Et digitalisert samfunn og et uoversiktlig trusselbilde
08.06.2020 | Cybersikkerhet, Kronikk, Moderne trusler
Teknologien gir oss mulighet til å bedrive masseovervåkning i en helt annen skala enn tidligere i historien, men må i demokratiske rettsstater samtidig utføres på måter som ivaretar grunnleggende menneskerettigheter.
Av: Simen Bakke
Sammendrag
Digitaliseringen stiller staten og samfunnet ovenfor mer utfordrende problemstillinger enn i det tradisjonelle, fysiske domenet. Spesielt gjør dette seg gjeldende på grunn av internettets grenseløse kompleksitet, og det faktum at flere av våre tjenester, også samfunnskritiske funksjoner, kan rammes av cyberangrep. Trusselaktørene er flere og de kan enklere utføre trusselrettet aktivitet og cyberangrep, uten at staten nødvendigvis er i posisjon til å nøytralisere og inkapasiterer motstanderen. Geografiske og juridiske grenser som forhindrer trusselaktivitet i det fysiske rom, er i mindre grad tilgjengelig i det digitale domenet. Av denne årsak, må sikkerhetsarbeidet i det digitale rom også organiseres annerledes enn i det fysiske domenet. Teknologien gir oss mulighet til å bedrive masseovervåkning i en helt annen skala enn tidligere i historien, men må i demokratiske rettsstater samtidig utføres på måter som ivaretar grunnleggende menneskerettigheter. Derfor bør det forebyggende IKT-sikkerhetsarbeidet i det digitale rom, prioriteres høyere. På denne måten forhindrer beskyttelsestiltakene en trusselaktør å ramme våre samfunnskritiske funksjoner, samtidig som demokratiske verdier og rettsstatsprinsipper opprettholdes. Også i den digitale tidsalder.
Innledning
Trusler og beskyttelsestiltak i det 21. århundre, skiller seg vesentlig fra tidligere historiske epoker. Det er naturligvis også flere fellesnevnere med tidligere historiske perioder. Likevel er det noen sentrale særegenheter knyttet til den globale digitale infrastrukturen, som i dag utfordrer oss på helt nye måter. Den økende digitaliseringen og økt datatrafikk over internett, muliggjør aktivitet, trusler og angrep av en helt annen skala sammenliknet med tilsvarende aktivitet i det fysiske domenet. Det er flere årsaker til utviklingen, men noen viktige hovedtrekk må her trekkes frem:
- Digitaliseringen medfører sentrale verdier og kritiske innsatsfaktorer, koblet til internett.
- Internett forholder seg i liten grad til fysiske skillelinjer og geografiske avstander.
- Internett er et lite regulert domene, og rettshåndhevende myndigheter har liten kontroll.
- Aktivitet og angrep skalérer, slik at trusselaktører kan angripe flere mål samtidig.
- Muligheten for å avdekke illegitim aktivitet forutsetter tilstrekkelig deteksjonskapasitet.
De nevnte punktene er særdeles sentrale for cyberrelatert aktivitet. I tillegg til cyberaktivitet, kommer tradisjonell trusselaktivitet begått i det fysiske domenet. Der bruken av tjenester, og i særdeleshet kommunikasjonstjenester – benytter internett som infrastruktur. Sistnevnte skiller seg fra rene cybertrusler og såkalte nettverksangrep, med at det eksempelvis kan være personer med tilknytning til terrorgrupper, organiserte kriminelle eller statlige etterretningsorganisasjoner som opererer i «den virkelige verden», i tillegg til i cyberverdenen. Selv om noen av de ovenfornevnte punktene bidrar til at aktivitet fra trusselaktører er mer utfordrende å detektere og håndtere, er det også elementer i cyberverdenen som gjør det enklere for en kompetent aktør å beskytte seg. Dette skyldes blant annet at dataene som sendes over infrastrukturen, er verifiserbare og i mange tilfeller også etterprøvbare. Det legges igjen digitale spor fra aktiviteten, så lenge det er satt opp funksjoner i IKT-sikkerhetsregimet som loggfører denne aktiviteten. Unormal aktivitet i nettverket kan detekteres ved bruk av anomalideteksjon (mønstergjenkjenning) basert på maskinlæring og kunstig intelligens. Dermed kan automatisert varsling om pågående nettverksoperasjoner finne sted. Hendelsen kan varsles uten behov for, eller med et minimum av, menneskelig innblanding. På denne måten er det også mulig å etablere automatiserte beskyttelsesmekanismer på et helt annet nivå i det digitale domenet, sammenliknet med tradisjonelt sikkerhets- og beredskapsarbeid i den fysiske verden.
