKingdom and Ireland, viser at utfall av GPS-tjenes-ter har betydelige konsekvenser for maritim sik-kerhet.

Konsekvensene av utfall av eller feil på globaleposisjoneringssystemer kan være store for eksem-pelvis offshorefartøy som holder posisjon tett inn-til oljeinstallasjoner. For navigasjon i ledene langskysten i god sikt er konsekvensene mindre.Undersøkelser blant seilende navigatører viser atobservasjon av land og navigasjonsinnretningervisuelt eller ved hjelp av radar, eventuelt også medlos, er den viktigste navigasjonsmetoden. Dennemetoden brukes oftest i kombinasjon med elek-tronisk stedfesting på elektroniske kart. Naviga-sjon basert på informasjon fra to separate kildersom kontinuerlig verifiseres opp mot hverandre,anses som «best practice». Det er da viktig atbegge kildene fungerer, men det blir ikke sikker-hetsmessig kritisk før begge kildene svikter sam-tidig.

I et eksperiment fra 2013 viste forskere vedUniversity of Texas (Austin) hvordan GPS-modifi-kasjon (spoofing) kan påvirke et fartøys naviga-sjon. Om bord i skipet ble en innretning på stør-

relse med en koffert brukt for å sende falske sig-naler til skipets GPS-mottakere. Skipets naviga-sjonssystem var ikke i stand til å avsløre at signa-lene var falske. Mannskapet ble lurt til å korrigerekursen i henhold til de falske GPS-signalene, ogskipet kom ut av kurs uten at det ble oppdaget.Utstyret som ble brukt, kostet cirka 20 000 kronerå produsere.

GPS-sporsystemer benyttes til lokalisering ogovervåking av last (containere) i transportkjeden.Dette gir forutsigbare ankomsttider og kan virkeavskrekkende på potensielle tyver. Sporsystemetinneholder også informasjon om type last. En jam-mer kan «gjemme» containeren.

Det finnes flere eksempler på at overdreven til-lit til digitale navigasjonssystemer kan medvirketil å svekke årvåkenheten hos navigatøren ellerskipsføreren. Dette forsterker konsekvensen avangrep rettet mot slike systemer. En mulig fare erat operatørene enten ikke merker at et system ersatt ut av spill, eller at de ikke er godt nok forbe-redt til å ta i bruk alternative navigasjonsmidler.For ytterligere omtale av sårbarheter knyttet tilsatellittbaserte tjenester, se kapittel 12 «Satellitt-baserte tjenester».

18.4.4.2 Elektroniske kart- og informasjons-systemer

Electronic Chart Display and Information System(ECDIS) er et navigasjonsinformasjonssystemsom oppfyller krav fastsatt av Den internasjonalesjøfartsorganisasjonen (IMO). ECDIS kan benyt-tes som lovlig erstatning for papirkartet dersom

Boks 18.4 USS Guardian

Den 17. januar 2013 grunnstøtte minesveipe-ren USS Guardian på Tubbataha-revet vedFilippinene. En granskingsrapport fant ingenenkeltårsak til hendelsen, men konkludertemed at ulykken kunne vært unngått og var etresultat av «poor voyage planning, poor exe-cution and unfortunate circumstances». Spesi-elt påpekes det at for stor tillit til elektroniskekart var en medvirkende årsak: «The leaders-hip and watch teams relied primarily on aninaccurate Digital Nautical Chart (DNC)®coastal chart during planning and execution ofthe navigation plan.» Selv om denne hendel-sen skyldtes menneskelig svikt og ikke ond-sinnede handlinger, viser den at den store tilli-ten til slike systemer er en risikofaktor.


det brukes offisielle kartdata som er produsertetter gitte internasjonale standarder og kravspesi-fikasjoner. I tillegg må en ha et godkjent backup-system. Det betyr at man må ha to ECDIS-er ombord som er tilknyttet hver sin strømkilde. Detstilles også krav om at et ECDIS skal være type-godkjent.

Et ECDIS skal vise all sjøkartinformasjon somer nødvendig for sikker og effektiv navigasjon, ogdata skal være levert og godkjent av en autorisertsjøkartmyndighet. I Norge er Kartverket sjøkart-myndighet, og deres sjødivisjon leverer og god-kjenner sjøkartdataene.

Elektroniske kart- og informasjonssystemermå holdes løpende oppdatert. Dette skjer vedbruk av minnepinner, CD-er, e-post eller nettba-

serte tjenester. Under oppdatering kan det spresvirus, og det kan bli lagt inn tilsiktede og utilsik-tede feil i kart og informasjon. I ett kjent tilfellemanglet nye nedlastede kart dybdeinformasjon.

18.4.4.3 Identifikasjonssystemer

Automatisk identifikasjonssystem (AutomaticIdentification System, AIS) er et antikollisjonshjel-pemiddel for skipsfarten. Fartøyer som har utstyrfor AIS om bord, sender ut og utveksler informa-sjon om sin identitet, posisjon, fart, kurs og såvidere over frekvenser på VHF-båndet. AIS bru-kes også av maritime trafikksentraler for å holdeoversikt over skipstrafikken innen egne ansvars-områder.

Rekkevidden varierer, men kan være på opptil40 nautiske mil. Etter krav fra IMO skal fartøyerover 300 brutto registertonn i internasjonal fart hautstyr for sending og mottak av AIS-signaler. Medvisse unntak har de aller fleste skip i dag AIS, ogdet anslås at over 40 000 skip har AIS-utstyr klasseA om bord.

En kjenner ikke til tilfeller der modifiserte AIS-signaler har ført til ulykker, men manipulerte AIS-signaler kan medføre kollisjonsfare selv om enbemannet bro skal reagere på slike hendelser.Trafikksentraler benytter informasjon om dyp-gang i AIS-signalene for å dirigere fartøy. Modifi-serte data om dypgang kan føre til grunnstøting.Modifiserte AIS-signaler er ikke lett synlige forbrukeren og kan gi feilaktige vurderinger av denaktuelle kollisjons- og/eller grunnstøtingsrisikoenog derigjennom bidra til en gal beslutning. FalskeAIS-signaler kan brukes til å skjule identiteten til

Boks 18.5 Digitale kart og ECDIS

En ECDIS-arbeidsstasjon tar inn navigasjons-data fra en rekke sensorer som sammen medelektroniske kart gir et kraftig navigasjons-verktøy. Siden ECDIS er et knutepunkt somkobler sammen mange navigasjonssystemer,vil en angriper som får tilgang til ECDIS, hamange muligheter til å villede navigatøren:modifisering av sensordata slik at operatørenfår et feilaktig bilde, manipulasjon/tyveri avelektroniske kart eller bruk av ECDIS som ettilgangspunkt for videre inntrenging. Sikker-hetsfirmaet NCC Group har vist at man kantrenge inn i ECDIS-systemer ved hjelp avenkle teknikker.

Boks 18.6 Digitale sårbarheter ved AIS

AIS er sårbart fordi systemet i liten grad erdesignet med tanke på digitale sårbarheter. Deter ingen kontroll av autentisiteten til meldingerog heller ingen kryptering. I en sikkerhetsevalu-ering utført av Trend Micro i 2013 ble det visthvordan AIS kan angripes. Med enkelt utstyrkunne en angriper blant annet– endre all AIS-informasjon som sendes ut fra

et fartøy– forfalske fartøysinformasjon, slik at ikke-

eksisterende skip blir oppfattet av andre somfaktiske fartøy, eller for å igangsette operasjo-ner med søk- og redningsfartøy (SAR), her-under helikoptre

– generere falske værmeldinger– utløse falske kollisjonsvarsler (CPA)– utgi seg for å være sjøfartsmyndigheter for å

kunne manipulere mannskapet på fartøyet– sende ut falske mann-over-bord-meldinger

(SAR) for å lure et fartøy inn i et fiendtligområde

– iverksette ulike former for tjenestenektan-grep for å hindre legitim AIS-trafikk

Realisering av én av disse handlingene ellerflere i kombinasjon kan ha ulike og omfattendekonsekvenser.


et skip. AIS-data er tilgjengelige på åpne websiderog fra mobile applikasjoner (apper). Dette utgjøren sårbarhet ved at «alle» kan kjenne til et skipsidentitet, dimensjoner, hastighet med mer.

Den viktigste egenskapen til AIS er en veldignøyaktig tidssynkronisering som muliggjør enselvorganiserende datalink mellom alle AIS-motta-kere. Tidssynkroniseringen til AIS baserer seg påGPS’ atomklokker. Bortfall av GPS-tid (UTC) vildermed også stenge ned AIS. I dag er det kunVHF og radar som er alternativene for identifika-sjon av fartøyer i antikollisjonsøyemed, med LRITsom «strategisk» ID-kilde for myndighetene. Forikke-landnære områder ble et satellittbasert lang-distansesystem for identifisering og sporing avfartøy (LRIT) innført i Norge i 2009. Et alternativt(redundant) identifikasjonssystem blir tilgjengelighvis/når infrastrukturen «Maritime Cloud» blirimplementert.

18.4.4.4 Industrielle automasjons-, kontroll- og sikkerhetssystemer

Tradisjonelt har skip vært bygd med enkeltstå-ende og autonome kontroll- og sikkerhets-systemer, der skipets viktige hovedfunksjoner (foreksempel fremdrift, styring, kraftproduksjon,dynamisk posisjonering, kran, ROV-systemer ogballastering) var kontrollert og overvåket avenkle, ikke-programmerbare systemer. Slike skipvar i liten grad utsatt for fellesfeil som kunnepåvirke flere hovedfunksjoner samtidig. Gjel-dende internasjonale regelverk er basert på at ski-pets mannskap skal ha kapasitet, kunnskap ogmulighet til å styre skipets hovedfunksjoner medenkle lokale og manuelle metoder dersom en feilskulle oppstå.

Som et resultat av den teknologiske utviklin-gen er imidlertid dagens skip høyteknologiskeinstallasjoner som er avhengige av programmer-bare og nettverksbaserte systemer. I tillegg blirskipets viktige automasjons-, kontroll- og sikker-hetssystemer i økende grad integrert med nett-verksløsninger. Dette innebærer økt risiko for atdigitale feil, skadeprogrammer og angrep vilkunne slå ut enkelte eller flere av skipets viktigefunksjoner samtidig. Selv om skipet fremdelesskal kunne styres og kontrolleres lokalt/manuelt,vil dette i mange tilfeller være en krevende opp-gave på grunn av manglende kunnskap, man-glende øvelse, begrenset mannskap, komplisertebrukergrensesnitt, og så videre.

Næringen bruker systemer som i dag i storgrad er basert på kommersielt tilgjengelige kom-

ponenter som for eksempel PC-er med MicrosoftWindows operativsystem. Det innebærer at kjentesårbarheter for slike kommersielle standardpro-dukter også vil være eksponert i sektoren. For åsikre seg mot slike sårbarheter må systemeneløpende oppdateres med rettelser fra produsen-tene. Dette er utfordrende i maritim sektor fordidatakommunikasjonen til skipene kan ha begren-set kapasitet, og fordi oppdateringer som kanpåvirke systemer som er i drift, må planleggesnøye og kanskje utføres når skipet ikke er i nor-mal drift. Mange skip benytter digitale systemersom ikke har oppdaterte sikkerhetsrettelser.

18.4.4.5 Kommunikasjon

Logistikk-kjeden ved transport av varer og perso-ner involverer et stort antall aktører og utstraktbruk av usikret e-post. Blant annet utveksles pas-sasjerlister, og ved en ulykke vil informasjon omskadede personer utveksles. Skadeinformasjon ersensitiv personinformasjon, og usikret e-post erikke et medium som er egnet til dette.

Et stort antall aktører utveksler mye informa-sjon på e-post om skip, last og passasjerer.

Systemer for sikring av e-post har vært tilgjen-gelige over lang tid, men er i liten grad tatt i bruk,da systemene krever elektronisk ID og anskaf-felse og bruk av slik ID oppfattes som svært tung-vint. Løsningene har også primært vært tilrette-lagt for person-til-person-kommunikasjon. Detarbeides med løsninger for selskap-til-selskap-kommunikasjon («Digipost for selskaper»).

Åpen kommunikasjon gjennom VHF har ensikkerhetsfunksjon som gjør at det er mulig å initi-ere kommunikasjon uten nærmere kunnskap omidentiteten til den man vil kommunisere med, ogved at alle fartøy som er involvert i en trafikksitua-sjon, får tilgang til lik informasjon ved å overhørekommunikasjon mellom andre skip eller mellomandre skip og vessel traffic service (VTS). Detteinnebærer utfordringer med tanke på personvern,men også i forbindelse med utveksling av sikker-hetsinformasjon i havner, og så videre. I dag kom-muniseres sensitiv informasjon mellom skip ogaktører på land i stor grad ved hjelp av mobiltele-foni når fartøy er nær land, eller ved hjelp av satel-littbasert telefoni til havs. Med utviklingen avsmå, håndholdte VHF-enheter har det oppstått enny sårbarhet, nemlig at disse enhetene kan bli«liggende på sendeknappen» og dermed jammeoppkallings- og nødkanalen.


18.4.4.6 Kommandoforhold om bord kan medføre sårbarheter

Dersom en kaptein beordrer sammenkobling avsystemer eller nett, er det vanskelig for en elektri-ker/servicetekniker å motsette seg dette ut frasikkerhetsbetraktninger. Næringen har i litengrad IKT-teknisk personell ombord, og ofte gjøresIKT-teknisk vedlikehold av ikke-IKT-faglige per-soner. Skipene er derfor i stor grad avhengige avfjernarbeid utført av leverandører og landbaserteIKT-teknikere. De digitale systemene om bordmuliggjør fjernvedlikehold, diagnostikk og oppda-teringer over nett. Det betyr ofte at systemeneåpnes for tilgang fra Internett, noe som ogsååpner for en rekke digitale sårbarheter. Det varie-rer hvor sterkt sikring mot dette blir vektlagt.Noen rederier har innført nøkkelbrytere for åkontrollere slik tilgang, men sektoren har i litengrad innført dedikerte systemer for kontroll. Vedet tilfelle resatte personell som utførte vedlike-hold via en nettforbindelse, digitale systemer påfeil skip.

Når skip ankommer havner, kommer det ofteservicepersonell og inspeksjonspersonell ombord. Kontrollen med identitet og kompetansehos slikt personell varierer. Disse har ofte medseg minnepinner og lignende, som utgjør en sår-barhet ved at de kan installere feil programvare,spre ondsinnet kode eller utføre feilkonfigurasjonav systemer. Det er varierende fysisk sikring avserverrom, kommunikasjonsrom og kablingsskappå skip. Det er også varierende grad av merkingav kabling. Spesielt på eldre skip kan datakablingfor kritiske nett være tilgjengelig for mannskap ogpassasjerer. Dersom uautoriserte datamaskinerkobles til slike segmenter, innføres en rekke sår-barheter.

18.4.4.7 Sentrale systemer

Det benyttes i stor grad overvåkingssystemer(CCTV) både om bord i skip, i trange passasjer ogi havn. Slike systemer samler mye informasjonsom kan ha betydning både for personvern og forondsinnede handlinger. Systemene kan settes utav drift, og de kan benyttes til å innhente informa-sjon. Slike systemer er brukt for å stjele brukeri-dentiteter og passord. Det er varierende praksisfor sikring av data og sletting.

Kystverket utvikler og drifter SafeSeaNet Nor-way som en felles nasjonal meldeportal for skips-farten. Dette systemet er basert på det europeiskeSingle Window-konseptet, som anbefaler utviklin-gen av en nasjonal portal der fartøy, rederier og

operatører kan sende inn rapporteringspliktiginformasjon til nasjonale myndigheter kun éngang. Informasjonen skal videreformidles automa-tisk til nasjonale myndigheter for å forenkle ogøke kvaliteten på den offentlige saksbehandlingenoverfor maritime brukere. Informasjon om farligeller forurensende last blir videreformidlet til detsentrale europeiske SafeSeaNet-systemet.

SafeSeaNet har en stor og variert bruker-masse, og det er utfordrende å sikre god bruke-rautentisering. En utenforstående kan lage seg enfalsk konto og både hente ut og registrere feilak-tig informasjon. Blant annet ligger sikkerhetsin-formasjon om skip i systemet. SafeSeaNet spilleren viktig rolle ved losformidling, meldinger omfarlig gods, trafikkontroll, tollkontroll og grense-kontroll. Bortfall av systemet eller feilaktig infor-masjon kan føre til at viktig informasjon ikke er til-gjengelig når kritiske situasjoner oppstår.

Barents Watch er et norsk overvåkings- oginformasjonssystem som gir et oversiktsbilde avaktiviteter og tilstand i kyst og havområder. Enåpen løsning finnes allerede og det arbeides meden adgangsbegrenset løsning. Barents Watchadgangsbegrensede del skal tjene som et systemfor utveksling av informasjon mellom etater medoperativt ansvar i kyst- og havområdene.

18.4.4.8 Globale utfordringer

Etter angrepet på Twin Towers 11. september2001 har det vært økt oppmerksomhet omkringmulige angrep som involverer passasjerskip ogskip med farlig last. Den amerikanske kystvaktenhar en pågående vurdering av om de skal sette«cybersecurity»-krav til skip som anløper ameri-kanske havner.

EU fikk i 2011 utført en analyse som munnetut i rapporten Cyber Security Aspects in the Mari-time Sector. Noen av hovedfunnene i denne rap-porten var at maritim bevissthet om informasjons-sikkerhet («cyber security awareness») er lav ogtil dels ikke-eksisterende, og at eksisterende mari-timt regelverk og policy kun fokuserer på fysisksikkerhet og ikke tar informasjonsaspektet ibetraktning. Dette kan overføres til norske for-hold. Videre anbefales det at IMO og EU sørgerfor en harmonisering av regelverket, og at manbør forsøke å bygge plattformer for bedre infor-masjonsutveksling mellom medlemsstatene fordette domenet.

IMOs sjøsikkerhetskomité (Maritime SafetyCommittee) har satt i gang et arbeid for å se påbehovet for retningslinjer for maritim cybersik-kerhet under det stående agendapunktet «Measu-


res to enhance maritime security» etter initiativfra Canada og USA. Maritim industri ved Inter-tanko, Intercargo, BIMCO og ICS arbeider meden egen industriveiledning for risikobasert hånd-tering av informasjonssikkerhet. Arbeidet medveilederen er gjort kjent for IMO, og MSC holdesinformert og vil bli presentert det endelige doku-mentet. Et lignende arbeid er satt i gang av IMOsFacilitation Committee.

IMO er en stor og tung organisasjon der utar-beidelse av nye retningslinjer tar lang tid. IMOsintensjon er å lage frivillige retningslinjer, mensEU gjør disse retningslinjene til obligatoriskekrav.

18.4.5 Fremtidige problemstillinger og trender

IMO har vedtatt en strategiplan (MSC94) forimplementering av e-navigasjon. Planen påpekerbehovet for en autorisert kommunikasjonsinfra-struktur om bord i skip, mellom skip, mellom skipog land og mellom myndigheter og andre mari-time interessenter. Denne «maritime skyen»(«Maritime Cloud») er definert som «en kommu-nikasjonsinfrastruktur for effektiv, pålitelig ogsømløs digital informasjonsutveksling mellom alleautoriserte maritime interessenter på tvers av alletilgjengelige kommunikasjonssystemer».

Virtuelle seilingsleder erstatter bøyer ogandre fysiske navigasjonsinnretninger med mot-svarende virtuelle objekter som fremvises ombord på beslutningsstøttesystemer som ECDIS ogRADAR. IALA/IEC har allerede utarbeidet stan-darder for presentasjon av virtuelle navigasjons-innretninger (ikoner) på navigasjonsutstyr. Kyst-verket, som har ansvar for merking av ledene idag, legger ikke opp til en slik utvikling i Norge.

Autonome og ubemannede skip anses som etelement i en bærekraftig og konkurransedyktig(skips)industri i fremtiden. EU-prosjektet MUNINundersøker både konseptet og teknologien somkreves for å operere et «industrielt autonomtskip» både kosteffektivt og sikkert i et reelt ogkommersielt miljø.

Reassuransemarkedet innførte etter 11. sep-tember 2001 et unntak for bruk av datateknologi iskadelig hensikt, den såkalte Cyber Attack-klau-sulen (CL 380). I det internasjonale forsikrings-markedet for maritime enheter (skip, rigger og såvidere) gjelder CL 380 tilnærmelsesvis uten unn-tak.

Under krigsdekningen hos Den Norske Krigs-forsikring for Skib dekkes tap og skade som opp-står på basis av bruk av datateknologi i skadehen-

sikt, altså det CL 380 i hovedsak søker å eksklu-dere. Slik sett er norske skip og rigger bedrebeskyttet enn resten av verdensflåten. Det erimidlertid en risiko for at norske skip og riggerkan bli utsatt for skadeverk gjennom hacking ellerlignende som ikke omfattes av krigsforsikringenfordi angrepet ikke kan betegnes som sabotasjeeller politisk motivert skadeverk. Skal skadever-ket henføres til sivildekningen, vil det være et hulli dekningen. Med den praksis at denne risikoenekskluderes under sivil kasko, vil det være enikke ubetydelig udekket risiko for rederne/sik-rede, ettersom slike risikoer bare i spesielle tilfel-ler vil være å regne som krigsfare etter CL 2-9.

18.5 Vurderinger og tiltak på tvers av transportsektoren

Samferdselssektoren har de siste årene blitt meravhengig av IKT, og kompleksiteten i IKT-systemer og nett har økt. Utviklingen har ført til atsektoren er blitt mer sårbar overfor svikt ogbrudd i systemer og nett. Bortfall av IKT-tjenesterkan få store konsekvenser for transportsikkerhetog pålitelighet, og utvalget mener at IKT-sikker-het og -beredskap må være et grunnleggende inn-satsområde innenfor sektoren.

Transportsektoren står blant annet overforstore og omfattende investeringer innen IKT.Disse prosjektene kjennetegnes av grenseover-skridende føringer, høy kompleksitet og storekostnader. Investeringer i dag skal være levedyk-tige i mange år fremover i tid, noe utvalget menerer utfordrende på et område der teknologienutvikler seg svært raskt samtidig som anskaffel-sesregime og lovverk har en vesentlig lengreendringstakt.

Utvalget merker seg at sentrale trafikksty-rings- og kontrollsystemer innen vei, bane, luft ogsjø kan svikte på grunn av både tilsiktede og util-siktede hendelser. Dette vil kunne medføre konse-kvenser for trafikkavvikling og kan i noen tilfellertrue sikkerheten, spesielt hvis noen får kontrollover eller manipulerer styringssystemene.

Utvalget mener at transportsektoren derforbør vie eksisterende og kommende digitale sår-barheter enda større oppmerksomhet, og at inn-satsen, som følge av sektorens globale karakter,også må rettes mot internasjonale samarbeids-fora.

Nye, publikumsvennlige digitale løsninger forutførelse av offentlige tjenester vil i de fleste tilfel-ler inneholde personopplysninger samt kunneåpne for en tettere kobling mellom forskjellige


registre med ulike formål. Utvalget mener det erbehov for å vurdere personvernspørsmål knyttettil sektorens systemer. Området er relevant i for-hold til Den europeiske menneskerettighetskon-vensjons (EMK) bestemmelser om fri bevegelse.Dette avhenger av om det blir obligatorisk åbenytte systemene i praksis. Ikke å kunne bevegeseg uten å legge igjen spor representerer et inn-grep i borgernes rettigheter og friheter. Det erogså nødvendig å se på hvem som har tilgang tilopplysningene som lagres. Anonymiseringsmulig-heter må vurderes ettersom mange hensyn kanivaretas uten at man knytter opplysningene til per-son. Problemstillingene må ses i sammenhengmed utkontraktering, i og med at mange av«eierne» av informasjonen (transportselskaper,billettselskaper og så videre) hører hjemme iandre jurisdiksjoner. Formålsglidning er en sen-tral problemstilling jf. kapittel 11 «Elektroniskkommunikasjon».


18.5.1 Styrke IKT-tilsyn og samarbeid mellom transportgrenene

Samtlige transportgrener opplever en trend derdigitaliseringen skyter fart og sektoren skal igjen-nom store endringer. Utvalget ser blant annetmed bekymring på økende systemintegrasjon ogkompleksitet, som også rammer styrings-systemer. Utvalget er gjort kjent med eksemplerpå manglende kontroll av kritiske styrings-systemer, blant annet knyttet til fysisk skille («airgap») mellom et kritisk IKT-system og kunderet-tede tjenester, for eksempel om bord i fly ellerskip. Dette er en internasjonal problemstilling, ogdet forutsettes at tilsynsmyndighetene har til-strekkelig kompetanse og kapasitet til å kunnepåvirke i relevante internasjonale fora.

Transportbransjen kjennetegnes av en pågå-ende og økende privatisering og internasjonalise-ring, noe som medfører en rekke utfordringer,særlig for myndighetenes krisehåndtering. Eie-og leieavtaler er i kontinuerlig endring. Det er enutfordring for krisehåndtering at tjenesteproduk-sjonen i stor grad håndteres av underleverandørerog dermed styres gjennom kommersielle avta-ler.18 Utvalget vil anbefale at sektoren går igjennomberedskapsplanene og sjekker disse opp mot digitalesårbarheter og reserveløsninger. Beredskapsplanver-ket må også ha planer for å håndtere digitale kriser

der leverandører befinner seg utenfor Norges gren-ser.

Samferdselssektoren gjør et omfattendearbeid med risikoanalyser. Utvalget har observertat IKT og digitale sårbarheter i mindre grad erinkludert i dette arbeidet. Utvalget er imidlertidkjent med at det pågår diskusjoner om etableringav et samarbeidsforum mellom transportetatene.

Det er behov for ressurssterke tilsynsmyndig-heter som kan følge med på den internasjonaleutviklingen og gi norske innspill. Dette forutsetterat myndighetene har hjemmel og makt i tilsynsar-beidet sitt. I tilfeller der tilsynsmyndigheten man-gler hjemler, bør det settes i gang et arbeid med ågi myndigheten dette der det er mulig. Et slikt ini-tiativ er blant annet gjort innenfor skinnegåendetransport. Utvalget vil også fremheve myndighete-nes veiledningsrolle som vesentlig, samt sam-arbeid og informasjonsutveksling både internt isektoren og med andre tilsynsmyndigheter påIKT-området.

Utvalget anbefaler at Samferdselsdepartemen-tet styrker tilsynsmyndighetene innenfor transport-sektoren innen IKT-sikkerhet. Tilsynsmyndighe-tene må ha kapasitet og kompetanse til å føre til-syn med og veilede virksomheter på norsk territo-rium, samt bidra i internasjonale fora.

18.5.2 Etablere en felles rapporteringskanal for IKT-hendelser innen transportsektoren

Utvalget vurderer at det er behov for en felles rap-porteringskanal både fra myndighetene til sektorenog fra sektoren til myndighetene når det gjelder IKT-hendelser. Når for eksempel NSM NorCERTdetekterer en økning av Internett-baserte angrepmot sektoren, må alle relevante aktører i sektorenkunne varsles.

Et alternativ kan være at sektoren etablerer enegen CERT-tjeneste, men det er uklart hvem someventuelt skal etablere og finansiere denne, ogsågitt den globale dimensjonen for flere av trans-portgrenene. Utvalget observerer at Samferdsels-departementet hittil har overlatt denne diskusjo-nen til underlagte etater. Utvalget mener at Sam-ferdselsdepartementet bør utrede hvordan rapporte-ring av IKT-hendelser bør ivaretas for sektoren.

18.5.3 Særskilte tiltak for sjøtransport

Den maritime sektoren er svært avhengig av digi-tale systemer for å ivareta sjøsikkerhet og effekti-vitet. Maritim sektor omfatter mange aktører,også et globalt arbeidsmarked der utenlandske

18 Samferdselsdepartementet (2010): Krisescenarioer i sam-ferdselssektoren – KRISIS.


sjøfolk arbeider på skip som seiler i norske far-vann. Maritim sektor er en global industri under-lagt internasjonale konvensjoner og regelverk.Dette setter rammer for hva norske myndigheterselv kan gjøre. Utvalget observerer at ulikemyndigheter har et ansvar i en kompleks verdi-kjede i sjøfarten, samtidig som det mangler enmyndighet med et helhetsblikk på digitale sårbar-heter i hele verdikjeden.

Etablere helhetsoversikt over IKT-sikkerheten i maritime verdikjeder

Utvalget vil anbefale at Kystverket gis et overordnetansvar for å ha en helhetsoversikt over IKT-sikkerhe-ten i maritime verdikjeder og gi råd til departemen-tet om prioriteringer som gjelder digitale sårbar-

heter i verdikjeden. Det inkluderer en digitalisertmaritim infrastruktur langs kysten og i farleder ogIKT-sikkerhet om bord i fartøy og for maritimtpersonell. Rollen tilsvarer den som Petroleumstil-synet er gitt på petroleumsområdet. Rollen endrerikke ansvaret Sjøfartsdirektoratet har for skip ogmaritimt personell, eller Nkoms ansvar for elek-tronisk kommunikasjon.

Tilrettelegge for sikring av identitet

Det er en uløst problemstilling internasjonaltknyttet til sikret digital utveksling av passasjer- ogmannskapsinformasjon, last- og kundedata. Utval-get anbefaler Samferdselsdepartementet, i samar-beid med andre relevante myndigheter, å ta initiativfor å finne en løsning på dette internasjonalt.

218 NOU 2015: 13 2015Digital sårbarhet – sikkert samfunn

Del IVTverrsektorielle forhold


Kapittel 19

Kompetanse

For å kunne delta i en stadig mer digital hverdager det en forutsetning å ha grunnleggende kunn-skap om bruk av IKT. Dette gjelder først og fremstkjennskap til funksjonalitet, men også hvordanman forholder seg i møte med digitale trusler ogsårbarheter. Selv om dagens IKT-systemer har enøkende grad av innebygde løsninger som skal iva-reta brukerens integritet og sikkerhet, har detteliten verdi dersom brukeren enten ikke vet hvor-dan slike løsninger skal brukes, eller bevisst vel-ger å omgå dem.

Dette kapittelet omhandler kunnskap ogferdigheter som må utvikles, videreformidles ogfordeles i samfunnet for å sikre tryggest muligbruk av IKT. Hva slik kunnskap skal inneholde, vilavhenge av hvem mottageren er. For eksempelmå befolkningen i sin alminnelighet vite hvordanman bruker IKT på en sikker måte, både privat ogi jobbsammenheng, mens fagarbeidere og spesia-lister innen IKT må ha spesifikk kunnskap omhvordan man forebygger og håndterer digitaletrusler. Slik kunnskap inkluderer også spisskom-petanse innenfor utvalgte og særlig kritiske områ-der. Samtidig må ledere og beslutningstagere ibedrifter og etater ha tilstrekkelig kompetanse tilå kunne allokere nødvendige ressurser for å sikreat IKT-sikkerheten blir ivaretatt i egen organisa-sjon.

Kunnskap om IKT blir blir først og fremst for-midlet gjennom opplæring og utdanning. Utvalgethar primært fokusert på den offentlige utdan-ningsdelen som er ment å dekke disse behovene.Utdanningsløpet starter i barnehage og grunn-skole og går gjennom videregående utdanning ogopp til både generelle IKT-utdanninger og spesia-listutdanninger innenfor IKT-sikkerhet. Dengrunnleggende utdanningen er primært vurdertmed tanke på innhold, mens det for de mer spesia-liserte utdanningene også er vurdert om volumeter tilstrekkelig til å dekke nåværende og fremti-dige behov. Siden opplæring av eksperter innenIKT-sikkerhet er nært knyttet til forskning ogutvikling (FoU), behandler dette kapittelet ogsåden nasjonale FoU-aktiviteten innenfor området.

Utvalget avgrenser mot sektorspesifikke utdan-ningsbehov i dette kapittelet. Øvelse er et vesent-lig element i kompetanseoppbygging i virksom-heter, og er behandlet under samfunnsfunksjo-nene i del III «Sårbarheter i kritiske samfunns-funksjoner».

IKT-sikkerhetskompetanse omtales i det føl-gende som et samlebegrep som dekker bådekunnskap om hvordan man gjør IKT-systemrobuste mot utilsiktede hendelser, samt ogsåhvordan man beskytter slike system mot tilsik-tede angrep.

IKT-sikkerhetskompetanse bygger på flerefagdisipliner: Teknisk IKT-sikkerhet bygger pågenerell teknisk basisforståelse1 og kan foreksempel være en spesialisering i programvare-sikkerhet, nettverkssikkerhet, kryptografi, kart-legging av sårbarheter over nettverk og skadeva-reanalyse. IKT-sikkerhet innenfor ledelse ogadministrasjon kan for eksempel være kompe-tanse innen hendelseshåndtering og digital risi-kostyring. Innen juss og kriminalitetsbekjempelsehar vi datatekniske undersøkelser, forvaltningsin-formatikk og medierett, og innen samfunnsfagenestår digital rettsstatsutvikling, overvåking og per-sonvern sentralt.

19.1 Sentrale dokumenter

Sårbarhetsutvalget2 fra 2000 omhandlet det norskesamfunnets sårbarheter med utgangspunkt i etønske om å styrke samfunnets sikkerhet ogberedskap. Utvalget hevdet at Forskningsrådet,som er ansvarlig for strategisk rådgivning overfordepartementene, ikke hadde tatt ansvaret for åkanalisere offentlige midler til sikkerhetsfors-

1 Som for eksempel matematikk og logikk, forståelse forkretser, mikroprosessorer, operativsystemer, programme-ring, databaser og nettverksprotokoller. Inngår i fagretnin-ger som teleteknikk, datateknikk og informatikk (compu-ter science).

2 NOU 2000: 24 Et sårbart samfunn – Utfordringer for sikker-hets- og beredskapsarbeidet i samfunnet.


kning. Konsekvensen av dette var at sikkerhets-forskningen rundt årtusenskiftet var kortsiktig ogfragmentert, og at fornyelse og nytenkning ut frablant annet IKT-revolusjonen ble forhindret.

Sårbarhetsutvalget mente videre at bådenæringsliv, forvaltning og utdanningsinstitusjo-ner raskt ville kunne havne i en kompetanse- ogrekrutteringskrise på sikkerhetsområdet dersomdet ikke kom en ny satsing på sikkerhetsfors-kning. Utvalget anbefalte blant annet at ett depar-tement måtte ta ansvaret for sikkerhetsforskning istort og for prioritering av privat–offentlige sek-torovergripende forskningsprogrammer.

Infrastrukturutvalget3 leverte i 2006 en utred-ning som kartla virksomheter med betydning forrikets sikkerhet og vitale nasjonale interesser (kri-tisk infrastruktur), og fulgte opp Sårbarhetsutval-get med å si: «Kanskje er det i særdeleshet småog mellomstore bedrifter (i tillegg til privatperso-ner) som er mest utsatt ved at de ikke har tilstrek-kelig kompetanse og økonomiske midler til åskaffe seg tilfredsstillende beskyttelse.»

Nasjonal strategi for informasjonssikkerhet,med tilhørende handlingsplan, fra 2012 angir ret-ninger og prioriteringer som skal ligge til grunnfor myndighetenes informasjonssikkerhetsarbeid.«Høy kompetanse og fokus på forskning om infor-masjonssikkerhet» er angitt som ett av de fireoverordnede målene. To av de sju strategiske pri-oriteringene er særlig relevante: «kontinuerliginnsats for bevisstgjøring og kompetanseheving»og «høy kvalitet på nasjonal forskning og utviklinginnenfor informasjons- og kommunikasjonssik-kerhet». I den tilhørende handlingsplanen er Sam-ferdselsdepartementet bedt om å videreføre nett-vett.no, Justis- og beredskapsdepartementet erbedt om å videreføre tilskuddet til Norsk senterfor informasjonssikring (NorSIS), Kunnskaps-departementet skal følge opp at det gis støtte tilpersonvern og informasjonssikkerhet i grunnopp-læringen, og Kommunal- og moderniserings-departementet fikk i oppgave å etablere et kompe-tansemiljø for informasjonssikkerhet i statsfor-valtningen. Det var også tiltak knyttet tilForskningsrådets nye IKT-satsing IKTPLUSS,som er en videreføring av VERDIKT-programmet.

Nasjonal strategi for IKT-forskning og -utvik-ling4 er utarbeidet av det tidligere Forbruker- ogadministrasjonsdepartementet, nå Kommunal- og

moderniseringsdepartementet, på vegne av regje-ringen. Strategien gjelder for perioden 2013–2022. Informasjonssikkerhet er nevnt som én avtre store samfunnsutfordringer innen IKT-forskning og -utvikling: «Regjeringa meiner det erav særskilt nasjonal interesse at vi har innanlandskompetanse og eigne forskingsmiljø innanforinformasjonstryggleik». Strategien viser til småog fragmenterte forskningsgrupper innen offent-lig IKT-forskning i Norge og manglende langsik-tig forskningsstøtte. Regjeringen ønsket atForskningsrådet skulle fortsette med en sterk sat-sing innen IKT, og at Norge skulle delta i EUsrammeprogram Horisont 2020 som fullverdigmedlem.

Digitutvalget5 mente i 2013 at digitale ferdig-heter i grunnskole og videregående skole i litengrad har blitt et mål i seg selv, men fremstår somet virkemiddel for å oppnå de andre lærings-målene. Med det menes at vekten nesten ensidiger på kommunikasjon og presentasjon, fremforutvikling, programmering, beregning og tekniskforståelse.6 For å sikre verdiskaping mente Digit-utvalget at nye generasjoner må settes i stand til åskape, ikke bare forbruke, teknologi. Digitutval-get foreslo derfor å utvide definisjonen av digitaleferdigheter til også å innebære beregning, analyseog generell teknologiforståelse. I tillegg ønsket deå innføre programmering som valgfag i grunnsko-len. Det var etter Digitutvalgets mening for lengeå vente til videregående utdanning tilbyr formellundervisning i programmering. Tiltak for å byggekompetanse blant lærerne ble foreslått, blantannet basert på «skolens digitale tilstand».7

For høyere utdanning pekte Digitutvalget påmanglende formelle krav til digital kompetanseeller ferdigheter, og at slike krav må klarere inn ilæringsmål i alle studieprogram. De mente at for-ståelse for teknologi er viktig også for generalis-ter, som jurister, økonomer, leger og sykepleiere.Helsepersonell må for eksempel kunne ivaretasikkerhet, personvern og menneskeverd. Økono-mer må forstå nettbaserte forretningsmodeller.Journalister må kunne bearbeide store mengderrådata og krysskoblinger i databaser for å drive

3 NOU 2006: 6 Når sikkerheten er viktigst – Beskyttelse av lan-dets kritiske infrastrukturer og kritiske samfunnsfunksjoner.

4 Kommunal- og moderniseringsdepartementet (2013):Nasjonal strategi – IKT-forsking og -utvikling. Strategi 2013-2022.

5 NOU 2013: 2 Hindre for digital verdiskaping.6 Med teknisk forståelse menes å få innsyn i de bakenforlig-

gende mekanismene for hvordan datamaskiner fungererog snakker sammen, og hva Internett er.

7 Senter for IKT i utdanningen (2012): Monitor 2011 – Sko-lens digitale tilstand. Det vises til at det er store mangler ielevers og læreres operative digitale ferdigheter. Eksem-pler er bruk av regneark, kunnskap om opphavsrettighetog bruk av Wikipedia som kilde. Undersøkelsen ser ikkepå situasjonen knyttet til forståelse av hvordan «datamaski-ner fungerer».


oppsøkende journalistikk. Lærere må kunneknytte IKT til sine fagfelt.

For IKT-spesialistene mente Digitutvalget atdet var viktig å få frem studietilbud rettet motentreprenørskap der den digitale skaperkompe-tansen rendyrkes. Dette begrunnet i manglendefokus på kommersialisering av produkter og tje-nester.

I 2015 ble det levert en utredning kalt Fremti-dens skole – Fornyelse av fag og kompetanser8, somvurderte grunnopplæringens fag opp mot krav tilkompetanse i et fremtidig samfunns- og arbeidsliv.Utvalget skrev:

«Verktøykompetanse og kompetanse knyttet tilsikkerhet er eksempler på digital kompetanse9

som ikke har en umiddelbar tilknytning tilnoen av dagens skolefag».

Videre står det:

«Teknologiutviklingen fører til endringer i allefag. Samtidig er det deler av digital kompetansesom ikke er knyttet til et bestemt fag, foreksempel det å lære generelle sider ved brukav datamaskiner som verktøy. En konsekvensav dette kan være uklarheter i skolehverdagenom hvilke fag som skal ta ansvar for eleveneslæring og utvikling av grunnleggende ‘opera-sjonelle’ digitale ferdigheter.»

Utvalget anbefalte at «de ulike sidene ved digitalkompetanse uttrykkes som del av kompetansen ialle fag, men uten at dagens ordning med grunn-leggende digitale ferdigheter videreføres».

Digidel 2017 er Kommunal- og modernise-ringsdepartementets program for økt digital delta-kelse, i samarbeid med private aktører. Hensiktener å styrke samarbeidet og øke innsatsen som idag gjøres av ulike offentlige virksomheter, IKT-næringen og frivillige organisasjoner på områdetdigital kompetanse og deltakelse. Digidel 2017 viltilby opplæringsmateriell og arenaer for erfarings-utveksling og kunnskapsheving for instruktørerog kursledere som driver med undervisninginnen digital kompetanse. EU har en tilsvarendesatsning på digital inkludering i sin digitaleagenda.

Justis- og beredskapsdepartementet har utgittFoU-strategi for samfunnssikkerhet 2015–2019.10

Trygg digitalisering av samfunnet er ett av flereprioriterte temaer i strategien. Justis- og bered-skapsdepartementet vil bidra til forskning inneninformasjonssikkerhet og personvern gjennomForskningsrådets IKTPLUSS og delta aktivt for åkoordinere EU-forskningen i Horisont 2020.


Kunnskapsdepartementet har ansvaret for barne-hager, grunnskole, kulturskole, videregåendeopplæring, fagskoleutdanning og høyere utdan-ning. Kunnskapsdepartementet utformer dennasjonale utdanningspolitikken som er vedtatt avStortinget. Departementet har også ansvar forvoksnes læring og forskning.

Justis- og beredskapsdepartementet har samord-ningsansvaret for forebyggende IKT-sikkerhet isivil sektor. Nasjonal sikkerhetsmyndighet(NSM) er det nasjonale fagmiljøet for IKT-sikker-het.

Utdanningsdirektoratet følger opp og iverkset-ter den nasjonale utdanningspolitikken, blantannet gjennom veiledning, tilsyn og undersøkel-ser.

Senter for IKT i utdanningen skal bidra til øktkvalitet på opplæringen innen bruk av IKT forbarn i barnehager, elever i grunnskole og videre-gående opplæring og studenter i barnehage- oglærerutdanningene. Senteret har blant annetansvar for personvernskolen.no, undervisnings-opplegget «Du bestemmer», og FEIDE i grunn-opplæringen.

Nasjonalt organ for kvalitet i utdanningen(NOKUT) har ansvaret for kvalitetssikringen avhøyere utdanning og fagskoleutdanning i Norge.Høyere utdanninger tilbys på bachelor-, master-og doktorgradsnivå, og skal være forskningsba-serte. Fagskole er et kortvarig, yrkesrettet alter-nativ til høyere utdanning. NOKUT fører tilsyn forå utvikle kvaliteten ved utdanningsinstitusjonene.NOKUT har også ansvaret for å godkjenne uten-landsk høyere utdanning og skal bidra til godinformasjon når det gjelder sammenligning avnorsk og utenlandsk kompetanse.

Norges Forskningsråd (Forskningsrådet) er etnasjonalt forskningsstrategisk og forskningsfinan-sierende organ som skal møte samfunnsutfordrin-ger og forskningspolitiske målsettinger.

8 NOU 2015: 8 Fremtidens skole – Fornyelse av fag og kompe-tanser.

9 Verktøykompetanse handler om praktisk bruk av univer-selle digitale enheter og systemer som bruk av datamaskinog etablerte programmer for behandling av tekst, tall, pre-sentasjoner og bilder. Sikkerhet er å lære å beskytte egeninformasjon som ligger digitalt.

10 Justis- og beredskapsdepartementet (2015): FoU-strategifor samfunnssikkerhet 2015–2019.


Forskningsrådet finansierer forskningsprosjek-ter, gir basisfinansiering til institutter og sentre, itillegg til investeringer i nasjonal forskningsinfra-struktur, kurs og konferanser. Budsjettet for 2014var på 8 046 millioner kroner.11 Rådet skal med-virke til samspill mellom forskning og næringsliv.

19.3 Kompetansesituasjonen i samfunnet

DAMVAD og Samfunnsøkonomisk analyse hartidligere fått i oppdrag av Kommunal- og moderni-seringsdepartementet å undersøke behovet foravansert IKT-kompetanse frem mot 2030.12 Analy-sen viser at etterspørselen etter personer medavansert IKT-kompetanse overgår dagens tilbudav personer med denne kompetansen.

Kommunene har i dag bare unntaksvis entydelig sikkerhetsorganisasjon, og etterspør der-for i liten grad relevant kompetanse innen IKT-sik-kerhet. Kommunene har stort sett små IKT-mil-jøer, der IKT-sikkerhetsarbeidet bare er én avmange oppgaver for IKT-personalet. Også fylkes-mennene har små organisasjoner uten dedikertpersonell med kompetanse innen IKT-sikkerhet.Ansvaret for IKT-sikkerhet er ofte tillagt perso-nale med andre hovedoppgaver, og som manglernødvendig spisskompetanse på sikkerhet. Mangeledere har også for lav bevissthet om at de eransvarlige for IKT-sikkerheten, og har verkenvilje eller evne til å ivareta denne rollen.

Det er bred enighet blant infrastruktureiereog bransjeorganisasjoner om at det er en generellmangel på personer med IKT-sikkerhetskompe-tanse i samfunnet, og at det er utfordrende årekruttere til denne typen stillinger. Det er likevelfå virksomheter som rapporterer om negativekonsekvenser som direkte følge av mangel påkompetanse. Også konsulentbransjen oppgirunderskudd på personell. De peker spesielt på etstort underskudd på folk med to–fem års erfaringinnen sikkerhetsarbeid. Nyutdannede er det noebedre tilgang på. Etterspørselen etter IKT-sikker-hetskompetanse i markedet er økende, også fraselskaper. Det synes å være enighet om at det eret gap mellom kompetansetilbudet og etterspørse-len i markedet.

Utenom de nasjonale kontaktpunktene forinformasjonssikkerhet og Difi ser det ikke ut somom direktorater og tilsyn ser det som sin rolle å ha

tung og bred spisskompetanse på IKT-sikkerhets-området. Vi viser her til omtale av kompetanseunder samfunnsfunksjonene i del III «Sårbarheteri kritiske samfunnsfunksjoner».

19.4 Utdanning

I det følgende omtales IKT-utdanning på ulikenivåer, med særlig vekt på ferdigheter somomhandler IKT-sikkerhet og personvern.

19.4.1 Offentlig grunnskole

I offentlig grunnskole undervises det etter lære-planverket Kunnskapsløftet (LK-06), som ble inn-ført høsten 2006, og som også dekker utdanning ivideregående skole. LK-06 setter opp fem grunn-leggende ferdigheter alle elever skal tilegne seg: åkunne skrive, å kunne regne, å kunne lese, munt-lige ferdigheter og digitale ferdigheter. I Utdan-ningsdirektoratets Rammeverk for grunnleggendeferdigheter13 er digitale ferdigheter definert slik:

«Digitale ferdigheter vil si å kunne bruke digi-tale verktøy, medier og ressurser hensiktsmes-sig og forsvarlig for å løse praktiske oppgaver,innhente og behandle informasjon, skape digi-tale produkter og kommunisere. Digitaleferdigheter innebærer også å utvikle digitaldømmekraft gjennom å tilegne seg kunnskapog gode strategier for nettbruk.»

Digitale ferdigheter er ikke definert som et fag iseg selv, men inngår i læreplaner for andre emnerog er primært et virkemiddel for å oppnå målenefor disse. Det tilbys en frivillig nasjonal prøve på 4.årstrinn for å måle læringsutbyttet.

Digital dømmekraft innebærer å kunne brukedigitale verktøy, medier og ressurser på en for-svarlig måte og å ha et bevisst forhold til person-vern og etisk bruk av Internett. Kildekritikk oginformasjonssikkerhet er også en viktig del av dendigitale dømmekraften. Senter for IKT i utdannin-gen har på nettstedet dubestemmer.no utarbeidetet undervisningsopplegg om personvern og digi-tal dømmekraft for barn og unge i alderen 9–18år.

Mens digitale ferdigheter retter seg mot brukav digitale verktøy, er valgfaget Teknologi i prak-sis et mer teknisk kurs der eleven får mulighet til

11 Forskningsrådet (2015): Årsrapport 2014.12 DAMVAD og Samfunnsøkonomisk analyse (2014): Dimen-

sjonering av avansert IKT-kompetanse.

13 Utdanningsdirektoratet (2012): Rammeverk for grunnleg-gende ferdigheter - Til bruk for læreplangrupper oppnevnt avUtdanningsdirektoratet.


å utvikle og eksperimentere med teknologi. Idette inngår også muligheter til å arbeide medIKT med for eksempel Lego-roboter. Det har fremtil nå ikke vært noe tilbud om opplæring i pro-grammering i barne- eller ungdomskolen. Dennetypen opplæring har i all hovedsak blitt gitt gjen-nom frivillige organisasjoner som Lær KidsaKoding og First Lego League. Disse har hattøkende pågang de siste årene.

I sammenheng med den nye realfagstrategien«Tett på realfag» kunngjorde regjeringen i august2015 at man fra skoleåret 2016/2017 vil starte etprøveprosjekt med tilbud om programmering somvalgfag i ungdomskolen. Dette prosjektet vilomfatte inntil 20 klasser det første året. Utdan-ningsdirektoratet har fått i oppdrag å utarbeide enmidlertidig læreplan for det nye valgfaget.

Diskusjoner

Opplæring i digital kompetanse har som mål åsikre at hele befolkningen er i stand til å brukedigitale verktøy i sitt daglige virke. Men somDigitutvalget uttalte, må nye generasjoner ogsåsettes i stand til å skape, ikke bare forbruke, tek-nologi. Som et av tiltakene for å bøte på dette fore-slo Digitutvalget å innføre programmering somvalgfag i grunnskolen.

Dette er også viktig ut fra et sikkerhetsmessigstandpunkt. Det krever dypere teknisk innsikt åforstå hvilke muligheter, men også farer ogbegrensninger, som ligger i digitale verktøy. Deter dessuten en forutsetning med teknisk innsiktdersom man vil være med og videreutvikle og for-bedre teknologien.

Dette følger en trend som har gjort seg gjel-dende i stort sett hele EU om å la barn og ungdomfå opplæring i grunnleggende dataprogramme-ring. De IKT-faglige interesseorganisasjoneneInformatics Europe og ACM Europe ga i 2013 uten rapport der hovedkonklusjonen er at helebefolkningen trenger opplæring både i bruk avdigitale verktøy og i informatikk.14 Begrepet infor-matikk dekker her først og fremst kunnskap omprogrammering, men også en dypere forståelse avhvordan digitale verktøy er bygd opp, og hvordande fungerer. Motivasjonen for forslaget er betyd-ningen informatikk har for teknologisk innovasjonog dermed også økonomisk utvikling i samfunnet.Andre grunner for å lære programmering i skolen

er at det fungerer som et støtteverktøy for andrefag, samtidig som det utvikler analytisk tenkingog evne til problemløsing og stimulerer til kreati-vitet og gruppearbeid.

En rekke land i EU har allerede innført ellerplanlegger å innføre tilbud om opplæring i pro-grammering i skolen. I England har programme-ring vært et obligatorisk fag i grunnskolen siden2012. Tilsvarende krav vil også bli innført i Fin-land fra høsten 2016. Etablering av et opplærings-tilbud i programmering krever imidlertid kunn-skap man ikke kan forvente at dagens lærerebesitter. I Finland er dette løst gjennom et sam-arbeid mellom privat sektor og utdanningsdepar-tementet for å sikre tilgang på tilstrekkelig kom-petanse.

Andre land har også egne spesifikke initiativfor å ivareta utdanning innen IKT-sikkerhet. Foreksempel har USA gjennom et offentlig-sivilt sam-arbeid opprettet The National Initiative for Cyber-security Education (NICE) for å utvikle og vedli-keholde et utdanningsprogram som omfatter opp-læring i IKT-sikkerhet, både for allmenheten ogfor alle utdanningsnivå.

19.4.2 Videregående opplæring

Videregående opplæring omfatter all kompetanse-givende opplæring mellom grunnskolen og høy-ere utdanning og kvalifiserer til arbeidsliv ellervidere studier. Offentlig videregående opplæringdrives av fylkeskommunene, og det undervisesogså her etter LK-06. Det skilles mellom studiefor-beredende og yrkesforberedende utdanning.

Videregående opplæring bruker i stor utstrek-ning PC-er i skolearbeid, og fylkeskommunen kankreve at elevene deltar i skolenes utleieordningfor bærbare PC-er. Akkurat som for grunnskoleninngår bruk av digitale verktøy som grunnleg-gende ferdigheter i alle læreplaner.

Blant de videregående opplæringene er detIKT-servicefag som gir den grundigste opplærin-gen i informasjonssikkerhet. Dette er en yrkesfag-lig utdanning som består av ett år med felles pro-gramfag etterfulgt av to år med læretid i bedrift.En yrkeskarriere vil typisk føre frem mot arbeidinnenfor drift, støtte og vedlikehold av IKT-systemer. I studiet legges det blant annet vekt påulike aspekter ved IKT-sikkerhet og korrektbehandling av data. I læremålene inngår blantannet– å behandle fortrolige opplysninger på en etisk

forsvarlig måte innenfor rammene av gjel-dende regelverk

14 Report of the joint Informatics Europe & ACM EuropeWorking Group on Informatics Education (2013): Informa-tics education - Europe cannot afford to miss the boat.


– å vurdere systeminstallasjoner mot krav til til-gjengelighet, informasjonssikkerhet og helse,miljø og sikkerhet

– å aktivisere, vurdere og dokumentere sikker-hetsmekanismer for å forebygge og varsle for-søk på sikkerhetsbrudd

Av andre yrkesfag har både data og elektronikkog el-energi fellesfag der informasjonssikkerhetinngår i læreplanen. Tilsvarende inngår sikker-hetsrutiner for virksomhetens kunnskapsorgani-sering og informasjonsflyt i læreplanen for kontor-og administrasjonsfaget.

I det studiespesialiserende utdanningspro-grammet er det to programfag som omhandlerIKT – Informasjonsteknologi 1 og Informasjons-teknologi 2. Disse kan velges uavhengig av hver-andre. Informasjonsteknologi 1 er et basiskurs iinformasjonsteknologi og dekker blant annet Digi-tal samtid, samt utvikling av nettsteder og bruk avdatabaser. Informasjonsteknologi 2 er mer tekniskrettet og med et større tilsnitt av programmeringog multimedieutvikling. I læreplanen for Informa-sjonsteknologi 1 inngår IKT-sikkerhet og kjenn-skap til gjeldende regelverk og etiske normer forbruk av informasjonsteknologi. IKT-sikkerhet inn-går ikke i læreplanen for Informasjonsteknologi 2.

Diskusjoner

Alle yrker der man kan trenge å bruke datamaski-ner, krever digitale basiskunnskaper. Mye avdette oppnås gjennom opplæring i skolen og gjen-nom daglig bruk, men etter som samfunnet blirstadig mer digitalisert, kreves det ofte også yrkes-spesifikk IKT-kunnskap. Det er derfor vesentlig athver utdanning gir relevant opplæring i aktuelledatasystemer, samtidig som det blir lagt vekt påhvordan disse brukes på en forsvarlig måte. Foreksempel vil mindre foretak ofte ikke ha egneIKT-spesialister til å drifte datamaskiner, og deansatte må selv holde programvaren oppdatert ogvite hvordan man håndterer grunnleggende IKT-sikkerhet. Det er derfor vesentlig at særlig avslut-tende yrkesutdanninger har en tilstrekkelig IKT-komponent som også inneholder opplæring i IKT-sikkerhet.

Utvalget registrerer at flere yrkesutdanningerinnen IKT og elektrofag allerede har en kompo-nent av opplæring i IKT-sikkerhet og personvern.Det er spesielt positivt at IKT-sikkerhet vektleg-ges såpass grundig i IKT-servicefaget. Dette er iden yrkesutdanningen det er størst sannsynlighetfor at man blir eksponert for denne typen pro-

blemstillinger, det er derfor vesentlig at uteksami-nerte kandidater har relevant kunnskap.

19.4.3 Høyere utdanning

Det tilbys høyere utdanning i IKT ved en rekkehøyskoler og universiteter i Norge. Det er særligto områder som er sterkt representert: informa-sjonsteknologi og IKT innenfor ingeniørutdan-ning. Ved universitetene gis det både bachelor- ogmasterutdanninger innen IKT.

Av ulike årsaker er det vanskelig å få frem sik-ker statistikk over hvor mange som har fullført enbachelorgrad innenfor IKT-studier ved enkelteuniversiteter. Ved høgskolene har det i snitt blittuteksaminert cirka 410 kandidater hvert år desiste tre årene. Av disse kommer cirka 28 prosentfra Høgskolen i Oslo og Akershus og 21 prosentfra Høgskolen i Sør-Trøndelag. Samlet er det cirka400 mastergradskandidater per år. Av disse kom-mer over 90 prosent fra universitetene, flest fraNTNU (42 prosent) og Universitetet i Oslo(27 prosent).

Innenfor IKT-sikkerhet tilbys det utdanning påbachelor-, master- og PhD-nivå ved norske høg-skoler og universitet. Høgskolen i Gjøvik og Uni-versitetet i Bergen er de eneste institusjonenesom tilbyr en bachelorgrad spesifikt rettet motinformasjons- og IKT-sikkerhet. Noroff høyskolehar dessuten et bachelorprogram i digital etter-forskning. Universitetet i Bergen, NTNU og Høg-skolen i Gjøvik har egne masterprogrammer forIKT-sikkerhet. Fra 2017 vil spesialisering innenIKT-sikkerhet på masternivå bli tilbudt også vedUniversitetet i Oslo. Det er dessuten flere univer-siteter som tilbyr masteroppgaver innen IKT-sik-kerhet uten å ha et eget program for dette.

De fleste høgskoler og universiteter tilbyrenkeltkurs i IKT-sikkerhet som del av sin under-visningsportefølje. Dette er for eksempel kurs isikker programvareutvikling, nettverkssikkerhetog informasjonssikkerhet. Det varierer mellomstudieprogrammene om slike kurs er obligato-riske eller ikke, men hovedtendensen er at deikke er det.

Høgskolen i Gjøvik har de siste fem åreneuteksaminert i overkant av 10 kandidater per årfra sine sikkerhetsrelaterte bachelorstudier.Bachelorprogrammet ved Universitetet i Bergenble startet i 2015 og har ennå ikke uteksaminertnoen kandidater. Det uteksamineres i overkant av70 masterkandidater per år innenfor temaer rela-tert til IKT-sikkerhet. De fleste av dem kommerfra NTNU (cirka 46 prosent) og fra Høgskolen iGjøvik (cirka 26 prosent). Kandidatene fra NTNU


kommer i all hovedsak fra telematikk, men ogsåfra matematikk (kryptografi).

Fra 1. januar 2016 vil NTNU, Høgskolen i Gjø-vik, Høgskolen i Sør-Trøndelag og Høgskolen iÅlesund bli slått sammen under NTNU-paraplyen.Gitt dagens kandidatproduksjon vil det nye uni-versitetet stå for nesten 50 prosent av masterpro-duksjonen innenfor IKT og cirka 70 prosent avmasterproduksjonen innenfor IKT-sikkerhet.

PhD-utdanning innenfor IKT-sikkerhet fore-går ved de fleste universitetene og ved Høgskoleni Gjøvik. PhD-utdanningen er organisert gjennomNorges nasjonale forskerskole i informasjonssik-kerhet, COINS (Research School of Computerand Information Security). COINS er ledet avHøgskolen i Gjøvik, og trekker sammen norskeforskningsmiljøer i informasjonssikkerhet til enstørre enhet ved å integrere den relevantekursportfolioen til de deltagende institusjonene,bygge sterkere relasjoner imellom PhD-studen-tene og tilby dem et større nettverk. Partnere iforskerskolen inkluderer Høgskolen i Gjøvik,NTNU, Universitetet i Oslo, Universitetet i Ber-gen, Universitetet i Agder, Universitetet i Stavan-ger og Universitetet i Tromsø. I overkant av tidoktorgradskandidater disputerer hvert år innenIKT-sikkerhet. Disse kommer i all hovedsak frade store universitetene og fra Høgskolen i Gjøvik.

Diskusjoner

I følge EU-kommisjonens estimater vil så mangesom 90 prosent av alle fremtidige jobber i EUkreve digital kompetanse. EU-kommisjonen harogså advart at det ved utløpet av inneværende årvil mangle inntil en halv million arbeidere medspesialkompetanse innen IKT.

Etterspørselen etter ferdige kandidater medIKT-kompetanse vil variere med de økonomiskekonjunkturene i samfunnet. De siste årene harimidlertid etterspørselen vært langt større enn til-gangen på kandidater. KMD estimerer at det i detoffentlige og i næringslivet med dagens utdan-ningstakt vil mangle mer enn 10 000 personermed avansert IKT-kompetanse i 2030.15 IKT-sik-kerhet er et av områdene der det forventes et sær-lig behov for kompetanse. Utvalget har sett densamme tendensen i sin kontakt med ulike sam-funnsaktører.

Både universiteter og forskningsinstitusjoneroppgir at det er generelt vanskelig å rekruttere til-strekkelig personell nasjonalt, og at flere er avhen-

gige av internasjonal rekruttering. Enkelte oppgiri den sammenheng at det kan være utfordrende åbruke utenlandsk personell, enten fordi det ervanskelig å få dem sikkerhetsklarert, eller fordide ikke kjenner norske forhold. Det synes å værespesielt vanskelig å rekruttere til doktorgradsstil-linger, der det er gjennomgående få norskesøkere.

Utvalget registrerer at det er en underdekningbåde av kandidater med generell IKT-kompetanseog av kandidater med mer spesifikk IKT-sikker-hetskompetanse. Det er like fullt ønskelig at desom faktisk gjennomfører en generell IKT-utdan-ning, har grunnleggende kunnskaper om IKT-sik-kerhet. Utvalget har sett at det er flere utdan-ningsløp der dette ikke er tilfellet. Det er imidler-tid nå en internasjonal trend å inkludere IKT-sik-kerhet i samtlige bachelorprogrammer innenforIKT. De internasjonale IKT-interesseorganisasjo-nene ACM og IEEE ga i 2013 ut sin siste rapportmed retningslinjer for hvilke temaer som bør dek-kes av en bachelorutdanning innenfor ComputerScience.16 17 Selv om rapporten først og fremstretter seg mot amerikanske forhold, er det ingengrunn til å tro at den ikke også er dekkende forhva som bør inngå i en norsk IKT-bachelor.

Sammenlignet med foregående rapport fra2008 anbefaler den nye rapporten to nye områdersom enhver bachelorutdanning i Computer Sci-ence bør dekke. Ett av disse er Information Assu-rance and Security (IAS). Dette området dekkerbåde tekniske løsninger og policy-beslutningersom har til hensikt å beskytte og forsvare informa-sjon og informasjonssystemer blant annet gjen-nom å sikre konfidensialitet, integritet og tilgjen-gelighet.18 Rapporten anbefaler at av den totaleundervisningstiden bør cirka 3 prosent brukes pådedikert IAS-stoff og cirka 20 prosent på IAS-stoffsom kan dekkes gjennom andre kurs.

Som en oppfølging ble det også gitt ut en egenrapport19 i Storbritannia i 2015 med retningslinjerfor hvordan dette materialet skal dekkes av allebachelorprogrammer innenfor IKT. Overført til

15 DAMVAD og Samfunnsøkonomisk analyse (2014): Dimen-sjonering av avansert IKT-kompetanse.

16 Mehran Sahami og Steve Roach (2014): Computer sciencecurricula 2013 released. Communications of the ACM, Vol.57 No. 6, Side 5.

17 ACM/IEEE-CS Joint Task Force on Computing Curricula(Desember 2013): Computer Science Curricula 2013 - Cur-riculum Guidelines for Undergraduate Degree Programs inComputer Science.

18 NISTIR 7298 Revision 2. Glossary of Key InformationSecurity Terms. National Institute of Standards and Techno-logy, U.S. Department of Commerce.

19 ISC2 (2015): Cybersecurity principles and learning outcomesfor computer science and IT-related degrees. A resource forcourse designers and accreditors. Versjon 1.1.


norske forhold vil en norsk bachelorgrad bestå av180 studiepoeng, hvorav et IKT-studie inneholdercirka 100 studiepoeng IKT-relatert materiale. Deteksakte tallet varierer mellom institusjonene ogogså mellom ulike studier. Det skulle tilsi at der-som man følger rapportens anbefalinger, vil IAS-relatert materiale utgjøre cirka 23 studiepoeng,fordelt på 3 dedikerte studiepoeng, og 20 studie-poeng som kan dekkes av andre kurs.

19.4.4 Etterutdanning

NSM er en sentral aktør innen etterutdanninginnen forebyggende sikkerhet. NSMs kurssentergjennomfører en rekke kurs av kortere og lengrevarighet over hele landet. Grunnkurs i forebyg-gende sikkerhet og sikkerhetsledelse har sommål å gjøre deltakerne i stand til å redusere sår-barheter knyttet til spionasje, sabotasje eller ter-rorhandlinger. Tempest-kurset gir opplæring i åhåndtere informasjonslekkasje via utilsiktet elek-tromagnetisk utstråling fra elektronikk. Kurs ifysisk sikring er rettet mot eiere eller leverandø-rer av skjermingsverdige objekter og annen kri-tisk nasjonal infrastruktur. NSM har et lederrettetkurs om sikkerhetskultur og kurs om sårbarheterved bruk av sosiale medier, i tillegg til en rekkekurs innen personellsikkerhet. NSM tilbyr ogsåkurs i verdivurdering og informasjonssystemsik-kerhet. NSM er vert for den årlige sikkerhetskon-feransen.

