Riksrevisjonen: Hva er godt nok i arbeidet mot IKT-kriminalitet?
09.02.2021 | Cybersikkerhet, Kronikk, Moderne trusler
Vi er helt avhengig av samarbeid mellom en rekke aktører på ulike nivåer for å bidra til et sikkert digitalt samfunn dersom tilliten skal forbli ivaretatt.
Av: Simen Bakke, senior informasjonssikkerhetsrådgiver og fagprofil i UTSYN
Riksrevisjonen retter kritikk mot politiets arbeid med IKT-kriminalitet i undersøkelsen som ble offentliggjort 2. februar. I rapporten kan vi lese at politiet, direktoratet og departementets arbeid mot IKT-kriminalitet har svakheter, er nedprioritert og mangler kapasitet til å møte dagens utfordringer. Dette er muligens oppsiktsvekkende for noen, men ikke overraskende for de som har fulgt utviklingen. Spørsmålet som ikke stilles av Riksrevisjonen, men som må stilles i etterkant av en slik undersøkelse, er: Hva er godt nok?
Grunnen til at spørsmålet om hva som er godt nok er så viktig å besvare, er fordi det bidrar til å avklare forventningene til hva politiet skal kunne bistå samfunnet med av hjelp dersom noen av oss blir ofre for kriminalitet. Enten det er bedrifter som går konkurs som følge av løsepengevirus, unge som blir utsatt for utpressing eller seksuelle overgrep via sosiale medier, eller offentlige virksomheter som får sensitiv informasjon stjålet ved datainnbrudd. Spørsmålet om hva som er godt nok er samtidig politisk vanskelig å besvare fordi vi da må være ærlige på at politiet ikke kommer til å ha i nærheten av kapasiteten det krever for å etterforske alle lovbrudd mot IKT-systemer eller annen kriminalitet med digitale åsteder.
Politiet har i lengre tid og spesielt i etterkant av den såkalte «Dark Room»-saken, vært tydelige på at etterforskning av seksuallovbrudd begått ved bruk av IKT-utstyr, er svært ressurskrevende. Hele 30 prosent av ressursene brukes på 3 prosent av straffesakene. Andre kategorier av lovbrudd slik som økonomisk kriminalitet og datainnbrudd, blir knapt prioritert av politiet med mindre det er veldig alvorlige saker. Slik som for eksempel løsepengeviruset mot Hydro i 2019, der også Nasjonalt Cyberkrimsenter (NC3) ved KRIPOS bistod i etterforskningen. I dag oppgir sistnevnte å ha ressurser til å ta 1 til 1,5 saker av tilsvarende omfang, i året.
Hvorvidt Riksrevisjonens kritikk av politiets arbeid med datakriminalitet er berettiget eller ikke, trenger ikke diskuteres. At politiet henger etter ressursmessig når det gjelder muligheten til å ettergå omfanget av kriminalitet i cyberdomenet, er utvilsomt. Til tross for kritikken er det likevel enkelte lyspunkter å spore i rapporten. Egne enheter for digitalt politiarbeid og nettpatruljer er etablert i hvert politidistrikt. NC3 på KRIPOS er i drift, og Politihøgskolen har et eget videreutdanningsløp innen etterforskning av digitale spor.
Det jeg derimot mener det er grunn til å stille spørsmål ved, er om premissene for Riksrevisjonens undersøkelse – altså om de føringer som Stortinget har fastsatt for politiets arbeid, hviler på et urealistisk bilde av hva politiet kan være i stand til å levere av kriminalitetsbekjempelse i det digitale domenet.
Vil politiet noen gang kunne levere godt nok?
Forstå meg rett: Det finnes utrolig mange kompetente medarbeidere i politiet, også innen bekjempelse av IKT-kriminalitet. Men slik jeg ser det, vil ressursene aldri kunne strekke til i bekjempelsen av det enorme omfanget lovbrudd som vil utføres mot eller ved bruk av IKT. Dette er ikke synonymt med at politiet ikke kan organiseres bedre, få tilført mer ressurser, nye metoder eller bedre systemstøtte for å utføre sine oppgaver mer effektivt og med høyere kvalitet. Det er det åpenbart at politiet kan. Det jeg prøver å si her, er at de digitale utfordringene vi opplever i dag og kommer til å se mer av i fremtiden – også krever et bredt spekter av virkemidler. Virkemidler som i sin kjerne er politiske fordi storsamfunnet må ta aktivt stilling til hvordan vi skal regulere de digitale teknologiene på en måte som forhindrer og vanskeliggjør kriminalitet.