Kombinasjonen mellom trusler i det fysiske og det digitale domenet, hvor angrep kan utføres av enkeltindivider, kriminelle aktører, terrorgrupper og selv statlige aktører – der det ikke nødvendigvis er tydelig hvem som står bak aktiviteten, utfordrer norske myndigheters organisering. Sektorprinsippet i Norge, i kombinasjon med de fire prinsippene for samfunnsikkerhet- og beredskap; ansvar, nærhet, likhet og samvirke, tilsier at den aktøren som forvalter ansvaret i det daglige, også skal håndtere en krise mest mulig likt når en slik hendelse inntreffer.1 Dette er imidlertid et utgangspunkt. Behovet for samvirke for å respondere på cyberhendelser og hybride trusler, utfordrer imidlertid de andre prinsippene. I særdeleshet gjelder dette nærhetsprinsippet som kan fremstå som uhensiktsmessig i tilfeller hvor sentralisert beskyttelse og respons kan være bedre egnet mot cybertrusler. Dette er likevel en balansegang, der også lokale tiltak må iverksettes.
De senere årene har utviklingen medført et behov for å tenke annerledes, og spesielt rundt gråsoneaktivitet og såkalte hybride trusler. Skillet mellom fred, krise og krig er ikke like tydelig i dagens digitale trusselbilde, sammenliknet med hva det er ved eksempelvis konvensjonell krigføring ved bruk av kinetisk militærmakt og tradisjonelle militære styrker.2 Dette utydelige skillet mellom fred, krise og krig, blir desto mer utfordrende når man ikke er sikker på hvilken aktør som står bak eksempelvis et cyberangrep. Er det unggutter bosatt i Norge, internasjonale kriminelle aktører som er betalt for å utføre en tjeneste på vegne av andre, eller er det en statlig aktør som står bak? Dette utydelige bildet gjør det utfordrende for myndighetene å respondere adekvat på aktivitet i cyberdomenet. Dermed fremkommer gråsoneproblematikken tydeligere i det digitale domenet.
Cyberangrep og hybride trusler
Vi har flere eksempler på hendelser i Norge, hvor cyberaktivitet har rammet sentrale samfunnsinstitusjoner. Operasjonene mot Helse Sør-Øst og Hydro, hvor store mengder personopplysninger fra førstnevnte kom på avveie3 og sistnevntes datasystemer ble stengt ned på grunn av skadelig kode,4 er blant to av de mer kjente eksemplene. I nyere tid, har vi også eksempelet på investeringsfondet Norfund som ble rammet av det som tilsynelatende kan fremstå som en phishing-kampanje, hvor fondet ble lurt til å overføre 100 millioner kroner til feil kontonummer.5 Dette kan fremstå som tradisjonell, internasjonal kriminalitet. På en annen side ville man ikke nødvendigvis vært klar over det dersom en statlig aktør stod bak. I eksempelet med Helse Sør-Øst, konkluderte PSTs etterforskning med at det var sannsynlig at en statlig aktør stod bak, uten at de hadde tilstrekkelig med spor til å ettergå aktiviteten for å identifisere trusselaktøren.6 Det er i dette kompliserte og utydelige bildet, myndigheter med ansvar for cybersikkerhet nå skal operere.
Etterretningstjenesten og PSTs trusselvurderinger for 2020, trekker Russland og Kina frem som aktører hvilket bedriver stor grad av spionasje, samt kartlegging- og cyberaktivitet mot Norge, norske virksomheter, politiske institusjoner, myndighetsapparat og annen sentral infrastruktur. Iran nevnes også spesifikt av tjenestene. Situasjonen beskrives av Etterretningstjenesten som en periode med stormaktsrivalisering hvor det pågår et våpenkappløp, der makt nå går fremfor internasjonal rett.7 Cyberaktivitet, trusler og angrep foregår utelukkende i det digitale domenet. Hybrid krigføring, er derimot en betegnelse for bruk av ulike virkemidler, både i det fysiske og i det digitale domenet.
