Del 1
Innledning
1 Sammendrag
Dette er den første stortingsmeldingen om IKT-sikkerhet. Det er flere grunner til at IKT-sikkerhet vies mye oppmerksomhet. Den digitale utviklingen er en avgjørende del av vår verdiskapning og vekst. Digitaliseringen har bidratt til et tryggere og mer sikkert samfunn. Folk kan lettere komme i kontakt med hverandre og få rask tilgang til informasjon. Digitaliseringen har også medført at samfunnets risikobilde har endret seg. Ingen sektorer, og få nasjoner, kan i dag kontrollere sin digitale sårbarhet alene. Digitalt sårbarhetsutvalg (Lysneutvalget)1 viser til at Norge ligger langt fremme når det gjelder digitalisering, noe som gjør at vi som samfunn tidlig møter sårbarhetsutfordringene.
Trusselvurderinger viser at fremmede stater er villige til å bruke ulike virkemidler for å få tilgang til sensitiv og skjermingsverdig informasjon og påvirke politiske, økonomiske og forvaltningsmessige beslutninger. Det er store økonomiske tap knyttet til IKT-kriminalitet. I tillegg skjer det en rekke ganger at IKT-systemer svikter på grunn av menneskelige feil, programvarefeil, utstyrsfeil, naturhendelser eller en kombinasjon av disse.
For å sikre effektivisering gjennom økt digitalisering av det norske samfunnet må IKT-løsninger og digitale tjenester være tilstrekkelig sikre og pålitelige. Virksomheter og privatpersoner må ha tillit til at systemer og nettverk både fungerer slik de skal, og ivaretar personvernet til den enkelte. God IKT-sikkerhet og evne til å håndtere uønskede digitale hendelser er en forutsetning for å oppnå denne tilliten.
Utfordringene i det digitale rommet er grenseoverskridende – på tvers av land, sektorer og virksomheter, og utviklingen går svært fort. Hybride trusler visker ut det tradisjonelle skillet mellom fred og krig og utfordrer tradisjonell ansvarsplassering mellom sivil og militær sektor. Regjeringen ønsker derfor å styrke samarbeidet mellom private og offentlige virksomheter, mellom sivile og militære virksomheter og på tvers av landegrenser. På nasjonalt nivå vil Justis- og beredskapsdepartementet, Forsvarsdepartementet og Utenriksdepartementet ytterligere styrke sitt samarbeid på området.
Lysneutvalget kommer med en rekke anbefalinger for å redusere digitale sårbarheter i samfunnet. Denne meldingen gir en oversikt over status på oppfølgingen av utvalgets anbefalinger. Statusoversikten viser at det er behov for å jobbe parallelt med et bredt spekter av områder innenfor IKT-sikkerhet. Vårt samfunn vil aldri kunne være helt beskyttet mot utfall av eller angrep mot digital infrastruktur og digitale systemer, men vi må evne å iverksette de riktige sikkerhetstiltakene for å redusere risikoen og for å kunne gjenopprette normal funksjon så fort som mulig. Justis- og beredskapsdepartementet vil benytte oversikten til å følge opp departementene i det videre arbeidet med nasjonal IKT-sikkerhet.
Statusoversikten er et sentralt kunnskapsgrunnlag for regjeringens videre arbeid. Regjeringen vil legge vekt på et helhetlig og systematisk arbeid med forebyggende IKT-sikkerhet. Et sentralt tiltak vil være å nedsette et utvalg som skal utrede rettslig regulering på IKT-sikkerhetsområdet. Utvalget skal blant annet utrede behovet for og eventuelt foreslå en nasjonal IKT-sikkerhetslov, med virkeområde utenfor sikkerhetsloven. Utvalget skal også se på organisatoriske spørsmål. Utover dette vil regjeringen etablere og videreutvikle strategiske møteplasser for spørsmål knyttet til nasjonal IKT-sikkerhet og internasjonalt samarbeid, møteplasser som også støtter opp under offentlig–privat samarbeid.
