NOU 2015: 13

Digital sårbarhet – sikkert samfunn — Beskytte enkeltmennesker og samfunn i en digitalisert verden

Til innholdsfortegnelse

Del 3
Sårbarheter i kritiske samfunnsfunksjoner

11 Elektronisk kommunikasjon

Samhandling og utveksling av informasjon foregår i stadig større grad gjennom elektronisk kommunikasjon. Internett blir brukt til e-post, publisering og innhenting av informasjon og til interaktive e-tjenester som e-forvaltning, e-handel og nettbank. IKT-systemer og nettverk danner basis for prosesstyring og overvåking av installasjoner på norsk kontinentalsokkel, av kraftverk, vannverk og etter hvert de fleste deler av industrien.

Ekom er en innsatsfaktor i all vare- og tjenesteproduksjon og økonomisk virksomhet. Helsevesen, betalingstjenester, stat, kommune og ordensmakt er avhengige av at den elektroniske kommunikasjonen fungerer. Innovasjon og utvikling av nye tjenester som er basert på støtte fra telekommunikasjon, gjør denne avhengigheten enda sterkere.

De verdiene og funksjonene som ekomnett og -tjenester leverer, er en helt sentral forutsetning for at andre samfunnsfunksjoner skal kunne levere det de skal. Samtidig er det en stadig økende forventning i samfunnet om at ekom som innsatsfaktor er stabil og tilgjengelig. 100 prosent oppetid tas mer eller mindre for gitt, og det er meget lav aksept for brudd.

Privatpersoner og organisasjoner har fått sin portal til offentlige myndigheter gjennom norge.no. Så viktig er Internett blitt at også sosialt samkvem i stor grad nå skjer via sosiale medier og online-spill. Mange norske bedrifter bekrefter at noen få dager uten Internett vil være katastrofalt for virksomheten.1

Samfunn og næringsliv er i stor grad avhengige av ekom også i krisesituasjoner. Erfaringene fra hendelser der ekom har sviktet, viser at kritiske samfunnsfunksjoner som kriseledelse, nød- og redningstjeneste er avhengige av ekomtjenester som en innsatsfaktor for å ivareta befolkningens behov. Også Forsvaret er avhengig av sivil ekom i samvirket med totalforsvaret og i forbindelse med logistikkstøtte og drift.

11.1 Ekominfrastruktur

Ekom er en forkortelse for «elektronisk kommunikasjon» og defineres i lov om elektronisk kommunikasjon, ekomloven, som «kommunikasjon ved bruk av system for signaltransport som muliggjør overføring av lyd, tekst, bilder eller andre data ved hjelp av elektromagnetiske signaler i fritt rom eller kabel der radioutstyr, svitsjer, annet koplings- og dirigeringsutstyr, tilhørende utstyr eller funksjoner inngår».

Ekomtjenester er tjenester som formidler signaler i ekomnett, for eksempel TV, taletjenester eller Internett. Som brukere forholder vi oss oftest til taletjenester og ulike distribuerte dataprogrammer som krever kommunikasjon for å fungere. Eksempler på det siste kan være alt fra enkle applikasjoner på mobilen til systemer som kontrollerer kritiske produksjonsprosesser for industrien. Ekomtjenestene må ha en infrastruktur av nettverk og nettverkskomponenter for å fungere.

På Internett kommuniserer alle tilknyttede enheter ved hjelp av en felles protokoll – IP (Internet Protocol). Andre store nettverk (for eksempel de tradisjonelle telenettene) har benyttet andre protokoller, men vi ser at stadig flere systemer migrerer mot IP. Selv om IP er standardisert, er det en kontinuerlig utvikling av utstyret som kobles på Internett, og utskifting av komponenter i selve nettet for å tilfredsstille krav til stabilitet, sikkerhet, kapasitet og effektivitet.

De grunnleggende elementene som til sammen utgjør ekominfrastrukturen, er kjernenett, regionalnett, aksessnett, tjenestenett og drifts- og støttesystemer. Dette er illustrert i figur 11.1.

Selv om vi beskriver ekomnettet i entall, eksisterer det i virkeligheten flere mer eller mindre uavhengige ekomnett. Disse er igjen i større eller mindre grad integrert med hverandre. De ulike nettene vil i varierende grad inneholde alle elementene i figur 11.1.

Figur 11.1 Ekominfrastruktur.

Figur 11.1 Ekominfrastruktur.

Kilde: Oslo Economics.

Figuren illustrerer forbindelsen mellom brukeren og ekomtjenesten. Kjernenettet løser trafikkbehovet mellom større byer og regioner, regionalnettet løser trafikkbehovet innad i større byer og regioner, mens aksessnettet knytter utstyret hos brukeren til regionalnettet. Kjernenettet har nødvendigvis større kapasitet enn regionalnettet og aksessnettet. De ulike begrepene blir brukt ulikt innenfor sektoren, men utvalget har valgt følgende definisjoner i denne rapporten:

Kjernenettet2 er den landsdekkende «motorveien» for tele- og datakommunikasjon. Kjernenettet består av overføringssystemer med stor kapasitet, fiberkabel og i noen tilfeller radiolinje. Kjernenettet knytter sammen regionalnettene og er forbindelsen mellom de store byene eller knutepunktene.

Regionalnettene3 er «riksveiene» for tele- og datakommunikasjon. Regionalnettene knytter aksessnettet og kjernenettet sammen gjennom flere sentraler som samler opp trafikk fra aksessnettene. Regionalnettene dekker en region – for eksempel et fylke eller en stor by.

Transportnettet er en kombinasjon av kjernenett og regionalnett.

Aksessnettene knytter forbindelse mellom den enkelte sluttbrukeren og transport- og tjenestenettene. De faste aksessnettene kan være fiber, koaks eller kobber, og sender trafikk mellom sluttbrukeren og nærmeste sentral i regionalnettet. Mobilnettene er en type aksessnett med trådløs forbindelse mellom basestasjoner og brukernes mobiltelefoner. Den enkelte basestasjonen dekker et lite geografisk område, og hver basestasjon er knyttet til den faste delen av ekomnettet med en fast linje eller en radiolinje. Basestasjoner består grovt sett av to elementer: antenner som sender og mottar signalene, og et skap med utstyr som behandler signalene.

For at en tilbyder av mobilnett skal kunne dekke hele landet, kreves det et aksessnett med flere tusen basestasjoner.

Tjenestenett er ikke selvstendige fysiske overføringsnett, men kan benytte ulike typer infrastruktur som også brukes til andre typer tjenester. Disse benytter det samme transportnettet for å formidle informasjon mellom et antall tjenestenoder. Fasttelefonnettet og mobiltelefonnettene er eksempler på tjenestenett. Tjenestenettene består av diverse systemer og utstyr som er nødvendig for å levere de ulike tjenestene.

Transmisjon er den tjenesten som leveres av kjernenett og regionalnett i fellesskap. Et landsdekkende sett av basestasjoner trenger derfor transmisjon for å kunne levere mobiltelefoni.

Drifts- og støttesystemene er IKT-systemer som overvåker og styrer ekomnett og tjenestenett. Drifts- og støttesystemene er en kritisk del av infrastrukturen og er ofte felles for flere funksjoner i nettet. Det er en tendens at funksjonene sentraliseres og styres ved hjelp av elektronisk kommunikasjon. Mange av komponentene er derfor avhengige av at nettene fungerer, for å kunne fungere normalt.

En node er i IKT-sammenheng betegnelsen på en enhet i et nettverk. Det kan være for eksempel en ruter, en server eller en svitsj.

En svitsj er et apparat som mottar signaler fra en rekke inngående linjer og sender dem videre etter bestemte regler. Klassisk telefoni er et typisk eksempel på et nettverk som er avhengig av svitsjer. Her brukes svitsjer for å koble en midlertidig krets mellom samtalepartnere (linjesvitsjing). I datakommunikasjon deles strømmen av digitale data opp i pakker med avgrenset lengde, som alle inneholder informasjon om opphavet og hvor de skal (pakkesvitsjing). Svitsjer i telefonnettet kalles vanligvis telefonsentraler.

11.1.1 Robusthet i infrastrukturen

Når man snakker om robusthet i ekomnettene, er det særlig to begreper som er sentrale: redundans og fremføringsdiversitet. Redundans oppnås ved å ha flere maskiner eller strukturer som kan levere samme tjeneste, i noen tilfeller også ved å ha maskiner på flere lokasjoner. Maskinene kan opereres uavhengig av hverandre og overtar for hverandre dersom det skulle oppstå svikt i én av dem. Dette reduserer faren for utfall av nettet ved tekniske feil eller elektroniske eller fysiske angrep på nettverksutstyr i en node. Fremføringsdiversitet er en form for redundans (et «sub-set» av redundans), Med fremføringsdiversitet menes fysisk adskilte føringsveier for infrastrukturen. Dette reduserer faren for utfall av nettet ved naturhendelser, graveskader eller fysiske angrep på infrastrukturen. Fremføringsdiversitet kan enten oppnås gjennom parallelle føringsveier eller gjennom ringstruktur i infrastrukturen. Ringstrukturens funksjon er illustrert i figur 11.2. Kommunikasjonen mellom sentralene A–E går normalt én vei i en ringstruktur i kjernenettet. Ved brudd i ringen kan trafikken legges om slik at den samme kapasiteten benyttes, men nå i begge retninger.

Figur 11.2 Ringstrukturens funksjon.

Figur 11.2 Ringstrukturens funksjon.

Kilde: DSB.

Brudd i kjernenett eller systemfeil i en sentral ruter kan få store konsekvenser for store deler av befolkningen. Brudd i aksessnett eller feil i en CE-ruter vil bare få lokale konsekvenser for et begrenset antall sluttbrukere. Ettersom trafikkonsentrasjonen er størst i denne delen av infrastrukturen, er kjernenettet bygd med høy grad av robusthet, og det er samtidig dimensjonert med høy kapasitet. Robustheten avtar når man beveger seg ut i regionalnettet og aksessnettet mot sluttbrukerne.

11.1.2 Kjerne- og transportnett

Det finnes flere virksomheter i Norge som eier fiberinfrastruktur, men det er kun Telenor og Broadnet som har landsdekkende transportnett på land. Begge disse nettene utgjør en kritisk infrastruktur i ekomsektoren, siden all type trafikk som telefoni, mobiltelefoni, bredbånd, nødnettsamband, fjernsyn og så videre går via disse nettene. En del av infrastrukturen til Telenor og Broadnet er fremført i felles traseer. Dette kan være en faktor som svekker robustheten i nettet.

I kjernenettet til Telenor er redundansen ivaretatt ved at det er to parallelle, fysisk og logisk adskilte nett, samt at deler av nettet har ringstruktur. Ringstrukturen gir en ekstra grad av redundans og robusthet. Dersom ringen brytes, vil trafikken kunne rutes motsatt vei. I tillegg finnes det delvis et reservenett som tas i bruk ved utfall av det ordinære nettet. I regionalnettet er redundansen i infrastrukturen også ivaretatt ved hjelp av ringstrukturer. Foruten redundansen i føringsveiene er kritiske nettverkselementer som rutere/svitsjer duplisert for å øke robustheten i tilfelle feil i maskinvarer. I tillegg er noder (sentraler med rutere/svitsjer/servere) i nettet utstyrt med reservestrømløsninger, enten batteri eller nødstrømsaggregat, for å kunne sikre fortsatt drift ved utfall i strømnettet.

Altibox har etablert sitt eget høykapasitetsnett over langtidsleie av mørk fiber, som så langt dekker 17 av 19 fylker. Mye av infrastrukturen er leid av egne partnere i Altibox. Altibox knytter sammen nettene sine uten å gå via Telenor, men tilbyr foreløpig ikke operatør-transmisjons produkter utover standard lag 2 og 3 bedriftsprodukter. Partnerkonseptet til Altibox innebærer at det bygges fibernett i en rekke regioner hvor lokal partner har ansvar for utbygging og installasjon, i hovedsak lokale elektrisitetsverk. Altibox leverer komplette forretnings- og operasjonelle støttesystemer, teknologisk nettverksdesign og bredbåndsprodukter til partnerne.

Det finnes også et landsdekkende transportnett som benyttes til kringkasting. Nettet eies og drives av Norkring, som er et heleid datterselskap av Telenor. Tradisjonelt har fjernsyns- og radiosignaler utelukkende vært distribuert over kringkastingsnettet, men i dag suppleres dette i økende grad med digital overføring gjennom ekomnettene.

11.1.3 Aksessnett

Et aksessnett knytter sluttbrukeren til transmisjons- og transportnettet og derigjennom til tjenestetilbyderne. Det finnes flere forskjellige typer aksessnett, både faste og trådløse. Gjennom aksessnettet kan en sluttbruker få tilgang til ulike tjenester som telefoni, fjernsyn, radio og Internett.

For faste aksessnett finnes det kobberledninger, koaksialkabler og optisk fiber. Optisk fiber til bruk for aksessnett er i større grad blitt utbygd de senere årene, særlig i tettbebygde og urbane strøk. Dette nettet har betydelig større båndbredde enn aksessnett basert på kobberledninger og koaksialkabler.

Det er planer om å fase ut det linjesvitsjede PSTN-systemet4, slik at verken analog fasttelefoni eller digital ISDN-telefoni5 vil være tilgjengelig om noen år. Årsaken til den planlagte utfasingen er redusert etterspørsel etter tjenester basert på PSTN/ISDN-teknologien og at mobiltelefoni og VoIP6(telefoni over IP-nettverk) i økende grad har tatt over markedsandeler. En annen viktig årsak er manglende tilgang på reservedeler, support og teknisk personell.

11.1.4 Mobilnett

Trådløse nett er systemer som bruker radiosignaler til kommunikasjon i aksessnettet. Mobilnettene, som er eksempler på trådløse aksessnett, tilbyr mobiltelefoni- og dataoverføringstjenester. Telenor og TeliaSonera (Netcom) er de største aktørene på dette området. Per i dag er GSM (2. generasjon mobilnett) fullt utbygd og har dekning så godt som alle steder der folk bor. UMTS (3. generasjon mobilnett) er også utbygd, men har lavere dekningsgrad enn GSM-nettet. LTE (4. generasjons mobilnett) er fortsatt under utbygging. Foruten å tilby mobiltelefonitjenester blir mobilnettet i dag i økende grad brukt til overføring av datatrafikk. ICE er på vei inn i dette mobiltelefonimarkedet som en tredje aktør. De vil i løpet av 2015 starte utbyggingen av et rent LTE-basert mobilnett.

11.1.5 Satellittkommunikasjon

Satellittbasert kommunikasjon er med sine særskilte egenskaper et svært viktig element i den totale ekominfrastrukturen, spesielt for et land som Norge med tilhørende topografi, geografisk utstrekning og ressursforvaltningsinteresser fra Antarktis til Arktis. Se kapittel 12 «Satellittbaserte tjenester».

11.1.6 Kommunikasjonsinfrastruktur på norsk sokkel

Satellittkommunikasjon var opprinnelig eneste kommunikasjonsmåte offshore og er fortsatt viktig for oljevirksomheten. Ikke minst er den viktig som reserveløsning for å skape redundans. I dag fremstår Tampnet og MCP (Maritime Communications Partner) som viktige infrastrukturleverandører. Kabelutbyggingen er drevet frem av det behovet olje- og gassoperatørene har for stadig mer datakapasitet.

Tampnets infrastruktur leverer høyhastighets båndbredde til offshore olje- og gassinstallasjoner på norsk og britisk side av Nordsjøen. Deres infrastruktur tilbyr raskeste vei ut av Norge til Europa, uten å gå via Sverige. Infrastrukturen består av undersjøiske fiberkabler, radiolinjer og LTE 4G og har fire landingspunkter i Norge og to i Storbritannia. Nettverket er lukket, og det er ikke direkte koblet til Internett.

MCP (Maritime Communications Partner) er en fullverdig mobiloperatør, i motsetning til Tampnet, som til nå har vært aktør med fiberbaserte datatjenester. MCP opererer på alle sju hav, og har båter med sin løsning over hele verden. I 2013 hadde MCP 20 millioner unike brukere i nettet. Tampnet vil tilby mobilaktører å roame i sitt nettverk i Nordsjøen, noe som betyr at flere mobilaktører vil tilby sine tjenester i Nordsjøen, og ikke bare MCP.

11.1.7 Nødnett

Nødnett er det nye digitale radiosambandet for nød- og beredskapsetater. Det er basert på TETRA-standarden og opererer ved 380–400 MHz. Dette frekvensområdet er reservert for nødsamband i hele Europa. Nødnett er primært et talesamband for gruppekommunikasjon, og muliggjør blant annet kryptert kommunikasjon på tvers av nødetater. Ved siden av talekommunikasjon er det mulighet for utveksling av tekstmeldinger (SDS) og dataoverføring med begrenset hastighet. Ved bruk av TEDS-funksjonalitet i TETRA, som tilsvarer GPRS/EDGE i GSM, kan dataoverføringer gjennomføres med realistisk hastighet opp mot cirka 80 kbit/s. Det pågår for tiden uttesting av TEDS. På lengre sikt vil det kanskje være mulig å integrere TETRA og LTE, noe som vil gi en langt bedre dataoverføringshastighet enn dagens løsninger. Digitalt nødnett kjøper transmisjon og transport fra tredjeparter.