Det finnes ulike tilbud om erfaringsbaserteutdanninger i universitets- og høyskolesektoren.Høyskolen i Gjøvik har etablert en erfaringsba-sert mastergrad innen informasjonssikkerhet ogdataetterforskning. Universitetet i Oslo har eta-blert en erfaringsbasert mastergrad i IT ogledelse som blant annet inneholder kurs i ledelseav informasjonssikkerhet. Dette emnet kan bru-kes til ulike sikkerhetssertifiseringer som CISMog CISSP. Sammen med CISA utgjør disse demest kjente sertifiseringene innen IKT-sikkerhetog -revisjon. Forberedende kurs for disse sertifi-seringene tilbys av en rekke private norske oginternasjonale aktører.

19.5 Forskning og utvikling (FoU)

19.5.1 Norsk FoU-aktivitet innen IKT-sikkerhet

Det foregår forskning innenfor emner relatert tilIKT-sikkerhet ved flere universiteter og høysko-ler. De største miljøene finnes ved Universitetet iOslo, Universitetet i Bergen, NTNU og Høgsko-

len i Gjøvik. Utenom disse foregår det forskningved Universitetet i Agder, ved Universitetet iStavanger og ved Universitetet i Tromsø. I insti-tuttsektoren foregår det relevant forskning vedSimula Research Laboratory, SINTEF og Forsva-rets forskningsinstitutt (FFI). I det følgendebeskrives de største gruppene kort.

Ved Universitetet i Oslo har det meste avundervisningen i og forskningen på informasjons-sikkerhet vært knyttet til UNIK. Det matematisk-naturvitenskapelige fakultet opprettet i 2014«Endringsmiljø» (strategisk forskningsinitiativ)ved Institutt for informatikk for å bygge en kraft-full satsing på IKT-sikkerhet. Dette endringsmil-jøet – ConSeRNS – består av 11 vitenskapeligansatte og 6 PhD-stillinger, med IKT- sikkerheteller tilstøtende temaer som hovedfelt.

Ved Universitetet i Bergen er forskning rela-tert til IKT-sikkerhet organisert i Selmersenteretog gjennom Simula@UiB ved Institutt for informa-tikk. Forskningen dekker et bredt spekter av fun-damentale forskningsfelt som informasjonsteori,kodeteori, kryptografi og datasikkerhet. Totaltbestår gruppen av fem professorer og fire for-skere samt flere PhD-studenter. Simula@UiB er etsamarbeidsprosjekt med Simula Research Labora-tory om forskning på kryptografi, IKT-sikkerhetog informasjonsteori. Senteret består av to profes-sorer fra Selmersenteret og to forskere finansiertav Simula. Forskerne er i første omgang ansatt foren periode på fire år. For å styrke dette arbeidet vilSamferdselsdepartementet fra og med 2016 bidratil finansieringen av Simula@UiB med 5 millionerkroner årlig.

Simula Research Laboratory har siden 2006utført all forskningsaktivitet innenfor IKT-sikker-het i Robuste nett-senteret (Center for resilientNetworks and Applications – CRNA). Senteret fårsin grunnbevilgning fra Samferdselsdepartemen-tet og har et teknologisk fokus. Blant annet fore-tas det langsiktige målinger av mobile bred-båndsnett i Norge. Dette danner grunnlag for enårlig rapport om stabiliteten og ytelsen til dissenettene. Hovedtyngden av forskningen omhand-ler effekten av utilsiktede hendelser, men CRNAhar også et pågående samarbeid med UiB(Simula@UiB) om forskning for å håndtere tilsik-tede hendelser som dataangrep. Forskerkapasite-ten ved Simula har cirka 20 årsverk knyttet tilRobuste nett og ytterligere 7 årsverk delt medUniversitetet i Bergen. Av disse 27 er omtrenthalvparten midlertidige PhD- og postdoktorstillin-ger. Simula samarbeider med UiO gjennom Con-SeRNS.


Ved NTNU foregår i all hovedsak forskningrelatert til IKT-sikkerhet ved Institutt for telema-tikk, og er fokusert på kryptologi, kommunika-sjonssikkerhet, tilgangskontroll og digital etter-forskning. Totalt er det åtte fast ansatte som arbei-der med IKT-sikkerhet ved instituttet. Det foregårogså sikkerhetsrelatert forskning ved andre insti-tutter, om enn i mindre omfang.

Ved Høgskolen i Gjøvik ble forskning relaterttil IKT-sikkerhet etablert i 2002 gjennom Norwe-gian Information Security Laboratory (NISlab), oghar siden 2014 blitt videreutviklet gjennom Centerfor Cyber and Information Security (CCIS). CCISer et forsknings- og utdanningssenter innen sik-kerhet basert på et partnerskap mellom 25 offent-lige, private og akademiske virksomheter. Detoverordnede målet for CCIS er å styrke samfun-nets kompetanse og ferdigheter i å beskytte mot,oppdage, respondere på og etterforske uønskedeog kriminelle handlinger som benytter datamaski-ner. Ved senteret er det forskningsgrupper inneninformasjonssikkerhet, beskyttelse av kritiskinfrastruktur, cyberforsvar, biometri, personvernog digital etterforskning og bevissikring. Forsker-kapasiteten ved CCIS utgjør til sammen 32årsverk hvorav 16 i fast stilling. Miljøet er det stør-ste innenfor fagfeltet i Skandinavia. Fra 2016 vilHøgskolen i Gjøvik være en del av NTNU.Sammen med Cyberforsvaret etablerer CCISCyber Range som et nasjonalt virtuelt øvingsfeltfor forsking og utdanning på både beskyttelse ogangrep på systemer og nettverk.

FFI utfører forskning på IKT-sikkerhet i mili-tære informasjons- og kommunikasjonsinfrastruk-turer og systemer. Forskergruppen som har IKT-sikkerhet som sitt hovedarbeidsområde, består avcirka 15 fast ansatte og er i hovedsak finansiertgjennom prosjekter for Forsvaret eller basisbe-vilgninger til FFI. Flere av forskerne har en bistil-ling ved universiteter og høyskoler. IKT-sikkerhetdekkes også av forskere som understøtter Forsva-rets anskaffelser eller modernisering, og kompe-tansegruppen for IKT-sikkerhet teller totalt 45personer. Utenom oppdrag for Forsvaret har FFIsporadiske oppdrag for sivile myndigheter og etnært samarbeid med andre forskningsmiljøer –primært gjennom NATOs forskningsaktiviteter og-grupper og samarbeid med sivile forskningsinsti-tusjoner. FFI støtter økonomisk et halvt professo-rat ved CCIS.

SINTEF er Skandinavias største uavhengigeforskningsorganisasjon. De forsker blant annet påprogramvaresikkerhet, nettverkssikkerhet, cyber-sikkerhet, informasjonskontroll, risikoanalyse(også kombinert med testing) og innebygd per-

sonvern. SINTEF arbeider også med ikke-tek-niske problemstillinger relatert til sårbarhet, nett-mobbing og personvern. Totalt har SINTEF cirka22 fast ansatte som arbeider med ulike sikkerhets-relaterte problemstillinger.

19.5.2 Kvaliteten på norsk IKT-sikkerhetsforskning

I 2012 gjennomførte Forskningsrådet en evalue-ring av forskning og utvikling innen IKT ved etutvalg norske universiteter og høyskoler. Rappor-ten konkluderte med at Norge mangler en nasjo-nal strategi for IKT og underinvesterer i IKT-forskning relativt til feltets viktighet og potensialsammenlignet med andre vesteuropeiske og nord-amerikanske land. Samtidig som rapporten påpe-ker at Norge ligger langt fremme på en rekkeenkeltområder, konkluderer den med at utilstrek-kelig vektlegging på forskning innenfor cybersik-kerhet kan utgjøre en potensiell sikkerhetsrisikofor Norge. Rapporten anbefaler at Norge utvikleren nasjonal IKT-forskningsstrategi som tar hen-syn til de særegne behovene til norsk industri ogsamfunn, og konstaterer at det er av nasjonalbetydning med en strategisk innsats for å økenasjonal kompetanse på cybersikkerhet.20

I Forskningsrådets evaluering av IKT-forskning i 2012 fikk hver forskningsgruppe enkarakter på en skala fra 1 til 5, der 1 er lavest ogtilkjennegir at gruppen har substansielle struktu-relle problemer og begrenset påvirkningskraft ogproduktivitet. Karakteren 5 er høyest og gis tilgrupper med internasjonalt lederskap, synlighetog visjon. Av gruppene som driver forskninginnenfor IKT-sikkerhet, var det bare gruppen iBergen som fikk karakteren 5, mens Simula fikk 4og Høgskolen i Gjøvik 3 til 4. De resterende grup-pene fikk karakteren 3 eller lavere. Denne evalue-ringen ble gjort før UiO startet ConSeRNS og førHøgskolen i Gjøvik startet CCIS. Simula@UiB-samarbeidet ble også startet etter evalueringen.

Norge har i en årrekke hatt faglig sterkeforskningsgrupper innen kryptografi. I tillegg tilrådgivning og vurderinger har disse miljøeneutdannet kandidater som er med på å høyne detgenerelle nasjonale kompetansenivået innen kryp-tografi. Gruppene er imidlertid relativt små ogdermed også personavhengige. Innen matema-tikk og datavitenskap er kryptografi bare ett avmange forskningsområder. Det er derfor ikke gitt

20 Research Council of Norway (2012): Research in Informa-tion and Communication Technology in Norway. An evaluat-ion.


at universiteter og andre forskningsinstitusjonervil prioritere å bygge opp og vedlikeholde leve-dyktige og kompetente miljøer.

19.5.3 Forskningsrådets rolle

Forskningsrådet er den viktigste finansieringskil-den for prosjektstøtte i universitetets- og høysko-lesektoren. I tidsrommet 2010–2014 bevilgetForskningsrådet cirka 75 millioner kroner til pro-sjekter som ser på forskjellige aspekter ved IKTog sikkerhet, personvern og sårbarhet. Fra 2015er IKTPLUSS Forskningsrådets hovedprograminnen IKT og skal løpe frem til 2024, med et årligbudsjett på cirka 165 millioner kroner. Åretsbevilgning kommer fra KMD, SD, NFD og KD.Figur 19.1 viser tildeling av de ulike departemen-tenes bevilgning til forsking de tre siste årene. JDbevilger generelt lite midler til forskning og utvik-ling.

De faglige tematiske prioriteringene i IKT-PLUSS tar utgangspunkt i de tre overordnede sat-singsområdene Kompleksitet og robusthet, Dataog tjenester overalt og Et trygt informasjonssam-funn.21 Forskningsområder som er nevnt i forbin-delse med Et trygt informasjonssamfunn, inklude-rer blant annet sikkerhet i komplekse infrastruk-turer, personvernfremmende teknologier, digitaletterforskning og datakriminalitet, samt krypto-grafi og sikkerhetsmekanismer. Disse forsknings-

temaene er gjensidig knyttet til forskningstema-ene om kompleksitet og robusthet, herunder sam-spill mellom teknologi, individer og samfunn. Åhåndtere kompleksitet og skape robuste systemerer sentralt for å ivareta samfunnssikkerheten.

Programmet har gjennomført sin første utlys-ning og har i 2015 innvilget prosjekter relatert tilIKT-sikkerhet med en samlet ramme på 150 milli-oner kroner.

19.5.4 Internasjonal finansiering

Horisont 2020 er EUs gjeldende forskningspro-gram for tidsrommet 2014–2020, og er verdensstørste program for innovasjon og forskning. I2015 gjennomførte Horisont 2020 en utlysning avmidler som dekker problemstillinger relatert tilIKT-sikkerhet og personvern, «Digital security:cybersecurity, privacy and trust H2020-DS-2015-1». Det totale budsjettet for utlysningen var på50 M€. Det er forventet at resultatet fra utlysnin-gen foreligger ved årsskiftet 2015/2016.

19.5.5 Diskusjoner

Blant universitetene mener enkelte at det har blittvanskeligere å få forskningsmidler til IKT-sikker-het fra Norges forskningsråd de siste årene. Detpekes på at den manglende satsingen på IKT-sik-kerhet har ført til at det utdannes svært få kandi-dater i Norge med den nødvendige kompetansentil å drive forskning på et høyt internasjonalt nivå.21 Forskningsrådet (2015): IKTPLUSS – Plan for satsingen.

Figur 19.1 Tildeling av FoU-midler fordelt på departement for 2013–2015. Beløpene er i millioner kroner. Tall for FAD er lagt inn i KMD for 2013. Statistikken er fra NIFU.1

1 Statistikk fra Nordisk institutt for studier av innovasjon, forskning og utdanning (NIFU).

0 500

1000 1500 2000 2500 3000 3500 4000 4500 5000 5500

KD HOD NFD UD FD OED KLD KMD LMD SD BLD FIN JD

2013 2014 2015

12500 13000 13500 14000 14500 15000 15500


Det er usikkert om Norge per i dag har nødvendigog tilstrekkelig kompetanse til å dekke behovetfor forskning innen IKT-sikkerhet, og for enkelteforskningsinstitusjoner er mangel på kompetanseen begrensende faktor for hvilke oppdrag de kanpåta seg. Basert på svarene utvalget har mottatt,er det grunn til å anta at konklusjonene vedrø-rende manglende satsing på forskning og utvik-ling innen IKT-sikkerhet som ble avdekket avForskningsrådet i deres evaluering fra 2012, frem-deles gjelder.

Å ha tilgang på gode forskningsmiljøer innen-for IKT-sikkerhet er vesentlig av flere grunner.Det er forskning som produserer ny kunnskap, ogsom kan adressere problemstillinger som er vik-tige for nasjonale aktører. Kapasiteten og kvalite-ten på utdanning innen IKT-sikkerhet er dessutennært knyttet til kvaliteten og størrelsen på tilhø-rende forskningsgrupper. Forskningsrådets eva-luering fra 2012 viser at Norge har forskningsmil-jøer innenfor IKT-sikkerhet som til dels er sværtgode. Det skulle tilsi at vi har potensial for å byggevidere på eksisterende miljøer og dermed sikrehøy kvalitet og også tilstrekkelig volum innenbåde forskning og utdanning.

Selv om enkeltforskere kan oppnå meget goderesultater, er det en gjennomgående trend at denbeste forskningen krever forskningsgrupper aven viss størrelse. Å ha tilgang på bred nok kunn-skap er også en forutsetning for at uteksaminertekandidater skal ha best mulig kunnskapsgrunnlagi sitt videre arbeid. Det er derfor svært positivt atdet i kjølvannet av 2012 har foregått en konsolide-ring av de viktigste norske forskningsmiljøeneinnen IKT-sikkerhet. Samarbeidet gjennomSimula@UiB sikrer at man får bygd opp et sterktforskningsmiljø innen mer teoretisk datasikkerhetog kryptografi, som også kan dra veksler på kom-petansen ved Simula om «resilience». Ved Høg-skolen i Gjøvik har man bygd opp en, i nasjonalmålestokk, stor satsing på mer anvendt datasik-kerhet sammen med mange av de viktigste sam-funnsaktørene på området. Sammenslåingen avNTNU og Høgskolen i Gjøvik fra 2016 vil ogsålegge grunnen for videre synergieffekter mellomtelematikk- og kryptografimiljøet ved NTNU ogsikkerhetsmiljøet i Gjøvik. Ved siden av denne sat-singen har Universitetet i Oslo begynt å byggeopp en egen forskningsgruppe gjennom Con-SeRNS.

Frem til starten av IKTPLUSS-programmethar tilgangen på prosjektmidler vært en begren-sende faktor for forskningsaktiviteten, både nårdet gjelder forskningsvolum og antall utdannedePhD-kandidater. Dette har ført til en gradvis utar-

ming av miljøene, noe som igjen går ut over frem-tidig rekruttering. Imidlertid ser det nå ut til atressurstilgangen har bedret seg gjennomForskningsrådets satsing på IKT-sikkerhet, ogsammen med EUs program for cybersikkerhet iHorisont 2020 burde det nå være mulig både åvedlikeholde og bygge videre på den kompetan-sen som allerede finnes. Dette forutsetter imidler-tid at Forskningsrådet vedlikeholder sin nåvæ-rende satsing.

Antall uteksaminerte PhD-kandidater avhen-ger både av finansiering og veiledningskapasitet.Selv om Forskningsrådets økte satsing er prisver-dig, gir den ikke flere faste stillinger. Universite-tene og høgskolene har mulighet til å foretainterne omprioriteringer for å bygge opp priori-terte forskningsmiljøer, men slike tiltak vil væreav begrenset omfang og tar dessuten lang tid.Muligheten til å bygge opp langsiktig satsingbasert på midler fra eksterne aktører vil ogsåvære begrenset over tid. Det er derfor ønskelig atbevilgende myndigheter ser på dimensjoneringenav hele området og setter i verk nødvendige tiltak.

En slik vurdering må ta hensyn til hvilke områ-der som er nasjonalt viktige, både med tanke påproduksjon av kandidater og på hvilkeforskningstemaer man ønsker å prioritere.

19.6 Kunnskap og støtte til befolkningen

NorSIS vektlegger å gi råd og veiledning tilbefolkningen, siden kunnskap i befolkningen istor grad overføres til de små og mellomstorevirksomhetene. NorSIS driver i dag nettsidenenorsis.no, sikkert.no, slettmeg.no og idty-veri.info.22 NorSIS utgir årlig rapporten Trusler ogtrender.23

NorSIS er tilrettelegger for Nasjonal sikker-hetsmåned, som holdes hver oktober. Hensiktenmed initiativet er å understøtte digitaliseringen avsamfunnet. Lignende arrangementer gjennomfø-res i USA, cirka 30 land i EU og også i andre land iverden. Nasjonal sikkerhetsmåned tilbyr informa-sjon og råd, arrangementer og e-læring og annentype opplæring til offentlige og private virksomhe-ter. I 2014 nådde NorSIS ut til 270 000 ansatte inorske virksomheter med e-læringspakken.

22 NorSIS vil trolig overta redaktøransvaret for nettvett.no iløpet av 2016, støttet av en redaksjonskomite fra NSM,Nkom og andre bidragsytere. Se for øvrig omtale i kapittel21 «Avdekke og håndtere digitale angrep».

23 NorSIS (2015): Trusler og trender.


NorSIS jobber aktivt i media og med å skapemøteplasser. NorSIS arrangerer årlig flere konfe-ranser, mange av dem i samarbeid med andreaktører. Konferansen Identitet fokuserer på identi-tetsutfordringer og løsninger, Security Divas på åstimulere kvinner til å jobbe med informasjonssik-kerhet, Kritisk IS på informasjonssikkerhet i kri-tisk infrastruktur og Kraft IS på informasjonssik-kerhet i kraftbransjen. I tillegg kommer avslut-ningskonferansen til Nasjonal sikkerhetsmåned,Sikkert NOK.

NorSIS har på oppdrag fra Justis- og bered-skapsdepartementet satt i gang et prosjekt for åmåle befolkningens kunnskap og bevissthet ominformasjonssikkerhet. Prosjektet vil kunne gi vik-tig informasjon om sikkerhetstilstanden, avvik ogeffekten av ulike tiltak. Måling av status på inn-byggerne er beskrevet som et krav i Nasjonal stra-tegi for informasjonssikkerhet.

Forbrukerrådet er en statlig finansiert, menuavhengig interesseorganisasjon som bistår for-brukerne ved å tilby kostnadsfri juridisk veiled-ning og megling i konflikter med næringsdri-vende. Årlig ber nesten 100 000 nordmenn omhjelp. Rådet jobber aktivt med å påvirke myndig-heter og næringsliv i en forbrukervennlig retninggjennom dialog, påvirkningsarbeid og utrednin-ger. Forbrukerrådets markedsportaler gir forbru-kere informasjon om produkter og tjenester. I2014 hadde rådet en gjennomgang av avtalevilkåri skytjenester for lagring,24 og de jobber nå meden kartlegging av mobilapplikasjoner. Innen IKTjobber rådet spesielt for forbrukerrettigheterinnen– flyttbarhet av egne data mellom tjenester, slik

at vi som forbrukere kan bytte mellom tjenes-ter; i forlengelse av dette kommer retten til å bliglemt, som handler om å få sine data fjernet fratjenesten

– akseptable vilkår med gradert personvern, slikat brukeravtaler blir enklere å lese, og at vi slip-per såkalte «take it or leave it»-tjenester der for-brukeren ikke har et reelt valg

– åpenhet om hva virksomheter gjør med vårepersondata, og hvem de deler dem med25

Forbrukerombudet er en offentlig tilsynsmyndig-het. Ombudet jobber med å forebygge og stoppeulovlig markedsføring samt urimelige kontrakter.

Dette oppnås gjennom dialog, forhandlinger ogbruk av sanksjonsapparatet. Forbrukerombudetfår rundt 10 000 skriftlige klager og henvendelseri året. Rådet fører tilsyn med digitale tjenester ogjobber for globale standarder, siden flestepartenav tjenestene er utenfor EU/EØS og dermed ikkefølger de samme rammevilkårene.

Datatilsynets veiledningstjeneste besvarer hen-vendelser fra offentlige og private virksomheter,så vel som fra enkeltpersoner. Spørsmålene somkommer inn, er av både juridisk, teknisk og sik-kerhetsmessig art. Denne tjenesten er et viktiglavterskeltilbud for publikum som har spørsmålknyttet til behandling av personopplysninger, oget viktig mål med tjenesten er å gjøre borgere ogvirksomheter i stand til å ivareta eget ansvar forpersonvern. I løpet av 2014 hadde veiledningstje-nesten besvart 9 033 henvendelser.

19.7 Tjenesteutsetting

Utsetting av IKT-tjenester kan på sikt medføre tapav kompetanse i virksomhetens systemer og tek-nologi og svekket eierskap til oppgavene. Detteser likevel ikke ut til å være en stor bekymring forvirksomhetene. I noen grad er dette en kjent kon-sekvens og et resultat av bevisste valg fra virk-somhetens side, og samarbeid med private er ikketil hinder for at virksomheten bygger opp sin egenkompetanse på området. Ved å sette ut driftsopp-gaver kan man få stabil tilgang på et kompetanse-miljø som er mer robust enn det er realistisk forvirksomheten selv å opprettholde over tid. På denandre siden velger enkelte virksomheter å byggeopp sin egen kompetanse på grunn av manglendekompetanse hos underleverandører eller stortgjennomtrekk av konsulenter.

Bildet er dermed tosidig. Det er en fordel forvirksomhetene å benytte en større leverandørsom er i stand til å tiltrekke seg kompetanse ogbygge opp fagmiljøer som bidrar til at de kan eta-blere løsninger som mindre virksomheter normaltikke har mulighet til selv. Virksomheten er samti-dig avhengig av å opprettholde et minimum avbransje- og løsningskunnskap. En positiv sikker-hetsmessig effekt av tjenesteutsetting forutsetterat virksomheten selv skaffer seg en ny type sik-kerhetskompetanse på hvordan de skal sikre ogfølge opp oppdragene som settes ut. Dette girandre utfordringer enn det å ha tjenesten internt.Virksomheten må ha tilstrekkelig bestillerkompe-tanse i forhold til dialogen med leverandøren for åkunne stille krav og følge opp med kontroller ogtesting.

24 Forbrukerrådet (2014): Tåkete vilkår i skyen. Publisert påwww.forbrukerradet.no 31.01.2014.

25 For eksempel bruk av web-baserte gratismoduler på offent-lige webportaler, som kan bidra til at personlig informasjontilkommer kommersielle aktører.


Det er mangel på personell som forstår dentekniske risikoen på tvers av infrastrukturer ogverdikjeder, og er løsningsarkitekter som kanbistå virksomheter med etablering av grunnleg-gende sikkerhetsarkitektur på tvers av en porte-følje for å sikre god utnyttelse av investeringer ogtilrettelegging for fremtidige digitaliseringsbe-hov. Sikkerhetsarkitekter forstår både landskapetfra sikkerhetskrav i standarder og lover til det tek-niske bildet. Denne kompetanse er også viktig vedtjenesteutsetting for å sikre grensesnitt mellomleverandører og for eksempel miljøer som er drif-tet internt i en virksomhet. Vi viser for øvrig tilomtale av skytjenester i punkt 23.7.3 «Juridiskeforhold ved skytjenester» og de øvrige samfunns-funksjonene i del III «Sårbarheter i kritiske sam-funnsfunksjoner» for ytterligere diskusjonerrundt tjenesteutsetting.


19.8.1 Etablere en overordnet nasjonal kompetansestrategi innen IKT-sikkerhet

Justis- og beredskapsdepartementet bør sammenmed Kunnskapsdepartementet utarbeide en over-ordnet nasjonal strategi for å sikre en langsiktigoppbygging av kompetanse innen IKT-sikkerhet i detnorske samfunnet. En slik strategi må dekke tiltakfor å bygge opp kapasitet innen både forskning ogutdanning.

Hensikten er å sikre langsiktig finansiering,slik at ikke kompetansemiljøer forvitrer mellomfinansierte prosjekter. Tiltaket er begrunnet i atForskningsrådet i dag bare gir prosjektstøtte, ogikke midler for å opprettholde fagmiljøer. Utvalgetmener det er lite trolig at universitets- og høysko-leinstitusjonene klarer å løse dette ved egneomprioriteringer. I tillegg bevilger Justis- ogberedskapsdepartementet svært lite midler tilforskning. Justis- og beredskapsdepartementet erprimæradressat for tiltaket fordi de har fått sam-ordningsansvaret for forebyggende IKT-sikkerheti sivil sektor.26

19.8.2 Prioriteringer i en overordnet strategi

Punktene under utdyper hva utvalget mener børinngå som prioriteringer i en overordnet strategi.Utvalget merker seg at flere av de foreslåtte tilta-kene samsvarer godt med Justis- og beredskaps-departementets egen FoU-strategi.27 Det er ogsåviktig å presisere at flere av tiltakene bør iverkset-tes av henholdsvis Justis- og beredskapsdeparte-mentet og Kunnskapsdepartementet i påvente avat den overordnede strategien blir utarbeidet.

1. Etablere en langsiktig plan for å bygge opp ogvedlikeholde forskningskapasitet

Det er prisverdig at Norges Forskningsråd (NFR)har lansert IKTPLUSS-programmet med en sterksatsing innenfor informasjons- og IKT-sikkerhet.Programmet løper over ti år og vil kunne tilby til-trengte forskningsmidler til dette området. Manmå imidlertid merke seg at som for alle NFR-pro-grammer tilbys det tidsbegrenset prosjektstøtte.Det vil derfor ikke kunne finansiere faste stillin-ger og heller ikke gi lengre tidshorisont enn leng-den av hvert enkelt prosjekt, som regel fire til femår. De norske FoU-miljøene innenfor IKT-sikker-het er i stor grad små og har et relativt beskjedentantall faste stillinger. Det varierer også i hvilkengrad disse miljøene er samlokalisert med stedeneder volumproduksjonen av IKT-kandidater fore-går. For eksempel har informatikkmiljøene vedUiO og NTNU relativt sett liten aktivitet innenforIKT-sikkerhet.

Selv om Forskningsrådet gir verdifull støtte tilforskningsprosjekter innenfor IKT-sikkerhet, vilmidlene bare være prosjektbaserte og derfor ikkegi en varig oppbygging av forskningskapasitetenved norske universiteter og høyskoler. Samferd-selsdepartementets støtte til Robuste nett-sente-ret ved Simula, som helt nylig er blitt ytterligerestyrket gjennom Simula@UiB, er derfor et sværtpositivt eksempel. Det samme gjelder støtten Jus-tis- og beredskapsdepartementet har gitt til CCISved Høgskolen i Gjøvik. Oppbyggingen avforsknings- og undervisningsmiljøer gjennom desiste årene har i stor grad vært basert på støtte fraeksterne kilder. I denne sammenheng viser særligetableringen av CCIS at det er mulig å få til etlangsiktig samarbeid med både private og offent-lige aktører.

Siden Justis- og beredskapsdepartementet harsamordningsansvar for forebyggende IKT-sikker-26 Statsministerens kontor (2013): Overføring av samordnings-

ansvaret for forebyggende IKT-sikkerhet fra Fornyings-, admi-nistrasjons- og kirkedepartementet til Justis- og beredskaps-departementet. Kgl. res. 22.03.2013.

27 Justis- og beredskapsdepartementet (2015): FoU-strategifor samfunnssikkerhet 2015–2019.


het, har departementet et særlig ansvar for å sikretilstrekkelig nasjonal forskningskapasitet innenforIKT-sikkerhet og bekjempelse av IKT-kriminali-tet. Selv om Justis- og beredskapsdepartementethar vært med på å støtte CCIS, er JDs FoU-bevilg-ninger fremdeles lave. Utvalget ser det derfor somsvært positivt at JD ønsker å etablere strategiskepartnerskap med enkelte utdannings- ogforskningsinstitusjoner innen blant annet IKT-sik-kerhet, og at JD har som målsetting at det settesav midler til å utføre forskning, utredning og eva-lueringer i forbindelse med større tiltak innensamfunnssikkerhet. En naturlig konsekvens avdette er at JD nå øker sine FoU-bevilgninger rettetmot IKT-sikkerhet. Planen bør også omfatte andrerelevante aktører, blant annet forsvarssektoren,Nærings- og fiskeridepartementet og andre rele-vante departementer og myndigheter. Utvalget vilsamtidig understreke viktigheten av at en slik sat-sing er innrettet mot et begrenset antallforskningsmiljøer for å sikre høy kvalitet.

2. Opprettholde forskningsinnsatsen på IKT-sikker-het

Utvalget ser svært positivt på Forskningsrådetsnye forskningsprogram IKTPLUSS. Programmetkommer etter at det over tid har vært bevilgetrelativt lite midler til forskning på IKT-sikkerhet.Gjennom å fokusere på «Et trygt informasjons-samfunn» vil programmet ha mulighet til å styrkekvaliteten og øke dristigheten og relevansen inorsk IKT-forskning innenfor samfunnssikkerhetgenerelt og IKT-sikkerhet spesielt. Både program-mets langsiktige tidshorisont og det årlige omfan-get tilsier at det kan ha påvirkningskraft utover deenkeltprosjektene som støttes.

Sikkerhet er imidlertid bare ett av flere temaersom IKTPLUSS dekker. Utvalget vil derfor under-streke viktigheten av at Forskningsrådet oppretthol-der satsningen på IKT-sikkerhet på linje med denman hadde i 2015. Det er også vesentlig atForskningsrådet bevilger forskningsmidler til IKT-sikkerhet etter at programmet er avsluttet.

Utvalget observerer en generell mangel påkunnskap om de økonomiske tapene som følge avdigital sårbarhet og hva forebyggende IKT-sikker-het koster. Dersom slike sikkerhetshensyn skal fånok oppmerksomhet og tyngde inn i beslutnings-prosesser, bør de økonomiske sidene også synlig-gjøres. Se punkt 7.2.1 «IKT-kriminalitet» om kost-naden ved IKT-kriminalitet.

Utvalget anbefaler at sikkerhetsøkonomi blir etforskningstema inn i Forskningsrådets program-mer for IKT-sikkerhet.

3. Innføre krav til IKT-sikkerhetsfag for alle IKT-bachelorgrader

Utvalget støtter de anbefalingene som er gjort avACM28 om hvilke kurs som bør inngå i en gene-rell IKT-utdanning. Kunnskapen som formidlesgjennom disse utdanningene, danner grunnmu-ren for å oppnå god IKT-sikkerhet i samfunnet.Nylig har også NSM kommet med en anbefalingom at alle IKT-utdanninger bør inneholde minstett obligatorisk kurs innen IKT-sikkerhet.

Utvalget mener at alle bachelorutdanninger iNorge innenfor IKT må inneholde minst 15–20 stu-diepoeng med fag som omhandler IKT-sikkerhet.Det er viktig at tilbydere av IKT-relaterte bachelor-programmer går igjennom studiene sine og sørgerfor at disse dekker vesentlige deler av informasjons-og IKT-sikkerhet. Et slikt tiltak vil i utgangspunktetikke nødvendigvis medføre store ekstra kostnaderfor den enkelte institusjon, men først og fremstvære et spørsmål om interne prioriteringer. Dettetiltaket samsvarer med anbefalingene i Sikker-hetsfaglig råd fra NSM.

Omfanget av IKT-relaterte kurs er vanligvis 10studiepoeng. Det skulle tilsi at den totale meng-den lærestoff relatert til IKT-sikkerhet bør utgjøreminst to kurs i løpet av et bachelorstudium. Nådekkes mye av dette stoffet gjennom andre kurs,men utvalget vil likevel anbefale at enhver IKT-bachelor inneholder minimum ett obligatoriskkurs i IKT-sikkerhet.

4. Øke kapasiteten på masterutdanning innen IKT-sikkerhet

Utvalget mener det må etableres tilstrekkelig kapasi-tet på masterutdanning med spesialisering innenIKT-sikkerhet. Dette gjelder særlig ved de store uni-versitetene og høyskolene som har slik aktivitet alle-rede i dag. Et slikt løft vil kreve tilførsel av midler-tidige utvidelsesmidler.

Dette begrunnes i den forholdsvis lave kapasi-teten ved UiO og i manglende tilbud innenfor IKT-sikkerhet ved NTNUs studieprogram for datatek-nikk. Det bør samtidig legges til rette for at stu-denter fra høyskoler og universiteter som ikke harmasterprogram i IKT-sikkerhet, har mulighet til åfortsette på masterstudier ved læresteder som harslike studier.

Økt utdanningskapasitet innen avansert IKT-sikkerhet vil først og fremst møte det innenland-ske behovet for slik kompetanse i alle sektorer.Imidlertid vil det også kunne styrke vår konkur-

28 Se punkt 19.4.3 «Høyere utdanning».


ranseevne og åpne nye muligheter for norsknæringsliv til å møte en økende internasjonaletterspørsel etter både kvalifisert personell og tek-niske løsninger innen IKT-sikkerhet.29

5. Styrke nasjonal forskningskompetanse i krypto-grafi

Bruk av kryptografi er en forutsetning for sikkerinformasjonsutveksling på Internett. Selv omtrygg ende-til-ende-kommunikasjon forutsettermer enn bare kryptografi, er kryptografi i en sær-stilling når det gjelder kunnskap som må være påplass for å understøtte sikker kommunikasjon.Bruk av foreldede, eller av andre årsaker utrygge,kryptosystemer kan føre til at kommunikasjon bliravlyttet, eller at man ikke kan stole på identitetentil andre aktører.

Kryptografi baserer seg i stor utstrekning påavanserte matematiske metoder. Det er derfor enlangsiktig prosess å bygge opp kompetanse- ogforskningsmiljøer. Slik kunnskap må også vedlike-holdes dersom den skal være relevant.

Det er ikke gitt at kryptosystemene som blirbrukt i dag, er trygge. Systemene kan være forel-det, eller de kan til og med ha blitt utviklet for atde skal kunne knekkes. Uten avanserte nasjonalemiljøer vil norske myndigheter og bedrifter måtteforholde seg til utenlandske aktører for å innhentekvalifiserte vurderinger og råd om kryptografiskesystemer. Dette vil være en svært uheldig situa-sjon sett i et sikkerhetsperspektiv.

Utvalget mener det er vesentlig at Norge byggeropp og vedlikeholder kompetente forskningsmiljøerinnen kryptografi som kan bidra med veiledning ogverifikasjon ved implementering av systemer medkryptografiske sikkerhetsmekanismer. Som ansvar-lig departement for sikkerhet og beredskap tilfallerdet derfor JD i samarbeid med FD å gå inn med til-strekkelige langsiktige midler for å sikre nødvendigoppbygging og vedlikehold av nasjonal kompetanseinnen kryptografi. Dette bør primært gjøres gjen-nom å støtte eksisterende miljøer og ikke gjen-nom å bygge opp nye. Det må også vurderes omdette kan gjennomføres slik at nøkkelpersonell islike grupper kan sikkerhetsklareres.

En slik satsing samsvarer med NSMs ønskeom å videreutvikle en nasjonal kryptopolitikk for åsikre nødvendig nasjonal kryptokompetanse ogutvikling av kryptoutstyr for høygradert informa-sjon.

6. Opprette øremerkede stipendiatstillinger somkan sikkerhetsklareres

For å sikre tilgang på høyt kvalifiserte personermener utvalget at det bør opprettes øremerkede sti-pendiatstillinger innenfor IKT-sikkerhet for perso-ner som kan sikkerhetsklareres.

Dette begrunnes i at FFI har utfordringer medå få tak i godt kvalifisert personell som kan klare-res. Utvalget vurderer dette som en voksendeutfordring, der også andre aktører, som NSM,CCIS og politiet, vil ha sikkerhetsklarering somen forutsetning. Kravet om sikkerhetsklarering eren spesiell utfordring innen IKT-sikkerhetsarbeid.Det er eksisterende ordninger som sikrer Forsva-ret tilgang på klarert IKT-sikkerhetspersonell.30

7. Øke oppmerksomheten rundt IKT-sikkerhet ogpersonvernrelaterte problemstillinger

Utvalget mener at IKT-sikkerhets- og personvernre-laterte problemstillinger må få en større plass i rele-vant høyere utdanning.

For IKT-sikkerhet vurderer utvalget særskiltlederutdanninger, for å sikre tilstrekkelig kompe-tanse og forståelse for problematikken. Dette erbegrunnet i at det endelige ansvaret for IKT-sik-kerhet i en virksomhet alltid vil ligge hos denøverste ledelsen. Det gjelder selv om ledelsen ver-ken har formal- eller realkunnskap om IKT-sikker-het. For eksempel har lederutdanninger som sivil-økonomstudiet ved Norges Handelshøyskole perdags dato svært lite opplæring i IKT-sikkerhet.Tilsvarende finnes det heller ingen formelle krav,slik det gjør for HMS-arbeid, om at en virksom-hets øverste leder må ha gjennomført opplæring iIKT-sikkerhet. Et tiltak kan være å innføre krav tilrapportering om IKT-sikkerhet i årsmeldinger slikbeskrevet i punkt 23.5 «Redegjørelse for IKT-sik-kerhet bør inngå i årsmeldinger».

Personvernrelaterte problemstillinger gjelderi særlig grad for juridiske og helserelaterte utdan-ninger.

Bevissthet og kompetanse om IKT-sikkerhethenger naturlig sammen med den enkeltes gene-relle kunnskap om de IKT-systemene man bruker.Uten grunnleggende forståelse av disse er detvanskelig å opprettholde tilstrekkelig sikkerhet.Det er derfor vesentlig at alle høyere utdanningerinkluderer tilstrekkelig opplæring i fagspesifikkIKT-kunnskap.

29 The 2015 (ISC)2 Global Information Security WorkforceStudy.

30 Cyberforsvaret har Forsvarets Ingeniørhøgskole, somutdanner ingeniører med lederutdanning for Forsvaretsbehov.


8. Gjennomføre tiltak rettet mot grunnskole og vide-regående opplæring

Skal vi sikre trygg bruk av IKT, og Norges fremti-dige deltagelse i utviklingen av fremtidens IKT-teknologi, er vi avhengige av kontinuerlig å hevedet generelle kompetansenivået. Dette arbeidetmå starte allerede i grunnskolen, slik det nå skjeri en rekke sammenlignbare land. Utvalget har der-for valgt å samle noen eksempler på tiltak:

Etterprøve læringsutbytte i trygg bruk av IKT.Utvalget mener at dagens program for opplæring idigital kompetanse i grunnskolen i stor utstrek-ning dekker de grunnleggende behovene detenkelte individet har. Opplæring i digital dømme-kraft er spesielt viktig for å sikre forsvarlig brukav sosiale medier og andre kommunikasjonspro-grammer. Det er viktig å evaluere hvordan denneundervisningen fungerer i praksis, og hvilketlæringsutbytte elevene faktisk sitter igjen med.Utvalget er kjent med at Senter for IKT i utdannin-gen utfører undersøkelser om både digitale verk-tøy i skolen og læreres og elevers digitale kompe-tanse.31 Undersøkelsen fra 2011 har vært kriti-sert32 for at den kun kartlegger «operativ bruk»av datamaskiner, uten å se på lærernes forutset-ninger for å undervise i hvordan datamaskinenefaktisk fungerer. Her er det vesentlig at man ser påhvilken kompetanse lærerne har for å gjennomføreslik opplæring. Etterutdanning av lærere kan væreen nødvendig følge av tiltaket. NSM har også anbe-falt at IKT-sikkerhet innarbeides i lærerutdannin-gen.

Øke oppmerksomhet rundt teknisk bruk av IKT.Skoleverket retter primært oppmerksomhetenmot nettvett og regler for personvern på Internettog i sosiale medier. Dette er nødvendig kunnskapsom alle trenger. Bruk av IKT forutsetter imidler-tid også økt kjennskap til de tekniske aspekteneved maskin- og programvare. Dette gjelder for alletyper personlige maskinplattformer som mobilte-lefoner, nettbrett og PC-er. Elevene må forståbehovet for oppdatering av programvare, jevnligesikkerhetskopier og farene ved ukritisk bruk avnedlastet programvare og nettbaserte tjenester.Utvalget anbefaler derfor at opplæring i digitaleferdigheter i grunnskole og videregående skole utvi-des til også å gi kompetanse i relevante tekniskeaspekter ved IKT. Et viktig steg på veien vil være åsørge for at undervisning i programmering blir til-gjengelig i alle skoler, og at innføring i informa-sjonssikkerhet gis tilsvarende oppmerksomhet.

Bygge ut tilbud om undervisning i programme-ring. Fravær av avansert IKT-opplæring i skolenrisikerer å sette Norge i en situasjon hvor vi pri-mært blir et samfunn som bare forbruker informa-sjonsteknologi. Det er derfor positivt at regjerin-gen vil starte forsøk med programmering i grunn-skolen fra 2016. Det er vesentlig at denne satsin-gen raskt blir bygd ut til alle skoler, og at den fåret innhold som gjør den relevant for bruk i andreemner og for videre studier. Kunnskapsdeparte-mentet bør derfor utarbeide en plan for hvordandette skal gjennomføres. Det kan gjøres i samarbeidmed allerede eksisterende frivillige organisasjo-ner, samt med IKT-industrien, etter mal fra Fin-land.

Skal satsingen lykkes på lang sikt, forutsetterdet også opplæring av både nåværende og fremti-dige lærere. Det er også verdt å merke seg at selvom dette nå ser ut til å starte opp, ligger vi et godtstykke etter land det er naturlig å sammenligneseg med. Det kan derfor allerede nå være på sinplass å vurdere hva som blir neste steg når tilbudeter etablert. Det bør vurderes hvordan opplæring ialgoritmisk tenking og bruk av programmerbaredigitale verktøy kan integreres tidligere i den ordi-nære undervisningen.

Behov for IKT-sikkerhet i elektrofag. Det er ikkeklart ut fra læringsmålene om IKT-sikkerhet erdekket i tilstrekkelig grad i rene elektrofag. Dettegjelder spesielt automatiseringsfaget, der emnetikke inngår i læreplanen. Kontrollsystemer fortemperatur, lys og luft i bygninger styres ofte vianettet, og det er vesentlig at uvedkommende ikkehar tilgang til disse. Utvalget mener det bør foretasen gjennomgang av læreplanene i alle elektrofag forå vurdere om disse er tilfredsstillende med tanke påhvordan de dekker IKT-sikkerhet.

Revidere læringsmålene i fagene Informasjons-teknologi 1 og 2. Informasjonsteknologi 1 og 2 erallmennfag og gir grunnleggende kunnskap omIKT. Som del av den studiespesialiserende videre-gående utdanningen skal de også forberede elev-ene på videre studier innen området. Siden fageneikke bygger på hverandre, er imidlertid det sam-lede kunnskapsnivået man kan forvente at ferdigekandidater oppnår, begrenset. En konsekvens avdette er at studenter som kun tar Informasjonstek-nologi 2, ikke får opplæring i IKT-sikkerhet. Deter dessuten en lav grad av integrering mellomkursene og høyere utdanninger innenfor IKT iuniversitets- og høyskolesektoren. Ingen av kur-sene inngår som forkrav for videre studier i IKT,da disse stort sett bare forutsetter generell studie-kompetanse og for enkelte studieretninger ogsåfordypning i matematikk. Utvalget mener derfor at

31 Sjette utgave het «Monitor Skole 2013».32 NOU 2013: 2 Hindre for digital verdiskaping.


læringsmålene i Informasjonsteknologi 1 og 2 ermodent for revisjon, slik at elever som tar disse

fagene, går ut med kunnskap om informasjonssik-kerhet som er relevant for videre studier.


Kapittel 20

Styring og kriseledelse

Styring og kriseledelse bygger på de grunnleg-gende prinsippene om ansvar, likhet, nærhet ogsamvirke (se punkt 8.1 «Overordnede mål forIKT-sikkerhetsarbeidet»). Målsettingen er å opp-rettholde konstitusjonelle funksjoner og virksom-het i prioriterte deler av forvaltningen under ulikeformer for påkjenninger.

Ansvaret for en rekke viktige samfunnsoppga-ver er delegert til kommunene, og den kommu-nale forvaltningen spiller en svært viktig rolle imange krisesituasjoner. I norsk statsadministra-sjon er videre en rekke faglige virkefelt skilt ut oglagt til direktorater, mens Fylkesmannen er sta-tens representant i fylket, med blant annet ansvarpå vegne av flere departementer og direktorater.Veiledning, oppfølging og tilsyn med kommune-nes beredskapsarbeid er i tillegg til samordningen viktig oppgave for Fylkesmannen (se punkt 8.2«Sentrale myndighetsaktører med særlig ansvarfor oppfølging av IKT-sikkerhet»).

Å kunne ivareta styring og kriseledelse på sen-tralt, regionalt og lokalt nivå er kritisk avhengig avfungerende og pålitelige IKT-systemer. I hoved-sak dreier dette seg om administrative kommersi-elle støttesystemer og ekomtjenester.

Innenfor visse deler av forvaltningen er detspesielle krav til egne IKT-systemer som skalkunne bidra til en ekstra sikkerhet for å opprett-holde funksjonalitet. For størstedelen av forvalt-ningen, både på sentralt, regionalt og lokalt nivå,foreligger det imidlertid ingen bestemte krav tilsystemer, men det er et krav at virksomhetene påalle nivåer definerer hvilke tjenester som er abso-lutt nødvendige for å kunne opprettholde en mini-mumsdrift nærmest uansett hva som skjer, oghvilke IKT-systemer som dermed må være funge-rende. I tillegg skal virksomhetene ha kontinui-tetsplaner og beredskap dersom viktige systemersvikter.

20.1 IKT-systemer for beredskap og krisehåndtering

20.1.1 Hva er en krise?

En krise defineres som en hendelse som harpotensial for å true viktige verdier og svekke enorganisasjons evne til å utføre viktige funksjoner.En krise kan være en tilstand som kjennetegnesav at samfunnssikkerheten eller andre viktige ver-dier er truet, og at håndteringen utfordrer elleroverskrider kapasiteten og/eller kompetansen tilden organisasjonen som i utgangspunktet haransvaret for denne.1

Dette kapittelet handler om det krisehåndte-ringssystemet som trer i kraft ved IKT-hendelsersom er så omfattende at det får tverrsektoriellesamfunnsmessige konsekvenser. Digitale sikker-hetsutfordringer, spionasje, sabotasje og terror,samt behovet for å avdekke, håndtere og etterfor-ske digitale angrep omtales i kapittel 21 «Avdekkeog håndtere digitale angrep».

En digital krise kan oppstå når viktige digitalesystemer svikter og konsekvensen av bortfalletrammer mange. Krisen får betydelige konsekven-ser for samfunn, næringsliv og individer.

Med sikkerhetspolitisk krise menes en krisesom utfordrer statens territorielle integritet ogpolitiske suverenitet, men uten at det dreier segom et militært angrep i tradisjonell forstand. Enslik krise kjennetegnes av å være i en uklar grå-sone mellom krig og fred. Politisk-militært pressfra en annen stat, omfattende terroraksjoner ogalvorlige cyberangrep er eksempler på situasjonersom kan forårsake slike kriser.2

Mange IKT-kriser har et annet opphav enn rensvikt i IKT-systemer eller infrastruktur, de tek-niske systemene kan svikte som følge av andrehendelser. Naturhendelser kan føre til at kommu-nikasjonsinfrastruktur skades og mobilnettet fal-

1 St.meld. nr. 17 (2001–2002) Samfunnssikkerhet.2 Forsvarsdepartementet (2015): Et felles løft. Ekspertgrup-

pen for Forsvaret av Norge.


ler ut. Dette påvirker i stor grad evnen til raskt åhåndtere situasjoner og opprettholde nødvendigfunksjonalitet for de virksomhetene som blir ram-met.

20.1.2 Sentral kriseledelse

Sentral kriseledelse er knyttet til et departementsevne til å være lederdepartement, håndtere alletyper kriser i egen sektor og yte bistand til andredepartementer i kriser som involverer flere sekto-rer.

Hvert enkelt departement har primæransvaretfor egne IKT-løsninger for å kunne opprettholdeegen styring og kriseledelse. I dette ansvaret lig-ger at departementet selv må velge å ta i bruk løs-ninger som er sikre nok i forhold til behovet.Dette følger av ansvarsprinsippet.

Overordnede bestemmelser og krav til depar-tementenes styring og krisehåndtering fremgårav kgl.res. 15. juni 2012 Instruks for departemente-nes arbeid med samfunnssikkerhet og beredskap,Justis- og beredskapsdepartementets samordnings-rolle, tilsynsfunksjon og sentral krisehåndtering.

Departementenes oppgaver i krisesituasjonerer i hovedsak å innhente og bearbeide informa-sjon til bruk i faglig rådgivning og tilretteleggingoverfor politisk ledelse, vurdere og samordne til-tak, koordinere informasjon til og fra underlig-gende etater, utstede fullmakter og ivareta ogutøve en helhetlig informasjonsstrategi. Disseoppgavene krever fungerende og sikre IKT-løs-ninger.

Av instruksen går det frem at departementeneskal ha planer for å kunne ivareta sine mest kri-tiske samfunnsoppgaver nærmest uavhengig avhva som skjer. I dette ligger implisitt krav om atde IKT-systemene som departementene er avhen-gige av for å ivareta driften, er robuste og sikre,og at departementene har planer for manuelle løs-ninger hvis det skulle oppstå svikt i IKT-systemereller ved strømbrudd. Redundante løsninger kanvære for eksempel doble linjer, reservestrøm,satellitt-telefoni med mer. Konkrete krav til sikker-het og funksjonalitet i IKT-løsningene fremgårverken av instruksen eller andre bestemmelser.

Det finnes både administrative og politiskeordninger for krisehåndtering på sentralt nivå,som for eksempel Kriserådet, Krisestøtteenhetenog Regjeringens kriseråd. Disse er omtalt i denkongelige resolusjonen som er nevnt ovenfor.

Håndtering av IKT-hendelser/-kriser

Samfunnssikkerhetsprinsippene gjelder også forhåndtering av IKT-hendelser – både hendelsersom er direkte knyttet til svikt i eller angrep påIKT-systemer, og hendelser som er en følge avsvikt i sentrale systemer (se kapittel 7 «Utilsiktedeog tilsiktede IKT-hendelser»). Alle virksomheterskal ha planer for håndtering, og de etablerte ord-ningene for situasjonshåndtering og informasjons-deling gjelder også for IKT-hendelser.

Nasjonal sikkerhetsmyndighet har imidlertidpå vegne av Justis- og beredskapsdepartementetutarbeidet en modell for forebygging og håndte-ring av IKT-sikkerhetshendelser, det vil si angrepmot IKT-systemer og digitale infiltrasjonsforsøk.Her understrekes det at hver enkelt virksomhetskal ha iverksatt tiltak som kan forebygge IKT-hendelser og bidra til å avdekke forsøk på angrep.Det gis videre anbefalinger til etablering av sek-torvise responsmiljøer. Hovedsakelig omhandlermodellen for hendelseshåndtering retningslinjerfor informasjonsdeling.3 Modellen og mekanis-mer for håndtering av IKT-sikkerhetshendelserblir ytterligere omtalt i kapittel 21 «Avdekke oghåndtere digitale angrep».

Når en IKT-sikkerhetshendelse får alvorligekonsekvenser, for eksempel ved at den forårsakersvikt i kritisk infrastruktur eller kritiske sam-funnsfunksjoner, vil det imidlertid være behov forat de etablerte krisehåndteringsmekanismene iNorge trer i kraft, blant annet for å håndtere ogminimere uønskede samfunnsmessige konse-kvenser og bidra til informasjonsflyt på tvers avsektorer og nivåer av myndighetsorganer.

Nasjonalt beredskapsplanverk, rammeverk

Justis- og beredskapsdepartementet, Forsvarsde-partementet og Statsministerens kontor har eta-blert et sektorovergripende rammeverk for nasjo-nalt beredskapsplanverk. Rammeverket er et opp-slagsverk som både gir oversikt over sentral krise-håndtering – aktører, roller og ansvar – og en vei-ledning i hvordan kriser håndteres på sentraltnivå.

En del av rammeverket vil være et planverksom skal gi grunnlag for krisehåndtering på områ-der der det ikke eksisterer nasjonale scenarioba-serte planer.4 I denne sammenheng er det ogsåvurdert om det skal utarbeides sektorovergri-

3 Modell for håndtering av IKT-sikkerhetshendelser – anbefa-linger og retningslinjer, brev til departementene fra Justis-og beredskapsdepartementet 18.11.2014.


pende beredskapsplaner for flere scenarioer ennde som foreligger per i dag.5

Sivilt beredskapssystem (SBS)

Nasjonalt beredskapssystem er basert på, ogkoordinert med, NATOs krisehåndteringssystemog består av én militær og én sivil del: Bered-skapssystem for Forsvaret (BFF) og Sivilt bered-skapssystem (SBS). SBS inneholder også tiltakrettet mot håndtering av IKT-relaterte hendelser.Hensikten med systemet er at man skal kunnegjennomføre koordinerte og forhåndsplanlagte til-tak på nasjonalt nivå. Virkeområdet er sektorover-gripende kriser i fredstid som er forårsaket avalvorlige tilsiktede hendelser eller trusler omslike, og kriser med en sikkerhetspolitisk dimen-sjon inklusiv væpnet konflikt eller trusler omslike. Det fremgår av Sivilt beredskapssystem(SBS) at departementene skal utarbeide egneberedskapsplaner basert på SBS som utdyper til-tak der departementet har et direkte handlingsan-svar i egen sektor. De ulike sektordepartemen-tene skal også bidra til jevnlig revisjon av tiltak iSBS, slik at disse til enhver tid er oppdatert.

En rekke handlingsbeskrivelser i SBS eller iunderliggende beredskapsplaner vil også inngå iulike sektorplanverk, som for eksempel Politietsberedskapssystem eller Nasjonal helsebered-skapsplan. SBS setter ikke annet sektorplanverktil side, men gjør det mulig med en koordinertiverksetting av tiltak besluttet på tvers av ulikedepartementer og sektorer i en situasjon da det erviktig med politisk styring.6

Politiet har etablert et eget planverk, Politietsberedskapssystem (PBS). Dette er et eksempel påsektorplanverk som bør avstemmes med detnasjonale systemet. Utvalget er kjent med at deter noen mangler i systemet som gjør at det per idag ikke er avstemt med SBS. Ansvaret for at deulike sektorplanene er avstemt og koordinert meddet nasjonale planverket tilligger hver enkelt sek-tor.

Støtteverktøy for krisehåndtering

Både på lokalt, regionalt og sentralt nivå er CIM(Crises Incident Manager) valgt som system tilkrisehåndteringsstøtte. CIM er et nettbasert kri-

sestøtteverktøy som blant annet brukes til delingav informasjon, situasjonsforståelse, tiltakskort ogROS-analyser. Hovedsakelig benyttes CIM av defleste aktørene i dag til å systematisere og organi-sere rutinemessige oppgaver, slik at man i enberedskapssituasjon kan få bedre kontroll og mertid til ledelse og beslutninger.

Som andre kommunikasjonssystemer er CIMavhengig av at funksjonaliteten i ekomnettet opp-rettholdes for at beredskapsaktører skal kunnebenytte seg av krisestøtteverktøyet. Det er enopsjon å bruke CIM lokalt, men da faller mulighe-ten til å dele informasjon vekk. På det enkeltemyndighetsnivå, og særlig for kommunene, vilverktøyet CIM kunne ha en viss verdi selv utenforbindelse til andre nivåer.

CIM finnes i flere utgaver og er i dag kun påugradert plattform.

IKT-systemer i sentralforvaltningen

Departementenes sikkerhets- og serviceorganisa-sjon (DSS) har et ansvar for å levere sikrede IKT-løsninger til departementsfelleskapet, og vedlike-holder også overordnede retningslinjer når detgjelder sikkerhet for tilknyttede virksomheter.

Fire departementer7 pluss Statsministerneskontor har valgt å etablere egne IKT-løsningerutenfor DSS.

Som samordningsdepartement har JD tatt etoverordnet ansvar for graderte løsninger i sentral-forvaltningen. Det foregår nå en etablering og inn-fasing av flere sikre kommunikasjonssystemer,inklusiv en løsning for sensitiv og lavgradertmobiltelefoni.

I tillegg pågår det et arbeid med å implemen-tere nasjonale IKT-løsninger på ulike grade-ringsnivåer. KSE-CIM skal implementeres påNasjonalt BEGRENSET nett i løpet av 2015.

Justis- og beredskapsdepartementet har ogsåen sentral rolle i arbeidet med å videreutvikle enlavgradert mobiltelefonløsning. Dette er imple-mentert hos samtlige departementer, sentrale eta-ter blant annet i justissektoren og flere sentraleberedskapsaktører. Den samme lavgradertemobilløsningen blir også vurdert av andre statligeaktører, blant annet Stortinget.

Sentrale aktører har også mulighet for å gjen-nomføre graderte videokonferanser (VTC).Denne kommunikasjonsformen blir hyppig brukti forbindelse med krisehåndtering på sentralt nivå.

4 Det eksisterer i dag nasjonale scenarioplanverk for pande-mier, atomulykker og akutt forurensning.

5 Prop. 1 S (2015–2016) Justis og beredskapsdepartementet.Rammeverket er gjort gjeldende fra juli 2015.

6 Systemet ble sist revidert i april 2015.

7 Finansdepartementet (FIN), Forsvarsdepartementet (FD),Utenriksdepartementet (UD) og Justis- og beredskapsde-partementet (JD).


En arbeidsgruppe med deltagere fra JD, DSBog POD har utredet hvordan samarbeidet pådirektoratsnivå kan bli bedre under større hendel-ser og kriser. Som en del av sitt arbeidet hararbeidsgruppen kartlagt graderte og ugraderteIKT-systemer og kommunikasjonsløsninger i for-valtningen.

Sikret offentlig nett (SON) startet som etarbeidsprosjekt i 2007 med Politiets dataog mate-rielltjeneste (Politiets IKT-tjenester) i samarbeidmed andre særorganer under politiet.

Arbeidsprosjektet ble videreført som et pilot-prosjekt under navnet SON av Justis- og bered-skapsdepartementet i 2012. Bakgrunnen for pro-sjektet var at man ville etablere en teknologisk løs-ning som kunne benyttes til å beskytte definertkritisk infrastruktur, dele sensitiv (ikke gradert)informasjon og potensielt inkludere flere offent-lige departementer med underliggende etater.

SON er et høyhastighets datanett mellomSON-deltagerne som er koblet til Internett, mender deltagerne har kontroll over den fysiske infra-strukturen, i motsetning til det som er tilfelletmed alminnelig Internett. Etter at SON er eta-blert, skal det etter planen være mulig å etablerefellestjenester mellom alle eller mellom enkelte avdeltagerne. Eksempler på tjenester er SharePoint-løsninger, felles sikkerhetsløsninger, streaming avTV-signaler, bærere for nasjonale graderte nett,bærere for Forsvarets og politiets IKT-systemerog politiets alarm- og varslingssystem.

20.1.3 Regionalt nivå

Det regionale nivået skal ha etablert egne krise-håndteringsordninger for å ivareta kriseledelseinnenfor egen sektor. Krav og føringer til planerog systemer for krisehåndtering blir ivaretatt avoverordnet departement innenfor hver sektor. Itillegg har Direktoratet for samfunnssikkerhet ogberedskap (DSB) et samordningsansvar på etats-nivå og ansvar for embetsstyringen til Fylkesman-nens (FM) samfunnssikkerhetsansvar, jf. sivilbe-skyttelsesloven8. De prinsippene, lovene og for-skriftene som gjelder for styring og kriseledelsepå det regionale nivået, er også gjeldende forhåndtering av alvorlige IKT-hendelser og kriser.

Fylkesmannens beredskapsråd (FBR) er Fyl-kesmannens viktigste samordningsorgan for bådeforebygging og krisehåndtering. FBR ledes avFylkesmannen og har medlemmer fra politiet,

Forsvaret, Sivilforsvaret, frivillige organisasjonerog statlige og fylkeskommunale etater som harvesentlige beredskapsoppgaver. I tillegg deltarofte representanter for andre sentrale beredskaps-aktører, som for eksempel virksomheter medansvar for kritisk infrastruktur og andre samfunn-skritiske funksjoner i fylket. Kraftforsyningensdistriktssjefer (KDS)9 deltar også fast i FBR. KDSrepresenterer en samlet kraftbransje på regionaltnivå, og bidrar til å opprettholde oversikt overbrudd i kraftforsyningen og gjenopprettingstiltak.I en krisesituasjon kan KDS, sammen med andrerelevante aktører, blant annet bidra til å vurdereprioritering og rasjonering av kraft. På ekomområ-det finnes per i dag ikke noen tilsvarende ordning,men Telenor deltar i de fleste FBR. Nkom harimidlertid etablert en ordning med et sentralt stra-tegisk element bestående av Nkom og utvalgte til-bydere som skal bistå med råd, veiledning oginformasjonsdeling i krisesituasjoner. Nkom er til-gjengelig for å delta på møter i FBR når det vurde-res som nødvendig.

I en krisesituasjon har DSB ansvar for å samleinn rapportering fra berørte fylkesmenn og direk-torater/tilsyn og sette sammen et situasjonsbilde.Denne rollen er nå formalisert. DSB utarbeiderogså analyser av samfunnsmessige konsekvenserpå tvers av sektorer, både i nåtid og fremtid. Disseoversendes Justis- og beredskapsdepartementet,Krisestøtteenheten og Kriserådet og bidrar til enfelles situasjonsforståelse og grunnlag for tiltak.Situasjonsbildet sendes også samlet ut til alle rele-vante aktører. Dette gjøres via CIM, i tillegg til e-post.

Avhengighet av IKT-/ekomsystemer

Det er et krav at Fylkesmannen skal kunne ivaretasine viktigste funksjoner nærmest uansett hvasom skjer. Avhengighet av IKT og kraftforsyningskal inngå i ROS-analyser, og det skal iverksettestiltak som ivaretar kontinuiteten i de viktigstefunksjonene som Fylkesmannen forvalter. Fylkes-mannen er ansvarlig for at det utarbeides en hel-hetlig ROS-analyse for fylket. I denne skal fylketskritiske infrastruktur og samfunnsfunksjoner ogavhengigheter mellom dem belyses. Både privateog offentlige virksomheter er inkludert her.

Fylkesmannen er først og fremst avhengig avIKT-systemer for å drifte administrative støtte-

8 Justis- og beredskapsdepartementet (2011): Lov om kom-munal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsva-ret.

9 Kraftforsyningens distriktssjefer (KDS) er representanterfor kraftforsyningen som skal sørge for godt samarbeid ogsamordning om sikkerhet og beredskap mellom energisel-skapene. Se kapittel 13 «Energiforsyning».


systemer og kommunikasjonsløsninger, og har enviktig rolle som statens representant i kriser derregionen er avskåret fra kontakt med sentralemyndigheter. Fylkesmannen har derfor også til-gang til Forsvarets nett, satellitt-telefoni og Nød-nett som backup-løsning til offentlige ekom-tje-nester.

Fylkesmannen benytter også CIM i sin krise-håndtering og i kommunikasjon med kommuneneog offentlige etater.

20.1.4 Lokalt nivå

Uønskede hendelser og kriser oppstår alltid i enkommune. Til å begynne med er det kanskje barevirksomheten selv som er involvert, men etterhvert kan flere aktører komme til. Selv en lokalbrann krever bidrag fra og samvirke med flereaktører – både private virksomheter, frivilligeorganisasjoner, DSB, Sivilforsvaret og nødetatene.Dette er aktører som en kommunal kriseledelsemå forholde seg til og kunne kommunisere med.Alle relevante aktører er avhengige av ekomnettog -tjenester for å kommunisere med hverandre,og er prisgitt sikkerhetsnivået i disse.

Større hendelser som berører flere kommu-ner, løftes til fylkesnivå og gjerne også til høyerenivå i forvaltningen. Dette krever samvirke påtvers av sektorer og virksomheter.

Kommunene har ansvar for mange viktigesamfunnsfunksjoner, som spenner vidt i fagområ-der og gjør at en kommunal kriseledelse må væreforberedt på å håndtere hendelser av svært ulikkarakter og med svært mange og ulike aktører.Sivilbeskyttelsesloven og forskrift om kommunalberedskapsplikt setter rammene for lokal krise-håndtering.

Forskrift om kommunal beredskapsplikt

Kommunene skal være forberedt på å håndterealle uønskede hendelser og med utgangspunkt ien helhetlig risikoog sårbarhetsanalyse utar-beide en overordnet beredskapsplan, inkludertIKT-hendelser – alt fra uønskede hendelser i kom-munenes IKT-systemer til større nasjonale IKT-kriser som får konsekvenser for kommunene.