Regjeringen er opptatt av å styrke vår nasjonale evne til å avdekke og håndtere digitale angrep. Videre ønsker regjeringen å legge til rette for god informasjonsdeling og håndtering gjennom etablering og videreutvikling av nasjonalt rammeverk for digital hendelseshåndtering. Justis- og beredskapsdepartementet har tatt initiativ til et arbeid for å bedre samarbeidet og informasjonsflyten knyttet til digital hendelseshåndtering i Norge. Videre er koordineringen mellom Etterretningstjenesten, Nasjonal sikkerhetsmyndighet (NSM), Politiets sikkerhetstjeneste (PST) og politiet for øvrig styrket.
Regjeringen vil legge til rette for en langsiktig oppbygging av IKT-sikkerhetskompetanse gjennom en nasjonal kompetansestrategi for IKT-sikkerhet. IKT-sikkerhet gjelder alle. Ved at de unge tidlig lærer trygg bruk og forstår nødvendigheten av IKT-sikkerhet, legges grunnlaget for at oppvoksende generasjoner har med seg IKT-sikkerhetskompetanse inn i det videre utdanningsløpet og arbeidslivet.
Vårt samfunn består av en rekke kritiske samfunnsfunksjoner som må opprettholdes til enhver tid av hensyn til samfunnets og befolkningens grunnleggende behov. Disse samfunnsfunksjonene forutsetter at man har en IKT-infrastruktur som virker nær sagt overalt og hele tiden. Regjeringen er opptatt av at vi som samfunn har en trygg og pålitelig IKT-infrastruktur. En av hovedanbefalingene fra Lysneutvalget var å redusere avhengigheten av Telenors kjernenett. Regjeringen gjennomfører regulatoriske og økonomiske tiltak for å gjøre de elektroniske ekomnettene mer robuste i takt med utviklingen i trusselbildet og den tekniske utviklingen, og har i Meld. St. 33 (2016–2017) Nasjonal transportplan 2018–2029 prioritert midler til etablering av en pilot for alternativt kjernenett.
2 Bakgrunn, rammer og meldingens innhold
Meld. St. 10 (2016–2017) Risiko i et trygt samfunn ble lagt frem for Stortinget i desember 2016. I meldingen er IKT-sikkerhet trukket frem som ett av regjeringens sentrale områder innenfor samfunnssikkerhet. Meldingen legger særlig vekt på et helhetlig og systematisk arbeid med forebyggende IKT-sikkerhet og vår nasjonale evne til å avdekke og håndtere digitale angrep. Videre vektlegges samfunnets behov for god IKT-sikkerhetskompetanse på alle nivåer og en trygg og pålitelig IKT-infrastruktur. I Meld. St. 27 (2015–2016) Digital agenda for Norge er IKT-sikkerhet og personvern en av hovedprioriteringene i regjeringens IKT-politikk.
I den senere tid er det utarbeidet flere analyser om digitale sårbarheter. Disse bidrar til folkeopplysning og bevisstgjøring, men også til å gi myndigheter og virksomhetsledere et beslutningsgrunnlag for å utforme politikk og tiltak for å redusere sårbarheter.
Et sentralt kunnskapsgrunnlag er NOU 2015: 13 Digital sårbarhet – sikkert samfunn (Lysneutvalget). Utvalget vurderte digitale sårbarheter på flere nivåer – både på et overordnet samfunnsnivå og i tekniske infrastrukturer og systemer. Lysneutvalget gir en rekke anbefalinger for å redusere digitale sårbarheter i samfunnet og i kritiske samfunnsfunksjoner. Utredningen ble overlevert justis- og beredskapsministeren 30. november 2015.
Del III i denne meldingen gir en oversikt over status på myndighetenes vurdering og oppfølging av Lysneutvalgets anbefalinger og en oversikt over prioriteringer i det videre oppfølgingsarbeidet. Justis- og beredskapsdepartementet vil benytte statusoversikten til å følge opp departementene i sivil sektor i det videre arbeidet med nasjonal IKT-sikkerhet.
Statusoversikten i del III viser at det behov for en bred tilnærming til arbeidet med IKT-sikkerhet fremover. Flere sektorer arbeider med samme type utfordringer, for eksempel når det gjelder å utvikle kompetanse innenfor IKT-sikkerhet eller å håndtere en alvorlig digital hendelse. På grunnlag av vurderingene i del III, sammen med eksisterende kunnskapsgrunnlag, utviklingstrekk og utfordringsbilde på området, vil regjeringen vektlegge utvalgte tverrsektorielle områder. Regjeringen mener at disse områdene er av særlig betydning for nasjonal IKT-sikkerhet:
Forebyggende IKT-sikkerhet – virksomheters egenevne
Avdekke og håndtere digitale angrep
IKT-sikkerhetskompetanse
Kritisk IKT-infrastruktur
Regjeringens vektlagte områder og tiltak for å bedre IKT-sikkerheten beskrives i del II. For å lykkes innenfor disse områdene er regjeringen opptatt av å styrke offentlig–privat, internasjonalt og sivilt–militært samarbeid, som omtales nærmere i kapittel 5.
I tillegg til tiltak som fremgår av denne meldingen, følger regjeringen opp NOU 2016: 19 Samhandling for sikkerhet. Sammenlignet med gjeldende sikkerhetslov, vil forslagene i denne utredningen på flere måter kunne løfte den nasjonale IKT-sikkerheten. Flere virksomheter utenfor offentlig sektor blir underlagt loven. Virksomheter som er underlagt loven, plikter å sørge for et forsvarlig sikkerhetsnivå for alle informasjonssystemer som er av kritisk betydning for grunnleggende nasjonale funksjoner. For nærmere omtale, se punkt 6.1.
3 Utviklingstrekk og betydningen av IKT-sikkerhet
Det er høye forventninger til at digitale tjenester tilbys og er tilgjengelige hele tiden, samtidig som tjenestene skal være robuste og motstå trusler og farer. Svikt eller sikkerhetsbrudd kan inntreffe i en kombinasjon av flere forhold. Det kan være tilsiktede handlinger og forsøk på misbruk så vel som menneskelig svikt, feil i utstyr eller uklar organisering. Sentralt for å håndtere krevende og sammensatte hendelser er kompetanse. Etterspørselen etter IKT-sikkerhetskompetanse har økt.
Mange utfordringer knyttet til IKT-sikkerhet utvikler seg raskere enn offentlige og private virksomheter klarer å respondere. I årene som kommer, vil vi møte stadig større og mer komplekse sikkerhetsutfordringer. IKT-infrastruktur og -systemer blir mer globale, omfattende og integrerte. Flere enheter kobles til internett. Skyløsninger brer om seg både i det private og i jobbsammenheng. Behovet for å redusere kostnader og tilgang til kompetanse, gjør at flere IKT-funksjoner settes ut til tredjepart, særlig i lavkostland. Utviklingen skaper avhengigheter og sårbarheter som går på tvers av sektorer, ansvarsområder og landegrenser.
Trusselvurderinger forteller at fremmede stater er villige til å bruke en rekke virkemidler for å få tilgang til sensitiv og skjermingsverdig informasjon og for å påvirke politiske, økonomiske og forvaltningsmessige prosesser og beslutninger. De samme virkemidlene benyttes også av nasjonale og internasjonale kriminelle aktører. Det digitale rommet, i kombinasjon med informasjonstilfanget, skaper også muligheter for påvirkningsoperasjoner i et omfang og med en effekt som vi kanskje aldri før har sett.
IKT-sikkerhet innebærer å være bevisst hele spekteret av digitale sårbarheter. IKT-sikkerhet omfatter både tekniske og administrative sikringstiltak og innebærer beskyttelse av både IKT-systemer og informasjonen i disse. IKT-sikkerhet handler derfor om beskyttelse av «alt» som er sårbart fordi det er koblet til eller på annen måte avhengig av informasjons- og kommunikasjonsteknologi. Begrepet IKT-sikkerhet brukes i denne meldingen synonymt med begrepet cybersikkerhet.
Integritet, konfidensialitet og tilgjengelighet er viktige sikkerhetsmål når det gjelder å ivareta IKT-sikkerhet:2
Konfidensialitet innebærer at informasjon ikke avsløres for uvedkommende, og at kun autoriserte personer får tilgang til den.
Integritet innebærer at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig og et resultat av autoriserte og kontrollerte aktiviteter.
Tilgjengelighet innebærer at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov.