Figur 11.3 viser ringstrukturen som nødnettet er bygd med, og som bidrar til en ekstra redundans. Nødnettet skal etter planen være ferdig utbygd innen utgangen av 2015.

Figur 11.3 Digitalt nødnett.

Figur 11.3 Digitalt nødnett.

Kilde: DNK.

11.1.8 Internett

Forløperen til Internett var et forskningsnett som ble kalt ARPANET og opprinnelig var et militært nettverk. Protokoller for utveksling av filer ble utviklet, og med protokollen IP ble det mulig å koble sammen nettverk. I 1972 ble Norge koblet til ARPANET. Norge var dermed det første landet utenom USA som kom til å bruke ARPANET.7

Standarder og protokoller utviklet over tid gjorde at geografisk spredte nett vokste frem til det vi i dag kjenner som Internett, et nettverk av nettverk som går på tvers av landegrenser og nasjonale ekominfrastrukturer – uten noen overordnet styring. I dag finnes det tjenester for utveksling av informasjon, informasjonssøk, nedlasting og opplasting av data, og sammenstilling og analyse av informasjon. Datamaskiner kommuniserer med hverandre over Internett, og algoritmer (matematiske regler) bestemmer reaksjonsmønsteret.

Utviklingen har gjort det mulig for globale aktører å utvikle skytjenester der store serverparker kan levere tjenester og prosessorkapasitet til det globale markedet på tvers av nasjonale grenser (se punkt 23.7«Utkontraktering og skytjenester»). Om vi ser tilbake, er skyen egentlig en videreføring av opprinnelsen til Internett, der ressurstilgang og økonomi la grunnlaget for sammenkobling av datamaskiner. Ringen er dermed på en måte sluttet, og en ny utviklingsspiral trer frem med innovasjon av innholdstjenester basert på Internettet.

Det tidligere tjenesteskillet mellom tale, tekst, bilde og data er i ferd med å forsvinne helt. Alle tjenestene leveres etter hvert på samme vis (over IP) og tilbys som en applikasjon på mobiltelefonen, nettbrettet, PC-en og så videre. Tjenestene kombineres på helt nye måter, og det blir vanskelig å skille dem fra hverandre. Mange av tjenestene blir i økende grad også tilbudt fra globale innholdsleverandører som Google, YouTube og Facebook. Valgmulighetene blir flere, og det blir enklere for sluttbrukerne å kommunisere på flere måter. Kommunikasjonsform vil i større grad avhenge av kontekst og hensikt, uten at brukerne må gjøre veldig bevisste valg.8

11.2 Roller og ansvar

Samferdselsdepartementet (SD) har det overordnede ansvaret for ekomsektoren. SD er nærmere omtalt i kapittel 8 «Organisering av roller og ansvar».

Nasjonal kommunikasjonsmyndighet (Nkom) er underlagt SD og har ansvar for å forvalte ekomloven og føre tilsyn med ekomtilbydere. Nkom har videre ansvar for koordinering og rapportering ved uønskede hendelser som rammer ekomnett eller -tjenester for markedsregulering av tilbydere og frekvensforvaltning. Nkom arbeider også med forebyggende IKT-sikkerhet gjennom nettstedet nettvett.no.

Direktoratet for nødkommunikasjon (DNK) har ansvaret for utbyggingen av et digitalt nødnett i Norge. Direktoratet ble opprettet 1. april 2007 og er underlagt Justis- og beredskapsdepartementet.

Utenriksdepartementet (UD) har en viktig rolle i forbindelse med internasjonale arenaer der blant annet Internetts styring og fremtid blir drøftet.

Sivilt–militært samarbeid

Forsvarets kommunikasjonsinfrastruktur (FKI) er et landsdekkende nett med kommunikasjonstjenester. Den underliggende infrastrukturen som dette bygges på er imidlertid under endring og er delvis eid av private aktører. Dette nettet dekker Forsvarets behov for teletjenester internt i Forsvaret og til noen viktige sivile beredskapsaktører, men for omfattende sivilt–militært samhandling er Forsvaret også avhengig av sivile ekomtjenester. FKI har totalt om lag 50 000 brukere. Forsvaret har tidligere drøftet spørsmålet om å sette bort og selge deler av FKI til andre offentlige etater eller til private selskaper. I anledning effektivisering og modernisering av FKI er det spørsmål om enkelte radiolinjestasjoner, som også støtter sivile behov i dag, fortsatt skal driftes selv om Forsvaret ikke lenger trenger dem i den moderniserte militære infrastrukturen. Fra sivil side er det en bekymring at Forsvaret bygger ned denne infrastrukturen, fordi sivile basestasjoner og utstyr kan være montert på samme radiolinjetårn.

Internasjonalt samarbeid

Innenfor EØS-området er reguleringen av ekommarkedene relativt lik. Krav til sikkerhet og beredskap er imidlertid et nasjonalt anliggende. Norsk regulering på feltet vil i europeisk sammenheng lettest kunne sammenlignes med øvrige nordiske og i en viss grad nordeuropeiske land, der graden av digitalisering er høy og den samfunnsmessige avhengigheten stor. Dette reflekteres generelt i strengere krav til sikkerhet og beredskap. Ellers er aktørbildet innenfor EØS-området kjennetegnet av samme status med en bredspektret blanding av store aktører, gjerne, men ikke nødvendigvis, tidligere monopolister, og en lang rekke mindre og mellomstore utfordrere.

Styring av Internett og Norges påvirkningsmulighet

Internet Assigned Numbers Authority (IANA) er ansvarlig for global koordinering av rotservere for domenenavn, IP-adressering og andre protokollressurser, og er organisert under The Internet Corporation for Assigned Names and Numbers (ICANN). ICANN er en global privat flerinteressentorganisasjon som styrer forvaltningen av de globale Internett-ressursene. Amerikanske myndigheter har et kontraktsforhold med ICANN, men vurderer å avslutte kontrakten for utførelse av IANA-funksjonene. ICANN fasiliterer derfor en prosess der verdenssamfunnet kommer sammen og utarbeider forslag til en ny styringsmodell. Norge ved Nkom deltar i arbeidsgruppen. I tillegg deltar blant annet representanter for .com, .shop og lignende domener. USA har stilt en del betingelser for løsningen man skal komme frem til: Løsningen skal blant annet støtte og forsterke flerinteressentperspektivet, man skal beholde sikkerhet, robusthet og stabilitet i domenenavnsystemet, og man skal imøtekomme krav til åpenhet, forventninger og behov hos de globale kundene.

International Telecommunication Union (ITU) ligger i Sveits og er FNs globale spesialorgan for telekommunikasjon med 193 medlemsland. Norge har vært med helt fra starten. ITU er delt i tre byråer, som arbeider med henholdsvis radio, standardisering og utvikling. ITU er viktig blant annet for frekvensforvaltning. Hvert fjerde år holder ITU en fullmaktskonferanse, den nittende ble avholdt i 2014. Fra Norge deltok representanter fra Samferdselsdepartementet, Utenriksdepartementet, Nasjonal kommunikasjonsmyndighet, Telenor og Norid.

Forvaltningen og styringen av Internett debatteres internasjonalt, og diskusjonen er blitt intensivert og aktualisert de siste to–tre årene. Det internasjonale samfunnet har en stor utfordring når det gjelder å enes om prinsipper og veien videre for utvikling og styring av det fremtidige Internettet. Nkom deltar aktivt internasjonalt som forvalter av Internett-ressurser og tilsynsmyndighet for infrastruktur for elektronisk kommunikasjon, for å fremme norske interesser. Sikkerhet og stabilitet for Internett globalt inngår i Nkoms forvaltningsansvar gjennom å være norsk representant i Governmental Advisory Committee (GAC) i ICANN. Nkom er ansvarlig for å ivareta nasjonale interesser innen effektiv ressursforvaltning av Internett-ressurser som domenenavn og IP-adresser, som også innebærer å være pådriver sammen med andre lands myndigheter og andre private interessenter for ivareta sikkerhet og stabilitet for domenenavnsystemet.

Med hjemmel i ekomloven og domeneforskriften § 9 har Nkom tilsynsansvar for Uninett Norid AS (Norid). Norid har ansvar for drift av vår nasjonale del av domenenavnsystemet, landkode-toppdomenet .no. Nkom har vedvarende dialog med Norid vedrørende utvikling og forvaltning av nasjonale domenenavnresurser.

11.3 Hjemmelsgrunnlag og tilsynsvirksomhet

Lov om elektronisk kommunikasjon (ekomloven)9 regulerer kommersielle ekomtilbydere i Norge, og er grunnlaget for reguleringen av den nasjonale kommunikasjonsinfrastrukturen. Samferdselsdepartementet er sammen med Nkom myndighet etter ekomloven. Nkom har ansvar for tilsyn når det gjelder lovens virkeområde både på fastlandet og på norsk sokkel. Nkom fører tilsyn med tilbydere av elektroniske kommunikasjonsnett og -tjenester (ekomtilbydere), domeneinfrastruktur og utstedere av kvalifiserte sertifikater for esignatur.

Formålet med loven er å sikre brukerne i hele landet gode, rimelige og fremtidsrettede elektroniske kommunikasjonstjenester gjennom effektiv bruk av samfunnets ressurser ved å legge til rette for bærekraftig konkurranse og stimulere til næringsutvikling og innovasjon.

Loven gjelder virksomhet knyttet til elektronisk kommunikasjon og tilhørende utstyr. Forvaltning og bruk av det elektromagnetiske frekvensspekteret og nummer, navn og adresser er omfattet. Det samme gjelder all utstråling av elektromagnetiske bølger fra elektronisk kommunikasjon og all utilsiktet utstråling av elektromagnetiske bølger som kan forstyrre elektronisk kommunikasjon. Loven gjelder også for norske skip og luftfartøy og for anlegg og innretninger av enhver art som har tilknytning til petroleumsvirksomhet på kontinentalsokkelen, og for utnyttelse av fornybare energiressurser til havs innenfor havenergilovens virkeområde.

Nkom har flere tilsynsområder som følges opp mot forskjellige aktører i ekommarkedet. I tillegg til markedstilsynsrollen kan vi nevne teknisk tilsyn med markedet for radio- og teleterminalutstyr, i tillegg til frekvensbruk, bygging og drifting av nett og i sterkt økende grad forhold knyttet direkte til sikkerhet og beredskap i nett.

NSM fører også tilsyn etter sikkerhetsloven og objektsikkerhetsforskriften. Det direkte tilsynsansvaret med objekter i ekominfrastruktur som er utpekt som skjermingsverdige etter objektsikkerhetsforskriften, ligger hos Nkom.

Sikkerhet og beredskap

Ekomloven § 2-10 gir nærmere bestemmelser om sikkerhet og krav til beredskap. Første ledd inneholder de overordnede kravene, og her angir ordlyden «forsvarlig sikkerhet» den normen som tilbyderne til enhver tid skal oppfylle. Tilbyderne skal selv dekke kostnadene knyttet til å oppfylle krav i dette leddet.

I henhold til andre ledd kan myndigheten treffe enkeltvedtak eller inngå avtale om at tilbyderen skal gjennomføre tiltak for å sikre oppfyllelse av nasjonale behov for sikkerhet, beredskap og funksjonalitet i elektronisk kommunikasjonsnett og -tjeneste utover det som følger av første ledd. Tilbyderens merkostnader ved levering av slike tiltak skal kompenseres av staten.

Nkom kan, som tilsynsmyndighet, utføre tilsyn og pålegge tilbyderne å sette i verk tiltak for å sikre at kravene som er nevnt ovenfor, blir ivaretatt. Tilbyderne kan nektes tilgang til markedet dersom det er nødvendig av hensyn til offentlig sikkerhet, helse eller andre særlige forhold.

I tillegg er det innført en klassifiseringsordning for nettutstyr i henhold til klassifiseringsforskriften10 som har til hensikt å sikre nettutstyr i anlegg mot uønsket ytre fysisk påvirkning. Sentralt i klassifiseringsforskriften er bestemmelsen som krever at tilbydere av ekomnett gjennomfører en helhetlig risiko- og sårbarhetsvurdering knyttet til anleggene sine og sørger for at anlegg i de ulike klassene er forsvarlig sikret i samsvar med denne vurderingen.

Basert på både øvelser, hendelser og egne ROS-analyser gjennomfører Nkom i økende grad tilsyn med forhold knyttet til oppfølging av krav til sikkerhet og beredskap. De siste to årene har det vært gjennomført varslet stedlig tilsyn med de to største tilbyderne knyttet til hele spekteret av relevant regelverk. I tillegg har det vært gjennomført særskilte dokumentbaserte tilsyn med de sju største tilbyderne knyttet til varslingsplikten.11 Avvik og mangler følges opp gjennom vedtak og rapportering.

Kommunikasjonsvern

Etter ekomloven § 2-7 har en tilbyder plikt til å gjennomføre nødvendige sikkerhetstiltak til vern av kommunikasjon i egne elektroniske kommunikasjonsnett og -tjenester. Trafikkdata skal slettes eller anonymiseres så snart de ikke lenger er nødvendige for kommunikasjons- eller faktureringsformål, med mindre noe annet er bestemt i eller i medhold av lov. Annen behandling av trafikkdata krever samtykke fra brukeren.

Taushetsplikt

Etter ekomloven § 2-9 har en tilbyder plikt til å bevare taushet om innholdet av og andres bruk av elektronisk kommunikasjon, herunder opplysninger om tekniske innretninger og fremgangsmåter. Tilbyderen plikter å gjennomføre tiltak for å hindre at andre enn de som opplysningene gjelder, får anledning til selv å skaffe seg kjennskap til slike opplysninger. Opplysningene kan heller ikke benyttes i egen virksomhet eller i tjeneste eller arbeid for andre, med unntak av statistiske opplysninger om nettrafikk som er anonymisert, og som ikke gir informasjon om innretninger eller tekniske løsninger.

Taushetsplikt gjelder også for alle som utfører arbeid eller tjenester for tilbydere av elektroniske kommunikasjonsnett eller -tjenester, installatører, tekniske kontrollorganer eller myndighetene, også etter at vedkommende har avsluttet arbeidet eller tjenesten.

I ekomforskriften er det gitt ytterligere regler for sikkerhet og beredskap, kommunikasjonsvern og taushetsplikt.Enkelte av disse er videre presisert innenfor konteksten av logiske angrep.12

Utstyr

Nkoms markedskontroll sjekker at utstyr oppfyller grunnleggende krav til sikkerhet, elektromagnetisk kompatibilitet og bruk av radiospektrum, samt særskilte funksjonelle krav. I enkelte tilfeller testes også utstyrets funksjonalitet.

Nkom velger ut utstyret som skal underlegges markedskontroll, basert på en vurdering av risiko og vesentlighet, etter klage fra brukere eller som en del av felles markedskontrollkampanjer i EU.

Frekvenskontrollen

Nkoms frekvenskontroll utfører planlagt tilsynsarbeid og behandler en rekke henvendelser fra publikum, brukere og operatører av elektronisk kommunikasjon og kringkasting. For å sikre at systemer og utstyr kan funksjonere etter formålet, fører Nkom tilsyn med at tildelte frekvenser er fri for interferens og forstyrrelser, og at det blir brukt i samsvar med tillatelser.

Frekvenskontrollen arbeider typisk med måling av elektromagnetiske felt, håndtering av interferens mellom tjenester, lokalisering av elektromagnetiske forstyrrelser og identifisering av problemer med brukerutstyr.

Kontroll med installasjoner

Nkom fører årlig tilsyn med cirka 50 nett når det gjelder dokumentasjon, elektrisk sikkerhet, teknisk utførelse og kvalitet, samt bruk av autorisert virksomhet for bygging og vedlikehold av installasjon.

Tilsyn med utstedere av kvalifiserte sertifikater for esignatur

Nkom har tilsynsansvar med utstedere av kvalifiserte sertifikater etter esignaturloven. Bruk av kvalifiserte sertifikater er grunnleggende for å kunne utvikle tillitsbaserte tjenester som blant annet understøtter regjeringens digitale agenda.

11.4 Beredskap og hendelseshåndtering

Hver enkelt privat virksomhet har et eget ansvar og en egeninteresse ut fra kommersielle hensyn til å sørge for tilstrekkelig beredskap. I dette ligger for eksempel det å ha evne til å håndtere angrep som kommer fra Internett. Ekomoperatørene som driver infrastrukturen i Norge, har egne sikkerhetsavdelinger som driver med både forebyggende sikkerhet og hendelseshåndtering. Telenor har sitt eget sikkerhetsovervåkingssenter som driftes 24/7/365.

Tilbyderne har plikt til å varsle Nkom ved ekomutfall. Viktigheten av varsling øker etter hvert som samfunnet blir stadig mer avhengig av elektroniske kommunikasjonstjenester. Informasjon om utfall er viktig for koordinering med og videre varsling til myndighetsorganer med beredskapsansvar for andre sektorer. Nkom har under utvikling en tjeneste for bransjen som skal gi en samlet oversikt over nettutfall (Nettutfall.no).

I 2014 var det 18 hendelser der alvorlighetsgraden krevde ekstra oppmerksomhet eller økt beredskap i Nkom. Varsling fra tilbyderne blir fortløpende vurdert, og Nkom utarbeider en situasjonsrapport når hendelsen blir vurdert som alvorlig. Situasjonsrapportene sendes SD og deles rutinemessig med DSB, NVE og berørte fylkesmenn.