Dette er spørsmål som Riksrevisjonen naturligvis ikke stiller fordi det heller ikke er revisjonens mandat å undersøke. Riksrevisjonen kontrollerer hvorvidt Regjeringen og den underliggende forvaltningen løser sine oppgaver i tråd med Stortingets intensjoner og vedtak. Stortingets intensjon er at politiet skal styrke sitt kriminalitetsbekjempende arbeid i det digitale domenet, men hva som er godt nok forblir ubesvart. Det er ingen tvil om at det er vanskelig å besvare et slikt spørsmål, men problemet med å ikke besvare det er at vi heller ikke får tydeliggjort hva resten av samfunnet kan forvente av bistand fra politiet dersom de blir utsatt for kriminalitet med digitale åsteder. Det bør vi helst gjøre noe med snarest mulig.
Fordelen med å tydeliggjøre hva samfunnet kan forvente av bistand fra politiet er at barn og unge, voksne, bedrifter, leverandører av digitale tjenester og andre myndighetsorganer selv kan vurdere hva de bør prioritere av forebyggende sikringstiltak for selv å stå bedre rustet. Det blir også tydeligere hvor svakhetene i vårt nasjonale system er, slik at staten og næringslivet kan jobbe mer proaktivt på tvers av myndighetsorganer for å etablere nye mekanismer for å forhindre lovbruddene i å oppstå. Politiets arbeid mot økonomisk kriminalitet og datainnbrudd, som Riksrevisjonen omtaler som nedprioriterte, er åpenbare eksempler på dette. Flere aktører som blir utsatt for økonomisk kriminalitet og datainnbrudd tar nå saken i egne hender og oppsøker private sikkerhetsfirmaer, nettopp fordi politiet ikke har kapasitet til å bistå.
Cyberdomenet, altså den delen av vårt samfunn som åpner seg når vi tar i bruk digital teknologi, er fundamentalt annerledes både i innretning og virkemåte enn vårt tradisjonelle analoge samfunn. Likheten mellom de to består i at konsekvensene som individer og bedrifter føler på ved å bli ofre for kriminalitet, i begge tilfeller utspiller seg i den fysiske verden. Konsekvensene er virkelige. Til forskjell fra det analoge domenet er cyberdomenet nærmest skapt for å kunne manipulere uten å bli avdekket, noe de som ønsker å bryte loven vet å utnytte til egen vinning. Enten det er ved å utgi seg for å være en 14-åring på Snapchat eller ved å sende det som tilsynelatende ser ut til å være pakkesporing fra Posten på e-post, men som egentlig er første steg i forsøket på et datainnbrudd. Dette er eksempler på hvordan kriminelle aktører i dag misbruker vår tillit i det digitale domenet og vi er nå bare i starten av denne utviklingen.
Det er i et slikt landskap politiet nå opererer, hvor etaten må styrke sin tilstedeværelse. Men politiet kan imidlertid ikke gjøre arbeidet alene. Vi er helt avhengig av samarbeid mellom en rekke aktører på ulike nivåer for å bidra til et sikkert digitalt samfunn dersom tilliten skal forbli ivaretatt. En god start for å nå et slikt mål, er å utrede hva som kan forventes av de ulike aktørene i møte med et mer krevende digitalt kriminalitetsbilde. Slik at hver og en av oss i større grad kan bidra til samfunnets felles sikkerhet.
Anbefalingene fra utredningen «IKT-sikkerhet i alle ledd» (NOU 2018:14), som påpeker viktigheten av å få på plass en ny lov som stiller krav til alle offentlige virksomheter om å etablere et forsvarlig sikkerhetsnivå, kan være en god start. Jo bedre hver enkelt av oss blir til å forebygge, desto færre lovbrudd vil politiet måtte bistå med å etterforske. En slik lov vil langt ifra være tilstrekkelig alene, men det kan likevel være en god start.
Da vil det på sikt også bli enklere for politiet å innfri forventningene fra samfunnet.
Debattinnlegget ble først publisert på politiforum.no, 8. februar 2021.