Den enkelte virksomhet vil vekte de ulike målene ulikt ut fra hvilket formål virksomheten har eller skal understøtte, og hvilke krav og risikobilde den må forholde seg til. Et virkemiddel for å nå sikkerhetsmålene er sporbarhet, for å ha oversikt over hvem som har vært inne i systemer, og hvem som har håndtert eller endret informasjon. Sporbarhet blir stadig viktigere gitt utviklingstrekkene knyttet til påvirkningsoperasjoner og andre uønskede digitale hendelser.
God IKT-sikkerhet er nødvendig for at hverdagen skal fungere godt. Tjenester som bank, handel og helse er flyttet over på digitale plattformer. De fleste bedrifter er avhengig av digitale tjenester i sin produksjon av varer og tjenester.
4 IKT-sikkerhet og personvern
Personvern er en viktig del av retten til respekt for privatlivet – en fundamental menneskerettighet beskyttet i både Grunnloven, Den europeiske menneskerettighetskonvensjonen og FNs konvensjon om sivile og politiske rettigheter. NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet (Personvernkommisjonen) definerte personvern slik:
Personvern dreier seg om ivaretakelse av personlig integritet; ivaretakelse av enkeltindividers mulighet for privatliv, selvbestemmelse (autonomi) og selvutfoldelse.
Lysneutvalget fremhevet at i en digital sammenheng har beskyttelse av personopplysninger en særlig viktig rolle i personvernet. Personvernkommisjonen definerer begrepet slik:
Personopplysningsvern dreier seg om regler og standarder for behandling av personopplysninger som har ivaretakelse av personvern som hovedmål. Reglenes formål er å sikre enkeltindivider oversikt og kontroll over behandling av opplysninger om dem selv. Med visse unntak skal enkeltpersoner ha mulighet til å bestemme hva andre skal få vite om hans/hennes personlige forhold.
Det er myndighetenes ansvar å ivareta menneskerettighetene og å sørge for sikkerhet og trygghet for befolkningen. Ivaretakelse av personvernet og opprettholdelse av et sikkert samfunn er derfor prioriterte oppgaver for regjeringen.
God IKT-sikkerhet er en forutsetning for ivaretakelsen av personvernet. I både nasjonalt og internasjonalt regelverk om beskyttelse av personopplysninger, finnes det derfor bestemmelser om IKT-sikkerhet. Datatilsynet skriver i sin høringsuttalelse til Lysneutvalgets utredning blant annet at hensynene til personvern og IKT-sikkerhet ofte følger hverandre, og at de vanskelig kan se for seg et godt personvern uten gode sikkerhetsmekanismer i dagens digitale hverdag. Personvern og IKT-sikkerhet henger altså fundamentalt sammen. Når det gjelder gjennomføringen av konkrete sikkerhetstiltak, for eksempel logging i IKT-systemer, kan det likevel oppstå behov for avveining mellom de to hensynene.
Ivaretakelsen av personvernet er en forutsetning for en vellykket digitalisering i samfunnet. Effektiv bruk av IKT styrker næringslivets konkurranseevne og øker samfunnets totale produktivitet.3 Regjeringen ønsker å utnytte disse fordelene ved å legge til rette for videre digitalisering av samfunnet. Da må vi være bevisst digitaliseringens utfordringer. Blant de større utfordringene er nettopp ivaretakelsen av personvernet, som gjennom digitaliseringen blir satt på stadig nye prøver. Godt personvern er nøkkelen til at brukerne skal ha tillit til digitale løsninger.
Samtidig som vektleggingen av personvern øker, ser vi ulike former for frivillig avståelse av slikt vern. Privatpersoner gir for eksempel fra seg personopplysninger i bytte mot gratis tjenester. Gratis e-post, søkemotorer, spill og sosiale medier er basert på denne modellen. De fleste mobiltelefoner sender opplysninger om brukerens bevegelser, bosted, jobbadresse og personlige gjøremål. Bruken og behandlingen av disse dataene er derfor viktig både i et personvern- og i et IKT-sikkerhetsperspektiv. Det hviler et ansvar på de som samler og behandler personopplysninger, for å sikre at disse dataene ikke blir misbrukt eller kommer på avveie.