Nkom har etablert beredskapsvakt som en fast ordning 24/7/365. Flere fylkesmenn har etter øvelser eller reelle hendelser påpekt at det er nødvendig med bedre representasjon av ekomsektoren i fylkesberedskapsrådet. Nkom samhandler med fylkesmennene gjennom fylkesberedskapssjefene, og kan selv bistå fylkesberedskapsrådene der det er hensiktsmessig. Nkoms bidrag til fylkesberedskapsrådene kommer i tillegg til Telenors og eventuelt andres deltagelse. Nkom har ved flere tilfeller i 2014 etablert kriseledelse.

Ekomsektoren har et eget beredskapsforum der bransjen møter myndighetene. Slike fora kan bidra til at kriser løses raskere enn dersom private ikke inkluderes i et beredskapssamarbeid med myndighetene. Dette samarbeidet kommer inn under totalforsvaret.

Tilbyderne har som oppgave å tilby elektronisk kommunikasjon til brukerne, uten å måtte ta stilling til hva kommunikasjonen brukes til, og hva slags informasjon som formidles. I et slikt perspektiv kan ekomnettene være innsatsfaktor for kriminelle handlinger i cyberdomenet. Samtidig er ekomnettene svært potente mål i seg selv, enten hensikten er spionasje eller det er å ramme kritiske samfunnsfunksjoner, for eksempel under en sikkerhetspolitisk krise eller i en krigssituasjon.

Ekomsektoren har i dag ikke et felles senter for håndtering av tilsiktede digitale hendelser. Kapasitet for deteksjon og hendelseshåndtering er lokalisert i de enkelte selskapenes egne sikkerhetssentre. Telenor har for øvrig sin egen Telenor Security Operations Centre (TSOC) som overvåker trafikken og sikkerheten i tillegg til en egen CERT-funksjon. Andre teletilbydere har egne operasjonssentre. I tråd med føringene i Nasjonal strategi for informasjonssikkerhet har Nkom fra sommeren 2015 startet oppbyggingen av et eget hendelseshåndteringsmiljø for digitale hendelser, Nkom CSIRT. Denne funksjonen skal videreutvikles i dialog med øvrige myndighetsaktører, sektorvise responsmiljøer og bransjen.

I beredskapssituasjoner kan Forsvaret bidra med enkelte ressurser for å avhjelpe en prekær situasjon. Forsvaret har for eksempel mobile løsninger for kommunikasjon og transportberedskap som har vært benyttet i sivile kriser. Det er Cyberforsvaret som i så fall bidrar via bistandsinstruksen til politiet. Cyberforsvaret samarbeider også med aktører i ekomsektoren i forbindelse med øvelser og læring om hendelseshåndtering og sikkerhet. Cyberforsvaret har imidlertid presisert at deres viktigste rolle er å drifte egen infrastruktur, og at enhver bistand til det sivile samfunnet vil måtte gå på bekostning av den egne militære beredskapen.

11.4.1 Øvelsesfunn

Alle aktører og virksomheter med ansvar for kritiske samfunnsfunksjoner og som er avhengige av fungerende ekomnett og -tjenester, har et eget ansvar for å gjennomføre øvelser på området. I henhold til retningslinjer for departementene og underliggende etater i alle sektorer skal det gjennomføres nødvendig øvelsesaktivitet. Det samme gjelder det regionale og lokale nivået. Ekomforskriften stiller krav til tilbydere om å utarbeide beredskapsplaner og delta i øvelser.

Nkom gjennomfører øvelser i håndtering av IKT-hendelser, både internt i Nkom, innad i sektoren og på tvers av sektorer. Blant annet har Nkom gjennomført en større øvelsesserie sammen med NVE og Vegvesenet i perioden 2008–2013, med vekt på samhandling ved skade på kritisk infrastruktur som følge av ekstremvær. Nkom har startet planleggingen av en nasjonal cyberøvelse i desember 2015 for infrastruktureiere og myndighetene. Samarbeidet med NVE videreføres med cyberøvelsen i 2015. DSB planlegger også en cyberøvelse i 2016, der Nkom vil delta aktivt i planleggingen sammen med DSB.

Det gjennomføres årlig større nasjonale tverrsektorielle øvelser i regi av DSB som har som mål å øve på samordning. Få av disse øvelsene har hatt digitale sårbarheter som hovedtema, men under Øvelse IKT i 2008, Øvelse Orkan i 2012 og Øvelse Østlandet i 2013 ble IKT-hendelser øvd. Hovedfunn i DSBs evalueringer fra disse øvelsene viser at det generelt er manglende egenberedskap hos aktørene (uavhengig av sektor) når det gjelder utfall av digital infrastruktur. Man mangler alternative kommunikasjonsløsninger, det er mangel på kompetanse i bruk av teknisk utstyr, og nødstrøm er en klart begrensende faktor.

Det kreves av hver sektor og hver virksomhet at de skal øve på krisehåndtering og at de tar initiativ til øvelser der det øves på tverrsektorielle avhengigheter. Etter en gjennomgang av øvelsesvirksomhet det siste året er det grunn til å tro at det øves for lite, både på samordning og koordinering på tvers av etater og virksomheter, inkludert private aktører, og på IKT-håndtering av IKT-hendelser i hver enkelt virksomhet. Manglende øvelser kan blant annet bidra til å forsterke uklare rolle- og ansvarsforhold i hendelseshåndtering.

11.5 Sårbarheter i ekominfrastruktur

Hendelser som forårsaker svikt i telekommunikasjon, kan ha mange ulike årsaker. En skiller gjerne mellom tilsiktede og utilsiktede hendelser.

Grovt sett vil truslene mot ekomnettet kunne oppsummeres i tabell 11.1.

Tabell 11.1 Trusler og farer mot ekomnettet

Logiske feil

Fysiske feil

Tilsiktede hendelser

  • Elektroniske angrep på nettelementer, drifts- og støttesystemer

  • Fysiske angrep på infrastruktur

Utilsiktede hendelser

  • Tekniske feil

  • Menneskelig svikt

  • Overbelastning

  • Strømbrudd

  • Tekniske feil

  • Naturhendelser (ras, storm, is, flom mv.)

  • Graveskader

Nkom har siden 2010 fulgt opp nær 40 hendelser som kan kategoriseres som alvorlige. De hyppigst forekommende årsakene til disse hendelsene fordeler seg grovt sett slik:

  • 35 prosent skyldtes programvarefeil.

  • 25 prosent skyldtes fiberbrudd/transmisjonsfeil.

  • 20 prosent skyldtes strømbrudd.

  • 15 prosent skyldtes feil ved planlagt arbeid (oppgradering).

Siden Nkom bare håndterer de mest alvorlige hendelsene, vil ikke denne feilårsakfordelingen nødvendigvis samsvare med fordelingen av årsaker til feil hos den enkelte tilbyder. For eksempel kan det være en stor andel strømbrudd som bare har lokale konsekvenser, og som Nkom dermed ikke har regnet med. Nkom bemerker på generell basis at det forebyggende arbeidet med sikkerhet og beredskap i nettet har blitt bedre og høyere prioritert i perioden 2010–2015.

11.5.1 Verdikjeder i ekom

Ekomverdikjeden strekker seg fra transport- og transmisjonsnett, via aksessnett til tale- og datatjenester. På toppen av datatjenestene er såkalte Over The Top-tjenester, som gjerne tilbys av aktører som ikke tradisjonelt er regnet som en del av ekombransjen, og som derfor kan være utenfor direkte regulatorisk kontroll. Noen få aktører tilbyr hele verdikjeden opp til tjenestene tale og data. Den mest sentrale er Telenor, den opprinnelige nasjonale teleoperatøren i Norge. Broadnet har et tilnærmet landsdekkende transportnett som i stor grad følger jernbanelinjene. Altibox, som består av en sammenslutning av flere kraftselskaper, er også en totalleverandør med egen infrastruktur. Aktørene handler med hverandre, de leier fiber av hverandre, og kabler legges i samme grøft. Derfor kan en også oppleve svikt hos flere leverandører for eksempel når kabler blir gravd over ved et uhell.

Aktører som bygger ut aksessnett-infrastruktur, benytter i hovedsak Telenors eller Broadnets kjerne- og regionalnett for transport.

Dette leder frem til noen grunnleggende digitale sårbarheter når det gjelder ekominfrastruktur i Norge:

Felles sambandsinfrastruktur

Telenors kjernenett utgjør ryggraden i infrastrukturen og er et kritisk element ettersom svært mye av trafikken går gjennom dette nettet. Ved utfall av dette nettet vil vesentlige deler av ekom på nasjonalt nivå falle bort. Til sammenligning vil et tilsvarende utfall i et aksessnett bare få lokale konsekvenser for et begrenset antall sluttbrukere. Ettersom trafikkonsentrasjonen er størst i denne delen av infrastrukturen, er transportnettet bygd med høy grad av robusthet og samtidig dimensjonert med høy kapasitet. Det meste av infrastrukturen i kjernenettet er basert på optisk fiber. I noen tilfeller brukes også radiolinje og satellittsamband.

Robustheten avtar når man beveger seg utover mot aksessnettet og sluttbrukerne. Robustheten i infrastrukturen styrkes typisk ved å bygge inn redundans i føringsveier/nettverkselementer og ved å ha reservestrømberedskap i tilfelle utfall.

De ulike tilbyderne av ekomtjenester benytter i stor utstrekning Telenors kjernenett, som også er bærer av IP-infrastruktur. Det betyr at de sårbarhetene som denne infrastrukturen har, er felles for mange tilbydere. Kabler ligger flere steder i felles grøfter, og antenner er i mange tilfeller montert på de samme antennetårnene. Brudd i sentrale sambandsfremføringer og svikt i IP-baserte infrastrukturer kan dermed gi store utfall av ekomtjenester.13

Infrastruktursårbarheten har også en geografisk komponent. Infrastrukturen er generelt mindre utbygd og robust i distriktene enn i sentrale, tett befolkede strøk av landet. Det er enkelt forklart et mindre marked og derfor behov for færre basestasjoner for å dekke det daglige behovet. Dessuten har utfall med høy kundekonsentrasjon større konsekvenser enn utfall der færre kunder rammes. Dette er en type begrensninger som kan være en utfordring med tanke på nasjonens evne til å håndtere kriser og forsvare seg mot en rekke trusler. Erfaringer som ble gjort under Dagmar og brannen i Lærdal, viser hvor hardt ekomutfall kan ramme krisehåndteringen.

Sentraliserte nettfunksjoner

Tjenestene i ekomnettene har liten grad av lokal autonomi, men er avhengige av sentraliserte funksjoner. De er implementert på noe ulikt vis hos de ulike tilbyderne. Sentraliserte funksjoner er trolig den mest kosteffektive måten å produsere tjenestene på, og operatøren har mulighet til å bygge mye robusthet inn i løsningene. Hendelser som har relativt lav sannsynlighet, kan imidlertid få svært store konsekvenser dersom disse sentraliserte funksjonene rammes. Eksempler på slike funksjoner er viktige svitsjer/rutere, registre over abonnenter, telefonnumre og simkort, telenett management, overvåkings- og sikkerhetsstyring med mer.14 Eksempler på sårbarheter som finnes spesifikt i sentraliserte funksjoner, er logiske trusler og programvarefeil. Skadepotensialet og konsekvensene ved feil kan i mange tilfeller øke uforholdsmessig, og kanskje uakseptabelt, om kritiske enkeltkomponenter kommer fra samme leverandør.

Akkumulert sårbarhet

Sårbarheter i ekomnettene akkumuleres gjennom at kabler fra flere leverandører blir lagt i samme grøft, og ved at utstyr monteres på felles mobilmaster eller telesentraler. Sårbarheter akkumuleres og kamufleres gjennom kjøp og salg av tjenester og infrastrukturleie mellom ulike aktører. Omruting av trafikk på grunn av feil eller oppgraderinger gjør også at sårbarhetsbildet er å anse som dynamisk. Dette gjør at det er vanskelig for en aktør å vite om det som fremstår som en redundant løsning, faktisk er det.

Teleoperatøren som leverer tjenestene, har ansvaret for sikkerheten i sine tjenester. Men det er en umulig oppgave å gardere seg helt mot slike sårbarheter, blant annet på grunn av mangel på transparens i systemer som i så sterk grad avhenger av programvare og har så komplekse og lange verdikjeder.

11.5.2 Samfunnets avhengighet av ekominfrastruktur

DSB har vurdert i hvilken grad kritiske samfunnsfunksjoner vil påvirkes av et bortfall av ekomnettet.15

Scenarioet som ligger til grunn for vurderingene i DSBs rapport, er at sentrale noder i det landsdekkende transportnettet for ekom blir angrepet, slik at transportnettet settes ut av drift i en femdagersperiode. Dette er et ekstremtilfelle og kan anses som et worst case scenario, men gir et godt bilde av samfunnets avhengighet av elektronisk kommunikasjon.

I tabell 11.2 har vi gjengitt DSBs vurdering av konsekvensene ved bortfall av ekom for de ulike samfunnsfunksjonene som er analysert.

Tabell 11.2 Samfunnsfunksjoners avhengighet av ekomtjenester

Samfunnsfunksjon

Grad av påvirkning ved bortfall av ekom

Forklaring

Kraftforsyningen

Liten

Kraftforsyningen påvirkes i liten grad, manglende feilretting ved strømbrudd.

Veitrafikken

Moderat

Manglende overvåking av tunneler, ingen varsling fra trafikanter ved hendelser, moderate forsinkelser.

Jernbanetrafikken

Stor

Full stans i togtrafikken.

Kystfarten

Moderat

Det blir moderate forsinkelser i kystfarten.

Luftfarten

Stor

Full stans i kommersiell flytrafikk.

Sentral kriseledelse og krisehåndtering

Stor

Mangelfull koordinering og informasjon uten telefon, Internett, radio og TV. Reserveløsninger med begrenset kapasitet.

Vannforsyningen

Liten

Vannforsyningen påvirkes i liten grad.

Bank- og finansvirksomheten

Stor

Ingen økonomiske transaksjoner, begrenset bruk av betalingsterminaler.

Helse og omsorg

Stor

Sykehus og legevakt uten kontakt med omverdenen – redusert effektivitet, utsatt behandling.

Nødsentralene

Ambulanse, politi og brannvesen kan ikke nås på nødnumrene. Mangelfull koordinering av aksjoner.

Nødnett

Nødnettet fungerer bare lokalt.

Kilde: DSB.

Bortfall av ekomtjenester påvirker mange kritiske samfunnsfunksjoner. Av de ni analyserte samfunnsfunksjonene er transportsektoren, helsesektoren og finanssektoren vurdert å bli sterkest påvirket av ekombortfallet. Et fåtall virksomheter som har egen mørk fiber, vil imidlertid fortsette å fungere når transportnettet ligger nede. Dette inkluderer blant annet Forsvaret, kraftverkene, T-banen i Oslo og helseforetakene i Helse Sør-Øst.

DSB har vurdert og gjort beregninger av samfunnskonsekvenser av bortfall av ekomnettet med utgangspunkt i scenarioanalysen.

Tabell 11.3 gjengir vurderingene som er gjort av DSB i rapporten.

Tabell 11.3 Konsekvenser ved utfall av ekomnettet

Samfunnsverdi

Konsekvenstype

Konsekvenser

Usikkerhet

Forklaring

Liv og helse

Dødsfall

Store

Stor

50 ekstra døde som følge av manglende mulighet til å ringe ambulanse og varsle nødetatene ved akutte hendelser.

Alvorlig skadde og syke

Middels/ store

Stor

200–300 alvorlig skadde og syke som følge av utsatt behandling eller feilbehandling.

Natur og miljø

Langtidsskader på naturmiljø

Ikke relevant.

Uopprettelige skader på kulturmiljø

Ikke relevant.

Økonomi

Direkte økonomiske tap

Store

Moderat

Reparasjons- og erstatningskostnader knyttet til ødelagte systemkomponenter på mellom 2 milliarder og 10 milliarder kroner.

Indirekte økonomiske tap

Svært store

Moderat

Tap av inntekter, forsinkelseskostnader, produksjonsnedgang og redusert handel til et samlet tap på 10 milliarder kroner.

Samfunnsstabilitet

Sosiale og psykologiske reaksjoner

Svært store

Stor

Manglende informasjon fra myndighetene, vanskelig krisehåndtering, ukjent og tilsiktet hendelse skaper uro og bekymring.

Påkjenninger i dagliglivet

Store

Stor

Manglende tilgang til tele- og datatjenester og betalingsmidler. Forsinkelser i vare- og persontransport.

Demokratiske verdier og styringsevne

Tap av demokratiske verdier og nasjonal styringsevne

Store

Moderat

Angrep mot svært viktig infrastruktur, som er bærer av samfunnets evne til å styre. Sentrale institusjoners funksjonsevne trues. Krenkelse av demokratiske verdier og individuelle rettigheter.

Tap av kontroll over territorium

Ikke relevant

Samlet vurdering av konsekvenser

Store/ svært store

Stor

Totalt sett store, til dels svært store, konsekvenser.

Kilde: DSB.

Det er videre gjort en vurdering av hvilke kostnader de ovennevnte samfunnskonsekvensene vil ha. DSB antar at nettotapet vil overstige 10 milliarder kroner16 for de fem dagene landet i henhold til scenarioet er uten ekomnett. Det er beregnet at ekomtilbydernes inntektstap vil utgjøre mellom 3 milliarder og 5 milliarder kroner basert på normal omsetning i en femdagersperiode. Med utgangspunkt i disse beregningene vil det påløpe tap på om lag 2 milliarder kroner for hver dag man er uten ekomnett. Dette innebærer at selv relativt korte utfall av kjernenettet vil kunne medføre betydelige kostnader for samfunnet.