Erklæring av krigsskueplass er noe som hører forrige århundre til. Starten av det 21. århundret kan sies å være preget av en mer kontinuerlig strøm med ulike former for trusselrelatert aktivitet. Det mest kjente eksempelet når det gjelder hybrid krigføring i nyere tid, finner vi Øst-Ukraina. Hendelsen omtales ofte som en «game changer» innen området, og påvirket forholdet mellom EU, NATO og Russland vesentlig. I konflikten som frem til nå har tatt rundt 13 000 liv fra begynnelsen av 2014, har russisk-støttede separatister brukt en rekke ulike virkemidler for å destabilisere regionen. Væpnede, uorganiserte soldater, spesialstyrker kamuflert som separatister, cyberangrep mot kritisk infrastruktur som strømforsyning og banker, utpressing av militære offiserer, samt desinformasjonskampanjer mot befolkningen, var blant de mange virkemidlene som ble brukt.8
For ukrainske myndigheter var dette naturligvis en utfordrende situasjon å besvare. Dette var ingen tradisjonell krig ved bruk av konvensjonelle militære maktmidler. Det var heller ikke en situasjon som kunne løses av det sivile maktapparatet. Gråsoneproblematikken gjorde seg gjeldende. Selv om det i ettertid viste seg å være en operasjon som var sentralstyrt fra Moskva, var det i den innledende fasen stor usikkerhet om hva slags aktør Ukraina her stod overfor. Konflikten om Krim-halvøya har riktignok en lang og betent historie mellom Ukraina og Russland. Et tilsvarende scenario kan være relevant også i andre deler av Europa med historisk tilknytning til den tidligere Sovjetunionen.
Samtidig vil det kunne være nærliggende å tenke seg at tilsvarende problematikk kunne funnet sted i andre landområder som grenser mot Russland. Herunder tidligere Sovjet-stater, de baltiske landene og selv vårt eget fylke Finnmark. Landområder med større deler russisk-tilknyttet befolkning, vil således kunne være mer sårbare for slik aktivitet. Hendelsen i Øst-Ukraina er en konkret situasjon som har utspilt seg i Europa i nyere tid – og som i stor grad har skapt presedens for hvordan trusselbildet i Europa skal forstås. Hva som er det reelle trusselbildet som vestlige stater står overfor, er en vesentlig større og bredere diskusjon som ikke skal utdypes nærmere her.
Verdiorientert og trusselorientert tilnærming til IKT-sikkerhet
Kombinasjonen av et mer uoversiktlig og utfordrende trusselbilde, mer kompetente og potente trusselaktører i det digitale domenet, økt grad av digitalisering i det norske samfunnet, flere sentrale verdier og tjenester koblet til internett – gjør oss sårbare for angrep. En trusselaktør som ønsker å ramme det norske samfunnet på negative måter trenger ikke bevege seg med stridsvogner, kampfly og infanteritropper over landegrensene, men kan ved bruk av mer kostnadsbesparende metoder i cyberdomenet tilegne seg kontroll over datasystemer. I beste fall avdekkes disse forsøkene på datainnbrudd. I verste fall oppdages de ikke, og kritiske funksjoner som vann- og avløpssystemer, bankers betalingssystemer, nødetatenes meldingssystemer og liknende kritiske systemer, blir påvirket. I ytterste konsekvens blir de sabotert. Dette er en utvikling som bør tas på stort alvor, hvor det finnes flere ulike tilnærminger for å beskytte samfunnet mot cyberaktivitet og -angrep.
De fleste virksomheter benytter en verdiorientert tilnærming til sikkerhetsarbeidet. En slik tilnærming finner vi blant annet i Nasjonal Sikkerhetsmyndighets (NSM) grunnprinsipper for IKT-sikkerhet.9 Grunnprinsippene har til hensikt å sørge for at norske IKT-systemer er tilstrekkelig sikret. Hensikten med grunnprinsippene er at alle de viktigste tiltakene for å redusere sårbarheter i IKT-systemene, implementeres. Slike tiltak gjør det mer utfordrende for en trusselaktør å tilegne seg innpass i datasystemer til offentlige og private virksomheter. Sannsynligheten reduseres for at informasjon eller andre sensitive verdier kommer på avveie, blir endret eller utilgjengeliggjøres. Sikringstiltakene ligger fysisk og logisk nært de verdiene som skal beskyttes. Trusselaktøren må forsere en rekke tekniske, logiske og organisatoriske barrierer for å oppnå urettmessig tilgang til datasystemet. En slik tilnærming har få negative sider for samfunnet i stort – foruten at de enkelte tiltakene kan være økonomisk kostnadsdrivende. Likevel er det slik at mange av de viktigste tiltakene, vil medføre liten eller ingen kostnad. Oppdatert programvare, kryptering av datatrafikk, streng tilgangsstyring og kontroll med leverandører, for å nevne noen spesifikke tiltak.
