Digitaliseringen av samfunnet har dyptgripende konsekvenser også for Forsvaret. Cyberdomenet utfordrer de klassiske skillelinjene mellom det sivile og det militære.
Av: Inge Kampenes (generalmajor, Cyberforsvaret) og Hanne Eggen Røislien (forsker, Cyberforsvaret)
Vi står overfor et sikkerhetsmessig paradigmeskifte, der sivilsamfunnet og Forsvaret nøstes inn i hverandre og tradisjonelle skillelinjer hviskes ut. Dette har grunnleggende innvirkning på Cyberforsvarets mulighet til å løse sine oppdrag.
Avhengighetene mellom Forsvaret og sivilsamfunnet er store og forutsetter i stor grad evne til sømløs digital kommunikasjon og informasjonsutveksling. Samtidig øker digitale trusler i betydning og står nå nær toppen av både totalforsvarsaktørenes og våre alliertes bekymringsliste. Teknologien gjør oss sårbare og vår sikkerhet er avhengig av at alle bruker digital teknologi forsvarlig.
Cyberspace er nok fremdeles et litt mystisk begrep, selv om det angår oss alle. Dette er et globalt domene bestående av uavhengige nettverk av informasjonsteknologi og data, som inkluderer Internett, telekommunikasjonsnettverk, datasystemer og prosessorer. Vi har blitt avhengige av digitale tjenester for å fungere fullverdig i samfunnet. Vi er alle «på nett» og benytter oss av mobiltelefoner, nettbrett og apper til alle døgnets tider. Norge er et av de mest digitaliserte landene i verden.
Avhengig av sivilsamfunnet
Cyberforsvarets ansvarsområde er avgrenset til Forsvaret. Cyberforsvaret etablerer og drifter Forsvarets datasystemer, nettverk og høyteknologiske plattformer og forsvarer disse mot angrep i cyberdomenet. I praksis har dette oppdraget betydd at Cyberforsvaret i begrenset grad har forholdt seg til sivilsamfunnet.
Men med den utviklingen vi er vitne til, så kan ikke Cyberforsvaret ivareta sine oppgaver overfor Forsvaret uten å forholde seg aktivt til sivilsamfunnet. Det er flere argumenter som peker i retning av at Cyberforsvaret er nødt til å ta en større og mer aktiv rolle utenfor forsvarssektorens grenser. De to viktigste argumentene er knyttet til kapasitet og kompetanse.
Behov for kapasitet
Både Cyberforsvaret og de andre forsvarsorganisasjonene har gjort seg avhengig av eksterne underleverandører av nettverk og tjenester. Vi har fått en verdikjede med mange ledd og elementer som strekker seg langt utover Forsvarets rammer. Dette har endret sårbarhetsbildet. Svakheter i verdikjedene vil påvirke Forsvarets operative kapasiteter og Cyberforsvarets evne til å beskytte disse. Dermed kan ikke Cyberforsvaret gjøre jobben sin uten å stille krav til og følge opp leverandørene.
Også den nye sikkerhetsloven medfører et større fokus på sivilsamfunnet. Loven peker ut tre områder som er relevante i denne sammenhengen. I tillegg til kritiske objekter og kritisk infrastruktur, legger loven til punktet om skjermingsverdig infrastruktur. Dette stiller krav til underleverandørenes evne til god cybersikkerhet, og trekker samtidig frem i lyset den underskogen av småbedrifter og leveranser som samfunnet – både sivilt og militært – i stadig større grad har gjort seg avhengig av for å fungere i fred, krise og krig.
Cyberforsvarets evne til å løse oppdrag er også avhengig av at kritiske samfunnsfunksjoner fungerer i hele konfliktspekteret. For eksempel er vi avhengig av en sikker strømtilførsel til utstyret vårt. Kraftselskapenes kapasitet har således en direkte påvirkning på Cyberforsvarets evne til å løse oppdrag. Det er i Cyberforsvarets interesse at kraftselskapene er godt forberedt og i stand til å håndtere cyberangrep.
Behov for kompetanse
Etterretningstjenesten og Politiets sikkerhetstjeneste har i sine årlige vurderinger i 2018 bekreftet at trusselaktører i det digitale rommet – altså i cyberdomenet – ikke bare retter sin aktivitet mot tradisjonelle politiske og militære mål, som utenrikstjenesten og Forsvaret, men også mot øvrige deler av statsforvaltningen, akademiske institusjoner, kraftselskaper og industribedrifter. Det gjør de ved å rette sin oppmerksomhet mot eksempelvis sosiale medier, jobbnettverk og e-postadresser. Det er med andre ord ikke nødvendigvis militære installasjoner som rammes først. Men den informasjonen trusselaktøren får tilgang til kan benyttes til å øke enkeltmenneskers og dermed nasjonens sårbarhet. En trusselaktør kan ramme Forsvaret, statsforvaltningen og demokratiet gjennom sivilsamfunnet. Enkeltmennesker og sivile virksomheter blir således en angrepsvektor mot Forsvaret.
En innsidetrussel – det at en ansatt i Forsvaret begår et bevisst eller ubevisst sikkerhetsbrudd – er ansett å være en risiko med potensielt store konsekvenser for rikets sikkerhet. Forsvarets 17 000 ansatte og 8 000 i førstegangstjeneste rekrutteres fra sivilsamfunnet. Det er vesentlig at den enkelte har utviklet en god forståelse for cybersikkerhet allerede før de kommer til Forsvaret. Har de ikke det, vil innsidetrusselen øke og gjøre det vanskeligere for Cyberforsvaret å gjøre jobben vår.
For Forsvaret er det derfor viktig at den enkeltes kompetanse og bevissthet om trusler, sårbarheter og egen cyberhygiene er god.
Samarbeid og tillit er nøkkelen
Cyberdomenets karakter og hackeres forskjellige agendaer og nedslagsfelt innebærer at Forsvaret alene aldri vil være i stand til å beskytte samfunnet mot cyberangrep. Ingen vil kunne klare en slik oppgave alene. Derfor er samarbeid essensielt.
Samarbeid krever tillit. Men med den hastigheten teknologien og angrepsmulighetene utvikler seg kan vi ikke vente med å samarbeide til vi har etablert tillitsfulle relasjoner. Vi må samarbeide for å bygge tillit. Samarbeidet må omfatte akademia, industrien samt private, statlige og kommunale cybersikkerhetsaktører. Disse må invitere til samarbeid og oppfordre til åpenhet. Slikt samarbeid kommer både militær og sivil sektor til gode.
Det er veldokumentert at åpenhet bidrar til økt sikkerhet. Større åpenhet fremmer tillit, skaper vekst og forbedrede prosesser og produkter. Cybersikkerhetsaktører må utveksle erfaringer og hjelpe hverandre til å bli bedre. Vi har alle et ansvar for å beskytte de kritiske samfunnsfunksjonene.
Vi må tenke nytt om hvordan vi kan møte fremtidens utfordringer. Komplekse verdikjeder og fremveksten av cyberdomenet viser hvor sammenvevd det militære og det sivile er i ferd med å bli, og hvor avhengige vi dermed er av hverandre. For Cyberforsvaret vil dette innebære et mer aktivt samarbeid med sivilsamfunnet enn i dag.
Hele kronikken ble først publisert i Nordlys 18.03.19.
Dette er et bidrag i en kronikkserie om sikkerhet som UTSYN har i samarbeid med Nordlys. Kronikkserien er støttet av Fritt Ord.