I scenarioet i Nasjonalt risikobilde (NRB) er det i tillegg beskrevet at utfall av ekomnettet vil kunne medføre flere følgehendelser som medfører konsekvenser for liv og helse: manglende mulighet for å varsle nødetatene på nødnumrene ved akutte hendelser, ikke mulig å rekvirere ambulanse på vanlig måte, mangelfull kommunikasjon og koordinering mellom nødetatene fordi Nødnett bare fungerer lokalt, samt redusert effektivitet og utsatt pasientbehandling. Som en følge av dette er det beregnet at en konsekvens vil være en øking i dødsfall på 10 prosent per dag, noe som innebærer 10 flere dødsfall daglig i forhold til normalsituasjonen (basert på tall fra 2013).17

Overbelastning i nettet

Ekominfrastrukturen er dimensjonert for å håndtere normal trafikk. I situasjoner der behovet øker markant, for eksempel i krisesituasjoner som Utøya-hendelsen, vil visse tjenester kunne svikte ved at brukeren ikke får tilgang til tjenesten. Slik overbelastning kan også oppstå ved nektelsesangrep, der en motpart sender falsk trafikk mot servere i ekominfrastrukturen med formål å lamme disse. Trusselen fra nektelsesangrep er av flere operatører fremhevet som en reell trussel som kan ramme både operatøren og operatørens kunder.

Logiske og fysiske feil

Etter som mer og mer av funksjonaliteten i nettene har med programvare å gjøre, vil logiske feil utgjøre en stadig større andel av feilene. Denne typen feil i kjernenettet vil kunne ha konsekvenser for mange brukere og store områder og i verste fall for hele tjenester i hele landet.

Logiske feil som følge av overbelastning av nettene kan også bli et økende problem. Stadig flere får smarttelefoner, som ikke bare brukes til å ringe med, men også til å surfe på nettet, sende e-post og andre mobile tjenester. Samtidig øker bruken av mobilt bredbånd kraftig. Dette medfører omtrent en dobling av datatrafikken hvert år.

Kjernenettene er dimensjonert for å tåle stor belastning, og det er gjerne aksessnettene som setter grensene for mengden trafikk. Dersom det er brudd eller vedlikehold på en strekning (eller gjerne to) i kjernenettet, kan det imidlertid bli problemer med overbelastning på den andre eller tredje strekningen.

Alt ekomutstyr er avhengig av strøm og vil være sårbart for strømbrudd. Sentrale punkter i infrastrukturen er imidlertid som oftest sikret med en betydelig reservestrømkapasitet.

Fysiske skader på infrastrukturen vil i hovedsak være en følge av naturhendelser. Eksempler på hendelser er Dagmar og brannen i Lærdal. Utfordringene i forbindelse med disse hendelsene har imidlertid ikke oppstått som følge av brudd eller problemer med kjernenettene, men i regionalnettet. Kjernenettet har større grad av fremføringsdiversitet og redundans, og brudd som følge av naturhendelser får gjerne liten betydning for befolkningen.

Det finnes imidlertid eksempler på situasjoner der en naturhendelse har ført til brudd på kjernenettet samtidig som det er blitt utført oppgraderinger eller vedlikehold på alternative føringsveier. I slike tilfeller kan naturhendelser utgjøre en trussel mot kjernenettene.

Jordkabler er utsatt for skade i forbindelse med ulike typer gravearbeid. De som utfører gravearbeid, har ofte liten oversikt over hvilke ledninger og kabler som befinner seg hvor, og graveskader forekommer hyppig. I likhet med naturhendelser utgjør dette først og fremst en trussel mot kjernenettet i tilfeller da det enten er flere graveskader samtidig eller utføres vedlikeholdsarbeid eller lignende på alternative føringsveier.

Fysisk skade på infrastrukturen kan også være en konsekvens av tekniske feil. Tekniske feil kan føre til overoppheting av komponenter som følge av svikt i kjøling, feilmontering eller skader på komponenter under vedlikehold. Dette er igjen feil som kan føre til at et helt system slutter å fungere som forventet.

11.5.3 Avhengigheten av kraftforsyning

Ekom kan ikke driftes over lengre tidsrom uten stabil strømforsyning. Statistikk viser at utfall i strømnettet er en av de viktigste årsakene til utfall i ekominfrastrukturen. Det er imidlertid store variasjoner i reservestrømkapasiteten hos de ulike nettleverandørene og i de ulike delene av nettet.18 Spesielt noder i kjernenettet er utstyrt med god reservestrømkapasitet, men jo lenger man kommer ut mot aksessnettet, er reservestrømberedskapen enten fraværende eller har svært begrenset kapasitet. En medvirkende årsak er at kostnaden med å etablere reservestrømløsninger er lavere i kjernenettet/regionalnettet enn i aksessnettet.

En gjennomgang av driftsstatistikken for Nødnett for 2011 dokumenterte to hovedårsaker til utfall av basestasjoner – for lite reservestrøm på egen basestasjon (inkludert egen transmisjon) og utfall av transmisjon på leide linjer. Om lag 92 prosent av utfallene ville vært unngått gjennom å øke reservestrømberedskapen til 24 timer, og 99 prosent av feilene som er registrert, kunne vært unngått ved å øke reservestrømtiden til 48 timer – dette under forutsetning av at leide linjer også har tilsvarende reservestrøm. Utbyggingen av Nødnett baseres i stor grad på bruk av den eksisterende infrastrukturen for telekommunikasjon, inkludert leide telelinjer. Reservestrømkapasiteten i denne infrastrukturen varierer og er mangelfullt kartlagt. Oppetiden for transmisjon ved strømbrudd er derfor ikke forutsigbar, og det er da ikke mulig å sikre et forutsigbart nødnett ved lengre strømbrudd.19

Boks 11.1 Ekstremværet Dagmar

Ekstremværet Dagmar i romjulen 2011 avdekket ikke bare fysiske sårbarheter i kritisk ekominfrastruktur, men også hvor avhengig samfunnet har blitt av fungerende mobiltjenester. Denne hendelsen og erkjennelsen av samfunnets stadig økende avhengighet av elektronisk kommunikasjon omtales som et «paradigmeskifte» for arbeidet med sikkerhet i ekominfrastruktur.

Dagmar førte til større bortfall i fasttelefonnettet, med cirka 31 500 abonnenter uten fasttelefon og cirka 12 000 uten Internett/bredbånd. De største regionale utfallene var på Nordvestlandet med cirka 20 000 abonnenter uten fasttelefon og cirka 7 500 uten Internett/bredbånd.1 Hovedårsaken til utfallene på Nordvestlandet var bortfall av strøm i sentrale noder og i enkelte tilfeller transmisjonsfeil og skader på selve utstyret i nodene. Dagmar førte også til utfall i mobilnettene, spesielt ble Sogn og Fjordane og Møre og Romsdal hardt rammet. Av de 728 basestasjonene som hadde falt ut 27. desember 2011, var 445 lokalisert i de to fylkene på Nordvestlandet. Hovedårsaken til bortfallet var strømbrudd og mangelfulle reservestrømløsninger sett i forhold til varigheten av hendelsen. Strømutfallet som følge av stormen førte også til redusert dekning i deler av Nødnett i Akershus og Buskerud. 45 av 240 basestasjoner hadde kortere eller lengre utfall, og åtte av disse hadde lengre nedetid enn ti timer.

1Foreløpige erfaringer og forslag til tiltak etter ekstremværet Dagmar. PT-rapport nr. 2 2012.

I juni 2014 gjorde Nkom vedtak om minstekrav til reservestrømkapasitet i mobilnett. Vedtaket var rettet mot mobilnetteierne Telenor, TeliaSonera (NetCom), Mobile Norway (Tele2) og ICE, og er hjemlet i ekomloven § 2-10 første ledd. I vedtaket stiller Nkom krav om minst to timer reservestrømkapasitet i mobilnettenes dekningsområder der det er fast bosetting eller næringsvirksomhet. I områder utenfor byer med mer enn 20 000 innbyggere skal reservestrømkapasiteten i snitt være på fire timer. Vedtaket ble påklaget av samtlige. SD som klageinstans stadfestet vedtaket.

11.5.4 Sårbarheter knyttet til drift og styring

Svakheter i regimene hos operatørene når det gjelder fysisk og logisk tilgang til anlegg og systemer

Nkom har identifisert sårbarheter knyttet til driften hos de enkelte operatørene. Det er forskjell mellom de ulike operatørene i hvordan de har valgt å styre risiko og sikkerhet. Et generelt funn fra Nkoms sårbarhetsanalyse av mobilnettene var svakheter relatert til fysisk og logisk tilgang til anlegg og systemer.

Problemstillinger knyttet til utstyrets opprinnelsesland

Det har i de senere årene vært mye oppmerksomhet omkring opprinnelsesland for viktig utstyr for kritisk infrastruktur. I Norge har den offentlige diskusjonen i stor grad vært knyttet til Huaweis leveranser til store teletilbydere.

Potensialet til statlige aktører i cyberdomenet er en vesentlig og dimensjonerende faktor for design av gode sikkerhetsløsninger. Opprinnelsesland for leverandør av utstyr er dermed en del av totalbildet. I IKT- og ekomsektoren er imidlertid de fleste leverandører globale aktører som integrerer utstyr fra en rekke ulike underleverandører fra ulike land. Å avgjøre hvilket land utstyret «kommer fra», vil dermed i en del tilfeller bare ha verdi som en teoretisk øvelse.

Komplekse markedsstrukturer og omfattende utstyrsportefølje

Aktørene i markedet må forholde seg til et mangfold av samarbeidspartnere. Noen av disse samarbeidspartnerne vil i andre sammenhenger fremstå som konkurrenter. Å ha full oversikt over dette bildet er en utfordring, særlig når markedet er i stadig endring. Uoversiktlige organisasjoner og mangelfulle arbeidsprosesser er også påvist i sårbarhetsanalysen av norske mobilnett. Enkeltkomponenter kan også ha defekter og feil i maskinvare og programvare.20

De større elektroniske kommunikasjonsnettene er satt sammen av en omfattende utstyrsportefølje fra ulike leverandører. Programvare for styring av de enkelte komponentene og for samvirket mellom de ulike komponentene er svært kompleks. Tester kan verifisere at programvare og teknisk utstyr samvirker og utfører de funksjonene de skal. Samtidig vil det for slike systemer være tilnærmet umulig å verifisere at det ikke foreligger alvorlige intenderte eller ikke-intenderte logiske sårbarheter. Forholdet mellom leverandør og kunde av slikt utstyr og programvare må derfor bygge på tillit. Denne tilliten er viktig for leverandørene i et konkurranseutsatt marked, og myndigheters eventuelle inngripen i slikt utstyr for å installere bakdører kan ødelegge for de private leverandørene.21

Vedlikehold og endringsledelse av en sammensatt infrastruktur

Elektroniske komponenter, maskinvare, fastvare og programvare som benyttes innen ekom, er i stadig utvikling både når det gjelder forbedring av funksjonalitet, og når det gjelder sikkerhet. Dette er noe av dynamikken teleoperatører må forholde seg til i daglig drift. Etterslep på vedlikehold og oppgradering av systemer, programvare og programvarelisenser representerer mulige digitale sårbarheter. Det er vel kjent at angripere går etter gamle sårbarheter, og ekominfrastruktur består av både nye og eldre systemer. Imidlertid er det ikke uproblematisk å oppgradere all infrastruktur. Feilkonfigurasjon representerer en risiko som kan medføre feilsituasjoner og svikt.

Kompetanse hos nasjonale tilbydere

Tradisjonelle tilbydere utkontrakterer oppgaver til entreprenører og leverandører. Der dette skjer i stor utstrekning, bygges det opp en avhengighet av kompetansen og kapasiteten hos underleverandørene. Dette fører til at erfaring fra hendelser ikke flyter tilbake til tilbyderens organisasjon, og evnen til å improvisere og håndtere situasjoner svekkes over tid. I slike tilfeller kan organisasjonens evne til å lære av hendelsene og forbedre sikkerheten bli redusert.

11.5.5 Driftsmodeller under press fra den globale konkurransen

En av de store utgiftspostene for tilbyderne er drift av og gjentatte reinvesteringer i nett og serverpark. Delvis kan dette gjøres ved effektivisering, men i tillegg er det ønskelig å flytte en del driftsaktiviteter til land med lavere kostnader. Blant de store tilbyderne av ISP- og skytjenester er det et ønske om å utkontraktere drift, både med tanke på stordriftsfordeler og med tanke på de lavere lønnskostnadene man finner utenfor Norden. Ettersom mange av de store tilbyderne eller deres partnere har operasjonssentre over store deler av verden, ligger det store besparelser i å samkjøre drift.

Mange tilbydere har de siste årene redusert sin egen bemanning med teknisk kompetanse og kjøpt inn denne fra underleverandører. Det kan være betydelige kostnadsbesparelser for tilbyderne i å slippe å vedlikeholde den spisskompetansen som kreves. Underleverandørene leverer tjenester til flere tilbydere, systemintegratorer og driftssentre, og kan derfor utnytte kompetansen bedre.

Frafallet av teknisk personell hos tilbyderne betyr også at det er nødvendig med tjenesteavtaler med produsenter av nettverksutstyr. Ved endringer i komponenter, programvare og systemer, periodisk vedlikehold og håndtering av feil i utstyr kan det være nødvendig å gi produsenter og eksternt personell logisk eller fysisk tilgang til kritisk nettverksutstyr.

11.5.6 Nasjonal autonomi og personvernutfordringer

Sikkerhets- og beredskapsregelverket utfordres i markeder der aktører og tjenester opererer på tvers av landegrenser

Mens regelverket som regulerer ekomaktører, i hovedsak er nasjonalt, blir aktørene i økende grad multinasjonale. Utkontraktering av tjenester fra de tradisjonelle operatørene, internasjonal konsolidering i bransjen og nye, Internett-baserte aktører bidrar til et nytt bilde der de nasjonale landegrensene mister relevans. Et eksempel er utenlandske morselskaper, som TeliaSonera, som lokaliserer viktige tjenesteelementer utenfor Norges grenser. Sett fra operatørens ståsted er det av kostnads- og effektivitetshensyn fornuftig å gjøre dette, men fra et norsk ståsted kan det øke risikoen for utfall av tjenester og informasjonslekkasje. Slike driftsmodeller kan føre til at tilsynsmyndighetene ikke har nødvendige virkemidler overfor markedsaktøren.

Samtidig utvikler store internasjonale aktører OTT-tjenester22 som ikke er underlagt norske myndigheters jurisdiksjon. Hvis slike aktører får operere uten å ta hensyn til nasjonale sikkerhetskrav og beredskapsregelverk, vil det representere en konkurransefordel for disse sammenlignet med nasjonale aktører som er underlagt nasjonalt lovverk. Dermed kan dette i neste omgang medføre press fra bransjen som opererer i Norge mot mindre streng regulering, eller bety at bransjen må omstilles for å tilpasse seg den nye konkurransesituasjonen.23

Personvern

Utviklingen innen global ekom og Internett, der en sammensatt infrastruktur av eierforhold og verdikjeder krysser landegrenser, og der ulike land har ulike regler for innsyn i teletrafikk, utfordrer personvernet. For eksempel har ikke norske tilsynsmyndigheter anledning til å drive tilsyn med OTT-tjenester. De vil være underlagt andre lands regulering. Facebooks kommunikasjonstjeneste og Skype er eksempler på dette.

Norske myndigheter regulerer politiets innsynsrett i Norge. Det følger av ekomloven § 2-9 at tilbydere av elektronisk kommunikasjon har plikt til å bevare taushet om innhold av elektronisk kommunikasjon. Etter straffeprosessloven § 118 første ledd og § 230 første og fjerde ledd kan retten og politiet anmode Nkom om fritak fra den lovpålagte taushetsplikten. I de senere årene har det vært en betydelig økning i antall anmodninger knyttet til signaleringsdata, som vurderes å være en meget personverninngripende metode. Signaleringsdata er informasjon som genereres og lagres selv når telefonene ikke er i bruk. Data som genereres, gir blant annet informasjon om hvor telefonen befinner seg. Når abonnenten har telefonen med seg, er det nærliggende å sammenligne denne typen informasjon med det som kommer fra inngripende og spesifikt regulerte skjulte tvangsmidler som teknisk sporing. Nkom har lagt denne analogien til grunn for sin skjønnsutøvelse ved anmodning om å oppheve tilbyderens taushetsplikt for å få tilgang til signaleringsdata.

Det er en del ulike forespørselstyper med varierende hjemmelsgrunnlag for frigivelse og regimer for håndtering som må holdes fra hverandre. Dette gjelder for eksempel

  • forespørsler fra politiet om abonnentinformasjon som ikke trenger myndighetsgodkjenning

  • anmodninger om trafikk- og signaleringsdata der Nkom kan innvilge eller avvise å oppheve tilbyderens taushetsplikt om disse

  • anmodning om kommunikasjonskontroll (KK) som trenger rettens kjennelse før iverksetting

Tabell 11.4 Anmodning om trafikk- og signaliseringsdata. Det er bare strekpunkt 2 over som gjenspeiles i tabellen

Trafikkdata

Basestasjonssøk

PUK-kode

Trafikkdata/ Basestasjonssøk inkl. signaliseringsdata

2014

1091

208

121

161

2013

1260

234

117

65

2012

1199

250

135

2

2011

1408

332

184

0

2010

1491

316

243

0

Kilde: Nkom.