En slik tilnærming som den beskrevne ovenfor, beskytter mot aktivitet, trusler og angrep fra uvedkommende, enten de er statlige, organiserte kriminelle eller enkeltindivider. Metodene og kapasitetene til de nevnte aktørene vil selvsagt variere. Likevel vil det være slik at beskyttelsestiltak mot en type aktør, også i stor grad vil beskytte mot nettverksaktivitet og inntrengningsforsøk fra andre aktører. Svært mange av de vellykkede spionasje- og sabotasjeoperasjonene som utføres mot datasystemer, skyldes dårlige rutiner for IKT-sikkerhet i virksomheten. Til tross for at mange av de sårbarhetsreduserende sikringstiltakene er tilgjengelige, billige og svært nyttige – er det ikke uvanlig at et vellykket inntrengningsforsøk skyldes at en virksomhet har forsømt sine oppdateringsrutiner.
En annen tilnærming til sikkerhetsarbeidet, er en trusselorientert tilnærming. Ofte er det ønskelig med en kombinasjon av begge disse to tilnærmingene i sikkerhetsarbeidet. For å benytte et lett tilgjengelig eksempel, bedriver politiet i stor grad med sikkerhetsarbeid ved en trusselorientert tilnærming i det fysiske domenet, innenfor norsk jurisdiksjon. Politiet avdekker lovbrudd, etterforsker saken, legger den frem for domstolen – og trusselaktøren (i dette tilfellet lovbryteren), inkapasiteres ved domfellelse. Trusselaktøren er satt ut av spill for å foreta nye lovbrudd. Den individualpreventive effekten sikres igjennom fengselsoppholdet og den allmennpreventive effekten sikres igjennom at handlingen, eksempelvis datainnbrudd, er belagt med straff. Enkelt forklart kan man si at kun et fåtall vil utføre innbrudd, ettersom risikoen for å bli tatt og dermed straffeforfulgt i liten grad veier opp for det potensielle utbyttet. I cyberdomenet er derimot saken nokså annerledes.
Trusselaktørene som tidligere nevnt, består blant annet av statlige aktører og organiserte kriminelle som befinner seg på geografiske områder utenfor norsk jurisdiksjon. Mange av disse også i land som norske myndigheter ikke har et sikkerhetspolitisk samarbeid, og utleveringsavtaler, med. Blant annet Russland, Kina og Iran, som nevnt i Etterretningstjenestens og PSTs trusselvurderinger. Dette betyr at norske myndigheter ikke kan straffeforfølge trusselaktørene for lovbrudd som begås i cyberdomenet. Selv om norske myndigheter avdekker at en av de nevnte statlige aktørene, eller aktører som igjen er tilknyttet de statlige aktørene (for eksempel hackergrupper) står bak, er det lite de kan foreta seg for å nøytralisere eller inkapasitere trusselen. Det er fremdeles i den enkelte virksomhets IKT-system at responstiltakene må iverksettes, for å forhindre aktøren i å operere.
Når den fremmede aktøren oppdages, er det ofte for sent. Informasjon kan allerede være kompromittert. Virksomheten som har blitt rammet, trenger ikke engang vite at datainnbruddet har vært et faktum. Dersom sabotasje utføres, for eksempel ved bruk av kryptovirus som «låser» maskinene i nettverket, vil konsekvensene for virksomheten bli tydelige – selv om de ikke oppdaget det forutgående inntrengningsforsøket. Sistnevnte kan komme i noe så enkelt som et vedlegg i en e-post eller ved at en ansatt i virksomheten klikket på en ukjent lenke, som igjen eksekverte skadelig kode. Så enkelt er det altså i dag å utføre digitale angrep, dersom ikke beskyttelsestiltakene er tilstrekkelige. De ansatte er ofte en av de viktigere beskyttelsesmekanismene i en virksomhets IKT-sikkerhetsregime. Til tross for at det ofte fokuseres mye på tekniske og fysiske sikringstiltak, kan det være nok at en ansatt ikke klarer å skille mellom en korrekt og en falsk nettside for pålogging til virksomhetens tjenester. Slike forsøk på phishing for å hente ut innloggingsinformasjon, er en enkel form for sosial manipulasjon som benyttes med svært stor suksessrate.
