| dc.description.abstract | Samfunnets avhengighet til IKT har de siste årene økt dramatisk. Kritisk infrastruktur og kritiske samfunnsfunksjoner er blitt fullstendige avhengige av IKT. Myndighetene har i sammenheng med den økte avhengigheten utredet samfunnets sårbarhet som følge av IKT-avhengighet og iverksatt tiltak for å styrke informasjonssikkerheten. Denne oppgaven har vurdert nasjonal satsing på informasjonssikkerhet gjennom å foreta: 1) en evaluering av sentrale utvalg nedsatt av regjeringen og oppfølgingen av disse, 2) en kartlegging av sentrale offentlige og private virksomheters arbeid og 3) en sammenligning av informasjonssikkerhetarbeid i utlandet opp mot Norge. Innledningsvis var det tenkt å sammenligne norske myndigheters innsats opp mot Sverige, Danmark og Nederland. På grunn av manglende respons fra NorSIS sine kontaktpersoner i dansk og nederlandsk CERT ble det kun foretatt en sammenligning med Sverige. Det er i hovedsak brukt kilder i form av offentlig tilgjengelige dokumenter fra myndighetene og forvaltningen samt kontaktpersoner i relevante organisasjoner og andre institusjoner. Denne rapporten tar for seg resultater fra fem sentrale arbeider i sammenheng med myndighetenes satsing på informasjonssikkerhet: Sårbarhetsutvalget, Infrastrukturutvalget, Datakrimutvalget, Nasjonal strategi for informasjonssikkerhet og Riksrevisjonens undersøkelse. Sårbarhetsutvalget var det første utvalget som oppnådde nasjonal oppmerksomhet rundt informasjonssikkerhet i 1999. Utvalget vektla i sin rapport resultatene fra BAS2 prosjektet mer enn IKT-underutvalget som fokuserte på den logiske trusselen. På tross av et noe feil fokus ble det likevel opprettet et Senter for informasjonssikring for å kartlegge informasjonssikkerhetstrusselen i norske virksomheter. Dette senteret samt etableringen av en nasjonal strategi for informasjonssikkerhet er den viktigste arven fra Sårbarhetsutvalget. De viktigste tiltakene som Sårbarhetsutvalget foreslo er i etterkant blitt implementert. Denne gode uttellingen må delvis tilskrives at også andre prosesser og aktiviteter pågikk samtidig med utvalgets utredning, og ikke minst at det nå har gått hele sju år siden rapporten ble avlevert. Infrastrukturutvalget fulgte opp Sårbarhetsutvalgets arbeid og avla sin rapport i 2006, seks år etter sistnevnte utvalg. I Infrastrukturutvalgets rapport er fokus flyttet fra etablering av et helhetlige apparat rundt informasjonssikkerhet til organiseringen av myndighetenes arbeid, herunder ansvarsavklaring på departementnivå. At utvalget har kunnet tillate seg å skifte fokus fra etablering til organisering skyldes arbeidet som har foregått med Nasjonal strategi for informasjonssikkerhet. Arbeidet med denne strategien har blant annet ført til den permanente opprettelsen av NorSIS og NorCERT. Utvalgets rapport foreslår i hovedsak organisatoriske tiltak i offentlig sektor for å bedre oppfølgingen av tiltak, og man har delvis benyttet Riksrevisjonens undersøkelse som informasjonsgrunnlag for forslag til forbedringer. En annen utvikling som har funnet sted fra Sårbarhetsutvalget til Infrastrukturutvalget er at sistnevnte gjennom enkelte tiltak har rettet fokus også mot privatpersoner. Det er for tidlig å si hvilke konsekvenser Infrastrukturutvalgets anbefalinger har medført for myndighetenes arbeid med informasjonssikkerhet. Sårbarhetsutvalget var inne på problemstillingen med en rask utvikling innen informasjonssikkerhetstusselen og et utdatert lovverk. Denne problemstillingen ble tatt opp av Datakrimutvalgets delutredning I og II i forbindelse med henholdsvis ratifisering av Europarådets datakrimkonvensjon og en særregulering for nasjonale straffebestemmelser om datakriminalitet. Norge måtte utføre få endringer i lovverket som følge av ratifiseringen av datakrimkonvensjonen. Konvensjonen ble ratifisert av Norge i 2006 og gir deltagerlandene felles definisjoner, straffebestemmelser, straffeprosessuelle bestemmelser og regler for internasjonalt samarbeid vedrørende datakriminalitet. Konvensjonen ble kritisert for å bruke meget vide og omfattende definisjoner som gir rom for at unødvendig mange handlinger og typer utstyr kriminaliseres. Videre ble konvensjonen kritisert av menneskerettighetsorganisasjoner og dataindustrien for ikke å ta nok hensyn til personvern. Internettilbyderne mente det var bekymringsverdig at konvensjonen åpnet for å pålegge tilbyderne å utføre overvåkning og ikke bare bistå politiet med teknisk kompetanse