I lov og forskrift stilles det ingen konkretekrav til IKT-sikkerhet, men på samme måte somfor det regionale og sentrale nivået ligger detteimplisitt ved at nødvendig funksjonalitet er avhen-gig av fungerende IKT-systemer. Det går imidler-tid frem av forskrift om kommunal bered-skapsplikt at kommunens ROS-analyse som mini-mum skal omfatte «særlige utfordringer knyttet til

kritiske samfunnsfunksjoner og tap av kritiskinfrastruktur».

20.1.5 Sivilt–militært samarbeid i kriser

Politiet har ofte en sentral lederrolle i krisesitua-sjoner og kan via bistandsinstruksen be Forsvaretom assistanse. Eventuell bistand på IKT-sikker-hetsområdet reguleres på samme måte.

Forsvarsdepartementet har satt i gang etarbeid med å revidere operativt strategisk plan-verk for kriser og væpnet konflikt / krig. Forsva-rets arbeid på dette feltet vil på flere områderbasere seg på bidrag fra det sivile samfunnetinnenfor rammen av totalforsvaret (se punkt 8.2«Sentrale myndighetsaktører med særlig ansvarfor oppfølging av IKT-sikkerhet»). I denne forbin-delse blir det gjort en gjennomgang av totalfor-svarskonseptet og det sivile samfunnets støtte tilForsvaret i samarbeid med DSB.10 Videre har Jus-tis- og beredskapsdepartementet, i samarbeidmed Forsvarsdepartementet, bedt DSB om åutrede avhengigheter mellom Forsvarets digitaleinfrastruktur og den sivile ekominfrastrukturen.Offentlig mobiltelefoni er så langt det eneste felleskommunikasjonsmiddelet for totalforsvarsaktø-rene innen nasjonal kriseledelse, det vil si sentralkriseledelse, Fylkesmannen, kommunenes krise-ledelse, nødetatene, Sivilforsvaret, helseforeta-kene og Forsvaret.11

På vegne av Justis- og beredskapsdepartemen-tet har DSB ansvar for å koordinere de årligeNATO-øvelsene Crisis Management Exercise(CMX) på sivil side. På norsk side er øvelse CMXåpen for deltagelse fra departementer, enkeltesentrale etater og fylkesmenn. Hensikten er å øvebåde eksisterende konsultasjons- og krisehåndte-ringsprosedyrer og prosedyrer under utviklingmellom NATO og medlemslandene. Ett av hoved-målene i CMX 2015 var å øve et stort cyberan-grep.

20.1.6 Risiko- og krisekommunikasjon

Prinsipper for krisekommunikasjon

I enhver krisesituasjon er behovet for og nødven-digheten av å nå ut med riktig og veiledende infor-masjon til befolkningen essensielt. Kommunika-

10 Støtte til Forsvarssjefens operative planverk, oppdragsbrevfra Justis- og beredskapsdepartementet til Direktoratet forsamfunnssikkerhet og beredskap, 10.02.2015.

11 FFI-Fakta (2014): Krisehåndtering i et sårbart cybersam-funn.


sjon med befolkningen spenner fra varsling ogrisikokommunikasjon før, under og etter en krisetil ren krisekommunikasjon som veileder og infor-merer under en hendelse. Kommunikasjonen skalbegrense usikkerhet om ansvarsforhold, klar-gjøre hva virksomheten gjør for å løse problemet,redusere omfanget av krisen og formidle hvordande som er rammet, kan få hjelp og støtte. Krise-kommunikasjon inkluderer kommunikasjon medmedier, samarbeidspartnere, egne ansatte ogbefolkningen i alvorlige situasjoner og kriser. Eneffektiv risikoog krisekommunikasjon kreverfungerende IKT-systemer.

Statens kommunikasjonspolitikk12 er ment åvære utgangspunkt og rammeverk for utarbei-delse av lokale planer og strategier for informa-sjon og kommunikasjon. Statens kommunika-sjonspolitikk omtaler ulike typer kommunikasjon,inklusiv krisekommunikasjon.

Kommunikasjonskanaler og varsling

Myndigheter på ulike nivåer benytter flere ulikevirkemidler for å ivareta sitt informasjons- ogkommunikasjonsansvar. Det finnes i dag mangeulike kanaler og virkemidler som kan tas i brukfor å informere befolkningen i krisesituasjoner.Eksempler er kringkasting, mediehus, sosialemedier, flygeblader med mer. Valg av kanaleravhenger av hvilke krisesituasjoner en står over-for, hvem som er målgruppene, og hvilke kanalersom er tilgjengelige.

NRK har en spesiell rolle i nasjonal bered-skapssammenheng ved at de har en plikt til å for-midle informasjon til befolkningen i krisesitua-sjoner gjennom beredskapskanalen NRK P1. I til-legg foreligger det en nærradioavtale som gjør atNRK kan overføre sine sendinger til andre lokal-radiostasjoner ved brudd i eget nett.13 Denne ord-ningen ble benyttet under Dagmar i 2011, da NRKfalt ut i Møre og Romsdal. Det er stor bevissthet ibefolkningen om at myndighetene vil gi nødven-dig informasjon over radio, og FM-båndet er i til-legg et svært robust.

Kulturdepartementet har vedtatt å avvikle FM-båndet og heldigitalisere norsk radio innen2017.14 Det er imidlertid stilt betingelser som må

oppfylles før avviklingen skal kunne gjennomfø-res. I denne sammenheng er blant annet NRKs ogP1s rolle som beredskapsfunksjon omtalt, ogdepartementet har vurdert dekning og lydkvalitetsamt forholdet til lokalradioer og bruk av mobil-nettet som varslingskanal. Når det gjelder dek-ning, er det stilt krav om at NRKs radiotilbud måha digital dekning tilsvarende dagens P1-dekningi FM-nettet, og at frekvensblokkene som er satt avtil kommersielle kanaler, til sammen må væreutbygd til å dekke minst 90 prosent av befolknin-gen. Nkom har på oppdrag fra SD og KUD bereg-net og målt dekningen for DAB-nettene (DigitalAudio Broadcasting) i Norge, og konkluderte ifebruar 2015 med at de dekningsmessige vilkå-rene for avvikling er oppfylt.15

DSB etablerte i januar 2012 nettstedetwww.kriseinfo.no for risikoog kriseinformasjon.Kriseinfo.no er en portal som samler myndighets-informasjon i kriser og lenker til relevant informa-sjon hos andre aktører. I de tilfellene Internett erutilgjengelig, vil informasjon fortrinnsvis måttegis gjennom andre kanaler. Alternative kommuni-kasjonskanaler bør være omtalt i beredskapspla-nene til myndighetene. Kriseinfo.no publisererogså på Facebook og Twitter.

Hver enkelt kommune og hver enkelt virksom-het har ansvar for å varsle befolkningen ved kri-ser. I hovedsak benyttes SMS-varsling til dette.Men også varsling via sirener (tyfoner) blir brukt,eksempelvis i industriområdet i Grenland. DSBhar gjennom Sivilforsvaret ansvaret for den nasjo-nale befolkningsvarslingen ved bruk av tyfoner.Disse utløses via FM-båndet. Når FM-båndet leg-ges ned, vil utløsermekanismen mest sannsynligkobles på Nødnett.

For IKT-hendelser er NSM NorCERT dettverrsektorielle nasjonale IKT-responsmiljøet.Flere andre sektorer er i ferd med å etablere egneresponsmiljøer. Dette legger forholdene til rettefor på sikt å kunne dele informasjon om trusler,sårbarheter og tiltak og dermed oppnå et mer hel-hetlig situasjonsbilde og en bedre håndtering avspesielt målrettede angrep og IKT-hendelser (sekapittel 21 «Avdekke og håndtere digitaleangrep»).

12 Statens kommunikasjonspolitikk. Fastsatt av Fornyings- ogadministrasjonsdepartementet 16. oktober 2009.

13 Avtale om samarbeid om lokalradiostasjonens virksomhetunder kriser og katastrofer av 22.01.2007. Inngått mellomJustis- og beredskapsdepartementet, Norsk rikskringkas-ting, Telenor Norge AS og Norsk lokalradioforbund.

14 Meld. St. 8 (2010–2011) Digitalisering av radiomediet.15 Nasjonal kommunikasjonsmyndighet (2015): Vurdering av

om dekningsvilkår for avvikling av FM er oppfylt. Deknings-vurderinger for NRKs DAB-nett, de kommersielle DAB-nettene og NRK P1s stereodekning i FM-nettet.


20.2 Sårbarheter knyttet til styring og kriseledelse

I beskrivelsen av sårbarheter vil utvalget spesieltvise til pinseflommen i 2011 og ekstremværetDagmar samme år. Dette er eksempler på hendel-ser som fikk konsekvenser for styring og krisele-delse for ulike etater. I begge hendelsene varutfordringen særlig knyttet til samordning mel-lom aktører som skulle håndtere krisen, og kom-munikasjon mellom befolkningen og myndighe-tene.

Utvalget bruker også funn fra DSBs Nasjonaltrisikobilde 201416, som presenterer et hypotetiskcyberangrep på ekominfrastruktur som et scena-rio.

20.2.1 Samhandlingsutfordringer og behov for informasjonsdeling

Evalueringer fra en rekke øvelser og reelle hen-delser viser at samhandling og informasjonsde-ling er både svært viktig og utfordrende i en krise-situasjon. Manglende informasjonsdeling kanblant annet føre til en begrenset felles og oppda-tert situasjonsforståelse, noe som er viktig forevnen til krisehåndtering.

Et effektivt samarbeid på tvers av organisasjo-ner krever at tekniske systemer kan kommuni-sere og utveksle informasjon, og at de samarbei-dende organisasjonene kan samvirke ved å brukeutstyret. I mange tilfeller er disse organisasjoneneteknisk heterogene og har ulik kommunikasjons-kultur og organisasjonsstruktur. Dette utfordrersamvirke og samarbeid i praktiske krisesitua-sjoner. 22. juli viste at den eneste felles plattfor-men for kommunikasjon var mobilnettet, og at vik-tige aktører ikke fikk mulighet til å utveksle gra-dert informasjon på grunn av mangel på god-kjente systemer og informasjonsutveksling mel-lom fagsystemer.17

Selv om samhandling og informasjonsdelinger nyttig og nødvendig, har utstrakt deling avinformasjon også en skyggeside. At flere gis til-gang til informasjon, og at systemer koblessammen, gir økt sårbarhet. Det blir derfor viktigogså å gjøre en verdivurdering av informasjon ogkartlegge behovet for beskyttelse av sensitiv infor-masjon gjennom tilgangskontroll og kryptering.

DSB har nylig stilt sammen funn fra de størsteøvelsene i perioden 2006–2014. I perioden er det

kun under øvelse IKT (2008), øvelse Orkan (2012)og øvelse Østlandet (2013) digital infrastrukturhar vært utsatt for påkjenninger som er relevante idenne sammenhengen. Påkjenningene har kom-met som følge av naturhendelser. Funn fra øvel-sene knyttet til digital infrastruktur kan kort opp-summeres slik: Virksomheter mangler egenbe-redskap for slike hendelser, herunder nødstrømog alternative kommunikasjonsløsninger. De somhar kommunikasjonsutstyr, mangler brukerkom-petanse, og det er uklare ansvarsforhold knyttet tilhåndtering.

20.2.2 Avhengigheter på lokalt og regionalt nivå, og kompetanseutfordringer

Svært ofte er bortfall av ekomtjenester en følge-hendelse av bortfall av kraft. Hvis man er forbe-redt på og har en beredskap for bortfall av kraft,vil man følgelig stå sterkere i tilfelle bortfall ogsvikt i ekomtjenester. Funn fra tilsyn med regio-nalt og lokalt nivå viser at det er ulike oppfatnin-ger om hvilke krav til egenberedskap som gjelder.

I 2012 gjennomførte DSB er utredning omkommunenes beredskap mot bortfall av elektriskkraft.18 Utredningen viste at mange norske kom-muner vil kunne få store problemer ved langvarigbortfall av elektrisk kraft. Det kom blant annetfrem at det er til dels store svakheter knyttet tilreservestrøm for viktige samfunnsfunksjoner ogtjenester som kommunene har ansvaret for å opp-rettholde. Mange kommuner ville også fått proble-mer med å opprettholde nødvendig kommunika-sjon dersom ekomtjenester falt bort som følge avstrømbrudd.

Det er en tydelig sammenheng mellom gjen-nomføring av risikoog sårbarhetsanalyser (ROS-analyser) og utarbeidelse av beredskapsplaner ogkommunenes sårbarhet overfor bortfall av elek-trisk kraft. I kommuner der bortfall av elektriskkraft var inkludert i ROS-analyser, hadde manbedre oversikt over de utfordringene som kanoppstå, flere forebyggende tiltak var iverksatt, ogberedskapsplanverket var i større grad tilpassetog egnet som hjelpemiddel for kommunens krise-ledelse enn i kommuner som ikke hadde priori-tert dette arbeidet. Videre var det en betydeligandel av kommunene som ikke hadde en bered-skapsplan der bortfall av elektrisk kraft var dek-ket, og mange hadde ikke planlagt for mer enn ettdøgns strømbrudd.19 20

16 Direktoratet for samfunnssikkerhet og beredskap (2014):Nasjonalt risikobilde 2014.

17 NOU 2012: 14 Rapport fra 22. juli-kommisjonen

18 Direktoratet for samfunnssikkerhet og beredskap (2012):Nasjonalt risikobilde (NRB) 2012, med fordypningsdel:Kommunenes beredskap mot bortfall av elektrisk kraft.


Figur 20.1 Alternative kommunikasjonsløsninger i kommunene i 2014.

Kilde: DSB.

14

25

19

45

43

61

30

34

8

8

10

15

4

35

24

11

9

7

7

12

23

3

20

22

17

10

12

3

0 20 40 60 80 100 120 140 160

Vann og avløp (N=344)

Brann- og redningstjeneste (N=357)

Helse- og omsorgstjenester (N=337)

Kriseledelse (N=356)

Satellitt-telefon Kommunikasjonsradio SIM til annet mobilnett

Nødnett Annet Nei, ingen alternativ Ikke sikker

Boks 20.1 Pinseflommen 2011

Under pinseflommen i 2011 førte utfallet iTelenors mobilnett til at NVE ikke fikk inn datafra målestasjoner i vassdragene. Disse dataeneblir vanligvis sendt automatisk via Telenorsmobilnett. Utfallet i mobilnettet gjorde det van-skelig for NVE å følge utviklingen i vannførin-gen mange steder, særlig den 10. juni, da flom-men utviklet seg raskt. NVE kompenserte dettemed bruk av modellberegninger og rapporterfra personer ute i felt og ved bruk av fasttelefonog satellitt-telefon.

Nødnett var i 2011 ennå ikke bygd ut i Gud-brandsdalen, og nødetatene hadde analoge sam-bandsløsninger. En av politiets utfordringerunder pinseflommen var knyttet til oversikt ogutarbeidelse av et felles oppdatert situasjons-bilde. Det var særlig viktig å opprettholde kom-munikasjon med Statens vegvesen for å ha over-sikt over fremkommeligheten i veinettet. Politiethadde likeså behov for å fremskaffe opplysnin-ger om hvor det var størst sannsynlighet for nyeskred, og hvor det kunne bli behov for hurtigevakuering. Oversikt over fremkommelighet varogså viktig for valg av transportmiddel for inn-satspersonell og evakuerte hvis det skulle opp-stå ulykker. På grunn av problemer med kom-munikasjonen måtte politiet innhente oversiktover fremkommelighet ved å benytte flere alter-native kanaler, blant annet informasjon fra lens-

menn ute i bygdene og innrapportering via poli-tiets samband og politihelikoptre. Politiet bruktederfor store ressurser på å skaffe seg en over-sikt over veinettet. Det var også utfordringerknyttet til kommunikasjon med andre aktører,som kommunal kriseledelse, og til en viss gradinnkalling av mannskaper. Politiets mannskapervarsles per telefon, og det er mange som ikkelenger har en fasttelefonlinje hjemme. I noen til-feller ble det benyttet tjenestebil for å kontaktepersonell.

Vegvesenet, som skal ha oversikt over frem-kommelighet på veinettet, stenge veier, skilte,holde vakt og ikke minst rekvirere driftsentre-prenører, baserer i stor grad sin kommunikasjonpå mobiltelefoni. Dette gjelder til dels internt, ogsærlig overfor driftsentreprenører, som de eravhengige av å nå. Under begge hendelsenehadde Vegvesenet store problemer med å nå uttil sine driftsentreprenører. Dette medførte atveier ikke ble effektivt ryddet og reparert fortlø-pende. Svikt i kommunikasjonen førte også tilproblemer med å få tak i informasjon fra lokaltnivå om hvilke veier som var fremkommelige.Manglende informasjon fra lokalt nivå medførteproblemer med å gi Fylkesmannen, nødetateneog publikum et oppdatert situasjonsbilde avfremkommeligheten i veinettet.


Status for kommunenes beredskap for bortfallav kraft og ekom ble fulgt opp gjennom Kommune-undersøkelsen i 2014.21 I denne undersøkelsensvarte 16 prosent at de ikke hadde, eller var usi-kre på om de hadde, beredskap for bortfall avelektrisk kraft – mot 40 prosent i 2012. Spørsmå-lene i 2012-undersøkelsen var imidlertid merdetaljerte og mer konkretiserte. Det er likevelgrunn til å tro at situasjonen har bedret seg.

Beredskap for bortfall av ekom:I 2014 ble også spørsmål om beredskap mot

bortfall av ekom berørt, ved at det ble stilt spørs-mål om alternative kommunikasjonsløsninger.Figuren over viser variasjoner i type kommunika-sjonsløsning innenfor de ulike områdene. Satellitt-telefon er i større grad oppgitt som alternativkommunikasjonsløsning for kriseledelsen enn forde andre områdene.

Selv om myndighetene har iverksatt nødven-dige tiltak for å styrke sin robusthet ved åanskaffe alternative kommunikasjonsløsninger ognødstrøm, er man i all hovedsak avhengig avekomnettet for å kommunisere. Et aspekt veddette er at robustheten i ekomnettet er geografiskbetinget som følge av vår topografi og demografi.Det er store forskjeller mellom spredtbygde dis-trikter og tettbygde strøk når det gjelder robust-het i underliggende kommunikasjonsinfrastruk-tur og dekning.22

Kompetansebehov på lokalt nivå

Både gjennom DSBs undersøkelser og andre inn-spill23 kommer det frem at mangel på IKT-sikker-hetskompetanse både på ledelsesnivå og hosansatte er en utfordring på lokalt nivå. Dette erogså beskrevet i kapittel 15 «Vannforsyning» og ipunkt 19.3 «Kompetansesituasjonen i samfunnet».KINS trekker blant annet frem som en sårbarhetat ledelsen har mange tradisjonelle ansvarsområ-der, og at IKT-sikkerhet er et relativt nytt områdesom ikke når opp i forhold til andre, «gamle», opp-

gaver. Dessuten har mange et inntrykk av at detteer teknisk vanskelig.

Mange kommuner mangler dessuten et sty-ringssystem og har for dårlig internkontroll. Viderepekes det på at IKT-sikkerhet anses for å være etteknisk komplisert område, og at det er lite og/eller for dårlig opplæring. Det er et stort behov forkontinuerlig opplæring.

KINS (Kommunal Informasjonssikkerhet)viser til at få eller ingen kommuner har godereserveløsninger ved bortfall av IKT-systemerover lengre perioder. Årsaken til dette er etterKINS’ syn knyttet til kostnader og prioritering avIKT-beredskap, samt at dette er teknisk krevendeå etablere og vedlikeholde.

Flere av utfordringene som synliggjøres vedbortfall av ekom og kraft i krisesituasjoner, harogså elementer av kompetanseutfordringer vedseg. Kommunene har i liten grad gjort tilstrekke-lige ROS-analyser og igangsatt tilstrekkelige tiltakfor å styrke egenberedskapen ved bortfall av kri-tisk infrastruktur. Som et tiltak for å øke kompe-tansen hos kommunene har Nkom gitt ut en veile-der som kan støtte deres ROS-analyser på ekom-området.24

20.2.3 Risiko- og krisekommunikasjon

Både under pinseflommen i 2011 og under Dag-mar samme år skapte svikten i telenettet proble-mer for myndighetenes arbeid med å gi informa-sjon til befolkningen. Fylkesmannen og kommu-nene hadde problemer med kommunikasjonenmed hverandre og ut til andre aktører, noe somigjen førte til et mangelfullt situasjonsbilde. Understormen Dagmar var det i tillegg ikke mulig ålegge ut informasjon på Internett. Dette ble ytterli-gere komplisert i Møre og Romsdal da NRK P1falt ut i lengre perioder.

Under pinseflommen var det et særskilt behovfor å informere publikum om at mange veier varstengt som følge av flom og skred. Et brudd imobilnettet førte imidlertid til at Vegtrafikksentra-len tidvis ble overbelastet, noe som redusertepublikums muligheter til å motta informasjon omsituasjonen. Kommunene kunne heller ikke gioppdaterte oversikter, og de hadde ikke kapasitettil å hjelpe publikum som tok kontakt. Mangeringte til politiet, noe som medførte en ekstrabe-lastning også der.

19 Direktoratet for samfunnssikkerhet og beredskap (2012):Nasjonalt risikobilde (NRB) 2012, med fordypningsdel:Kommunenes beredskap mot bortfall av elektrisk kraft.

20 Direktoratet for samfunnssikkerhet og beredskap (2012):Kommuneundersøkelsen 2012.

21 Direktoratet for samfunnssikkerhet og beredskap (2014):Kommuneundersøkelsen 2014. Status for samfunnssikker-hets- og beredskapsarbeidet i kommunene.

22 Janne Merete Hagen og Vinh Quam Pham: Brannvesenetsbehov for robust informasjonsinfrastruktur for samhandling ikrisesituasjoner – en forstudie. FFI-rapport 2014/01704.

23 Blant annet KINS’ svar til Lysneutvalget og NSR (2014):Mørketallsundersøkelsen – informasjonssikkerhet, person-vern, og datakriminalitet.

24 Nasjonal kommunikasjonsmyndighet (2014): Robusthet ielektronisk kommunikasjon – veiledning og råd til kommu-ner. November 2014.


Siden Internett ikke var rammet av bortfallunder pinseflommen, søkte mange informasjon påkommunenes, Fylkesmannens og Vegvesenetsnettsider. På grunn av problemene med å skaffeoppdaterte situasjonsbilder var imidlertid infor-masjonen på sidene ufullstendig.

Både under Dagmar og pinseflommen så manbehov for å skape trygghet for bygder som varhelt avskjermet, og som ikke hadde mulighet til åmotta informasjon om situasjonen. Mange avkommunene uttrykte at en av de største utfordrin-gene var kontakt med de delene av kommunender telefoni var falt bort. Flere kommuner tok ibruk alternative løsninger for på best mulig måteå opprette en form for kommunikasjon.

Som en følge av bortfall av telefoni under Dag-mar hadde befolkningen over store områder ikkemulighet til å nå nødetatene hvis det skulle oppståkritiske situasjoner. Både kommunene og nødeta-tene ga uttrykk for at dette var en stor utfordring.

Avvikling av FM-båndet

Overgang til DAB gjør at nærradioer må kjøpe innnytt utstyr. I NRK er det kommet frem at en delnærradioer kan få problemer med å finansieredette og dermed videreføre driften. I lokalradioav-talen går det blant annet frem at det skal være tek-nisk mulig å videreformidle NRKs programmersamtidig og uendret på lokalradiostasjonenes fre-kvenser i ulike krisesituasjoner. Det er usikkerthvilken reell beredskapsmessig konsekvens over-gangen til DAB-radio vil ha. I stortingsmeldingenom digitalisering av radioen25 pekes det på at detogså er andre måter å varsle befolkningen i etområde på – for eksempel via SMS – men denneevnen/muligheten må i så fall implementeres hosansvarlige varslingsaktører som for eksempelpoliti og andre virksomheter.

I stortingsmeldingen omtales også NRKsberedskapsansvar. Det blir påpekt at NRKs bered-skap kan bli svekket hvis digitaliseringen trekkerut i tid – dette fordi FM-nettet blir stadig eldre,noe som kan gi redusert oppetid. Det legges tilgrunn at NRK skal sørge for de nødvendige inves-teringene som må til for å opprettholde forsvarligoppetid, så lenge FM-nettet benyttes.

I meldingen påpekes det at beredskapshensyner viktige for dekningskravet til kanalen, men atdistribusjonsnettet også må være robust, redun-dant og ha rom for reserveløsninger. Videre frem-heves det at det etter hvert har vokst frem flerealternative beredskapskanaler – blant annet kan

mobilnettene benyttes til å kringkaste SMS-mel-dinger til mobiler i et gitt område. En svakhet veddisse systemene er at de i en krisesituasjon kan blioverbelastet. Inntil videre må derfor P1 fremdelesfylle en funksjon som beredskapskanal. Kulturde-partementet skriver videre at de vil ta initiativ tilen dialog med Direktoratet for samfunnssikkerhetog beredskap og Nasjonal kommunikasjonsmyn-dighet for å vurdere om det på sikt vil være grunn-lag for å redefinere beredskapsrollen til NRK P1.

20.2.4 Meteorologiske tjenester

I Norge er Meteorologisk institutt (MET) gitt sær-skilte oppgaver knyttet til meteorologiske tjenes-ter. MET bidrar med meteorologiske og klimato-logiske data og tjenester som skal tjene sombeslutningsstøtte for en rekke samfunnsområder.Særskilt prioriterte oppgaver er varsling avekstreme værforhold, som sterk vind, store ned-børmengder, høye bølger og høy vannstand. Vars-ling av farlige utslipp til luft og hav, for eksempelved kjernefysiske ulykker, vulkanutbrudd og olje-søl, er viktige nasjonale beredskapsoppgaver, i til-legg til all varsling i forbindelse med redningsopp-drag på land og til havs. Videre er viktige sam-funnsfunksjoner som transport, jordbruk, forsvar,luftfart og sjøtransport avhengige av tjenestene.

Sentralt i mange krisehåndteringssituasjonerstår evnen til å detektere og overvåke naturfarer.For å kunne ivareta dette er man helt avhengig avmeteorologiske tjenester.

Klimadatabaser ved MET vurderes som felles-verdier som det er viktig å beskytte. Slike datalagres derfor også hos Riksarkivet. Overvåkingog forskning på klima og tilgjengeliggjøring avdata til langsiktig planlegging er viktig, for eksem-pel for å sørge for at infrastruktur, installasjonerog bygg tar høyde for et nytt og endret klima ifremtiden.

Meteorologisk infrastruktur

Den meteorologiske infrastrukturen i Norgebestår av automatiske og enkelte manuellemålestasjoner (for alle typer værparametere ellerkun for nedbør), værradarer, lidarer, radiosonder,drivende bøyer og satellitter, som alle samler innværdata og rapporterer jevnlig. I dag kan enkelteobservasjonsstasjoner rapportere på minuttbasis,og behovet for tungregnekraft er derfor økende.

For å skaffe tilgang til resultater fra numeriskeprognosemodeller er MET avhengig av egne ogandres tungregneressurser. Meteorologisk insti-tutt eier per i dag en tungregnemaskin sammen25 Meld. St. 8 (2010–2011) Digitalisering av radiomediet.


med NTNU. I tillegg har MET et operasjoneltsamarbeid med det svenske meteorologiske insti-tuttet (SMHI) om numeriske værprognoser. METdeler tungregneressurser med blant annet SMHIog bruker også SMHIs supercomputer som bac-kup-system. Langtidsvarslene krever ytterligeretungregnekraft, og utføres i dag ved det interna-sjonale regnesenteret i Storbritannia (ECMWF).ECMWF eies av en rekke europeiske land i felles-skap, og er per i dag ledende innen sitt felt. Kom-munikasjonen mellom Oslo og tungregnemaski-nene går via Internett/UNINETT (i tillegg tilNORDUnet og SUNET til Sverige). Randverdienefra ECMWF kommer via Internett og RMDCN(dupliserte linjer).

MET er også avhengig av meteorologisk infra-struktur som tilhører andre statsetater, den inter-nasjonale infrastrukturen og infrastrukturen i ver-densrommet for å kunne utføre sine tjenester. Deter WMO (World Meteorological Organization)som sørger for at det internasjonale samarbeideter koordinert, og at landene følger opp forpliktel-sene som følger et slikt samarbeid.

Sårbarhet knyttet til meteorologiske tjenester

Den meteorologiske infrastrukturen er sårbar.For eksempel kan sabotasje, IKT-angrep ellernaturfenomener slå ut viktige deler av denneinfrastrukturen. Dette kan få svært uheldige føl-ger, i og med at meteorologiske tjenester benyttesav en lang rekke kritiske funksjoner, for eksempelatomberedskapen, ekstremværberedskapen, red-ningstjenesten og oljevernberedskapen. At beslut-ningsstøtte som skriver seg fra den meteorolo-giske infrastrukturen, faller ut, kan derfor fåsvært alvorlige konsekvenser. Den meteorolo-giske tjenesteproduksjonen er dessuten avhengigav eksterne innsatsfaktorer som elektronisk kom-munikasjon og satellittbaserte tjenester. Svikt ieller bortfall av disse innsatsfaktorene vil kunnemedføre redusert kvalitet, svikt i produksjonen avog tilgjengeligheten til meteorologiske tjenester.

Den meteorologiske produksjonen er somnevnt tidligere avhengig av ulike inngangsdata ogav at kommunikasjonsløsningene som benyttes,er tilgjengelige, blant annet at GSM-nettet ikke fal-ler ut i uvær, eller at måleinstrumentene blir ska-det eller faller ut i områdene som rammes.

MET har over tid fokusert på høy tilgjengelig-het i egen infrastruktur gjennom redundans pådatarom, strøm, kommunikasjon og IKT-tjenester.Driftsovervåking hos MET er en døgnkontinuer-lig tjeneste.

Logiske sårbarheter i IKT-systemer og -infra-struktur og tilgjengelighet til riktig kompetanseved alvorlige avvik vurderes til å være noen av destørste sårbarhetene ved meteorologiske tjenes-ter. I tillegg viser MET til at man ved anskaffelsermå etterspørre sikkerhetsdokumentasjon fra sys-temleverandørene, og at ikke alle er like bevisstepå systemsikkerhet. MET har opplevd alvorligavvik. Ved et konkret tilfelle gjennomførte en leve-randør en planlagt systemendring, som kunne hamedført alvorlige konsekvenser for infrastruktu-ren, og dermed viktige leveranser.

UNINETT og CERT-funksjonen

UNINETTs leveranser er kritisk for både innsam-ling av data, intern kommunikasjon, kommunika-sjon til tungregnemaskinene og distribusjon avværvarsler. UNINETT CERT er METs CERT vedcyberangrep. De videreformidler informasjon fraNSM NorCERT og er også de som vil bistå vedangrep mot MET eller annen infrastruktur tilknyt-tet forskningsnettet.

20.2.5 Kommunikasjonsløsninger for departementene

Fire departementer26 pluss Statsministerens kon-tor har valgt å etablere egne IKT-løsninger utenforDSS. DSS fikk i 2013 i oppdrag å utrede en sikker,ugradert løsning for alle departementene. Denneprosessen ble stoppet, blant annet på bakgrunn avrapporten fra konsulentfirmaet Metier i forbin-delse med kvalitetssikring fase 2.27

Kartleggingen viste at brukerne av dagens fel-lesløsninger i hovedsak ikke er fornøyd med tje-nestene som blir levert av DSS. De fem som stårutenfor, har ifølge rapporten liten tiltro til DSSsom tjenesteleverandør og prosjektgjennomfører.Denne manglende tiltroen til DSS og forankrin-gen er et viktig premiss for Metiers anbefaling omikke å godkjenne prosjektet for fremleggelse forStortinget. Konklusjonen i denne prosessen blederfor at man valgte en løsning med å videre-utvikle DSS’ nåværende ugraderte løsning idepartementsfellesskapet.

26 Finansdepartementet (FIN), Forsvarsdepartementet (FD),Utenriksdepartementet (UD) og Justis- og beredskapsde-partementet (JD).

27 Metier (2014): KS2 (kvalitetssikring fase 2) av Ny IKT-løs-ning for departementene. Rapport til Finansdepartementetog Kommunal- og moderniseringsdepartementet.


20.2.6 Målrettede IKT-angrep

Ifølge ekspertgruppen for forsvaret av Norge måNorge være forberedt på å bli stilt overfor manø-verkrigføring, geriljakrigføring og andre formerfor irregulær krig, hybrid krigføring, avskrekkingmed kjernevåpen og angrep i det digitale rom.

DSBs Nasjonalt risikobilde 201428 presentereret hypotetisk cyberangrep på ekominfrastruktursom et scenario. Her omtales blant annet de sam-funnsmessige konsekvensene et slikt scenario vilfå for ulike samfunnsfunksjoner. Scenarioetbeskriver et logisk angrep mot Telenors trans-portnett som gjør at ekomtjenester som telefoniog Internett faller ut over hele landet i fem døgn.

Scenarioet beskriver enorme samfunnsmes-sige konsekvenser, også knyttet til styring og kri-seledelse. Sentrale institusjoners evne til å utføresine tiltenkte oppgaver vil bli svekket og informa-sjonsgrunnlaget mangelfullt. Sentraladministra-sjon, finansinstitusjoner og presse vil ikke kunneutføre sine ordinære oppgaver. Det samme gjelderberedskapsaktører med definerte krisehåndte-ringsoppgaver, som for eksempel Krisestøtteenhe-ten, nødetatene, hovedredningssentralene medflere. I et slikt scenario må kommunikasjon mel-lom beredskapsaktørene på de ulike nivåene skjevia backup-systemer med svært begrenset kapasi-tet. Dette gjelder både VHF-radiosamband oghåndholdte satellitt-telefoner. Som tidligere nevnti kapittel 11 «Elektronisk kommunikasjon», erForsvaret også til dels avhengig av det nasjonalesivile transportnettet for å nå sine sivile samar-beidspartnere.

Mennesker i akutte nødsituasjoner får ikkekontakt med politi, ambulanse, legevakt og brann-vesen via nødnumrene. Dette antas å gi en følelseav manglende kontroll over egen situasjon ogsvekket tillit til myndighetene. Bortfall av ekom vilogså ha store konsekvenser for krisekommunika-sjon. Viktige informasjonskanaler til publikum blirborte.

I kriser der det står målrettede aktører baksom har større kapasitet til å operere i det digitalerom og/eller utføre psykologisk krigføring ogfysisk sabotasje, vil utfordringene bli annerledesog større enn det vi hittil har sett. Det er noen for-hold som spesielt bidrar til dette. Det ene gjelderflere samtidige hendelser, gjerne geografiskspredt, noe som krever koordinering og samord-ning både på lokalt, regionalt og sentralt nivå ogpå tvers av ansvarsområder.

Det andre forholdet er relatert til villedning ogpåvirkningskampanjer i digitale medier. I Norgeer det et uttalt mål at myndighetene skal være påde samme sosiale kanaler som befolkningen. Ipågående sikkerhetspolitiske kriser ser en at par-ter på begge sider i konflikter opererer i desamme sosiale mediekanalene, og at ulike teknik-ker blir tatt i bruk for å påvirke motparten, foreksempel sosial manipulasjon for å få tilgang tilpassord på sosiale medier og bruk av falske bru-kerkontoer og falske «likes» for å påvirke grupperi befolkningen. I tillegg til denne dimensjonenkommer sympatisører og hackergrupperingersom angriper motpartens nettsider og IKT-systemer. Som omtalt i kapittel 7 «Utilsiktede ogtilsiktede hendelser», kan digitale angrep av ulikkarakter og styrke kjøpes på nett.

Sosiale medier er også benyttet som inngangs-port til spionasje. Et eksempel er Taliban-opprø-rere som laget falske profiler og fremsto somattraktive kvinner som søkte vennskap med koali-sjonssoldater. Baktanken var å skaffe informasjonom operasjonene.29 Det digitaliserte samfunnet erspesielt sårbart for informasjonsoperasjoner, ogsamfunnet må ha beredskap for å håndtere dennetypen sammensatte trusler. De profesjonelle medi-ene er viktige informasjonsformidlere i nasjonalekriser. Journalister på stedet bidrar til å skape etsituasjonsbilde, men de risikerer også å bli for-midlere av feil informasjon når de henter informa-sjon fra sosiale medier.30

Målrettede trusler mot informasjonssystemer,der informasjon blir manipulert og endret av ikke-autoriserte personer, er derimot et prematurtområde. Trusselen i dag er primært utøvd utenforNorges grenser, og den er aktuell i større konflik-ter og krig. Krisehåndtering for å håndtere sliketrusler blir det øvd lite på i sivil sektor. Når infor-masjonsinnholdet blir upålitelig, vil det for det før-ste kunne øke usikkerheten, noe som i sin tur kanforsinke beslutningsprosessen. Dernest vil det,dersom det er uoppdaget, føre til at beslutningertas på feil grunnlag. Feil beslutninger vil spre segtil de mange aktørene som er involvert i krise-håndteringen. Informasjon fra pålitelige kilder, foreksempel egen etterretning eller vitneobservasjo-ner på stedet, vil være viktig for å sjekke gyldig-heten til informasjonen.31

28 Direktoratet for samfunnssikkerhet og beredskap (2014):Nasjonalt risikobilde 2014.

29 Deceglie, Antony (2012): Taliban Using Facebook to LureAussie Soldier, The Sunday Telegraph, September 09.2012,In: Harley, J.: Information Operations Newsletter, Vol. 13, no.01 (September–October 2012).

30 Kilde: FFI Fokus, Kampen om sannheten. Nr. 2 2014.31 Ibid.



Det er ikke mulig å garantere 100 prosent oppetidpå ekom- eller kraftnett. Det er med andre ord enrestrisiko som en ikke kan fjerne helt, selv medforebyggende og skadebøtende tiltak.

Denne restrisikoen er også geografisk betin-get. Dette skyldes ulike forhold knyttet til vær ogvind, topografi, befolkningstetthet og hvor robustinfrastrukturen er i området. Det er viktig å forbe-rede både befolkningen og virksomhetene på åklare å leve med denne risikoen og håndtere kon-sekvensene i en avgrenset tidsperiode inntilsystemene er gjenopprettet, uten at det medførersosial uro. Da trengs det beredskapsplaner og -til-tak som er tilpasset det digitale samfunnet.

Et aspekt ved dette er at myndighetene på allenivåer må ha tilstrekkelig kompetanse for å hånd-tere restrisiko og sette inn kostnadseffektive fore-byggende tiltak. Dette krever også at bådemyndigheter, virksomheter og enkeltpersoner haret bevisst forhold til sårbarhetsbildet. Erfaringerfra både hendelser, internasjonale kriser og øvel-ser viser at denne bevisstheten ikke er til stede itilstrekkelig grad. Det er et gap mellom befolknin-gens forventninger til IKT-systemenes sikkerhetog det faktiske sikkerhetsnivået. Utvalget vil der-for anbefale følgende tiltak:

20.3.1 Øke IKT-sikkerhetskompetansen på lokalt og regionalt nivå

Den økte digitale kompleksiteten fører til storeutfordringer for lokalt og regionalt nivå. Særliggjelder dette i kommunesektoren, med mangesmå enheter som har ansvar for viktige systemerog tjenester, men som også kan ha manglendekompetanse på IKT-sikkerhet. Utvalget observe-rer at det mangler en felles arena for IKT-sikker-het i kommunesektoren. Mange kommuner harbehov for økt veiledning for å gjennomføre blantannet gode ROS-analyser og etablering av sty-ringssystemer som ivaretar IKT-sikkerhet. Utval-get ser at kommunale fellesarenaer kan bidra til åøke kompetansen, ved for eksempel at det utveks-les informasjon om IKT-sikkerhetsløsninger.

Utvalget anbefaler derfor at Justis- og bered-skapsdepartementet i samarbeid med Kommunal-og moderniseringsdepartementet tar initiativ tiletablering av en felles arena for IKT-sikkerhet forlokalt og regionalt nivå. I denne sammenheng børdet ses til videreføringen av KommIT32 som skalbidra til å høyne forståelsen av og kunnskapen omIKT som virkemiddel for effektivisering og kvali-tetsheving i kommunal sektor, og om dette pro-

grammet også bør omfatte IKT-sikkerhet, samtdet arbeidet som KINS gjør på området.

Utvalget mener videre at det er behov for å tyde-liggjøre hvilke krav og forventninger for IKT-sikker-het som legges til lokalt og regionalt nivå. Utvalgethenviser til gjeldende lovverk med forskrifter,samt anbefalinger i denne NOUen om hendelses-håndtering, og anbefaler at JD tydeliggjør sin sty-ring på IKT-sikkerhetsområdet og koordinerersine krav med krav og forventninger fra KMD.Den praktiske styringen bør følges opp av aktuelletilsynsmyndigheter. En klargjøring av krav og for-ventninger, sammen med økt veiledning vil ogsåkunne bidra til økt bevissthet og kompetanse.

20.3.2 Styrke beredskapen på regionalt og lokalt nivå

Utvalget ser at det er behov for å øke evnen til åhåndtere IKT-kriser på lokalt og regionalt nivå.Fylkesberedskapsrådet (FBR) har i dag represen-tanter fra kraftbransjen (KBO), Telenor og Nkomsom representant fra ekom-sektoren. Utvalgetmener det bør vurderes om dette forumet bør utvidesmed representanter fra andre infrastrukturer og vik-tige leverandører.

Utvalget mener videre at det må etableres enmekanisme for deteksjon og håndtering av IKT-sik-kerhetshendelser for kommunesektoren. I denne for-bindelse bør det ses til det pågående arbeidet medå vurdere en etablering av en kommune CSIRT, sekapittel 15 «Vannforsyning», kapittel 17 «Helse ogomsorg» og kapittel 21 «Avdekke og håndteredigitale angrep». Utvalget vil også vise til viktighe-ten av at det gjennomføres tverrsektorielle øvelsersom har IKT-sikkerhet som øvelsesmål.

20.3.3 Etablere felles gradert IKT-infrastruktur

Det er under utvikling et felles gradert system forsentralforvaltningen, noe utvalget ser på som vik-tig. Utvalget er kjent med at brukervennlighetenoppleves som lav for en del av de gradertesystemene som finnes i dag, og at det trenes forlite på å bruke dem. Dette kan tale for variantbe-grensning, men det må vurderes opp mot de ulikebehovene og den robustheten som ulike systemergir. Mange departementer og etater peker i dagpå at det er flere aktører som tar initiativ på dette

32 KommIT er et program i KS som skal høyne forståelsen avog kunnskapen om IKT som virkemiddel for effektiviseringog kvalitetsheving i kommunal forvaltning og tjenestepro-duksjon. Progammet avsluttes i år, og det er per i dag ikkebesluttet videreføring.


området, og at det er uklart hvem som har detoverordnede ansvaret.

Utvalget vil derfor anbefale at Justis- og bered-skapsdepartementet tydeliggjør hvilket departementsom skal ha dette ansvaret, og også klargjør hvilkeroller og hvilket ansvar KMD og FD har i dette bil-det.

I denne forbindelse vil utvalget også anbefaleat den eventuelle videreutviklingen av SON ledesav Justis- og beredskapsdepartementet, og støttermed dette anbefalingen fra NSMs Sikkerhetsfag-lige råd.

20.3.4 Vurdere virkemidler for kommunikasjon med befolkningen

I dag benyttes flere virkemidler og kanaler forkommunikasjon med befolkningen under kriser.Felles for de fleste er at de er avhengige av en til-gjengelig ekominfrastruktur. NRK P1 har en sær-skilt rolle ved befolkningsvarsling.

Forut for avgjørelsen om nedleggelse av FM-båndet utførte Nkom en analyse. I denne ble dek-ningsmessige forhold belyst. Det er utvalgets opp-

fatning at beredskapshensyn i liten grad er vur-dert i forbindelse med avviklingen av FM-båndet.Utvalget ser dette som et eksempel på at myndig-hetene i for liten grad vurderer sikkerheten i til-knytning til større samfunnsmessige endringer istruktur, organisasjon og teknologi. Denne pro-blemstillingen er også omtalt i kapittel 23 «Tverr-sektorielle sårbarhetsreduserende tiltak».

Å beholde FM-sendinger vil muligens ikkebidra til bedre robusthet, fordi ingen etter hvertvil ha mottakerapparat, og teknologien vil hellerikke bli vedlikeholdt. Fremtidige IP-løsninger viletter utvalgets vurdering ha innvirkning på hvil-ken utbredelse DAB vil få. Dette avhenger spesi-elt av den teknologiske utviklingen og markedet.Utvalgets vurdering er at hvis trenden med IP-løs-ninger slår inn, vil «alle egg bli lagt i sammekurv». Det vises her til kapittel 11 «Elektroniskkommunikasjon».

Utvalget vil derfor anbefale at DSB vurdererbruken av virkemidler for kommunikasjon medbefolkningen i kriser og i denne sammenheng ogsåvurderer beredskapsrollen til NRK i samarbeid medKulturdepartementet.


Kapittel 21

Avdekke og håndtere digitale angrep

Dette kapittelet omhandler de digitale sikkerhets-utfordringene ved IKT-kriminalitet, spionasje,sabotasje og terror. Utvalget vurderer i kapitteletbehovet for å kunne avdekke, håndtere og etter-forske digitale angrep, og omhandler både nasjo-nal sikkerhet, samfunnssikkerhet, individets sik-kerhet og personvern.

Presumptivt lave kostnader ved og mulighet tilå operere i det skjulte gjør det digitale rom til enattraktiv arena for å begå uønskede handlinger.1

Økt bruk av teknologi og Internett åpner for krimi-nelle handlinger mot staten, næringslivet og enkel-tindivider. De digitale angrepene øker i omfang ogblir stadig mer målrettet, og de kan i ytterste kon-sekvens ramme nasjonal sikkerhet ved at kritiskefunksjoner blir satt ut av spill. Kriminalitet og mel-lomstatlige kriser og konflikter har i stadig størregrad elementer av digitale angrep.

Nyhetsbildet de siste årene har vært preget avtjenestenektangrep, datatyveri og IKT-sabotasje.Digitale angrep har i første rekke vært en trusselmot tilgjengelighet og konfidensialitet, men medøkende fare for skade på kritisk infrastruktur, lam-melse av kritiske samfunnsfunksjoner og i ytterstekonsekvens fare for liv og helse. Internett blebrukt til å planlegge terrorangrepet mot redaksjo-nen til satiremagasinet Charlie Hebdo i Paris ijanuar 2015. Fransk politi brukte Internett som etledd i etterforskningen, og det franske folketbrukte Internett for å organisere massedemon-strasjoner. I november 2014 ble verden vitne til athackere brukte Internett til å gjennomføre dataan-grep mot Sony Pictures ved å stoppe kinovisnin-gen av filmen «The Interview». Som en respons,og for å forsvare ytringsfriheten, publiserte Micro-soft og Google filmen via Internett. Dette ereksempler på at Internett har fått en avgjørenderolle både før, under og etter en hendelse.

I dette kapitlet er Ressursgruppen benyttet somet begrep for å henvise til rapporten fra en nedsattarbeidsgruppe. Utvalget har behandlet rapportenpå lik linje med andre innspill. Se elektronisk ved-

legg «Avdekke, håndtere og etterforske digitaleangrep».

21.1 Sentrale begreper og føringer

21.1.1 Sentrale begreper

Med IKT-hendelse mener utvalget situasjoner derIKT-systemer blir utsatt for utilsiktede eller tilsik-tede uønskede hendelser. Alvorlige IKT-hendelserer hendelser som rammer samfunnskritisk infra-struktur, samfunnskritisk informasjon eller sam-funnskritiske funksjoner på en slik måte at det fårbetydning for samfunnets og befolkningens trygg-het. IKT-hendelser og cyberhendelser blir i det føl-gende brukt som synonymer.

Med digitale angrep mener utvalget tilsiktedeIKT-hendelser. Disse IKT-hendelsene er hand-linger i eller gjennom det digitale rom med hen-sikt å skade eller påvirke personell, materiell ellerkonfidensialiteten, integriteten, tilgjengeligheteneller autentisiteten til et IKT-system,2 for eksem-pel i form av sabotasje-, spionasje- eller terror-handlinger. Dette står i kontrast til utilsiktede IKT-hendelser, som er forårsaket av svikt og uhell.

Begrepene spionasje, sabotasje og terror erdefinert i straffelovens § 147 og sikkerhetslovens§ 3 nr. 3-5.

IKT-kriminalitet3 er IKT-hendelser som erstraffbare etter norsk lov. Norsk lovgivning haringen definisjon av IKT-kriminalitet.4 Begrepetdeles ofte inn i to grupper: kriminalitet rettet motselve IKT-systemene og kriminelle handlingerbegått ved hjelp av IKT som et vesentlig redskap.5

1 Prop. 73 S (2011–2012) Et forsvar for vår tid.

2 Samme tilnærming som Forsvarets cyberretningslinjer2013. Utvalget har valgt begrepet IKT-hendelser fremforcyberhendelser.

3 IKT-kriminalitet tilsvarer det engelske cybercrime, ogbenyttes ofte synonymt med datakriminalitet og Internett-relatert kriminalitet.

4 Meld. St. 7 (2010–2011) Kampen mot organisert kriminali-tet – en felles innsats.

5 Ibid, samt Kripos (2014): Trendrapport 2015 - den organi-serte kriminaliteten i Norge.


I forbindelse med Norges ratifisering av Europa-rådets Budapestkonvensjon6 ble det gjennomførten kartlegging av nødvendige lovendringer.7 Enny straffelov8 ble vedtatt som følge av dette, derdet i kapittel 21 er samlet straffebestemmelser forvern av informasjon og informasjonsutveksling,herunder «innbrudd i datasystem», «krenkelse avretten til privat kommunikasjon», «fare for drifts-hindring» og «identitetskrenkelse».

IKT og Internetts betydning for kriminalitets-bekjempelsen beskrives av politiet ofte langs treakser: objektet eller åstedet for forbrytelsen (kri-minalitetsform), verktøyet for forbrytelsen(modus) og kilde til spor (sporsted).

Elektroniske spor er elektronisk informasjonsom kan knyttes til en person, en elektroniskenhet, et sted eller en hendelse. Elektroniske sporer i dag relevant i nær sagt all etterforskning.

Politiet bruker begrepet IKT-tekniske undersø-kelser om tekniske operasjoner for å innhente oganalysere elektroniske spor. Se punkt 7.2.1 «IKT-kriminalitet» for eksempler på kriminalitetsfor-mene.

Med situasjonsbilde mener utvalget et kontinu-erlig oppdatert øyeblikksbilde om pågående hen-delser og aktiviteter. Et trusselbilde9 er en vurde-ring av de farene og truslene samfunnet står over-for, samt hvilke metoder og hendelser som ansessannsynlige. Trusselbilder utgis ofte periodevis.

Begrepene overvåking (surveillance) og moni-torering (monitoring) vil i det følgende bli bruktom hverandre.

Etterretning og analyse brukes om prosesserfor å innhente og sammenstille informasjon. Politi-ets etterretningsdoktrine definerer etterretningsom «en styrt prosess, bestående av systematiskinnsamling, analyse og vurdering av informasjonom personer, grupper og fenomener for å dannegrunnlag for beslutning». Forsvarssjefens etterret-ningsdoktrine definerer begrepet slik: «Etterret-ning er systematisk innhenting og bearbeiding avinformasjon som angår utenlandske forhold erver-vet med åpne og fordekte metoder i en statlig legalramme. Produktene skal redusere usikkerhet,skape forståelse og har ofte en prediktiv karakter.Begrepet brukes både om produktet, aktivitetenog organisasjonen som utøver aktiviteten».

21.1.2 Nasjonale føringer, rapporter og viktige hendelser

Det finnes en rekke nasjonale føringer, rapporterog milepæler som omhandler IKT-sikkerhetsut-fordringer med relevans for dagens kapasiteter.

6 Council of Europe (2001): Treaty No.185 Convention onCybercrime. Ble underskrevet av Norge i 2001 og ratifisert i2006.

7 NOU 2003: 27 Lovtiltak mot datakriminalitet, fulgt opp avNOU 2007: 2 Lovtiltak mot datakriminalitet – DelutredningII, som kom med forslag til straffebestemmelser omdatakriminalitet som kan tas inn i den spesielle delen i dennye straffeloven.

8 Justis- og beredskapsdepartementet (2005): Lov om straff(straffeloven). Ikraftsettelse avventer implementasjon i poli-tiets IKT-systemer.

9 Noen sikkerhetsaktører benytter begrepet risikobilde omdet samme produktet.

Figur 21.1 Oppsummering av utvalgte nasjonale føringer, rapporter og milepæler.

2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

NOU 2000:24 Et sårbart samfunn

Budapestkonvensjon underskrevet

Kripos overtatt ansvar for organisert kriminalitet og datakrimavdelingen fra Økokrim

NorCERT etablert

Budapestkonvensjon ratifisert

NOU 2003:27 Lovtiltak mot datakriminalitet

NOU 2007:2 Delutredning II

Samfunn og beredskap

Lov og internasjonalt

Hendelses- håndtering

Etterforskning

NOU 2009:15 Skjult Informasjon – åpen kontroll

NorSIS etablert

Forberedelse og forebygging

Meld. St. 7 (2010–2011) Kampen mot organisert kriminalitet

Nasjonal strategi for informasjonssikkerhet

Meld. St. 21 (2012–2013) Terrorberedskap

POD: Politiet i det digitale samfunnet

JDs strategi for å bekjempe IKT- kriminalitet

Nærpolitireformen

HelseCSIRT FinansCERT KraftCERT

FDs Cyberretningslinjer

Strategi

NOU 2006:6 Når sikkerheten er viktigst

Uninett CERT (1995)

Tjenesten nettvett

Sikkerhetsloven

BKI (fullt operativt)

VDI prøveprosjekt (1999)

Nasjonal strategi for informasjonssikkerhet

Nasjonale retningslinjer for å styrke informasjonssikkerheten

Nkom CSIRT


Øvrige initiativer og rapporter er beskrevet ikapittel 8 «Organisering av roller og ansvar».Figur 21.1 oppsummerer et utvalg av disse.

Regjeringens ambisjoner og mål for håndte-ring av IKT-hendelser fremgår blant annet avMeld. St. 29 (2011–2012) Samfunnssikkerhet ogNasjonal strategi for informasjonssikkerhet. I tillegghar Justis- og beredskapsdepartementet nyligutgitt en nasjonal strategi for å bekjempe IKT-kri-minalitet.10


Det overordnede ansvaret for håndtering av digi-tale angrep og IKT-kriminalitet ligger hos Justis-og beredskapsdepartementet og Forsvarsdeparte-mentet, som beskrevet i kapittel 8 «Organiseringav roller og ansvar». I det følgende gjennomgås demest sentrale aktørene som har utøvende ansvarfor håndtering og etterforskning av IKT-kriminali-tet, terror, spionasje og sabotasje. Prinsipper forkrisehåndtering og kriseorganisering på sentraltnivå er omtalt under kapittel 20 «Styring og krise-ledelse».

21.2.1 Nasjonal sikkerhetsmyndighet

NSM NorCERT er den funksjonen i Nasjonal sik-kerhetsmyndighet som er «ansvarlig for å koordi-nere håndteringen av alvorlige IKT-angrep påsamfunnskritisk infrastruktur eller andre viktigesamfunnsfunksjoner og for å organisere og drifteet nasjonalt varslingssystem for digital infrastruk-tur.»11 NSM koordinerer også håndteringen avsikkerhetstruende hendelser knyttet til sikker-hetsgradert informasjon, herunder krypto-systemer, IKT-systemer med mer, og skjermings-verdige objekter etter sikkerhetsloven. I dennesammenheng rapporterer NSM til NATO/EU ogbilaterale samarbeidspartnere når hendelsenberører informasjon utstedt av disse.

NSM NorCERT er døgnbemannet og kanbistå med koordinering av hendelser og tekniskanalyse av maskiner, skadelig kode og logger.Informasjonsinnsamling foregår blant annet gjen-nom VDI-sensornettverket. Varslingssystem fordigital infrastruktur (VDI) ble etablert av EOS-tje-nestene i 1999 som et prøveprosjekt. VDI ble i

2003 lagt til NSM og i 2006 utvidet til også åomfatte en nasjonal responsfunksjon ved slikeangrep: NorCERT (Norwegian Computer Emer-gency Response Team), nå benevnt NSM Nor-CERT. Slik innsamling og deling av informasjonforegår også gjennom andre nasjonale og interna-sjonale responsmiljøer og samarbeidende tjenes-ter. NSMs VDI-sensornettverk detekterer, varslerog verifiserer uønskede hendelser. Koordineringav håndteringen skjer i nært samarbeid med Poli-tiets sikkerhetstjeneste og Etterretningstjenesten,sektorvise responsmiljøer og berørte virksomhe-ter. EOS-tjenestenes arbeid koordineres i Cyber-koordineringsgruppen (CKG), som ledes avNSM. Tjenestene kan i fellesskap beslutte at ogsåandre etater kan tiltre forumet. Kripos og Cyber-forsvaret møter derfor regelmessig i det sombetegnes som en utvidet CKG.

NSM NorCERT ivaretar flere møtearenaer.NSM NorCERT Sikkerhetsforum er et forum forNorCERT-medlemmer og partnere, der NSMNorCERT blant annet presenterer hva de hararbeidet med siste halvår. Den andre møteare-naen er Nasjonalt Cybersikkerhetssenter (NCSS)12,der representanter for departementer, direktora-ter, politi og andre møtes månedlig for å bli opp-datert om hendelser, reise spørsmål eller leggefrem egne opplysninger. Informasjonen kan væregradert. I NCSS Operativt forum deltar sentraletjenestetilbydere/eiere av kritisk IKT-infrastruk-tur og sektorvise responsmiljøer. I NCSS myndig-hetsforum deltar sektormyndigheter, politiet, EOS-tjenestene og sentrale departementer. NSM sam-arbeider med tilsvarende tjenester i en rekke landog internasjonale organisasjoner. Se også kapittel10 «Folkerett og internasjonalt samarbeid».

21.2.2 Sektorvise responsmiljøer

I Nasjonal strategi for informasjonssikkerhet og til-hørende handlingsplan var etablering av sektor-vise responsmiljøer et prioritert tiltak for å sikre atsektorene og den enkelte virksomhet sto bedrerustet mot uønskede IKT-hendelser. Høsten 2014ga Justis- og beredskapsdepartementet ut anbefa-linger og retningslinjer13 for etableringen av sek-torvise responsmiljøer. De sektorvise responsmil-jøene vil ha en nøkkelrolle i å sikre at alle rele-vante aktører mottar rask og korrekt varslingsin-

10 Justis- og beredskapsdepartementet (2015): Justis- og bered-skapsdepartementets strategi for å bekjempe IKT-kriminali-tet.

11 Forsvarsdepartementet (2011): Instruks for sjef Nasjonalsikkerhetsmyndighet.

12 Dette er et begrep som både benyttes om en møteplass oget tiltak i Sikkerhetsfaglig råd. I denne konteksten snakkerutvalget om møteplassen.

13 Justis- og beredskapsdepartementet (2014): Modell forhåndtering av IKT-sikkerhetshendelser – anbefalinger og ret-ningslinjer, brev til departementene.


formasjon og settes i stand til å gjøre nødvendigetiltak. De sektorvise responsmiljøene er NSMNorCERTs kontaktpunkt ved IKT-sikkerhetshen-delser. Videre er det de enkelte departementenesansvar å vurdere innretningen på responsmiljø-ene, basert på egne risikovurderinger. I dag er detetablert fem sektorvise responsmiljøer: UNI-NETT CERT, Avdeling for beskyttelse av kritiskinfrastruktur (BKI, for Forsvaret), HelseCSIRT,FinansCERT og KraftCERT. Det planlegges å eta-blere en Nkom CSIRT. Disse er nærmere beskre-vet i del III «Sårbarheter i kritiske samfunnsfunk-sjoner». Høsten 2016 er det planlagt gjennomførten nasjonal IKT-øvelse der disse responsmiljøeneinngår, og der de vil få grunnopplæring og mulig-het til å teste i praksis egen og andres håndte-ringskapasitet.

Behovet for en kommune-CSIRT er utredet avNorSIS i samarbeid med Lillehammer og Gjøvikkommune. Arbeidsgruppen har anbefalt at detopprettes en kommune-CSIRT. Sluttrapporten blei oktober 2015 overlevert til Lillehammer og Gjø-vik kommuner for videre behandling.

Justis- og beredskapsdepartementet besluttet i2011 å opprette en CSIRT i justissektoren. Justis-CSIRT er lagt til IKT-avdelingen i Politidirektora-tet. Politidirektoratet mener at arbeidet medCSIRT i Justissektoren må evalueres, da den girveldig begrenset effekt i dag.

Det er ikke etablert et felles responsmiljø fordepartementsfellesskapet. Departementenes sik-kerhets- og serviceorganisasjon (DSS) drifterIKT-systemer for 11 departementer, og har derforet primæransvar for teknisk og operativ hendel-seshåndtering på vegne av disse departementene.De øvrige departementene har egne håndterings-kapasiteter. Utvalget er kjent med at det pågår etarbeid mellom departementene der eventuelleendringer i organisering vurderes.

Som det fremgår av navnene, benyttes bådeCERT og CSIRT blant håndteringsmiljøene.CERT står for «Computer Emergency ResponseTeam» og CSIRT for «Computer Security IncidentResponse Team». ISAC er et relatert begrep, somstår for «Information Sharing and Analysis Cen-ter».

21.2.3 Politiet, PST og påtalemyndigheten

Politiets oppgaver er beskrevet i politilovens § 2:Politiet skal «beskytte person, eiendom og fellesgoderog verne om all lovlig virksomhet, opprettholde denoffentlige orden og sikkerhet og enten alene ellersammen med andre myndigheter verne mot alt som

truer den alminnelige tryggheten i samfunnet».Politiet skal forebygge, avdekke og stanse krimi-nell virksomhet, samt forfølge straffbare forhold isamsvar med regler gitt i eller i medhold av lov.Av dette følger politiets ansvar for forebygging ogbekjempelse av IKT-kriminalitet.

Politidirektoratet er underlagt Justis- og bered-skapsdepartementet, og er etatsleder for politiet.Politidirektoratet leder den forebyggende ogavvergende virksomheten regulert i politiloven.Politidirektoratet har ansvar for faglig ledelse, sty-ring, fordeling av ressurser, resultatoppfølging ogutvikling av norsk politi dvs. alle politidistrikteneog politiets særorganer foruten politiets sikker-hetstjeneste (PST). Politiets primære innsats motIKT-kriminalitet ivaretas av de 27 politidistriktene.

KRIPOS er et særorgan med nasjonalt ansvarfor bekjempelse av organisert og annen alvorligkriminalitet, og politiets internasjonale kontakt-punkt. Arbeidsområdene omfatter forebygging,taktisk og teknisk etterforskning, metodeutvik-ling, påtale og kriminaletterretning. Avgjørelsenom hvorvidt enheten skal etterforske alvorligIKT-kriminalitet, er regulert i påtaleinstruksen§ 37-3 og besluttes av sjef Kripos eller assis-terende sjef.

ØKOKRIM er et særorgan i politiet med nasjo-nalt ansvar for etterforskning og påtale av økono-misk kriminalitet og miljøkriminalitet. Særorganeter også et statsadvokatembete underlagt Riksad-vokaten.

Politihøgskolen (PHS) er den sentrale utdan-ningsinstitusjonen for politiog lensmannsetaten.

Politiets sikkerhetstjeneste (PST) har ansvaretfor å forebygge og etterforske straffbarehandlinger mot rikets sikkerhet, herunderavdekke ulovlig etterretningsvirksomhet (spiona-sje) og forebygge terror og sabotasje. PSTsansvar omfatter også det å gi trusselvurderingerog sikkerhetsråd. PST er direkte underlagt Justis-og beredskapsdepartementet og står i en særstil-ling i politiet med både en sentral enhet og lokaleenheter i politidistriktene. PST samarbeider medNSM og Etterretningstjenesten i Cyberkoordine-ringsgruppen (CKG), se tidligere omtale av NSM.

Den høyere påtalemyndigheten har det overord-nede faglige ansvaret for straffesaksbehandlingeni politiet og påtalemyndigheten, og omfatter Riks-advokaten, alle statsadvokatembetene, Det nasjo-nale statsadvokatembetet (NAST) og Økokrim.NAST har det overordnede påtalemessige ansva-ret for saker som blir etterforsket av Kripos ogPST.


21.2.4 Forsvaret

Etterretningstjenestens (E-tjenesten) oppgaver ogansvar er regulert ved lov:

«Etterretningstjenestens hovedoppgave er åinnhente, bearbeide og analysere informasjonom andre lands politiske og samfunnsmessigeutvikling, intensjoner og militære styrker, somkan utgjøre en reell eller potensiell risiko.»

E-tjenesten skal bidra til norske myndighetersevne til å forebygge, avverge og håndtere episo-der, kriser og væpnet konflikt og har ansvar for entidligst mulig varsling av forstyrrelser, kompro-mittering og manipulering av IKT-systemer somkan ramme rikets selvstendighet, sikkerhet ogandre nasjonale interesser. E-tjenesten følger pri-mært fremmedstatlige aktører som utfører etter-retningsoperasjoner eller kan tenkes å brukeoffensive cyberkapabiliteter i en sikkerhetspoli-tisk konflikt.