Når trafikken krysser landegrenser og personopplysninger lagres på servere i andre land, er det andre lands jurisdiksjon som gjelder. Imidlertid har tilbyderne plikt til å informere kunder hvis trafikkdataene går over landegrenser, for eksempel via Sverige. Innen ekom vil typisk både innholdsinformasjon, abonnementsdata, faktureringsopplysninger og trafikkdata representere personopplysninger som enkeltmennesker ikke ønsker skal komme på avveier.

Risiko er knyttet både til lekkasje i forbindelse med det enkelte lands myndigheters tilgang til data til ulike formål og til den generelle trusselsituasjonen i det enkelte landet. Det er på sikt stor risiko for enkeltmennesket dersom stordataanalyse får stor utbredelse og for eksempel trafikkdata og personopplysninger kobles med andre kilder. Personopplysningsloven og EU-lovgivning vil kunne motvirke noe av denne risikoen, men det er likevel slik at både Norge og EU er deltagere i et globalt marked, og det er usikkerhet knyttet til hvem som setter personvernagendaen på sikt (se punkt 23.6 «Næringsutvikling og IKT-sikkerhet»).

Den teknologiske utviklingen setter også personvernet under press. Et eksempel er saken med falske basestasjoner der en mulig angriper kunne fange opp mobiltelefonene til intetanende personer som passerte.24 Dette er langt fra den eneste måten å få tilgang til teletrafikken fra mobiltelefoner på, det finnes også utviklet skadevare som brukere kan lures til å installere på smarttelefonene sine. Også i forbindelse med programvareoppdateringer kan skadevare som senere spionerer på offeret, bli implementert.

11.6 Fremtidige problemstillinger og trender

Fra «fysiske» til «logiske» nettverk

Ekomtilbyderne benytter IP-nett for produksjon av de fleste av tjenestene sine, og IP-infrastrukturen er i ferd med å bli en felles produksjonsplattform for ekomtjenester. Telenors IP-nett vil de nærmeste årene bære alle Telenors egne faste og mobile telefoni- og bredbåndstjenester, i tillegg til å være det nasjonale transportnettet for mange andre tilbydere. IP-infrastruktur generelt, og Telenors IP-nett spesielt, er og vil fortsette å være svært viktig for produksjon av ekomtjenester på nasjonalt nivå.

Mens ulike produksjonsplattformer tidligere besto av spesialiserte produkter av maskin- og programvare fra enkeltleverandører, blir funksjonaliteten i ekomnett i økende grad realisert gjennom konfigurerbar programvare som er «frikoblet» fra den fysiske infrastrukturen. På den ene siden skaper dette større effektivitet og fleksibilitet ved produksjon av ekomtjenester og gir grunnlag for reduserte kostnader. På den andre siden medfører slike løsninger høy grad av kompleksitet i programvare, integrasjon og konfigurasjon samt avhengighet av underleverandører. I tillegg introduserer de nye sårbarheter knyttet til både utilsiktede hendelser som programvarefeil og konfigurasjonsfeil og tilsiktede hendelser som IKT-angrep. Sentralisering av tjenesteproduksjon fører dessuten til økt skadepotensiale.

Utkontraktering og internasjonalisering

I de senere årene har tilbyderne i økende grad benyttet eksterne leverandører i alle ledd i sin virksomhet, og det er i dag i hovedsak eksterne leverandører som står for installasjon, drift og vedlikehold av tilbydernes nett, samt en del administrative funksjoner. I tillegg plasserer tilbydere i økende grad det fysiske utstyret hos eksterne datasenterleverandører som leverer strøm, kjøling og fysisk sikkerhet. En annen trend er såkalte managed services, der utstyrsleverandører også står for den daglige nettverksdriften.

En trend er også at tilbyderne i økende grad konsoliderer virksomheten sin ved å sentralisere tjenesteproduksjonen til ett land, for så å tilby ekomtjenester på tvers av landegrenser. Dette foregår i dag i stor utstrekning i de nordiske landene. I likhet med ekomtilbyderne er også ekomtilbydernes underleverandører i all hovedsak selskaper som opererer multinasjonalt. Produksjon av norske ekomtjenester vil derfor i økende grad avhenge av innsatsfaktorer fra flere virksomheter i flere land. Fra et sikkerhetsperspektiv er den omfattende utkontrakteringen og internasjonaliseringen utfordrende for forhold som de nasjonale tilbyderes egenkompetanse, evne til risikostyring av virksomheten og kontrollen med trafikkdata og kommunikasjon på tvers av landegrenser. En del sikkerhetsaspekter knyttet til tilbydernes virksomhet vil også kunne ligge utenfor regulerende myndigheters jurisdiksjon.

Bevissthet rundt trusselbilde

Både tilbyderne og myndighetene vil fremover i større grad måtte forholde seg til, og tilpasse seg, et dynamisk trusselbilde og se trusselbildet i lys av samfunnets avhengighet av elektronisk kommunikasjon. I tillegg er det viktig at brukere av elektroniske kommunikasjonstjenester, virksomheter så vel som individer, i nødvendig grad er kjent med trusler mot disse tjenestene og har forståelse for at det kan være nødvendig med egne sikringstiltak tilpasset egen risikoaksept.

11.7 Vurderinger og tiltak

Økningen i samfunnsverdier som legges på toppen av ekominfrastrukturen, mangler historisk sidestykke. For tilbyderne er det svært krevende å ha et forhold til de verdiene de forvalter på vegne av kundene. For kundene er det komplisert å sette seg inn i den risikoen tilbyderne har akseptert, gjerne gjennom en lang verdikjede av tilbydere og tjenesteleverandører. For myndighetene er det komplisert å drive risikostyring på vegne av samfunnet som helhet når verdiopphopningen går så raskt som den gjør i dette tilfellet.

Basert på denne vurderingen av situasjonen fremmer Lysneutvalget følgende forslag til tiltak:

11.7.1 Redusere kritikaliteten av Telenors kjerneinfrastruktur

Utvalget ser det som en naturlig konsekvens at tiltak må rettes inn mot de sårbarhetene som har et potensial for å gi et massivt ekomutfall, nærmest uavhengig av hvor sannsynlig det er at sårbarheten leder til en hendelse. Vi mener derfor at det må rettes spesiell oppmerksomhet mot Telenors kjerneinfrastruktur. Denne er godt utbygd med tanke på robusthet, den er profesjonelt operert og har historisk sett hatt svært stabil drift. Sannsynligheten for at den skulle svikte, anses som lav. Den vil likevel kunne settes ut av spill ved menneskelige feil, rutinesvikt eller utro tjenere.

Etter utvalgets syn er den totale summen av samfunnsverdier dette nettet er bærer av, uakseptabelt høy, samtidig som verdiene det bærer, bare øker.

Basert på egne vurderinger og en utredning fra Oslo Economics25anbefaler utvalget derfor at SD og Nkom utvikler og gjennomfører tiltak som reduserer kritikaliteten av kjernenettet. Vi anbefaler at disse tiltakene rettes inn mot følgende fremtidige målbilde:

  1. Minst én tilleggsaktør har et landsdekkende kjernenett som er på samme nivå som Telenors med hensyn til dekning, kapasitet, fremføringsdiversitet, redundans og uavhengighet (utredningen til Oslo Economics peker i retning av en samfunnskostnad på om lag 575 millioner kroner. Tallet inkluderer investering og vedlikehold over 10 år).

  2. I en normalsituasjon er trafikken spredt mellom de to kjernenettene på en slik måte at samfunnsverdiene de bærer, er fordelt. Spesielt bør det etterstrebes at fullstendig utfall i ett av kjernenettene gir en håndterbar samfunnsmessig situasjon.

  3. De to kjernenettene har samtrafikkspunkter som kan omrute trafikk mellom nettene. Denne omrutingen kan knyttes til et begrenset antall prioriterte brukere.

11.7.2 Sikre mangfold blant leverandørene til infrastrukturen

En annen kilde til sårbarheter som kan være felles for flere ekomoperatører, er den som er knyttet til utstyrs- og tjenesteleverandører. Feil og bakdører i utstyr og programvareoppgraderinger fra en leverandør vil samtidig kunne slå ut i nettene til flere operatører. Diskusjonene som har pågått i mange land i den vestlige verden om bruk av utstyr fra kinesiske leverandører, har relevans for samtlige norske infrastruktureiere. Utvalget mener at man bør tilstrebe å ha en kontrollert heterogenitet i utstyrsleverandørbildet i norsk ekominfrastruktur, slik at sårbarheter med opphav hos én enkelt leverandør – uansett opphavsland – kun kan ha begrensede skadeeffekter. Utvalget observerer at det i høringsutkastet til ny sikkerhetslov er lagt inn et forslag om at Kongen i statsråd skal kunne stoppe enkeltinnkjøp til kritisk infrastruktur. Vi mener imidlertid at en slik lovendring er lite egnet til å håndtere den fulle kompleksiteten i sårbarhetsbildet knyttet til utvikling, produksjon, leveranse og drift av ekomutstyr.

Det er et faktum at de leverandørene som er best og billigst, selger mye og dermed overtar svært store deler av markedet. Dette kan være uheldig sett fra et sikkerhets- og avhengighetsperspektiv. En leverandørstyring kan bidra til å spre risiko på flere. Dette er en problemstilling som en ser på flere områder og i flere sektorer, men det er grunn til å tro at sårbarheten er størst på dette området. Konkurranselovgivningen vil i noen grad bidra til å forhindre monopolleverandører, men lovgivningen har ikke i tilstrekkelig grad klart å forhindre at det er en ensidighet i visse utstyrsleverandører. Nkom bør derfor, i samråd med Konkurransetilsynet, ta initiativ til å utrede hvorvidt vi i dag har tilstrekkelige virkemidler for å ivareta dette forholdet, eller om det er behov for å etablere virkemidler for å sikre diversitet i utstyr. Denne problemstillingen bør også tas med i utformingen av ny sikkerhetslov (del II).

11.7.3 Opprette en CSIRT i ekomsektoren i regi av Nkom

Det er totalt cirka 175 tilbydere av elektroniske kommunikasjonstjenester i Norge. Av disse er flesteparten svært små, og de færreste eier eget nett. Det er nødvendig med en god overgripende håndtering av hendelser i det digitale rom som favner hele dette spekteret. Det er under planlegging å etablere en CSIRT for sektoren i regi av Nkom, som skal bistå selskapene i håndteringen av digitale angrep. Det er pekt på at det kan være en utfordring tillitsmessig ved at CSIRT-enheten ligger i en tilsynsmyndighet, og dette må det tas hensyn til ved utvikling av funksjonen. En fordel med denne plasseringen er blant annet at Nkom er øverste myndighet til nedstenging som et virkemiddel ved uønskede hendelser, og vil sitte nær selve hendelsen. I dette tilfellet anbefaler vi derfor organisatorisk oppheng hos Nkom. Retningslinjene fra Justis- og beredskapsdepartementet underbygger også en myndighetstilknytning for organet.26

11.7.4 Aktiv myndighetsutøvelse fra Samferdselsdepartementet og Nasjonal kommunikasjonsmyndighet

Det funksjonsbaserte regelverket innenfor ekomsektoren vurderes i utgangspunktet å være godt egnet for å møte stadige endringer i trusselbilde, teknologi og tjenesteproduksjon. Dersom samfunnets behov for forsvarlig sikkerhet i nett og tjeneste skal møtes, krever dette imidlertid en sterk og endringsdyktig ekommyndighet (SD og Nkom). Det vurderes som viktig, som Nkom selv påpeker, at pålegg, avtaler og tiltak innenfor sektoren er forankret i en overordnet ROS-analyse som også adresserer avhengighet av andre sektorer, som eksempelvis kraftforsyningen og justismyndigheten. Det er viktig med en offensiv videreutvikling av regelverket, slik at det til enhver tid er oppdatert i forhold til trusselbildet, den teknologiske og markedsmessige utviklingen og samfunnets behov for ekom. Ekommyndigheten må styrke innsatsen ytterligere ved å veilede tilbyderne om innholdet i rettslige standarder knyttet til sikkerhet og robusthet. Utvalget vurderer videre at en forsvarlig kobling mellom sentrale ekomaktører og de nasjonale sikkerhetstjenestene er helt nødvendig for å ivareta nasjonale sikkerhetsmessige behov, og anbefaler at dette arbeidet videreutvikles gjennom det etablerte Ekomsikkerhetsforumet.

Nasjonal ekomplan

Det utarbeides for tiden en ekomplan innenfor Samferdselsdepartementets ansvarsområde knyttet til en ny digital agenda for Norge. Det er positivt at en slik plan etableres. Som nevnt over er imidlertid dette et komplekst felt med flere sentrale sektormyndigheter og aktører som til sammen ivaretar en helhetlig verdikjede. Avhengig av hvordan denne blir seende ut, kan det være ønskelig med en bredere fremtidig plan som også omfatter ekomperspektivet på tvers av sektorer i Norge, inkludert blant annet Nødnett og fremtidige behov for nødkommunikasjon. En slik helhetlig plan bør ta innover seg hvordan krav til ekomnett og -tjenester gjenspeiler samfunnets økende behov for digitale tjenester. Planen bør inneholde en systematisk oversikt som jevnlig viser hvor ulike forebyggende tiltak bør prioriteres.

Denne oversikten på ekomområdet bør videre benyttes som et bidrag i Justis- og beredskapsdepartementet større oversiktsbilde over IKT-sårbarhet i Norge.

11.7.5 Etablere tiltak for å regulere utlevering av trafikkdata til politiet

I et samfunn der det teknologiske mulighetsrommet endres så raskt som i dag, vil lovgivningen, som blir til gjennom demokratiske prosesser, alltid ligge etter de teknologiske realitetene. Noe av utfordringene rundt dette er søkt løst ved at lovverket har skjønnsmessige kriterier, mens dette samtidig kan medføre at formålet med bruken av informasjonen endres over tid, såkalt formålsglidning. Her kan vi nevne som eksempel at trafikkdata lagret for faktureringsformål i mange tilfeller brukes til å kartlegge enkeltpersoners bevegelser/aktiviteter knyttet til spesifikke basestasjoner. Man ser også at signaleringsdata lagret for tekniske driftsformål og som genereres uten abonnentens aktive bruk, benyttes til formål som grenser mot teknisk sporing.

Et annet og prinsipielt eksempel er at trafikkdata knyttet til alle personers trafikk ved en spesifikk basestasjon (eller flere) brukes til å kartlegge gruppers tilstedeværelse/bevegelser i et område («basestasjonssøk»). Dette gjøres typisk når det er begått en kriminell handling og man ikke har en konkret mistenkt person. Etterforskerne ønsker informasjon om trafikkdata for å kunne sammenligne med senere vitneuttalelser, avhør med mer. Et slikt basestasjonssøk vil, innenfor en gitt tidsramme, vise hvem som har vært aktive, hvem som har snakket med eller sendt SMS til hvem. Ved basestasjonssøk for signaleringsdata vil man også kunne finne lokasjonen til alle som er tilknyttet basestasjonens område. Dette kan i mange tilfeller gjelde svært mange mennesker.

Slik generell kartlegging av folkemengders kommunikasjon og lokasjon bør vurderes ut fra grunnleggende rettslige rammer, legalitetsprinsippet, og eventuelt reguleres særskilt. Det fremstår som en større formålsglidning at tekniske signaleringsdata (som skjer uten brukerens initiativ) brukes til å identifisere mulige mistenkte, enn at rene trafikkdata (generert ved aktiv bruk av mobil) gjør det.

I denne sammenhengen kan det også være en utfordring for dommere å ha tilstrekkelig teknisk innsikt til å forstå de tekniske begrepene, hvordan de aktuelle dataene genereres, hvilket informasjonspotensial dataene har, og hvordan de kan brukes. Det er relevant å se på hvor grundig domstolene vurderer anmodninger om tilgang til data. Lysneutvalget har ikke hatt tidsmessig rom for å gjennomføre noen undersøkelse av dette, men viser til Metodekontrollutvalgets utsagn om at 13,8 prosent av dommerne selv og 58,4 prosent av advokatene mener det ikke blir gjort en tilstrekkelig vurdering av vilkårene for kommunikasjonskontroll, og at dette er bekymringsverdig.27 Det fremgår samme sted at det er svært sjelden domstolene avslår en begjæring om kommunikasjonskontroll, noe som også er betenkelig.

Lysneutvalget har ikke grunnlag for å fastslå at Metodekontrollutvalgets funn illustrerer et generelt trekk som er overførbart til utvalgets mandat.

Som omtalt i punkt 11.5.6 «Nasjonal autonomi og personvernutfordringer», er omfanget av politiets uthenting av trafikkdata rimelig stabilt, mens andelen forespørsler om opphevelse av taushetsplikt for utlevering av signaleringsdata er sterkt økende. Det er mange spørsmål knyttet til forholdet mellom beslutninger om opphevelse av en taushetsplikt med hjemmel i straffeprosessloven § 118 jf. § 230 og menneskerettsloven § 2 jf. EMK artikkel 8.