under slik overvåkning. Datakrimutvalgets delutredning II og forslag til straffebestemmelser går på flere områder lenger enn det datakrimkonvensjonen krever. Utredningen presenterer mange positive forslag, herunder kriminalisering av spam. Likevel gir alle forslagene i sum et inntrykk av en lovgivning som vil være i overkant restriktiv. Grunnen til dette skyldes at utvalget har foreslått å kriminalisere en rekke forberedelseshandlinger, herunder elektronisk kartlegging og all befatning med skadelige dataprogrammer. Et meget kontroversielt mindretallsforslag vedrørende filtrering av Internett i henhold til Straffeloven er også inkludert i utvalgets rapport. Dersom alle utvalgets anbefalinger godkjennes av Stortinget, inkludert mindretallsforslaget om filtrering, vil dette føre til at Norge får en av de strengeste, om ikke den strengeste, internettlovgningene i Vesten. En slik lovgivning er overhodet ikke hensiktsmessig. Nasjonal strategi for informasjonssikkerhet har vært helt sentral i myndighetenes arbeid med å styrke samfunnets informasjonssikkerhet. Strategien lister tolv tiltak eller tiltaksområder myndighetene skal konsentrere sin satsing rundt. Tiltakene er fornuftige, men gjennom Riksrevisjonens undersøkelse har det kommet frem at oppfølgingen av strategien har lidd på grunn av mangelfull ansvarsavklaring blant annet på departementnivå. Mange av tiltakene er av tverrsektorielt omfang, og FAD har vært ansvarlig for disse. En tydeligere ansvarsfordeling presenteres i St.meld. nr. 17 (2006-2007) - Eit informasjonssamfunn for alle der det fremheves at ansvarsprinsippet og ansvarslinjene er de samme for arbeidet med informasjonssikkerhet som for annet sikkerhet- og beredskapsarbeid. Videre avklares det at FAD skal ha ansvaret for forebyggende, tverrsektorielle tiltak i motsetning til alle tverrsektorielle tiltak slik ansvarsfordelingen har vært antydet før. Den nasjonale strategien inneholder mange løpende tiltak, og det er blant annet disse som myndighetene ikke har fulgt godt nok opp. Det nevnes forøvrig at Riksrevisjonen gjennomgående var svært kritisk og lite positiv til innsatsen som ble gjort i oppfølgingen av tiltakene, hvilket inkluderer sikring av kritisk IKT-infrastruktur og organiseringen av myndighetenes arbeid generelt. En revidert strategi, eller "retningslinjer for informasjonssikkerhet" som sannsynligvis blir navnet, ventes offentliggjort i september 2007. Det medfører at nåværende strategi har vart i over ett år lenger enn det tidsperspektivet på 2-3 år som ble anbefalt. Det har vært vanskelig å evaluere graden av måloppnåelse i strategien siden tiltak ikke er knyttet opp mot måloppnåelse. Dette må utbedres. Det finnes en rekke offentlige institusjoner som er involvert i myndighetenes arbeid med å styrke nasjonal informasjonssikkerhet. Organisasjonene NorCERT/VDI, NorSIS, KIS, FFI, PT og FFI er helt sentrale i dette arbeidet. De tre førstnevnte organisasjonene kom til på bakgrunn av eller ble innlemmet i Nasjonal strategi for informasjonssikkerhet. NorCERT/VDI er ansvarlig for analyse av trusselbildet og hendelseshåndtering for virksomheter som er en del av kritiske infrastrukturer eller samfunnsfunksjoner. VDI hadde 10-15 tilkoblede virksomheter ved oppstart, og det kan stilles spørsmål ved hvorvidt et slikt begrenset utvalg kan være representativt for landets kritiske virksomheter. NorSIS har siden kritikken fra Riksrevisjonen fått et endret mandat. Senteret har en stor jobb foran seg med å bringe blant annet kommunesektoren og mindre bedrifter opp på et tilfredsstillende nivå. Den svake informasjonssikringen som er i mindre virksomheter innen offentlig og privat sektor bekreftes av Mørketallsundersøkelsen 2003/2006 utført av Næringslivets sikkerhetsråd. KIS har som koordinerende organ for informasjonssikkerhetsarbeidet ingen myndighet til å fatte vedtak. Likevel kan utvalget legge premisser for en bedre oppfølging av informasjonssikkerhetsarbeidet gjennom sine anbefalinger og i kraft av å være en en møteplass for sentrale aktører. PT har et særskilt ansvar overfor infrastrukturer i telesektoren. Tilsynet har den siste tiden arbeidet med å sikre eksisterende samtrafikkpunkter samt etablere nye regionale punkter mellom internettilbyderne. Det er på høy tid dette arbeidet blir gjennomført da disse punktene lenge har vært en kritisk del av IKT-infrastrukturen. PT har i oppgave å kontinuerlig kartlegge infrastruktur innen egen sektor samt utføre ROS-analyser i samarbeid