Dataangrep mot det norske forsvaret

Dataangrepet mot Forsvaret i etterkant av Libya-engasjementet har satt nasjonal datasikkerhet på medias dagsorden. Det var på tide. Næringslivets Sikkerhetsråd mener det nå er viktig å sikre at samfunnets dataavhengighet blir sikret gjennom et handlekraftig sivilt organ, og at vi snarest må få på plass en helhetlig strategi for IKT-sektoren i Norge

Erland Løkken

Samfunnets datasårbarhet må ikke bli et militært anliggende
 
Næringslivets Sikkerhetsråd (NSR) mener Norge må styrke cybersikkerheten og at vi må tenke på tvers av skillelinjene mellom sivil og militær sektor, men Forsvaret skal ikke lede forsvaret av den nasjonale datainfrastrukturen. Den er, paradoksalt nok, for viktig til det. Grunnlovens begrensninger på bruken av Forsvaret mot egne borgere setter grenser for Forsvarets evne til å sikre nasjonens datainfrastruktur.
 
Offiserer i Forsvaret har både før og i etterkant av dataangrepet mot Forsvaret tatt til orde for at Forsvaret må styrke sin kapasitet til å drive offensive og defensive cyberoperasjoner. Noen tar til orde for en dobling av antall ansatte, andre for en større økning. Også journalister og riksdekkende media har hengt seg på denne oppfatningen.
 
NSR mener Norge må styrke cyberforsvaret og vi må tenke på tvers av skillelinjene mellom militær og sivil sektor, men vi kan ikke la Forsvarets militær organisasjon (FMO) lede forsvaret av den nasjonale datainfrastrukturen. Datainfrastrukturen er for viktig til det. Forsvaret må kunne bygge en egen evne til å beskytte egne systemer, men FMO vil av konstitusjonelle årsaker ikke kunne forsvare datainfrastrukturen i fred og krise. Og kan man ikke forsvare i fred og krise kan man heller ikke forsvare i krig. Da er det for sent.
 
Det norske samfunnet er fullstendig avhengig av internett og tilliggende datainfrastruktur. Denne strukturen utsettes for angrep konstant. Fra utforskende ungdommer, via avansert organisert kriminalitet, til stater som søker å hente informasjon på ulovlig måte. I dette konglomeratet av trusler og angripere søker private organisasjoner og virksomheter å holde tritt ved stadig å utvikle brannmurer og antivirusprogrammer som kan beskytte forbrukere og virksomheter. Om angrepet kommer fra en stat, en virksomhet eller en person er tilnærmet umulig å finne ut av. Så og si bare når dataangrepet etterfølges av militære operasjoner eller politiske uttalelser er det mulig å fastslå om det er en stats vilje som står bak. Elektronene er ikke uniformerte, uansett avsender.
 
I en slik kontekst, der datainfrastrukturen er under konstant angrep, må Norge etablere et cyberforsvar med evne til å forebygge og stoppe angrep i fred og krise, og i verste fall også i krig. Denne organisasjonen, som må virke hver dag, døgnet rundt, kan støtte FMO når grunnloven tillater Forsvaret å agere.
 
Skribenter og offiserer har derfor rett i at det norske samfunnet må tenke på tvers av tradisjonelle skillelinjer for et cyberforsvar, men ikke i at vi må styrke Forsvaret. Cyberforsvaret må ledes av en alltid tilstedeværende sivil organisasjon hvor Forsvaret eventuelt kan få støtte.
 
Har vi så denne sivile organisasjonen i dag? Nei.
Har vi en strategi for cybersikkerhet? Nei.
Har vi en overordnet strategi for IKT-struktur og sikkerhet i Norge? Nei.
 
Uten strategier og i overordnede planer, er forsvaret av datainfrastrukturen i dag i hovedsak overlatt til næringslivet, med koordinering fra Norwegian Computer Emergency Response Team (NorCERT). NorCERT er en avdeling i Nasjonal sikkerhetsmyndighet (NSM) og overvåker nettet og rådgir medlemsvirksomheter og partnere. NorCERT er ikke gitt mandat til selv å agere mot trusler og angrep. Slik kan det ikke være i lengden. NorCERT må gis myndighet og ressurser til å agere, men helst etter at vi har fått på plass en overordnet strategi for IKT i Norge, med tilhørende strategi for cybersikkerhet.
 
NSR er fornøyd med at Forsvarsministeren har gitt NSM i oppgave å evaluere sikkerhetsloven i løpet av 2011, og i den prosessen se nærmere på behovet for å styrke NorCERTs grunnlag. NSR mener NorCERTs virke må forankres bedre enn i dagens Sikkerhetslov, og bør komme bort fra skyggen bak FMO og inngå som et sentralt element i et sivilt IKT-departement eller direktorat som får ansvaret for hele IKT-sektoren i Norge. Dagens firehodede styringssystem for IKT fungerer ikke godt nok til å sikre den svært samfunnsviktige IKT-strukturen.

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss