Vil styrke samarbeidet om sikkerhet og beredskap

NSMs sikkerhetskonferanse – dag 2. 17. november 2011.
Sjekkes mot fremføring.

Innledning
Kjære forsamling,
For ganske nøyaktig fire år siden, hadde jeg gleden av å åpne tilsvarende konferanse. Et hovedpoeng for meg den gang, var at Norge som en liten stat er nødt til å se på tvers, mellom direktorater, departementer og andre aktører, i arbeid med sikkerhet.

I dag, som nylig tiltrådt forsvarsminister, er det grunn til å minne om dette. Jeg tror en av de viktige lærdommene etter terrorangrepene 22. juli, nettopp er å styrke samarbeidet om sikkerhet og beredskap.  

Sikkerhet er i denne sammenheng å beskytte vårt samfunn og våre virksomheter mot spionasje, sabotasje og terrorhandlinger. Sikkerhet er å unngå at samfunnskritisk informasjon og bygningsmasser blir gjenstand for angrep. 
Men sikkerhet er likevel mer enn dette. Sikkerhet dreier seg også om å beskytte grunnleggende norske verdier. Sikkerhetsarbeid er å hegne om vår rettsstat, åpenhet, ytringsfrihet og personvern.

Terrorangrepene 22. juli viste sårbarheten og styrken i det åpne norske samfunnet. Da tragedien var et faktum, så vi et folk søke sammen. Vi så samhold, omsorg og tillitt. Vi så et samfunn med mennesker som sto opp for hverandre og våre felles verdier. Dette er noe vi må ta godt vare på.  

Hendelsen 22. juli aktualiserer dilemmaer, den reiser paradokser. Vi ser vanskelige avveininger mellom sikkerhet og frihet, mellom kontroll og åpenhet. Hva styrker og hva svekker individ- og samfunnssikkerheten? Hvor mye risiko er vi villige til å akseptere for å opprettholde viktige samfunnsverdier? Jeg tror ikke det finnes et enkelt svar på disse spørsmålene.

IKT og cyber som jeg vil snakke om i dag, sto også sentralt da regjeringsmedlemmer fra 60 land var samlet til cyberkonferanse i London tidligere denne måneden. USAs visepresident Joe Biden var blant innlederne. Han drøftet den gjensidige avhengigheten mellom mennesker og nettet. Han snakket om vår mulighet til å forme det digitale rom. Og - han betonte hvordan det digitale rom kan forme oss mennesker. Vi ser altså både muligheter og utfordringer.
Først muligheter. For Forsvaret, sivile myndigheter og store norske bedrifter med kritiske samfunnsfunksjoner er IKT viktig for å levere tjenestene de skal. Samlet sett ser vi mer effektive tjenesteytelser, mer effektiv produksjon. Vi ser nye muligheter for Forsvaret innen nettverksbasert forsvar. Vi ser større potensial for produktutvikling i offentlige og private bedrifter. Vi ser økt verdiskaping. 
For Ludvig Holberg var boktrykkerkunsten et av menneskehetens herligeste påfunn. Han advarte samtidig mot å lese for mange bøker. Det var en fare for at det ikke ble plass til egne tanker.

Vi kan dele Holbergs ambivalens. Ny teknologi gir også utfordringer. Den bidrar til å øke enkeltpersoners og samfunnets sårbarhet. Vi husker flommen i juli og mobilnettets sammenbrudd. Vi husker Stuxnet og oppfølgeren Duqu.
Flere foredragsholdere i går minnet oss om at sikkerhetstilstanden i Norge forverres. I 2010 ble en rekke mangler i det forebyggende sikkerhetsarbeidet oppdaget. Gapet mellom truslene og sikkerhetstiltakene øker. Samtidig registreres det en økende etterretningsaktivitet på nettet. Virus kan infiltrere industri- og kontrollsystemer. Avlytting blir stadig mer avansert.

La meg derfor være tydelig på dette: Avhengigheten av IKT og internett er blitt en strategisk sikkerhetsutfordring for Norge. Tiltak mot digitale angrep prioriteres derfor høyt i det moderne forsvar av landet. Vi kan likevel bli bedre. Vi må kraftsamle våre ressurser. Vi trenger en tydelig ansvarsfordeling. Sektorvis tilnærming er riktig så lenge ansvaret for håndtering av trusselen er tydelig plassert. Vi trenger et bredt samarbeid, mellom sivile, militære, offentlige og private aktører. Og, endelig,  internasjonalt samarbeid må øke i omfang. Det siste var et nærmest unisont budskap fra  London-konferansen. 