Utvalget mener at formålsutglidning av bruk av opplysninger som omtalt over (særlig signaleringsdata) bør utredes. I denne sammenheng bør også dommernes tekniske kompetanse som grunnlag for å ta stilling til innsynsbegjæringer vurderes.

Utvalget mener det er behov for å avklare hjemmelsgrunnlaget for regulering av tilgang til signaleringsdata.

Utvalget er videre av den oppfatning at bruk av signaleringsdata er blitt så utbredt som etterforskningsverktøy at det bør vurderes å lovregulere dette som et særskilt tvangsmiddel.

12 Satellittbaserte tjenester

I løpet av de siste tiårene har tjenester som utnytter infrastruktur i verdensrommet, blitt en integrert del av hverdagen vår. Antallet samfunnsområder som blir berørt av bruk av rombasert infrastruktur, har økt. Det samme gjelder antallet aktører som er aktivt involvert i den globale romvirksomheten. Satellittsystemer vil i løpet av de neste årene få større strategisk og samfunnsøkonomisk betydning. Satellittbaserte tjenester brukes på de fleste områder – i navigasjons- og kommunikasjonssystemer, til skredovervåking og i avanserte styringssystemer for offshoreoperasjoner. Flere og bedre satellitter, økt dataprosesseringskapasitet, utbredelsen av Internett og fremveksten av mobilt kommunikasjonsutstyr har medvirket til denne utviklingen.

12.1 Romrelatert infrastruktur

En rekke kritiske samfunnsfunksjoner er avhengige av satellittbaserte tjenester for å være operative. Med satellittbaserte tjenester menes i denne sammenheng tjenester for posisjonsbestemmelse, navigasjon og presis tidsangivelse (PNT), kommunikasjonstjenester og jordobservasjonstjenester. Tjenestene leveres via satellitter som går i bane rundt jorda, og tilleggstjenester knyttet til disse for økt ytelse.

Globale satellittsystemer for posisjon, navigasjon og presis tidsangivelse (PNT). USA og Russland opererer i dag hvert sitt globale system, henholdsvis GPS og GLONASS. Begge er militære systemer, men spesielt GPS har fått stor sivil betydning.

Et tredje system, Galileo, er planlagt å være i full operativ drift fra 2020. Galileo er et system under sivil kontroll, eid og drevet av EU. Kina planlegger sitt eget globale satellittnavigasjonssystem (Beidou), som ventes å bli satt i drift rundt 2020. Slike satellittsystemer går under fellesbetegnelsen GNSS (Global Navigation Satellite Systems).

De ulike GNSS-systemene er interoperatible. Det vil si at brukeren kan benytte seg av alle satellitter som er tilgjengelige fra de ulike systemene, hvis brukerutstyret er tilpasset dette.

Støttesystemer til GNSS er utviklet for å gi brukerne bedre ytelse. Disse systemene leverer tjenestene sine enten via satellitt eller fra bakken og betjener brukere langs kysten, offshore, på land og i luften.

Satellittsystemer for kommunikasjon. Kommunikasjonssatellitter er konstruert for overføring av fjernsynsprogrammer, telefonsamtaler, data, bredbåndstjenester og lignende. Satellittkommunikasjon kan spille en viktig rolle for å sikre liv og helse og gjenopprette kritiske funksjoner når bakkebaserte systemer er satt ut av spill, for eksempel i forbindelse med storm, flom eller skred. Det viktigste satellittkommunikasjonssystemet i denne sammenhengen er Inmarsat (UK), som tilbyr data/bredbånds- og telefonitjenester på nær global basis til maritime, landmobile og aeronautiske brukere. Inmarsat er så langt det eneste satellittsystemet for tale og data som er en del av IMOs28 GMDSS (Global Maritime Distress and Safety System). Systemet er basert på geostasjonære satellitter som står over ekvator, og har gradvis dårligere dekning nord for 72 grader. For mobile brukere i Arktis er i dag lavbane-satellittsystemet Iridium (USA) eneste kommunikasjonsmulighet for telefoni og lavrate datakommunikasjon. Iridium arbeider med å få akseptert systemet i GMDSS. Inmarsat ble i sin tid grunnlagt som en internasjonal ideell organisasjon, men er i dag på lik linje med Iridium et privateid kommersielt selskap.

Telenors Thor-satellitter tilbyr i hovedsak kringkastingstjenester. Dette kan være viktig for bred spredning av informasjon i kritiske situasjoner sammen med annen bakkebasert infrastruktur. Nyeste generasjon Thor-satellitter (fra 2015) vil også adressere maritime markeder for bredbåndskommunikasjon og vil gradvis kunne bli viktigere her. Telenor og utenlandske aktører med avdelinger i Norge, som Airbus DS, tilbyr også leid kapasitet for punkt-til-punkt-forbindelser via satellitt. Betydelig trafikk, både kringkasting og toveis tale- og datakommunikasjon, håndteres av Telenors jordstasjon i Nittedal og Airbus’ jordstasjon på Eik i Rogaland.

I tillegg benyttes systemer som er helt eller delvis eid av utenlandske aktører, for kommunikasjon både på norsk jord og til/fra nordmenn i utlandet og i internasjonalt farvann. Forsvaret har egne jordstasjoner for satellittkommunikasjon. En rekke meteorologiske målestasjoner og oseanografiske bøyer rapporterer også inn sine målinger via satellitt.

Satellittsystemer for jordobservasjon. Værsatellitter er nå den viktigste måletypen i numerisk værvarsling. Norge deltar derfor aktivt i det europeiske værsatellittsamarbeidet EUMETSAT, som opererer satellitter både i geostasjonære og polare baner. EUMETSAT har neste generasjon satellitter under utvikling for innfasing i geostasjonær bane fra 2018/2019 og i polar bane rundt 2021. EUMETSATs hovedbakkestasjon for de polare værsatellittene ligger på Svalbard. Det er Meteorologisk institutt (MET) som ivaretar Norges interesser i EUMETSAT. Også Norsk Romsenter er representert i EUMETSATs råd.

EUMETSAT og den amerikanske værvarslingsorganisasjonen NOAA (National Oceanic and Atmospheric Administration) i USA har et forpliktende samarbeid om bruk av hverandres satellitter. NOAAs satellitter betjenes av Kongsberg Satellite Services (KSAT) bakkestasjon på Svalbard. De amerikanske polare værsatellittene er derfor svært viktige for værvarslingen også i Norge.

Norge har nylig besluttet å bli med i EUs operative jordobservasjonssystem, Copernicus, som i årene fremover skal skyte opp en rekke operative satellitter for miljøovervåking. Også Copernicus-systemet vil ha sin polare hovedbakkestasjon på Svalbard.

AIS-satellitter. Automatic Identification System (AIS) ble opprinnelig utviklet som et anti-kollisjonshjelpemiddel for skip. Alle fartøy over 300 bruttotonn er pålagt å ha systemet om bord. Det rapporterer jevnlig om skipets posisjon, kurs, fart og andre skipsdata. AIS brukes i dag også til trafikkovervåking og flåtestyring ved at signalene mottas av bakkestasjoner og satellitter.

AISSat-1 og AISSat-2 er norske småsatellitter som er i drift nå. AISSat-3 er planlagt skutt opp i 2016. Satellittene inngår i AIS-systemet for å gi dekning utover det landbasert AIS gir. Satellittene er å betrakte som teknologidemonstratorer, men har allerede vist seg å være svært nyttige for offentlig forvaltning. Satellittene AISSat-1 og AISSat-2 eies av Norsk Romsenter, mens AISSat-3 eies av Kystverket. Kystverket er ansvarlig for sentral forvaltning av dataene fra satellittene, sammen med data fra den landbaserte kjeden. Bakkestasjoner for kontroll av satellittene og nedlesing av data er etablert på Svalbard og i Vardø, med tilhørende infrastruktur.

Svalbardkabelen er en fiberoptisk kabelforbindelse som går mellom Fastlands-Norge og Svalbard. Den ble primært etablert for å sikre pålitelig dataoverføring for satellittvirksomheten på Svalbard. Forbindelsen består av to kabler som går fra Harstad via Andøya til Longyearbyen. Den ene kabelen er reserve for den andre. Etter landfall i Harstad og i Longyearbyen knyttes fiberkabelen sammen med Telenors kabler og utstyr. Space Norway AS (SPN) eier forbindelsen og noe av det elektroniske linjetermineringsutstyret. Selskapet har inngått kontrakt med Telenor Svalbard (TNS) om linjeleie og om lokaler for linjetermineringsutstyr både på Svalbard og på fastlandet.

Svalbardkabelen brukes av KSAT til overføring av data som hentes ned på Svalbard til ulike kunder og brukere i inn- og utland, av TNS til overføring av teleforbindelser (telefon, TV/radio og Internett) og av UNINETT til overføring av forskningsdata fra Svalbard til Norge og utlandet. SPN har i tillegg leid satellittkapasitet for et enkelt tjeneste-/sikringssamband til bruk for Sysselmannen og KSAT i tilfelle brudd i kabelforbindelsen.

Gjennom avtale mellom SPN og TNS er all overvåking og drift av anleggene og trafikken gjennom kabelen ivaretatt av Telenor. Telenor er også ansvarlig for all kommunikasjon og annen trafikk som går gjennom fiberkabelen til deres kunder, herunder institusjoner, bedrifter og privatpersoner. TNS har knyttet til seg Telenor Norge for å ivareta av deler av dette ansvaret, for eksempel nettovervåking.

TNS har utarbeidet en egen risiko- og sårbarhetsanalyse (ROS) for denne forbindelsen. SPN er nå i ferd med å utarbeide sin egen ROS-analyse ut fra selskapets eieransvar for kabelen. Ved hendelser som innebærer brudd i den ene eller begge kablene, ved planlagte arbeider på kabelforbindelsen, eller i andre situasjoner der kabelforbindelsen utsettes for risiko, vil TNS og SPN kommunisere og samarbeide om situasjonshåndteringen, herunder varsling til brukerne. Ved brudd i begge kablene samtidig vil eneste kommunikasjon være det enkle tjeneste-/sikringssambandet til bruk for Sysselmannen og KSAT, samt Iridium satellitt-telefoni.

12.2 Roller og ansvar

Leveranse av satellittbaserte tjenester er i hovedsak et internasjonalt anliggende, men flere norske etater er premissleverandører og har en myndighetsrolle på området. Det er ingen etat som har det overordnede ansvaret for satellittbaserte tjenester. Nedenfor gir vi en oversikt over de viktigste myndighetsaktørene.

Nærings- og fiskeridepartementet (NFD) er det nasjonale romdepartementet. NFD møter i ESAs ministerråd og i ESA/EU Space Council. NRS (Norsk romsenter) tar hånd om koordineringen av den nasjonale romsatsingen på vegne av NFD. Bevilgningene til ESA og NRS går i sin helhet over NFDs budsjett, og departementet er ansvarlig for de dominerende delene av den offentlige finansieringen av rominfrastrukturen. NFD er også ansvarlig for Galileo og Copernicus, med NRS som sekretariat.

Kunnskapsdepartementet (KD) er gjennom Meteorologisk institutt og deltagelsen i EUMETSAT en viktig aktør innenfor norsk anvendt romvirksomhet.

Samferdselsdepartementet (SD) har ansvar for koordineringen av den sivile radionavigasjonspolitikken, som også omfatter satellittnavigasjon. Kystverket overvåker skipstrafikk og oljesøl via satellitt og er hovedbruker av de norske satellittene for overvåking av skipstrafikken til havs (AIS).

Justis- og beredskapsdepartementet (JD) har gjennom sitt ansvar for samfunnssikkerhet og krisehåndtering direkte eller indirekte behov for satellitt-tjenester. Redningstjenesten bruker romtjenester i forbindelse med redningsoperasjoner, og JD deltar i søk- og redningssamarbeidet COSPAS-SARSAT. Under redningsaksjoner på Svalbard benyttes i økende grad både satellittkommunikasjon, satellittnavigasjon og jordobservasjon. Satellittbasert infrastruktur blir også benyttet av DSB og NSM. Politiet er en aktuell bruker av nye romtjenester som den offentlig regulerte tjenesten i Galileo.

Justis- og beredskapsdepartementet har også det overordnede ansvaret for de norske polare områdene og for embetsstyringen av Sysselmannen på Svalbard.

Forsvarsdepartementet (FD) bidrar gjennom Forsvarets forskningsinstitutt (FFI) til romforskning og jordobservasjon. Forsvaret og Kystvakten er brukere av informasjon fra jordobservasjons-, kommunikasjons- og navigasjonssatellitter. Forsvarets bruk vil de neste årene bli så omfattende og viktig at Forsvaret vil jobbe for sikker tilgang til satellittkapasitet. Gjennom GLOBUS 2-radaren ved Vardø bidrar Forsvaret til overvåking av romsøppel. FD forvalter avtalen med USA om tilgang til den militære delen av GPS.

Utenriksdepartementet (UD) bidrar til forskningsvirksomhet gjennom prosjektmidler til Forskningsrådet. UD har ansvar for at folkerettslige forpliktelser blir ivaretatt i forvaltningen av norsk romvirksomhet, og for eksportkontroll. UD er involvert i internasjonalt samarbeid der også romvirksomhet er et element, som internasjonalt samarbeid om kriser og beredskap, samt skogvernprosjektet. UD ivaretar også utenrikspolitiske problemstillinger knyttet til romvirksomhet på norsk jord.

Norsk Romsenter (NRS) er en etat under Nærings- og fiskeridepartementet (NFD) og er statens strategiske, samordnende og utøvende organ for å sikre en effektiv utnyttelse av verdensrommet til beste for det norske samfunnet. Norsk Romsenter ivaretar norske interesser i ESA og i EUs satellittnavigasjonsprogrammer, Galileo og EGNOS, samt i EUs jordobservasjonsprogram, Copernicus. NRS forvalter også diverse bilaterale avtaler. Nasjonalt forvalter Norsk Romsenter nasjonale følgemidler og er en støttespiller for norske industriaktører. I tillegg utarbeider de strategier for norsk romvirksomhet.

Meteorologisk institutt (MET) er landets største bruker av jordobservasjonsdata fra satellitt, og representerer Norge i den europeiske meteorologiorganisasjonen EUMETSAT. Instituttet har også noen egne antenner for direkte nedlesing av værdata fra satellitt.

Justervesenet har ansvaret for at Norge har en måleteknisk infrastruktur som både har nasjonal og internasjonal tillit. Justervesenet har også det forvaltningsmessige ansvaret for regelverket innenfor måleteknikk, blant annet normaltid. Justervesenet definerer tid som kritisk infrastruktur.

Nasjonal kommunikasjonsmyndighet (Nkom) er underlagt SD og har ansvar for frekvensforvaltning, herunder også for frekvenser som brukes av satellitter, og for tillatelser til etablering og drift av jordstasjoner. Internasjonale innmeldinger og koordinering foregår gjennom FN-byrået ITU (International Telecommunications Union). Sysselmannen på Svalbard fører, i samarbeid med Forsvarets forskningsinstitutt, tilsyn med forhold som omtales i kapittel 3 i jordstasjonsforskriften29.

Nasjonal sikkerhetsmyndighet (NSM) er tillagt en særlig oppgave knyttet til oppfølgingen av sikkerhetsarbeidet i de europeiske satellittprogrammene Galileo og EGNOS. NSM har også ansvar for oppfølging av avtaler om utveksling av sikkerhetsgradert informasjon og sikkerhetsmessig godkjenning (akkreditering) av infrastruktur på norsk territorium.

UNINETT utvikler og driver det norske forskningsnettet, som forbinder norske utdannings- og forskningsinstitusjoner, og knytter dem opp mot internasjonale forskningsnett. UNINETT har ansvaret for drift av forskningsnettet på Svalbard.

Norsk romindustri består i dag av rundt 40 store og små selskaper spredt over hele landet. De utvikler og produserer alt fra terminaler for satellittkommunikasjon til blomsterpotter for planteforskning i rommet, og selger tjenester fra Antarktis i sør til Svalbard i nord, blant annet:

Telenor har ansvar for Thor-satellittene og Nittedal jordstasjon.

Airbus DS har ansvar for Eik jordstasjon.

Space Norway AS (SPN) støtter opp under Norsk Romsenters operative funksjoner. Selskapet eier den optiske fiberkabelen mellom Svalbard og fastlandet. Kabelen er et sentralt ledd i Norges infrastruktur i nordområdene. Space Norway har 50 prosent eierandel i Kongsberg Satellite Services (KSAT). Space Norway disponerer satellittbasert kommunikasjonskapasitet som dekker Trollstasjonen i Antarktis. Løsningen om bord i Thor 7-satellitten er utviklet i samarbeid med Telenor. Space Norway er også eier av Statsat AS, et selskap som skal håndtere norske statlige småsatellitter, som for eksempel AISSat.

Kongsberg Satellite Services AS (KSAT) eier og drifter infrastruktur og satellittstasjonene på Svalbard, i Tromsø og i Antarktis. KSAT eies av Space Norway AS (SPN) og Kongsberg Defence & Aerospace AS med 50 prosent hver.

Andøya Space Center (ASC) er et senter som gir forskningsstøtte til forskere som studerer mekanismene i atmosfæren, primært ved oppskyting av raketter og forskningsballonger. Beliggenheten på Andøya er svært gunstig for oppskyting. USA og flere europeiske land samarbeider på ASC.