med private aktører med ansvar for denne infrastrukturen. Det bemerkes at metodikken fra BAS5 prosjektet kan være nyttig for tilsynet i denne sammenheng, og at det derfor bør undersøkes i hvilket omfang metodikken kan nyttiggjøres. PT har forøvrig opprettet nettstedet nettvett.no, et informasjonstiltak rettet mot privatpersoner samt mindre og mellomstore bedrifter. FFI har vært en viktig aktør som har kommet med bidrag om samfunnets sårbarhet gjennom sine BAS prosjekter. BAS2 og BAS5 har fokusert på telesektoren og kritiske IKT-infrastrukturer. NSM og DSB hadde vanskeligheter med å samle inn nok midler for å starte BAS5 prosjektet som har hatt en tverrsektoriell profil. FFI sitt mandat bør slik som Infrastrukturutvalget anbefaler utvides til å omfatte sivil sektor. En utvidelse av mandatet vil sikre bedre kontinuitet i forskningsinnsatsen, forhindre tap av kompetanse samt gi en mer forutsigbar finansieringsmodell for fremtidige prosjekter. Sverige har vært gjenstand for en raskere avmonopolisering enn Norge og de fleste andre europeiske land. Dette har gitt seg utslag i at Sverige har ligget noe foran Norge i å utrede samfunnets sårbarhet og IKT. Den raskere avmonopoliseringen som foregikk i Sverige rettferdiggjør ikke den ulike utviklingen landene hadde på 1990-tallet. Sverige økte jevnlig den økonomiske støtten til investeringer i nye sikringstiltak innen telesektoren under denne perioden. I Norge var utviklingen motsatt, og det ble i samme periode investert stadig mindre i nye tiltak. Idag har begge landene etablert et helhetlig apparat rundt informasjonssikkerhet med blant annet nasjonale CERTer, sertifiseringsordninger og tiltak innen bevisstgjøring. Til tross for at etableringen av dette apparatet har funnet sted så har landenes respektive riksrevisjoner påpekt en rekke mangler ved oppfølgingen av arbeidet med å styrke samfunnenes informasjonssikkerhet. Infrastrukturutvalget har vært en helt sentral oppfølging av Sårbarhetsutvalgets arbeid, og begge utvalgene har forsøkt å gjøre en samlet vurdering av sårbarheten for alle samfunnssektorer. I Sverige hadde man i perioden 2005-2007 en egen utredning innen informasjonssikkerhet som bestod av fire ulike delutredninger. Informasjonssikkerhet er en tverrsektoriell problemstilling, og kraft- og telesektoren (herunder IKT-infrastrukturer) er de eneste sektorene som alle andre sektorer er kritisk avhengige av. Det er derfor synd at Norge ikke har fulgt Sveriges eksempel og nedsatt et utvalg med fokus utelukkende på informasjonssikkerhet. Når et utvalg har et begrenset antall utvalgsmedlemmer, er det vanskelig å oppnå en bred og samtidig høy faglig kompetanse som sikrer at alle samfunnssektorer får bidratt med egen ekspertise på området. I Sårbarhetsutvalget hadde ingen av utvalgsmedlemmene IKT-bakgrunn. I Infrastrukturvalget var det et par personer med IKT-bakgrunn, hvorav én innen sikkerhet. I Datakrimutvalgets arbeid med delutredning II var det kun ett utvalgsmedlem som hadde bakgrunn innen IKT og informasjonssikkerhet. Resterende utvalgsmedlemmer var jurister. Sammensetningen av disse utvalgene avdekker en mangel på kompetanse i informasjonssikkerhet. Riktignok opprettet for eksempel Sårbarhetsutvalget et IKT-underutvalg for å oppnå et bedre beslutningsgrunnlag, men synspunktene fra dette underutvalget ble ikke vektlagt tilstrekkelig i sluttrapporten. All teknisk kompetanse er ikke like enkel å formidle til personer som ikke har den nødvendige bakgrunn innen fagområdet, og det er derfor viktig at kompetansen og de synspunkter som kommer til uttrykk gjennom den ivaretas på høyeste nivå, det vil si i utvalget selv. Hvis ikke risikerer man å tegne et bilde av tilstanden som ikke er korrekt, noe som igjen kan lede til at man utarbeider en lite hensiktsmessig eller feilaktig strategi på området. Myndighetenes satsing gir inntrykk av at det vært iverksatt mange ulike tiltak, men at gjennomføringen og oppfølgingen av tiltakene har vært varierende. Mangelfull ansvarsavklaring og en utydelig arbeidsfordeling i den offentlige organisasjonsstrukturen har vært en medvirkende årsak til dette. Det understrekes at det også har skjedd mye positivt på området, og at mange tiltak har blitt gjennomført for å styrke informasjonssikkerheten. Det er likevel viktig at myndighetene arbeider for en mer effektiv oppfølging av tiltakene, og at man i denne oppfølgingen tar hensyn til at problemstillingene innen informasjonssikkerhet raskt endrer seg. | nb_NO |