Cyberforsvaret har til oppgave å sikre, drifte ogbeskytte Forsvarets egne datasystemer og kom-munikasjonsnettverk. I tillegg leverer Cyberfor-svaret infrastruktur og tjenester til deler av stats-forvaltningen og andre aktører med sikkerhets-og beredskapsbehov. Støtte til det sivile samfun-net kan også innebære bruk av Forsvarets materi-ell og utstyr, personell og kompetanse i særskiltesituasjoner der sivile myndigheters ressurser ikkestrekker til og Forsvarets kapabiliteter er rele-vante. Cyberforsvaret har en egen CERT-funk-sjon, kalt Forsvarets senter for beskyttelse av kri-tisk infrastruktur (BKI).14

Felles kontraterrorsenter (FKTS) ble opprettetav Justis- og beredskapsdepartementet og For-svarsdepartementet i 2013, etter anbefalinger fra22. juli-kommisjonen.15 Senteret arbeider hoved-sakelig med problemstillinger av både nasjonaleog internasjonale dimensjoner, der informasjonfra begge tjenestene er nødvendig for å danne ethelhetlig bilde. Senteret har tre hovedoppgaver: åivareta rettidig relevant informasjonsutvekslingmellom tjenestene, å koordinere og tilretteleggefor et effektivt operativt samarbeid og å utarbeideanalyser av terrortrusler i og mot Norge. I Uten-riksdepartementets stortingsmelding om globalesikkerhetsutfordringer i utenrikspolitikken blir

det uttrykt at regjeringen vil videreutvikle Felleskontraterrorsenter.16

21.2.5 Andre aktørers ansvar

Direktoratet for samfunnssikkerhet og beredskap(DSB) skal under kriser støtte Justis- og bered-skapsdepartementet (JD) i deres samordnings-rolle. DSBs rolle i håndtering av IKT-kriser erknyttet til rollen som samordner, ved at DSB vedstørre hendelser samordner informasjon fra lokaltog regionalt nivå, samt direktoratsnivå. DSBbidrar gjennom dette til en felles situasjonsforstå-else for Kriserådet og JD. De prinsippene, loveneog forskriftene som gjelder for styring og krisele-delse for det regionale nivået, er også gjeldendefor håndtering av IKT-hendelser. En nærmerebeskrivelse er gitt i kapittel 20 «Styring og krisele-delse».

Næringslivets Sikkerhetsråd (NSR) er en med-lemsorganisasjon og nettverksarena opprettet avde sentrale arbeidsgiverorganisasjonene med for-mål å bekjempe kriminalitet i og mot næringslivet.NSR står bak Mørketallsundersøkelsen, som kart-legger omfanget av IKT-kriminalitet og IKT-sik-kerhetshendelser. Det er inngått en samarbeids-avtale mellom NSR og Kripos for å styrke samar-beidet om å bekjempe organisert og annen alvor-lig kriminalitet i og mot næringslivet.

Norsk senter for informasjonssikring (NorSIS)gir råd til virksomheter ved hendelser, ofte etterhenvisning fra NSM eller NSR. NorSIS er også ensentral aktør for bistand til enkeltmennesker gjen-nom tjenestene slettmeg.no og idtyveri.info. Slett-meg.no er en rådgivnings- og veiledningstjenestefor de som føler seg krenket på nettet. Idty-veri.info er en nettside som gir informasjon omhvordan man beskytter seg mot identitetstyveri,og hva man skal gjøre dersom man blir utsatt fordet.

Det finnes også en rekke andre aktører, samtinternasjonale samarbeidsarenaer. En sammen-stilling av de mest sentrale er gitt i kapittel 10«Folkerett og internasjonalt samarbeid».

21.3 Håndteringskjeden ved tilsiktede hendelser

Utvalget har valgt å benytte begrepet håndterings-kjeden som en betegnelse for de aktivitetene som

14 I Fagmilitært råd fra 2015 er det foreslått navneendring tilMilCERT.

15 Beslutning om opprettelsen ble gitt i Meld. St. 21 (2012–2013) Terrorberedskap, som var Stortingets oppfølging avNOU 2012: 14 Rapport fra 22. juli-kommisjonen.

16 Meld. St. 37 (2014–2015) Globale sikkerhetsutfordringer iutenrikspolitikken – Terrorisme, organisert kriminalitet,piratvirksomhet og sikkerhetsutfordringer i det digitale rom.


er nødvendige i forkant, under og i etterkant av enuønsket hendelse. Vår beskrivelse er strukturertetter temaene forebygge og forberede, avdekke,håndtere og etterforske.

21.3.1 Forebygge og forberede

Med forebygging og forberede menes samfunnetsaktiviteter i forkant av at hendelser inntreffer, forå redusere risiko for alvorlige IKT-hendelser, her-under IKT-kriminalitet, samt planverk og andreplanleggingsaktiviteter for å begrense skadevirk-ningene dersom hendelsen likevel inntreffer.

De ulike aktørenes forebyggende tiltak ogegenberedskap er avgjørende i arbeidet med åavverge digitale angrep. IKT-sikkerhet er først ogfremst et virksomhetsansvar. Eieren av virksomhe-ten, som har ansvar for IKT-sikkerheten undernormale forhold, har også ansvaret i en krisesitua-sjon.17 Virksomheter løser ofte disse oppgaveneulikt, avhengig av virksomhetens størrelse.Enkelte virksomheter har egne responsteam somaktivt håndterer sikkerhetshendelser. De flestevirksomheter, særlig små, kjøper ofte tjenester,som overvåkingstjenester og analysekapasitet, fraeksterne drifts- og sikkerhetsleverandører. Seogså punkt 23.7 «Utkontraktering og skytjenes-ter».

Beredskapsplanverk. Både for virksomheteneog for nasjonal sikkerhet er et godt beredskaps-planverk avgjørende. En beskrivelse av det nasjo-nale beredskapssystemet er gitt i kapittel 20 «Sty-ring og kriseledelse».

Felles IKT-trusselbilde. Beslutningstakere påalle nivåer i både det private og det offentlige måha tilstrekkelig informasjon om IKT-trusselbildet,slik at de kan ta gode og begrunnede beslutnin-ger. I dag formidler ulike aktører deler av IKT-trusselbildet. PST og Etterretningstjenesten for-midler informasjon om trusselbildet gjennomårlige trussel- og risikovurderinger. NSM utgirårlig rapportene Risiko og Helhetlig IKT-risiko-bilde, i tillegg til kvartalsrapporter. DSB utgir årligNasjonalt risikobilde (NRB). I tillegg utgir Kriposen årlig trendrapport om organisert kriminalitetsom omhandler IKT-kriminalitet. NæringslivetsSikkerhetsråd gir gjennom Mørketallsundersøkel-sen en overordnet oversikt over registrertanmeldt IKT-kriminalitet til politiet, rapporterin-ger til NSM og registrerte angrep håndtert av sik-

kerhetsleverandører. Det utgis også sektorviserapporter om risikobildet, blant annet fra deenkelte sektorvise CERT-miljøene, sikkerhetsle-verandører og enkelte IKT-leverandører. Konsu-lentselskaper og nasjonal og internasjonal pressehar også en sentral rolle i å formidle informasjonom situasjonsbildet.

Sårbarhetskartlegging og inntrengingstesting ersentrale forebyggende verktøy i alle virksomhe-ter. Inntrengingstesting vil kunne bidra til merrobuste tekniske løsninger for operativ bruk.NSM har gjennom inntrengingstesting avdekketalvorlige sårbarheter innen en lang rekke sam-funnssektorer. Sårbarhetskartlegging er en tje-neste som blant annet består i regelmessig kart-legging av utvalgte IP-adresser som er tilgjenge-lige på Internett, og det er mange nasjonale oginternasjonale leverandører som tilbyr slike tje-nester. NSM lanserte i 2014 en tjeneste for sårbar-hetskartlegging kalt Allvis NOR. Dette er en tje-neste NSM tilbyr for å bedre sikkerheten i norskevirksomheter som er underlagt sikkerhetsloven.

Rapporterings- og informasjonsdelingsrutiner.Enkelte sektorer stiller krav om rapportering avhendelser. Det finnes i dag ingen entydig katego-risering eller samlet oversikt over typer rapporte-ring. For virksomheter som er underlagt sikker-hetsloven, er det krav om å rapportere sikkerhets-truende hendelser til NSM. Ved en eventuellimplementering av det kommende NIS-direktivet iNorge er det ventet tydeligere krav til rapporte-ring. For mer informasjon om NIS-direktivet sepunkt 10.6.1.

Nasjonale myndigheter er helt avhengige av atprivate virksomheter deler informasjon omangrep de blir utsatt for, sårbarheter som avdek-kes, og så videre, for å ha et riktig risikobilde ogprioritere sine ressurser riktig. Tilsvarende tren-ger private aktører risikoinformasjon fra myndig-hetene for å prioritere sine tiltak og bygge oppsine kapasiteter hensiktsmessig.

God forebygging forutsetter et tett og tillits-fullt offentlig–privat samarbeid. Flere tiltak eriverksatt for å styrke det forebyggende kriminali-tetsarbeidet i næringslivet. Blant annet er detbesluttet opprettet næringslivskontakter i NSM,Kripos, og i flere politidistrikt. NSR har vært enpådriver for dette arbeidet.

NSMs forebyggende arbeid. NSM utøver enrekke forebyggende myndighetsoppgaver ettersikkerhetsloven, som godkjenning av sikkerhets-graderte informasjonssystemer, sertifisering avinformasjonssystemer, inntrengingstesting avinformasjonssystemer og utvikling og godkjen-ning av kryptosystemer. Emisjonssikkerhetsun-

17 Fornyings- og administrasjonsdepartementet, Samferdsels-departementet, Justis- og beredskapsdepartementet ogForsvarsdepartementet (2012): Nasjonal strategi for infor-masjonssikkerhet.


dersøkelser søker blant annet å avdekke uønsketelektromagnetisk stråling, som blant annet kanmedføre uønsket informasjonslekkasje fra IKT-utstyr.

Politiet og PSTs kriminalitetsforebygging. Fore-bygging av kriminalitet er en av politiets mest sen-trale samfunnsoppgaver. Kjent fra media erSnapchatsaken der bilder ble stjålet og distribuertpå diverse fildelingsnettverk i 2014. Politiet bruktei denne saken flere virkemidler, blant annet tilste-deværelse på Internett, for å informere om alvor-ligheten og på den måten begrense skadeomfan-get. Politiet har også i samarbeid med banker job-bet med å stoppe nye forsøk på bankran ved ågripe tidlig inn i prosessen der kriminelle forbere-der skadevare rettet mot nettbankportalene.

For effektiv forebygging av IKT-kriminalitethar politiet og PST behov for gode kilder til infor-masjon og egen analysekapasitet. PST prioritererforebygging og avverging høyt av hensyn til alvor-lighetsgraden av hendelser innenfor sitt ansvars-område, og har derfor utstrakt deling av sikker-hetsgradert etterretning med andre EOS-tjenes-ter internasjonalt. Etterretning skal kunne under-støtte alle politiets oppgaver. Politiets etterret-ningsdoktrine ble utgitt i 2014, og er rammeverketfor denne virksomheten.

Både politiet og PST har sett behov for egentilstedeværelse og innhenting av informasjon viaInternett. Politiarbeid på Internett omfatter etter-forskning, forebyggende arbeid og etterretningbasert på informasjon fra Internett.18 Kriposarbeider med et konsept for åpen og skjult tilste-deværelse på Internett.

21.3.2 Avdekke

Med avdekking mener utvalget aktiviteter som hartil hensikt å oppdage IKT-hendelser. Avdekkingenkan være manuell eller automatisk, underveiseller i etterkant av hendelsen. Avdekkingen skjerpå flere nivåer i samfunnet, og bygger på effektivvarsling og rapportering. Avdekking kan inne-bære evne til å avdekke alvorlig kriminell virk-somhet, herunder virksomhet som kan true Nor-ges eller andre lands sikkerhet, samt evne til åavdekke og varsle alvorlige angrep på kritiskinfrastruktur og informasjon.

Digitale angrep kan deles i ulike faser, fra tid-lig rekognosering til målet for angrepet er opp-nådd. Det er dermed mange steg i prosessen

angrep kan oppdages på. Angriperen må, basertpå kjennskap til målet, skaffe seg tilgang, foreksempel ved å sende infiserte e-postvedlegg ellerutnytte programmeringssårbarheter i nettverkstil-koblede tjenester. Angrepet kan videre oppdagessom unormal aktivitet i og mellom IKT-utstyr, idetangriperen manøvrerer seg inn i det lokale nett-verket, utfører endringer eller kopierer informa-sjon ut av nettverket.

Den nasjonale evnen til å avdekke tilsiktedeIKT-hendelser avhenger av både virksomhetenesog myndighetenes evne til å avdekke. Resultatetav deres kapasiteter vil danne grunnlag for et situ-asjonsbilde, til hjelp for de ulike aktørene. En for-utsetning for effektiv avdekking er god og effektivinformasjonsdeling.

Virksomhetenes avdekking. Mange virksomhe-ter benytter automatiske deteksjonsmekanismersom i stor grad er basert på signaturer. Det forut-setter at angrepsmetoden er kjent, og krever myemanuelt arbeid fra teknisk kompetente ressurser.Deteksjonsmekanismene er avhengige av konti-nuerlig oppdatering for at de skal fungere hen-siktsmessig. Det finnes også deteksjonsmekanis-mer som baserer seg på analyse og varsling avunormal oppførsel i systemene. Logging er et vik-tig hjelpemiddel, både for å finne kilden til inn-brudd og andre uønskede hendelser i IKT-systemer etter at hendelser har inntruffet. Mørke-tallsundersøkelsen har gjennom flere år vist atflere virksomheter ikke logger eller gjennomgårloggene sine.

En del virksomheter monitorerer interne nettog systemer selv eller gjennom leverandører avdenne typen tjenester. Virksomhetens størrelsehar ofte betydning for evnen til å avdekke digitaleangrep. Mange leverandører av denne typen tje-nester driver døgnkontinuerlig monitorering.

DNS-tjenesten19 NSM NorCERT tilbyr, larvirksomheter rute sine DNS-oppslag gjennomNSMs systemer. NSM oppdaterer disse med blok-keringsregler, basert på hendelser, og kan på denmåten stoppe og begrense uønsket trafikk, foreksempel skadelige nettsider som sprer ondsin-net kode (vannhullsangrep) og infiserte e-post-vedlegg som forsøker å opprette kontakt med etkommando-kontrollnettverk.

Enkelte sektorvise responsmiljøer har etablertegne deteksjonsmekanismer. Justis- og bered-skapsdepartementet har anbefalt at responsmiljø-


19 DNS (Domain Name System) er navnetjenerstandardensom brukes for å oversette mellom menneskelig lesbaredomenenavn og de tekniske IP-adressene som brukes idatakommunikasjon.


ene selv vurderer hvorvidt det er hensiktsmessigå besitte denne kompetanse internt, innhente deneksternt, for eksempel ved avtale med en kom-mersiell sikkerhetsleverandør, og/eller etablereen felles kapasitet for flere sektorvise responsmil-jøer.20

Forskningsmiljøers, sikkerhetsmiljøers og frivil-lige organisasjoners avdekking. Kommersielle sik-kerhetsmiljøer og forskningsmiljøer står bakstore deler av de mekanismene verdenssamfunnethar for å oppdage nye uønskede IKT-hendelser.Dette skjer blant annet ved at nye sårbarheteroppdages og analyseres, slik at automatiskedeteksjonsmekanismer kan fange opp forsøk påutnyttelse. Det finnes også en rekke frivilligeorganisasjoner som har vist seg å ha en viktigrolle. Underworld bisto norsk og utenlandsk politimed å avdekke bakmennene bak banktrojanerenSpyEye, og driver automatisert oppdagelse avskjult skadevare på internettsider.21 Shadowser-ver bidro til stengingen av skadevareinfrastruktu-ren bak Gameover Zeus ved å innhente, analysereog videreformidle informasjon i sitt globale nett-verk av tjenestetilbydere og håndteringsteam.

Samarbeidet i CKG er sentralt i arbeidet med åavdekke digitale angrep blant annet knyttet tilrikets sikkerhet. For å kunne oppdage, varsle oghåndtere utenlandske trusler som terror, spiona-sje og digitale angrep trengs det ifølge Etterret-ningstjenesten å kunne følge med på relevantInternett-trafikk som går via kabler.

Varslingssystem for digital infrastruktur (VDI) iNSM har til hensikt å gi myndighetene varsel omkoordinerte og alvorlige dataangrep mot sam-funnskritisk infrastruktur eller andre viktige sam-funnsfunksjoner. Norge var tidlig ute med dettekonseptet. Mange land ser til Norge som et fore-gangsland i måten private virksomheter er blittinkludert i arbeidet på.

VDI-sensornettet har et signatursett som erutviklet basert på tidligere hendelser og annenkjent aktørinformasjon. Det er ingen krav om atvirksomheter må delta i VDI-samarbeidet. VDI erdelfinansiert av deltagerne – hver deltager dekkerkostnaden for egen sensor, mens NSM finansierersentral infrastruktur samt utvikling og forvalt-ning. Samarbeidet er regulert gjennom egne avta-ler mellom NSM NorCERT og den enkelte virk-

somheten. Virksomhetene eier selv informasjonfra egne sensorer, og har kontroll over hvordanden brukes.

Flere andre lands nasjonale responsmiljøerhar etablert to parallelle spor når det er avdekketet angrep – ett etterretnings-/EOS-spor og ettsamfunnssikkerhetsspor. Grunnen til at det er sliker det naturlige spenningsfeltet mellom rikets sik-kerhet med stor grad av gradert informasjon ogdelingsbegrensninger, og samfunnets øvrigebehov for åpenhet og informasjonsdeling.

21.3.3 Håndtere

Med håndtering mener utvalget aktiviteter somanalyserer årsaker, begrenser skade og gjenopp-retter drift av tjenestene. På et overordnet nivåbestår håndteringen i å se hendelser i sammen-heng, dele informasjon og kunnskap om hendel-ser, samt prioritere og koordinere samfunnets inn-sats. Håndteringen skjer på flere nivåer i samfun-net, for eksempel i den enkelte virksomhet, i poli-tiet eller ved NSM NorCERT.

Støtte til håndtering av hendelser. Større selska-per velger å bygge opp egne miljøer, enten internti virksomheten, gjennom sektorvise responsmil-jøer eller begge deler. De sektorvise responsmil-jøene har en viktig rolle i å binde disse miljøenesammen og koordinere aktiviteten innad i sekto-ren. Mindre selskaper har ofte avtaler om støtte tilhendelser som del av kontrakten med driftsleve-randøren. NSM legger til grunn at de ulike sektor-vise responsmiljøene vil løse oppdraget sitt slikdet er beskrevet i Nasjonal strategi for informa-sjonssikkerhet. NSM fokuserer på de mest alvor-lige målrettede angrepene, samt angrep som harpotensial til å ramme tverrsektorielt. NSM menerderfor det vil være behov for en styrking av kapa-siteten i NSM NorCERT for å holde tritt medøkningen og utviklingen av digitale angrep.

Hendelseshåndtering og varsling. Ifølge NSMavdekket NSM NorCERT i 2014 88 alvorligeangrep mot norske bedrifter og myndigheter, sepunkt 7.2 «Tilsiktede IKT-hendelser». Når sakermeldes inn til NSM NorCERT, gjøres det en vur-dering og prioritering i operasjonssenteret.Enkelte saker diskuteres også i Cyberkoordine-ringsgruppen (CKG). CKG legger ikke føringerpå NSM NorCERTs prioriteringer, men diskusjo-nene kan gi et bredere bilde av trusselen. Manfordeler også ansvar for saker som berører alle tretjenesters ansvarsområde. De viktigste kriterienefor prioritering er potensielle konsekvenser ogomfanget av hendelsen.

20 Justis- og beredskapsdepartementet (2014): Modell forhåndtering av IKT-sikkerhetshendelser – anbefalinger og ret-ningslinjer.

21 Slik skadevare er ofte henvist til som «drive by malware»eller «vannhullsangrep», der skadelig programvare blirplassert på populære Internett-sider og installert i bakgrun-nen uten at brukeren oppdager det.


Teknisk analyse av skadevare. Analyseevnen iNorge er delt mellom offentlige enheter (særligNSM, Forsvaret og politiet) og private (enkeltevirksomheter, driftsleverandører og kommersiellesikkerhetsleverandører). Enkelte driftsleverandø-rer leverer tjenester innenfor analyse som del avsitt tjenestetilbud, i hovedsak logganalyse. Hoved-vekten av analysekapasitet på leverandørsiden iNorge ligger hos mer dedikerte sikkerhetsleve-randører. Teknisk analyse kan for eksempel inne-bære analyse av skadelig kode (reverse engine-ering), mistenkte infiserte maskiner (digital foren-sics) og logganalyse for avdekking og etterforsk-ning. NSM NorCERT bistår innen sitt ansvars-område med både koordinering av hendelser ogteknisk analyse av maskiner, skadelig kode og log-ger. Evnen til analyse avhenger av en rekke for-hold, som blant annet kapasiteten hos de ulikeaktørene, kompetansen og tilgjengelige verktøy.Resultatet av slike analyser kan være svært viktigfor effektiviteten i håndteringen av et digitaltangrep.

Politiets rolle ved håndtering av IKT-hendelser.Politiloven § 2 beskriver politiets primæroppga-ver. I politiloven §§ 7 og 27 er politiet gitt omfat-tende fullmakter for å kunne ivareta disse opp-gavene. Politiloven § 27 pålegger politiet å iverk-sette nødvendige tiltak for å avverge fare ogbegrense skade i forbindelse med alle ulykkes−og katastrofesituasjoner, og fastsetter at politiethar et akutt, sektorovergripende ansvar for åhåndtere ulykker og katastrofer i fred på alle sam-funnsområder. Ved en hendelse er politiet vedpolitimesteren i en akuttfase gitt myndighet til åfatte beslutninger på andre myndigheters ansvars-område frem til ansvaret overtas av ansvarligmyndighet i henhold til ansvarsprinsippet.

21.3.4 Etterforske

Straffesakskjeden omfatter politiet og påtalemyn-dighetens arbeid med å forebygge, oppdage, etter-forske og påtale kriminalitet, samt domstolenesiretteføring og kriminalomsorgens straffegjen-nomføring og tilbakeføring til samfunnet etterendt soning. Utvalget begrenser sin omtale til ågjelde kun den delen av straffesakskjeden som erknyttet til politi og påtalemyndighetenes arbeid.

Med å etterforske legger utvalget til grunn deaktiviteter politiet og PST utfører for å avklare omet straffbart forhold finner eller har funnet sted.Det er bare politiet og påtalemyndigheten somkan etterforske og påtale. Øvrige aktører kan vedbehov bistå på etterforskningsstadiet. Arbeidet

fordrer et tett samarbeid mellom private og offent-lige aktører, både nasjonalt og internasjonalt.

Kompleksiteten ved IKT-kriminalitet. Etterfors-kning av IKT-kriminalitetssaker er svært ressur-skrevende og krever ofte spesialisering og etutstrakt internasjonalt samarbeid.22 Et gjennom-gående trekk er at etterforskning har spor tilutlandet, både til antatte bakmenn og medvirkere,men også flere fornærmede. I situasjoner der poli-tiet ønsker å få utlevert informasjon fra utlandet,er tidsaspektet kritisk og sporing ofte vanskelig.Én av årsakene er ifølge Kripos at norske Inter-nett-tilbyderes logger over hvem som kommuni-serte med en IP-adresse, blir slettet tidlig i etter-forskningsprosessen. IKT-kriminaliteten somavdekkes i Norge, er i mange tilfeller bare et liteledd i et større organisert nettverk. Kriminellesbruk av blant annet kryptering og fiktiv identitetgjør etterforskningen særlig krevende.

Kapasitet i politiet. I 2012 gjennomførte politieten kartlegging av politidistriktenes og særorgane-nes arbeid med IKT-kriminalitet, elektroniskespor og politiet på nett.23 Samtlige politidistrikteropplyste i kartleggingen at IKT-kriminalitet i litengrad ble anmeldt, at mørketallene var store, og atsakene i stor grad ble henlagt. Av mindre alvorligesaker ble flere henvist til NorSIS’ slettmeg-tje-neste. IKT-kriminalitet ble etterforsket av politi-distriktene ved tradisjonelle etterforskningsmeto-der, herunder avhør og bruk av IKT-tekniskeundersøkelser. Tilstedeværelsen på Internett varikke god nok. Enkelte politidistrikter etterforsketdatainnbrudd mot private virksomheter, men komi liten grad i mål med sakene. Årsaken var oftemanglende ressurser og begrenset tilgang påbistand fra Kripos.24 Ressursene til IKT-tekniskeundersøkelser varierte fra ingen til tre IKT-etter-forskere per distrikt.25 26 Denne begrensedekapasiteten førte til at elektroniske spor kun blebrukt i de mest alvorlige straffesakene.

Kripos har flere seksjoner relatert til IKT-kri-minalitet med i underkant av 70 ansatte. De flestejobber med elektroniske spor og tilstedeværelsepå Internett. Kripos’ kapasitet til å etterforske

22 Meld. St. 7 (2010–2011) Kampen mot organisert kriminali-tet – en felles innsats.

23 Politidirektoratet (2012): Politiet i det digitale samfunnet -En arbeidsgrupperapport om: elektroniske spor, IKT-krimina-litet og politiarbeid på Internett.

24 Ibid.25 En IKT-etterforsker er en politifaglig eller sivil etterforsker

som jobber med IKT-tekniske undersøkelser.26 Politidirektoratet (2012): Politiet i det digitale samfunnet -

En arbeidsgrupperapport om: elektroniske spor, IKT-krimina-litet og politiarbeid på Internett.


IKT-kriminalitet var i 2012 på mellom tre og femsakskomplekser i året.

Av politidistriktene er det bare Oslo politidis-trikt som har tilstrekkelig sakstilfang og kompe-tanse til å møte dagens utfordringer knyttet tilIKT-kriminalitet. Distriktet har på grunn av sak-stilfanget en sentral rolle når det gjelder å hånd-tere straffesaker i Norge, også innen IKT-krimina-litet. Distriktet har en egen enhet for datakrimina-litet med i overkant av 20 ansatte. Enheten jobberprimært med å tilrettelegge for sikring av elektro-niske spor i alle typer straffesaker i politidistriktet.

Utvalget observerer at hovedressursen i poli-tiet innenfor etterforskning primært brukes tilsikring av elektroniske spor og ikke til etterfors-kning av IKT-kriminalitetssaker.

Nærpolitireformen tar for seg politiog lens-mannsetatens struktur, oppgaveportefølje ogansvarsdeling fremover. Dagens 27 distrikter skalreduseres til 12. Nå som politidistriktinndelingener fastsatt, skal organiseringen av særorganeneutredes.

21.4 Hindre for effektivt samarbeid

Det ser ut til å være flere forhold som er til hinderfor effektivt samarbeid og informasjonsdelingmellom myndighetsaktører og private aktører.Dette innebærer uklarheter knyttet til roller ogansvar, en utilstrekkelig samarbeids- ogdelingskultur, manglende verktøy for utvekslingav sensitiv og gradert informasjon. Mangelfullgjennomføring og evaluering av øvelser vil væreet hinder for effektiv samhandling. Dette er drøf-tet i kapittel 20 «Styring og kriseledelse».

Utvalget merker seg at retningslinjene foråpenhet rundt IKT-hendelser kun omtaler infor-masjonsflyten fra virksomheter til myndigheteneog ikke behovet for åpenhet fra myndighetenesside.

21.4.1 Utfordringer knyttet til roller og ansvar

Tradisjonell ansvarsdeling mellom etatene byggerpå den forutsetningen at man allerede vet hvemsom står bak en hendelse. Denne forutsetningener svært ofte ikke til stede tidsnok ved digitaleangrep. En ytterligere utfordring er at organise-ring gjerne er knyttet til geografisk nærhet til hen-delsen ved tradisjonelle kriser og hendelser i sam-funnet. Ved digitale angrep er geografisk nærhetofte irrelevant. Utvalget har observert en rekkeutfordringer sett fra aktørenes forskjellige ståste-

der. Én av disse er knyttet til politiets manglendetilstedeværelse under håndtering av hendelser.Politidirektoratet peker på at det i initialfasen av etangrep er grunnleggende utfordringer med åidentifisere hvem som står bak angrepet, og hvaformålet er – om det er IKT-kriminalitet, spiona-sje, sabotasje eller terror. POD mener dette utfor-drer arbeidsfordelingen mellom ulike myndig-hetsorganer på området. Kripos viser til at sakerofte blir liggende til vurdering hos CKG (og/ellerPST) i såpass lang tid at de ikke er egnet til etter-forskning når politiet får kjennskap til dem.

For virksomheter og leverandører er det ofteuklart hvem de skal forholde seg til på myndig-hetssiden. Utvalget er kjent med flere hendelserder det har vært usikkerhet knyttet til hvor manskal anmelde forholdet. En annen bekymring fraPolitidirektoratet er at politiet ikke i tilstrekkeliggrad får delta i det arbeidet som i dag skjer i NSMNorCERT og CKG-samarbeidet. En av begrunnel-sene fra NSM har vært at NSM NorCERTs samar-beidspartnere ikke ønsker at deres informasjonskal tilflyte politiet, som kan åpne etterforskningav saken.

Straffeprosessloven § 224 regulerer når poli-tiet åpner etterforskning ved anmeldelse eller derandre omstendigheter tilsier at det er rimeliggrunn til å undersøke om det foreligger et straff-bart forhold. Avgjørelsen beror på en skjønnsmes-sig vurdering av blant annet alvorligheten, omfan-get av etterforskningen og bruken av ressurser.For IKT-kriminalitet kan ofte muligheten for åoppklare være liten, noe som kan gi grunnlag for åunnlate å åpne etterforskning. Det vises også tildet alminnelige opportunitetsprinsippet i straffe-prosessloven § 69 for påtalemyndigheten, som girpåtalemyndigheten en viss adgang til å unnlate åpåtale handlinger av særlige grunner. Det er såle-des viktig å tydeliggjøre alternativene regelverketgir til å åpne etterforskning.

Dagens avtaler mellom NSM og VDI-partnereog medlemmer legger formålsbegrensninger påbruk av VDI-informasjon. Denne informasjonenkan bare benyttes til håndtering av alvorlige IKT-hendelser. Det følger videre av avtalene at infor-masjonen ikke kan deles med tredjeparter uten atvirksomheten har samtykket. Unntaket fra detteer deling med de øvrige EOS-tjenestene innenforrammen av NSM NorCERTs formål. NSM uttryk-ker bekymring for at informasjonsdeling med poli-tiet vil kunne sette en stopper for VDI-samarbei-det hvis prinsippet om VDI-partnerens eierskap tilinformasjonen undergraves. NSM anbefaler imid-lertid virksomhetene systematisk å anmelde even-


tuelle straffbare forhold som avdekkes gjennomVDI-samarbeidet.

Det er uklart for utvalget om bekymringenrundt mulig informasjonsflyt til politiet kanbekreftes av NSM NorCERTs samarbeidspart-nere. Uklarheter av en slik karakter kan medføreat aktørene selv håndterer hendelser som burdeblitt overført til en annen etat eller et sektorvisresponsmiljø.

Ressursgruppen opplever at det ikke er enty-dig hvem som har beslutningsmyndighet til åiverksette tiltak, dersom det oppstår interessekon-flikter mellom aktører under håndtering av hen-delser. Det kan eksempelvis være motsetningsfor-hold mellom en virksomhet/sektors interesser ogNSM NorCERTs interesser, eller mellom en virk-somhet/sektors interesser og øvrige myndighetermed særlig ansvar for sikkerhet. NSM viser til atdet på dette området eksisterer et sivilt bered-skapsplanverk som gir ulike aktører ulike fullmak-ter i det øvre spekteret av krisehåndtering. Videreviser NSM til at det i det lavere spekteret av krise-håndtering ligger et lovforslag til behandling i Jus-tis- og beredskapsdepartementet som blant annetinneholder forslag til myndighet og fullmakter tillogging av data ved håndtering av hendelser.

Flertallet av hendelser håndteres i praksis avde ulike virksomhetene som rammes. NSM Nor-CERT viser til at de bistår med håndtering avalvorlige dataangrep uten myndighet til å påleggevirksomheter å utføre utbedringer, utlevere dataeller la systemer være i drift til støtte for kartleg-gingsformål. Politiet, derimot, har i noen grad slikmyndighet i dag, hjemlet i politiloven med flere,men er i mindre grad involvert i den operativehåndteringen av digitale angrep. NSM samarbei-der innen rammen av sitt mandat løpende medPST, som kan benytte tvangsmidler.

21.4.2 Mangel på et felles operativt situasjonsbilde

Et omforent situasjonsbilde er en forutsetning forå kunne ha et enhetlig beslutningsunderlag for åstyrke evnen til å iverksette nødvendige tiltak mel-lom de involverte i en hendelse. Det er avgjørendeat enhetene som besitter denne informasjonen, ergode på kommunikasjon og informasjonsutveks-ling på taktisk nivå både internt og overforberørte virksomheter og beslutningstagere. Deter ifølge Ressursgruppen krevende for mangevirksomheter å ha nok kompetanse og kapasitet tilå ha denne forståelsen, da situasjonsbildet endresstadig hurtigere. Utfordringer knyttet til man-glende felles situasjonsbilde er uttrykt gjennom

flere utredninger. NSM har nylig uttrykt at situa-sjonsbildet knyttet til sårbarheter i viktig norskIKT-infrastruktur er avhengig av et godt samar-beid mellom myndigheter og aktuelle selskaper,og peker på utfordringene knyttet til dagens VDI idenne sammenheng.

21.4.3 Utfordringer knyttet til utveksling av gradert og sensitiv ikke-gradert informasjon på tvers av sektorer

NSM, Etterretningstjenesten og PST mottar myegradert informasjon fra andre lands samarbei-dende tjenester med distribusjonsrestriksjoner. Itillegg opplever flere aktører utfordringer innen-for utveksling av informasjon gradert etter sikker-hetsloven grunnet manglende infrastruktur og/eller at personell ikke er klarert for å motta sik-kerhetsgradert informasjon. Dette gjelder spesieltpolitiet, direktorater og private aktører. NSMmener det er en stor utfordring at få private virk-somheter er underlagt sikkerhetsloven. En av desiste erfaringene med dette var fra håndteringenav terrortrusselen sommeren 2014.

Utvalget er kjent med at Forsvarsdepartemen-tet og Justis- og beredskapsdepartementet jobbermed å implementere en løsning for lavgradertinfrastruktur mellom departementene.

21.5 Utfordringer knyttet til avdekking av sårbarheter og deteksjon av IKT-hendelser

21.5.1 Utilstrekkelig evne til å oppdage IKT-hendelser

Det er som tidligere beskrevet store forskjellernår det gjelder grad av monitorering i ulike virk-somheter og bransjer. Disse forskjellene kan haulike årsaker. Virksomheter som har vært utsattfor målrettede spionasjeangrep, synes i størregrad å ha etablert deteksjonsmekanismer somavdekker ukjente angrep, i tillegg til mer tradisjo-nelle, signaturbaserte systemer. Evne til å opp-dage handler imidlertid om mer enn bare tekno-logi. Det er krevende for virksomhetene å ha kom-petanse til å følge opp og ha forståelse for det somblir oppdaget.

For den nasjonale evnen til å avdekke hendel-ser er NSM NorCERT avhengig av informasjonfra samarbeidspartnerne og fra etterretningstje-nestene. VDI-sensorene gir NSM NorCERT viktiginformasjon. VDI-sensorenes evne til å avdekke erbegrenset av datainnsamlingen som sensoreneutfører. Sensorene forholder seg i dag hovedsake-


lig til metadata. Unntaket er at ved en VDI alarmvil sensoren lagre innholdsdata fra 2–3 IP-pakkerfor å understøtte det videre analysearbeidet. Detteer hensiktsmessig i forhold til oppdraget NSMNorCERT har, da man vil evne å avdekke digitaleangrep mot virksomheter, bare ved hjelp av meta-data. VDI-sensorene er i dag ikke satt opp til åtrigge alarmer basert på innholdsdata.

VDI-sensorene har i dag ingen mulighet til åse innholdet i trafikk som går kryptert. I fremti-den vil VDI-sensorene i noen grad kunne dekryp-tere trafikk, da man vil benytte brannmurensdekrypteringsfunksjonalitet. Dette vil være en vik-tig føring i den fremtidige VDI-strategien når detgjelder plassering av sensorer. Som beskrevet ikapittel 6 «Trender som påvirker sårbarhetsbil-det», krypterer trusselaktørene trafikken sin iøkende grad, noe som er en stor utfordring fornettverksbaserte signaturbaserte deteksjonsme-kanismer. En annen utfordring med signaturba-serte deteksjonsmekanismer er at angrepsmeto-den må være kjent før den kan oppdages.

NSM har erkjent at det er behov for flere sen-sorer, og det er i dag en lang kø av virksomhetersom ønsker sensor. Andelen virksomheter sominngår i nettverket, samt begrensninger i teknolo-gien, gjør at VDI-sensornettverket ikke dekkerbehovet for å avdekke digitale angrep mot kritiskinfrastruktur og informasjon i Norge i dag.

I et lovforslag NSM har oversendt Justis- ogberedskapsdepartementet, ligger det inne et for-slag om å pålegge ulike typer sensorer, i tillegg tilat det skal pålegges en plikt til rapportering ogsåutover sikkerhetsloven.

Som tidligere beskrevet er samarbeidet i CKGsentralt i arbeidet med å avdekke digitale angrepblant annet knyttet til rikets sikkerhet. Etterret-ningstjenesten har uttrykt at

«kommunikasjonsetterretning frembringer isærklasse mest av den type informasjon sombidrar til både å forhindre terrorhandlinger ogå oppdage den mest alvorlige skadevaren somtreffer våre vitale datanettverk».27

For å kunne oppdage, varsle og håndtere uten-landske trusler som terror, spionasje og digitaleangrep trengs det ifølge Etterretningstjenesten åkunne følge med på relevant Internett-trafikk somgår via kabler (såkalt grenseforsvar). Dennemuligheten finnes ikke i Norge i dag.

21.5.2 Varierende og tidvis motstridende krav til logging og sletting av samme informasjon

Ressursgruppen peker på områder der krav tillogging og sletting av samme form for informa-sjon underlegges ulike krav i ulike sektorlovverk.Virksomheter i enkelte sektorer har sektorregel-verk som gir rom for mange års lagringstid, mensandre sektorer har hjemler som begrenser lagringtil noen få dager. Kort lagringstid kan få konse-kvenser for de operative miljøenes håndterings-evne og for effektiv straffeforfølgning. Det kanoppleves som en utfordring at dette ikke er stan-dardisert på tvers av sektorer. For å gi lengrelagringstid kreves omfattende lovendringer. Gra-ver og Harborg har levert en utredning omdatalagring.28

Utvalget er kjent med at det foreligger forslagom å anbefale minimumslogging i ugraderte, mensensitive IKT-systemer i statlig sektor. Forslageter utarbeidet av NSM på oppdrag fra Justis- ogberedskapsdepartementet.

21.5.3 Mangelfullt grunnlag for et helhetlig IKT-trusselbilde

Det finnes ingen helhetlig statistikk over omfan-get av digitale angrep i Norge, og heller ingen hel-hetlig fremstilling av IKT-trusselbildet. Aktørerinvolvert i å avdekke, håndtere og etterforskedigitale angrep har ofte egen statistikk over sakerde er involvert i, men dette samles ikke noe sted.Politiet viser til at de har dårlig statistisk grunnlagfor IKT-kriminalitetsbildet. Enkelte sektorer stil-ler krav om rapportering av hendelser, men det eringen entydig kategorisering eller samling avdenne typen rapporter. Manglende rapporteringav IKT-hendelser begrenser vår evne til å få et fel-les og korrekt IKT-trusselbilde, og dermed evnentil å forebygge og håndtere digitale hendelser.

21.6 Kapasitets- og kompetanseutfor-dringer knyttet til håndtering av digitale angrep

21.6.1 Kompetanse- og kapasitetsutfor-dringer ved håndtering av hendelser

En rekke kapasitets- og kompetanseutfordringervil ha innvirkning på evnen til effektivt å håndtere

27 Generalløytnant Kjell Grandhagen, Sjef Etterretningstje-nesten (16. mars 2015): Foredrag i Oslo Militære Samfund«Trusler og risiki for Norge i et endret sikkerhetsbilde».

28 Graver, H. P., Harborg H. (2015): Datalagring og menneske-rettighetene – Utredning til Justis- og beredskapsdepartemen-tet og Samferdselsdepartementet.


hendelser. Som det går frem av innledende beskri-velser i punkt 21.3 «Håndteringskjeden ved tilsik-tede hendelser» har i dag mange virksomheter,særlig små og mellomstore, mindre IKT-miljøerinternt, eller IKT-løsninger som leveres av enekstern leverandør. Mange mindre IKT-miljøerhar i liten grad kompetanse til å forstå situasjons-bildet, sårbarheter, indikatorer på et angrep, og såvidere. Utvalget er kjent med at enkelte virksom-heter opplever at det er en ubalanse mellom tilbudog etterspørsel av tjenester hos NSM NorCERT.

NSM har uttrykt at det er vanskelig å rekrut-tere og holde på kompetanse, idet denne eretterspurt av flere aktører. Med styrkingen avresponsmiljøer i sektorer og virksomheter, ogmed økt vekt på sikkerhet i næringslivet, antarNSM at etterspørselen etter kompetanse vil øke itiden fremover.

21.6.2 Fragmentert analysekapasitet mellom offentlige og private aktører

Resultatet av analyser er svært viktig for å kunnehåndtere et digitalt angrep effektivt. Analysekapa-siteten i Norge er delt mellom offentlige enheter,private virksomheter, driftsleverandører, kommer-sielle sikkerhetsleverandører og frivillige organi-sasjoner. Kapasiteten til Etterretningstjenesten ogPST er av sikkerhetsmessige årsaker ikke offent-lig kjent. I større og/eller flere parallelle digitaleangrep opplever flere av virksomhetenes opera-tive miljøer at analysekapasiteten er begrenset.Manglende og forsinkede analyser kan føre til athåndteringen av en sak blir forsinket. I tilleggfører det gjerne til at beslutninger må tas på man-gelfullt eller feil grunnlag, noe som igjen kan føretil økte eller ukjente konsekvenser av hendelsen.

Effektiv analyse forutsetter inngående kjenn-skap til hvordan et system fungerer i en normalsi-tuasjon, og det kreves ulik kompetanse det ofte erknapphet på. Få virksomheter i Norge har selv til-gang på effektive verktøy for å gjennomføre analy-sen. Dette påvirker kvaliteten og tiden det tar åutføre analysen. Økokrim driver analyse blantannet innenfor kriminaletterretning basert på mis-tenkelige transaksjoner i samarbeid med finansin-stitusjoner i Norge.

21.6.3 Utfordringer knyttet til sektorvise responsmiljøer og skaleringsbehov ved større hendelser

Virksomhetene bygger opp egne responsmiljøer,enten internt i virksomheten, gjennom sektorviseresponsmiljøer eller begge deler. Det fører til min-

dre miljøer med parallelle aktiviteter som kjemperom den samme kompetansen. Dette kan i nesteomgang medføre at den totale utnyttelsen av res-sursene i Norge med kompetanse innenfor digi-tale angrep blir mindre effektiv.

NSM NorCERT har vist til at dagens modellikke er skalerbar for fremtidens utfordringer, oghar uttrykt at utviklingen av sektorvise respons-miljøer er helt nødvendig. NSM har i dag ikkekapasitet til å bistå eiere av kritisk IKT-infrastruk-tur i tilstrekkelig grad. Innenfor eksempelvis tek-nisk analyse vil imidlertid NSM NorCERT medutgangspunkt i ansvar for å håndtere nasjonaleutfordringer også kunne bistå med spisskompe-tanse der det av kapasitetshensyn ikke bør byggesopp kompetanse i hver enkelt sektor. NSM menerdet er viktig å ha fungerende tilpasset håndte-ringskompetanse i alle større sektorer, men at vier i ferd med å nå et krysningspunkt der det blirmangel på kompetanse. Det er viktig med en sterknasjonal evne, men det er også viktig å ha respektfor de faglige vurderingene og lokalkunnskapeninnenfor hver enkelt virksomhet. Politidirektora-tet er også bekymret for opprettelsen av de mangesektorvise responsmiljøene, på grunn av at det eret begrenset antall personer i Norge som kan fyllestillingene. Politidirektoratet mener en alternativstrategi vil være å samle ressursene i én fellesCERT-funksjon.

Utover at NSM NorCERT arrangerer forumfor sektor-CSIRT, er det ikke noe formalisert sam-arbeid mellom sektor-CSIRT-ene. Det betyr atinformasjonen en sektor-CSIRT sitter på som erav interesse for andre miljøer, i dag ikke delesgjennom standardprosesser og grensesnitt medandre sektor-CSIRT-er. Informasjonsdelingen bliri for stor grad personavhengig og tilfeldig.

Forsvaret kan, som tidligere nevnt, gi bistandtil sivile myndigheter ved alvorlige cyberhendel-ser i henhold til gjeldende prinsipper og regel-verk. Å utnytte denne kapasiteten krever imidler-tid en bistandsanmodning, som erfaring fra øvel-ser viser at det tar tid å effektuere. Det er ogsåviktig å være klar over at Forsvarets operative res-surser primært er skalert for å adressere Forsva-rets eget behov.

21.7 Kapasitet-, kompetanseog prioriteringsutfordringer i politiet

Virksomheter og enkeltindivider anmelder i litengrad IKT-kriminalitet til politiet, og det er storemørketall. Årsaker virksomhetene oppgir, er blantannet forventningen om at forholdet vil bli hen-


lagt, og at det ikke er mulig å finne gjerningsper-sonen. Enkeltindividet blir ofte henvist av politiettil andre aktører, som råd- og forsikringstjenester.Manglende anmeldelser gir politiet begrensetkunnskap og oversikt over den totale IKT-krimina-liteten.

21.7.1 Utfordringer knyttet til rammefaktorer

Politiet er en sterkt regulert virksomhet. Interna-sjonalt oppgir flere land at eget nasjonalt lovverk iliten grad reflekterer den teknologiske utviklin-gen.29 Prosesser for utlevering av informasjon istraffesaker er for eksempel ikke tilstrekkelig til-passet sikring av elektroniske spor. Innenfor EUutgjør ulikheter i nasjonale regelverk og man-glende harmonisering et betydelig hinder for åoppdage og utveksle informasjon om grenseover-skridende IKT-kriminalitet.

IKT-kriminalitet har ofte internasjonale forgre-ninger. Anmodninger til andre lands myndigheterog samarbeid med internasjonale tjenesteleveran-dører er både utfordrende og tidkrevende.Dagens system for internasjonal informasjonsut-veksling30 mellom politi på tvers av landegrensergår for tregt. Avtalene er i stor grad basert på tra-disjonell praksis for utlevering av fysiske bevismellom land, og tar ikke innover seg den teknolo-giske utviklingen. Utvalget er kjent med at det iEU jobbes med effektivisering av prosessen i lysav den teknologiske utviklingen. Norge deltar iliten grad i internasjonale «innsatsstyrker» rettetmot bekjempelse av IKT-kriminalitet.

I dag finner en digitale spor i nærmest enhverstraffesak. Økt bruk av kryptering er en storutfordring for politiet. Det fører ofte til at sakerhenlegges i situasjoner der beslagene ikke lar seglese. Dataavlesing31 er derfor en etterspurtmetode, både fra politiet og fra PST, for å imøte-komme denne utviklingen. Dataavlesing er utre-det i kapittel 23 i NOU 2009: 15 Skjult informasjon– åpen kontroll.

21.7.2 Mangelfull kapasitet i politiet

Politiet etterforsker i dag i relativt liten grad IKT-kriminalitet.32 Utvalget er gjort kjent med at detkan forekomme store restanser av ubehandledesaker knyttet til elektroniske spor innenfor allekriminalitetsformer. Kapasiteten og ressursenenår det gjelder elektroniske spor, brukes til åstøtte all etterforskning ved politidistriktet.

Bekjempelse av IKT-kriminalitet krever iøkende grad internasjonalt samarbeid og er tek-nologikrevende. Det økende behovet for bistand ipolitidistriktene og i interne enheter i Kripos gårpå bekostning av særorganets metodeutvikling ogetterforskning av egne IKT-kriminalitetssaker.Justis- og beredskapsdepartementet har gitt PODi oppdrag å utrede alternativer knyttet til å opp-rette et nasjonalt «Cyber Crime Center» for åstyrke politiets kapasitet og innsats på området.

Politidirektoratet viser til at det er mangel påkompetanse i politiet til å håndtere utfordringersom følge av teknologiutviklingen. PODs kartleg-ging Politiet i det digitale samfunn pekte på beho-vet for både etterforsknings- og teknisk kompe-tanse. Distriktene lykkes bare delvis med å oppnåønsket tverrfaglighet.

Når det gjelder påtale, viser kartleggingen atbare politiadvokatene ved Kripos’ seksjon fordatakriminalitet har spesialisert kompetanse påIKT-kriminalitet. Når det gjelder håndtering avelektroniske spor i ulike typer straffesaker, harbåde statsadvokatene og erfarne politiadvokaternå betydelig erfaring.

Oslo politidistrikt er som nevnt tidligere deteneste distriktet med både kompetanse og meng-detrening i å håndtere IKT-kriminalitet som ellersnaturlig faller inn under Kripos’ ansvarsområde.

Politiadvokatene tilknyttet Kripos’ seksjon forIKT-kriminalitet har særskilt kompetanse innenetterforskning av IKT-kriminalitet. Den høyerepåtalemyndigheten kan ikke vise til tilsvarendeerfaring og kompetanse på området.

Politidirektoratet peker på behovet for tverr-faglighet, herunder ingeniørstillinger. Utfordrin-gen ligger blant annet i at tildelte polititjeneste-mannsstillinger ofte ikke kan gjøres om til sivilestillinger av hensyn til politiske føringer. Politidis-triktene må derfor opprette sivile ingeniørstillin-ger for egne driftsmidler.

29 UNODC (2013): Comprehensive Studyon Cybercrime(Draft).

30 Mutual Legal Assistance Treaty (MLAT).31 Dataavlesing er en samling teknikker for å skaffe seg til-

gang til kommunikasjonen på et stadium før den blir gjortuleselig ved kryptering. Én måte er å koble til en passivavlyttingsenhet mellom tastatur og maskin, eller installerespionprogramvare på den mistenktes datautstyr gjennomet datainnbrudd.

32 Næringslivets sikkerhetsråd (2014): Mørketallsundersøkel-sen 2014 – Informasjonssikkerhet, personvern og datakrimi-nalitet. Se også tall fra Strafferegistret (2014) over antallregistrerte anmeldelser.


Oslo politidistrikt mener det er utfordrende åbygge opp kompetanse i samtlige politidistrikter.Distriktet opplever at det er lett å rekruttere sivileteknologer, men sliter med å rekruttere politiut-dannede til datakrimenheten.

Ved Politihøgskolen (PHS) er undervisning idigitalt politiarbeid nylig blitt en del av den obliga-toriske grunnutdanningen. Hensikten er å gi poli-tistudentene grunnleggende forståelse for sikringav digitale spor fra datautstyr, over Internett og framobiltelefoner.

PHS tilbyr etterutdanning i IKT-tekniskeundersøkelser rettet mot håndtering av ulike for-mer for digitale spor og et tilbud til sivile datainge-niører i politiet med tanke på begrenset politimyn-dighet.

Ved Center for Cyber and Information Security(CCIS) er det etablert en forskningsgruppe i sam-arbeid med Politihøgskolen. Den består av fireprofessorer innen fagfeltet. I tillegg etablerte PHSog CCIS en erfaringsbasert mastergrad inneninformasjonssikkerhet og dataetterforskning i2014. Politidirektoratet støtter forskningsgruppenved CCIS økonomisk, og ønsker å styrke dettesamarbeidet ytterligere.

Justis- og beredskapsdepartementet har i sinstrategi for å bekjempe IKT-kriminalitet (2015)bedt Politidirektoratet sette i gang en rekke tiltak.Blant annet for å heve digital og politifaglig kom-petanse, utarbeide en forskningsstrategi for åforebygge og bekjempe IKT-kriminalitet, styrkeetterforskningskapasiteten og styrke det nasjo-nale og internasjonale samarbeidet.33

21.7.3 Uklarheter knyttet til hvilken aktør som skal etterforske

Anmeldelse av digitale angrep skal skje til detlokale politidistriktet – det til tross for at lokalepolitidistrikter ofte verken har ressurser ellerkompetanse til å etterforske IKT-kriminalitet.Hvor saken skal videre i politiet, er avhengig avtrusselaktøren og intensjonen med angrepet.Anmeldelser av IKT-kriminalitet kan dermedetterforskes ved det enkelte politidistrikt, Kripos,Økokrim eller PST. I initialfasen av saksgangen erdet ofte vanskelig å avgjøre hvor saken hørerhjemme, særlig der det er usikkerhet knyttet tiltrusselaktøren, for eksempel om dataspionasje er

utført av en statlig eller ikke-statlig aktør. Sakenmå i slike tilfeller ofte overføres mellom ulikeinstanser i politiet. Det kan skape merarbeid forvirksomheten som anmeldte forholdet, og etter-forskningen sett under ett tar lengre tid. Virksom-hetene opplever også at det kan ha betydning forutfallet av saken hvilken instans i politiet sometterforsker.

21.7.4 Prioriteringsutfordringer

I Riksadvokatens årlige rundskriv34 er alvorligIKT-kriminalitet vist til som en av de prioritertesakstypene i samtlige politidistrikters straffesaks-behandling. Politidistriktene og Kripos må dagligprioritere IKT-kriminalitet opp mot andre typeralvorlig kriminalitet, som for eksempel vold ognarkotikasaker, som ofte har høyere strafferam-mer. Kompetansen i digitalt politiarbeid er somtidligere nevnt så mangelfull i politidistriktene atde i stor grad må be om bistand fra Kripos. Kriposbruker av den grunn mye kapasitet på mindrealvorlige IKT-kriminalitetssaker, selv om dekunne håndtert mer alvorlige saker.

Funn i Politianalysen viser at svært få ressur-ser var dedikert til operativ analyse og forebyg-gende politiarbeid. Mesteparten av ressursene ipolitidistriktene gikk til straffeforfølgning og syn-lig tilstedeværelse.35 Straffeforfølging av IKT-kri-minalitet er ofte grenseoverskridende og sværtressurskrevende. Teknologien gjør det dessutenlett for kriminelle å skjule sin identitet. Disse fak-torene bidrar til at en straffeforfølgning ofte kanende med henleggelse. Politidirektoratet menerpolitiets innsats mot IKT-kriminalitet bør leggemer vekt på det forebyggende arbeidet enn detsom er situasjonen dag.

Det er begrenset analysekapasitet i de flestepolitidistrikter. De fremste fagmiljøene finnes hosKripos og i Oslo politidistrikt. Erfaring med opera-tiv analyse i IKT-straffesaker er begrenset, blantannet fordi få slike saker etterforskes.

Den generelle etterretningskapasiteten i politi-distriktene er lav med unntak av Oslo politidis-trikt, som sammen med Kripos har bygd opp enoperativ etterretningskapasitet på området.


34 Riksadvokaten (2015): Rundskriv nr. 1/2015 Mål og priori-teringer for straffesaksbehandlingen i 2015 – Politiet og stats-advokatene.

35 NOU 2013: 9 Ett politi – rustet til å møte fremtidens utfor-dringer – Politianalysen.


21.8 Manglende evne til videreutvikling av og investering i politiets IKT-systemer

Det er stort behov for økt overføringskapasitet ogredundans i politiets IKT-infrastruktur. I tillegg erdet utfordringer knyttet til å opprettholde kompe-tanse for videreutvikling av politiets systemer,support utover normal arbeidstid, samt standardi-sering av lokale IKT-løsninger. Drift av datalagreog nødvendige verktøy for IKT-tekniske undersø-kelser håndteres i dag av hvert enkelt politidis-trikt. Ikrafttredelsen av ny straffelov av 2005 hargrunnet IKT-situasjonen i politiet blitt utsatt.Implementeringen av lovendringene skjer nå igamle systemer. Politiets manglende oversiktover dagens IKT-kriminalitetsbilde skyldes blantannet utdaterte IKT-verktøy for registrering avkriminaliteten (STRASAK).

Justis- og beredskapsdepartementet uttryk-ker en sterk bekymring for IKT-situasjonen i poli-tiet, særlig knyttet til sårbarheter i IKT-infrastruk-turen. Informasjon er en kritisk innsatsfaktor forpolitiet, og konsekvensene av at politiets datasen-tre blir utilgjengelige, er store. Nedetid i politietsdatasenter kan innebære langvarig begrenset ope-rativ kapasitet.

Politidirektoratet fremhever også at IKT-sik-kerhetsarbeidet i politiet har vært mangelfulltover lang tid, og at det er behov for en tung sat-sing på IKT-infrastruktur. Et grunnleggende sty-ringsprinsipp i staten er mål- og resultatstyring,som også ligger til grunn for styringen av politiet.De operative enhetene i politiet mottar en ettårs-ramme som alle IKT-investeringene må dekkesinnenfor. POD viser til behovet for mer langsik-tige investeringsbudsjetter med mulighet for åplanlegge utover ett år.

Merverdiprogrammet ble opprettet i 2012,blant annet med sikte på en mer langsiktig inves-tering og modernisering av norsk politi, herundernye IKT-verktøy og arbeidsformer for å øke til-gjengelighet, effektivitet og fleksibilitet.36 Pro-grammet ble i 2015 delt opp i mindre prosjekterfor å redusere risikoen i IKT-fornyingen av poli-tiet.

21.9 Sårbarheter som påvirker private virksomheter og enkeltindividets evne til å håndtere hendelser

21.9.1 Utilstrekkelig støtte for innbyggerne og SMB

Vår nasjonale sikkerhet er avhengig av enkeltindi-videts og virksomhetenes IKT-sikkerhet. Det erkrevende for den enkelte borger både å forstå ogå gjøre de riktige valgene ut fra kompleksiteten iteknologien, og det hviler mye ansvar på bruke-ren av teknologien. Forbrukerrådet understrekerviktigheten av sikkerhet og personvern. Særligeutsatte grupper er for eksempel eldre medbegrenset digital kompetanse og unge på grunnav at handlinger kan få konsekvenser gjennom etlangt liv. NorSIS har en rådgivende rolle overforforbrukeren. Tall fra NorSIS’ tjeneste slettmeg.noviser at alvorlighetsgraden i flere av de sakeneNorSIS blir kontaktet om, øker. NorSIS ser enøkning i antall henvendelser fra personer eldreenn 26 år og i bruken av selvhjelpstjenestene.7 500 kontaktet tjenesten i 2014, og utviklingen sålangt indikerer en vekst på 20 prosent i løpet av2015. NorSIS oppgir at de har begrenset kapasitettil å håndtere slike henvendelser.

NorSIS utfører årlige spørreundersøkelser ommisbruk av identitet, og tallene mellom 2010 og2013 viste en økning fra 3,1 prosent til 5,9 prosent.For 2014 oppgis det en nedgang til 3,2 prosent. Pågrunn av manglende ressurser har NorSIS måttetbegrense prosjektet, men de har opprettholdt denårlige konferansen om idtyveri, samt at de svarerpå telefonhenvendelser fra forbrukere. NorSIShar registrert en nedgang i antall henvendelser desiste årene, og mener det kan ha sammenhengmed at forsikringsselskaper har tatt tak i denneproblemstillingen.

På bakgrunn av dette kan det synes som ominnbyggerne og SMB ikke har et godt nok tilbudom hjelp, råd og veiledning når de blir utsatt forhendelser. Se også punkt 19.6 «Kunnskap ogstøtte til befolkningen».

21.9.2 Manglende operative krav i anskaffelser og styring av drifts- og tjenesteleverandører

De fleste virksomheter benytter seg av drifts- ogtjenesteleverandører i større eller mindre grad.Ressursgruppen peker på at det kan være vanske-lig for virksomheter å følge opp leverandører, somofte er de som kan bistå under og etter et digitaltangrep. Dette kan for eksempel skyldes man-

36 Politidirektoratet (2013–2014): Merverdiprogrammet – Poli-tiets program for merverdi av kunnskap, ressurser og tekno-logi.


glende bestillerkompetanse, som ofte er vanskeligå løse gjennom hver enkelt virksomhets avtalemed leverandøren. Ressursgruppen har påpektutfordringer i anskaffelsesprosessen, der det ofteikke stilles krav på området, som eksempelviskrav til operativ evne, analysekapasitet, styring ogsamhandling.

Dersom tjenestene leveres fra andre land ogkunden ikke har stilt presise nok krav, vil dettekunne få konsekvenser for overlevering av data iforbindelse med håndtering av digitale angrep.Ofte må de nasjonale CSIRT-funksjonene involve-res, og informasjonen må gjennom mange leddfør den når de operative miljøene som faktisk kannyttiggjøre seg den. Ressursgruppen har eksem-pler på hendelser der data ikke har blitt utlevertpå grunn av det politiske forholdet mellom Norgeog det aktuelle landet. Dette kan føre til betyde-lige forsinkelser for håndtering av alvorlige data-angrep.

21.10 Aktuelle dilemmaer i forbindelse med utvidede metoder for å avdekke, håndtere og etterforske digitale angrep

Utvalget er bedt om å beskrive dilemmaer somkan oppstå som følge av behovet for å avdekke,håndtere og etterforske digitale angrep. Ut framandatets beskrivelse oppfatter vi at det bes om åredegjøre for vurderinger som må gjøres for åfinne en forsvarlig balanse mellom ulike beretti-gede, men likevel motstridende, hensyn.

Dagens metodebruk er strengt lovregulert ogkontrollert. Nye metoder som krever lov-endringer, må vurderes konkret ut fra de reellefordelene, ulempene og de mulige alternativenesom kan være egnet for de formålene metodeneskal betjene. Et beslutningsgrunnlag for å vurdereetablering av nye skjulte metoder stiller andrekrav til mandat enn Lysneutvalgets. Lysneutval-get begrenser seg derfor til å adressere grunnleg-gende synspunkter på dilemmaer som følge avuttalte behov for å utvide etterretnings- og etter-forskningsmetoder, samt å løfte frem enkelteoverordnede, prinsipielt motstridende, hensyn.Fremstillingen nedenfor beskriver blant annetnødvendigheten av avveininger og balanse mel-lom hensyn som nasjonal sikkerhet og denenkelte borgerens personvern og ytringsfrihet.

21.10.1 Behovet for nye etterretnings- og etterforskningsmetoder

Siden Snowden-avsløringene i 2013 har hele ver-den vært opptatt av myndighetenes overvåking avprivatpersoner gjennom bruk av teknologi. I lys avavsløringene har digital kommunikasjon i økendegrad blitt kryptert av tjenesteleverandører, og dethar vært en vekst i bruk av anonymiseringstje-nester. Denne utviklingen setter myndighetene påprøve, idet tidligere skjulte metoder ikke lenger erlike effektive.

Utvalget ser at det kan være behov for ytterli-gere skjulte metoder, men nettopp fordi de skalvære skjult, er disse metodene også de mest inn-gripende. Selv om målet med metodene er rettetmot kriminell aktivitet, vil adgangen til å benytteslike metoder i prinsippet kunne være inngri-pende overfor den enkelte borger. Angrep på kri-tisk infrastruktur, kritiske samfunnsfunksjoner ogtilsvarende alvorlig kriminalitet er skadelig forsamfunnets trygghet, enkeltindividers integritet,økonomiske verdier og stabiliteten og kvalitetenpå det samfunnet vi lever i. Effektiv avdekking avangrep og kriminalitetsbekjempelse er viktig, ogdet er avgjørende å sørge for nødvendige virke-midler for å kunne ivareta denne oppgaven. Det ervesentlig at både E-tjenesten, PST og politiet haranledning til å innhente tilstrekkelige mengderulik informasjon for å kunne utføre sine oppgaver.

Etterretningstjenestens og politiets oppgavemed å bekjempe kriminalitet forutsetter myndig-het til å kunne innhente informasjon ved å kunneutøve makt og tvang overfor borgerne. Gjeldenderettslig adgang til å innhente og benytte informa-sjon for etterretnings- og kriminalitetsbekjem-pende formål er derfor vurdert ut fra de særligehensynene som gjør seg gjeldende for disse myn-dighetene. Den rettslige adgangen til å innhenteinformasjon er derfor betinget av grenser for brukog rettssikkerhetsgarantier for borgerne.

Behovet for nye, utvidede metoder for etterret-ning og etterforskning begrunnes ofte medøkende alvorlig IKT-kriminalitet, se punkt 7.2 «Til-siktede IKT-hendelser». De hensynene somunderbygger behovet for nye etterretnings- ogetterforskningsmetoder, må baseres på et solidempirisk grunnlag. Dette er vesentlig for å kunnevurdere om tiltakene er nødvendige og proporsjo-nale i et demokratisk samfunn. Det kreves analy-ser av mulige konsekvenser for samfunnet somhelhet, offentlige myndigheter, næringsliv, inte-resseorganisasjoner og enkeltindivider.

Å trekke opp grensene for E-tjenestens og poli-tiets adgang til å overvåke og etterforske i digital


nåtid og fremtid byr derfor på krevende avveiin-ger mellom hensynet til kriminalitetsbekjempelseog det å ivareta de grunnleggende verdiene somligger til grunn for den tilliten som er opparbeidetmellom stat og borger.

21.10.2 Endring i maktbalansen mellom stat og borger

Dersom spekteret av lovlige skjulte etterretnings-og etterforskningsmetoder skal utvides, er detteogså en utvidelse av statens makt overfor denenkelte borger. Den enkelte borger fratas dermeddeler av sine rettigheter og friheter. Det rokkerved de konstitusjonelle skrankene for statensmyndighet til å gripe inn i borgernes rettig-hetssfære og stiller krav til hvordan utvidede full-makter kan komme til.