Totalforsvar og styrket nasjonalt samarbeid
Totalforsvaret er et konsept som var godt kjent under den kalde krigens dager. I tiden etter Berlinmurens fall og Sovjetunionens kollaps, har det i lengre tid vært en periode med stabilitet for Norges del hva gjelder sikkerhetspolitiske forhold.10 Dette bildet har imidlertid endret seg, og det har oppstått en ny «kald front» mellom flere NATO-land på den ene siden, og Russland og Kina på den andre. Dette har medført et behov for å revitalisere totalforsvarskonseptet. Norske myndigheter har brukt vesentlig tid og ressurser på revitaliseringen de senere årene. Blant annet som vertskap for NATO-øvelsene Trident Javelin (2017), og Trident Juncture (2018). Under øvelsene deltok de fleste offentlige aktører med nasjonalt beredskapsansvar, i tillegg til en rekke sentrale private aktører.11
Totalforsvaret kan i Norge langt på vei sies å ha styrket båndene mellom de sivile og de militære aktørene. I tillegg har det kommet på plass en bistandsinstruks mellom Forsvaret og Politiet som gjør det tydeligere når, hvordan og på hvilke kriterier etatene kan utnytte hverandres ressurser.12 I tillegg til videreutviklingen av totalforsvarskonseptet, eksisterer det både et Felles kontraterrorsenter (FKTS) og et Felles cyberkoordineringssenter (FKCS). I de nevnte sentre, deltar både sivile og militære aktører. Etterretningstjenesten, PST, NSM og KRIPOS, er blant deltakerne.13 I tillegg har NSM opprettet et Nasjonalt cybersikkerhetssenter (NCSC), og det eksisterer en rekke computer emergency response teams (CERT), tilhørende ulike sektorer som helse, justis, finans med flere. Samarbeidet, informasjonsutvekslingen og hendelseshåndteringen mellom aktørene, er styrket.
Enkelte av aktørene, har en offensiv trusselorientert tilnærming. Dette er i særdeleshet Etterretningstjenesten, PST og Politiet. De nevnte aktørene skal innhente informasjon, analysere og utarbeide etterretningsrapporter og trusselvurderinger. PST og Politiet skal med påtalemyndigheten i spissen også etterforske og straffeforfølge lovbrudd.14 Den nevnte virksomheten utføres for å avdekke trusselaktører, og for å iverksette mottiltak. Aktører som NSM og de nevnte CERT-ene, har i større grad en defensiv verdiorientert tilnærming. Disse aktørene skal bidra til at virksomhetene iverksetter tilstrekkelige sikringstiltak, slik at beskyttelsesmekanismer er implementert og sårbarheter blir redusert.15 Arbeidet utføres for at en trusselaktør ikke skal kunne lykkes med sine angrep, dersom de forsøker seg på datainnbrudd, nettverksoperasjoner eller annen cyberaktivetet.
Skillet mellom de offensive trusselorienterte aktørene, og de defensive verdiorienterte aktørene, er viktig. Spesielt gjelder dette i situasjoner hvor straffeforfølging kan være aktuelt, noe som kun er Politiet (og PST) med påtalemyndigheten i spissen sine oppgaver. Dette er en virksomhet som er langt mer lovregulert sammenliknet med andre former for informasjonsinnhenting, hvor rettsstatens maktfordelingsprinsipp forankret i Grunnloven står sentralt. Samtidig er det slik i cyberdomenet at både aktørene som står bak og hvilket land de oppholder seg i, er mer utydelig og komplisert sammenliknet med i det fysiske domenet. Dette utfordrer statens myndighet, med Politiet og PST i spissen, fordi påtalemyndighetene i liten grad kan straffeforfølge personer som befinner seg i land Norge ikke har et sikkerhetspolitisk samarbeid med. Denne utviklingen er blant annet noe av årsaken til at både FKTS og FKCS har blitt opprettet, da samarbeid med Etterretningstjenesten er nødvendig.
