Skjerpet trusselbilde krever bedre beskyttelse
04.11.2021 | Cybersikkerhet, Kronikk, Moderne trusler
Mange synes å mangle forståelse av hva en kompetent trusselaktør er i stand til å foreta seg mot Norge og norske virksomheter i en krisesituasjon.
Av: Simen Bakke, senior informasjonssikkerhetsrådgiver og fagprofil i UTSYN
Det er fellestrekk i Dagens Næringslivs reportasjer om forskningsfartøyet «Akademik Lazarev», som kartlegger kritisk infrastruktur, og den siste periodens artikler om manglende sikkerhetstiltak og -revisjoner på Stortinget.
Artiklene om «Akademik Lazarev» viser mulig russisk kartlegging av fiberkabler i sjøen, som kan benyttes til sabotasje av kritisk kommunikasjonsinfrastruktur. De færreste vet hva som vil bli de reelle konsekvensene av slik sabotasje, da det avhenger av om det finnes annen fysisk forbindelse i kabel eller luft som kan transportere datatrafikk til og fra Norge.
Det de fleste imidlertid vet, er at mange viktige samfunnsfunksjoner i Norge forutsetter at vi har et fungerende kommunikasjonsnett.
Når det gjelder Stortinget er det nylig blitt kartlagt at Riksrevisjonen ble stanset i å gjennomføre revisjoner av sikkerhetstilstanden i tilknytning til vår viktigste demokratiske institusjon, i 2017. Det var tre år før det første datainnbruddet mot Stortinget fant sted, i august 2020. Hendelsen ble knyttet til russiske aktører.
Et halvt år senere, i mars 2021, ble Stortinget utsatt for nok et datainnbrudd. Denne gangen knyttet norske myndigheter aktiviteten til kinesiske aktører.
I tillegg ble det nylig kjent at en liste med adresser til stortingsrepresentantenes boliger har ligget åpent tilgjengelig på internett i nesten et helt år. Stortinget ble varslet i desember 2020, men fjernet ikke listen før mediene skrev om saken sist uke.
Dette er bare noen få eksempler, men de illustrerer et mer gjentagende fenomen: at vi spesielt i sivil sektor i Norge i dag i liten grad har tatt inn over oss at vi i fremtiden vil kunne stå overfor en sikkerhetspolitisk tilspisset situasjon hvor trusselaktøren er en fremmed stat. En stat som kan benytte en kombinasjon av både militære og ikke-militære virkemidler for å destabilisere samfunnet vårt.
Destabiliseringen vil være enklere å gjennomføre jo mer av samfunnet vårt som avhenger av de samme digitale verdikjedene.
I den nye sikkerhetsloven, som trådte i kraft 1. januar 2019 defineres grunnleggende nasjonale funksjoner, som skal fungere til enhver tid, i fred, krise og krig. Bank- og finanstjenester, strøm- og kraftforsyning, tele- og kommunikasjonstjenester, samt krise- og beredskapssystemer, avhenger alle i dag av digitale verdikjeder.
Derfor er informasjonssystemer, altså datasystemer og -nettverk, definert som sentrale komponenter for å understøtte disse funksjonene. Som artiklene om «Akademik Lazarev» så godt illustrerer, avhenger våre digitale verdikjeder av en fungerende kommunikasjonsinfrastruktur.
Dersom sjøkablene til og fra Norge saboteres, hva blir konsekvensene?
Adresselisten til stortingsrepresentantenes boliger faller trolig inn under et beskyttelsesregime som ligger utenfor sikkerhetslovens anvendelsesområde. Det er med andre ord informasjon som Stortinget selv må etablere en forsvarlig praksis for å beskytte.
Mye informasjon som med skadepotensial, enten for enkeltpersoner, for virksomheter eller nasjonen som helhet, faller utenfor sikkerhetslovens bestemmelser. Det er derfor opp til den enkelte virksomhet å etablere en forsvarlig praksis, slik at de unntar opplysninger fra offentlighet og sikrer dem tilstrekkelig.
Justisminister Emilie Enger Mehl (Sp) har varslet at hun ønsker å gjennomgå sikkerhetslovens anvendelse. Det er fornuftig og spesielt i lys av erfaringene etter Bergen Engines-saken. Men som DNs artikler om «Akademik Lazarev» viser, så stikker dette dypere.
Det bør i denne forbindelse gjennomføres en helhetlig kartlegging, hvor staten i fellesskap går sammen for å få kontroll på alle digitale verdikjeder som understøtter våre grunnleggende nasjonale funksjoner.
I tillegg bør det etableres en enhetlig praksis for beskyttelse av sensitiv informasjon som faller utenfor sikkerhetslovens anvendelse.
Det er ikke bare en virksomhets eget anliggende når funksjonen eller informasjonen kan benyttes til å sabotere for samfunnet som helhet. Da er det et ansvar for staten. Et ansvar som vi må bære i fellesskap.
Innlegget ble først publisert i Dagens Næringsliv 03.11.21.