I et større perspektiv handler det om å ta stil-ling til på hvilken måte de verdiene og prinsippenesom demokratiet og samfunnet vårt bygger på,skal være førende for fremtidens samfunn. Politi-ets og etterretningsmyndighetenes behov må der-for vurderes opp mot rettsstatsverdier og mennes-kerettigheter, herunder personvern, ytringsfrihetog forsamlingsfrihet. Dette er forpliktelser somfølger av både nasjonalt og internasjonalt regel-verk, og det er disse verdiene som utgjør kjernen iet velfungerende og sunt samfunn, som kjenne-tegnes av gjensidig tillit mellom staten og befolk-ningen.

En rettsstat kjennetegnes av tydelige og pre-sise regler for den innbyrdes fordelingen av maktmellom statens myndigheter og statens adgang tilå bruke makt overfor sine borgere. En omforde-ling av maktforholdet mellom stat og borger gri-per derfor inn i sentrale deler av samfunnetsbærende prinsipper og verdier.

Medier som er opprettet for å formidle frieytringer og intern kommunikasjon i grupper,utgjør grunnleggende verdier i et demokrati. Detmå derfor utvises varsomhet med å benytte slikemedier for etterretningsformål. Inngrep i ytrings-friheten må tilfredsstille kravene til proporsjonali-tet og være nødvendige i et demokratisk samfunn.

Risiko for å bryte ned tillitsforholdet mellom befolkningen og staten

I Norge har offentlig sektor i all hovedsak tillit fraborgerne. Se punkt 23.6.3 «Tillit bør være en for-utsetning for digitalisering». Om denne tilliten ergjensidig, det vil si om staten har tillit til sine bor-gere, kan gjenspeiles i hvilke skjulte inngrep i bor-gernes rettigheter staten anser som nødvendige.

Beslutninger om nye skjulte etterretnings- ogetterforskningsmetoder kan derfor også tolkessom statens manglende tillit til befolkningen.

Snowdens avdekking av NSAs omfattende inn-henting av informasjon om egne og andre landsborgere illustrerer viktigheten av en balanse mel-lom nasjonal sikkerhet og den enkeltes person-vern. For deler av befolkningen har tilliten til myn-dighetenes respekt for personvern slått sprekker.Saken sier også mye om den tilliten befolkningen iutgangspunktet hadde til både næringsliv ogmyndigheter. Uten befolkningens tillit ville infor-masjonen ikke vært like tilgjengelig. Saken harført til at stadig flere ønsker å beskytte sin egeninformasjon når de benytter Internett. De benyt-ter nettsteder som gjør det vanskelig å spore dem,velger å kryptere sin informasjon, eller beggedeler. Det tar lang tid å bygge opp tillit, men korttid å bryte den ned. Tillit mellom myndigheter ogbefolkning er særlig viktig og må tillegges betyde-lig vekt.

21.10.3 Masseinnsamling av personopplysninger til uavklarte formål

Både for næringsutvikling og etterretningsformåler opplysninger om befolkning og enkeltindivideressensielt. I 2012 uttalte Datatilsynet at hele 90prosent av dagens digitale data er generert bare iløpet av de to siste årene, og at datamengden erantatt å øke med 40 prosent per år fremover.Næringslivets og myndighetenes formål med åsamle inn personopplysninger er basert på vidtforskjellige behov. Det er derfor viktig å se nær-mere på endringer i hvordan personopplysningerblir samlet inn på, herunder hvilke formål sombegrunner innsamlingen.

I Norge har staten frem til relativt nylig værtansett for å besitte flest opplysninger om bor-gerne, for å kunne treffe nødvendige beslutningeri egenskap av å forvalte lovbestemt myndighet.Dette bildet er endret til at også aktører i nærings-livet er store informasjonsforvaltere av befolknin-gens opplysninger. For NSAs overvåking av ame-rikanere og andre lands befolkning var nettopp deprivate selskapenes informasjon attraktiv for myn-dighetene.

Det er forståelig at det økende omfanget avinformasjon om borgerne hos næringslivsaktørerogså kan ha nytteverdi for myndighetenes etter-retning og for etterforskning av alvorlig kriminali-tet. Å åpne for en slik bruk byr imidlertid påmange dilemmaer.


Mens staten har rettsregler for å kunne inn-hente nødvendig informasjon for spesifikke for-mål, har næringslivet tilbudt «gratistjenester»med brukervennlige, nyttige og underholdendeprodukter som grunnlag for å samle inn informa-sjon. Mens staten er underlagt særskilte krav omå begrense informasjonen til et nødvendig mini-mum og for konkrete definerte formål, ernæringslivets innsamling og lagring ikke under-lagt de samme strenge kravene.

Det rettslige grunnlaget for de næringsdriven-des innsamling av personopplysninger er «avta-ler» med den enkelte kunde. Da er det rekkevid-den av avtalen som setter grensen, og det er tvil-somt om kundene i realiteten har et forhandlings-rom, spesielt når tjenestene tilbys gratis. Forbru-kerrådet peker på at majoriteten av forbrukereofte ikke har forstått betydningen av at de betalerfor «gratistjenestene» med opplysninger om segselv. En uklar avtale om bruken av innsamletinformasjon innebærer tilsvarende utydelige for-mål, som i neste omgang kan føre til en tilnærmel-sesvis grenseløs bruk. Bruk av personopplysnin-ger som er innhentet gjennom avtaler med kun-der/brukere der formålet er å tilby en mulighetfor å velge tjenester, gir ikke rettslig grunnlag forå benytte opplysningene til etterretnings- og etter-forskningsformål.

Næringslivets informasjon er basert på opplys-ninger om det enkelte individ ut fra aktiviteter ogbevegelser som etterlater spor på Internett, somapplikasjoner, sosiale medier og e-post. Slike opp-lysninger omfatter enhver Internett-basert aktivi-tet – som hvilke søk vi gjør, hvilke annonser viklikker på, hvilke nettsider vi besøker, hvilkenyhetsartikler vi leser, hva slags musikk vi hørerpå, hvem vi kommuniserer med, kommentarer vilegger igjen, og hvem vi er i kontakt med permobiltelefon, herunder når og hvor vi befinneross. Enkeltvis forteller slike opplysninger lite omoss, men summen av det vi benytter Internett ogmobiltjenester til i privat sammenheng, vil kunnegi relativt utførlig informasjon om oss som enkel-tindivider.

En tilsvarende kartlegging av aktivitet for åbelyse de samme forholdene uten bruk av Inter-nett-baserte tjenester, ville i praksis ikke væremulig for så store deler av befolkningen. Bådemengden av informasjon hver og en etterlater seg,og endringen i hvem som samler inn opplysnin-gene, representerer et paradigmeskifte for inn-samling og bruk av personopplysninger. Spørsmå-let er hva disse omfattende mengdene personopp-lysninger skal kunne benyttes til, og hvilke formåldenne informasjonen skal kunne betjene.

Den teknologiske utviklingen gir nye mulighe-ter for gjenbruk av informasjon til nye formål,såkalt sekundærbruk. Hvilket formål personopp-lysningene opprinnelig ble samlet inn for, define-rer imidlertid en viktig grense for sekundærbruk.Derfor må det vurderes om sekundærbruken erforenlig med det opprinnelige formålet. Da skaldet blant annet legges vekt på om det nye bruks-området for opplysningene skiller seg vesentligfra det som lå til grunn for den opprinnelige inn-samlingen, og om ny bruk av opplysningene kaninnebære ulemper for den registrerte. Kravet omat opplysningene skal være nødvendige for det for-målet de skal tjene, omfatter både at det skal væreet minimum av opplysninger, og at opplysningeneer relevante for formålet. Dette nødvendighets-prinsippet gjelder for alle deler av håndteringen avpersonopplysninger, så som hvilke opplysningersom kan registreres, hvem som skal få tilgang tilopplysningene, og hvor lenge opplysningene kanlagres. Et eksempel på denne problemstillingen eromtalt i punkt 11.7.5 «Etablere tiltak for å regulereutlevering av trafikkdata til politiet».

Formålsutglidning kan føre til usikkerhet hosbrukeren på grunn av mangel på kontroll og over-sikt. Dersom opplysninger stadig brukes til andreformål enn det man oppgir, vil det kunne føre til atbrukeren mister tillit til det aktuelle mediet ogden behandlingsansvarlige.

21.10.4 Balansen mellom effektivitet og sikkerhet

IKT som verktøy kan være et tveegget sverd – densamme effektiviteten som er gunstig for sam-funnsutviklingen, kan være tilsvarende effektivfor kriminell aktivitet. Behovet for sikkerhet ogaksept av risiko er høyst forskjellig for de ulikebrukerne av Internett. Samtlige brukere forven-ter at informasjonen videreformidles rettidig og tilrett mottaker, og at de selv har kontroll over hvil-ken informasjon som skal deles, og hvilken infor-masjon som skal beskyttes mot innsyn fra uved-kommende. Informasjonen som skal beskyttes,kan gjelde ivaretakelse av offentlige virksom-heters graderte og taushetsbelagte informasjon,næringslivets forretningshemmeligheter ellerbefolkningens private opplysninger. Samtligeaktørers behov for å ha kontroll over informasjo-nen er legitime.

Effektive overvåkingstiltak for å avdekke IKT-hendelser kan være varsling ved bruk av sensorereller logganalyse. Slike tiltak kan være avgjørendefor avdekking av angrep og for en samletrisikovurdering. De fleste av disse tiltakene har


kontrollerende, etterforsknings- eller overvå-kingslignende karakter rettet mot enkeltindivider,men da uten de prosessuelle rettssikkerhetsga-rantiene som følger av straffeprosessloven.

Uttalte behov for å etablere nye etterretnings-og etterforskningsmetoder må også ses i lys avårsakene til økt risiko for alvorlig IKT-kriminalitet.Det er et akseptert syn at økt risiko for alvorligehendelser og kriminalitet ofte skyldes manglendevektlegging av forebyggende IKT-sikkerhet. Detbør vurderes om også det motsatte er tilfelle – atøkt innsats på forebyggende sikkerhet også kanbekjempe og forebygge kriminalitet. Den økendekompleksiteten i sammenkobling av nettverk ogprogramvare kombinert med stadig økendeanvendelsesområder for IKT, eksponerer samfun-net for økende grad av sårbarhet og nye mulighe-ter for angrep.

Når det legges til rette for økt tilknytning til ogbruk av Internett, bør det fokuseres på sikker-hetstiltak som reduserer risikoen for alvorligeangrep og kriminalitet. Bruk av Internett somkommunikasjonskanal innebærer aksept av envesentlig risiko. Innebygd sikkerhet og innebygdpersonvern må vurderes som risikoreduserendetiltak, og det kan i noen tilfeller redusere nødven-digheten av overvåking.

21.10.5 Balansen mellom kriminalitetsbekjempelse og personvern

Retten til personvern er ikke absolutt og må ses isammenheng med statens øvrige legitime interes-ser. Hensynet til nasjonal sikkerhet, offentligtrygghet og bekjempelse av alvorlig kriminalitetkan tilsi at det må gjøres inngrep i den enkeltesrett til personvern. Slike inngrep må være lovfes-tede, nødvendige og proporsjonale, jf. kapittel 3«Rettsstatsprinsipper og grunnleggende sam-funnsverdier». Proporsjonalitetsprinsippet tilsierat det må skilles mellom hvilke metoder som kanbrukes i etterforskning av en konkret sak rettetmot enkeltpersoner, og såkalt strategisk krimina-letterretning med generell innhenting og analyseav informasjon med det formål å vurdere krimina-litetsbildet og en sannsynlig utvikling. Etterfors-kning av konkrete hendelser kan derfor rettfer-diggjøre et større inngrep i den enkeltes rett tilpersonvern enn overvåking av befolkningenskommunikasjon generelt, herunder alminneligmeningsutveksling.

Både metodekontrollutvalgets vurderinger ogforarbeidene til politiregisterloven37 er egnet til åvise balansering og ivaretakelse av motstridende

hensyn. Politiregisterloven regulerer politietsadgang til å behandle opplysninger og bygger påen avveiing mellom hensynet til personvern ogrettsikkerhet og behovet for kriminalitetsbekjem-pelse. Lovens formål er å regulere politiets brukav personopplysninger på en måte som også ivare-tar personvernet. Det er politiets oppgaver ogmyndighet knyttet til kriminalitetsbekjempelsesom begrunnet behovet for en særlov for politietsbehandling av opplysninger.

Politiets behandling av personopplysningerskiller seg fra annen behandling av personopplys-ninger etter personopplysningsloven på fleremåter. Det er ikke krav til samtykke fra den regis-trerte om at politiet kan behandle opplysningerom en. Politiets myndighet til å innhente opplys-ninger om borgerne er et inngrep som kreverhjemmel i lov. Jo mer inngripende en behandlinger, jo strengere krav stilles det til presise lovhjem-ler.

Politiregisterloven bygger på sentrale person-vernprinsipper om formålsbestemthet, nødven-dighet og kvalitet. I de tilfellene hensynet til krimi-nalitetsbekjempelse griper inn i den enkeltes ret-tigheter, kompenseres inngrepet i enkelte rettig-heter ved at andre rettigheter styrkes, for eksem-pel gjennom å begrense adgangen til å behandleopplysningene videre.

Loven gir for eksempel et tidsbestemt unntakfra kravene til formålsbestemthet, nødvendighetog relevans. Unntaket er begrunnet ut fra hensy-net til politiets behov for omfattende tilgang tilinformasjon i det kriminalitetsbekjempende arbei-det. Det ligger i selve etterforskningens funksjonat politiet er avhengig av å kunne innhente opplys-ninger uten nødvendigvis å vite om de er nødven-dige og relevante. For å ivareta hensynet til per-sonvern ble det innført en tidsbegrensning forunntaket, slik at politiet har fire måneder på seg tilå kontrollere om opplysningene er nødvendige ogrelevante for et politimessig formål. Dersom poli-tiet innen denne fristen ikke kan godtgjøre at opp-lysningene er nødvendige, må opplysningene slet-tes. Det tidsbegrensede unntaket fra de grunnleg-gende kravene til behandling av personopplysnin-ger etter personopplysningsloven er et eksempelpå balanseringen av hensynet til kriminalitetsbe-kjempelse og hensynet til personvernet.

Samtidig er det et faktum at kriminalitetsbe-kjempelse foretas i en virkelighet der teknologienendrer seg fort. En konsekvens av dette er at de

37 Justis- og beredskapsdepartementet (2010): Lov ombehandling av opplysninger i politiet og påtalemyndigheten(politiregisterloven).


som forestår kriminalitetsbekjempelse, må vur-dere om virkemidlene deres er tilstrekkelige, ogom det trengs endringer i virkemidlene. Etteksempel på at man ber om endrede virkemidlerer da PST ønsket en lovendring slik at de skullekunne «følge med på Internett», for eksempel vedå lagre informasjon fra sosiale medier og brukesåkalt stordataanalyse på opplysningene. Overvå-king av Internett, rettet mot borgere som ikkegjør annet enn å benytte seg av ytringsfriheten oghandlingsfriheten, uten mistanke om kriminellehandlinger eller hensikt, kommer potensielt i kon-flikt med grunnleggende rettssikkerhetshensynog menneskerettigheter. Dersom slike virkemid-ler skal kunne tas i bruk, må det foretas tilstrekke-lige vurderinger, slik at lovgiver har et grundig,troverdig og fullstendig grunnlag for sine beslut-ninger, se nærmere om dette i punkt 21.11.8«Sikre balansen mellom personvern og et sikreresamfunn».

Utvidelser av kriminalitetsbekjempende meto-der angår både samfunnet som helhet og detenkelte individ. Dette krever etter utvalgets synmer enn et vanlig lovendringsarbeid. Det må sik-res at denne formen for endringer i maktutøvelsefra staten overfor borgerne utredes av et balan-sert utvalg som kan stille de kritiske spørsmålene.Det må sikres at hensyn utover myndighetenesegne blir ivaretatt på en forsvarlig måte, og at detskapes en offentlig debatt.

Videre er det behov for ytterligere evalueringav eksisterende metoder som viderefører og utdy-per Metodekontrollutvalgets undersøkelse Kom-munikasjonskontroll og betydning for etterforskning,personvern og rettssikkerhet: En studie i erfaringenemed bruk av metoden.38


21.11.1 Etablere og øve et helhetlig rammeverk for digital hendelses-håndtering

Offentlige og private virksomheter blir utsatt foralvorlige dataangrep og opplever usikkerhet ogutilstrekkelig koordinering mellom myndighets-aktører som har ansvar for bekjempelsen av digi-tale angrep. Utvalget har merket seg at det opple-ves flere større hindre for effektivt samarbeidmellom myndighetsaktører og med private aktø-

rer. Enkelte av disse er inherente problemstillin-ger, det vil si at problemstillingene i seg selv ska-per utfordringer på grunn av motstridende hen-syn. Disse skyldes ikke organisering – det kanvære kulturelle, tillitsrelaterte eller lovmessigeårsaker til at problemstillingene har oppstått. Detkan se ut som det er en manglende forståelse forat motstridende interesser aktørene imellom erlegitime. Det stammer fra at aktørene har forskjel-lige roller og er satt til å ivareta forskjellige sam-funnsinteresser. Utvalget mener det er viktig åmaksimere mulighetene innenfor det handlingsrom-met som finnes for deling av informasjon.

Virksomhetene har behov for hyppige oppda-teringer av trusselbildet i Norge knyttet til detdigitale rom. Flere gode tiltak er påpekt i tidligereutredninger, og utfordringen ser derfor ikke ut tilå være intensjonen og målsettingen om samar-beid. Utvalget stiller derfor spørsmål om hva somer årsakene til at aktørene ikke har etablert et til-strekkelig samarbeid og mekanismer for informa-sjonsdeling, og ser potensialet for at økt deling avinformasjon vil kunne bidra til eksempelvis størregrad av anmeldelser. Nasjonal sikkerhet avhengerav sikkerheten til de enkelte virksomhetene, ogen effektiv bekjempelse krever utstrakt samar-beid mellom myndighetene og tett samarbeidmed private aktører. Utvalget mener det er avgjø-rende å ta tak i disse utfordringene nå, ettersomkonsekvensene av mangelfull samhandling vil blienda tydeligere når sikkerhetsutfordringene øker.

Utvalget mener at Justis- og beredskapsdeparte-mentet må ta initiativ til å etablere et helhetlig ram-meverk39 for å avklare og tydeliggjøre innsatsenmellom relevante aktører innen hendelseshåndte-ring og straffeforfølgning. Rammeverket bør eta-bleres i tett samarbeid med Forsvarsdepartemen-tet. Etter at rammeverket er besluttet, bør detøves på nasjonalt plan.

Et helhetlig rammeverk for digital hendelses-håndtering må inneholde en presis beskrivelse avrelevante myndighets- og virksomhetsaktørersroller og ansvar, samt grensesnittene mellomdisse. Der det eventuelt er ønskelig med overlapp,må dette komme tydelig frem i rutiner, og aktø-rene må ha en felles overordnet prosess. Samar-beid mot det private vil være av avgjørende betyd-ning, og overgangen fra hendelseshåndtering veden nasjonal krise til en krigslignende tilstand børbeskrives. Ulike aktører har ulikt begrepsapparat,og utvalget anbefaler at rammeverket tydelig defi-

38 NOU 2009: 15 Skjult informasjon – åpen kontroll. Metode-kontrollutvalgets evaluering av lovgivningen om politietsbruk av skjulte tvangsmidler og behandling av informasjon istraffesaker.

39 Med rammeverk henvises det her til konsepter land somblant annet USA har etablert (National Cyber IncidentResponse Plan (NCIRP)).


nerer et enhetlig begrepsapparat. Eksempelvis erdet ikke en omforent forståelse av begrepene digi-tale angrep, operasjoner og IKT-kriminalitet, slikde hittil er definert. Det samme gjelder hendelses-håndtering, som har ulik betydning hos de for-skjellige aktørene. Rammeverket må revideres ogharmoniseres opp mot nasjonalt beredskapsplan-verk. Blant annet gjelder dette harmonisering aveskaleringsnivåer, som må defineres og ses i sam-menheng med det øvrige planverket.

Ambisjonsnivået til myndighetene

Myndighetenes ambisjonsnivå rundt operativstøtte ved IKT-angrep må fremover være tydeligdefinert og kommunisert, slik at sektorviseresponsmiljøer, offentlige og private virksomheterkan ha en avklart forventning om hva som erderes grensesnitt og bistandsmulighet. Utvalgetmener Norge innen et femårsperspektiv effektivt måevne å håndtere en nasjonal cyberkrise. Myndighe-tene må dimensjonere evnen og kapasiteten meden ambisjon om å kunne avdekke og håndterealvorlige hendelser på en måte som sikrer befolk-ningens trygghet for liv, helse og viktige verdier.

Utvalget anbefaler følgende ambisjonsnivå formyndighetenes operative evne til å avdekke, hånd-tere og etterforske alvorlige hendelser:1. Norske virksomheter må ha evne til grunnleg-

gende egenbeskyttelse, avdekking og håndte-ring i henhold til ansvarsprinsippet, slik at de eri stand til å fylle sin rolle slik det er definert irammeverket.

2. Myndighetene skal opplyse befolkningen omrelevante sårbarheter og trusler og legge tilrette for at borgere og virksomheter som opp-lever digitale angrep mot sine verdier, har etsted å søke råd.

3. Myndighetene må legge til rette for at virksom-heter settes i stand til å ta gode risikoavveide,strategiske og operative beslutninger gjennomaktivt å dele betimelig informasjon. Deling måskje tidlig i håndteringsskjeden.

4. Norge skal ha evne til å avdekke alvorlige IKT-hendelser i virksomheter som har ansvar forkritiske samfunnsfunksjoner.

5. Myndighetene skal være i stand til å bistå virk-somheter med koordinering av hendelses-håndtering og analyse der skadepotensialet eralvorlig for norske interesser og for samfunnet.

6. Myndighetene skal ha rask reaksjonsevne ogkunne skalere sin kapasitet både i normalsitua-sjoner, ved ekstraordinære hendelser og inasjonale kriser. For å skalere kapasiteten børen blant annet benytte kommersielle aktører.

7. Norges innsats mot IKT-kriminalitet skal væreblant Europas fremste. Norsk politi skal bidraaktivt i internasjonalt etterforsknings- og irette-føringssamarbeid. De som utøver IKT-krimina-litet, skal ikke kunne forberede eller gjennom-føre kriminelle handlinger uten betydeligrisiko for å bli oppdaget og straffeforfulgt.

8. Myndighetenes operative miljøer skal ha klartdefinerte roller og ansvar og evne å brukehverandres styrker. Dette må det tilretteleggesfor på strategisk nivå.

9. Myndighetene må sørge for at den operativehåndteringen av IKT-hendelser har metoder,kildetilgang og øvrige rammebetingelser.Balansen mellom de grunnleggende sam-funnsverdiene, som for eksempel ytringsfrihetog personvern, og trusselutviklingen må væregodt ivaretatt. Disse vurderingene skal værediskutert og gjort rede for.

10. Myndighetene skal ha et oppdatert og øvdkrise- og beredskapssystem som omfatter digi-tale kriser.

11. Myndighetene skal ha kommunikasjonsløsnin-ger overfor befolkingen som fungerer selv omde utsettes for misbruk og er degradert i vissekrisesituasjoner.

21.11.2 Forbedre den nasjonale operative evnen gjennom samlokalisering

Det er flere små operative miljøer i Norge i dagsom skal samhandle med hverandre. Flereendringer kan foreslås for at disse bedre kanutnytte hverandres styrker. Et sentralt spørsmåler om Norge, som en liten nasjon, evner å utnytteden samlede nasjonale kapasiteten på området,både på privat og offentlig side. Utvalget observe-rer at myndighetsorganene i hovedsak oppfattersin egen rolle som avklart, men at uklarheten lig-ger hos andre aktører. Utvalget har sett på de sty-rende dokumentene som foreligger, og oppleverat uklarheten i mange tilfeller kan synes å værekonstruert. Utvalget observerer også en krassheti aktørenes omtale av hverandre, og stiller spørs-mål om aktørene i tilstrekkelig grad klarer å spillehverandre gode.

Utvalget finner det vanskelig å ha belegg for åsi at det er uklare roller, men er bekymret for omsamarbeidsklimaet er som det burde være. Inn-trykket er at hovedgrunnen til at disse uklarhe-tene har oppstått, ikke er uavklarte roller ogansvar, men at effekten av eksisterende struktu-rer ikke er godt nok utnyttet. Utvalget observerervidere at en rekke samfunnsviktige private aktø-rer ikke opplever at dagens samarbeid er basert


på likeverd, men at det offentlige setter premis-sene. Manglende likeverd oppleves som en svak-het med hensyn til effektiv håndtering av hendel-ser og rettidig deling av informasjon. Selv om detofte vil være et naturlig spenningsfelt mellomrikets sikkerhet og et militært etterretningsfokusnår det gjelder deling av informasjon og samfun-nets øvrige behov, mener utvalget at det ligger etviktig mulighetsrom her.

Utvalgets vurdering er at aktørene i langt størregrad bør dele informasjon fra åpne kilder og lovligdelbar informasjon. Utvalget mener videre at sam-lokalisering kan være et sentralt virkemiddel for åsikre dette. Utvalget foreslår at det legges bygnings-messig til rette for at de som ønsker samlokalisering,kan gå sammen om ett felles bygg. Dette må imid-lertid ikke være et premiss for å delta i samhand-lingen. Samlokalisering må bygge på frivillighetog være egnet for stor grad av liaisonering fordem som av ulike årsaker ikke har mulighet foreller ønsker full samlokalisering.

Samlokalisering vil kunne bidra til felles forstå-else av det operative landskapet og arbeidsmeto-dene, og mer effektiv informasjonsdeling derdette er mangelvare. Det vil kunne bli en «hub»mellom privat og offentlig sektor for samarbeid oginformasjonsdeling for å motvirke cybersikker-hetstrusler. De enkelte enhetene, som er en del avsamlokaliseringen, er finansiert fra eksisterendevirksomhetsressurser. Ved å samle ressursene forhendelseshåndtering og teknisk analyse kan manoppnå stordriftsfordeler i saker som egner seg forsamarbeid, i tillegg til å få kompetansemiljøer somer robuste nok til å vedlikeholde og videreutviklekapasitetene. Bedre samarbeid kan bidra til merhelhetlig analyse og etterforskning av digitaletrusler.

NSM NorCERT har i dag rollen som dennasjonale CERT-funksjonen. Det innebærer atNSM NorCERT er nasjonalt IKT-responsmiljø ogkoordinerer håndteringen av alvorlige IKT-hen-delser rettet mot samfunnskritisk infrastruktur oginformasjon. Dette medfører også et ansvar for ådetektere hendelser, koordinere og bistå i hendel-seshåndteringen, foreta tekniske analyser, deleinformasjon og gi råd på overordnet nivå og påtvers av sektorgrenser. Samarbeidet med deøvrige EOS-tjenestene vurderes som særlig viktigfor evnen til informasjonsinnhenting, varsling oghåndtering av alvorlige digitale trusler. Spesieltgjelder dette samarbeidet med Etterretningstje-nesten, som også er nasjonal SIGINT-autoritet. Itillegg til egne innsamlingsressurser er det denneposisjonen som gir eksklusiv aksess til partnerma-

teriale som Norge er avhengig av for å håndteredet digitale trusselbildet.

På dette punktet har utvalget delt seg.

Flertallet, bestående av Olav Lysne, Fredrik Manne, Eva Jarbekk, Kristian Gjøsteen, Einar Lunde, Janne Hagen og Åke Holmgren fremmer følgende:

Ved bruk av samlokalisering som virkemiddel forå forbedre samarbeidet aktørene imellom og lageen arena for rettidig hendelseshåndtering, er detetter utvalgets mening mest rasjonelt å ta utgangs-punkt i det miljøet som både har en tradisjon foroffentlig–privat samarbeid, og er en del av EOS-miljøet. I tillegg vurderes det som sannsynlig at åforankre en samlokalisering i EOS-miljøet er etpremiss for at EOS-tjenestene er med, noe somvurderes helt nødvendig for etablering av ettnasjonalt miljø. Utvalget konkluderer derfor med atden mest naturlige verten for en samlokalisering erNSM NorCERT. I denne rollen som vert er detviktig at NSM er seg bevisst toveiskommunika-sjon og likeverdig behandling av sivile aktører.Justis- og beredskapsdepartementet må følge opp,særlig overfor de sivile aktørene i samarbeidet, ogdefinere klare, målbare suksesskriterier for samar-beidet, som skal evalueres innen henholdsvis to ogfem år. Basisen for kriteriene er ambisjonsnivået,slik det er beskrevet tidligere i kapittelet.

Mindretallet, bestående av Kristine Beitland og Sofie Nystrøm, fremmer følgende:

Utvalgsmedlemmene Kristine Beitland og SofieNystrøm anbefaler at Justis- og beredskapsdepar-tementet i politikkutformingen vurderer et merambisiøst forslag hva gjelder det å forbedre dennasjonale operative evnen gjennom samlokalise-ring. De to utvalgsmedlemmene understreker atdepartementet bør søke å etablere en styrings-struktur for det operative arbeidet som prinsipieltfølger roller og ansvar implementert rundt vårefysiske verdier, og som videreføres inn i det digi-tale rom.40

Det er et naturlig spenningsfelt mellom på denene siden rikets sikkerhet og vektlegging av mili-tær etterretning med stor grad av gradert infor-masjon og delingsbegrensninger, og på den andresiden samfunnets behov for åpenhet og informa-

40 Styringsprinsipp fra myndighetene i Nederland: «Theunderlying fundamental principle is that the responsibili-ties that apply in the physical domain should also be takenin the digital domain.»


sjonsdeling sett fra et sivilt samfunnsperspektiv.For Norge er det viktig å ha operativ kapasitet ogreaksjonsevne i begge spor, idet et digitalt angrepkan være avsluttet i løpet av minutter eller timerog ramme flere sektorer samtidig. Internasjonalter det vanskelig å peke på gode eksempler fraandre land som har lyktes med å etablere et effek-tivt samarbeid og informasjonsdeling på tvers avet etterretningsspor og et samfunnssikkerhets-spor i én og samme organisasjon.

De to utvalgsmedlemmene foreslår en betyde-lig styrking av samfunnets samlede evne til hen-delseshåndtering og etterforskning av digitaleangrep for å nå det foreslåtte ambisjonsnivået somer beskrevet i punkt 21.11.1 «Etablere og øve ethelhetlig rammeverk for digital hendelseshåndte-ring». For å øke den samlede nasjonale kapasite-ten på håndtering av hendelser er det viktig åfokusere på et tettere tverrsektorielt privat–offent-lig samarbeid. Det er en oppfatning at NSM Nor-CERT i dag først og fremst er opptatt av og priori-terer koordinering av hendelseshåndtering ogsamarbeid mellom myndighetene.41 Dette gjør dei tett samarbeid med de andre EOS-tjenestene.Justis- og beredskapsdepartementet og Forsvars-departementet bør i samråd, på kort sikt, evaluerehvordan NSM NorCERT forvalter rollen som dennasjonale CERT-funksjonen ut fra et samfunnssik-kerhetsspor med vekt på tillit, samarbeid og raskinformasjonsdeling fra og til virksomheter medsamfunnskritiske funksjoner.

I tillegg bør Justis- og beredskapsdepartemen-tet og Forsvarsdepartementet i samråd etablereen pilot (første fase 1–2 år) som inkluderer noenav liaison-ressursene til politiets nye nasjonaleenhet «Cyber Crime Center», se punkt 21.11.5«Etablere et nasjonalt «Cyber Crime Center».Denne samlede nasjonale operative kapasitetenbør fysisk samlokaliseres i ett felles bygg med deteksisterende EOS-miljøet/etterretningssporet.Det bør også legges til rette for at samlokaliserin-gen omfatter liaisoner fra sektorvise responsmil-jøer og sertifiserte leverandører42. Det privat–offentlige samarbeidet må bygge på frivillighet.Det bør også dimensjoneres bygningsmasse for atsentrale offentlige og private virksomheter medkritiske samfunnsfunksjoner kan inngå i dette fag-miljøet, enten regelmessig eller ved alvorlige hen-delser.

I andre fase (2–4 år) bør Justis- og bered-skapsdepartementet legge til rette for et ytterli-gere samarbeid mellom de sektorvise responsmil-jøene, sertifiserte leverandører og akademia. Detanbefales at politiet, ved Kripos’ nye nasjonale«Cyber Crime Center», gis i oppdrag å etablere etnasjonalt cybersikkerhetssenter.43 Det er i detteforslaget lagt vekt på viktigheten av at et cybersik-kerhetssenter etableres med et samfunnssikker-hetsperspektiv med likeverdig samarbeid mellomoffentlig og privat sektor, der en evner å delekunnskap og utnytte hverandres styrker. En delav senteret bør ha et særskilt ansvar for koordine-ring med de hemmelige tjenestene. Cybersikker-hetssenteret skal fungere som et felles kontakt-punkt til hjelp ved hendelser. I tillegg bør senteretha ansvar for å gjennomføre flere årlige nasjonalecybersikkerhetsøvelser.44

Politiet har en helt sentral rolle i samfunnssik-kerhetssporet. Forebygging av kriminalitet er enav politiets mest sentrale samfunnsoppgaver,sammen med etterforskningsansvaret og et sek-torovergripende ansvar for å håndtere ulykker ogkatastrofer i fred, på alle samfunnsområder. Nær-politireformen, som reduserer antall politidistrik-ter fra dagens 27 til 12, vil innebære en kompe-tanse- og kapasitetsmessig kraftsamling, noe somvil kunne skalere politiets innsats på området. Ipolitiets forebyggende arbeid er det allerede eta-blert en landsdekkende struktur for et mer opera-tivt privat–offentlig samarbeid gjennom nærings-livskontakter i flere politidistrikter. Dette gjør atpolitiet er særlig egnet som vert og leder av etcybersikkerhetssenter der det totale samfunnssik-kerhetsperspektivet forsterker det privat–offent-lige samarbeidet basert på likeverd. Politiet harsåledes et helhetlig ansvar på området som omfat-ter å forebygge, avdekke og stanse kriminell virk-somhet, forfølge straffbare forhold og håndterehendelser ved en krise.

21.11.3 Øke deteksjonsevnen og sammenstille et felles situasjonsbilde

For effektiv avdekking av digitale angrep trengsdet gode deteksjonsmekanismer som dekker dekanalene angrepene gjennomføres gjennom.Dette innebærer mer enn teknologiske tiltak. Res-sursgruppen har stilt spørsmål ved om det kan

41 Internasjonalt ofte omtalt som govCERT-funksjon.42 Leverandører som har møtt visse kriterier satt opp av myn-

dighetene, som kan bistå med å rydde opp etter IKT-sik-kerhetshendelser etter modell fra Storbritannia og «CIR»-sertifisering.

43 Begrepet cybersikkerhetssenter i stedet for IKT-sikkerhetssen-ter blir her brukt for å være sammenlignbart med andrelands oppbygging av slike sentre, for eksempel i Nederlandog Finland.

44 Nederland avholdt tre nasjonale cybersikkerhetsøvelser iperioden 2007–2014.


være slik at IKT-hendelser ved NSM NorCERTblir sikkerhetsgradert selv om kildene i utgangs-punktet er av ugradert karakter. Informasjonsde-ling i forbindelse med hendelser må starte tidligereenn det som er vanlig i dag. Man bør i større gradløsrive seg fra behovet for forståelse og ferdigs-tilte rapporter før informasjon deles.

Inntrengingstesting er en viktig del av detforebyggende IKT-sikkerhetsarbeidet, og er pri-mært et virksomhetsansvar. NSM anbefaler i sik-kerhetsfaglig råd at Sikkerhetsutvalget bør vur-dere om «NSM bør gis hjemmel til å gjennomføreinntrengingstesting uten forutgående samtykkefra virksomheten». Utvalget er prinsipielt uenig iat man bør tillate å gjennomføre inntrengingste-sting uten samtykke fra virksomheter. Dettebegrunnes med at det kan undergrave tillit, samtsektorenes og virksomhetenes selvstendigeansvar.

Tiltaket omfatter følgende områder:

1. Aktiv og rettidig informasjonsdeling ved å eta-blere en hensiktsmessig teknisk plattform

Utvalget mener NSM NorCERT må etablere en tek-nisk informasjonsdelingsplattform for ugradertinformasjon mot virksomheter for å kunne deleinformasjon raskt og sikkert. Dette vil kunne væreen viktig tjeneste for et enda tettere privat–offent-lig samarbeid. NSM bør måles på gjennomførin-gen av denne informasjonsdelingen. Dette forut-setter at det er etablert en hensiktsmessig infra-struktur, se tiltak foreslått i kapittel 20 «Styring ogkriseledelse».

2. Styrke deteksjonsevnen gjennom tilpasset moni-torering i den enkelte sektor.

Utvalget ser behovet for en styrket nasjonal evne til ådetektere hendelser i det digitale rom. Utvalget er avden oppfatning at lovfesting av VDI-funksjonen erhensiktsmessig i den grad det formalisererdagens eksisterende ordning. Når det gjelderutplassering av VDI-sensorer, er det viktig åbygge opp sektormyndighetenes ansvarsutøvelsepå dette området. Justis- og beredskapsdepartemen-tet må innta en pådriverrolle overfor sektormyndig-hetene, slik at sektorene har tilstrekkelige deteksjons-mekanismer. Teknologien bør være den samme,og driftes av NSM NorCERT. Imidlertid måansvar for utrulling og beslutning om plasseringtilligge sektorene. Utvalget anbefaler at det etable-res en årlig økonomisk ramme, forvaltet av NSM isamarbeid med sektormyndighetene, som kan bru-kes til spesifikke myndighetspålagte tiltak. Dette må

ses i sammenheng med 21.11.2 «Forbedre dennasjonale operative evnen gjennom samlokalise-ring», der en forutsetning for virksomhetene er atdet blir en tydelig tilbakemelding og verdiøkningtilbake fra NSM NorCERT.

Neste generasjons VDI bør videreutvikles i sam-arbeid med de sektorvise responsmiljøene for å iva-reta sektorenes behov på en god måte. De sektor-vise responsmiljøene må ha mulighet til å tilpassedeler av signaturene til sektorens behov. Gjennomdette vil man kunne ivareta både det nasjonale ogdet sektorvise perspektivet. Utvalget mener detteogså vil bidra til større helhetsforståelse og bedresamarbeid. Behovet må ses i sammenheng medpunkt 21.11.8 «Sikre balansen mellom personvernog et sikrere samfunn».

3. Etablere et felles situasjonsbilde og automatisertinformasjonsdeling.

Utvalget mener det bør legges til rette for et fellessituasjonsbilde, basert på åpne kilder, som kan delesmed sektorvise responsmiljøer og andre relevanteaktører. Nasjonal kommunikasjonsmyndighet børvurdere å etablere en automatisert prosess for å deleinformasjon om norske datamaskiner som er brukt idigitale angrep mot norske telekomoperatører.Eventuelle lovmessige implikasjoner må utredes.Det er primært utstyr hos sluttkunder som er mål-gruppen her. Tiltaket er inspirert av den finskeordningen, der den nasjonale CERT-en har auto-matisert deling av informasjon til finske ISP-er.

21.11.4 Styrke kapasitet og kompetanse knyttet til håndtering av digitale angrep

Utvalget registrerer at det er kapasitets- og kom-petanseutfordringer knyttet til håndtering av digi-tale angrep. For å sikre rekruttering av relevantkompetanse i fremtiden er det viktig at fagmiljø-ene har en aktiv rolle overfor akademia. På denmåten kan akademia tilføres praktisk erfaringsom har verdi for kunnskapsutviklingen, somigjen kan tilbakeføres til de operative kapasite-tene.

Tiltaket omfatter følgende områder:

1. Evaluere ordningen med sektorvise responsmil-jøer

Utvalget mener det er viktig at det støttes opp ometableringen av de sektorvise responsmiljøene.De sektorvise responsmiljøene er imidlertidsvært ulike, noe som kan medføre at samarbeid


og koordinering mellom dem fungerer mindrehensiktsmessig. Det er også en utfordring at sek-tor-CSIRT ikke nødvendigvis favner hele sekto-ren, og at ikke alle virksomheter har en sterk ognaturlig tilhørighet i én sektor. Videre stiller utval-get spørsmål ved om Norge har tilstrekkelig kom-petanse til å bemanne flere små miljøer. Utvalgetmener at oppbyggingen av sektorvise responsmil-jøer har foregått noe ukoordinert, og at Justis- ogberedskapsdepartementet var sent ute med å giretningslinjer for etableringen. Utvalget mener deter behov for en evaluering av ordningen med sektor-vise responsmiljøer sett opp mot det tverrsektoriellebehovet for hendelseshåndtering. Dette bør gjøres ietterkant av Øvelse IKT 2016. Det er en forutset-ning at de sektorvise responsmiljøene involverestett i evalueringen. Gjennom evalueringen bør detblant annet ses på om inndelingen i sektorviseresponsmiljøer er hensiktsmessig, eller omresponsmiljøer for sektorer med tilsvarende utfor-dringer bør slås sammen.

2. Utrede nasjonal cyberreserve for digital hendel-seshåndtering

Utvalget stiller spørsmål om hvilke skaleringsmu-ligheter som finnes ved større kriser som kreverinnsats utover ordinær bemanning, samt hvordanman vil kunne nyttiggjøre seg andre miljøer.Utvalget mener det må etableres en nasjonal cyber-reserve for digital hendelseshåndtering. Målet er åkunne skalere opp innsats ved store hendelser ogkriser, for eksempel ved å opprette avtaler medtidligere ansatte fra relevante fagmiljøer. Dette eret forslag Nederland har fremmet, og det er paral-leller i Norge med innkalling av ekspertise påandre områder. Storbritannia og Estland har eta-blert lignende «cyberreserver».

Det daglige virket for dem som inngår i cyber-reserven, vil ikke endres. Utvalget erkjenner atdet er begrenset levetid på kompetanse, og at detderfor bør ses på hvilke kriterier som skal ligge tilgrunn for utvelgelse av personell, og hva ambi-sjonsnivået bør være, knyttet til størrelse påcyberreserven. Utvalget har respekt for at etable-ring av en cyberreserve har mange kompleksesider som utvalget ikke har beskrevet. Utvalgethar som tidligere beskrevet ikke gjort en analyseav Forsvarets kapasiteter, men tiltaket kan væreegnet som et område for sivilt–militært samar-beid. Utvalget mener at et naturlig første steg vilvære at Justis- og beredskapsdepartementet og For-svarsdepartementet utreder hvordan en slik cyberre-serve kan bygges opp, driftes og organiseres.

21.11.5 Etablere et nasjonalt «Cyber Crime Center»

Det er utvalgets oppfatning at Politiets beredskap-sevne og oppgaveløsning i det digitale rom erlangt fra tilstrekkelig og ikke tilpasset samfunnetsforventninger og den risikoen samfunnet stårovenfor. Utvalget støtter Justis- og beredskapsdepar-tementet forslag om å opprette et nytt nasjonalt sen-ter for å forebygge og etterforske kompleks og grense-overskridende IKT-kriminalitet. Senteret bør ha etutvidet og nasjonalt fagansvar for forebygging ogetterforskning av alvorlig og kompleks IKT-krimi-nalitet med en særskilt bistandsfunksjon for åstøtte politidistriktene, både polititaktisk og påta-lefaglig. Senteret skal også drive fag- og metodeut-vikling. Det er viktig å tydeliggjøre at et slikt sær-skilt nasjonalt senter alene gis ansvaret for meto-deutvikling og håndtering av skjulte digitale meto-der. I tillegg bør senteret ha et særskilt nasjonaltansvar for kunnskaps- og metodeutvikling i samar-beid med PHS og andre kunnskapsmiljøer. Beho-vet for et spisset nasjonalt fagmiljø vil ha avgjø-rende betydning for politiets innsats på området,og økt betydning i tiden fremover. Et nasjonaltsenter vil også lettere kunne møte et økende kravtil nasjonalt og internasjonalt samarbeid. Utvalgetpresiserer at det ikke foreslås å gi senteret ansvarsom per i dag faller inn under PSTs ansvarsom-råde.

Utvalget mener at senteret ikke bare kan, menskal, etterforske alvorlig IKT-kriminalitet. Det erønskelig at Riksadvokaten gir klare føringer for hvasom ligger i begrepet alvorlig IKT-kriminalitet.

Utvalget vurderer at det ikke er realistisk nå åopprette et slikt senter som et eget særorgan.Dette er begrunnet i at Regjeringen har vedtatt enutredning av fremtidig organisering av særorga-nene. Utredningen bør vurdere om kapasitetsopp-byggingen har svart til intensjonen, og om alterna-tive organisasjonsformer er mer hensiktsmessige.

21.11.6 Sikre sterke fagmiljøer for IKT-kriminalitet i politidistriktene

Digital kompetanse i politiet må bygges i bredden,det vil si i alle politidistrikt. I politidistriktene erdet behov for bedre og mer spesialisert kompe-tanse, ferdigheter og økt kvalitet på politiarbei-det.45 Alle tjenestemenn og -kvinner trenger øktforståelse for digitalt politiarbeid, herunder å



bekjempe IKT-kriminalitet, behandle elektroniskespor, arbeide på Internett, samt generell etterfors-kningskompetanse når det gjelder IKT-kriminali-tet.

PHS’ studieprogram innenfor grunnutdannin-gen og etter- og videreutdanningen må i tilstrek-kelig grad vektlegge IKT-kriminalitetsbekjem-pelse, behandling av elektroniske spor og arbeidpå Internett. Utvalget anbefaler at det gjennomføreset stort løft innenfor etter- og videreutdanning forallerede uteksaminerte tjenestemenn og -kvinner.Utvalget mener også at Justis- og beredskapsdeparte-mentet bør gi klare føringer til politidistriktene for åsikre nødvendig tverrfaglig kompetanse i politiet,herunder sivilt ansatte med teknisk bakgrunn.

Politidistriktenes fagmiljøer for sikring avelektroniske spor og etterforskning av IKT-krimi-nalitet er ulike og ofte kritisk små. Organisato-riske endringer som følge av nærpolitireformenog sammenslåingen av politidistrikter og størrefagmiljøer vil ikke alene gi den nødvendige kapasi-teten politiet trenger for å møte fremtidens IKT-kriminalitetsutfordringer. Utvalget anbefaler, i trådmed Politidirektoratet, at politidistriktenes fagmil-jøer styrkes betraktelig. Ved politiets arbeid på Inter-nett bør den åpne tilstedeværelsen, herunder «politi-stasjon og patruljering på nett», ligge til det enkeltepolitidistrikt for å ivareta politiets primæroppgavemed å sikre trygghet, lov og orden.

Utvalget mener at et klart grensesnitt mellomhva et nasjonalt «Cyber Crime Center» håndterer,og hva politidistriktene selv forventes å håndtere,er avgjørende. Politidistriktenes fagmiljøer måvære dimensjonert til å håndtere oppgavene sinenår det gjelder bekjempelse av IKT-kriminalitet.Utvalget støtter Justis- og beredskapsdepartementetsforslag om at Oslo politidistrikt kan være pilot foren slik satsing.46

Utvalget har vurdert ulike modeller for organi-sering. PST har i dag en organisasjonsmodell medén sentral enhet og dedikert personell lokalt i dis-triktene. Ordningen med etablering av tverrfag-lige økoteam i samtlige politidistrikter har værtvellykket, og de fleste politidistriktene er i dag istand til å håndtere også kompliserte økonomiskestraffesaker i eget distrikt.47 I Norge står politidis-triktenes autonomi og politimestrenes frihet til åprioritere innenfor egen ramme sterkt. Utvalget

mener denne styringsmodellen ikke må være til hin-der for å vurdere ulike modeller for organisering avIKT-kriminalitet, blant annet ved utredningen avden fremtidige organiseringen av særorganene.

21.11.7 Sikre en IKT-infrastruktur til støtte for politiets kriminalitetsbekjempelse

Utvalget er av den oppfatning at IKT-situasjonen ipolitiet er kritisk. Det er behov for langsiktige ogomfattende løft med tanke på stabilitet i grunnleg-gende infrastruktur og sikkerhet i applikasjonerog tjeneste. I tillegg er det et stort behov for å eta-blere felles nasjonale løsninger som erstatning forulike lokale løsninger. Utvalget ser det som heltgrunnleggende for å kunne understøtte en størresatsing i politiet mot IKT-kriminalitet. Det er ogsåbehov for utvidet funksjonalitet, slik som digitali-sering av samhandling mot domstolene, kriminal-omsorgen og mot innbyggerne.

Det er ikke funnet grunnlag for å si at detteskyldes manglende investeringer til IKT i politiet.Utvalget merker seg politiets bekymring overIKT-situasjonen og manglende langsiktig satsingved at Merverdiprogrammet ble besluttet delt oppi mindre prosjekter for å redusere risikoen i IKT-fornyingen i politiet. Utvalgets bekymring knytterseg særlig til to mulige konsekvenser – ineffektivi-tet i politiarbeidet og uroen for at hele IKT-systemet politiet baserer arbeidet sitt på, ikke harnødvendig robusthet og sikkerhet. Utdaterte IKT-systemer er ikke unikt for justissektoren. Det erimidlertid summen av disse faktorene som gjørIKT-infrastrukturen i politiet særlig sårbar. Utval-get mener at Justis- og beredskapsdepartementet børiverksette tiltak for å sikre politiet et teknologiløft,med fokus på IKT-ledelsen og -styringen, øke bestil-lerkompetansen og gi klare prioriteringer for res-sursutnyttelse i et langsiktig perspektiv.

21.11.8 Sikre balansen mellom personvern og et sikrere samfunn

Utvalget har merket seg at inngripende metoderforeslås for å få et sikrere samfunn, uten at balan-sen mot personvern og ytringsfrihet er tatt til-strekkelig stilling til og redegjort for. Slike tekno-logi- og personvernspørsmål blir i stor grad over-latt til politiske myndigheter. Utvalget fremmerderfor to områder der det må foretas viktige avvei-ninger for å finne den rette balansen mellom mot-stridende hensyn.

1. Utrede innføring av digitalt grenseovervåkingved en NOU eller annen offentlig utredning.

46 Ibid.47 Politidirektoratet (2012): Organisering av økoteamene. For-

ankret i regjeringens handlingsplan mot økonomisk krimi-nalitet (2011) ble økoteamene opprettet i 2005 ved alle poli-tidistrikter som tverrfaglige team for å behandle kom-plekse økonomiske straffesaker.


Utvalget registrerer at det oppgis at noen land vigjerne sammenligner oss med, har digital grense-overvåking, og forstår det etterretningsfagligebehovet for å vurdere innføring også i Norge.48

Utvalget er imidlertid av den oppfatning at digitalgrenseovervåking ikke bør innføres uten en forutgå-ende offentlig debatt. Denne debatten bør forberedesgjennom en Norsk offentlig utredning (NOU) elleret tilsvarende utredningsdokument. På den måtenvil man sikre at virkemiddelet blir diskutert i størrebredde enn det dette utvalget har hatt anledning tilå gjøre. Vi foreslår derfor at det settes ned et egetutredningsutvalg med et mandat som inkludererat utvalget skal– ha en presis formulering av formålet med inn-

samlingen og tilgang til bruk av data– vurdere implementasjonsmetoder for å nå

dette målet– utrede hvilke tilleggsgevinster man får av digi-

tal grenseovervåking, sammenlignet med deovervåkingstiltakene som allerede er iverksatti regi av NSM NorCERT og andre CERT/CSIRT-er og sensorsystemer, og den tilgangentil informasjon som EOS-tjenestene i dag harfra andre kilder

– vurdere den teknologiske realismen i disse til-leggsgevinstene

– vurdere alternative tilnærminger til å oppnå desamme gevinstene

– vurdere forholdsmessigheten i disse tilleggs-gevinstene i relasjon til hvor inngripende de eri forhold til personvern og menneskerettighe-ter

– vurdere mulige konsekvenser for individer,næringsvirksomhet og nasjonal sikkerhet der-som utenforstående skulle ta kontroll overovervåkingsutstyret og/eller få innsyn i data

– vurdere proaktive tiltak for å hindre fremtidigformålsutglidning, og slik sikre at innsamlede

data og tekniske installasjoner tilknyttet digitalgrenseovervåking ikke benyttes til andre for-mål enn de som er forutsatt.

Deltagerne i dette utvalget må ha en erfarings-base som gjør at hensyn til etterretningsbehov,teknologisk kompetanse og personvernhensynivaretas, og at man sikres en grundig redegjørelsefor de teknologiske, rettslige og samfunnsmes-sige spørsmålene saken reiser.

2. Utrede politiet og PSTs skjulte metodebruk påInternett.

Utvalget legger til grunn at politiet og PST i lys avden digitale utviklingen har behov for å væreaktivt til stede i det digitale rom, med både åpenog skjult tilstedeværelse på Internett. Den åpnetilstedeværelsen til politiet er uproblematisk og enforutsetning for et effektivt og moderne politi.Den skjulte tilstedeværelsen reiser grunnleg-gende verdispørsmål om balansen mellom sam-funnets behov for å bekjempe IKT-kriminalitetmed alle midler og grunnleggende samfunnsver-dier som menneskerettigheter, personvern, retts-sikkerhet og ytringsfrihet. Metodebehovet reiserogså spørsmål knyttet til utvikling og utøvelse avetterforskningsmetoder, som søkemetodikk, opp-treden på et «digitalt åsted», politiets egen sikker-het og eksponering, samt mer komplekse spørs-mål knyttet til skjult innsamling av informasjon.

Utvalget mener at Justis- og beredskapsdeparte-mentet bør sette rammene for utviklingen av justis-sektorens skjulte digitale metoder. Dersom PST igjenreiser forslag om å registrere ytringer på sosialemedier og analysere informasjon fra åpne kanaler,mener utvalget at det er et særskilt behov for en fullof fentlig utredning. De hensynene som må ligge tilgrunn for beslutningen om hvorvidt vi skal over-våke sosiale medier, vil ha mye til felles med dehensynene som ligger til grunn for grenseovervå-king.

48 Utvalget har mottatt utdypende beskrivelser knyttet til detetterretningsfaglige behovet fra Etterretningstjenesten.


Kapittel 22

Felleskomponenter

I offentlig sektor finnes det funksjoner som det ernaturlig å sentralisere. Folkeregisteret er etteksempel. Når Norge først har valgt å registrerealle innbyggerne, er det mest naturlig å ha ett sen-tralt register. Det finnes også andre funksjonersom man kan velge å sentralisere. Matrikkelen(se punkt 22.4.1) hos Kartverket er et eksempelpå en funksjon samfunnet har valgt å sentralisere,men som kunne ligget for eksempel hos kommu-nene.

Digitalisering kan også forårsake sentralise-ring der sentralisering ville gitt liten eller ingenmening i en analog verden. Et eksempel er Altinn,som kan håndtere kommunikasjon mellom offent-lige virksomheter og borgere og private virksom-heter. Altinn gjør det lettere for offentlig sektor åkommunisere digitalt med brukerne.

Sentralisering kan eliminere dobbeltarbeid.Når offentlige virksomheter kan gjenbrukeAltinns funksjonalitet for innsending av skjemaer,slipper hver offentlig virksomhet å utvikle dennefunksjonaliteten. En annen fordel er at et godt sik-kerhetsarbeid hos fellesfunksjonen automatiskkommer alle virksomheter til gode.

Samtidig kan sentralisering påvirke sikker-hetsnivået negativt. Først av alt blir mange virk-somheter avhengige av fellesfunksjonene, av og tiluten at de er klar over det. Dersom en fellesfunk-sjon har for dårlig sikkerhet, kan det være vanske-lig for enkeltvirksomheter å lage sin egen variantmed høyere sikkerhet, selv om de reelt sett harbehov for det.

Sårbarheter i fellesfunksjoner vil dermed hasærlig store konsekvenser. Derfor er det viktig atvi har et overordnet grep om disse sårbarhetene,at de som eier felleskomponentene, forstår hvilkesamfunnsverdier som hviler på dem, og at de sombruker felleskomponentene, forstår hvilke sårbar-heter de arver.

Felles infrastruktur for e-ID er særlig viktig forkommunikasjon mellom offentlige virksomheterog borgerne. Samtidig er dette et krevende feltder vi i nær fremtid ikke kan forvente at tekniskeløsninger har svært høy sikkerhet. Det betyr at

det er særskilt viktig å håndtere den arvede sår-barheten.

Mange felleskomponenter innebærer lagringav informasjon. Utfordringene knyttet til lagringav informasjon er stort sett de samme overalt, ogfunnene i dette kapittelet vil i stor grad også gjeldefor de ulike samfunnsfunksjonene.

22.1 Utvalg av felleskomponenter

I utviklingen av digital forvaltning har man satsetpå enkelte felleskomponenter. Dette er kompo-nenter som kan gjenbrukes i flere IKT-løsninger ioffentlig sektor. Enkelt kan man si at felleskompo-nenter er felles «byggeklosser» for å kunneutvikle elektroniske tjenester. Se forøvrig punkt23.6 «Næringsutvikling og IKT-sikkerhet» derbehovet for effektivisering utdypes nærmere.

Direktoratet for forvaltning og IKT (Difi) haridentifisert fem felleskomponenter med storttverrsektorielt behov som de anbefaler får statussom nasjonale felleskomponenter.1 Disse fem er:– Grunndata om virksomheter: Enhetsregisteret

i Brønnøysundregistrene– Grunndata om personer: Folkeregisteret hos

Skatteetaten– Grunndata om eiendom: Matrikkelen hos

Kartverket– Altinn-komponentene hos Brønnøysundregis-

trene– Felles infrastruktur for e-ID i offentlig sektor

hos Difi

Utvalget finner det naturlig å se nærmere på dissefelleskomponentene. Det er andre felleskompo-nenter utvalget kunne sett nærmere på, men deter naturlig å tro at de som er nevnt over, gir goddekning av problemstillingene vi ser ved felles-komponenter.

1 Direktoratet for forvaltning og IKT (2010): Nasjonale felles-komponenter i offentlig sektor - Forslag til hvordan nasjonalefelleskomponenter bør styres, forvaltes, finansieres og utvikles.



Kommunal- og moderniseringsdepartementet(KMD) har et særskilt ansvar for å arbeide for enstyrket og mer helhetlig tilnærming til informa-sjonssikkerhet i statsforvaltningen. KMD harogså ansvaret for personvernpolitikk. På informa-sjonssikkerhetsområdet omfatter ansvaret blantannet valg av felles standarder, krav til bruk av sty-ringssystemer for informasjonssikkerhet, veiled-ning på overordnet nivå, tilrettelegging for enbedre koordinering av etatenes arbeid med infor-masjonssikkerhet og understøttelse av samord-nede løsninger tilpasset det rettslige rammever-ket.

Oppgaven med å følge opp KMDs særskilteansvar for å arbeide for en styrket og mer helhet-lig tilnærming til informasjonssikkerhet i statsfor-valtningen er delegert til Direktoratet for forvalt-ning og IKT (Difi). Grunnprinsippet er at alle haransvar for å sikre egen informasjon, og Difi skalbistå.

Difi er KMDs fagorgan for IKT-politikken ioffentlig sektor og retter seg i hovedsak mot stats-forvaltningen, men arbeider også mot kommunalsektor, næringsliv, frivillige organisasjoner ogenkeltmennesker. Et av Difis fagområder er digi-talisering av offentlige tjenester og arbeidsproses-ser, herunder utvikling og forvaltning av fellesløs-ninger. Direktoratet arbeider med offentligeanskaffelser og forebyggende IKT-sikkerhet istatsforvaltningen, og har ansvar for Kravspesifi-kasjon for PKI (Public Key Infrastructure) ioffentlig sektor. De forvalter ID-porten som erinnloggingsportal for offentlig sektor, og MinID,som er en e-ID på nivå 3.

Justis- og beredskapsdepartementet har ansvaretfor det nye nasjonale ID-kortet. ID-kortet kan blien vesentlig faktor i det norske e-ID-landskapetdersom kortet blir utstyrt med en e-ID og ID-kor-tet blir utbredt.

Nærings- og fiskeridepartementet har ansvaretfor lov om elektronisk signatur (esignaturloven).2

Nasjonal kommunikasjonsmyndighet (Nkom)fører tilsyn med sertifikatutstedere.


Det er en rekke lover og forskrifter som regulererfelleskomponenter. I den videre kartleggingenhar følgende lover og forskrifter særlig relevans:

Lovgivning for personopplysninger. Personopp-lysningsloven er generell lov som gjelder for bådeoffentlig og privat sektors behandling3 av person-opplysninger,4 med mindre særlovgivningeneksplisitt regulerer bruk av personopplysningersom for eksempel helseregisterloven og politire-gisterloven. Formålet med loven er å beskytte denenkelte mot at personvernet blir krenket gjennombehandling av personopplysninger, slik at person-lig integritet, privatlivets fred og kvalitet på per-sonopplysninger blir ivaretatt. Personopplysnin-ger krever ekstra beskyttelse dersom de er sensi-tive. Behandling av personopplysninger krever etrettslig grunnlag og skal være saklig begrunnetfor et definert og avgrenset formål. Forskrift ombehandling av personopplysninger kapittel 2 regu-lerer krav til informasjonssikkerhet. Det stillesblant annet krav til å sikre opplysningenes konfi-densialitet, tilgjengelighet og integritet samt utar-beide sikkerhetsstrategi, risikovurdering, intern-kontroll, revisjon og avvikshåndtering.

Sikkerhetsloven skal motvirke trusler motrikets selvstendighet og sikkerhet og andre vitalenasjonale sikkerhetsinteresser. Loven er tverrsek-toriell, og den skal sørge for at informasjon ogobjekter som er skjermingsverdige, har tilstrekke-lig sikkerhet. Skjermingsverdig informasjon klas-sifiseres etter sensitivitet i kategoriene begrenset,konfidensielt, hemmelig og strengt hemmelig.Det er opp til objekteieren å melde inn skjer-mingsverdige objekter, og loven gjelder bare fordisse og de som får tilgang til sikkerhetsgradertinformasjon fra et forvaltningsorgan.

Regulering av elektronisk ID (e-ID). Det eresignaturloven som regulerer e-ID i Norge. Lovener basert på EU-direktivet om elektroniske signa-turer.5 I praksis er det to styrende dokumenter fore-ID, Rammeverk for autentisering og uavviselig-het i elektronisk kommunikasjon med og i offent-lig sektor og Kravspesifikasjon for PKI i offentligsektor. Rammeverket tar utgangspunkt i fire risi-

2 Nærings- og fiskeridepartementet (2001): Lov om elektro-nisk signatur (esignaturloven).

3 Enhver bruk av personopplysninger, som for eksempel inn-samling, registrering, sammenstilling, lagring og utleve-ring eller en kombinasjon av slike bruksmåter.

4 Opplysninger og vurderinger som kan knyttes til en enkelt-person.

5 Europaparlaments- og rådsdirektiv 1999/93/EF av 13.desember 1999 om en fellesskapsramme for elektroniskesignaturer.


konivåer og definerer fire tilsvarende sikkerhets-nivåer. Kravspesifikasjonen har to sikkerhetsni-våer for personer. Disse identifiseres med ramme-verkets to høyeste sikkerhetsnivåer. Den nye ID-kortloven og påfølgende forskrifter vil regulere ene-ID knyttet til det nye ID-kortet. Reguleringen påområdet vil endre seg, siden en ny EU-forordningerstatter det gamle esignatur-direktivet.6

22.4 Beskrivelse av felleskomponenter

22.4.1 Kartverket

Kartverket har det nasjonale ansvaret for geo-grafisk informasjon i Norge og driver en rekkeregistre relatert til geografisk informasjon. Demest essensielle registrene er:– Matrikkelen. Dette er Norges offisielle register

for eiendom, adresser og bygninger, og oppda-teres av kommunene via matrikkelklienten.Matrikkelen er en sammensmelting av Grunn-eiendom-, adresse- og bygningsregisteret ogDigitale eiendomskart. Matrikkelinformasjoner sentral i mye av saksbehandlingen i kommu-nene og i en del statlige virksomheter og foralle innbyggere og virksomheter som eier eien-dommer. Matrikkelloven pålegger alle offent-lige virksomheter å benytte matrikkelen ibehandling av saker om matrikkelenheter, byg-ninger, boliger og offisiell adresse.

– Grunnboken. Dette er Norges offisielle regis-ter for tinglysing av fast eiendom og borett.Elektronisk tinglysing er på vei inn, og det erhovedsakelig historiske grunner til at grunn-boken og matrikkelen er adskilt. Disse tobehandles derfor etter de samme sikkerhets-og arkitekturprinsippene i dag.

– Sentralt stedsnavnregister og Nasjonalt regis-ter over luftfartshindre.

Kartverkets geografiske informasjon er til en vissgrad sensitiv. Dybdedata og landmålinger ved enviss måletetthet er sikkerhetsgradert etter ønskefra Forsvaret og er begrunnet i ønsket om infor-masjonsoverlegenhet på norsk territorium. Foto-grafier fra luften er også gradert i visse områderav hensyn til skjermingsverdige objekter.

Kartverket gjør kartdata tilgjengelig både forpublikum og andre parter. Svært mange tjenesterer avhengige av å kunne lese eller endre data i

matrikkelen. Tilgjengelighet blir dermed stadigviktigere.

Manglende integritet i kartdata kan for eksem-pel skape problemer innen skipsfart. Under gran-skingen av Rocknes-ulykken i 2004 var manglendemerking i båtens kartsystemer ett av flere funn,og eksemplet viser behovet for integritet i alleledd fra primærkilden til sluttbrukeren.

22.4.2 Brønnøysundregistrene

Brønnøysundregistrene forvalter 18 nasjonaleregistre og har forvaltningsansvaret for fellesløs-ningen Altinn. Driften av Altinn er satt ut til enunderleverandør.

Enhetsregisteret inneholder grunndata omvirksomheter som er sentral informasjon for atoffentlige virksomheter skal kunne utføre opp-gavene sine på en god måte. Alle offentlige virk-somheter som har behov for grunndata om virk-somheter, har plikt til å bruke Enhetsregisteret,og private virksomheter får tilgang til offentligeopplysninger gjennom en kommersiell distributør.Tilgjengelighet er svært viktig.

Litt forenklet er Altinn et mellomledd mellomforskjellige offentlige virksomheter, enkeltmen-nesker og næringsliv. Altinn tilbyr en felles platt-form for at forvaltningen skal kunne tilby elektro-niske tjenester til innbyggere og næringsliv, og eret sentralt system i digitaliseringen av offentligsektor. I hovedsak skjer dette gjennom et systemfor innsending av skjemaer og utsending av mel-dinger. Det finnes også en arkivfunksjonalitet isystemet.

Mye av informasjonen som passerer gjennomAltinn, er sensitiv, og det er avgjørende at informa-sjonen er korrekt. Svært mye av informasjonensom passerer gjennom Altinn, lagres også i Altinnover tid. Dersom Altinn blir utilgjengelig, får detraskt store konsekvenser for svært mange offent-lige virksomheter, enkeltmennesker og privatevirksomheter. Systemet er dimensjonert for perio-disk stor belastning, for eksempel i forbindelsemed selvangivelsen, som det historisk har værtutfordringer med å håndtere.

22.4.3 Skatteetaten

Skatteetaten forvalter en rekke registre og arkiversom inneholder mye sensitiv eller viktig informa-sjon om enkeltmennesker og virksomheter. Foreksempel inneholder Aksjonærregisteret sværtmye informasjon om aksjeselskaper, og det er vik-tig at denne informasjonen er korrekt.

6 Regulation (EU) No 910/2014 of the European Parliamentand of the Council of 23 July 2014 on electronic identifica-tion and trust services for electronic transactions in theinternal market and repealing Directive 1999/93/EC.


Folkeregisteret inneholder grunndata om alleborgere og andre som har tilknytning til Norge,og er en viktig nasjonal felleskomponent i elektro-nisk forvaltning. Her tildeles fødsels- eller D-num-mer. Folkeregisteret reguleres av folkeregisterlo-ven. De fleste offentlige virksomheter er avhen-gige av rask og enkel tilgang til oppdatert og kor-rekt personinformasjon for å kunne utføre opp-gavene sine. Siden disse virksomhetene stoler påinformasjonen de får fra Folkeregisteret, er detviktig at informasjonen er korrekt.

Mange offentlige etater har mulighet til åendre eller legge til data i Folkeregisteret. Kvalite-ten på dataene i Folkeregisteret er dermed avhen-gig av kvalitetssikring hos mange andre etater. Etkjent problem er at det registreres flere innslag påén enkelt fysisk person.

22.5 Identifisering av sårbarhet

Utvalget har konsentrert seg om noen få sentralefellesfunksjoner, innhentet informasjon om dissefellesfunksjonene skriftlig og deretter fulgt oppmed møter. Sårbarhetsbeskrivelsene som følger,er oppsummeringer av generelle trekk.

22.5.1 Generelt om sikkerhetsarbeidet

Styring og styringssignaler. Generelt benyttes sty-ringssystemer basert på standard metodikk, derISO 27 000-serien og ITIL7 blir nevnt spesifikt.Dette er i henhold til Difis retningslinjer. Sårbar-hets-, konsekvens- og risikovurderinger utføresbåde på systemnivå og på overordnet nivå i de eta-tene vi har snakket med.

Drift og utvikling. Det er stor variasjon i hvemsom utvikler og drifter systemene. Noen sværtgamle systemer går på stormaskiner, der man ipraksis er tvunget til å sette ut driften til eksterneaktører. Der deler av kritisk infrastruktur er sattut, benyttes store norske leverandører. Ingen avde utvalgte etatene har plassert kritisk infrastruk-tur i datasentre utenfor Norge. Det er eksemplerpå at deler av katastrofeløsninger8 er plassertutenfor Norge, men disse defineres da ikke somkritiske. Noen av etatene vurderer fremtidig brukav leverandører innenfor EU, mens andre har det

som et prinsipp at deres data skal være lagret iNorge.

Noe programvareutvikling skjer internt i eta-tene selv, men noen etater har i stor grad tatt ibruk eksterne leverandører og konsulenter. Deter eksempler på at etatene har brukt utviklere fraland utenfor EU. Det oppleves særlig vanskelig åskaffe kompetanse innen sikker utvikling og appli-kasjonssikkerhet. Utvikling og testing skal ifølgebeste praksis være adskilt fra produksjons-systemer og distribusjonssystemer, og det virkersom om dette følges opp for fellesfunksjonene.NSM NorCERT bistår med penetrasjonstesting,men har ikke kapasitet til å dekke bistandsbeho-vet. Det oppleves vanskelig å finne tilsvarendegode tjenester for dette i markedet.

Tilsyn. Riksrevisjonen blir av de spurte nevntsom den mest aktive tilsynsmyndigheten, men defører ikke tilsyn når det gjelder IKT-sikkerhet.Datatilsynet og DSB har i mindre grad hatt tilsynmed de utvalgte registeretatene. NSM fører tilsynmed de skjermingsverdige objektene og hjelper tilmed dokumentasjonsprosessene knyttet til dette.De etatene som velger å ikke melde inn objekter,faller naturligvis ikke inn under dette regimet.

Objektsikkerhetsregimet stiller kun funksjo-nelle krav til sikring av objekter og spesifikke kravtil dokumentasjon og sikkerhetsadministrasjon.Det er utfordringer ved å definere registre medstor geografisk redundans9 som et objekt påsamme måte som en fysisk installasjon. Det erfunksjonen felleskomponenten har, som er sam-funnskritisk, mens det er datahallene som gjerneblir betraktet som skjermingsverdige objekter.

Eksisterende tekniske og organisatoriske tiltak.Alle etatene har tatt i bruk tiltak som tilgangssty-ring, slik at ikke alle har tilgang til alt. Endrings-logger er et annet mye brukt tiltak.

I all hovedsak er kommunikasjon med bru-kere beskyttet med hensyn til konfidensialitet ogintegritet. Noen bruker en egen nøkkelinfrastruk-tur (PKI) for kommunikasjon med virksomhets-kunder, mens andre bruker en offentlig PKI, ofteden samme som brukes for nettsteder på det åpneInternettet. Kryptering og integritetsbeskyttelseer imidlertid mer uvanlig der informasjonen opp-bevares.

Knyttet til hendelseshåndtering er det særligto punkter som blir nevnt. Det oppleves som van-skelig å rekruttere spesifikk IKT-sikkerhetskom-petanse innen beskyttelse mot målrettede angrep,7 Information Technology Infrastructure Library (ITIL).

8 Med katastrofeløsninger menes her løsninger for redun-dans som kan ta over for normal drift eller brukes for gjen-oppretting i tilfeller der datasenter rammes av katastrofalehendelser.

9 Med stor geografisk redundans menes at det er mangekopier, inkludert kriseløsninger, spredt på mange geo-grafiske lokasjoner.


og det stilles spørsmål om det er fornuftig å byggeopp kapasitet i hver etat. Noen av fellesfunksjo-nene er dekket gjennom NSM NorCERTs vars-lingssystem for digital infrastruktur (VDI). Viviser for øvrig til kapittel 21 «Avdekke og hånd-tere digitale angrep», der hendelseshåndteringblir omtalt.

Det er få øvelser utover ytelsestesting ogredundanssjekker. Det kan forklares ved at det igamle systemer ikke har vært en forventning omat reservesystemer vil overta. Systemene har blittmer modne, og nå forventes det stort sett at reser-veløsninger vil fungere.

Personvern. Omfanget av etatenes arbeid medpersonvern varierer. Noen har egne person-vernombud. Kobling av data fremheves som etøkende problem.

22.5.2 Sårbarhetsbeskrivelser

Avhengighet. Alle digitale tjenester er avhengigeav infrastruktur som leverer strøm og elektroniskkommunikasjon. Brudd på disse er stort sett entrussel mot tilgjengelighet, ikke mot konfidensiali-tet eller integritet. Sikkerhetsarbeidet er ogsåavhengig av kompetanse hos dem som levererdigitale tjenester.

Etatene er generelt vant med å vurdere egnesårbarheter, men har i varierende grad oversiktover omfanget av eksterne aktører som er avhen-gige av etatens tjenester. For eksempel utførernoen etater interessentanalyser og har møter medprimæraktørene. De bruker så innspill derfra somgrunnlag for egne krav til IKT-sikkerhet. For noenfellesfunksjoner oppfattes det som krevende åbygge opp et komplett bilde av alle som er avhen-gige av funksjonen, og dermed hvilke verdier somskal sikres.

Sikkerhetskrav og balansering. Sikkerhetskravformuleres på forskjellige måter. Det kan værekrav til tilgjengelighet og kapasitet samt krav tilspesifikke teknologiske valg. Krav kan også for-muleres som evne til å motstå bestemte trussel-aktører eller situasjoner. Eksempel på sistnevnteer at visse endringer ikke skal kunne utføresalene.

Noen opplever også utfordringer knyttet tilbalansen mellom forskjellige sikkerhetsmål. Foreksempel er detaljerte dybdedata sikkerhetsgra-dert i henhold til sikkerhetsloven, samtidig somdette har nyttige bruksområder innen kartleggingav økologisk liv på havbunnen og planlegging avfiskeoppdrettsfelt. Skjermingsbehovet reduserer ipraksis muligheten for andre bruksområder.

Tradisjonelt har integritet og konfidensialitetveid tyngst, men også nye måter å arbeide på kanutfordre dette, for eksempel krav om tilgang tildata fra mobile enheter. Spesielt for fellesfunksjo-ner er det krevende å balansere noen kunderskrav om funksjonalitet mot andre kunders kravom sikkerhet.

Styring og styringssignaler. Det er høy grad avbevissthet hos etatene om at ansvaret for sikker-het ligger hos dem. Etatene får i noen grad sikker-hetskrav utenfra, for eksempel gjennom tildelings-brev, den nasjonale informasjonssikkerhetsstrate-gien eller forskrifter, men disse er ofte vage. Detteer forskjellig fra en del andre områder, som foreksempel utforming av webinnhold for svaksynte,der det er veldig strenge og konkrete krav. Dettebidrar til en ubalanse.

Det oppleves som om sikkerhetsnivået må set-tes av etaten selv. Det kan være positivt, siden eta-ten selv får «eierskap» til sikkerhetskravene. Detoppleves også som vanskelig å avgjøre hva som eret forsvarlig nivå på sikkerhet. I stor grad blir detfaktiske sikkerhetsnivået personavhengig. Utval-get merker seg at etatene i praksis gjør risikovur-deringer på samfunnets vegne.

Beskyttelse mot sofistikerte angripere.10 Det erhovedsakelig enighet blant etatene om at det erutfordrende for dem å oppdage og håndtere sofis-tikerte angripere. Det er forståelse for at ikke alleuønskede hendelser kan forebygges, og at ressur-ser må brukes på å oppdage og håndtere slikesituasjoner. Utfordringene ligger i at evnen til åoppdage uønskede hendelser ikke er stor, og detvil være behov for ekstern hjelp i håndteringen.

Etatene har tro på at det vil være mulig å henteseg inn igjen fra integritetsbrudd, men i stor gradvil dette skje på improvisert vis, ikke ved å følge etplanverk.

22.5.3 Andre observasjoner

Krav til utstedelse og bruk av elektronisk identitet.ID-porten er en innloggingsportal som lar offent-lige nettsteder akseptere mange forskjellige løs-ninger for elektronisk identitet, men likevel for-holde seg til bare én teknisk løsning og bare énavtalepart. ID-porten har i dag både Difis egen e-ID og flere fra private leverandører.11 Difis e-IDhar forholdsvis svake rutiner for utstedelse, mensde private leverandørene holder en høyere stan-

10 Se definisjon i punkt 6.5 «IKT-sikkerhet på den strategiskeagendaen».

11 Difis løsning er på sikkerhetsnivå 3, mens de private aktø-renes løsninger alle er på nivå 4.


dard. Når det gjelder bruken av en utstedt e-ID, ersikkerheten svært varierende, men typisk ganskelav i forhold til de anvendelsesområdene som skis-seres i Kravspesifikasjon for PKI i offentlig sektor.På kort sikt er det vanskelig å se at det er praktiskå lage e-ID-er med et svært høyt sikkerhetsnivå,men det er fortsatt rom for forbedringer.

Utstedelse av e-ID er knyttet til registreringer iFolkeregisteret. Det betyr at en fysisk person medflere registreringer i Folkeregisteret også kan fåutstedt flere elektroniske identiteter. I utgangs-punktet er dette ikke en digital sårbarhet, men detkan tenkes at digitalisering av andre tjenester kanfå problemer som en følge av dette. Utvalget fin-ner det ikke naturlig å foreslå tiltak mot dette pro-blemet.

Fragmenterte IKT-sikkerhetskrav og motstri-dende prioriteringer fra myndighetene. Registe-reiere har påpekt problemstillinger knyttet tilinkonsistente krav og prioriteringer mellom Difiog NSM. Det finnes to tilnærminger til sikker-hetsarbeid: Først bestemmer man seg for et sik-kerhetsnivå, og deretter ser man hva man kan fåtil, eller: Først bestemmer man seg for hva manønsker å gjøre, og deretter ser man hva slags sik-kerhetsnivå man kan oppnå. Til en viss grad kanvi se på NSM og Difi som eksponenter for hver sintilnærming. Evalueringen av Difi belyser grense-flaten mellom Difi og NSM.12

Utvalget vurderer kjernen i konflikten til åhandle om prinsipielle forskjeller på risikoaksept,nemlig at det på den ene siden handler om ønsketom å hindre uønskede hendelser, og på den andresiden ønsket om tilgjengeliggjøring og effektivise-ring gjennom digitalisering.

Diskusjoner mellom NSM og Difi rundt sikkerdigital postkasse dreier seg om hvilket sikkerhets-nivå løsningen skal ha, og hva denne digitale post-kassen kan brukes til. Utvalget har valgt å ikkediskutere denne spesifikke problemstillingen,men våre forslag til tiltak vil også påvirke digitalpostkasse.


Våre vurderinger og tiltak er i hovedsak basert påsårbarhetsfunn hos eiere av fellesfunksjoner.Utvalget mener det er problematisk at etatenealene bestemmer sikkerhetsnivået til fellesfunk-sjonene, uten at det sikres at de totale verdieneblir tatt hensyn til. Tiltak for å bøte på dette blirdiskutert i punkt 23.1 «Etablere et nasjonalt ram-

meverk for å ivareta en helhetsvurdering av verdi-kjeder».

22.6.1 Følge utviklingen av IKT-utsetting for felleskomponenter

En opptelling av offentlige datasentre i Norge iregi av KMD13 konkluderer med et estimat på150–200. Det er rimelig å tro at det vil bli færredatasentre, at flere av datasentrene blir drevet aveksterne, og at flere samfunnsfunksjoner vil deleinfrastruktur som datasentre. Dette kan endre sår-barhetsbildet. Utvalget er positivt til at offentlig for-valtning tar ut ef fektivitetsgevinster i bruken avIKT, men mener at KMD bør følge med på sårbar-hetsutviklingen knyttet til utsetting av IKT-tjenesterfor offentlige registre og fellestjenester. Se diskusjoni punkt 23.7 «Utkontraktering og skytjenester». Seogså punkt 23.1 «Etablere et nasjonalt rammeverkfor å ivareta en helhetsvurdering av verdikjeder».

22.6.2 Utvikle felles beskyttelsestiltak mot sofistikerte IKT-angripere

Litt forenklet kan vi si at dagens avanserte angreper morgendagens gjengse angrep, som igjen erneste ukes trivielle angrep. Metodene til sofisti-kerte angripere blir i økende grad tilgjengelige formindre sofistikerte aktører. Samtidig ser vi for ossen økning i antallet fysisk samlokaliserte offent-lige datasentre, noe som kan føre til økt sårbarhetpå grunn av avhengigheter.

Virksomhetene påpeker selv at de ikke harmekanismer på plass for å sikre seg mot sofisti-kerte angripere. Det er urealistisk at alle virksom-hetene umiddelbart utvikler og setter i drift slikemekanismer. Utvalget mener derfor det er behov forå starte utviklingen av mekanismer som eierne kanbruke for å sikre fellesfunksjoner mot sofistikerteangripere. Difi bør ta en koordinerende rolle, foreksempel ved å sette i gang prøveprosjekter. Dettebør gjøres i samarbeid med forskningsmiljøene, ogmed bistand fra NSM. Målet er at gode løsningergradvis kan tas i bruk i offentlig sektor.

22.6.3 Regulere elektronisk identitet

E-ID-feltet har vært noe preget av ubesluttsomhetsiden arbeidet startet rundt årtusenskiftet. Gjen-tatte ganger har et offentlig ID-kort med tilhø-rende e-ID vært på trappene, uten at det har blitt

12 Agenda Kaupang (2014): Evaluering av Difi.

13 Nexia International (2015): Kartlegging og analyse av land-skapet for offentlige datasentre i Norge 2015 - Utarbeidet forKommunal- og moderniseringsdepartementet.


noe av. ID-porten var på mange måter et gjennom-brudd som gjorde det enklere for offentlige virk-somheter å ta i bruk e-ID for innlogging, delvisfordi de fikk én teknisk løsning å forholde seg til,men også fordi de fikk én enkelt avtalepart å for-holde seg til.

Private utstedere av e-ID har lenge vært aktivei markedet, med løsninger av varierende kvalitet.Løsningene på høyeste sikkerhetsnivå bruker allesertifikater, også de som er basert på tiltroddetredjeparter. Hver leverandør har sitt eget rotser-tifikat som ligger til grunn for alle utstedte sertifi-kater. Dette er en ordning som fungerer greit,både praktisk og prinsipielt. Utvalget ser ikke noengrunn til å endre på dagens praksis med at hver e-ID-leverandør har sitt eget rotsertifikat.

Det er behov for e-ID innenfor noen virksom-heter og sektorer. Det kan være problematisk ågjenbruke e-ID-er fra andre sektorer eller sam-funnsområder, for eksempel på grunn av forskjel-lige sikkerhetskrav eller forskjellig sikkerhetskul-tur. Et eksempel er at ansatte bruker sine privatee-ID-er for å få tilgang til virksomhetensdatasystemer. De ansatte bruker også sine privatee-ID-er på sine private datamaskiner, som gjernehar et lavere sikkerhetsnivå. Hvis den privatedatamaskinen til en ansatt blir kompromittert kandette også kompromittere den ansattes private e-ID, noe som igjen kan kompromittere virksomhe-tens datasystemer. Gjenbruk av god e-ID-tekno-logi kan derimot være fornuftig.

Utvalget anbefaler følgende fem tiltak, medbegrunnelse:

1. Kartlegge personinformasjon som tilflyter e-id-leverandørene ved bruk.

Det er vesentlige utfordringer knyttet til bruk ave-ID og personvern. Løsninger med tiltrodde tred-jeparter innebærer at e-ID-leverandøren får vitehva brukere gjør med sin elektroniske identitet pånettet. Løsninger basert på smartkort kan kommei tilsvarende situasjon, for eksempel hvis detlagres svar på forespørsler om sertifikatstatus,14

hvis bruken av kortene overvåkes av sikkerhets-hensyn, eller hvis tilbyderen tar betalt for brukenav kortet. Det vil være gunstig å ha en samletoversikt over hvor mye informasjon som av ulikegrunner tilflyter leverandørene. I utgangspunktetbør ikke informasjon om brukernes oppførsel

lagres, men der den av forskjellige grunner like-vel må lagres, må den beskyttes. Det er også vik-tig at ikke lovverk og regulering påbyr unødven-dig lagring.

Nkom bør sammen med utstederne lage en sam-let oversikt over hvor mye personinformasjon somtilflyter de forskjellige e-ID-leverandørene ved brukav e-ID-en, og hvordan denne informasjonen lagres.Videre bør KMD gjennomgå reguleringen på områ-det, slik at e-ID-leverandørene ikke tvinges til å opp-bevare unødvendig personinformasjon.

Problemstillingen er like aktuell for leverandø-rer av elektronisk signatur.

2. Utarbeide én tydelig definisjon av sikkerhetsnivåene.

Til en viss grad er sikkerhetsnivåene i Kravspesifi-kasjon for PKI i offentlig sektor basert på konse-kvenser, men i stor grad snakkes det om teknolo-givalg. Erfaringsmessig kan det være vanskelig åsi om en konkret e-ID oppfyller kravene til et sik-kerhetsnivå, eller ikke. Spesielt mener utvalgetdet bør skilles sterkere mellom sikkerhet vedutstedelse av en e-ID og sikkerhet ved bruk av ene-ID.

KMD bør utarbeide én tydelig definisjon av sik-kerhetsnivåene. Den bør ta utgangspunkt i kombi-nasjoner av angriperens evne og konsekvens. Detmå være enkelt å avgjøre om en e-ID når et sikker-hetsmål. Dette bør gjøres samtidig med tilpasnin-gene i forbindelse med den nye EU-forordningen.15

3. Begrense bruk av innloggingsportaler til engangspålogging.

I praksis bruker forskjellige e-ID-er forskjelligetekniske løsninger, og de kan dermed vanskeligbrukes om hverandre. Et vanlig triks er å byggeen innloggingsportal16 som «pakker» inn et antallandre e-ID-er. Innloggingsportalen gjør alt arbei-det med å snakke med de forskjellige tekniske løs-ningene e-ID-ene bruker, og tilbyr ett enhetlig tek-nisk grensesnitt mot virksomhetene. Innloggings-portalen kan også ta seg av bruksavtaler med e-ID-ene. På denne måten kan virksomheter gjen-nom innloggingsportalen forholde seg til én tek-nisk løsning og én avtalepart, i stedet for mangetekniske løsninger og mange avtaleparter.

Siden innloggingsportaler typisk vil observereall innlogging til svært mange tjenester, gjelder til-

14 Dersom det brukes OCSP (Online Certificate Status Pro-tocol), vil OCSP-tjeneren få mye informasjon om hvem somsnakker med hvem. Se også krav 5.3.6 i «Kravspesifikasjonfor PKI i offentlig sektor».

15 Electronic identification and trust services (eIDAS).16 Se punkt 5.8 «Elektronisk identifisering» for forklaring av

innloggingsportal.


taket om å kartlegge personinformasjon også forinnloggingsportaler.

Feilaktig integrasjon av e-ID-ene i innloggings-portalen kan svekke sikkerheten. Et eksempel erat en e-ID brukes til å logge inn på innloggings-portalen. Siden brukeren egentlig ønsker å loggeinn hos en virksomhet, øker denne feilen bruke-rens sårbarhet overfor visse typer angrep der bru-keren tror han logger inn på ett nettsted, menshan i realiteten logger inn på et annet nettsted.Økt bruk av innloggingsportaler kan på dennemåten svekke sikkerheten og redusere effektenav sikkerhetsforbedringer i eksisterende e-ID-er.

Innloggingsportaler muliggjør såkalt engang-sinnlogging («single sign-on»). Her delegererbrukeren rett til å logge seg på en (stor) gruppenettsteder til terminalen sin. Dette er nyttig der-som en bruker trenger tilgang til mange nettste-der på kort tid. Dersom brukerens terminal erkompromittert, får imidlertid angriperen tilgangtil mange nettsteder samtidig, noe som øker kon-sekvensen av kompromitteringen.

Dersom en virksomhet har flere separate tje-nester, kan det være enklere for virksomheten ålage en egen innloggingsportal for disse tjenes-tene, i stedet for å knytte hver enkelt tjeneste oppmot en felles innloggingsportal som ID-porteneller de enkelte e-ID-ene. Som beskrevet over kanegne innloggingsportaler redusere sikkerhetsni-vået til tjenestene vesentlig.

Leverandører av e-ID bør tilstrebe å bruke stan-dard tekniske løsninger, slik at innloggingsportalerkan unngås så langt som mulig. Det bør ikke oppret-tes flere innloggingsportaler enn strengt tatt nødven-dig, spesielt bør det ikke opprettes sektorspesifikkeinnloggingsportaler. Bruken av innloggingsporta-ler til engangspålogging bør begrenses til nettstederav forholdvis triviell karakter, og eieren av innlog-gingsportalen bør sørge for begrensninger i dettotale omfanget av tilgang én enkelt innlogging gir.

4. Forbedre eksisterende e-ID-løsninger fremfor å vente på det nasjonale ID-kortet.

En e-ID tilknyttet det kommende nasjonale ID-kortet har vært under utvikling og planleggingover lang tid og flere ganger vært nær utrulling.Utvalget mener det ikke er klart at e-ID-en som til-

hører det kommende ID-kortet vil komme iutbredt bruk eller fortrenge eksisterende e-ID-er.Utvalget mener det derfor er hensiktsmessig åbruke ressurser på å forbedre eksisterende pri-vate og offentlige e-ID-er.

Forbedringer av eksisterende e-ID-løsninger børikke vente på det nasjonale ID-kortet. Difi bør vide-reutvikle den eksisterende MinID-løsningen, blantannet ved å tilby en sikrere utstedelse av identiteter,tilsvarende «kvalifiserte sertifikater», samt bedretekniske løsninger. Difi og Nkom bør sammen opp-muntre til og kreve økt sikkerhet og åpenhet hos pri-vate leverandører, fortrinnsvis basert på standardtekniske løsninger.

5. Varsomhet med å rulle ut tjenester med sensitive personopplysninger til hele befolkningen.

Utvalget legger til grunn at e-ID-løsningene ikkevil kunne beskytte gjennomsnittsborgeren motmålrettede angrep de nærmeste årene. Det vilogså kunne gjennomføres ikke-målrettede angrepmot mange borgere. Enkeltborgeren har normaltikke forutsetninger for å forstå hvor stor risikodette medfører, og det er ikke heldig. Dersom tje-nester som inneholder sensitive personopplysnin-ger, rulles ut til befolkningen som helhet, vil manutsette enkeltborgere for en vesentlig risiko somde ikke har akseptert.

Situasjonen er annerledes dersom borgerenselv, etter å ha fått forståelig informasjon om hvil-ken risiko tilgang til tjenesten medfører, likevelønsker å bruke tjenesten og eksplisitt ber om til-gang til tjenesten. Det er viktig at de virksomhe-tene som har slike tjenester legger til rette for atborgerne kan be om tilgang på en god og smidigmåte. Et eksempel er at borgerne kan be fastlegensin om tilgang til kjernejournalen på nett.

Det offentlige bør aktivt gjøre bruk av ID-portenog den tilhørende e-ID-infrastrukturen til å digitali-sere samhandlingen med borgerne. Likevel, gitt for-ventet sikkerhetsnivå i nærmeste fremtid bør tjenes-ter som omhandler sensitive personopplysninger oger avhengige av e-ID, være varsomme med utrul-ling. Slike tjenester bør ikke rulles ut til befolknin-gen som helhet uten særskilt god grunn, men hellerbegrenses til dem som eksplisitt ber om tilgang til tje-nesten.


Kapittel 23

Tverrsektorielle sårbarhetsreduserende tiltak

Avhengigheter mellom samfunnsfunksjoner girtverrsektorielle utfordringer. Sårbarheter i énsamfunnsfunksjon kan potensielt få innvirkning påsamfunnet som helhet. Det stiller særlige krav til åha virkemidler, kapasitet og kompetanse til å følgeopp problemstillinger som går på tvers av sekto-rene. Dette kapittelet gir en oversikt over tverr-sektorielle sårbarhetsreduserende tiltak, i hoved-sak basert på summen av sårbarheter som eridentifisert i utredningen.

23.1 Etablere et nasjonalt rammeverk for å ivareta en helhetsvurdering av verdikjeder

En vesentlig årsak til at det er vanskelig å få over-sikt over reell digital sårbarhet, er at den ofte lig-ger skjult og akkumuleres i lange og kompliserteverdikjeder. For eksempel kan en tilsynelatendeenkel maskinell verdikjede som gjør det mulig ålevere en elektronisk betalingstjeneste, bestå av ettosifret antall systemer som driftes av et tilsva-rende antall virksomheter eller organisasjoner, seboks 23.1. Et annet eksempel er følgefeilene somoppstod som følge av et strømbrudd i en mobil-sentral i Ålesund, se boks 23.2.

Slike digitale verdikjeder har noen kjennetegnsom gjør dem spesielt utfordrende i et sårbarhets-perspektiv.– Feil propagerer momentant og noen ganger på

uforutsigbare måter. En feil hos en nettleveran-dør kan få hele betalingssystemet til å svikteumiddelbart – dette til forskjell fra lange ogkomplekse verdikjeder i den analoge verden,der følgefeilene av en sviktende tjeneste skjerpå en tidsskala av timer, dager eller uker.

– Tjenestene som inngår i verdikjedene, spennergjerne over flere sektorer, og de er underlagt for-skjellige lovverk og tilsynsregimer i Norge og iutlandet. I eksempelet med betalingstjenestervil lovverk og tilsynsmyndigheter fra finanssek-toren, ekomsektoren, justissektoren og energi-sektoren virke inn på sårbarheten til den

leverte tjenesten. Andre tjenester vil befinneseg i et landskap som ikke er like regulert ellergjenstand for tilsyn av myndighetene. Eksem-pler på dette er store globale skyleverandører.

– For dem som utvikler en tjeneste på toppen avslike verdikjeder, er det svært utfordrende åskaffe seg oversikt over hvilke sårbarheter tje-nesten er eksponert for lenger nede i verdikjeden.

Boks 23.1 Avhengigheter via mobilbetaling

Tjenestene som tilbyr betaling via mobiltele-fon, trenger velfungerende mobilnett for åvirke. Mobiloperatørene leverer tjenestenesine ved å ha avtaler med et antall regionalenettleverandører som de kobler basestasjo-nene sine til. Disse regionale nettleverandø-rene har i sin tur avtaler med en operatør av etlandsdekkende transportnett. Denne nettinfra-strukturen kobler mobiltelefonen som skalutføre en betaling, til en server som eies avbanken som telefoneieren er kunde av. Serve-ren til banken kommuniserer – igjen over enkompleks nettinfrastruktur som involvererflere nettleverandører – med systemene tilden banken som skal motta betalingen.

I tillegg til dette er det en helt annen oglike kompleks digital verdikjede som står forautentisering av den som betaler. På toppen avdet hele har vi i denne fremstillingen ikke tatthøyde for at driftssystemene til nettoperatø-rene kan være outsourcet til en annen virk-somhet, at selve betalingstjenesten kan væreen tredjepartstjeneste som ligger i et drifts-miljø i skyen, at de involverte bankene har lattet eksternt firma utvikle og drive banktjenes-tene sine, eller at alle disse systemene eravhengige av stabile kraftleveranser og derforogså av kraftbransjens digitale styrings-systemer for produksjon og leveranse av kraft.


I enkelte tilfeller fører dette til at tilsynelatendegod redundans langt oppe i verdikjeden blirødelagt av at redundante alternative tjenesterer sårbare for den samme hendelsen lengernede i verdikjedene. Et eksempel på en slikhendelse var da en svikt i hjelpeteknisk utstyrførte til at Telenors sentral i Ålesund mistetelektrisk kraft (se boks 23.2).

– Noen tjenester er grunnmuren i mange slike ver-dikjeder, og deres sårbarhet får innvirkning påsårbarheten lenger ute i mange verdikjeder.Eksempler er tjenester innen telekommunika-sjon, energiforsyning og databehandling iskyen. Eierne av disse sentrale tjenesteneutfordres ved at det er vanskelig for dem åholde oversikt over hvilke samfunnsverdiersystemene deres er bærer av. En ytterligereutfordring er at verdikjedene endres raskt,enkelte ganger også uten at de sentrale tjenes-

tene er involvert i eller informert omendringene.

Det er utvalgets syn at lange og uoversiktlige ver-dikjeder som spenner over flere sektorer, nivåerog landegrenser, er en kjerneutfordring ved vur-dering av digital sårbarhet. Vi mener at kom-plekse digitale verdikjeder er et vesentlig hinderfor å kunne fastslå hvilken digital sårbarhet vi har.Dette finner vi igjen i alle sektorer vi har omhand-let i denne rapporten.

Spørsmålet om hvilken sårbarhet samfunnetbør være beredt til å leve med, anser vi som pre-maturt på mange områder, all den tid det ikke fin-nes noe begrepsapparat som hjelper oss med åforstå hvilken sårbarhet som reelt sett foreligger.Utvalget foreslår tiltak som gir en prinsipiell til-nærming til hvordan samfunnet kan få et grep omhvordan digital sårbarhet oppstår og utvikler seg iverdikjedene.

Utvalget mener at Justis- og beredskapsdeparte-mentet bør utvikle et rammeverk for å ivareta hel-hetsperspektiver i verdivurderinger og sårbarhets-vurderinger. Et slikt rammeverk kan også værenyttig for å forstå ansvarsfordelingen i verdikje-dene vi her snakker om. Grunnsteinene i detterammeverket bør være følgende:– Veiledning for å fastsette digitale verdier. Det bør

utarbeides veiledninger som er anvendbare påtvers av sektorer, og de må kunne dannegrunnlag for presis informasjon om hvilke ver-dier som bæres. De må være egnet til bruk fortilsynsmyndigheter og for informasjonsflytnedover i verdikjedene. Vi understreker at deverdiene vi her snakker om, ikke umiddelbartkan tallfestes økonomisk. De inkluderer blantannet også verdien av en nødmelding på vei tilen AMK-sentral, et styringssignal med beskjedom at et tog må stoppe for å unngå kollisjon,informasjon om at noen har utløst en voldsa-larm, samt verdien av at en lege har tilgang tiljournalen til en pasient.

– Veiledning for å nivåspesifisere akseptert digitalsårbarhet. Aktører må gjøre en ROS-analyse forå identifisere ulike tenkte hendelser som harstor sannsynlighet og store konsekvenser. Påbakgrunn av dette må det gjøres en vurderingav hvilken akseptert sårbarhet en er villig til åha. For tilsiktede handlinger bør disse ret-ningslinjene ta utgangspunkt i trusselaktører,uten nødvendigvis å spesifisere hvilke kapabili-teter disse trusselaktørene besitter. Det bør foreksempel være mulig for ledelsen i en virksom-het å formulere akseptert sårbarhet ved å si atorganiserte kriminelle ikke skal kunne bryte

Boks 23.2 Ekomutfall i Ålesund 6. mars 2014

Natt til torsdag 6. mars mottok Telenors ope-rasjonssenter en alarm som indikerte at etaggregat i Ålesund sentral hadde startet opppå grunn av en forstyrrelse i strømnettet. Enny alarm ble utløst på grunn av lav batte-rispenning, men denne alarmen ble ikke tol-ket som en indikasjon på at det var noe unor-malt med driftsstatus for sentralen.

Noen timer senere på natten gikk det nyealarmer, og disse alarmene viste at batterienevar i ferd med å gå tomme. Dette medførte atoperasjonssenteret til Telenor analyserte alar-mene og bestilte en entreprenør som skullerette opp feilen. På grunn av at sentralen ikkefungerte, fungerte heller ikke mobiltelefonieni området, og det tok lang tid å få tak i enentreprenør. Reparasjonen av sentralen tokytterligere tid fordi kortleseren man brukerfor å komme inn i sentralen, ikke virket pågrunn av strømutfallet. Fra den første alarmengikk, til entreprenøren klarte å ta seg inn ibygget, gikk det nesten ni timer.

Konsekvensene var blant annet utfall avmobil, bredbånd og fasttelefoni i Møre ogRomsdal og Sogn og Fjordane. 700 basestasjo-ner ble berørt, noe som resulterte i varierendegrad av utfall av både mobil, bredbånd og fast-telefoni for operatører som Telenor, Broadnet,TeliaSonera, Norkring og TDC.


seg inn, men at de aksepterer at ressurssterkestater kan være i stand til det. Teknisk eksper-tise kan omsette slike utsagn til tekniske tiltakog kommunisere kostnadene ved disse tilta-kene tilbake til virksomhetsledelsen. Dette viltydeliggjøre behovet for å holde seg oppdatertpå trusselaktørers kapabiliteter og behovet forat virksomheter får en mulighet til å tilegne segdenne typen informasjon.

Tiltakene som er skissert over, vil gi grunnlag foren mer presis omtale av digitale verdier og aksep-tert digital sårbarhet. Utvalget foreslår videre åbenytte dette rammeverket til ytterligere tiltak sombidrar til størst mulig åpenhet om hvilken restsår-barhet man har akseptert som bruker av utstyr ogtjenester, samt hvilke verdier man betror sine under-leverandører. Åpenhet rundt dette vil bidra tilbevissthet om hvordan sårbarheter og ansvar forverdier propagerer gjennom verdikjeder. Disseytterligere tiltakene er formulert under.– Justis- og beredskapsdepartementet bør ta initia-

tiv til at det utvikles virkemidler som sikrer– at sårbarhets- og verdivurderinger blir

gjennomført ved større avtaleinngåelser– at det blir kommunisert – og om nødvendig

reforhandlet – når de digitale tjenestene tilen underleverandør blir tatt i bruk til andreformål enn det som opprinnelig var avtalt

– at det blir kommunisert – og om nødvendigreforhandlet – når en underleverandørendrer tjenesteproduksjonen sin på en slikmåte at sårbarhetsbildet endres

– at aggregering av verdier på enkeltpunkteri verdikjedene blir synliggjort og håndtert

– For infrastrukturer og systemer som er avgjø-rende for kritiske samfunnsfunksjoner, bør derelevante myndighetsorganene utarbeide formu-leringer om hva som skal være akseptert sårbar-het. Beskrivelsene må oppdateres jevnlig for åfange opp endringer i sårbarhetsbildet. Formu-leringen bør ta utgangspunkt i eksisterendelovverk og forskriftstekst der dette eksistererog er relevant. I de tilfellene lov/forskrift ikkegir tilstrekkelig mandat, bør det utvikles hjem-melsgrunnlag. Vurderingen av hva som erakseptabel sårbarhet, bør bygge på innsamletinformasjon om hvilke digitale verdier infra-strukturen eller systemet bærer, og hvilke kon-sekvenser manglende funksjonalitet får forsamfunnet. Dette vil bidra til en klargjørendedebatt om hva som er akseptabel sårbarhet idisse systemene. Videre vil det tydeliggjørespørsmålet om hvilke kostnader samfunnet ervillig til å ta for å sikre samfunnskritiske

systemer, samt hvordan forebyggende tiltakkan prioriteres.

– I offentlige risikoog sårbarhetsanalyser bør detinngå en vurdering av hvorvidt eksisterende rest-sårbarheter er kompatible med besluttet aksep-tert risiko. Sammen med tiltakene over vil detkunne bidra til at en kan vurdere om en hen-delse med negative konsekvenser var innenforakseptert risiko. Videre vil det kunne bidra tilat verdi- og trusselvurderinger tvinger segfrem i virksomhetene.

– I enhver analyse av uønskede IKT-hendelser børdet rapporteres om hvorvidt dette hendelsesforlø-pet var akseptabelt, gitt den besluttede restsårbar-heten. Dersom svaret på dette spørsmålet ernegativt, bør det undersøkes hvor i den digitaleverdikjeden avviket mellom akseptert og reellrestsårbarhet oppsto. Dette kan bidra til åansvarliggjøre beslutningstakere i både ledel-sen, det tekniske miljøet og leverandørkjeden.I problemstillinger av sektorovergripendekarakter er Justis- og beredskapsdepartemen-tets rolle i dette arbeidet særlig viktig.

23.2 Tydeliggjøre krav til virksomhetsstyringssystemer

I flere av kapitlene i denne NOU-en er det pekt påbehov for virksomhetsstyringssystemer som kanbidra til å redusere digital sårbarhet – både heltoverordnet og for den enkelte virksomhet.

I henhold til instruks om departementenessamfunnssikkerhets- og beredskapsarbeid(kgl.res. 2. juni 2012) er det et krav at alle departe-menter skal synliggjøre mål og prioriteringer forsamfunnssikkerhets- og beredskapsområdet i deårlige budsjettproposisjonene. Dette kravet erikke spesifikt rettet mot IKT-sikkerhet, menomfatter alt samfunnssikkerhetsarbeid.

I tillegg til føringer og krav som fremkommer iden kongelige resolusjonen som er nevnt over, eroffentlig styring regulert gjennom retningslinjergitt av Finansdepartementet via Direktoratet forøkonomistyring (DFØ). Blant annet Kommunal-og moderniseringsdepartementet via Difi gir vei-ledning om bruk av styringssystemer for å ivaretaIKT-sikkerheten.

I Nasjonal strategi for informasjonssikkerhetvises det til at både private og offentlige virksom-heter skal ivareta IKT-sikkerheten på en helhetligog systematisk måte, og at dette krever en bevisstbruk av virksomhetsstyringssystemer.

Virksomhetens karakter, størrelse og sam-funnsmessige betydning er avgjørende for ambi-


sjonsnivået og ressursinnsatsen på sikkerhetsar-beidet. For å kunne definere et riktig sikkerhets-nivå og vurdere risikoaksept er det nødvendig åbasere dette på gode risikoog sårbarhetsvurde-ringer. Flere av tilsyns- og kontrollmekanismene iNorge har avdekket svakheter i forvaltningensrisikovurderinger og risikostyring.1 Blant annet erdette knyttet til manglende forankring i ledelse ogorganisasjon og til begrenset systematisk bruk avROS-analyser i strategisk risikostyring.

IKT-infrastruktur inngår som en innsatsfaktori nesten samtlige samfunnsfunksjoner og tjenes-ter. Virksomheter må derfor integrere IKT-avhen-gighet i eksisterende virksomhetsstyring, medtanke på både tilsiktede og ikke-tilsiktede hendel-ser. Krav, føringer og måloppnåelse knyttet til åivareta IKT-sikkerhet bør inngå i det ordinære sty-ringssystemet i hvert departement og også i dengenerelle etatsstyringen. Dette vil sikre bedrekontinuitet og systematikk i arbeidet, da det blantannet bidrar til at temaet kommer på dagsordeneni etatsstyringsmøter og rapporteringer.

Virksomhetsstyringssystemene må kunnesynliggjøre et sårbarhetsbilde basert på enrisikovurdering av tilsiktede og utilsiktede IKT-hendelser. Virksomhetsstyringssystemene børvidere gi grunnlag for å vurdere effekten av ulikeforebyggende tiltak på IKT-sikkerhetsområdet oghvilke konsekvenser svikt vil ha for samfunnet.Dette vil gi et bedre grunnlag for å prioritere ulikekostnadsdrivende forebyggende tiltak.

Utvalget anbefaler at de ulike departementenetydeliggjør krav og føringer for at de vurderingenesom er nevnt ovenfor, tas inn i de ulike virksomhets-styringssystemene, både på sentralt nivå og ute i deulike sektorene. Tilsynsmyndighetene må følge oppat dette blir ivaretatt. Se punkt 23.4 «Tilpasse til-synsvirksomheten til å omfatte IKT-sikkerhet».

Utvalget anbefaler at Justis- og beredskapsdepar-tementet utarbeider et sett med minimumskrav tilhvilke elementer som skal inkluderes i virksomhets-styringssystemene, og det bør utarbeides veilednings-materiell som kan øke kompetansen på området.

23.2.1 Bevisst bruk av standarder

Kravene til IKT-sikkerhet i offentlig sektor er oftefunksjonsbaserte og med definerte overordnedemål. Det er ofte henvist til bruk av standarder påområder der det eksisterer et funksjonsbasertregelverk. Å bruke standarder for risikostyring avIKT-systemer er nyttig for å sikre at analyser ermest mulig komplette og tar med alle relevante

områder. Henvisning til standardisering er ogsånyttig for å oppnå effektive sikkerhetstiltak. Stan-dardiseringen kan omfatte både organisering avsikkerhetsarbeidet, kompetansetiltak og konkretetekniske sikkerhetsløsninger.

Det er imidlertid viktig å ha et bevisst blikk påbruk av standarder. Implementering og bruk avstandarder krever kunnskap og teknisk innsikt,og fornyelse og utvikling av standarder er ressur-skrevende. Videre bidrar det store og økendeantallet standarder til kompleksitet.

I Norge er det i dag tre standardiseringsorga-ner – to private (NEK og Standard Norge) og énoffentlig (Nkom). Det er grunn til å se på bådehvordan tilblivelsesprosessen av standarder iNorge blir ivaretatt, og hvilke standarder de ulikemyndighetene velger å vise til. Det kan oppstå etdemokratisk underskudd i den grad berørte par-ter ikke har mulighet, tilstrekkelig med ressursereller kapasitet til å delta i standardiseringsproses-ser.

Bruken av funksjonsbaserte regler og henvis-ning til ulike standarder kan bidra til økt komplek-sitet og uklarhet i den interne virksomhetsstyrin-gen (risikostyringen), og det kan oppleves somkrevende å navigere i handlingsrommet mellomupresise krav, myndighetenes «forventninger» ogalternative løsninger.

Utvalget mener at Norge i stor grad bør imple-mentere standarder som er internasjonalt aner-kjent, og at det på IKT-området i liten grad er hen-siktsmessig eller nødvendig å produsere særnorskestandarder. Det er imidlertid viktig at Norgebidrar og er aktive i utarbeidelsen av standarderinternasjonalt. Den enkelte sektor har her et spe-sielt ansvar. Se nærmere omtale i punkt 23.4 «Til-passe tilsynsvirksomheten til å omfatte IKT-sik-kerhet». Justis- og beredskapsdepartementet haret særskilt ansvar for de standardene somomhandler IKT-sikkerhet, og som ikke er direkterelatert til en særskilt sektor, og utvalget anbefalerat departementet har en strategisk tilnærming tilhvordan de skal bidra i standardiseringsarbeidet.

23.3 Styrke Justis- og beredskapsdepartementet på IKT-sikkerhetsområdet

Tiltak for å styrke det helhetlige blikket på sam-funnssikkerhetsområdet er drøftet ved mangeanledninger. I Sårbarhetsutvalget2 ble det fore-

1 DSB, NSM, Datatilsynet, Riksrevisjonen mfl.2 NOU 2000: 24 Et sårbart samfunn – Utfordringer for sikker-

hets- og beredskapsarbeidet i samfunnet.


slått å etablere et innenriksdepartement, mens deti Infrastrukturutvalget3 ble foreslått å styrke Jus-tis- og beredskapsdepartementets samordnings-rolle. I etterkant av Sårbarhetsutvalget ble DSBetablert som et alternativ til et innenriksdeparte-ment for å styrke samordningsrollen til Justis- ogberedskapsdepartementet. I tillegg er samord-ningsrollen, samt krav og forventninger til sektor-departementene på samfunnssikkerhets- ogberedskapsområdet, tydeliggjort i en kongeligresolusjon i 2012. I 2013 ble samordningsrollenytterligere styrket og ansvaret samlet ved at ogsåansvaret for forebyggende IKT-sikkerhet i sivilsektor ble overført fra Kommunal- og modernise-ringsdepartementet4 til Justis- og beredskapsde-partementet, og ved at Nasjonal sikkerhetsmyn-dighet ble styrket som IKT-sikkerhetsdirektorat.

23.3.1 Tydeliggjøre Justis- og beredskapsdepartementets rolle og ansvarsområde

Utvalget er kjent med at det fortsatt diskutereshva som tilligger JDs «nye» rolle for samordningav IKT-sikkerhet, og at det synes å være noeuenighet rundt hvilken samordningsrolle JD skalha knyttet til IKT-sikkerhet i statsforvaltningen.

Utvalgets vurdering er at JDs samordningsan-svar for forebyggende IKT-sikkerhet i sivil sektoromfatter både privat og offentlig sektor. Utvalgetmener, og finner det hensiktsmessig, at JD i sivilsektor dekker det overordnede nasjonale ansvaretfor IKT-sikkerhet, herunder å fastsette minimum-skrav til IKT-sikkerhet. Det enkelte fagdeparte-ment har ansvar innen egen sektor.

Utvalget anbefaler derfor at ansvaret for IKT-sikkerhet konkretiseres ytterligere, slik at det gårklart frem at JDs samordningsansvar gjelder bådeoffentlig og privat sektor. Om nødvendig kan en slikklargjøring komme i form av en revisjon av Kgl.res.22. mars 2013.5

23.3.2 Styrke Justis- og beredskaps-departementets virkemidler

Utarbeide en helhetsoversikt over digitale sårbarheter

Etter utvalgets vurdering må JD gjøre ytterligeregrep for å få oversikt over digitale sårbarheter påtvers av sektorer. Førstehåndskunnskapen omdigitale sårbarheter ligger i den enkelte sektor.Utvalget mener at JD må etablere mekanismer ogegnede metoder for å benytte denne kunnskapen.En rapportering fra de ulike sektorene til Justis-og beredskapsdepartementet vil bidra til at depar-tementet i større grad kan sammenligne på tversav områder og sektorer og bidra i diskusjoner omtverrsektorielle prioriteringer. Omforente krav tilstyringssystemer som vist i punkt 23.2 vil hervære sentralt. Utvalget er kjent med at Justis- ogberedskapsdepartementet har fått bistand til å eta-blere nasjonale indikatorer for IKT-sikkerhet.Dette synes å kunne være en god start, men utval-get vil påpeke viktigheten av at et slikt oversikts-bilde inkluderer et helhetsbilde og ikke bare erknyttet til tilsiktede hendelser.

Et godt metodisk rammeverk er nødvendig,både for å kunne samle inn relevante data og for aten helhetsoversikt over sårbarhetene skal kunnebenyttes på en hensiktsmessig måte. På detteområdet foreligger det allerede mye relevantarbeid i JDs underliggende etater, blant annetDSBs nasjonale sårbarhetsrapport og NSMsårlige IKT-risikobilde. Utvalget ser det som hen-siktsmessig at det ikke bygges opp doble kapasi-teter i forbindelse med å fremskaffe en helhetligoversikt, og at oversikten i stor grad bør byggespå det arbeidet som per i dag gjøres på området iDSB og NSM. Utvalget anbefaler at departementetber NSM og DSB om å utarbeide et felles metodiskrammeverk i samarbeid som kan ligge til grunn foren helhetlig årlig oversikt over digital sårbarhet.

Ulike sektoroversikter som Finanstilsynetsårlige ROS-analyse og Nkoms tilstandsvurderingav ekom vil være eksempler på relevante kunn-skapsgrunnlag i en overordnet nasjonal vurderingav digitale sårbarheter.

Utvalget anbefaler at JD utarbeider en helhets-oversikt over digitale sårbarheter. Oversikten skalkunne bidra til komparative tverrsektorielle sam-menligninger og gi et kunnskapsgrunnlag for virke-middelbruk og prioriteringer på tvers av sektorer.

Følge opp arbeidet med NIS-direktivet og etablere en minstestandard

Utvalget mener at Justis- og beredskapsdeparte-mentets samordningsansvar bør omfatte samord-

3 NOU 2006: 6 Når sikkerheten er viktigst – Beskyttelse av lan-dets kritiske infrastrukturer og kritiske samfunnsfunksjoner.

4 Statsministerens kontor (2013): Overføring av samordnings-ansvaret for forebyggende IKT-sikkerhet fra Fornyings-, admi-nistrasjons- og kirkedepartementet til Justis- og beredskapsde-partementet. Kgl. res. 22.03.2013.

5 Ibid.


ning av minstekrav til IKT-sikkerhet i sivil sektorog harmonisering av regelverk på området, slik atregelverket ikke skaper dysfunksjonalitet, mensynergi på tvers av sektorer. Utvalget observererat sektorene tidvis har vansker med å enes om engjennomføring av sektorovergripende tiltak. Sam-tidig erkjenner utvalget at behovene innen deenkelte sektorene varierer, noe som tilsier at sek-torene må kunne ha stor grad av frihet både tiloperasjonalisering og til å heve ambisjonsnivåetutover minstekravet.

Utvalget anbefaler at Justis- og beredskapsdepar-tementet aktivt følger opp prosessen rundt EUs NIS-direktiv6 og vurderer hvilke konsekvenser direktivetkan få for Norge, og hvordan dette kan påvirke JDssamordningsrolle på området, særlig med tanke påå gi føringer og stille krav til andre departementerog forberede sektorene på å implementere direktivet.Behovet for å etablere en felles minstestandardfor beskyttelse av kritisk infrastruktur bør vurde-res og ses opp mot resultatet av NIS-direktivet ogeventuelt andre krav fra EU. I denne sammenhen-gen vil konklusjoner fra Traavik-utvalget være vik-tig.

Ivareta hensyn til IKT-sikkerhet ved teknologiskifter og strukturelle samfunnsendringer

Samfunnets teknologiske avhengighet gjør at tek-nologiskifter og større strukturelle endringer harkonsekvenser for den digitale sårbarheten. Vedbeslutninger som kan føre til større teknologiskeog strukturelle endringer i samfunnet, menerutvalget at det bør etableres en ordning som ivare-tar konsekvensvurderinger og eventuelle tiltakknyttet til IKT-sikkerhet.

Utvalget anbefaler å se hen til hvordan Konkur-ransetilsynet ivaretar konkurransehensyn ved orga-nisatoriske og strukturelle endringer i markedet.Ordningen bør ivaretas av Justis- og beredskapsde-partementet.

Etablere en arena for privat–offentlig samarbeid

Utvalget vil særlig peke på viktigheten av samar-beid med privat sektor. Slikt samarbeid foregår idag på mange nivåer i offentlig forvaltning, blantannet innen beredskap. Alle sektorer har etansvar for å legge til rette for et offentlig–privatsamarbeid, men JD har et overordnet ansvar ogsåpå dette området.

Utvalget anbefaler at JD vurderer hvorvidt detprivat–offentlige samarbeidet på IKT-sikkerhetsom-

rådet er tilstrekkelig ivaretatt og hensiktsmessig, oghvorvidt det er behov for en strategisk arena forsamarbeid med eiere av kritisk infrastruktur og kri-tisk informasjon, samt akademia, som ledes av JD.Utvalget anbefaler å se til tilsvarende ordninger iblant annet Nederland og Tyskland.

23.3.3 Øke kapasiteten innen IKT-sikkerhet i Justis- og beredskapsdepartementet

For utvalget fremstår det som usikkert hvorvidtden kapasiteten som JD i dag besitter, er tilstrek-kelig til å ivareta utfordringene på IKT-sikkerhets-området. For å kunne ivareta den utvidede rollensom JD har fått, og i tillegg de tiltakene som utval-get her foreslår, anbefaler vi å styrke JDs ressur-ser vesentlig på området. Utvalget anerkjennerden eksisterende IKT-sikkerhetskompetansen iJD, men anser kapasiteten som for lav med tankepå gjennomføringsevne. Dersom kapasiteten i JDikke styrkes tilstrekkelig, vil det ikke være muligå ta ut effektene av de sistnevnte tiltakene, de vilsnarere virke mot sin hensikt.

23.4 Tilpasse tilsynsvirksomheten til å omfatte IKT-sikkerhet

Departementene har gjennom ulike direktoraterog tilsyn en viktig rolle når det gjelder å stille kravtil og følge opp IKT-sikkerhet i virksomheterinnenfor egen sektor. Et av funnene i utvalgetsarbeid er at det stilles svært ulike krav fra de ulikemyndighetsaktørene. Enkelte myndigheter syneså stille svært detaljerte krav, mens andre stillermer åpne krav.

Økt teknisk kompleksitet på IKT-området økerutfordringene på tilsynsområdet. Regelverk somikke henger med i den tekniske utviklingen, gjørat tilsynene mangler retningslinjer å utøve tilsynetter. Økt bruk og avhengighet av IKT er med på åskape kompetanseutfordringer for tilsynene, somtradisjonelt har ført tilsyn som i større grad harvært basert på faglige krav og føringer.

23.4.1 Vurdere funksjonsbasert regelverk

Både nasjonalt og internasjonalt har det de sistepar tiårene vært en utvikling av reguleringsregi-mer der rettsregler i større grad har vært rettetmot styring og formål og i mindre grad mot spesi-fiserte (tekniske) løsninger eller metoder. Dettegjelder blant annet – og kanskje særlig – regimerrettet mot risiko og sikkerhet. Utviklingen hardels skjedd parallelt, ved at regulering av styrings-6 Se punkt 10.6.1 for mer informasjon om NIS-direktivet.


krav er knyttet direkte til regulering av formål-skrav. I begge tilfeller er målet å ansvarliggjørevirksomhetene, eksempelvis gjennom krav til risi-kostyring. Samtidig gis de større frihet til å sikreat reguleringsformålene ivaretas, for eksempelom et forsvarlig sikkerhetsnivå. Førstnevntebetegnes gjerne i faglitteraturen som «manage-ment-based regulations» og sistnevnte som «prin-ciples-based regulation». Grunnen til at disseutviklingstrekkene ses i sammenheng, er at de ien viss forstand forutsetter hverandre. Når virk-somheter får større frihet, må samtidig kravene tilstyring være tydeligere. Omvendt gir krav til sty-ring ikke så mye mening dersom svarene/løsnin-gen allerede er gitt i regelverket i form av spesifi-serte krav.

Begrepet funksjonsbasert regelverk har ikke ethelt entydig innhold. I St.meld. nr. 17 (2002–2003)Om statlig tilsyn legges det vekt på at slike regler istørre grad retter seg mot mål og resultater og imindre grad mot bestemte metoder eller løsnin-ger. Funksjonskrav forstås også ofte som generellekrav – i motsetning til spesifiserte krav. Dissedimensjonene knyttes gjerne sammen ved at funk-sjonsbaserte krav forstås som generelle krav ret-tet mot et formål. Men det kan også tenkes andrekombinasjoner, der man har generelle krav rettetmot prosesser og ikke mot resultater. Kravene tilinternkontroll og systematisk HMS-arbeid i virk-somheter er et eksempel. Den vanligste forståel-sen av funksjonskrav er likevel gjerne at beggedisse elementene er inkludert.

Begrunnelsene for utvidet bruk av funksjons-krav er flere:– Regelverk er ikke tilstrekkelig dynamiske til å

følge utviklingen av de beste løsningene innenforskjellige fagområder (teknologi, behand-lingsformer med videre).

– Virksomhetene får handlefrihet og kan utnyttelokal og situasjonsspesifikk kunnskap til åfinne egnede løsninger innenfor regelverketsrammer.

– Funksjonsregelverk ansvarliggjør i større gradvirksomhetene for egen drift og de konkreteløsningene de velger.

– Funksjonsbaserte regler kan i større gradbidra til at man unngår «creative compliance»,at hensikten med reglene oppnås, og at virk-somhetene også kan strekke seg lenger enn tilfastsatte minimumskrav.

Funksjonskrav er ofte utformet som rettslige stan-darder der innholdet i bestemmelsene utledes avnormer utenfor de tradisjonelle juridiske rettskil-dene, men er knyttet til hva som er ansett som

god faglig praksis/standard på området, noe somendrer seg i takt med utviklingen. Det er valgtulike løsninger i ulike sektorer for hvor konkretdisse standardene angis. Virksomhetene kan haulike utfordringer med å klarlegge hvordan derettslige standardene skal forstås og fortolkes, ogdermed hvilke konkrete krav som følger av disse.

I Norge har funksjonskrav i særlig grad værtutviklet innenfor petroleumssektoren, men erogså utbredt innenfor andre reguleringsområder.Internasjonalt har funksjonskrav vært assosiertmed EUs såkalte «new approach» – eller «nymetode» – og brukes til regulering av produktsik-kerhet. Hovedtilnærmingen har vært at selveregelverket angir overordnede formål som skalivaretas, men med henvisninger til anerkjente nor-mer som kan benyttes, og som angis som tilstrek-kelige for å oppfylle de rettslige kravene. Det gisimidlertid anledning til å velge andre løsninger,men virksomheten pålegges da i ulik grad å doku-mentere at disse tilfredsstiller de overordnedekravene.

Generelt innebærer utvikling og bruk av funk-sjonsbaserte regler en rekke avveiinger og dilem-maer. Erfaringene internasjonalt er også blandet.De generelle begrunnelsene – ansvarliggjøring,handlefrihet, fleksibilitet og endringstilpasning –må avveies mot generelle rettssikkerhetshensynsom tradisjonelt er blitt vektlagt når det gjelderutforming av rettsregler, slik som klarhet, tydelig-het og forutberegnelighet. Regulerte virksomhe-ter må kunne danne seg en begrunnet oppfatningav hva som ligger innenfor regelverkets krav ogmyndighetenes forventninger. I tillegg kommer atreguleringsmyndigheten i mange sammenhengervil ha en privilegert oversikt og kunnskap somkan formidles gjennom forståelige og praktiskanvendbare regler og derved bidra til mer forut-sigbare og forsvarlige resultater. Sentralisert stan-dardfastsetting kan i praksis fungere som kompe-tanseoverføring og nødvendig implementerings-støtte. For vage regler kan gi stor variasjon i resul-tater i form av etterlevelse og håndhevingspraksisfra myndighetene og i tillegg gi legitimitetsutfor-dringer dersom den utøvende forvaltningsmyn-digheten i praksis fremstår som normsettende forakseptable forsvarlighetsnivåer uavhengig avdemokratiske beslutningsprosesser.7

Forståelse av de regulerte virksomhetenes for-utsetninger for å etterleve de overordnede regule-ringshensynene vil måtte spille inn i valget avreguleringsstrategi. Dersom det er stor variasjon imålgruppen, vil avveiingen mellom praktiske opp-

7 Jacob Kringen (2014): Bidrag til Lysneutvalget.


skrifter og funksjonsbaserte regler være særligutfordrende. Viktige faktorer i den sammenhen-gen vil være de regulerte virksomhetenes ressur-ser, kapasitet, motivasjon og behov (eksempelvisknyttet til tempo i teknologisk utviklingstakt).Men avveiinger må også ses i lys av myndighete-nes evne og kapasitet til å tilby tilstrekkelig veiled-ning i regelverksforståelse, samt til kontinuerlig åvurdere om etterlevelsesmønstre reflekterer kra-vene til tilstrekkelige og forsvarlige løsninger.

Utvalget anbefaler at når tilsynsmyndigheteneskal utforme nye krav og føringer til regulerte virk-somheter, er det viktig at det tas hensyn til vurderin-gene av funksjonsbasert regelverk, som drøftet over.Når det skal stilles krav til IKT-sikkerhet, børfunksjonsbasert regelverk og tilsyn vurderes –dette for å kunne følge med på raske teknologiskeendringer og legge til rette for sikkerhetstiltaksom er tilpasset den enkelte virksomhet. Somnevnt må det tas hensyn til både virksomhetenesog tilsynsmyndighetenes ressurser og kompe-tanse på IKT-sikkerhetsområdet. Det er videreviktig å ha et bevisst forhold til anbefalte standar-der, jf. punkt 23.2.1 «Bevisst bruk av standarder».

23.4.2 Øke IKT-sikkerhetskompetanse og kapasitet hos tilsynene

Utvalget ser en økende digitaliseringstakt innen-for sektorene som er beskrevet i denne utrednin-gen. Dette krever at tilsynsmyndighetene harkompetanse og kapasitet til både å gjennomførerelevante tilsyn og ivareta sin veiledningsplikt påIKT-sikkerhetsområdet. Et annet aspekt er at til-synene må delta aktivt i det internasjonale arbei-det som foregår på IKT-sikkerhetsområdet innen-for deres sektorer.

Etter utvalgets vurderinger er det derforbehov for å styrke IKT-sikkerhetskompetanseninnenfor flere sektortilsyn. På kort sikt kan detvære hensiktsmessig med felles ressurser, slik atulike sektortilsyn kan tilføres kompetanse fra foreksempel NSM i enkelttilfeller. På lengre sikt til-sier utviklingen at tilsynsmyndighetene må eta-blere egen kompetanse. Utvalget anbefaler idenne utredningen at en rekke tilsynsmyndig-heter styrker både kompetansen og kapasitetenpå IKT-sikkerhetsområdet.

Mange av problemstillingene knyttet til IKT-sikkerhet som går frem av denne rapporten, vilvære felles for de fleste sektorer, og for å møtebehovet for IKT-fokus hos tilsynsmyndighetenebør det etableres fellesarenaer for erfaringsut-veksling og dialog mellom sektormyndigheter ogtverrsektorielle myndigheter. Et økt tilsynssamar-

beid etter for eksempel modell fra HMS-myndig-hetene kan være en måte å gjøre dette på. Der erdet blant annet utviklet en nettside som samler altav relevant regelverk.8 En felles møtearena forIKT-sikkerhet bør omfatte regelmessige kontakt-møter på praktisk nivå, ikke bare på ledernivå.Innenfor ekomsektoren er det etablert et ekom-sikkerhetsforum som samler de fire viktigste tele-selskapene, E-tjenesten, PST og NSM underledelse av Nkom for nettopp å dele informasjon ogtrusselinformasjon på gradert nivå. Dette er enmodell som fungerer godt, er gjensidig forplik-tende og har overføringsverdi til andre sektorer.Et annet eksempel er NVEs initiativ til Samvirke-gruppe for infrastruktur, som kan videreutviklesog omfatte erfaringsutveksling av felles problem-stillinger og utfordringer relatert til tilsynsmetodeog -utøvelse.

Utvalget anbefaler at Justis- og beredskapsdepar-tementet tar initiativ til å etablere en fellesarena fortilsynssamarbeid på IKT-sikkerhetsområdet. Samar-beidsarenaen bør omfatte erfaringsutveksling,muligheter for kompetanseheving, metodeutvik-ling og utarbeidelse av ulike tilsynsvirkemidler,som anbefaling av ROS-metoder, veiledningsmate-riell, håndtering av underleverandører, og såvidere.

