Samfunnets datasårbarhet må ikke bli et militært anliggende

Næringslivets sikkerhetsråd er enig i at Norge må styrke cyberforsvaret, og at vi må tenke på tvers av skillelinjene, men ikke i at Forsvarets bør lede forsvaret av den nasjonale datainfrastrukturen. Datainfrastrukturen er, paradoksalt nok, for viktig til det. Grunnlovens begrensninger på bruken av Forsvaret mot egne borgere (§99) er kun én av flere grunner til at Forsvaret ikke alltid vil kunne utøve den handlekraft som er nødvendig for å sikre datainfrastrukturen i fred og kriser.

Erland Løkken

Ledende offiserer, både pensjonerte og tjenestegjørende, har den senere tid tatt til orde for at Forsvaret må styrke sin kapasitet til å drive offensive og defensive cyberoperasjoner. Noen tar til orde for en dobling av antall ansatte, mens andre mener det må en enda større økning til. Generalmajor Roar Sundseth sier at cyberdomenet har få reguleringer og ingen nasjonalitetsmerker, hvorpå det er vanskelig å tenke rent militært om forsvar av nasjonale interesser. Forsvaret må derfor utvikle sin defensive evne – cyberforsvaret – på tvers av tradisjonelle skillelinjer (www.tu.no).
 
Næringslivets Sikkerhetsråd (NSR) er enig i at Norge må styrke cyberforsvaret, og at vi må tenke på tvers av skillelinjene, men vi kan ikke la Forsvarets militær organisasjon (FMO) lede forsvaret av den nasjonale datainfrastrukturen. Datainfrastrukturen er, paradoksalt nok, for viktig til det. FMO vil av konstitusjonelle årsaker ikke kunne forsvare datainfrastrukturen i fred og krise. Og kan man ikke forsvare i fred og krise, kan man heller ikke forsvare i krig. Da er det for sent.
 
Det norske samfunnet er fullstendig avhengig av internett og tilliggende datainfrastruktur. Denne strukturen utsettes for angrep konstant. Fra utforskende ungdommer, via avansert organisert kriminalitet, til stater som søker å hente informasjon på ulovlig måte. I dette konglomeratet av trusler og angripere søker private organisasjoner og virksomheter å holde tritt ved stadig å utvikle brannmurer og antivirusprogrammer som kan beskytte brukere og virksomheter. Om angrepet kommer fra en stat, en virksomhet eller en person er tilnærmet umulig å finne ut av. Så og si bare når dataangrepet etterfølges av militære operasjoner eller politiske uttalelser er det mulig å fastslå om det er en stats vilje som står bak. Elektronene er ikke uniformerte, uansett avsender.
 
I en slik kontekst, der datainfrastrukturen er under konstant angrep, må Norge etablere et cyberforsvar med evne til å forebygge og stoppe angrep i fred og krise, og i verste fall også i krig. Denne organisasjonen, som må virke hver dag, døgnet rundt, kan støtte FMO når grunnloven tillater Forsvaret å agere.
 
Generalmajor Sundseth har derfor rett i at det norske samfunnet må tenke på tvers av tradisjonelle skillelinjer for et cyberforsvar – nemlig at cyberforsvaret må ledes av en alltid tilstedeværende sivil organisasjon hvor forsvaret eventuelt får støtte.
 
Har vi så denne sivile organisasjonen i dag? Nei, dessverre ikke.
 
I dag er forsvaret av datainfrastrukturen i hovedsak overlatt til næringslivet. Det gjør de bra, men staten må ta sitt overordnede ansvar for cyberforsvaret og utpeke og utruste en sivil organisasjon til å bli handlekraftig i fred, krise – og eventuelt i krig.
 

Norwegian Computer Emergency Response Team (NorCERT), som er en avdeling i Nasjonal sikkerhetsmyndighet (NSM), overvåker i dag nettet og rådgir medlemsvirksomheter, men er ikke gitt mandat til selv å agere mot trusler og angrep. Slik kan det ikke være i lengden. Enten må NorCERT gis myndighet til å agere, eller så må vi styrke Norsk senter for informasjonssikring (NorSIS) med myndighet og midler.  

NSR er fornøyd med at Forsvarsministeren har gitt NSM i oppgave å evaluere sikkerhetsloven i løpet av 2011, og i den prosessen se nærmere på behovet for å styrke NorCERTs grunnlag. Vi er derimot misfornøyd med at arbeidsutvalget ikke har representanter fra IKT-departementet (Fornyings-, administrasjons- og kirkedepartementet), og ei heller representanter fra næringslivet. Når hele utvalget går i uniform, blir problemene fort uniformerte – og det er vi ikke tjent med for fredstidssikkerheten.

Næringslivets Sikkerhetsråd | Postboks 5493 Majorstuen | 0305 Oslo | Middelthunsgt 27, Majorstuen | nsr@nsr-org.no

Følg oss