Selv om samarbeidet mellom aktørene er styrket, har de likevel ulike ansvarsområder og mandater. Dette gjør at informasjon mellom aktørene ikke kan deles ukritisk. Eksempelvis er Etterretningstjenestens mandat å innhente informasjon og utarbeide trusselvurderinger om fremmede stater, organisasjoner og individer.16 Oppdraget til E-tjenesten er altså ikke rettet mot norske borgere. PST derimot, skal forebygge og etterforske ulovlig etterretningsvirksomhet, spredning av masseødeleggelsesvåpen, sabotasje og politisk motivert vold eller tvang på norsk jord.17 Dette oppdraget retter seg både mot norske borgere, og borgere fra annen stat som befinner seg i Norge. Det tradisjonelle Politiet, skal primært etterforske lovbrudd begått på norsk jord, uavhengig av borgerens statstilknytning.18 NSM er norske myndigheters fagorgan for forebyggende sikkerhet, og skal gi informasjon, råd og veiledning til offentlige og private virksomheter om forebyggende sikkerhet.19 Til tross for de svært ulike mandatene og enkelte skranker for informasjonsdeling, er trenden de senere årene likevel at samarbeidet må være sterkt for at aktørene i fellesskap skal kunne beskytte staten, norske virksomheter og norske interesser.
Veien videre – hvordan skal vi sikre oss i det digitale landskapet?
Til tross for at trusselbildet i det digitale domenet kan oppleves som uoversiktelig og komplisert, er det samtidig viktig å erkjenne at det ikke finnes noen enkel løsning eller en quick-fix. Skal man klare å sikre samfunnet på en god måte, må man innledningsvis erkjenne at truslene i det digitale domenet er flere, de kan enklere angripe, de kan være vanskeligere oppdage og det kan være vanskeligere å ettergå angrepene. Etter at dette er erkjent, må aktørene som har ansvar for å sikre staten, samfunnet og næringslivets IKT-systemer mot trusselaktivitet og angrep – prioritere IKT-sikkerhet i bred forstand. Dette innebærer at fysisk sikring av IKT-systemer, personellsikkerhet og hvem som har tilgang til IKT-systemer, kontroll på leverandører og underleverandører av utstyr til IKT-systemer, må være kartlagt og kontrollert. Og det må i tillegg benyttes systemer for automatisert avdekking, varsling, respons og håndtering av unormal aktivitet i datasystemer – som kan komme fra trusselaktører. På denne måten kan den verdiorienterte forebyggende tilnærmingen, sikre både samfunnskritiske funksjoner og enkeltindividers personopplysninger. Dette uten å komme i konflikt med demokratiske prinsipper.
I disse dager er den nye loven for Etterretningstjenesten under stortingsbehandling med et konsept for «tilrettelagt innhenting». Det nevnte konseptet har til hensikt å beskytte staten og norske interesser mot trusler utenfra, ved masseinnsamling og -lagring av metadata som krysser den norske grensen i fiberkabler.20 Utfordringen med lovforslaget er imidlertid at denne tilnærmingen også vil innhente og lagre kommunikasjon fra og til norske borgere. Dette oppstår fordi datatrafikken i sin natur i dag er global. Således vil store deler av norske borgeres kommunikasjon med hverandre, transporteres via servere i utlandet. Lovforslaget vil dermed bidra til å endre det norske samfunnets tilnærming til og forståelse av kommunikasjonsfrihet. Frem til i dag har dette prinsippet handlet om fravær av statlig inngrep i borgernes kommunikasjon, med mindre borgeren er underlagt en konkret mistanke for å ha begått en handling som Stortinget har belagt med straff. Altså et lovbrudd. Innsamlingen fra nordmenn vil være en utilsiktet konsekvens av lovforslaget, som fra Etterretningstjenestens ståsted handler om å samle inn data om borgere tilknyttet fremmede stater. Hvor stor andel av norske borgeres datatrafikk som vil samles inn, er foreløpig ukjent og vil avhenge av filtreringsteknologien.