23.5 Redegjørelse for IKT-sikkerhet bør inngå i årsmeldinger

Ansvaret for IKT-sikkerhet ligger hos den øversteledelsen både i privat og i offentlig virksomhet.Utvalgets undersøkelser tyder på at arbeidet medIKT-sikkerhet ikke alltid får den prioriteten detbør ha. For å sikre at arbeidet med IKT-sikkerhetprioriteres høyere, bør det innføres et krav til at iva-retakelse av IKT-sikkerhet beskrives i virksomhete-nes årsmelding. Dette bør gjelde uavhengig av omvirksomheten er i privat eller i offentlig sektor.Utvalget har merket seg at et relatert forslag somgjelder personvern, er fremmet av EU i utkastet tilny personvernforordning, men når denne NOU-enskrives, er det uklart om dette vil bli vedtatt.

Krav til å inkludere redegjørelse for IKT-sik-kerhet kan utformes på flere måter, men nødven-digvis slik at man krever en generell redegjørelsefor hvordan IKT-sikkerheten er ivaretatt. Utvalgetgår ikke nærmere inn på hvordan dette konkretbør formuleres, men oppfordrer Nærings- og fiskeri-departementet og Kommunal- og moderniseringsde-

8 Se http://www.regelhjelp.no.


partementet til å utarbeide en regelendring i lovver-ket for henholdsvis privat og offentlig sektor.

23.6 Næringsutvikling og IKT-sikkerhet

Norge ligger i verdenstoppen når det gjelder å ta ibruk digital teknologi og Internett. Den digitaleteknologien er en katalysator som kan effektivi-sere nær sagt alle sider ved samfunnet. Dette harinnvirkning på norsk næringsliv, som i hovedsakbestår av små og mellomstore virksomheter. Fer-ske tall fra Statistisk sentralbyrå viser at det vedinngangen til 2015 var 547 232 virksomheter iNorge, hvorav 96 prosent hadde færre enn 19ansatte.

23.6.1 Behov for balanse mellom verdiskaping og IKT-sikkerhet

Fremtidens IKT-sikkerhet er ikke bare avhengigav teknologien, men også av hvilken politikk somføres på området. Myndighetene har en tredeltrolle i dette bildet – som bruker av digitale tjenes-ter, som beskytter av befolkningen og som utnytterav det mulighetsrommet digitaliseringen gir.

Konkurransekraft for norske arbeidsplasser eret av regjeringens viktigste satsingsområder.Norsk økonomi og næringslivet skal utnytte res-sursene smartest mulig og mest mulig effektivtgjennom teknologi, innovasjon og kunnskap.9

Bruken av IKT skal styrke næringslivets konkur-ransedyktighet og øke samfunnets totale produk-tivitet og innovasjonsevne.10

Produktivitetsveksten er avgjørende for kon-kurranseevnen og velstandsutviklingen i Norge iårene fremover. Ifølge Produktivitetskommisjo-nen utnytter Norge i dag i for liten grad potensia-let ved bruk av digital teknologi. Kommisjonenhar blant annet uttrykt: «Vår fremtidige velstandog velferd forutsetter at produktiviteten fortsetterå vokse» og: «En liten, åpen økonomi må utnytteinternasjonal teknologiutvikling, og det må leggesstørre vekt på forutsetninger for teknologiskadopsjon».11

Internasjonalt peker cyberstrategiene til Eng-land, USA og Nederland alle på viktigheten og pri-oriteringen av velfungerende IKT-systemer ogderes særskilte betydning for økonomisk vekst og

økt velferd. Den nederlandske cyberstrategiengår langt i å vise til viktigheten av næringsaspek-tet ved sikkerhetsløsninger. I strategien fremhe-ves det at innovasjon, sikkerhet og personvern idesignfasen av produkter og systemer er initiati-ver myndighetene og næringslivet skal fokuserepå og belønne. Tilsvarende peker flere internasjo-nale IKT-leverandører på fremtidens muligheterog utfordringer utover teknologiske trender.

Kommunal- og moderniseringsdepartementet(KMD) har uttrykt at det EU gjør for det digitaleindre markedet, får direkte betydning for Norge.Regjeringen har derfor satt i gang et arbeid meden ny digital agenda som vil bli lagt frem for Stor-tinget i 2016.

Mulighetsrommet i Norge for å utnytte ny tek-nologi ligger i et kompetent og omstillingsvillignæringsliv og i offentlig sektor, samt i høy grad avtillit mellom næringsliv, innbyggere og myndig-heter.12 Befolkningens digitale vaner og adferdviser at nordmenn er opptatt av ny teknologi, og atvi er raske til å ta den i bruk. Hele 90 prosent avinnbyggerne har bredbåndstilknytning.

Mørketallsundersøkelsen for 2014 viser at bru-ken av skytjenester har steget betraktelig. I 2012benyttet halvparten av virksomhetene seg av eneller annen form for skytjeneste, mens det nå er toav tre virksomheter som gjør det. En undersø-kelse gjort i EU i 2014 av virksomheters bruk avskytjenester viser at de nordiske landene med Fin-land i spissen ligger på topp.

Sikkerhet oppgis som den mest begrensendefaktoren for virksomheters bruk av skytjenester.Det er vanskelig for lovgiverne å holde tritt meddenne teknologiutviklingen, og det skaper etbehov for å tenke annerledes. Mange land har der-for utarbeidet strategier for bruk av skytjenester.Et hovedhensyn er at lovgivning ikke skal hindreøkt konkurransekraft ved å gjøre det vanskelig åta i bruk ny og mer hensiktsmessig og kostnadsef-fektiv teknologi. Norge har i dag ikke noen offisi-ell IKT-politikk for bruk av skytjenester, menKMD tar sikte på å legge frem en nasjonal strategifor bruk av skytjenester i løpet av 2015. Utvalgetmener at regjeringens påbegynte arbeid med engjennomgang av regelverket for å fjerne unødigehindringer og rydde opp i uklarheter er viktig forå fremme sikker og forutsigbar bruk av IKT-tje-nester. Se nærmere beskrivelse i punkt 23.7«Utkontraktering og skytjenester».

9 Regjeringen (2013): Tiltredelseserklæring fra regjeringenSolberg 18. oktober 2013, Sundvolden-plattformen 16.10.13.

10 Meld. St. 23 (2012–2013) Digital agenda for Norge – IKT forvekst og verdiskaping.

11 NOU 2015: 1 Produktivitet – grunnlag for vekst og velferd.

12 Meld. St. 23 (2012–2013) Digital agenda for Norge – IKT forvekst og verdiskaping og Meld. St. 39 (2012–2013): Mangfoldav vinnere, kap 3.8.


23.6.2 Økt veiledning for særlig sårbare grupper i næringslivet

I Risiko 2015 omtaler NSM særskilt sårbarheten ileverandørkjeden. Rapporten viser til flere eksem-pler på digitale angrep i 2014 mot underleverandø-rer til større virksomheter og til viktigheten av øktbevissthet og krav til sikkerhet også for små ogmellomstore bedrifter (SMB). Det er eksemplerpå at leverandører med dårlig informasjonssikker-het verken lykkes med å få kunder eller med åkomme inn på markedet. Mørketallsundersøkel-sen for 2014 viser at små virksomheter kommersvakest ut når det gjelder oppfølging av tjeneste-leverandør.

Det oppgis at bare to av fem virksomheter ioffentlig sektor har avsatt interne ressurser til åfølge opp leverandøren. I privat sektor har halv-parten av virksomhetene slike ressurser. Dette eret bekymringsfullt lavt antall i lys av en økendetrend, der virksomheter benytter underleverandø-rer til drift av IKT-løsninger. Bestillerkompetanseer i undersøkelsen vist til som helt avgjørende forå sikre egne data hos en underleverandør. Talleneindikerer at både private og offentlige virksomhe-ter bør vie større oppmerksomhet til kontroll ogoppfølging av leverandørene. Små og mellomstore

virksomheter vil ha behov for nødvendig veiled-ning og hjelp på informasjonssikkerhetsområdet.Et systematisk veiledende og rådgivende arbeider svært viktig av hensyn til både næringsutvik-ling og nasjonal sikkerhet. Arbeidet må skje i taktmed digitaliseringen og et økende trusselbilde.Dette er utfordrende å styre både politisk, økono-misk og organisatorisk, og forutsetter en evne til åhåndtere akselererende endringer og legge innmekanismer for å følge opp og vurdere sikrings-behovet.

Etter utvalgets vurdering vil manglende digitalsikkerhet i små og mellomstore virksomheter, ogsærskilt underleverandørkjeden utgjøre en nasjo-nal sårbarhet det er viktig å rette oppmerksomhetmot i tiden fremover.

23.6.3 Tillit bør være en forutsetning for digitaliseringen

KMD viser i sin handlingsplan for informasjons-sikkerhet i statsforvaltningen (2015–2017) til atinformasjonssikkerhet er en forutsetning for digi-talisering i offentlig sektor. I Digital agenda forNorge fremgår det at:

«Forebyggende IKT-sikkerhet er […] en viktigdel av samfunnssikkerheten, og vi må ha påplass systemer og rutiner for å forebygge oghåndtere uønskede hendelser til IKT. Dette erviktig for at alle skal ha tillit til de IKT-løsnin-gene som tilbys, både fra private aktører og fradet offentlige».13

Studier har vist at folks tillit til et samfunn harbetydning for økonomisk vekst, og at høy grad avtillit bidrar til økonomisk vekst.14 Arbeidsgiver-foreningen Spekter mener at digitale sårbarheterpå samfunnsnivå og økte kostnader ved hendelserover tid kan påvirke denne nødvendige tillitenmellom innbyggere og myndigheter/institusjo-ner. Kunder og brukere vil kunne akseptere athendelser skjer, men ikke at selskapene manglerforberedelser og evne til effektiv håndtering.

Tillit som grunnmuren for digitalisering harslått sprekker de siste årene. Siden Snowdensavsløringer i 2013 har hele verden hatt oppmerk-somhet rettet mot myndighetenes tilgang til per-sonopplysninger. Det utløste en stor offentligdebatt om overvåking, teknologi og personvern.Avsløringene førte også til en bredere debatt om

Boks 23.3 Nasjonal kryptopolitikk

NSMs Sikkerhetsfaglig råd 2015 peker på atbruk av kryptografiske mekanismer har storbetydning for IKT-sikkerhet. NSM har et tettsamarbeid med norsk kryptoindustri for utvik-ling av høygraderte kryptoløsninger. Uten etvelfungerende samarbeid mellom industri ogmyndigheter ville nasjonen ikke evnet åutvikle kryptoløsninger for å sikre informa-sjon som er viktig for nasjonens sikkerhet. ISikkerhetsfaglig råd 2015 er det fremmet enanbefaling om at «Forsvarsdepartementet ogJustis- og beredskapsdepartementet bør videre-utvikle en nasjonal kryptopolitikk for å sikrenødvendig nasjonal kryptokompetanse ogutvikling av kryptoutstyr for høygradert infor-masjon» for å stimulere til innovasjon og pro-duktutvikling. NSM har i tillegg tatt til orde forat det stilles krav til bruk av godkjente krypte-ringsløsninger for annen sensitiv informasjon,og at NSM blir gitt i oppdrag å legge til rettefor dette.


14 Meld.St. 39 (2012–2013): Mangfold av vinnere.


leverandørenes bruk av kundedata og en størrediskusjon om balansen mellom nasjonal sikkerhetog personvern. Folks tillit og krav til åpenhet har isenere tid også vært et tema politisk i Norge. Fornasjonale og internasjonale leverandører av IKT-produkter og -tjenester er kundens tillit til at sel-skapet forvalter og sikrer kundens persondata ogsensitive virksomhetsdata, helt avgjørende.

23.6.4 IKT-sikkerhet som hinder for verdiskaping?

Det kan være en utfordring å prioritere informa-sjonssikkerhet i et marked som i økende grad pre-ges av behovet for fellesløsninger og kundersønsker om økt tilgjengelighet, mobilitet og funk-

sjonalitet, der alle enheter snakker med hver-andre. Dette legger press på leverandørene medhensyn til å balansere disse behovene mot person-vern og informasjonssikkerhet. Flere virksomhe-ter opplever derfor at de må gjennomføre skade-begrensende eller utbedrende tiltak i ettertid, nårproduktet allerede er ute i markedet.

Høye etablerings- og driftskostnader i Norgeforutsetter at virksomhetene er produktive for åkunne være konkurransedyktige internasjonalt.15

Det er fremdeles private og offentlige virksomhe-ter som ser på sikkerhetstiltak som en ren utgifts-post og del av en operasjonell risiko. Andre pri-vate nasjonale og internasjonale virksomheter serstrategisk på sikkerhet som et rent konkurranse-fortrinn og som en naturlig måte å ta vare påbedriftens vekstmuligheter på.

Dette reiser også spørsmål om digitaliseringog balansen mellom samfunnshensynene sikker-het og næringsutvikling. Utvalget har spurt fleresentrale aktører om sikkerhetskrav er til hinderfor produktivitetsvekst og innovasjon i næringsli-vet. Utvalget mener det er påfallende få, bådeoffentlige og private myndigheter og interesseor-ganisasjoner, som har problematisert dette noevidere. Mye kan tyde på at diskusjonen om nød-vendigheten av balanse mellom så viktige hensyni et samfunn ikke har vært særlig fremme verken iden offentlige debatten eller i fagmiljøene.

Utvalget ser noen gryende tegn til diskusjonom dette hos for eksempel KMD og FinansNorge. Ifølge departementet er IKT-sikkerhetikke det eneste kriteriet når det foretas strate-giske valg, men en svært viktig dimensjon. Vek-ting av IKT-sikkerhet i for stor grad vil etter depar-tementets syn i noen tilfeller kunne hemme pro-duktiviteten.16 Finans Norge viser til at næringen ivurderingen av mulighetsrommet for næringsut-vikling må veie flere hensyn mot hverandre, somfor eksempel forretningsdrift/inntjening, taus-hetsplikt, sikkerhet, kundevennlighet og hensy-net til den enkeltes personvern.

Høye nasjonale krav, sammenlignet med inter-nasjonale, kan virke konkurransevridende. På denannen side kan sikkerhetsfokus også bidra tilnæringsutvikling. Innovasjon Norge har stiltspørsmål om det er realistisk og mulig å skapevekst med de høye sikkerhetskravene som er iNorge. De høye miljøkravene til oljebransjen er

Boks 23.4 NY Warrant-saken

NY Warrant-saken er en pågående rettssakknyttet til en tvist om amerikanske myndig-heters rett til å hente inn data utenfor landet.Saken gjelder en rettslig ransakelsesordre i ennarkotikasak, der Microsoft ble pålagt å utle-vere kundeinformasjon knyttet til en e-post-konto fra et datasenter i Dublin, Irland. Micro-soft nektet å etterkomme ransakelsesordren,idet informasjonen er lagret utenfor ameri-kansk territorium, og viste til gjeldende inter-nasjonale prosedyrer for utlevering av datamellom land, herunder avtalen mellom USAog Irland om utlevering av data (Mutual LegalAssistance Treaties, MLAT). Microsoft er i torettsinstanser pålagt å utlevere informasjonen.Dommen er anket og under behandling. I til-legg til myndighetene i Irland har en rekkeselskaper tatt ut stevning til støtte for Micro-soft, herunder Apple, Amazon, Cisco, AT&T,eBay, Verizon, Harvard, Stanford, US Cham-ber of Commerce, the National Association ofManufacturers, ABC, CNN, Fox News og theGuardian, for å nevne noen. Saken har vaktpolitisk interesse også i Norge, der det er visttil at utfallet av saken kan få store konsekven-ser for folks person- og rettsvern i EU ogNorge. I Finland har justisministeren i et brevfra 2014 til EU-kommisjonen uttrykt bekym-ring for de potensielle alvorlige konsekven-sene utfallet av saken kan få for EU ved atlands direkte tilgang til data lagret i EU girmulighet for å omgå gjeldende internasjonaleprosedyrer (MLAT).


16 Kommunal- og moderniseringsdepartementet (2015):Handlingsplan for informasjonssikkerhet i statsforvaltningen(2015–2017) s. 11.


en medvirkende årsak til at Norge har klart å pro-dusere olje på en miljøvennlig måte og bli ver-densledende. En viktig forutsetning for dette ergod økonomi og med det tilstrekkelige rammerfor å klare å etterleve kravene. Mange av de størreteknologiselskapene ser til Norden som et sær-skilt satsingsområde.

En sterk IKT-sikkerhetsindustri i Norge vil væreet positivt bidrag til reduksjon av digitale sårbarhe-ter. Dette vil sikre kompetanse og bidra til oppmerk-somhet og kunnskapsspredning i hele det norskesamfunnet. Utvalget anbefaler derfor at regjeringenforsterker arbeidet med å se etter virkemidler for åstimulere til næringsutvikling på dette området,eksempelvis gjennom skattepolitikk, tilskuddsord-ninger og kompetansebygging i dialog med nærings-livet.

23.7 Utkontraktering og skytjenester

Utkontraktering og skytjenester kan bidra til øktteknisk IKT-sikkerhet når leverandøren har bedrekompetanse og ressurser enn kunden. Forholdetmellom digitale sårbarheter og næringsutviklinger nærmere behandlet i punkt 23.6 «Næringsut-vikling og IKT-sikkerhet».

Hvilke tekniske muligheter som representereret mulighetsrom for effektivitet, konkurranse-evne, innovasjon og IKT-sikkerhet, vil utvikle segover tid. I dag er det moderne å snakke om skytje-nester, men det man nå opplever som siste nytt,kan raskt bli erstattet av andre løsninger som girandre muligheter og utfordringer.

Næringsliv og offentlig sektor må fortløpendevære oppmerksom på hvilke teknologiske mulig-heter som blir aktuelle, og vurdere fordeler ogulemper samt være villige til omstilling der detteer nødvendig. Det er også viktig at de juridiskerammene fremover settes slik at det er grunnlagfor reell tillit mellom næringsliv, innbyggere ogmyndigheter. I dette ligger at beslutninger omrettslige rammevilkår må tas på grunnlag av rea-listiske, grundige og troverdige vurderinger.

Gjennomgående vil det være slik at juridiskerammevilkår som kommer til gjennom grundigedemokratiske prosesser, har vanskelig for å dekkenye teknologiske tilbud på en god måte. Myndig-hetene må sikre at norsk lovgivning ikke hindrerøkt konkurransekraft ved å gjøre det vanskelig åta i bruk mer hensiktsmessig og kostnadseffektivteknologi så lenge det er tilstrekkelige sikre løs-ninger. Når det gjelder skytjenester, arbeiderKommunal- og moderniseringsdepartementetmed en nasjonal strategi for bruk av skytjenester

som planlegges lagt frem i løpet av 2015.17 Ogsåandre departementer arbeider med å finne uthvordan man skal forholde seg til skytjenester.

Under går vi først kort inn på hva utkontrakte-ring og skytjenester er, før vi ser på det eksis-terende juridiske mulighetsrommet og tilhørenderammer. Deretter angir vi noen hovedfunn før vikommer med forslag til konkrete tiltak.

23.7.1 Hva er utkontraktering – internasjonale forhold

Det finnes ingen entydig definisjon av hva utkon-traktering er, men det er en gjengs terminologi fordet at et selskap eller en virksomhet inngår enkontrakt med en ekstern leverandør om å levereen vare eller tjeneste i stedet for å utføre detteinternt i egen virksomhet. Ulike aspekter av IKT-drift er et område som typisk har vært gjenstandfor utkontraktering de siste årene. Det liggeringen begrensninger på hva som kan utkontrakte-res, og det å benytte skytjenester fra en eksternleverandør er en type utkontraktering.

For de fleste utkontrakteringer gjelder at manøker antall ledd i verdikjeden for de tjenesteneman leverer, sammenlignet med om tjenestenhadde blitt utført internt. Ettersom utkontrakte-ring forutsetter en kontrakt med den eksterne tje-nesteleverandøren, må den som bestiller utkon-trakteringen, ta stilling til om kontrakten i tilstrek-kelig grad regulerer de forholdene som tjenestenskal bygge på.

Et særlig fenomen ved utkontraktering er atden eksterne tjenesteleverandøren kan befinneseg i et annet land og under en annen jurisdiksjonenn den som bestiller tjenesten. Bakgrunnen fordette er enkelt nok at IKT-tjenester kan leveresover nettet, og med like god kvalitet som om desom utfører tjenesten, og bestilleren satt i sammeland og i samme virksomhet.

I denne sammenheng reises spørsmålet omhva som er konsekvensene av at en del av tje-nesten utføres under et annet lands rett. Dettebeskrives noe nærmere i avsnittet om hva skytje-nester er, og er også behandlet flere andre steder idette kapittelet. Da slike internasjonale aspekterogså henger sammen med Norges internasjonale

17 Arbeidsgrupperapport 2015, s. 4-5 Kartlegging av hind-ringer i regelverk for bruk av skytjenester. Dette er et leddi regjeringens arbeid med å utforme en norsk politikk forbruk av skytjenester forankret i Meld. St. 23 (2012–2013)Digital agenda for Norge: IKT-politikk for vekst og verdiskap-ning. Meldingen viser til at departementet ønsker «å leggetil rette for sikker og forutsigbar bruk av slike tjenesterinnenfor rammene av det norske regelverket.»


forpliktelser og internasjonale rammer, viser viogså til kapittel 10 «Folkerett og internasjonaltsamarbeid».

23.7.2 Hva er skytjenester?

Skytjenester er en felles betegnelse på alt fra data-prosessering og datalagring til programvare påservere som er tilgjengelig fra eksterne server-parker tilknyttet Internett. Det finnes flere kon-kurrerende definisjoner av skytjenester. En defini-sjon fra National Institute of Standards and Techn-ology er at «Skytenester (cloud computing) er enmodell som gjør det mulig å få tilgang til et settkonfigurerbare dataressurser (for eksempel nett-verk, servere, lagring, applikasjoner og tjenester)som: er lett tilgjengelige over alt, blir levert og pri-set etter behov (on demand) og kan skaffes rasktog gjøres tilgjengelig med minimalt med adminis-trasjon eller involvering fra tilbyderen».18 Dennedefinisjonen omfatter langt flere tjenester ennmange tenker seg. I Norge benyttes i dag skytje-nester innen områder som er så ulike som parke-ringsvakters overvåking av kommunale parke-ringsplasser, administrasjon av HR-data ogsystemer for administrasjon av ungdomsskole-elevers personopplysninger. Leverandører avskytjenester er ofte store aktører som levererstandardiserte tjenester, men det finnes ogsåmange mindre leverandører.

I tillegg til at bruken av skytjenester øker i pri-vat og offentlig virksomhet, bruker mange forbru-kere skytjenester mer eller mindre bevisst – bådei privat og i virksomhetsrelatert sammenheng.

Noen eksempler på privat bruk av skytjenesterer bildedelingstjenester, Facebook, Dropbox,Instagram og annet. Bruken av slike tjenester rei-ser mange problemstillinger for private, foreksempel hvem som har tilgang til informasjonensom lastes opp, hvem den distribueres til, og omforbrukeren har mulighet til å kreve den slettet.Her vil utvalget avgrense mot å behandle disseproblemstillingene.

Et beslektet forhold er når privatpersoner somer ansatt i en bedrift eller virksomhet, benytterprivate skytjenester i virksomhetsrelatert sam-menheng.19 Typisk skjer dette ved at en ansattlagrer virksomhetsrelatert materiale på foreksempel sin private Dropbox-konto for å kunnearbeide videre hjemmefra. Enhver virksomhet må

ha retningslinjer og rutiner som setter rammer foransattes bruk av private skytjenester på en slikmåte. Hvordan slike rammer skal utformes, vilavhenge av sensitiviteten til den aktuelle informa-sjonen. Noe informasjon kan lagres uten omfat-tende sikkerhetstiltak, mens annen informasjonmå sikres grundig.

I noen henseender er det fremdeles uklarejuridiske og tekniske forhold ved anskaffelse ogbruk av skytjenester. Likevel er databehandlings-tjenester fra eksterne tjenesteleverandører tek-nisk sett ikke noe nytt og har eksistert sidenmidten av 1900-tallet. De tekniske og juridiskeproblemstillingene som oppstår ved bruk av tradi-sjonelle eksterne driftstjenester, er langt på vei desamme også ved bruk av skytjenester. Noen pro-blemstillinger blir imidlertid mer fremtredendeved bruk av skytjenester, særlig når skytjenesteneåpner for lagring og behandling av data i utlandet,da det reiser særlige juridiske problemstillinger.

Skytjenestene kan som nevnt ha svært ulikkarakter og beskrives på flere måter. Det er vanligå skille mellom programvare som tjeneste (Soft-ware as a Service, SaaS), plattform som tjeneste(Platform as a Service, PaaS) og infrastruktursom tjeneste (Infrastructure as a Service, IaaS). Ien SaaS vil tjenesteleverandøren typisk tilby merprogramvare og tjenester enn dersom man «kun»leverer en IaaS. Skytjenester kan leveres i form aven offentlig tilgjengelig sky (Public Cloud), en pri-vat tilgjengelig sky (Private Cloud, som benyttesinnenfor en bedrift eller et konsern) eller enhybrid sky (Hybrid Cloud, som er en kombinasjonav de to alternativene). Tjenestene kan også leve-res fra en server som er plassert hos kunden (OnPremises). Hvordan dette organiseres, er i stadigendring. De juridiske og informasjonssikkerhets-messige problemstillingene vil langt på vei værede samme, uavhengig av tjeneste- eller leveranse-form, selv om de konkrete vurderingene og tilta-kene som kan og må iverksettes, kan være for-skjellige. I noen tilfeller kan man løse sikkerhets-messige utfordringer ved å velge en kombinasjonav alternativene.

Skyløsninger oppleves som effektive på grunnav enkel tilknytning via en nettleser, fleksibilitet,mobilitetsfrihet og stor skalerbarhet for brukeren.Mange leverandører garanterer god sikker-hetskopiering, og mange tilbyr ulike former for

18 Peter Mell og Timothy Grace (2011): The NIST Definitionof Cloud Computing. Recommendations of the National Insti-tute of Standards and Technology. U.S. Department ofCommerce, NIST Special Publication 800-145.

19 Her gås ikke nærmere inn på problemstillinger med såkaltBYOD (Bring Your Own Device), det at ansatte benytterprivat IKT-utstyr når man behandler informasjon som tilhø-rer arbeidsgiver. BYOD reiser flere utfordringer knyttet tildigital sårbarhet, men de er ikke spesifikt knyttet til utkon-traktering eller skytjenester.


krypteringstjenester. Løsningene presenteres oftesom rimeligere enn tradisjonelle løsninger, mendette bildet er ikke entydig,20 og det er usikkerthvordan det vil utvikle seg over tid. Denne NOU-en går ikke inn på de økonomiske aspektene vedskytjenester.

En leverandør av skytjenester vil ofte ønske åkunne flytte data til den fysiske lokasjonen som ermest datateknisk optimal. Ofte foretas reservelag-ring/backup av den behandlede informasjonen iflere land/kontinenter av sikkerhetsårsaker, ogdet er ikke alltid kjent hvilke land dette er, ellerhvilke underleverandører som er involvert. Da vilbrukeren ikke alltid vite hvor dataene befinnerseg. I tillegg kan leverandøren ha serviceperso-nell som er plassert i mange ulike land. Når datalagres eller er tilgjengelige fra andre land og juris-diksjoner, reises en rekke juridiske problemstillin-ger. Det ikke å vite i hvilke land data befinner seg,og fra hvor de aksesseres, er problematisk fordirettsreglene for hvordan data kan brukes, vil væreannerledes i andre lands jurisdiksjoner. Norskemyndigheter har ikke sanksjonsmulighet overfortjenesteleverandører utenfor Norge og EU/EØS.

23.7.2.1 Datatekniske forhold ved skytjenester

Bruk av skytjenester innebærer i utgangspunkteten tilsvarende risiko som ved tradisjonell tje-nesteutsetting av IKT-drift, der risiko og sårbarheter knyttet til valg av leverandører, lokalisering,kommunikasjonskanaler og arkitektur. Da Snow-den avslørte at den amerikanske etterretningsor-ganisasjonen NSA hentet inn store datamengderfra amerikanske selskaper, ble risikobildet endrettil også å omfatte om og hvordan myndigheter idet landet serverne står, eventuelt velger å skaffeseg tilgang til informasjonen. Her vises også til atEUs generaladvokat i en ny beslutning har vekt-lagt dette sterkt i en vurdering av europeiske bor-geres personvern. Generaladvokatens beslutninger videre lagt til grunn i EU-domstolens nye avgjø-relse om at Safe Harbour-ordningen er ugyldig.Avgjørelsen er noe nærmere omtalt i punkt 23.7.3om juridiske forhold ved skytjenester.

Noen leverandører tilbyr krypterte løsningerfor å trygge informasjonen. For å ha kontroll påkryptert informasjon må man imidlertid væreoppmerksom på hvem som har tilgang til krypte-

ringsnøklene. Man må også vurdere om krypte-ringen er i kraft hele tiden, særlig om den er ikraft når opplysningene skal endres, og ikke barenår de lagres. Det er sannsynlig at løsninger pådette feltet vil utvikle seg raskt fremover, samtidigsom det også er et politisk press i flere land på atkrypterte løsninger ikke skal være ugjennomtren-gelige for offentlige myndigheter.

Fordi mange skytjenester faktureres i forholdtil faktisk bruk, er det viktig å sikre at brukerenbelastes for reell bruk. Hvordan dette sikres, vilvariere i de ulike systemene og kan være vanske-lig for kunden å overskue og kontrollere.

Avhengig av det tekniske oppsettet hos denenkelte leverandøren og den enkelte skytjenesten,kan skytjenester være sårbare for nedetid ogskifte av leverandør. Å få sine data ut av systemetog inn i et annet system hvis man ønsker å byttetjenesteleverandør, kan være utfordrende. Detkan også være utfordringer knyttet til at signalerblir forsinket dersom det er lange fysiske strekkmellom brukere og datasentre og datasentre imel-lom. Enkelte skybrukere har opplevd begrensnin-ger i båndbredden, og det gjenstår å se om bånd-bredden er tilstrekkelig når flere ting og objekterblir koblet til Internett (tingenes Internett) ogdisse kommuniserer med hverandre. Dersommange brukere velger samme leverandør, kandriftsforstyrrelser ramme mange.

Mørketallsundersøkelsen 2014 viser at norskevirksomheter har høy grad av tillit til skyleveran-dørene og leverandørenes evne til å beskytte data,men sikkerhetsbevisstheten er relativt lav.

De ulike typene skytjenester gir brukeren ulikgrad av kontroll og teknisk innsikt i arkitektur ogkonfigurasjon av systemene vedkommende bru-ker (se figur 23.1).

Det finnes en rekke internasjonale standarderfor informasjonssikkerhet i skytjenester, og dissevidereutvikles fortløpende. Større leverandører erofte sertifisert i henhold til disse. Slik sertifiseringerstatter ikke nasjonalt lovverk. Ofte benyttestredjepartsrevisjoner som dokumentasjon på atleverandøren har tilstrekkelig og adekvat sikker-het.21 Slike revisjoner utføres normalt i henhold tilen standard og ikke etter et nasjonalt lovverk, ogdet kan være forskjeller i reelt innhold mellomstandarder og lovverk.

20 KS-undersøkelsen viste at noen kommuner fant at skytje-nester ble dyrere enn tradisjonelle løsninger.

21 Slike tredjepartsrevisjoner skal ikke forveksles med tredje-partsbistand ved lisensrevisjoner som skal verifisere omkunde betaler riktig vederlag for en tjeneste.


23.7.3 Juridiske forhold ved skytjenester

23.7.3.1 Utgangspunkt

For en mer detaljert gjennomgang av juridiskeutfordringer ved bruk av nettskyløsninger viser vitil en rapport fra Kommunesektorens organisa-sjon (heretter KS), Utredning av juridiske forholdved bruk av nettsky i kommunal sektor – en mulig-hetsstudie,22 og Kommunal- og moderniseringsde-partementets rapport fra en interdepartementalarbeidsgruppe som har vurdert hindringer forbruk av skytjenester i det norske regelverket. I til-legg til rettslige utgangspunkt baserer rapportenfra KS sine anbefalinger på en spørreundersø-kelse blant mange kommuner og flere dybdeinter-vjuer av både brukere og leverandører av skytje-nester.

Når personopplysninger skal legges ut i enskytjeneste, er det rettslige utgangspunktet at deter den som er behandlingsansvarlig for person-opplysningene, som er ansvarlig for hvordan opp-lysningene behandles. Dette gjelder også når detbrukes en skytjenesteleverandør som utfører endel av databehandlingen. Her vil vi legge til at defi-nisjonen av hva som er en personopplysning, er såvid – se personopplysningsloven § 2 – at dette gjel-der svært mange data. For eksempel omfatter detalt fra de fleste IP-numre til datalogger som viserenkeltpersoners bruk av ulike datamaskiner.Dette rettslige utgangspunktet kan være en utfor-dring for de behandlingsansvarlige, da det å

kunne vurdere og ta stilling til om tjenesteleveran-dørens sikkerhetstiltak er gode nok, forutsetterspesialisert datateknologisk kompetanse.

Det er i tillegg flere regelverk som får anven-delse (ofte samtidig). Her nevnes forvaltningslo-ven, lov om offentlige anskaffelser og GPA-avta-len, personopplysningsloven, sikkerhetsloven,bokføringsloven og arkivloven. De største juri-diske utfordringene er knyttet til arkivloven, bok-føringsloven og personopplysningsloven. Underangir vi kort hovedreglene etter arkivloven ogbokføringsloven, mens personopplysningslovensbestemmelser tas opp i neste avsnitt.

I arkivloven (LOV-1992–12–04–126) § 9 bok-stav b er utgangspunktet at offentlig arkivmateri-ale ikke kan føres ut av landet uten etter særskiltsamtykke fra Riksarkivaren. Så langt har Riksar-kivaren ikke gitt samtykke til slik lagring, ogarkivaren viser blant annet til manglende mulig-het til å foreta revisjon. Dette får stor betydningfor muligheten til å benytte skytjenester for arkiv-verdig materiale. Det kan likevel stilles et overord-net spørsmål ved om denne bestemmelsen, somble til for over 20 år siden, i dag tar hensyn til enmoderne teknologisk utvikling og nye behov. IKMDs rapport om skytjenester angis i punkt 7.1at lovgiveren må se på endringer i arkivloven, og ipunkt 7.3 heter det at såkalte tredjepartsrevisjo-ner kan være en mulig løsning på hvordan mankan utføre kontroll med systemene. Her nevnes atDatatilsynet har godtatt tredjepartskontroll medlagringsfasiliteter som vitnemål om at sikkerheteni mange tilfeller er god nok. KMDs interdeparte-mentale arbeidsgruppe trekker også frem at det

22 KS, FoU (2015): Utredning av juridiske forhold ved bruk avnettsky i kommunal sektor – en mulighetsstudie. Utarbeidetav Advokatfirmaet Føyen Torkildsen.

Figur 23.1 Kontroll delt mellom virksomhet og leverandør i ulike driftsmodeller.

Kilde: Burton Group (oversatt av NVE).

Nettverk

Lagring

Server

VM

Applikasjoner

Data

Dedikert IT

Nettverk

Lagring

Server

VM

Applikasjoner

Data

Ekstern lagring

Nettverk

Lagring

Server

VM

Applikasjoner

Data

IaaS

Nettverk

Lagring

Server

Tjenester

Applikasjoner

Data

PaaS

Nettverk

Lagring

Server

Tjenester

Applikasjoner

Data

SaaS

Virksomheten har kontroll Delt kontroll med leverandør Leverandør har kontroll


bør tas initiativ til å harmonisere tilsynspraksisnår det gjelder data lagret i skytjenester.

I henhold til bokføringsloven § 13 annet leddskal som hovedregel regnskapsmaterialet oppbe-vares i Norge. Dette begrenser muligheten til åbruke skytjenester der leverandørene ikke harservere plassert i Norge. Det finnes imidlertidenkelte unntak: Bokføringsmateriale kan oppbe-vares i Danmark, Sverige, Finland og Sverigesamt i andre land etter dispensasjon fra Skattedi-rektoratet. Til tross for unntakene vil bokførings-loven ofte være til hinder for bruk av enkelte typerskytjenester. Noe av grunnen til det er at de storeleverandørene ofte ikke tilbyr mulighet for å opp-bevare opplysningene i EØS-landene som er nevntovenfor, men på servere andre steder i verden. Itillegg er Skattedirektoratet restriktive med å gidispensasjon. KMDs interdepartementalearbeidsgruppe trekker frem at det bør tas initiativfor å utvide antall land der man tillater lagring avbokføringsdata.

23.7.3.2 Særlig om skytjenester i og utenfor EU/EØS-området i henhold til personvernre-gelverket

Mange skytjenester leveres av store internasjo-nale aktører, og de legger vekt på å ha et nettverksom er tilgjengelig over hele verden. Som nevnt erdet vanlig at den lagrede informasjonen flyttesrundt i leverandørens nett. Dersom det ikke fore-ligger geografiske begrensninger i utkontrakte-ringsavtalen, vil slik flytting kunne skje over lan-degrenser og på tvers av kontinenter. Det er ogsåvanlig at leverandørens servicepersonale som kanaksessere opplysningene, er lokalisert i mangeland. Da vil data, ofte personopplysninger, overfø-res over landegrenser. I personopplysningloven erdet detaljerte regler for overføring av personopp-lysninger over landegrensene. I denne sammen-hengen må man huske at det er den behandlings-ansvarlige (i Norge) som er ansvarlig for forvalt-ningen av opplysningene, selv om en tjenesteleve-randør (databehandler) velger sikkerhetstiltak oghvor dataene fysisk skal oppbevares.

I personopplysningsloven § 29 heter det:

«Personopplysninger kan bare overføres til sta-ter som sikrer en forsvarlig behandling av opp-lysningene. Stater som har gjennomført direk-tiv 95/46/EF om beskyttelse av fysiske perso-ner i forbindelse med behandling avpersonopplysninger og om fri utveksling avslike opplysninger, oppfyller kravet til forsvar-lig behandling.»

Alle land innenfor EØS/EU anses som følge avdette å ha et tilstrekkelig beskyttelsesnivå forbehandling av personopplysninger. I den grad ennorsk behandlingsansvarlig virksomhet overfø-rer personopplysninger til for eksempel enengelsk databehandler/leverandør av skytjenes-ter, behøves derfor ikke et særskilt hjemmels-grunnlag for selve overføringen. Det er tilstrekke-lig at behandlingen reguleres av en tilfredsstil-lende databehandleravtale, eller at klausuler omdatabehandling tas inn i tjenesteavtalen. Dettegjelder på samme måte som når en norsk leveran-dør av skytjenester skal behandle personopplys-ninger på vegne av den behandlingsansvarlige.

Et spesielt viktig punkt i databehandleravtalerom skytjenester er reguleringen av hvordan even-tuelle underleverandører skal benyttes. Leveran-dører av skytjenester vil som nevnt i visse tilfellerønske å benytte flere lokasjoner. Ofte vil disselokasjonene tilhøre underleverandører. Når slikeunderleverandører har egne organisasjons-numre, er de å anse som selvstendige underleve-randører selv om de tilhører samme konsern somtjenestetilbyderen.

Det vil derfor kunne oppstå tilfeller der endatabehandler innenfor EU/EØS benytter seg avunderleverandører (underdatabehandlere) bådeinnenfor og utenfor EU/EØS. Når opplysningeneer tilgjengelige for en leverandør eller underleve-randør utenfor EU/EØS, må situasjonen håndte-res i henhold til reglene om overføring av person-opplysninger til land utenfor EU/EØS.

Europakommisjonen mener at nærmerebestemte land utenfor EU/EØS oppfyller kravenetil å sikre forsvarlig behandling av personopplys-ningene. For disse landene gjelder i utgangspunk-tet dermed de samme reglene som for overføringinnenfor EU/EØS. Det samme gjaldt, frem til EU-domstolens avgjørelse som er omtalt nedenfor,ved overføring til amerikanske bedrifter som ertilsluttet Safe Harbour-avtalen.

Safe Harbour-avtalen er en egen avtale mellomEU og USA fra 2000 som utelukkende gjelderoverføring av personopplysninger fra EU/EØS-området til amerikanske bedrifter. Det er en selv-sertifiseringsløsning der amerikanske bedriftererklærer at de oppfyller en rekke personvernkravsom er angitt i Safe Harbour-avtalen. Når denneNOU-en skrives, er det nye forhandlinger mellomEU og USA om innholdet og forvaltningen av SafeHarbour fordi en intern undersøkelse i USAavdekket store mangler i forvaltningen av person-opplysninger hos mange Safe Harbour-bedrifter.

Samtidig har som nevnt EU-domstolen kom-met med en avgjørelse som fastslår at Safe Har-


bour-avtalen er ugyldig fordi europeiske borgerespersonvernrettigheter ikke er godt nok ivaretatt iUSA. Bakgrunnen for beslutningen er Snowdensavsløringer om NSAs omfattende overvåking,som domstolen mener er i strid med europeiskepersonvernrettigheter og EMK. Avgjørelsen leg-ger også vekt på at europeiske borgere ikke harnoen rettslig mulighet til å gripe inn eller bestrideNSAs innhenting av informasjon. Avgjørelsen ersvært prinsipiell og har skapt store personvernde-batter både i EU og i USA. Dommen er samtidigutfordrende fordi dens hovedpoeng om at etter-retningens overvåking av informasjon kan truepersonvernet, medfører at det blir stilt spørsmålved om selve grunnlaget for internasjonal flyt avpersonopplysninger er godt nok. Dette har storepotensielle konsekvenser for de næringslivsinter-essene som en slik flyt er ment å ivareta. Somfølge av dommen reises det i personvernmiljøerogså spørsmål om USA står i en særstilling når detgjelder de underliggende spørsmålene om etter-retningers avlytting av informasjon, eller om til-svarende spørsmål gjør seg gjeldende også forandre nasjoner. Denne NOU-en går ikke nærmereinn på konsekvensene av dommen, da de forelø-pig ikke er avklart.

Et annet og beslektet spørsmål, uavhengig avhvor serveren står rent geografisk, er: «Hvem eierselskapet som eier serveren?» Noen landsmyndigheter stiller krav til selskaper i sitt egetland når det gjelder retten til å få tilgang til data iselskapets systemer. For amerikanske myndig-heters krav om innsyn i data som lagres hos ame-rikanske selskaper utenfor USA, viser vi til punkt23.6.3 «Tillit bør være en forutsetning for digitali-seringen».

For bruk av skytjenester som lagrer ogbehandler informasjon i land utenfor EU/EØS-området, og som ikke er etablert i de landeneEuropakommisjonen har godkjent, eller brukerunderleverandører fra godkjente land, gjelderegne regler. Hovedtrekkene i disse er sombeskrevet under.

Personopplysningsloven § 30 første ledd angiren rekke mulige grunnlag for slik overføring, foreksempel at den registrerte samtykker i overfø-ringen. Det å benytte samtykke som grunnlag erimidlertid ikke særlig hensiktsmessig verken forden behandlingsansvarlige eller for databehandle-ren, ettersom samtykket kan trekkes tilbake nårsom helst. I praksis er det derfor ofte unntaket ipersonopplysningsloven § 30 annet ledd om atDatatilsynet kan tillate overføring til tredjeland

dersom det gis «tilstrekkelige garantier for vernav den registrertes rettigheter», som benyttessom hjemmel. Dersom man benytter en av EUsstandardkontrakter som grunnlag for overførin-gen til en databehandler i tredjeland, er det til-strekkelig å varsle Datatilsynet om overføringenved å sende inn en kopi av en signert standardav-tale.23

En utfordring med standardvilkårene er at deikke kan benyttes direkte i situasjoner der person-opplysninger skal overføres fra en EU/EØS-basert behandlingsansvarlig til en EU/EØS-basert databehandler og derfra til en underdata-behandler i et tredjeland. Denne begrensningengår frem av vedtaket som standardvilkårene byg-ger på, samt av selve standardvilkårene. I en situa-sjon som nevnt over identifiserer Artikkel 29-gruppen følgende alternative fremgangsmåter:24

1. Det inngås direkte kontrakt mellom denbehandlingsansvarlige i EU/EØS og underda-tabehandleren i tredjelandet.

2. Den behandlingsansvarlige gir databehandle-ren i EU/EØS et klart mandat til å bruke EUsstandardvilkår på vegne av den behandlingsan-svarlige og i den behandlingsansvarliges navn.

3. Det inngås «ad hoc-kontrakter» (det vil si ikke-standardvilkår som ivaretar prinsippene i stan-dardvilkårene).

Ved grenseoverskridende bruk av databehand-ler(e) kreves altså en grundig tilnærming for åkunne opprette et juridisk dekkende avtaleverketter europeiske personvernregler. En av forutset-ningene for å kunne gjøre dette er åpenhet fradatabehandlerens side når det gjelder hvilkeunderleverandører (underdatabehandlere) sombenyttes i forbindelse med leveransen, hvor dissebefinner seg, og hvilken rolle de har i forbindelsemed databehandlingen. EU arbeider nå med etnytt regelverk for personvern, og det er i skri-vende stund ikke kjent hvordan detaljene i dettevil bli, men det er etter det utvalget er kjent med,grunn til å tro at hovedprinsippene for overføringav personopplysninger til utlandet vil forbliomtrent som de er i dag, særlig for overføring avpersonopplysninger utenfor EU/EØS.

23 Dette gjelder dersom man benytter modellavtalen for over-føring til databehandler. Dersom man bruker modellavta-len for overføring til en selvstendig behandlingsansvarlig iUSA, må Datatilsynet godkjenne avtalen, avtalen skal daikke bare sendes inn til tilsynet.

24 EU (2010): Article 29 Data Protection Working Party.00070/2010/EN WP 176.


23.7.3.3 Særlig om sikkerhetsgradert informasjon

Dersom virksomheten behandler informasjonsom er underlagt sikkerhetslovens bestemmelser,er det flere forhold som kan begrense bruken avskytjenester. Sikkerhetsgradert informasjon erinformasjon som skal merkes med BEGRENSET,KONFIDENSIELT, HEMMELIG eller STRENGTHEMMELIG i henhold til sikkerhetsloven §§ 3 og11. Hvis en løsning for skytjenester vil involvereoverføring av sikkerhetsgradert informasjon og ågi leverandøren tilgang til slik informasjon, kom-mer sikkerhetsloven med forskrifter til anven-delse. Rent juridisk vil det være vanskelig åbenytte internasjonale skytjenester for dennetypen informasjon fordi det som hovedregel forut-setter at det involverte personalet kan sikkerhets-klareres i Norge.25 Videre skal virksomheter sombehandler sikkerhetsgradert informasjon elektro-nisk, ha sikkerhetsgodkjente informasjons-systemer for håndtering av denne typen informa-sjon.26 27

23.7.4 Observasjoner og funn

Utvalget mener at ressurssterke tilbydere avskytjenester i mange tilfeller kan tilby en bedreteknologisk sikkerhet enn mange mindre virk-somheter kan klare selv. Bakgrunnen for dette erat ressurssterke tilbydere av skytjenester har til-gang på spesialisert IKT-sikkerhetskompetansesom kan sørge for adekvate sikringstiltak. Imidler-tid er utbudet av leverandører og tjenester sværtuensartet, og man kan derfor ikke si at dette gjel-der generelt uten å ha foretatt en vurdering avbåde den aktuelle tjenesten og den aktuelle leve-randøren. Viktige momenter er følgende:– Skytjenester kan ikke omhandles under ett.

Den enkelte skytjeneste må vurderes konkretut fra den aktuelle tjenesten og den aktuelleleverandøren.

– Sikkerheten må vurderes i forhold til ulikeaspekter og risikoer, for eksempel vil tilgjenge-lighet og rutiner for sikkerhetskopiering oftevære svært gode ved skytjenester, samtidigsom skytjenester og transport på offentlige

nett kan medføre en større risiko for lekkasjerog tapping enn ved lokal lagring.

– Det kan være vanskelig for den jevne brukerenav slike tjenester å foreta tilstrekkelige vurde-ringer. Mange vil ikke ha nødvendig tekniskkompetanse til å foreta slike vurderinger, og forinternasjonale skytjenester med lokasjoner ogtjenester i andre land kan det være praktiskvanskelig å gjennomføre en konkret risikovur-dering.

Det er en utfordring i det digitale samfunnet atinformasjon og data flyter så fritt mellom ulikeland med tilhørende ulike rettslige rammer forhvordan informasjon og data skal håndteres.28

Mens man før den internasjonale digitale tidsalderkunne anta at informasjon og data som ble brukt iNorge, ble lagret i Norge og håndtert i henhold tilnorske rettsregler, er dette ikke alltid lenger tilfel-let. Det er ikke lett for brukerne av informasjoneller for dem som er registrert, å oppfatte hvorinformasjonen er lagret.

For brukere av skytjenester er det ofte enutfordring å sørge for at avtalen med leverandørener i samsvar med norsk lovgivning, slik at gjel-dende krav i norsk lovgivning til behandling avpersonopplysninger og sikkerhet til enhver tidkan oppfylles. I KS-rapporten pekes det på at noenbrukere opplever at sterke skytjenesteleverandø-rer bruker sin markedsposisjon og krever sinestandardvilkår lagt til grunn uten at det gis noerealistisk rom for forhandlinger eller endringer.Også regjeringens interdepartementale gruppepeker på at standardkontraktene er en utfordringfor bruk av skytjenester. Videre må det tas hensyntil at eierstrukturen i private selskaper er utsattfor endringer, typisk gjennom oppkjøp og salg,som kundene har liten mulighet til å påvirke. Etselskap kan få nye eiere med en annen nasjonali-tet – med de komplikasjoner det medfører. Konse-kvenser av dette er følgende:– Brukere av skytjenester må vurdere om opp-

lysningene de ønsker å legge i skyen, er sår-bare dersom de kommer utenfor norsk juris-diksjon, og veie følgene av dette opp mot forde-lene ved tjenesten.

– Mange av de kontraktsvilkårene som i dag til-bys for skytjenester, er kompliserte, og det kanvære vanskelig å finne ut i hvilke land dataenefaktisk vil bli lagret og behandlet. Det er avgjø-rende at dette kartlegges. I en slik kartlegging

25 Innenfor NATO og EU er det muligheter for deling av noegradert informasjon.

26 KS, FoU (2015): Utredning av juridiske forhold ved bruk avnettsky i kommunal sektor – en mulighetsstudie. Utarbeidetav Advokatfirmaet Føyen Torkildsen.

27 Kommunal- og moderniseringsdepartementet (2015):Kartlegging av hindringer i regelverk for bruk av skytjenester.Interdepartemental arbeidsgruppe.

28 Her nevnes at Russland nylig i 2015 har iverksatt en lovsom innebærer at internettselskaper må flytte data om rus-siske borgere til servere plassert på russisk jord.


må det ikke bare tas hensyn til lokasjon forhovedlagring, men også til hvor backup lagres,hvor service foretas fra, og i hvilke land under-leverandører er plassert fysisk. Det bør foretaslandrisikovurderinger (vurdering av et landspolitiske stabilitet og korrupsjonsindeks) for åavgjøre om behandling i det enkelte land erønskelig.

– Enkelte typer materiale bør oppbevares innen-for norsk territorium og jurisdiksjon, særliggjelder dette gradert informasjon.

– Hvorvidt en bedrift eller virksomhet børbenytte skytjenester, avhenger, i tillegg til envurdering av skytjenesteleverandørens kvalite-ter, av hvilken informasjon man ønsker å verne.Dersom tilgjengelighet til opplysningene er detviktigste, vil skytjenester ofte være hensikts-messig. Hvis absolutt konfidensialitet er detviktigste, kan konklusjonen bli motsatt. Detsiste kan være aktuelt i tilfeller der industri-spionasje og lekkasjer kan få store økonomiskekonsekvenser.

– Det vil antagelig ofte være slik at en bedrifteller virksomhet vil kunne legge noe av sininformasjon ut i skyen, mens annen informa-sjon beholdes lokalt/internt. Det kan finnesopplysningstyper som av konkurransehensyneller sensitivitetshensyn ikke bør legges i enskytjeneste, selv om det er lovlig å legge demder.

23.7.5 Vurderinger og tiltak

Utvalget mener at regjeringens påbegynte arbeidmed en gjennomgang av regelverket som omfatterskytjenester og utkontraktering for å fjerne unødigehindringer, rydde opp i lovtekniske uklarheter oglegge til rette for sikre løsninger, er viktig for å ta ibruk ny teknologi på en forsvarlig og trygg måte.

Når det gjelder arbeidet med å se på hvilkeninformasjon som skal tillates lagret hvor, særligvedrørende arkivlovens og bokføringslovensbestemmelser, mener utvalget at det finnes trealternative kategorier regjeringen må ta stilling til:1) informasjon som kun bør lagres i Norge, 2)informasjon som kan lagres i utlandet, men som måkunne flyttes tilbake til Norge ved særlige behov ogpå bestemte vilkår, og 3) informasjon som kanlagres i utlandet uten vilkår. Antagelig er omfangetav informasjon i kategori 2 størst. Hvilken infor-masjon dette er i praksis, vil sektorene selv værebest i stand til å vurdere.

Utvalget støtter anbefalingen fra KMDs inter-departementale gruppe om at det tas initiativ til å

harmonisere tilsynspraksis når det gjelder datalagret i skytjenester, så langt det er mulig. Det børgjennomføres en felles utredning på tvers av sekto-rene, slik at spørsmålene får en overordnet behand-ling og det kan etableres en felles praksis – dette sær-lig av hensyn til virksomheter som forholder seg tilflere ulike tilsynsorganer. Gjennomgangen børomfatte praktiseringen av og behovet for stedligtilsyn hos kontrollobjektene, og en vurdering avom tilsynenes behov kan løses på andre måter.

KMDs interdepartementale gruppe anbefalerat man ser nærmere på hvordan tredjepartsrevi-sjoner29 kan benyttes for å kvalitetssikre skytje-nester, og at det gjennomføres en felles utredningav dette.30 Lysneutvalget stiller seg bak behovet foren slik redegjørelse, og mener at den ikke bare børvære interdepartemental, men nasjonal, og omfattebehovet i både offentlig og privat sektor. Dette arbei-det må i tillegg gjøres i en internasjonal kontekst, daNorge antagelig vil kunne forhandle frem bedre løs-ninger i samarbeid med for eksempel EU eller stan-dardiseringsorganisasjoner. Det er viktig at tredje-partsrevisjoner av serverparker er troverdige, ogman bør blant annet se nærmere på hvordan slikerevisjoner bestilles, hvem som utfører dem, etterhvilke krav revisjonene utføres, og hvordan dehonoreres.

Særmerknad fra utvalgsmedlem Kristine Beitland

Utvalgsmedlem Kristine Beitland vil bemerke atdet er viktig at Justis- og beredskapsdepartemen-tet i politikkutformingen knyttet til digitale sårbar-heter og skytjenester, ser muligheten teknologiengir for å øke sikkerheten, og ikke utelukkendefokuserer på juridiske hindringer for bruk avskytjenester. Beitland understreker behovet for atJustis- og beredskapsdepartementet i samråd medNærings- og fiskeridepartementet og Kommunal-og moderniseringsdepartementet, før en endeligpolitikk utformes, inviterer til en bredere tverrde-partemental vurdering av næringsutvikling og øktproduktivitet ved utnyttelsen av teknologiensmuligheter som begrenser sårbarheter og økersikkerheten både for virksomhetene og nasjonalt.Målet må være å legge til rette for økt konkurran-sekraft gjennom sikker og forutsigbar bruk avskytjenester innenfor rammene av norsk lov.

29 Med tredjepartsrevisjoner menes en sikkerhetsmessiggjennomgang av lokasjon og oppsett som benyttes avskytjenesteleverandøren, ikke lisensrevisjon av tredjepart.

30 Se punkt 23.7. «Juridiske forhold ved skytjenester».


23.8 Regulering av kryptografi

Politi og etterretning har legitime behov for avlyt-ting av kommunikasjon. I økende grad gjør brukav kryptografi tradisjonell avlytting umulig. Inter-nasjonalt har det, både fra politi, etterretning ogpolitikere, vært uttrykt et sterkt ønske om å gjørenoe med dette. Kryptografi er nødvendig for åbeskytte kommunikasjon. Den enkelte borger,virksomheter og myndigheter er avhengige avtrygg kommunikasjon.

Programvare for kryptografi er i dag lett til-gjengelig og lett å lage for programmeringskyn-dige. Det er svært enkelt å bygge småska-lasystemer for kommunikasjon som hindrer tradi-sjonell avlytting. Når det ikke finnes teknologiskehindringer, vil ikke regulering eller forbud i segselv hindre kriminelle i å bruke kryptografi.

Formålet med regulering av eller forbud motkryptografi er derfor ikke å hindre uærlige aktø-rer i å bruke kryptografi, men å gjøre det vanskeli-gere for dem å bruke vår kommunikasjonsinfra-struktur. Idéen er at om bare uærlige aktører bru-ker kryptografi, kan vi finne uærlige aktører ved åfinne bruk av kryptografi.

Analysen avhenger av hvordan kryptografi for-bys eller reguleres. Tradisjonelt har det vært tremåter å regulere kryptografi på: 1) ved å forby allkryptografi, 2) ved å forby sterk kryptografi, detvil si kryptografi som kan motstå ressurssterkeaktører, 3) å påby bruk av kryptografi med bakdø-rer, det vil si at myndighetene skal kunne dekryp-tere ved behov.1) Forbud mot kryptografi har vært forsøkt. Det

er svært negativt for ærlige brukere, siden deikke lenger kan kommunisere konfidensielt ogalt kan avlyttes.

Ideen bak et forbud er at myndigheteneovervåker offentlige nettverk for å lete etterkrypterte data. Det typiske kjennetegnet vedchiffertekst er at den ser svært tilfeldig ut. Ste-ganografi er navnet på den underdisiplinen avkryptografi som dreier seg om å skjule kom-munikasjon. Steganografi er ikke er så lett somman kanskje skulle tro, men det er rimelig å troat man kan få etablert skjulte kommunikasjons-kanaler, dog med liten båndbredde.

2) Svak kryptografi vil være svært negativt forærlige brukere, siden hele poenget med svakkryptografi er at den skal kunne brytes. Der-med kan ikke svak kryptografi sikre konfiden-siell kommunikasjon.

Det var lenge forbudt å eksportere sterkkryptografi fra USA. Forbudet gjorde livet van-

skeligere for amerikansk IKT-industri og resul-terte i dårligere sikkerhet i IKT-systemer bådeinnenfor og utenfor USA. Det er grunn til å troat dette forbudet bidro til etableringen av kryp-toindustri utenfor USA.

Et forbud mot sterk kryptografi vil væresvært vanskelig å håndheve, fordi den enestemåten å avgjøre om det er brukt sterk ellersvak kryptografi på, er å forsøke å dekryptere,og uærlige brukere kan dobbeltkryptere oggjemme sterk kryptografi inni svak krypto-grafi. Dermed kan uærlige aktører mer ellermindre fritt bruke sterk kryptografi.

3) Kryptografi med bakdører har vært forsøkt iUSA. Det såkalte Clipper-systemet i USAhadde en bakdør som skulle la myndighetenebryte kryptografien ved behov. Systemet vir-ket aldri etter hensikten fordi det kunne sabo-teres, slik at myndigheten ikke kunnedekryptere.

Kryptografi med bakdør er svært kompli-sert å lage og kostbart å bruke (nettverket måhele tiden sjekke at informasjonen som formid-les, kan dekrypteres). Uærlige aktører kanfortsatt dobbeltkryptere, først med kryptografiuten bakdør, deretter med kryptografi medbakdør.

En bakdør gjør det prinsipielt umulig åbruke en del viktige kryptoteknikker, noe somvil medføre alvorlig sårbarhet i IKT-infrastruk-turen vår. Misbruk av bakdøren er en annenalvorlig sårbarhet. I tillegg er spørsmålethvilke myndigheter som skal kunne bruke bak-døren. Er det norske myndigheter? Er det alli-erte staters myndigheter? Er det andre statersmyndigheter?

Det er altså svært vanskelig – kanskje umu-lig – å lage et system som samtidig ivaretar legi-time behov for beskyttelse og avlytting. Det errimelig å tro at begrensninger på lovlig bruk avkryptografi vil ramme norske borgere, virk-somheter og myndigheter. Slike begrensnin-ger vil ikke vesentlig hindre uærlige aktørersbruk av kryptografi, og de vil dermed hellerikke løse politiets og etterretningstjenestenesproblem.

Utvalget vurderer alle disse tre alternativene somuakseptable. Det er dermed utvalgets oppfatningat1. bruk av kryptografi ikke skal reguleres eller for-

bys i Norge2. norske myndigheter bør arbeide aktivt mot regu-

lering eller forbud internasjonalt


3. nye etterforskningsmetoder må utvikles for åsikre ef fektivt politiog etterretningsarbeid i enverden der mer og mer krypteres.

Utvalget mener i likhet med NSM31 at alle offent-lige nettsteder bør kommunisere kryptert med

innbyggerne. Utvalget mener at private nettstederogså bør kommunisere kryptert med brukernesine.

31 Nasjonal sikkerhetsmyndighet (2015): Sikkerhetsfaglig råd.

Del VØkonomiske og administrative konsekvenser


Kapittel 24

Økonomiske og administrative konsekvenser

Tidligere i rapporten er det vist til et estimat derNorge årlig taper cirka 20 milliarder kroner pågrunn av IKT-kriminalitet alene. Imidlertid er detvanskelig å estimere de potensielle økonomisketapene knyttet til digitale sårbarheter. Dette pro-blemet har blitt adressert i et arbeid i regi avWorld Economic Forum, der det påpekes at man-gel på felles aksepterte metoder for å kvantifiserecybertrusler er et vesentlig hinder for å ta infor-merte strategiske beslutninger knyttet til optimaltinvesteringsnivå.1 En hovedgrunn til det er at deteknologiske endringene har kommet raskt påoss. Det er derfor stor mangel på validerte meto-der for å estimere det økonomiske tapspotensialetsom ligger i de digitale sårbarhetene, og dermedogså utfordrende å skulle måle konsekvenser avsvikt i IKT sett opp mot effekten av tiltak. Utvalgetomtaler denne utfordringen som del av forslagettil en IKT-kompetansestrategi (se kapittel 19«Kompetanse»).

Utvalget peker på at en rekke sektorvise tilsynmå øke sin kapasitet og kompetanse, gitt blantannet den teknologiske utviklingen i sektorenesverdikjeder. Utvalget har gjort seg den overord-nede betraktning at digitaliseringen av samfunnethar ført til at tilsynsoppgavene har endret seg, ogat det kreves stor teknologisk innsikt for å forståkompleksiteten innenfor ansvarsområdet til hverttilsyn. Det vil være forskjeller mellom sektorene,og utvalget har ikke analysert situasjonen i hvertenkelt tilsyn i detalj. Det enkelte departement må isamarbeid med tilsynene vurdere om en styrkingav IKT-sikkerheten skal foregå ved omdispone-ring av ressurser, eller om det bør tilføres ekstramidler for å håndtere denne utviklingen.

Sektormyndighetene har et ansvar for å iva-reta IKT-sikkerheten i hver enkelt sektor. Gitt degjensidige avhengighetene mellom samfunns-funksjonene og behovet for å legge til rette forsamvirke på tvers av sektorer mener utvalget at

Justis- og beredskapsdepartementet må styrkes isin samordningsrolle. Samordningsrollen er utfor-drende, og utvalget mener at Justis- og bered-skapsdepartementet må ha tilstrekkelige virke-midler til å utøve rollen. En styrking innebærer atdepartementet blir tilført ressurser i form av per-sonell for å kunne ha en effektiv og hensiktsmes-sig gjennomføringsevne på IKT-sikkerhetsområ-det. Utvalget har ikke gjennomført en detaljertanalyse av dette ressursbehovet, og anbefaler der-for at Justis- og beredskapsdepartementet utrederbehovet videre. Utvalget bemerker spesielt atdette tiltaket har nær sammenheng med tiltakeneknyttet til en klargjøring av Justis- og beredskaps-departementets rolle og styrking av virkemidlene.

Utvalget anbefaler at det etableres en overord-net nasjonal kompetansestrategi innen IKT-sik-kerhet for å sikre en langsiktig oppbygging avIKT-sikkerhetskompetanse. Utvalget har viderespesifisert hvilke prioriterte områder en kompe-tansestrategi bør inneholde. Mange av disse prio-riteringene kan gjennomføres innenfor eksis-terende rammer. Enkelte prioriteringer vil imid-lertid kunne medføre behov for økte ressurser,blant annet i form av en økning av Justis- ogberedskapsdepartementets FoU-midler og opp-bygging av mastergradstilbud på de stedene somhar mange IKT-studenter. De økonomiske ogadministrative konsekvensene av oppfølgingen aven nasjonal kompetansestrategi må utredes i sam-arbeid med de berørte sektormyndighetene.

Norge ligger i verdenstoppen når det gjelderbruk av digital teknologi og Internett. Dette kre-ver en robust ekominfrastruktur. Utvalget foreslårat det etableres tiltak som reduserer kritikalitetenav Telenors kjernenett. Tiltaket er estimert til omlag 575 millioner kroner over ti år.2 I tillegg vil det

1 World Economic Forum (Januar 2015): Partnering forCyber Resilience Towards the Quantification of Cyber Thre-ats.

2 Estimerte kostnader er basert på en investeringskostnadpå 400 millioner kroner og årlige drifts- og vedlike-holdskostnader, som er anslått å være 2,5 prosent av inves-teringssummen, i tillegg til 4 prosent diskonteringsrate ogen skattefinansieringskostnad på 20 øre per krone. Se elek-tronisk vedlegg: Konsekvensutredning – Alternativer forstyrket robusthet i landsdekkende kjernenett.


påløpe kostnader knyttet til leie av linjekapasitet.Her er det imidlertid usikkerhet knyttet til estima-tet – både når det gjelder antall kilometer somtrengs, og pris per kilometer. Samlet samfunns-messig tap ved et bortfall av kjernenettets funksjo-nalitet er estimert til 2 milliarder kroner per dag, itillegg til store, alvorlige konsekvenser for liv oghelse. Utvalget mener konsekvensene av et utfallav ekomnettet er så store at risikoen ved ikke åetablere tiltak er uakseptabel.

Innenfor norsk romvirksomhet er sårbarheteri et verdikjedeperspektiv en sentral problemstil-ling. De fleste samfunnsområder er i stor gradavhengige av satellittbaserte tjenester. I dag har viingen nasjonal overordnet myndighet som haransvar for å forvalte dette, og utvalget anbefaler atdet tydeliggjøres et myndighetsansvar for norskromvirksomhet. Utvalget anbefaler at det oppret-tes en mindre enhet under enten Nkom eller DSB,bestående av om lag fem stillinger. Fem stillingerer estimert til om lag 5,5 millioner kroner per år.

Utvalget anbefaler samlokalisering av respons-miljøer for å forbedre den nasjonale operativeevnen til å avdekke og håndtere digitale angrep.Etter utvalgets vurdering må det legges bygnings-messig til rette for at de som ønsker samlokalise-ring, kan inngå i ett felles bygg. Bygget skal væreegnet for stor grad av liaisonering for dem som avulike årsaker ikke kan delta i eller ikke ønsker enpermanent samlokalisering. De økonomiske ogadministrative konsekvensene må konkretiseresnærmere i arbeidet med å legge til rette for samlo-kalisering.

Utvalget støtter Justis- og beredskapsdeparte-mentets forslag om å opprette et nytt nasjonaltsenter for å forebygge og etterforske kompleks oggrenseoverskridende IKT-kriminalitet. Utvalgetstøtter videre, i tråd med Politidirektoratet, at poli-tidistriktenes fagmiljøer blir betraktelig styrket.Utvalget har ikke gjort egne beregninger, men erkjent med at Justis- og beredskapsdepartementetarbeider med løsninger og kostnadsestimater for

å opprette et senter og styrke politidistriktenesfagmiljøer.

Utvalget er av den oppfatning at IKT-situasjo-nen i politiet er kritisk, og at Justis- og bered-skapsdepartementet bør iverksette tiltak for åsikre politiet et teknologiløft. Utvalget har ikkevurdert om et teknologiløft skal gjennomføres vedomdisponering av ressurser, eller om det bør gisekstra midler til dette.

Utvalget ser behov for en styrket nasjonal evnetil å detektere hendelser i det digitale rom. Dettevil kreve både engangsinvesteringer og midler tilvidereutvikling, blant annet for å videreutvikle etsektortilpasset varslingssystem for digital infra-struktur (VDI). Utvalget har ikke gjort egneberegninger, men er kjent med at NSM arbeidermed kostnadsestimater for videreutvikling av VDIsom en oppfølging av forslaget i Sikkerhetsfagligråd.

Enkelte av utvalgets anbefalinger krever nær-mere utredning og konsekvensvurderinger. Eksem-pler på dette er behovet for å utrede en nasjonalcyberreserve for digital hendelseshåndtering og åutvikle felles sikringstiltak mot sofistikerte angri-pere.

Utvalget er bedt om å komme med minst ettforslag basert på uendret ressursbruk. Utvalgetanbefaler en rekke tiltak for å redusere den digi-tale sårbarheten og være bedre rustet til å møteden antatte teknologiske utviklingen fremover.Mange av tiltakene som foreslås, handler om øktsamarbeid på tvers av ansvars- og kompetanseom-råder, både myndigheter imellom og mellommyndigheter og eiere av kritisk infrastruktur ogkritiske samfunnsfunksjoner. Etter utvalgets vur-dering krever ikke disse tiltakene ekstra bevilg-ninger. Utover dette mener utvalget at det må gjø-res en vurdering av hvert enkelt tiltak for å fastslåom de i noen grad kan gjennomføres med uendretressursbruk. Et tiltak som definitivt vil ha storeøkonomiske konsekvenser, er det å redusere kriti-kaliteten til kjernenettet.

Del VIVedlegg


Kapittel 25

Vedlegg

25.1 Datagrunnlag

Oversikt over hvem som har gitt skriftlig innspill

Barne-, likestillings- og inkluderingsdepartementet

ForsvarsdepartementetHelse- og omsorgsdepartementetKommunal- og moderniseringsdepartementetJustis- og beredskapsdepartementetKulturdepartementetKunnskapsdepartementetLandbruks- og matdepartementetNærings- og fiskeridepartementetOlje- og energidepartementetSamferdselsdepartementetUtenriksdepartementetSimulaForsvarets forskningsinstituttForskningsrådetNUPISINTEFFylkesmannen i BuskerudFylkesmannen i FinnmarkFylkesmannen i Sogn og FjordaneFylkesmannen i TelemarkFylkesmannen i Vest AgderFylkesmannen i Sør-TrøndelagAltibox/LyseDNBDirektoratet for nødkommunikasjonDepartementenes servicesenterEVRYHafslundICENetsNorsk helsenettNorsk romsenterSpace Norway ASStatkraftStatnettTampnetTDCTele 2

TelenorTeliaSoneraAccentureEYKPMGPWCSteriamnemonicBDOCapgeminiGartner ConsultingNC-spectrumDNV GLWatchcomKINSEnergi NorgeFinans NorgeFSKIKT NorgeNorsk olje og gassNæringslivets sikkerhetsorganisasjonSpekterStandard NorgeStatoilVirkeBrønnøysundregistreneHelseregistrene i FHIKartverketNorges geologiske undersøkelseSkattedirektoratetDatatilsynetDirektoratet for forvaltning og IKTDirektoratet for samfunnssikkerhet og beredskapFinanstilsynetGarantiinstituttet for eksportkredittHelsedirektoratetHovedredningssentralene i Sør-Norge og Nord-

NorgeJustervesenetKystverketMattilsynetNasjonal sikkerhetsmyndighetNorges vassdrags- og energidirektoratOljedirektoratet


PolitidirektoratetNasjonal kommunikasjonsmyndighetPetroleumstilsynetSjøfartsdirektoratetStatens jernbanetilsynForsvarets etteretningshøgskoleHøgskolen i GjøvikHøgskolen i ØstfoldUniversitetet i AgderUniversitetet i BergenUniversitetet i OsloNorges teknisk-naturvitenskapelige universitetWesterdalsHelse Midt NorgeHelse Nord IKTHelse Sør-ØstHelse VestHemitKriposNorSISNSBStatens Vegvesen

Møteliste

Nasjonal sikkerhetsmyndighetE-tjenestenDirektoratet for samfunnssikkerhet og beredskapForsvarsdepartementetCyberforsvaretForsvarets logistikkorganisasjonForsvarsstabenForsvarets sikkerhetsavdelingFinanstilsynetUtenriksdepartementetSamferdselsdepartementetKommunal- og moderniseringsdepartementetOlje- og energidepartementetNorges vassdrags- og energidirektoratStatnettStatkraftNasjonal kommunikasjonsmyndighetKriposPetroleumstilsynetPolitiets sikkerhetstjenesteDatatilsynetFinansCERTTelenorTeliaSoneraICEStatsministerens kontorDirektoratet for forvaltning og IKTForsvarets forskningsinstituttNorsk romsenter

Space NorwayJustervesenetNorsk helsenettFinanstilsynetFinansdepartementetE-tjenestenDirektoratet for nødkommunikasjonHuaweiJustis og beredskapsdepartementet (flere

underavdelinger)NorSISPOD strategigruppe for å bekjempe

datakriminalitetBroadnetVegdirektoratetAvinorAvinor flysikring ASLuftfartstilsynetPolitiets IKT-tjenesteKartverketNSBFlytogetRuterOslo politidistriktArbeids- og sosialdepartementetBrønnøysundregistretSkatteetatenJernbaneverketJernbanetilsynetPolitidirektoratetForbrukerrådetForbrukerombudet

Workshop helse

SINTEFHelse NordSykehuspartnerHelse Sør-ØstHelse Midt-Norge RHFHelse Vest IKTIkomm ASLegeforeningen/Akershus UniversitetssykehusSykehuspartnerHelse- og omsorgsdepartementetNorsk HelsenettPensjonist med tidligere tilknytning til sektorenHelse Stavanger HFBærum kommune, PLO helseinformatikkHelsedirektoratetHelse BergenTeknologirådetNorsk Helsenett


Workshop maritim

KystverketSjøfartsdirektoratetColorlineWilhelmsen HoldingSjøfartsdirektoratetFarstad ShippingRederiforbundetDen Norske Krigsforsikring for SkibNorsk HavneforeningKongsberg Maritime

Workshop olje og gass

LundinStatoilGasscoNorsk olje og gassTampnetPetroleumstilsynetNorske Shell

Workshop finans

FinansdepartementetFinanstilsynetNorges BankNBIMDNBOslo BørsVPSEIKA-gruppenEvryNetsFinans NorgeSparebank1NordeaBSKBSK/BankIDFinansCERTBank Axept ASB-IT Invest AS

Utvalget var involvert ved NorSIS Sikkerhetstoppmøte april 2015, med følgende deltakere:

Næringslivets SikkerhetsrådAbeliaIKT-NorgeArbeidsgiverforeningen SpekterInnovasjon NorgeStandard NorgeKINS

NorSISJustis- og beredskapsdepartementetMicrosoftSPKDet norske oljeselskap ASBergen kommuneEigersund kommunemnemonic asCyberforsvaret CKTBodø kommuneTelenor NorgeKSNARF Ekstra ASPwCREMA i Norge ASNVERGU ConsultingPolitihøgskolenKLPUNINETT ASOslo politidistriktNorSISNISlabArbeidstilsynetAustevoll Kraftlag SA – LYSGLIMTFLO IKTHelsedirektoratetSenter for IKT i utdanningenCCISNAVCOWI ASStatkraft ASFujitsuDifiDNBBouvet ASAPwCVann- og avløpsetaten, Oslo kommuneRiksantikvarenNasjonal sikkerhetsmyndighetLyse konsernVNG NorgeNSB Fellestjenester IT

Eksterne rapporter utvalget har bestilt

– mnemonic (2015): Avdekke, håndtere og etter-forske digitale angrep. Utarbeidet for Lysneut-valget. Benyttet i kapittel 21.

– DNV GL (2015): Digitale sårbarheter Olje &gass. Utarbeidet for Lysneutvalget. Benyttet ikapittel 14.

– DNV GL (2015): Digitale sårbarheter MaritimSektor. Utarbeidet for Lysneutvalget. Benyttet ikapittel 18.


– SINTEF (2015): Digitale sårbarheter i helsesek-toren – En oppsummering av funn fra workshopholdt i mai 2015 i regi av Lysneutvalget. Utar-beidet for Lysneutvalget. Benyttet i kapittel 17.

– BDO (2015): Andre lands arbeid med digitalesårbarheter. Utarbeidet for Lysneutvalget.Benyttet i kapittel 9.

– Utenriksdepartementet (2015): Folkerettsligerammer for grenseoverskridende informasjons-innhenting. Utarbeidet for Lysneutvalget.Benyttet i kapittel 10 «Folkerett og internasjo-nalt samarbeid».

– Oslo Economics (2015): Konsekvensutredning –Alternativer for styrket robusthet i landsdekkendekjernenett. Utarbeidet for Lysneutvalget.Benyttet i kapittel 11.

– Oslo Economics (2015): Konsekvensutredning –Tydeliggjøring av myndighetsansvar for norskromvirksomhet. Utarbeidet for Lysneutvalget.Benyttet i kapittel 12.

I tillegg har vi fått innspill og bistand fra følgende:

– Teknologirådet, bistand med tekst i kapittel 6«Trender som påvirker sårbarhetsbildet».

– Seniorrådgiver Frank Robert Berg (B-IT InvestAS), benyttet i kapittel 16 «Finansielle tjenes-ter».

– Seniorrådgiver Hans Petter Aarseth, benyttet ikapittel 17 «Helse og omsorg».

– Seniorrådgiver Jacob Kringen (DSB), benytteti punkt 23.4 «Tilpasse tilsynsvirksomhet til åomfatte IKT-sikkerhet».

– Director & Senior Partner (ILPI) Njål Høstmæ-lingen, bistand med tekst i kapittel 3 «Rett-statsprinsipper og grunnleggende sam-funnsverdier».

– Seniorforsker Jon Røstum (SINTEF), benytteti kap 15 «Vannforsyning».

– Seniorrådgiver Rune Erlend Fløisbonn og Ale-xandra Agersborg har bidratt i sekretariatet.

25.2 Ansvarsfordeling mellom departementene for samfunnssikkerhetsarbeidet1

1 Prop. 1 S (2015–2016) Justis- og beredskapsdepartemen-tet. Det pågår et arbeid for å avklare noen ansvarsområder.Tabellen vil bli justert ved behov.

Områder Overordnet ansvar-lig, samordnende departement

Utøvende virksomheter/forvaltningsnivåer med vesentlig ansvar

Øvrige departe-menter med ansvar

Elektronisk kommunika-sjonsnett og -tjenester

SD Nasjonal kommunikasjonsmyndighet (Nkom), Direktoratet for nødkommunika-sjon (DNK), Forsvaret

JD, FD

IKT-sikkerhet i sivil sektor

JD Nasjonal Sikkerhetsmyndighet (NSM), Direktoratet for samfunnssikkerhet og beredskap (DSB)

Alle

Satellittbasert kommuni-kasjon og navigasjon

SD Norsk romsenter, Kystverket, Nkom, Statens kartverk

JD, NFD, KMD

Kraftforsyning OED Norges vassdrags- og energidirektorat, Kraftforsyningens beredskaps-organisasjon

JD

Vannforsyning HOD Vannverkseiere (offentlige og private), kommunene, Mattilsynet, Helse-direktoratet (Hdir), Statens helsetilsyn, Nasjonalt folkehelseinstitutt, Statens strålevern, fylkesmennene

KLD, LMD

Olje og gass ASD Petroleumstilsynet, olje- og gass-næringene

OED

Drivstofforsyning OED Drivstoffnæringene SD, NFD


Transport SD Statens vegvesen, fylkeskommunene, kommunene, Luftfartstilsynet, Statens jernbanetilsyn, Jernbaneverket, NSB AS, Avinor AS, Sjøfartsdirektoratet, Norges rederiforbund, Kystverket

NFD, OED

Avløpshåndtering KLD Miljødirektoratet, kommunene

Meteorologiske tjenester KD Meteorologisk institutt NFD

Finansiell stabilitet FIN Norges Bank, Finanstilsynet

Matforsyning NFD Landbruksdirektoratet, Fiskeri-direktoratet, matvarenæringene

LMD

Kulturminner og symboler

KLD Riksantikvaren, Arkivverket, fylkes-kommunene, kommunene, Kystverket, Statsbygg

KUD, SD, KMD

Liv og helse HOD Statens helsetilsyn, Hdir, Arbeids- og vel-ferdsdirektoratet, DSB, Sivilforsvaret, Mattilsynet, Nasjonalt institutt for ernæ-rings- og sjømatforskning, Veterinær-instituttet, Nasjonalt folkehelseinstitutt, Statens strålevern, Vitenskapskomiteen for mattrygghet, Statens legemiddelver-kene, de regionale helseforetakene, helse-foretakene, Norsk Helsenett SF, kommu-nene, fylkesmennene, Forsvaret

ASD, LMD, NFD, JD, FD

Lov og orden JD Politidirektoratet (POD), Politiet, DSB, Politiets sikkerhetstjeneste (PST), Data-tilsynet, Sivilrettsforvaltningen, Riks-advokaten, Kriminalomsorgsdirektoratet, Utlendingsdirektoratet

KMD

Nød- og redningstjeneste JD Hovedredningssentralen, Hdir, de regio-nale helseforetakene, helseforetakene, Forsvaret, POD, politiet, DSB, Nærings-livets sikkerhetsorganisasjon, DNK, Avinor, Luftambulansetjenesten, kommu-nene (brann), frivillige organisasjoner

FD, HOD, SD, KMD med flere

Sentral styring og krise-ledelse

JD POD, Politiet, Forsvaret, DSB, NSM, fylkesmennene, kommunene, NRK, Hdir, Statens strålevern

UD, FD, HOD, SMK, alle departe-menter

Forsvar FD Forsvaret, Forsvarets forskningsinstitutt (FFI), NSM, Forsvarsbygg

JD, SD, OED, NFD, HOD, UD

Nasjonal sikkerhet(sivil)

JD POD, PST, NSM, Statens kartverk, DSB, Forsvaret, fylkesmennene

UD, HOD, KMD, SMK, FD





25.3 Oppsummering av sentrale utvalg

Datateknikk og samfunnets sårbarhet (Seip-utvalget)

I 1986 kom Sårbarhetsutvalget ledet av Helge Seipmed rapporten Datateknikk og samfunnets sårbar-het. Allerede i denne rapporten ble det slått fast atsamfunnet var helt avhengig av IKT – eller elek-tronisk databehandling (EDB) – og dermed ogsåsvært sårbart for brudd eller forstyrrelser i EDB.Seip avgrenset sårbarhetsbildet til å gjelde de sår-barhetene som får konsekvenser for samfunnsvik-tige funksjoner, og ikke ulemper og tap for enkelt-individer. Utvalget var bevisst på EDB-systemenesavhengighet av ekom, og var av den oppfatning atsårbarhet i datateknikk måtte ses i nær sammen-heng med tilgjengelighet av ekom.

Seip-utvalget påpekte at de fleste samfunns-funksjoner allerede var avhengige av IKT-systemer, og at denne avhengigheten var kommetskritt for skritt, uten at det var gjort noen strate-giske og bevisste vurderinger av det totale sårbar-hetsbildet. Dette mente de hadde ført til kom-plekse verdikjeder og svært liten oversikt overstrukturer og avhengighetsforhold, både fornæringsliv og for offentlig forvaltning.

Utvalget konkluderte med at det var en sværtlav sikkerhetsbevissthet i samfunnet, og at det iliten grad var gjennomført sikkerhetstiltak, noeutvalget fremhevet som alvorlig. Dette mente dekunne føre til at de samfunnsmessige konsekven-sene av svikt i EDB-systemene kunne eskalere ifremtiden om det ikke ble satt i verk omfattendetiltak. Seip-utvalget trakk særlig frem den indi-rekte avhengigheten som alvorlig

«tatt i betraktning de uheldige kjedereaksjonersom kan følge av andres driftsavbrudd. Utval-get vil videre peke på behovet for informasjonom metoder og teknikker for risikoog sårbar-

hetsanalyser, og anbefaler at det særlig blirarbeidet på dette felt.»

Utvalget var videre opptatt av samfunnets avhen-gighet av kraft og ekom. Ekom var da ensbety-dende med det statseide Televerket, og utvalgetfastslo:

«Televerkets ansvar og plikter må gå langtutover beskyttelse mot konsekvenser forTeleverkets egen organisasjon, fordi denenkelte telebruker er helt avhengig av Telever-ket og av beredskapsmessige grunner selv eravskåret fra innsyn i Televerkets beredskaps-planen. Den risikoforplantning som kan skjuleseg her, må bli gjenstand for offentlig overvå-king.»

Videre så utvalget på hvordan det kunne byggessikkerhet fra begynnelsen av, og foreslo program-meringstekniske tiltak. Det mest konkrete forsla-get var at det burde etableres adgang til å foretakvalitetskontroll av viktige programmer hos denenkelte bedrift/institusjon som utførte sam-funnsviktig databehandling. Utvalget foreslo ogsåøkte kompetansetiltak som veiledning og utdan-ning og økt tilsyn/revisjon fra myndighetssiden.

Et sårbart samfunn – utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet (Sårbarhetsutvalget)

I 2000 kom Sårbarhetsutvalget ledet av Kåre Wil-loch med sin rapport Et sårbart samfunn – utfor-dringer for sikkerhets- og beredskapsarbeidet i sam-funnet. Mandatet til dette sårbarhetsutvalget varomfattende og fokuserte på risikoen for ekstraor-dinære påkjenninger for samfunnet, inkludert sik-kerhetspolitiske kriser og krig, og hvordan sam-funnet som helhet var forberedt på å møte storeog omfattende krisescenarioer. Utvalget så ogsåpå sårbarheter i samfunnskritiske virksomheter

Natur og miljø KLD Fiskeridirektoratet, Kystverket, Miljø-direktoratet, Norsk Polarinstitutt, Statens strålevern, Forsvaret, Landbruksdirekto-ratet, Norsk institutt for bioøkonomi, Nasjonalt institutt for ernærings- og sjømat-forskning, Havforskningsinstitut-tet, Mattilsynet, Veterinærinstituttet, Norges vassdrags- og energidirektorat, fylkesmennene, kommunene

NFD, SD, KD, FD, HOD, LMD, OED





og kritisk infrastruktur – som første gang ble defi-nert her. Et av underutvalgene utvalget opprettet,hadde som oppgave å «analysere samfunnets sår-barhet for brudd i informasjons- og kommunika-sjonsteknologi».

Utvalget la i rapporten mer vekt på resultatenefra BAS2-prosjektet2 som så på avhengigheter ogfysiske sårbarheter, enn IKT-underutvalget somfokuserte på den logiske trusselen. Norsk senterfor informasjonssikring ble opprettet for å kart-legge trusselen mot informasjonssikkerhet i nor-ske virksomheter. Dette senteret, samt etablerin-gen av en nasjonal strategi for informasjonssikker-het, var sentrale tiltak på IKT-sikkerhetsområdetfra Sårbarhetsutvalget.

Av konkrete anbefalinger knyttet til IKT-sik-kerhet og kraft var de viktigste:– å fastsette klare sikkerhetskrav til etablering

og drift av kritiske IKT-systemer– å etablere et senter for informasjonssikring,

organisert som en ikke-kommersiell stiftelse,som skulle ha som oppgave å koordinere opp-gaver innen hendelsesrapportering, varsling,analyse og erfaringsutveksling med tanke påtrusler mot IKT-systemer

– å bygge opp kapasitet og kompetanse til å føreeffektivt tilsyn med IKT-sikkerheten innenforall samfunnskritisk virksomhet

– å oppdatere retningslinjene for sikring av kraft-forsyningen

I tillegg foreslo Sårbarhetsutvalget en rekke tiltakpå mange områder, blant annet innenfor terror ogsabotasje, transportsikkerhet, forsyningsbered-skap, olje- og gassvirksomhet, mat og vann, radio-aktivitet, smittevern og kjemiske og biologiskestridsmidler og informasjonsberedskap før, underog etter en krise. Innenfor disse er det ikke nevnttiltak direkte knyttet til digital sikkerhet.

Utvalget kom videre med anbefalinger knyttettil organisatoriske tiltak. De mest relevante var– samling av arbeid for samfunnssikkerhet og

beredskap i ett departement som får dette somhovedoppgave

– opprettelse av et koordineringsorgan for EOS-tjenestene

– en samlet strategi og vurdering av å slåsammen organer for tilsyn med sikkerhet påulike områder

– en gjennomgang av landets operative rednings-og beredskapsressurser

– en felles granskingskommisjon for store ulyk-ker og kriser

Av juridiske anbefalinger ble følgende foreslått:– Lovgivningen burde tilpasses for å fremme

samfunnets sikkerhet og beredskap. Blantannet foreslo utvalget å pålegge kommunenearbeid med kriseplanlegging.

– Ansvarsområdet til Politiets overvåkingstje-neste burde lovfestes, inkludert lovbestemmel-ser som ga Politiets overvåkingstjeneste mulig-het til offensiv forebyggende virksomhet, her-under kommunikasjonskontroll iforebyggende øyemed.

– Det burde foretas en nærmere vurdering avbehovet for endringer i lover og regler og beho-vet for incentiver, for å redusere samfunnetsIKT-sårbarhet og styrke robusthetsnivået i kri-tisk infrastruktur.

– Den øvre strafferammen for datainnbruddburde revurderes.

Sårbarhetsutvalget rettet også stor oppmerksom-het mot behovet for forskning og utdanning, ogfastslo at det trengtes en ny giv for norsk sikker-hetsforskning for å holde tritt med teknologi- ogsamfunnsutviklingen. Utvalget mente at ett depar-tement burde ta et hovedansvar for å sette i gang,vedlikeholde og videreutvikle sikkerhetsforsknin-gen, og at det burde søkes løsninger som gjordeat sektordepartementer med stort ansvar for sik-kerhet og beredskap gikk sammen med nærings-livet i et forpliktende partnerskap for et sektor-overgripende forskningsprogram. Sikkerhetburde i større grad integreres i IKT-utdanningenpå alle nivåer fra videregående skole til universi-tet. I tillegg så utvalget behov for spesialkompe-tanse og for at IKT-sikkerhet ble etablert someget fag ved enkelte universiteter og høyskoler.

Når sikkerheten er viktigst. Beskyttelse av landets kritiske infrastrukturer og kritiske samfunnsfunksjoner (Infrastrukturutvalget)

I 2006 kom Infrastrukturutvalget med rapportenNår sikkerheten er viktigst. Beskyttelse av landetskritiske infrastrukturer og kritiske samfunnsfunksjo-ner. Hovedhensikten med oppnevnelsen av utval-get var å kartlegge landets kritiske infrastrukturog kritiske samfunnsfunksjoner og vurdere hvilkevirkemidler som måtte til for å opprettholde funk-sjonalitet og ivareta rikets sikkerhet og vitalenasjonale interesser.

I Infrastrukturutvalgets rapport er fokuset flyt-tet fra etablering av et helhetlig apparat rundt

2 Beskyttelse av samfunnet (BAS), forskningsserie ved Forva-rets forsvarsinstitutt.


informasjonssikkerhet til organisering av myndig-hetenes arbeid, herunder ansvarsavklaring pådepartementsnivå – dette på bakgrunn av arbeidetmed Nasjonal strategi for informasjonssikkerhet.Arbeidet med denne strategien førte blant annettil den permanente opprettelsen av NorSIS ogNSM NorCERT. Utvalgets rapport foreslår ihovedsak organisatoriske tiltak i offentlig sektorfor å bedre oppfølgingen av tiltak. En annen utvik-ling som har funnet sted fra det første sårbarhets-utvalget la frem sin rapport, er at Infrastrukturut-valget gjennom enkelte tiltak har fokusert også påprivatpersoner.

Infrastrukturutvalget mente at Justis- og politi-departementet, sammen med opprettelsen avDSB, i stor grad var innrettet som det innenriks-departementet Sårbarhetsutvalget foreslo. Det blelikevel pekt på at Justis- og politidepartementetskoordinerende rolle måtte tydeliggjøres gjennomå– være rådgivende myndighet i spørsmål knyttet

til kritisk infrastruktur og kritiske samfunns-funksjoner

– være pådriver og tilrettelegger for samarbeidog informasjonsdeling, samt bidra til koordine-ring av arenaer for dette

– etablere og videreutvikle en oversikt over kri-tisk infrastruktur og kritiske samfunnsfunksjo-ner gjennom en felles metode og system for ådefinere disse

– systematisere og koordinere trussel-, risiko- ogsårbarhetsinformasjon knyttet til kritisk infra-struktur og kritiske samfunnsfunksjoner – her-under å etablere et system for innhenting ogformidling av denne informasjonen

– være et nasjonalt kontaktpunkt ved internasjo-nalt samarbeid på området

– ta initiativ til avklaring av eventuelle uklareansvarsforhold

– utarbeide felles målsettinger og strategierknyttet til kritisk infrastruktur og kritiske sam-funnsfunksjoner i samarbeid med relevanteaktører

– koordinere igangsettingen og oppfølgingen avtverrsektoriell FoU på området, herunder BASog SAMRISK3

I tillegg pekte Infrastrukturutvalget på at detburde tydeliggjøres nasjonale mål og/eller aksept-nivåer gjennom å innarbeide dette som premiss iaktørenes risikoog sårbarhetsanalyser. Justis- ogpolitidepartementet burde videre gi konkrete ret-

ningslinjer for gjennomføring av risikoog sårbar-hetsanalyser, og det burde utvikles et program for«regelmessige ROS-analyser tilknyttet kritiskinfrastruktur og kritiske samfunnsfunksjoner,som grunnlag for tverrsektorielle avveininger,risikobaserte prioriteringer, helhetlig analyse ogpolitikk for det sivile og militære sikkerhetsar-beid». Utvalget foreslo også å utrede en lovregule-ring for å sikre kritisk infrastruktur og kritiskesamfunnsfunksjoner.

Videre mente Infrastrukturutvalget at tilsyns-virksomheten på området kritisk infrastruktur ogkritiske samfunnsfunksjoner burde styrkes, og aten i den sammenheng burde vurdere en samord-ning av tilsynsvirksomheten og en prinsipiell drøf-ting av forholdet mellom tilsyn som ivaretar over-ordnede interesser, og tilsyn som ivaretar sektor-interesser (horisontale versus vertikale tilsyn).

Utvalget foreslo en statlig tilskuddsordning forå sikre at tverrsektorielle tiltak uten en hovedeierble fulgt opp. De mente at dette ville bidra til åfinansiere den statlige delen i en risikofordelingmellom offentlige og private interesser, finansierenødvendige sektorovergripende tiltak, følge oppsektorovergripende infrastrukturer, samt ivaretaet helhetlig perspektiv og følge opp tiltak ut frahensynet til sikkerhet mot utilsiktede og tilsiktedehendelser.

For å sikre at krav til sikkerhet ble ivaretatt,foreslo utvalget at det ved offentlige innkjøpskulle vurderes sikkerhets- og beredskapsmes-sige konsekvenser ved bortfall av de varene og tje-nestene som ble levert. Videre burde det etable-res en liste over kontrollpunkter som skulle benyt-tes i forbindelse med omreguleringer og omorga-niseringer, for å ivareta sikkerhetsmessige pro-blemstillinger ved omstillinger. Utvalget mente atkjøp av tjenester og tilskudd til spesielle oppgaverfor sikring av kritisk infrastruktur ville være etnødvendig virkemiddel sammen med regulato-riske bestemmelser.

Utvalget var også svært opptatt av offentligeierskap som virkemiddel, og mente at dettemåtte vurderes konkret hos aktører som var eiereav kritiske samfunnsfunksjoner og kritisk infra-struktur. I avveiinger mellom offentlig og privateierskap burde hensynet til samfunnssikkerhet ogberedskap veie tungt. Videre burde eierskap tilekominfrastruktur være under kontroll av norskeeiere. I kraftsektoren foreslo utvalget at sentral-nettet skulle beholdes i offentlig eierskap, mensdistribusjonsnettet ikke i samme grad burde værei offentlig eierskap.

Videre hadde utvalget blant annet følgendeforslag til kraft og ekom: at det skulle etableres

3 Forskningsrådets program for samfunnssikkerhetsfors-kning.


nødvendige lovhjemler som sikret reserveløsnin-ger i ekomnett og -tjenester, at muligheter forstrømrasjonering ble utredet, og at det ble stiltkrav til nødstrøm for kritiske samfunnsfunksjoner.Vedlikeholdsetterslepet i kraftsektoren burde viesoppmerksomhet, og det burde vurderes om KILE-ordningen4 kunne bidra til å sikre vedlikehold.

Av organisasjonsmessige tiltak foreslo Infra-strukturutvalget en reduksjon i antall fagdeparte-menter med ansvar for IT-sikkerhetsarbeid og ensamordning mellom Samferdselsdepartementetog Forbruker- og administrasjonsdepartementet.Videre burde JD legge til rette for større fagligesynergieffekter ved blant annet å opprette et

organ for informasjonsdeling mellom PST, NSMog DSB. Utvalget satte også spørsmålstegn vedhvorvidt det er hensiktsmessig/mulig å skillemellom etatsstyringsansvar og fagansvar forNSM. Fylkesmannens ansvar burde tydeliggjøres,blant annet når det gjaldt rekvirering av ressurserfor å prioritere mellom ulike brukere ved avbruddi kritisk infrastruktur, og kommunene burde få engenerell beredskapsplikt.

Infrastrukturutvalget foreslo også tiltak knyt-tet til forskning og utvikling, blant annet: FFIsmandat burde utvides til også å gjelde sivil sektor,SAMRISK burde iverksettes, forskning knyttet tilbeskyttelse av kritisk infrastruktur og kritiskesamfunnsfunksjoner burde prioriteres hosForskningsrådet, Terrorkonsortiet burde videre-føres, og det burde startes et forskningsprosjektfor å se på gjensidige avhengigheter i kritisk infra-struktur.

4 KILE (kvalitetsjusterte inntektsrammer ved ikke levertenergi) er en ordning med insentivregulering som skal ginettselskapene økonomisk motivasjon til riktig ressursallo-kering innenfor de rammer og vilkår som ellers er gitt avmyndighetene.

324 NOU 2015: 13Referanser Digital sårbarhet – sikkert samfunn

Referanser

Ablon, Lillian, Martin C. Libicki and Andrea A.Golay (2014): Markets for Cybercrime Tools andStolen Data: Hackers' Bazaar. Santa Monica,CA: RAND Corporation.

ACM/IEEE-CS Joint Task Force on ComputingCurricula (2013): Computer Science Curricula2013 – Curriculum Guidelines for Undergra-duate Degree Programs in Computer Science.

Agenda Kaupang (2014): Evaluering av Difi.Almklov (2011): Offentlige etaters rolle i å sikre

robusthet i komplekst organiserte og tett kobledeinfrastruktursektorer.

Antony Deceglie (2012): Taliban Using Facebookto Lure Aussie Soldier, The Sunday Telegraph,September 09.2012, In: Harley, J.: InformationOperations Newsletter, Vol. 13, no. 01.

BDO (2015): Andre lands arbeid med digitale sår-barheter.

Biener, Christian; Martin, Eling and Jan HendrikWirfs: Insurability of Cyber Risk: An EmpiricalAnalysis. The Geneva Papers on Risk and Insu-rance-Issues and Practice 40.1 (2015): 131–158.

Bing, J.: Building cyberspace: a brief history ofInternet. In: Internet Governance, Infrastru-cture and Institutions. Eds: Bygrave, L.A. andBing. J., Oxford University Press: 8–47.

Carr, Nicholas (2014): The Glass Cage: Automa-tion and Us.

CISCO (2015): Annual security report.CISCO (2011): The Internet of Things – How the

Next Evolution of the Internet Is Changing Eve-rything.

Council of Europe (2001): Treaty No.185 Conven-tion on Cybercrime.

Council of Europe (2001): Convention on Cyber-crime, Additional Protocol, Budapest,23.XI.2001. ETS No 185.

CWE-259 (2014): Use of Hard-coded Password,Gartner survey of EHR suppliers and systems inthe Norwegian market.

DAMVAD og Samfunnsøkonomisk analyse(2014): Dimensjonering av avansert IKT-kom-petanse.

Datatilsynet (2013): Big Data – personvernprinsip-per under press.

Deceglie, Antony (2012): Taliban Using Facebookto Lure Aussie Soldier, The Sunday Telegraph,September 09.2012, In: Harley, J.: InformationOperations Newsletter, Vol. 13, no. 01 (Sep-tember–October 2012).

Detica, Cabinet Office (2011): The cost of cybercrime.

Direktoratet for forvaltning og IKT (2010):Risikovurdering – en veiledning til Rammever-ket for autentisering og uavviselighet i elektro-nisk kommunikasjon med og i offentlig sektor.

Direktoratet for forvaltning og IKT (2010): Nasjo-nale felleskomponenter i offentlig sektor – For-slag til hvordan nasjonale felleskomponenter børstyres, forvaltes, finansieres og utvikles.

Direktoratet for nødkommunikasjon (2014):Robusthet i transmisjon. Reservestrøm i trans-misjonslinjer i Nødnett.

Direktoratet for samfunnssikkerhet og beredskap(2015): Sammenstilling av relevante funn frahendelser og øvelser siste fem år, delutredningtil Lysneutvalget.

Direktoratet for samfunnssikkerhet og beredskap(2015): Risikoanalyse av cyberangrep mot ekom-infrastruktur. Delrapport til Nasjonalt risiko-bilde 2014.

Direktoratet for samfunnssikkerhet og beredskap(2015): Støtte til Forsvarssjefens operative plan-verk. Oppdragsbrev fra Justis- og beredskaps-departementet.

Direktoratet for samfunnssikkerhet og beredskap(2015): Nasjonalt risikobilde 2014.

Direktoratet for samfunnssikkerhet og beredskap(2014): Kommuneundersøkelsen 2014. Statusfor samfunnssikkerhets- og beredskapsarbeidet ikommunene.

Direktoratet for samfunnssikkerhet og beredskap(2012): Sikkerhet i kritisk infrastruktur og kri-tiske samfunnsfunksjoner – modell for overord-net risikostyring (KIKS).

Direktoratet for samfunnssikkerhet og beredskap(2012): Samfunnets sårbarhet som følge av bort-fall av elektronisk kommunikasjon.

Direktoratet for samfunnssikkerhet og beredskap(2012): Nasjonalt risikobilde 2012 med fordyp-

NOU 2015: 13 325Digital sårbarhet – sikkert samfunn Referanser

ningsdel. Kommunenes beredskap mot bortfallav elektrisk kraft.

DNV GL (2015): Digitale Sårbarheter MaritimSektor, Lysneutvalget.

DNV GL (2015): Digitale sårbarheter Olje & gass,Lysneutvalget.

ECON (2014): The partnership between the Norwe-gian Oil & Gas Industry and the EU countries.

Éireann P. Leverett (2011): Quantitatively Asses-sing and Visualising Industrial System AttackSurfaces, University of Cambridge, Dissertation.

The Electric Infrastructure Security Council(2014): E-PRO Handbook, EPRO Electric Grid,First Edition.

EMC (2014): The Digital Universe of Opportuni-ties: Rich Data and the Increasing Value of theInternet of Things.

Energi Norge og Telenor (2013): Sikkerhet ogberedskap mot ekstremvær i telesektoren.

ENISA (2014): Threat landscape.ENISA (2012): National Cyber Security Strategies –

Setting the course for national ef forts to strengt-hen security in cyberspace.

ENISA (2012): Smart Grid Security – Annex IGeneral Concepts and Dependencies with ICT.

ENISA (2012): Incentives and barriers for the cyberinsurance market in Europe.

Etterretningstjenesten (2015): Etterretningstje-nestens vurdering, FOKUS.

EU (2010): Article 29 Data Protection WorkingParty. 00070/2010/EN WP 176.

EU (2011): Commission implementing regulation(EU) No 1035/2011.

Europol (2014): The internet organized crimethreat assessment (IOCTA).

Finansdepartementet (2013): Meld. St. 21 (2013–2014) Finansmarknadsmeldinga 2013.

Finanstilsynet (2015): Endelige retningslinjer forsikkerhet i internettbetalinger.

Finanstilsynet (2015): Risiko- og sårbarhetsanalyse(ROS) 2014. Finansforetakenes bruk av infor-masjons- og kommunikasjonsteknologi (IKT).

Finanstilsynet og Norges Bank (2011): Betalings-systemloven – samarbeid og ansvarsdeling mel-lom Finanstilsynet og Norges Bank.

Forbrukerrådet (2014): Du selger deg billig – Enrapport om betalingsløsninger og personvern.

Fornyings-, administrasjons- og kirkedepartemen-tet (2013): Meld. St. 23 (2012–2013) Digitalagenda for Norge – IKT for vekst og verdiska-ping.

Fornyings- og administrasjonsdepartementet,Samferdselsdepartementet, Justis- og bered-skapsdepartementet og Forsvarsdepartemen-

tet (2012): Nasjonal strategi for informasjons-sikkerhet.

Fornyings- og administrasjonsdepartementet(2009): Statens kommunikasjonspolitikk.

Forskningsrådet (2015): Årsrapport 2014.Forskningsrådet (2015): IKTPLUSS – Plan for sat-

singen.Forskningsrådet (2015): Research in Information

and Communication Technology in Norway. Anevaluation.

Forsvarsdepartementet (2015): Et felles løft.Ekspertgruppen for forsvaret av Norge.

Forsvarsdepartementet (2011): Lov om forebyg-gende sikkerhetstjeneste (sikkerhetsloven).

Forsvarsdepartementet, Justis- og beredskapsde-partementet (2015): Støtte og samarbeid. Enbeskrivelse av totalforsvaret i dag.

Forsvarets forskningsinstitutt (2015): FFI-rapport2015/00923 Tilnærminger til risikovurderingerfor tilsiktede uønskede handlinger.

Forsvarets forskningsinstitutt (2014): FFI-Rapport2014/00948. Norges sikkerhetstilstand – enårsaksanalyse av mangelfull forebyggende sik-kerhet.

Forsvarets forskningsinstitutt (2014): Krisehåndte-ring i et sårbart cybersamfunn.

Forsvarets forskningsinstitutt (2004): TEK14:Militærteknologiske trender – Oversiktsrapport.

FOX IT (2015): Cyber security: 60 percent of oil andgas companies do not have an Incident ResponsePlan in place.

Gottschalk, Petter (2013): Flytting av arbeidsopp-gaver til utlandet. En oversikt over forskning ommål og resultat når virksomheter setter ut tilandre å utføre tjenester. BI. Til Finansforbun-det.

Granskningsgruppe (2013): Angrepet mot In Ame-nas – Rapport fra granskningen av terrorangre-pet mot In Amenas. Utarbeidet for styret i Stat-oil ASA.

Greveler U., Justus B., and Loehr, D. (2012): Mul-timedia content identification through smartmeter power usage profiles.

Hagen, J (2009): How do employees comply withsecurity policy? A comparative case study of fourorganizations under the security act. In: Thehuman factor behind the Security Perimeter,Evaluating the ef fectiveness of organizationalinformation security measures and employees’contribution to security. Universitetet i Oslo.

Helsedirektoratet (2015): Styrket gjennomførings-evne for IKT-utvikling i helse- og omsorgstje-nesten.


Helsedirektoratet (2014): Utredning av «Én inn-bygger – én journal». Komparativ analyse av deregionale helseforetakene på IKT-området.

Helse- og omsorgsdepartementet (2014): Nasjo-nal helseberedskapsplan. Versjon 2.0.

Helse- og omsorgsdepartementet (2002): Forskriftom vannforsyning og drikkevann (Drikkevanns-forskriften).

Helse- og omsorgsdepartementet, Klima- og miljø-departementet, Arbeids- og sosialdepartemen-tet (2011): Forskrift om styring og opplysnings-plikt i petroleumsvirksomheten og på enkeltelandanlegg (styringsforskriften).

Helse- og omsorgsdepartementet, Klima- og miljø-departementet, Arbeids- og sosialdepartemen-tet (2011): Forskrift om styring og opplysnings-plikt i petroleumsvirksomheten og på enkeltelandanlegg (styringsforskriften).

Helsetilsynet (2015): Med tilsynsblikk på alvorligeog uventede hendelser i spesialisthelsetjenesten.Status og erfaringer 2014. Fra Undersøkelse-senheten i Statens helsetilsyn.

Hubbard, Z.P. (2007): Information Operations inthe Global Ear on terror: Lessons Learned FromOperations in Afghanistan and Iraq. In Infor-mation Warfare. Separating hype from reality,L. Armistead, ed., Dulles, Virginia: PotomacBooks Inc.

Idaho National Laboratory (2011): VulnerabilityAnalysis of Energy Delivery Control Systems.

IEEE Volume 7, Issue: 4 (2009): Human Relations-hips: A Never-Ending Security Education Chal-lenge? Security & Privacy.

International Monetary Fund (IMF)(2015):Financial System Stability Assessment for Nor-way.

ISC2 (2015): Cybersecurity principles and learningoutcomes for computer science and IT-relateddegrees. A resource for course designers andaccreditors. Versjon 1.1.

Johnsen, Stig Ole (2012): An Investigation of Resi-lience in Complex Socio-Technical Systems toImprove Safety and Continuity in IntegratedOperations. NTNU.

Justis- og beredskapsdepartementet (2015): Prop.1 S (2015–2016).

Justis- og beredskapsdepartementet (2015): FoU-strategi for samfunnssikkerhet 2015–2019.

Justis- og beredskapsdepartementet (2015): Justis-og beredskapsdepartementets strategi for åbekjempe IKT-kriminalitet.

Justis- og beredskapsdepartementet (2014):Modell for håndtering av IKT-sikkerhetshendel-ser – anbefalinger og retningslinjer, brev tildepartementene.

Justis- og beredskapsdepartementet (2012):Kgl.res. 15.6.2012: Instruks for departemente-nes arbeid med samfunnssikkerhet og beredskap,Justis- og beredskapsdepartementets samord-ningsrolle, tilsynsfunksjon og sentral krisehånd-tering.

Justis- og beredskapsdepartementet (2011): Lovom kommunal beredskapsplikt, sivile beskyttel-sestiltak og Sivilforsvaret.

Justis- og beredskapsdepartementet (2010): Lovom behandling av opplysninger i politiet ogpåtalemyndigheten (politiregisterloven).

Justis- og beredskapsdepartementet (2007):Avtale om samarbeid om lokalradiostasjonensvirksomhet under kriser og katastrofer av22.01.2007. Inngått mellom Justis- og bered-skapsdepartementet, Norsk rikskringkasting,Telenor Norge AS og Norsk lokalradiofor-bund.

Justis- og beredskapsdepartementet (2005): Lovom straff (straffeloven).

Justis- og beredskapsdepartementet (1999): Lovom styrking av menneskerettighetenes stilling inorsk rett (menneskerettsloven).

Kommunal- og moderniseringsdepartementet(2015): Kartlegging av hindringer i regelverkfor bruk av skytjenester. Interdepartementalarbeidsgruppe.

Kommunal- og moderniseringsdepartementet(2015): Handlingsplan for informasjonssikker-het i statsforvaltningen (2015–2017).

Kommunal- og moderniseringsdepartementet(2013): Nasjonal strategi – IKT-forsking og –utvikling. Strategi 2013–2022.

Kripos (2014): Trendrapport 2015 – den organi-serte kriminaliteten i Norge.

Krutskikh, A.V. (2012): Developments in the Fieldof Information and telecommunications in theContext of International Security. Study Series33, Part 1: A/65/201, United Nations, NewYork.

KS, FoU (2015): Utredning av juridiske forhold vedbruk av nettsky i kommunal sektor – en mulig-hetsstudie. Utarbeidet av AdvokatfirmaetFøyen Torkildsen.

Lagner, Ralph (2014): To Kill a Centrifuge. ATechnical Analysis of What Stuxnet’s CreatorsTried to Achieve.

Langbråten, Nina (2012): Nye betalingsmåter. Nor-ges Bank.

Langill, Joel, Zambon, Emmanuele and Trivellato,Daniel (2014): Cyberespionage campaign hitsenergy companies, SilentDefense helps detectingand mitigating the threat.


Line, Maria Bartnes (2015): Understanding Infor-mation Security Incident ManagementPractices – A case study in the electric powerindustry. NTNU.

Kjølle, G.H., Gjerde, O., Hofmann, M. (2013): Vul-nerability and security in a changing power sys-tem. SINTEF.

Mattilsynet (2006): Økt sikkerhet og beredskap ivannforsyningen. Veiledning.

Meld. St. 7 (2010–2011) Kampen mot organisertkriminalitet – en felles innsats.

Meld. St. 8 (2010–2011) Digitalisering av radiome-diet.

Meld. St. 29 (2011–2012) Samfunnssikkerhet.Meld. St. 9 (2012–2013) Én innbygger – én journal.Meld. St. 26 (2012–2013) Nasjonal transportplan

2014–2023.Meld. St. 39 (2012–2013) Mangfold av vinnereMeld. St. 37 (2014–2015) Globale sikkerhetsutfor-

dringer i utenrikspolitikken – Terrorisme, orga-nisert kriminalitet, piratvirksomhet og sikker-hetsutfordringer i det digitale rom.

Metier (2014): Rapport til Kommunal- og moder-niseringsdepartementet og Finansdeparte-mentet. KS2 (kvalitetssikring fase 2) av NyIKT-løsning for departementene.

Ministry of Defence UK (2014): Global StrategicTrends – Out to 2045.

mnemonic (2015): Avdekke, håndtere og etterforskedigitale angrep.

Moe, Marie (2015): Informasjonssikkerhet og per-sonvern: Hva må vi tenke på ved tilgjengeliggjø-ring av data? SINTEF IKT, Systemutvikling ogsikkerhet.

Moen-Hagalisletto, Anders og Fritsch, Lothar(2011): Mobilnett-kollapsen: Vi må leve medrisikoen. Kronikk i forskning.no 21.06.2011.

Myndigheten för samhäldsskydd och beredskap(2015): Informationssäkerhet – trender 2015.

Myndigheten för samhäldsskydd och beredskap(2012): Reflections on civil protection and emer-gency preparedness during major IT incidents.

Myndigheten för samhäldsskydd och beredskap(2010): Kartläggning av SCADA-säkerhet inomsvensk dricksvattenförsörjning.

Nasjonal kommunikasjonsmyndighet (2015): Vur-dering av om dekningsvilkår for avvikling avFM er oppfylt. Dekningsvurderinger for NRKsDAB-nett, de kommersielle DAB-nettene ogNRK P1s stereodekning i FM-nettet.

Nasjonal kommunikasjonsmyndighet (2014):Robusthet i elektronisk kommunikasjon – veiled-ning og råd til kommuner.

Nasjonal kommunikasjonsmyndighet (2013): For-skrift om klassifisering og sikring av anlegg i

elektroniske kommunikasjonsnett (klassifise-ringsforskriften).

Nasjonal sikkerhetsmyndighet (2015): HelhetligIKT-risikobilde 2015.

Nasjonal sikkerhetsmyndighet (2015): Sikkerhets-faglig råd.

Nasjonal sikkerhetsmyndighet (2014): Fire effek-tive tiltak mot dataangrep.

Nasjonal sikkerhetsmyndighet (2015): Risiko2015.

Nasjonal sikkerhetsmyndighet (2009): Veiledningi verdivurdering.

National Intelligence Council (2012): GlobalTrends 2030: Alternative Worlds.

Nexia International (2015): Kartlegging og analyseav landskapet for offentlige datasentre i Norge2015 – Utarbeidet for Kommunal- og moderni-seringsdepartementet.

Nexia/Styrmand (2012): Kost/nyttevurdering avtiltak for styrking av norsk sambands- og IP-infrastruktur. For Post- og teletilsynet.

NorSIS (2015): Trusler og trender.Norges Bank (2014): Finansiell infrastruktur

2014.Norges Bank (2015): Finansiell infrastruktur

2015.Norges vassdrags- og energidirektorat (2015):

Smarte målere (AMS). Status og planer forinstallasjon og oppstart per 1. kvartal 2015.

Norges vassdrags- og energidirektorat (2015):Kraft fra land til Johan Sverdrup-feltet.

Norsk elektroteknisk norm (2014): NEK 399-1 Til-knytningspunkt for el- og ekomnett. Normenomhandler etablering og utforming av fellesgrensesnitt (skap) for blant annet elnett, elmålerog ekomnett.

Norsk romsenter (2013): Vurdering av sårbarhetved bruk av globale satellittnavigasjonssystemeri kritisk infrastruktur.

Norsk vann (2014): Vann- og avløpsteknikk.Norsk vann (2014): Fra driftsassistanser til regio-

nale vannassistanser. Rapport 203/2014.Norsk vann (2013): Rapport 195/2013: Sikkerhet

og sårbarhet i driftskontrollsystemer for VA-anlegg.

NOU 2015: 1 Produktivitet – grunnlag for vekst ogvelferd.

NOU 2013: 9 Ett politi – rustet til å møte fremtidensutfordringer – Politianalysen.

NOU 2013: 2 Hindre for digital verdiskaping.NOU 2012: 14 Rapport fra 22. juli-kommisjonen.NOU 2014: 14 Fagskolen – ett attraktivt utdan-

ningsvalg.NOU 2012: 2 Utenfor og innenfor Norges avtaler

med EU.


NOU 2009: 15 Skjult informasjon – åpen kontroll –Metodekontrollutvalgets evaluering av lovgiv-ningen om politiets bruk av skjulte tvangsmidlerog behandling av informasjon i straffesaker.

NOU 2009: 1 Individ og integritet – Personvern idet digitale samfunnet.

NOU 2015: 8 Fremtidens skole – Fornyelse av fag ogkompetanser.

NOU 2007: 2 Lovtiltak mot datakriminalitet –Delutredning II.

NOU 2006: 6 Når sikkerheten er viktigst – Beskyt-telse av landets kritiske infrastrukturer og kri-tiske samfunnsfunksjoner.

NOU 2003: 27 Lovtiltak mot datakriminalitet –Delutredning I om Europarådets konvensjon ombekjempelse av kriminalitet som knytter seg tilinformasjons- og kommunikasjonsteknologi.

NOU 2000: 24 Et sårbart samfunn – Utfordringerfor sikkerhets- og beredskapsarbeidet i samfunnet.

NOU 1999: 27: «Ytringsfrihed bør finde Sted» – For-slag til ny Grunnlov § 100.

NOU 1986: 12 Datateknikk og samfunnets sårbarhet.Nærings- og fiskeridepartementet (2001): Lov om

elektronisk signatur (esignaturloven).Næringslivets sikkerhetsråd (2014): Mørketallsun-

dersøkelsen 2014 – Informasjonssikkerhet, per-sonvern og datakriminalitet.

OECD (2002): Guidelines for the Security of Infor-mation Systems and Networks: Towards a Cul-ture of Security.

Office of Electricity Delievery and Energy Reliabi-lity (2011): Vulnerability analysis of energy deli-very control systems.

Office of Electricity Delievery and Energy Reliabi-lity (2011): Vulnerability analysis of energy deli-very control systems.

Oljeindustriens landsforening (nå Norsk olje oggass) (2007): HMS- og Integrerte operasjoner:Forbedringsmuligheter og nødvendige tiltak.

Olje- og energidepartementet (2003): Kronprinsre-gentens resolusjon om det nye Oljedirektoratetsansvar og oppgaver etter utskillelsen av Petrole-umstilsynet.

Olje- og energidepartementet (2014): Et bedreorganisert strømnett.

Olje- og energidepartementet (2003): Kronprinsre-gentens resolusjon om det nye Oljedirektoratetsansvar og oppgaver etter utskillelsen av Petrole-umstilsynet.

Oljeindustriens landsforening (nå Norsk olje oggass) (2007): HMS- og Integrerte operasjoner:Forbedringsmuligheter og nødvendige tiltak.

Oslo Economics (2015): Konsekvensutredning –Alternativer for styrket robusthet i landsdek-kende kjernenett. Utarbeidet for Lysneutvalget.

Oslo Economics (2015): Konsekvensutredning –Tydeliggjøring av myndighetsansvar for norskromvirksomhet. Utarbeidet for Lysneutvalget.

Ot.prp. nr. 92 (1998–99) Om lov om behandling avpersonopplysninger (personopplysningsloven).

Perrow, Charles (1984): Normal Accidents: Livingwith High Risk Technologies. Basic Books.

Petroleumstilsynet (2011): Deepwater Horizon-ulykken – Vurderinger og anbefalinger for norskpetroleumsvirksomhet.

Politidirektoratet (2012): Organisering av øko-teamene.

Politidirektoratet (2012): Politiet i det digitale sam-funnet – En arbeidsgrupperapport om: elektro-niske spor, IKT-kriminalitet og politiarbeid påInternett.

Politidirektoratet (2010–2012): Tendenser i krimi-naliteten.

Politiets sikkerhetstjeneste (2015): Åpen trus-selvurdering 2015.

Post- og teletilsynet (2014): Ekomtjenester, -nett og-utstyr. Utvikling og betydning for PT.

Post- og teletilsynet (2013): Ekomlovens krav ved-rørende kommunikasjonsvern, integritet og til-gjengelighet – logiske angrep. Presiseringsnotatfra Post- og teletilsynet til ekomtilbydere.

Post- og teletilsynet (2012): Foreløpige erfaringerog forslag til tiltak etter ekstremværet Dagmar.

Post- og teletilsynet (2012): Sårbarhetsanalyse avmobilnettene i Norge.

Proactima og Energi Norge (2015), Overordnetrisiko- og sårbarhetsanalyse for innføring avAMS.

Prop. 112 L (2010–2011): Endringer i energilovenog i enkelte andre lover.

Prop. 73 S (2011–2012) Et forsvar for vår tid.Prop. 53 L (2012–2013) Endringer i straffeloven

1902 mv. (offentlig sted, offentlig handlingm.m.).

Rambøll (2013): Utfordringer og muligheter i kom-munalteknisk sektor. FOU-prosjekt nr. 134038for KS.

Regjeringen (2013): Tiltredelseserklæring fra regje-ringen Solberg 18. oktober 2013, Sundvolden-plattformen.

Report of the joint Informatics Europe & ACMEurope Working Group on Informatics Educa-tion (2013): Informatics education – Europecannot afford to miss the boat.

Riksadvokaten (2015): Rundskriv nr. 1/2015 Målog prioriteringer for straffesaksbehandlingen i2015 – Politiet og statsadvokatene.

Riksrevisjonen (2014): Riksrevisjonens kontrollmed forvaltningen av statlige selskaper for2013, Dokument 3:2 (2014–2015).


Riksrevisjonen (2014): Riksrevisjonens undersø-kelse om elektronisk meldingsutveksling i helse-og omsorgssektoren. Dokument 3:6 (2013–2014).

Riksrevisjonen (2013): Riksrevisjonens rapport omden årlige revisjon og kontroll for budsjettåret2013, Dokument 1 (2014–2015).

Riksrevisjonen (2008): Riksrevisjonens undersø-kelse om IKT i sykehus og elektronisk sam-handling i helsetjenesten, Dokument nr. 3:7(2007–2008).

Samferdselsdepartementet (2015): Lov om elektro-nisk kommunikasjon (ekomloven).

Samferdselsdepartementet (2010): Krisescenari-oer i samferdselssektoren – KRISIS.

Samferdselsdepartementet (1999): Forskrift ometablering, drift og bruk av jordstasjon for satel-litt.

Sampigethaya et al. (2011): Future E-Enabled Air-craft Communications and Security: The Next20 Years and Beyond, Proceedings of the IEEEVol. 99. No.11.

Senter for IKT i utdanningen (2012): Monitor2011 – Skolens digitale tilstand.

SINTEF (2015): Digitale sårbarheter i helsesekto-ren – En oppsummering av funn fra workshopholdt i mai 2015 i regi av Lysneutvalget. Utar-beidet for Lysneutvalget.

Slay, J and Miller, M (2007): Lessons Learned fromthe Maroochy Water Breach in Critical Infra-structure Protection, vol. 253, E. Goetz and S.Shenoi, Eds., ed: Springer Boston, 2007, pp.73–82.

SOU 2015:23 Informations- och cybersäkerhet i Sve-rige. Strategi och åtgärder för säker informationi staten.

Statens Vegvesen, Vegdirektoratet (2014): Bran-sjenorm for personvern og informasjonssikkerheti elektronisk billettering.

Standard Norge (2014): NS 5832:2014 Samfunns-sikkerhet – Beskyttelse mot tilsiktede uønskedehandlinger – Krav til sikringsrisikoanalyse.

Standard Norge (2012): NS-ISO 22300:2012 Sam-funnssikkerhet – Terminologi.

Standard Norge (2008): NS 5814:2008 Krav tilrisikovurderinger.

Statsministerens kontor (2013): Overføring avsamordningsansvaret for forebyggende IKT-sik-kerhet fra Fornyings-, administrasjons- og kirke-departementet til Justis- og beredskapsdeparte-mentet. Kgl. res. 22.03.2013.

St.meld. nr. 22 (2007–2008) Samfunnssikkerhet –samvirke og samordning.

St.meld. nr. 17 (2001–2002) Samfunnssikkerhet.Symantec (2015): Internet Security Threat Report.Sæle, H., Sagosen, Ø., Bjørndalen, J. (2014): Norsk

driftssentralstruktur Funksjon, kostnadsforholdog fremtidig utvikling. SINTEF Energi.

Teknologirådet (2014): På nett med publikum.Hvordan smarttelefonen og sosiale medier girnye muligheter for norsk politi.

The Bank for International Settlements(BIS)(2014): Cyber resilience in financial mar-ket institutions.

Tøndel et al. (2013): Towards Improved Understan-ding and Holistic Management of the CyberSecurity Challenges in Power Transmission Sys-tems, SINTEF.

United States Government Accountability Office(2015): Air Traffic Control. FAA Needs a MoreComprehensive Approach to Address Cyberse-curity As Agency Transitions to NextGen.

UNODC (2013): Comprehensive Studyon Cyber-crime (Draft).

Utdanningsdirektoratet (2012): Rammeverk forgrunnleggende ferdigheter – Til bruk for lære-plangrupper oppnevnt av Utdanningsdirektora-tet.

Utenriksdepartementet (2015): Folkerettslige ram-mer for grenseoverskridende informasjonsinn-henting.

Vinnem, J.E., Utne, I.B., Skogdalen, J.E. (2011):Looking Back and Forward: Could Safety Indi-cators Have Given Early Warnings about theDeepwater Horizon Accident? Deepwater Hori-zon Study Group.

Walton, Mark (2015): Google’s quirky self-drivingbubble car hits public roads this summer.

Weiss, Joseph (2010), Protecting Industrial ControlSystems from Electronic Threats. MomentumPress. New York.

White House (2014): Big data: Seizing opportuni-ties, preserving values.

World Economic Forum (2015): Partnering forCyber Resilience, Towards the Quantification ofCyber Threats.

World Economic Forum (2012): Risk and responsi-bility in a Hyperconnected world – pathways toglobal cyber resilience.

Øvstedal, L., Lervåg, L.E. og T. Foss (2010): Per-sonvern og trafikk: Personvernet i intelligentetransportsystemer. SINTEF.

Norges offentlige utredninger 2015

Seriens redaksjon:Departementenes sikkerhets- og serviceorganisasjon

Informasjonsforvaltning

1. Produktivitet – grunnlag for vekst og velferd Finansdepartementet

2. Å høre til Kunnskapsdepartementet

3. Advokaten i samfunnet Justis-ogberedskapsdepartementet

4. Tap av norsk statsborgerskap Barne-,likestillings-oginkluderingsdepartementet

5. Pensjonslovene og folketrygdreformen IV Finansdepartementet

6. Grunnlaget for inntektsoppgjørene 2015 Arbeids-ogsosialdepartementet

7. Assimilering og motstand Kommunal-ogmoderniseringsdepartementet

8. Fremtidens skole Kunnskapsdepartementet

9. Finanspolitikk i en oljeøkonomi Finansdepartementet

10. Lov om regnskapsplikt Finansdepartementet

11. Med åpne kort Helse-ogomsorgsdepartementet

12. Ny lovgivning om tiltak mot hvitvasking og terrorfinansiering

Finansdepartementet

13. Digital sårbarhet – sikkert samfunn Justis-ogberedskapsdepartementet

Omslagsillustrasjon: Colourbox

Norges offentlige utredninger2014 og 2015

Statsministeren:

Arbeids- og sosialdepartementet:NOU 2014: 3 Grunnlaget for inntektsoppgjørene 2014NOU 2014: 17 Pensjonsordning for arbeidstakere til

sjøsNOU 2015: 6 Grunnlaget for inntektsoppgjørene 2015NOU 2015: x Arbeidstidsutvalget

Barne-, likestillings- oginkluderingsdepartementet:NOU 2014: 8 Tolking i offentlig sektorNOU 2014: 9 Ny adopsjonslovNOU 2015: 4 Tap av norsk statsborgerskap

Finansdepartementet:NOU 2014: 13 Kapitalbeskatning i en internasjonal

økonomiNOU 2015: 1 Produktivitet – grunnlag for vekst og

velferdNOU 2015: 5 Pensjonslovene og folketrygdreformen IVNOU 2015: 9 Finanspolitikk i en oljeøkonomiNOU 2015: 10 Lov om regnskapspliktNOU 2015: 12 Ny lovgivning om tiltak mot hvitvasking

og terrorfinansiering

Forsvarsdepartementet:

Helse- og omsorgsdepartementet:NOU 2014: 12 Åpent og rettferdig – prioriteringer

i helsetjenestenNOU 2015: 11 Med åpne kort

Justis- og beredskapsdepartementet:NOU 2014: 1 Ny arvelovNOU 2014: 10 Skyldevne, sakkyndighet og

samfunnsvernNOU 2015: 3 Advokaten i samfunnetNOU 2015: 13 Digital sårbarhet – sikkert samfunn

Klima- og miljødepartementet:

Kommunal- og moderniseringsdepartementet:NOU 2014: 6 Revisjon av eierseksjonslovenNOU 2015: 7 Assimilering og motstand

Kulturdepartementet:NOU 2014: 2 Lik og likskap

Kunnskapsdepartementet:NOU 2014: 5 MOOC til NorgeNOU 2014: 7 Elevenes læring i fremtidens skoleNOU 2014: 14 Fagskolen – et attraktivt utdanningsvalgNOU 2015: 2 Å høre tilNOU 2015: 8 Fremtidens skole

Landbruks- og matdepartementet:NOU 2014: 15 Norsk pelsdyrhold – bærekraftig

utvikling eller styrt avvikling?

Nærings- og fiskeridepartementet:NOU 2014: 4 Enklere regler – bedre anskaffelserNOU 2014: 11 KonkurranseklagenemdaNOU 2014: 16 Sjømatindustrien

Olje- og energidepartementet:

Samferdselsdepartementet:

Utenriksdepartementet:

NOUDigital sårbarhet – sikkert samfunnBeskytte enkeltmennesker og samfunn i en digitalisert verden

Bestilling av publikasjoner

Offentlige institusjoner:Departementenes sikkerhets- og serviceorganisasjonInternett: www.publikasjoner.dep.noE-post: [email protected]: 22 24 00 00

Privat sektor:Internett: www.fagbokforlaget.no/offpubE-post: [email protected]: 55 38 66 00

Publikasjonene er også tilgjengelige påwww.regjeringen.no

Trykk: 07 Aurskog AS – 11/2015

MILJØMERKET

241 Trykksak 379

Norges offentlige utredninger 2015: 13

NO

U 2

01

5: 1

3

Digital sårbarhet – sikkert sam

funn

nou 2015: 13 - sintef...nou norges offentlige utredninger 2015: 13 departementenes sikkerhets- og...

Documents