Sikkerhet og åpenhet
Jeg nevnte dilemma: Sikkerhet dreier seg også om skjerming av informasjon. Når informasjon skjermes melder raskt spørsmålet om åpenhet seg.  Jeg er glad nettopp dette spørsmålet figurerer sentralt på konferansens dagsorden.
Siden 22. juli har debatten om begrepet “mer demokrati og mer åpenhet” pågått mer eller mindre sammenhengende. Det er viktig at dere som arbeider med sikkerhet innenfor IKT tar del i denne. Åpenhet i forvaltningen er et grunnleggende prinsipp vi skal hegne om.

Som forsvarsminister er jeg ansvarlig for forvaltningen av store mengder skjermingsverdig informasjon. Mye av informasjon har betydning for rikets sikkerhet. Slik informasjon må vernes og det er nødvendig å forebygge aktivitet som kan skade informasjonens konfidensialitet, integritet og tilgjengelighet. Vår sektor skal samtidig være kjennetegnet av åpenhet. Dette er en balansegang jeg har stort fokus på.

La oss samtidig være ærlige; forholdet mellom sikkerhet og åpenhet er ikke alltid to sider av samme sak. Dette er to hensyn kan i noen tilfeller støte mot hverandre. Økt sikkerhet av IKT-systemer, kan i verste fall avgrense åpenhet. Dette gjelder sikring av IKT-systemer på Stortinget og i departementsfellesskapet. For kort tid siden rapporterte japanske medier om at en trojaner hadde gitt åpen tilgang til samtlige parlamentsmedlemmers datamaskiner. Kina ble i media raskt utpekt som ansvarlig.

Vi kan ikke utelukke at også våre sentrale samfunnsfunksjoner kan rammes. Her er også Storting, regjering, forvaltning og Forsvar nødt til å ta grep. Også disse må skjermes for inntrengere. Sikkerhet er nødvendig i et samfunn som ikke er risikofritt.  Her tror jeg vi skal være forberedt på å bli utfordret i årene som kommer.

For meg er det desto viktigere med en bevissthet omkring behovet for åpenhet. Derfor har vi vært tydelig på en målrettet skjerming av informasjon. Det er viktig for meg at tiltakene vi gjør ivaretar behovet for åpenhet. Vi må ha to tanker i hodet på en gang.

Det globale sikkerhetsbildet
Kjære forsamling,
Utviklingen innen IKT er en del av det nye globale sikkerhetsbildet vi ser vokser fram. Ja, en kan være fristet til å si at IKT driver fram endringer. Dramatiske endringer. På godt og vondt. Også her er det en ambivalens.
Ta utviklingen i de arabiske land. Regimeomveltinger fremskyndet av ny teknologi. Regimeendring båret fram av bloggere og modige øyenvitner. Ny teknologi som brekkstang i kampen for ytringsfrihet og økt demokrati.    
På samme tid. Land ruster seg mot offensive cyber-angrep. Cyber som del av en internasjonal utvikling der økende stormaktrivalisering, nye og revitaliserte stormakter er blant hovedtrekkene. Vi ser et sikkerhetsbilde der cyber trer fram som en av flere nye utfordringer allierte og NATO tar på alvor. 
 
Den videre utviklingen av Forsvaret skjer mot et slikt bakteppe. Angrep mot systemer som er viktige for å trygge norsk sikkerhet, suverenitet og selvstendighet er blitt en viktig oppgave for Forsvaret. Arbeidet for å beskytte oss mot dette har høy prioritet. La meg utdype.

Cyber angrep har oftest sin opprinnelse langt unna, men kan ramme norsk område, massivt og uten forvarsel. De er tiltagende i styrke. Et angrep som setter strømnettet eller mobiltelefonnettet ut av funksjon, kan sette viktige funksjoner i samfunnet ut av spill. Det kan utfordre vår samfunnssikkerhet, men kan også utfordre selve statssikkerheten. Det kan gjøre det vanskeligere for det norske militæret å fungere.

NSMs arbeid er meget viktig. Likeså Forsvarets eget kompetansemiljø i Forsvarets sikkerhetsavdeling (FSA) og Informasjonsinfrastruktur (INI). Forsvaret er likevel ikke satt opp for å kunne håndtere en slik hendelse alene. Det kreves en bred tilnærming. Sivile, militære, offentlige og private aktører må trekke sammen for å bekjempe cyberangrep.

Samarbeidsarenaer internasjonalt er også viktig. Trusler i det digitale rom vet vi sjeldent er rent nasjonale. Det er derfor avgjørende at vi har et bredt internasjonalt samarbeid. Norge bidrar aktivt i NATOs arbeid for å styrke forsvaret mot digitale angrep. NATO kan støtte medlemsland i håndteringen av en IKT-krise. Dette er viktig.

Også i nordisk regi pågår et arbeid for å etablere et kompetanse- og informasjonsnettverk. Dette skal bidra til bedre forsvar mot digitale angrep rettet mot de nordiske landene. Vi må oppmuntre til deling av kompetanse, informasjon og kunnskap. Kun slik vil vi stå bedre rustet til å håndtere en krise når den oppstår. 

Det lokale sikkerhetsbildet
Jeg har nevnt sårbarheten. Vi er sårbare mot menneskelige feil. Vi er sårbare for teknologiske kodeknekkere som vet å utnytte det svakeste ledd. Vi er sårbare for en manglende sikkerhetskultur. Alle organisasjoner med behov for å beskytte sine systemer, må bygge en sikkerhetskultur. Et stikkord er ledelse. Et annet er bevissthet. 

Vi vet at sikkerhetskompetanse er kostbart.  Finanskrisen i Europa og mulige ringvirkninger for Norge, er et faktum. Særlig i internasjonal dyrtid er det viktig å minne oss om behovet for å investere i sikkerhet i våre virksomheter. Ofte kan sikkerhet ses som en begrensende faktor. Vi må snu på det og se sikkerhet som en kapasitet. Det dreier seg om tillit. Det dreier seg om å redusere egen sårbarhet.
 
Lederfokus på dette området er derfor helt sentralt. Vi må ha ledere som prioriterer sikkerhet. Sikkerheten er virksomhetslederens ansvar. Det er vanskelig å bygge en solid sikkerhetskultur dersom lederne ikke prioriterer dette.
Fra vår sektor har en god sikkerhetskultur over tid satt seg. Det er en ryggmargsrefleks som sitter i de fleste av oss. Vi blir likevel ikke ferdig. Teknologien løper ofte raskere enn våre egne sikkerhetssystemer. Kontinuerlig oppmerksomhet er påkrevd. Det dreier seg om å forstå at tekniske løsninger alene ikke holder. Like viktig er holdningene og kunnskapsnivået til brukerne. Vi må ha en økt bevissthet hos alle.
  
FD ønsker å være en pådriver i arbeidet med IKT-sikkerhet. Sikkerhetsarbeidet må være forankret på ledelsesnivå også i statsapparatet. Som en oppfølging av nasjonale retningslinjer for informasjonssikkerhet som ble utgitt i 2007, utarbeidet NSM et forslag til cybersikkerhetsstrategi. Mange av dere har levert høringsinnspill til strategiutkastet. Dette arbeidet vil nå utgjøre et viktig grunnlag for revisjonen av de nasjonale retningslinjene for informasjonssikkerhet. De reviderte retningslinjene skal utgjøre en helhetlig satsing på informasjonssikkerhet. De skal dekke et bredt felt, fra grunnsikring av informasjonssystemer til sikring av samfunnskritisk infrastruktur. Vi ønsker å definere klare roller og oppgaver. Derfor må vi også se om dagens ansvarsdeling på departementsnivå fungerer hensiktsmessig.

Norge var tidlig ute med å etablere en nasjonal CERT med deltakere fra både offentlige og private aktører. Vi ser at mange land ønsker å kopiere den norske modellen. NorCERT er avhengig av kontakt med både nasjonale og internasjonale aktører. På nasjonalt plan er det viktig for NorCERTs koordinerende rolle at det er etablert sektorvise responsmiljøer de kan kommunisere med. Forsvaret har et godt etablert samarbeid med NorCERT på dette området. Jeg er glad for at også flere andre sektorer har eller er i ferd med å etablere egne responsmiljøer.

Avslutning
Mine damer og herrer,
Skal vi møte utfordringene knyttet til informasjonssikkerhet, kreves det aktiv deltakelse fra alle sektorer, private og offentlige. Vi må bygge en felles forståelse for de utfordringene vi møter. Nye tiltak må treffes i fellesskap der det er mulig, der det er rasjonelt. Samarbeid er påkrevd. Dere bidrar til å synliggjøre udekkede behov. Dere står i spissen for nødvendige samarbeidsarenaer. En konferanse som dette er et viktig bidrag. Jeg ønsker dere lykke til med det viktige arbeidet.