Forsvarsdepartementet som har utarbeidet lovforslaget, har lagt inn rettsstatlige mekanismer som domstolskontroll før søk i dataene og forbud mot bruk av dataene i tilknytning til straffesaker (med unntak av de mest alvorlige lovbruddene). Likevel representerer lovforslaget et inngrep i borgernes frihetssfære, som er mer drastisk enn noe annet lovforslag siden EUs Datalagringsdirektiv. Sistnevnte ble vedtatt innført i norsk rett av Stortinget i 2011, men ble i 2014 stanset av EU-domstolen ettersom inngrepet i borgernes privatliv ble betraktet som uforholdsmessig av domstolen.21 I etterkant av dette, fikk imidlertid politiet i 2016 tilgang på metoden «dataavlesning», som er et mer målrettet virkemiddel for å tilegne seg informasjon fra datasystemer til personer som mistenkes for alvorlige lovbrudd.22
Det er viktig å huske på at trusseletterretning er et virkemiddel for å bidra til å skape sikkerhet. Sikkerhet, som består av et mangfold ulike virkemidler (noen av dem omtalt i dette fagnotatet), er nødvendig for å opprettholde demokratiet og rettsstaten. De to sistnevnte er imidlertid styringsformer som bør betraktes som mål i seg selv. Dette er fordi de kan anses som forutsetninger for at mennesker i vår del av verden skal kunne leve gode liv, på den måten de selv ønsker. Demokrati og rettsstat sikrer individene tilstrekkelig grad av både frihet og selvbestemmelse. Derfor må man være ytterst forsiktig med virkemidler som skal skape sikkerhet, men som samtidig kan undergrave demokratiske verdier.
En tilnærming som i mindre grad har vært diskutert, men som i større grad bør vurderes – er hvorvidt det er hensiktsmessig og mulig å skille infrastruktur som næringsliv, stat og borgere benytter for datakommunikasjon, fra hverandre. I dag går store deler av internett-trafikken over den samme digitale infrastrukturen. Dette gjør at trusselaktører, enten de er kriminelle grupperinger eller statlige aktører, potensielt kan få tilgang til det meste av våre verdier i det digitale domenet – over den samme digitale infrastrukturen. En konsekvens av dagens tilstand er at det er vanskeligere å sikre samfunnsfunksjoner og kritisk infrastruktur mot angrep fra trusselaktører, samtidig som vi forsøker å ivareta grunnleggende borgerrettigheter og friheter over den samme digitale infrastrukturen. Med strengere sikkerhetskrav og større grad av overvåkning utelukkende rettet mot digital infrastruktur som stat og næringsliv benytter seg av, desto mindre ville behovet vært for konsepter som «tilrettelagt innhenting». I møte med samfunnets stadig økende overvåkning, kan en slik tilnærming fungere mer målrettet, den kan tilby bedre sikkerhet og den er i større grad forenlig med demokratiske verdier.
En sentral utfordring med dagens tilnærming for å beskytte både samfunnet og staten mot cybertrusler og -angrep, er at det ofte argumenteres for at det pågår en kontinuerlig «kamp» mellom stater i cyberdomenet. Logikken fra et sikkerhetsperspektiv, vil dermed være at også sikkerhetstiltak må samsvare med det trusselbildet som den pågående «kampen» representerer. Dette gjør at aktørene som definerer trusselbildet, også dermed definerer hva som de-facto er den reelle situasjonen «der ute». Jo mer alvorlig trusselbildet i cyberdomenet beskrives, desto lengre vil aktører tilknyttet forsvar og sikkerhet ofte hevde at staten må strekke seg for å møte trusselbildet. Dersom man ikke er tydelig på hvor langt denne grensen skal kunne gå i en demokratisk rettsstat, er det en fare for at vi faller for logikken om at man som minimum må ha tilsvarende kapasiteter som mer autoritære stater. Dermed risikerer vi at sistnevnte setter premissene for demokratiske staters maktbruk. I så tilfelle kan vi gå en farlig tid i møte. Spesielt gjelder dette i overvåkningsteknologiens tidsalder, hvor sanntidssporing og analyse av all tilgjengelig datatrafikk – i teorien vil være mulig.
Når det gjelder aktivitet, trusler og angrep i cyberdomenet fra statlige aktører, må disse motvirkes også i andre diplomatiske og politiske kanaler. Ettersom de statlige aktørene vanligvis besitter vesentlig mer ressurser og kompetanse til å gjennomføre avansert angrep sammenliknet med andre aktører, er det desto viktigere å sørge for gode relasjoner med fremmede stater. Overnasjonale reguleringer og lovverk som sørger for at cyberdomenet ikke blir et anarkistisk fristed, hvor det til syvende og sist er de sterkeste statene som hevder sin rett – er også viktig å få på plass. Dette må samtidig utføres på en måte hvor de mange private plattformaktørene som i dag har vesentlig innflytelse i cyberdomenet, for eksempel Facebook, Twitter og Google, også involveres. Propaganda og desinformasjon i sosiale medier representerer en vesentlig utfordring for demokratiske stater, men kan kun bekjempes på lag med plattformeierne. Statlige sikkerhets- og overvåkningstiltak vil ha minimal effekt dersom plattformeierne hvor budskapene spres, ikke er delaktige i slike samarbeid.
Dersom vi ser noen år frem i tid, vil vi antakeligvis ha en annerledes tilnærming til sikkerhet i det digitale cyberdomenet, sammenliknet med i dag. Behovet for å ha større kontroll på den digitale infrastrukturen, hvor datatrafikk i større grad separeres basert på staten og samfunnets beskyttelsesbehov – bør presse seg frem. Det faktum at det meste av vår infrastruktur i dag er tilkoblet internett, og fordi tjenestene våre i dag eksponeres for det komplekse trusselbildet der ute – gjør at vi må tenke nytt om sikring av IKT-systemer. Behovet for større grad av enhetlige krav og føringer fra statlige og politiske myndigheter, som bidrar til at sikkerhets- og beskyttelsesbehov går fremfor andre hensyn som for eksempel frihandel og markedsliberalisme, må vurderes. På denne måten vil det være mulig å sikre IKT-systemene til stat og næringsliv i tillegg til kritisk infrastruktur, samtidig som våre demokratiske verdier og frihetsidealer opprettholdes. De immaterielle demokratiske verdiene har ikke nødvendigvis en økonomisk prislapp, men er likevel avgjørende for videreutviklingen av våre frie samfunn. De immaterielle verdiene må derfor også tas med i dette sikkerhetsregnskapet.
Vi er i dag kun i starten av overvåkningens tidsalder. Konsekvensene av tilnærmingen vi i dag velger, vil sette varige spor de neste tiårene. La oss derfor foreta noen grundig gjennomtenkte og kloke valg.
Fotnoter
- St. Meld. 10. (2017). Risiko i et trygt samfunn, s. 20.
- NUPI. (2016). Hybrid krigføring – hva er det?
- NRK. (2019). Dataangrepet mot helse Sør-Øst.
- NRK. (2019). Slik fungerer løsepengeviruset som rammet Hydro.
- NRK. (2020). Politiet på bar bakke i Norfund-saken.
- PST. (2018). PST innstiller etterforskingen av datainnbruddet i Helse Sør-Øst RHF og Sykehuspartner.
- Etterretningstjenesten. (2020). Fokus 2020. s. 9.
- NSR. (2018). Hybridundersøkelsen.
- NSM. (2019). Grunnprinsipper for IKT-sikkerhet.
- Store Norske Leksikon. (2020). Totalforsvaret.
- NATO, JWC. (2018). Trident Juncture 2018 Command Post Exercise.
- Regjeringen. (2017). Har fastsatt ny instruks for Forsvarets bistand til politiet.
- Regjeringen. (2018). Oppfølgingen etter 22. juli: De viktigste tiltakene.
- Forskrift om ordningen av påtalemyndigheten. (1986). Påtaleinstruksen.
- NSM. (2019). Nasjonalt cybersikkerhetssenter.
- Lov om Etterretningstjenesten. (1998). Etterretningstjenesteloven.
- Lov om Politiet. (1995). Politiloven.
- Lov om Politiet. (1995). Politiloven.
- NSM. (2014). Om NSM.
- St. Prop. 80L (2019 – 2020). Lov om Etterretningstjenesten (etterretningstjenesteloven).
- EU. (2020). Data Retention Directive.
- Regjeringen. (2016). Nye regler om dataavlesing trer i kraft.
Om forfatteren
Simen Bakke har bakgrunn fra Forsvaret, Politiet og Røde Kors på både operativt og strategisk nivå. I dag er han ansatt hos Politiets IKT-tjenester. Bakke har politiutdanning og en mastergrad i risikostyring og sikkerhetsledelse fra Universtitetet i Stavanger (UiS).
Dette fagnotatet er en del av en serie på tre om hvordan maktforhold kan påvirke samfunnssikkerhet i krisetid, og er støttet av Fritt Ord. Det andre fagnotatet kan leses her.