Samordning mellom myndighetsaktører – det interdepartementale koordineringsutvalget for romvirksomhet

Slik det er i dag, finnes det ikke noe overordnet organ som formelt sett har ansvaret for den helhetlige romvirksomheten. Det er imidlertid opprettet et interdepartementalt koordineringsutvalg for romvirksomhet (IKU) som fungerer som informasjonsutvekslings- og møtearena for myndighetsaktørene som har ansvaret for ulike typer romrelaterte saker.30 Utvalget ble opprinnelig opprettet for å koordinere Norges deltagelse i Galileo. IKU koordinerer etter hvert alle romrelaterte tverrsektorielle saker, for eksempel AIS-satellittene, BarentsWatch, Copernicus, Radarsat, romrelatert forskning i og utenfor EUs rammeprogram for forskning og oppfølging av rompolitikken som utvikles i EU og ESA. Utvalget blir ledet av Nærings- og fiskeridepartementet med Norsk Romsenter som sekretariat.

Underlag for en nasjonal romsikkerhetsstrategi

Norsk Romsenter (NRS) har tatt initiativ til å utarbeide et underlag for en nasjonal romsikkerhetsstrategi. Underlaget skal blant annet omhandle problemstillinger rundt arbeidet for et sikkert og bærekraftig rommiljø, sikkerhetsutfordringer knyttet til bygging, drift og utnyttelse av rominfrastruktur i rommet, sårbarhet knyttet til samfunnets avhengighet av satellittbaserte tjenester og hvordan rombasert infrastruktur kan styrke sikkerhetsnivået på ulike samfunnsområder. I arbeidet innhenter NRS innspill fra en rekke av de sentrale aktørene som er nevnt ovenfor. Arbeidet er ventet ferdigstilt i desember 2015.

Internasjonalt samarbeid

Rombaserte tjenester består av et utstrakt internasjonalt samarbeid, der departementer, etater og private virksomheter deltar på en rekke ulike områder. I tillegg til områdene som er nevnt over, samarbeider blant annet romfartsnasjonene i Inter-Agency Space Debris Coordination Committee (IADC) for å få kontroll over forurensingen av satellittbanene.31

Sivilt–militært samarbeid

Mye av romvirksomheten bærer preg av å ha en flerbruksnatur (dual-use) og omfatter derfor sikkerhetsrelaterte problemstillinger, som for eksempel eksportkontroll. Forsvaret er kunde av tjenester fra Kongsberg Satellite Services, blant annet når det gjelder nedlesing og prosessering av data fra den kanadiske satellitten Radarsat-2. Innen satellittkommunikasjon kjøper Forsvaret noen tjenester fra kommersielle aktører.

Tabell 12.1 Et utvalg relevante lover og tilhørende ansvarlig myndighet

Lov/Traktat

Angår

Ansvarlig dept./etat

Sikkerhetsloven med forskrifter

Forebyggende sikkerhet

JD/FD (NSM)

Ekomloven med forskrifter

Regulering av beskyttelse og radiofrekvenser + bakkestasjoner

SD (Nkom)

Svalbardtraktaten

Bruk av Svalbard til ikke-militære formål

UD/JD

Romloven

Lov om oppskyting av gjenstander fra norsk territorium ut i verdensrommet

NFD

International Convention on Maritime Search and Rescue

Internasjonal koordinering av SAR

JD

Metarea 19

Værvarsling

KD (met.no, Kystverket)

Galileo/Copernicus-forordningene

Beskyttelse av infrastruktur og tjenester

NFD (NRS)

Romregistreringskonvensjonen

Forvaltning av romregister for norske satellitter

UD (NRS)

ITU-konvensjonen

Frekvensfordeling

SD (Nkom)

Svalbardloven med forskrifter

Etablering, drift og bruk av bakkestasjoner med mer

SD

Havressursloven med forskrifter

Krav til satellittsporingsutstyr om bord på fiskebåter med mer

NFD, Fiskeridirektoratet

Lov om petroleumsvirksomhet med forskrifter

Satellittsporing av seismikkskip

OED

Skipssikkerhetsloven med forskrifter

Krav til kommunikasjonsutstyr med mer

NFD

Kilde: Norsk Romsenter.

12.3 Hjemmelsgrunnlag og regulering

Regulering av romvirksomheten er hjemlet i mange ulike lover og forskrifter, og ansvaret for oppfølging tilhører ulike departementer og etater. Lovverket som angår norsk romvirksomhet, er på denne måten relativt komplekst. I tabellen over er det listet opp relevante lover og forskrifter med tilhørende ansvarlig myndighet. Tabellen er ikke utfyllende.

12.4 Sårbarheter i satellittbaserte tjenester

Samfunnets avhengighet av satellittbaserte tjenester fører også til en ny type risiko. Trusler fra eksempelvis sabotører, cyberangrep, kollisjon med romsøppel eller naturfenomener som romvær kan gjøre betydelig skade på samfunnets verdier gjennom å slå ut kritisk satellittinfrastruktur. Håndtering av denne risikoen er blitt en viktig myndighetsoppgave i Norge og blant store internasjonale aktører som EU og USA.

Sårbarheter i infrastruktur for satellittbaserte tjenester kan eksempelvis knyttes til

  • selve satellittene og radioforbindelsen til/fra disse

  • stasjoner på bakken (jordstasjoner)

  • terminalutstyr hos brukerne

Konsekvensene av feil og skader på disse elementene og bevisst eller ubevisst påførte forstyrrelser kan for berørte brukere være av kritisk karakter. Norge har eierskap og operasjonelt ansvar for både satellitter og jordstasjoner.

Tabell 12.2 Trusler som kan påvirke rombasert virksomhet

Fysisk infrastruktur

System

Tilsiktede

Anslag mot infrastruktur

Interferens

Cyberangrep

Utilsiktede

Romvær

Romskrot

Naturfenomener

Menneskelig svikt

Interferens

12.4.1 Trusler mot romrelatert infrastruktur

I 2002 uttrykte USAs riksrevisjon, GAO (General Accounting Office) bekymring over at kommersielle satellitter er sårbare for hackere. Siden 2004 har flere presentasjoner på hackersamlinger som Undercon og Black Hat drøftet muligheten for misbruk av datasamband via satellitt i ulike former for kriminell virksomhet. Eksempelvis påstår en presentasjon på hackersamlingen Black Hat at man med gratis programvare og standardutstyr verdt 50 euro kan misbruke datakommunikasjon over satellitt til ikke-sporbare angrep.

Etableringen av mulige alternative satellittnavigasjonssystemer til GPS, gjennom utbyggingen av Galileo, GLONASS og Beidou, bidrar til å redusere sårbarheten som følger med det å være avhengig av ett enkelt system. Den offentlig regulerte tjenesten Public Regulated Service (PRS) som planlegges for EUs Galileo-program, skal sikre nasjonale beredskapsmyndigheter tilgang til krypterte satellittnavigasjonstjenester. Disse vil være mindre sårbare for forsøk på sabotasje og manipulasjon.

Global informasjonsutveksling og verdensomspennende handel med elektroniske komponenter som oscillatorer, tunere, forsterkere, transistorer og batterier gjør støysendingsutstyr lett tilgjengelig til lave priser. Miniatyriseringen av komponenter bidrar til å gjøre støysendere skjulbare, lett transportable og dermed vanskelige å detektere. Risikoen for tilsiktet forstyrrelse av satellittsignaler er derfor reell.

Etter hvert som satellittsystemer får stadig større betydning for kritiske anvendelser som luftfart, sivil beredskap og aktiviteter relatert til Forsvaret, er det naturlig at disse systemene vil kunne være mål for fiendtlige angrep, både i form av angrep mot fysisk infrastruktur og i form av cyberangrep mot styrings- og driftssystemer.

Interferens, det vil si blokkering av signaler, kan være et resultat av både tilsiktede og utilsiktede hendelser. Tilsiktet interferens kan forårsakes av eksempelvis støysending (jamming), utsending av falske signaler (spoofing) eller retransmisjon av forsinket signal (meaconing).

Satellittnavigasjonssignaler er i utgangspunktet svake og vil lett kunne forstyrres av et sterkere jammesignal. Et jammesignal kan derfor redusere navigasjonsnøyaktigheten og gi feilaktig tidsinformasjon. Risikoen for tilsiktede forstyrrelser er reell, særlig ettersom radioutstyr som kan benyttes til dette, er relativt billig og lett tilgjengelig.

Sannsynligheten for at signalskjerming inntreffer, er avhengig av topografiske forhold og brukernes generelle kunnskap om egenskapene ved satellittsystemer. Risikoen for flerveisinterferens er stor i mange brukeromgivelser, spesielt i byområder og tett ved store konstruksjoner.

12.4.2 Samfunnets avhengighet av satellittbaserte tjenester

I Norge har romvirksomheten blitt en forutsetning for effektiv og sikker samfunnsdrift og for å følge opp prioriterte politiske målsettinger i nordområdene og i klima- og miljøpolitikken.

Satellittkommunikasjon punkt til punkt har til nå vært relativt kostbart sammenlignet med andre alternativer og benyttes derfor primært der annen infrastruktur ikke er tilgjengelig. I tillegg brukes den ofte som reserveforbindelse (backup) for kritiske forbindelser til for eksempel utestasjoner. For omtale av avhengigheter av satellittbaserte tjenester i sjøtransport, se punkt 18.4 «Sjøtransport».

Maskin-til-maskin-kommunikasjon, som fjernovervåking av anlegg og installasjoner og prosesstyring (også kalt SCADA), er et bruksområde i vekst, og avhengigheten av slike systemer er økende. Tabell 12.3 viser en oversikt over samfunnsfunksjoners avhengighet av satellittbaserte tjenester. Tabellen er ikke utfyllende.32

Tabell 12.3 Samfunnsfunksjoners avhengighet av satellittbaserte tjenester

Kritisk samfunnsfunksjon

PNT, kommunikasjon, jordobservasjon

Merknad

Opprettholde trygghet for liv og helse

Posisjon, navigasjon og tid, kommunikasjon og jordobservasjon

Nødetatene, inkludert Nødnett, er helt avhengige av PNT. Det samme gjelder SAR. Ved landing av fly benyttes GNSS støttesystemer (SBAS/GBAS). Elektroniske kartsystemer (ECDIS) og andre systemer for navigasjon og for rapportering av skipets posisjon er helt avhengige av satellittnavigasjonssystemet om bord. Kommunikasjon via satellitt er i enkelte områder eller når bakkenett er satt ut av drift, eneste mulighet for kommunikasjon eller kringkasting av informasjon. Værvarsling, skredvarsling og flomvarsling er avhengig av jordobservasjonstjenester fra satellitter.

Opprettholde lov og orden

Posisjon, navigasjon og tid

Nødetatene er helt avhengige av PNT. Tollvesenet er avhengig av PNT.

Opprettholde finansiell stabilitet

Tid

Finansnæringen er helt avhengig av tidssignaler i transaksjoner.

Opprettholde befolkningens behov for varme

Tid

Styring av kraftnett er helt avhengig av presis tid og frekvens.

Ivareta styring og kriseledelse

Posisjon, navigasjon og tid, kommunikasjon og jordobservasjon

PNT, satellittkommunikasjon og data fra jordobservasjonssatellitter sammen med geodata kan i noen kriser vært svært viktige verktøy.

Ivareta nasjonal sikkerhet

Jordobservasjon, PNT og kommunikasjon

Militære operasjoner er helt avhengige av PNT, og satellittkommunikasjon og data fra jordobservasjonssatellitter kan være vesentlig i enkelte sammenhenger. Suverenitetshevdelse og overvåking, spesielt av Norges store havområder, er avhengig av data fra jordobservasjonssatellitter.

Beskyttelse av natur og miljø

Jordobservasjon, satellittkommunikasjon, posisjon, navigasjon og tid

Detektering av oljesøl i havområder er helt avhengig av jordobservasjonssatellitter. For å unngå utslipp fra skip ved kollisjon eller grunnstøting er man avhengig av navigasjon, kommunikasjon og jordobservasjonssatellitter.

Vare- og persontransport

Posisjon, navigasjon og tid

Særlig luft- og sjøfart, men også veitransport og sikring av verdifull og farlig last, er avhengig av PNT.

Ekomtjenester

Satellittkommunikasjon

Kommunikasjon via satellitt er i enkelte områder eller når bakkenett er satt ut av drift, eneste mulighet for kommunikasjon eller kringkasting av informasjon.

Elforsyning

Tid og satellittkommunikasjon

Styring av kraftnett er helt avhengig av presis tid og frekvens. Det samme gjelder fjernstyring av kritisk infrastruktur der bakkebasert kommunikasjon ikke er tilgjengelig, for eksempel damanlegg.

Meteorologiske tjenester

Jordobservasjon, PNT

Værvarsling er helt avhengig av jordobservasjonssatellitter og bidrag fra navigasjonssatellitter.

Olje og gass

Posisjon, navigasjon og tid

Dynamisk posisjonering.

Kilde: DSB.

12.4.3 Romvær og romskrot

Romskrot er biprodukter av ulike typer romvirksomhet og består hovedsakelig av gamle satellitter som er tatt ut av drift, fragmenter av satellitter, utbrente deler av bæreraketter, fragmenter etter kollisjoner, samt objekter som er mistet i forbindelse med at astronauter har oppholdt seg utenfor romfartøyer. Når det gjelder den generelle risikoen for kollisjon med romskrot, er den størst i den lave jordbanen, der de operative observasjons- og kommunikasjonssatellittene befinner seg, sammen med ikke-aktive satellitter, rakettrester og annet romskrot.

Den tekniske kompetansen og evnen til å bruke våpensystemer mot satellitter er det i dag et begrenset antall stater, primært USA, Russland og Kina, som har. Et angrep i en krigssituasjon vil foruten eskalerende effekter ha store konsekvenser også for en angripers egen bruk av rommet, da et angrep med fysisk ødeleggelse vil skape enda mer søppel, som også vil komme til å utgjøre en trussel mot angriperens egne romsystemer.

Trusler mot brukernes utstyr i denne sammenhengen består i blokkering av signaler på grunn av radiostøy, ionosfæriske fenomener eller tilsiktet interferens, samt villedning gjennom utsendelse av falske signaler. Mangelfull brukerinnsikt kan derfor øke risikoen for at feilnavigering kan føre til ulykker.

Av utilsiktede hendelser vil romvær kunne slå ut kommunikasjon og føre til unøyaktig satellittnavigasjon, noe som igjen kan skape kritiske situasjoner. Romvær kan også forstyrre retningsstyrt oljeboring og leting etter olje og gass der det brukes magnetiske sensorer.

Norge er mer sårbart for romvær ettersom vi opererer teknologi lenger nord enn de fleste andre land. Det er derfor viktig at samfunnet er klar over disse effektene og settes i stand til å takle kraftig uvær i rommet.

Tilsvarende vil naturhendelser på jorden kunne utgjøre en trussel mot den bakkebaserte romvirksomheten.

Bruk av ett system (GPS) i nordområdene i perioder med kraftig ionosfærisk aktivitet kan innebære risiko for bortfall av signaler i korte tidsrom. Tilgang til flere satellitter vil gi bedre spredning av satellitter på himmelen, noe som igjen vil kunne gi bedre ytelse og økt signaltilgjengelighet i slike situasjoner. Faren for signalsvekkelse eller -tap på grunn av stor ionosfærisk aktivitet er reell i perioder med høy solaktivitet. Disse forholdene gjør det nødvendig med tiltak på brukersiden. Under meteoroideskurer velger derfor satellittoperatører å redusere den eksponerte flaten ved å reposisjonere satellittenes solpaneler.

Boks 12.1 Romvær

Kraftige solstormer kan gi stråling mot jorden, noe som kan ødelegge elektronikken i satellitter. De kan også gi forstyrrelser i ionosfæren og i magnetfeltet som kan påvirke kvaliteten på trådløs kommunikasjon og navigasjon. I forbindelse med solflekkmaksimum i 2013/2014 har solstorm med påfølgende geomagnetisk storm her på jorden vært et av momentene i det nasjonale risikobildet hos DSB de siste årene.

Kartverket har en sanntidstjeneste for varsling av brukerne av presisjonsnavigasjon når det registreres geomagnetiske stormer. På samme måte varsles mange oljeselskaper fra Romværsenteret ved Tromsø Geofysiske Observatorium når det er geomagnetiske forstyrrelser som kan påvirke horisontale boreoperasjoner offshore.

12.4.4 Menneskelig svikt

Menneskelig svikt kan også utgjøre en trussel mot drifts- og støttesystemer. Skader og ulykker kan eksempelvis inntreffe ved operatørfeil eller når brukere har mangelfull innsikt i begrensninger og muligheter ved bruk av satellittmottakerutstyr.

Interferens kan, som nevnt ovenfor, forekomme som følge av både tilsiktede og utilsiktede hendelser. Utilsiktet interferens kan eksempelvis inntreffe når signaler fra andre radiotjenester forstyrrer eller blokkerer mottak av satellittsignaler. Slike forstyrrelser kan oppstå dersom annet radioutstyr sender på de samme eller nær frekvensene som benyttes for satellittsignalene.33

12.4.5 Restsårbarhet og redundans

Selv om det stadig arbeides med å øke sikkerheten i systemene, i tjenester og i brukerutstyret, er det et sterkt behov for økt bevissthet og kjennskap til risikofaktorene hos brukere når det gjelder avhengighet og sårbarhet. Sektorbaserte og bedriftsinterne risikoanalyser for å iverksette relevante og kosteffektive sårbarhetsreduserende tiltak, er relevant i så måte.

Satellittbaserte systemer vil i flere sammenhenger kunne benyttes for å gi redundans til bakkebaserte løsninger. Samtidig vil det være tilfeller der det motsatte er aktuelt.

Når det gjelder satellittnavigasjonssystemer, vil ulike bakkebaserte metoder kunne gi redundans. De ulike metodene har forskjellige sterke og svake sider, og det kan være en utfordring å finne en bakkebasert løsning som dekker behovene i alle brukersegmenter. Dessuten eksisterer det også sårbarheter knyttet til de bakkebaserte løsningene.

Eksempler på systemer som kan benyttes som redundans for forskjellige typer PNT-tjenester som nå leveres over satellitt, er radarsystemer, VHF Omnidirectional range (VOR) and distance measuring equipment (DME), Wide Area Multilateration (WAM), eLoran og digitalt bakkenett kombinert med atomklokker. Det digitale bakkenettet med tilhørende sendere er godt utbygd og meget godt egnet for å distribuere tid fra atomklokker. Å utnytte dette nettverket kan være kostnadseffektivt for å få opp en redundans i forhold til tidsanvendelser i kraftnett og nødnett, og for finansielle transaksjoner og andre anvendelser som har behov for presis tid.

Loran-C og eLoran

Med sin rekkevidde på 1 000–1 200 km over vann dekker Loran-C (Long Range Navigation System) store deler av norske havområder. I disse farvannene kan fartøyer som er utstyrt med Loran-C-mottakere, bruke systemet som et redundant radionavigasjonssystem. Imidlertid er bare et lite antall skip i dag utstyrt med Loran-C-mottaker. Regjeringen besluttet i 2013 at det ikke skulle bevilges midler til oppgradering til eLoran. Samtidig ble det klart at man ville legge ned Loran-C som tjeneste fra 1. januar 2016. Det er imidlertid flere som påpeker nødvendigheten av at systemet blir beholdt som en backup til satellittnavigasjonssystemer. Selv om det etter hvert kommer flere satellittbaserte PNT-plattformer, lider de prinsipielt av noen av de samme digitale sårbarhetene som eksempelvis sårbarhet for elektronisk jamming eller bruk av narresignaler (spoofing) som kan mislede brukeren. Et system som eLoran ville absolutt kunne representere et jammeresistent alternativ til GPS i områder med dekning, men det krever at det er brukere av systemet, og at det produseres mottakerutstyr i volumer som bygger opp under bruk. Avgjørelsen om nedleggelse av Loran-C uten oppgradering til eLoran er et godt eksempel på en avgjørelse som krever at interesser fra flere brukergrupper og sektorer blir belyst og tatt inn i en overordnet kost–nytte-analyse som er forankret i et realistisk trusselbilde. Lysneutvalget har ikke hatt grunnlag til å følge opp denne typen problemstillinger.

12.4.6 Bevissthet rundt sårbarhet og risiko

Det har vært en betydelig økning i bruken av rombaserte tjenester på en rekke samfunnsområder. Utviklingen har gått raskt, og det har i intervjuene kommet frem bekymringer knyttet til at aktørene som benytter seg av rombaserte tjenester, i for liten grad er bevisste på den avhengigheten og sårbarheten dette medfører.

Aktørene som er avhengige av rombaserte tjenester, gjennomfører i varierende grad egne sårbarhetsanalyser. Det synes å være stor forskjell på i hvilket omfang forskjellige sektorer har tatt innover seg dette nye risikobildet, både med hensyn til hvor omfattende bruken av rombaserte tjenester er, hvor avhengig man er av satellittnavigasjon, og i hvilken grad de skal forholde seg til bortfall og forstyrrelser.34

Dette understøttes av innspill som er kommet frem i intervjuer med sentrale aktører, der det blant annet etterlyses at myndighetsansvaret knyttet til blant annet følgende punkter bør tydeliggjøres:

  • å vurdere risiko og sårbarhet

  • å utarbeide tilstandsrapporter, initiere og gjennomføre nødvendige utredninger og foreslå tiltak

  • å føre tilsyn med virksomheter opp mot gjeldende lovverk eller yte romfaglig bistand til eksisterende tilsynsmyndigheter

  • å identifisere avhengigheter

  • å sørge for kontakt mellom myndigheter – sektorovergripende «uavhengig» dialog

  • å gi virkemidler til å regulere romvirksomheten

  • å stille krav knyttet til bruk av rombaserte tjenester

  • å etablere en helhetlig nasjonal romsikkerhetsstrategi

Boks 12.2 Svalbardkabelen

I løpet av de siste fem årene har kabelforbindelsen blitt brutt to ganger: cirka 4,5 timer i juni 2014 og cirka 10 minutter i september 2014. Begge gangene skjedde det i forbindelse med oppgradering av endeutstyret i kabelen, og begge gangene som følge av svikt hos underleverandører som utførte selve oppgraderingsarbeidet. Det første bruddet fikk store konsekvenser for brukerne, blant annet måtte Svalbard lufthavn stanse all flytrafikk.

12.4.7 Sårbarheter knyttet til verdikjeder

Det finnes ingen overordnet myndighet som regulerer norsk romvirksomhet og de satellittbaserte tjenestene som samfunnet er avhengig av. At ansvaret er fordelt på flere ulike myndigheter, innebærer ikke nødvendigvis gråsoner uten ansvar eller sårbarheter knyttet til dette. Innenfor romvirksomheter er det imidlertid mange som påpeker at det fragmenterte ansvarsforholdet kan innebære en sårbarhet – ikke minst i tiden fremover, da satellittbaserte tjenester som innsatsfaktor for kritiske samfunnsfunksjoner blir enda mer sentralt.

Et eksempel er knyttet til å ivareta Svalbardkabelens funksjonalitet og sikkerhet. Samarbeidet med NASA og NOAA var utslagsgivende for at det ble lagt fiberkabel til Svalbard i 2004. I tillegg til operativ værvarsling og overvåking av atmosfærens og havets tilstand driver NOAA en utstrakt forskningsvirksomhet. Blant annet har organisasjonen ansvaret for flere meteorologiske satellitter og måledata som kommer fra disse.

Kabelen må anses som en særdeles viktig del av den norske rominfrastrukturen. Den har i dag mange andre oppgaver for befolkningen på Svalbard og er kritisk for Svalbards kommunikasjonsløsninger med fastlandet. Svalbardkabelen er også kritisk med tanke på norske internasjonale forpliktelser.

Dentekniske sårbarheten i kabelforbindelsen knytter seg primært til feil i det digitale endeutstyret eller signalforsterkerne, svikt i kraftforsyningen og svikt i spenningsmatingen til signalforsterkerne. Den fysiskesårbarheten knytter seg primært til brann i lokaler som huser fiberrelatert utstyr, sabotasje, overgraving av kabelen på land og brudd i kabelen til sjøs som følge av fiskeriaktivitet, ras på sjøbunnen eller lignende.

Den samfunnsmessige sårbarheten knytter seg til det faktum at det ikke er andre muligheter for bredbåndet telekommunikasjon til Svalbard, bortsett fra meget begrensede og kostbare satellittforbindelser. I tillegg til de drøyt to tusen innbyggerne i Longyearbyen, Svea og Ny-Ålesund vil viktige institusjoner som Sysselmannen, Avinor og Longyearbyen sykehus bli sterkt skadelidende om kabelforbindelsen blir brutt. Norges internasjonale forpliktelser overfor for eksempel EU (Galileo) vil ikke kunne overholdes om kabelforbindelsen faller ut.

Deler av satellittinfrastrukturen på Svalbard er underlagt krav og tilsyn med hjemmel i sikkerhetsloven noe som innebærer at det skal beskyttes i henhold til de føringene som NSM gir. Space Norway påpeker imidlertid en stor utfordring knyttet til at det i dette regimet kun gis føringer for å vurdere beskyttelse mot tilsiktede hendelser, mens de største utfordringene og den største risikoen for forbindelsen er knyttet til utilsiktede hendelser. Det er videre en utfordring at objektsikkerhetsregimet bare ser på deler av en verdikjede, noe som gjør at sikkerhetstiltak som blir etablert, ikke vil ha tilstrekkelig effekt, siden kjeden ikke blir sikrere enn det svakeste leddet. De fysiske beskyttelsestiltakene som SPN kan iverksette for eksempel på Svalbardkabelen, er primært knyttet til ilandføring på Svalbard og i Harstad, og tar ikke høyde for sikkerheten videre. Fra enden av kabelen på Svalbard og videre inn til bebyggelsen er det andre aktører som har et ansvar, og det samme gjelder på fastlandet. Linjetermineringsutstyret som SPN eier, er plassert i lokaler som leies av andre aktører, og der andre har sikkerhetsansvaret.

Svalbardkabelen representerer et svært sentralt eksempel på verdikjeder innen satellittbaserte tjenester og hvordan ulike aktører og virksomheter er avhengige av hverandre. Utvalget ser det som en utfordring at det er flere andre eiere «utenfor kabelen» og i liten grad et ende-til-ende-fokus. En konsekvens av dette er at det ikke nødvendigvis stilles krav til sikkerhet som ivaretar et helhetlig sårbarhetsperspektiv.

Samtidig er det ingen overordnet myndighet som har et helhetsbilde av hvilke samfunnstjenester som er avhengige av kabelens funksjonalitet eller sørger for at alle hensyn blir ivaretatt ved for eksempel oppgradering, sikkerhetstiltak eller vedlikehold.

Hendelser som fører til brudd i kabelforbindelsen, berører ikke bare det nasjonale, også de internasjonale forpliktelsene Norge har, blir berørt ved en mulig svikt.

Kabelens levetid er anslått til 25 år – til 2029. Det er uklart om SPN som kabeleier vil ha eller kan ta ansvar for fornyelse av kabelforbindelsen eller ha økonomisk løftekraft til å gjøre det uten myndighetenes medvirkning.

12.5 Vurderinger og tiltak

12.5.1 Tydeliggjøre myndighetsansvar for norsk romvirksomhet

De fleste samfunnsområder er i dag mer eller mindre avhengige av satellittbaserte tjenester, enten det er PNT, kommunikasjon, jordobservasjon eller annet. Myndighetsbildet knyttet til området er komplekst. Regulering av romvirksomheten er hjemlet i mange ulike lover og forskrifter, og ansvaret for oppfølging av romsektoren er desentralisert.

Det er grunn til å tro at ikke alle sårbarheter i et verdikjedeperspektiv er kjent og innkalkulert i eksisterende ROS-vurderinger og i forebyggende og beredskapsmessige tiltak som skal redusere sårbarheten i den enkelte sektor. Videre er det slik at den akkumulerte sårbarheten, knyttet enten direkte eller indirekte til bruk av satellittbaserte tjenester, ikke nødvendigvis samsvarer med summen av alle delbidragene. Uavhengig av om total avhengighet ikke samsvarer med summen av alle delbidragene, vil summen av sikringstiltak etter sin natur sjelden samsvare med et nødvendig sikringsnivå. Det synes derfor naturlig å vurdere om det bør være et myndighetsorgan som får særskilt ansvar for å følge opp satellittbaserte tjenester på nasjonalt, tverrsektorielt nivå. De fleste av aktørene som Lysneutvalget har vært i dialog med relatert til romvirksomhet, etterlyser større oppmerksomhet fra myndighetssiden på området – både når det gjelder overordnet regulering og krav til et sikkerhetsarbeid som evner å se helheten og bredden i dette komplekse feltet.

Videre er det tverrsektorielle avhengigheter som medfører et behov for samordning mellom sektorene. Problemdefinisjoner, virkemidler og tilskuddsordninger som er utviklet i én sektor, kan eksempelvis skape utilsiktede konsekvenser for måloppnåelsen i en annen sektor. Samtidig kan enkelte sektorer være avhengige av at andre sektorer medvirker, for å kunne nå sine mål. Koordineringen mellom myndighetsaktørene er imidlertid i liten grad formalisert. Det interdepartementale koordineringsutvalget har ikke selv beslutningsmyndighet, og utvalget synes også å kunne være sårbart overfor utskifting av nøkkelpersonell i de ulike departementene og etatene.

Utvalget anbefaler derfor at det blir tydeliggjort et myndighetsansvar for norsk romvirksomhet.

Behovet for tydeliggjøring av myndighetsansvaret for norsk romvirksomhet oppsummeres i følgende tre punkter:

Man bør

  • øke bevisstheten rundt de ulike samfunnsområdenes sårbarheter og risiko knyttet til romvirksomhet

  • identifisere avhengigheter og det samlede sårbarhetsbildet knyttet til romvirksomheten

  • stille krav til og føre tilsyn med romvirksomheten

For å kunne utføre disse oppgavene må myndigheten som får ansvaret, tilføres kompetanse til å kunne utføre oppgavene. Myndigheten som får det overordnede ansvaret, trenger derfor en grunnleggende forståelse av romvirksomhet og generell innsikt på området, men ikke nødvendigvis på et teknisk nivå. Fokuset bør trolig være på sårbarhetsaspektet og hvordan sårbarheter kan reduseres. I tillegg vil det kunne være relevant med kompetanse på hvordan samfunnet skal håndtere en situasjon der rombaserte tjenester svikter. Til dette kreves kompetanse innen samfunnssikkerhet og beredskap.

Lysneutvalget ser det som formålstjenlig at det i første rekke opprettes en mindre enhet, bestående av fem stillinger, som får som oppgave å vurdere videre hva som per i dag eksisterer av retningslinjer, lover, regler og så videre for satellittbaserte tjenester, og deretter utleder hva som må etableres av nytt regelverk, retningslinjer, tilsynsbehov og andre reguleringsmekanismer. Kostnader knyttet til tiltaket vil utgjøre om lag 5,5 millioner kroner årlig.35

Basert på egne vurderinger og en utredning fra Oslo Economics anbefaler utvalget at ansvaret enten legges til Nkom eller til DSB. Utvalget mener det kreves en egen vurdering for å kunne beslutte hvilken av disse enhetene som skal ivareta dette ansvaret.

13 Energiforsyning

Svikt i forsyningen av elektrisk kraft får konsekvenser for alle samfunnssektorer og digitale systemer som samfunnet er avhengig av. I Norge er det høy leveringssikkerhet for elektrisk kraft. Samtidig er det umulig å garantere 100 prosent leveringssikkerhet.

Selskapene i energiforsyningen har i mange år benyttet IKT-systemer for å understøtte drift og for å overvåke og fjernstyre anleggene i energiforsyningen. Dette er i dag svært komplekse systemer, som omfatter selve driftskontrollsystemet (SCADA)36, datanettverk for å føre signaler til og fra SCADA-systemet og ut til anleggene, stasjonsdatamaskiner og utstyr som oversetter digitale signaler til fysisk handling i stasjonene, samt nettverksutstyr som binder driftskontrollsystemet sammen. Inkludert i driftskontrollsystemet er også driftssentralene, der operatørene får sanntidsinformasjon om tilstanden i kraftsystemet og kan fjernstyre anleggene. Tidligere var dette helt særegne systemer som var helt uavhengige av andre IKT-systemer som virksomhetene benyttet. Systemene ble bygd for maksimal tilgjengelighet og integritet. Ivaretakelsen av konfidensialiteten var ikke prioritert, da systemene ikke hadde kontakt med omverdenen. I dag er situasjonen en helt annen.

IKT er i dag en integrert og svært viktig del av energiforsyningen for å kunne tilfredsstille samfunnets krav til effektiv drifts- og forsyningssikkerhet. For å oppnå dette har driftskontrollsystemene blitt knyttet stadig tettere opp mot tilgrensende systemer som for eksempel systemer for måling, avregning og fakturering, kundeinformasjonssystemer (KIS), nettinformasjonssystemer (NIS), geografiske informasjonssystemer (GIS) og kontorstøttesystemer.

Innføring av automatisk måling og avregning (AMS), som innebærer at alle strømkunder får installert en strømmåler med toveiskommunikasjon til nettselskapet, vil øke innslaget av IKT i virksomhetene betydelig. AMS vil gi nettselskapene langt bedre informasjon om status og tilstand i overføringsnettet og flere og mer effektive styringsverktøy. Samtidig er utrullingen av AMS med på å forsterke avhengigheten mellom energiforsyningen og ekomsektoren, som er sterk fra før. Selskapene benytter i stor grad tjenester fra kommersielle ekomtilbydere for å overføre signaler fra AMS-målerne og inn til nettselskapene.

Denne utviklingen har gjort at høy driftssikkerhet i energiforsyningen, herunder god IKT-sikkerhet, er blitt sentralt for samfunnet og bransjen.

13.1 Kraftsystemet

Cirka 98,5 prosent av den norske elektrisitetsproduksjonen kommer fra vannkraftverk, hvorav den største delen er regulerbar. Levering av fjernvarme har økt vesentlig i omfang de senere årene. For helseinstitusjoner er dette av spesielt stor betydning gjennom hele året.

Kraftsystemet er et sammenhengende og komplekst system, og både utbygging og drift av de enkelte elementene må koordineres for at systemet skal fungere tilfredsstillende. Kraftsystemet er i stor grad redundant, og betydningen av det enkelte anlegget vil variere med revisjoner, nedbør, temperatur, årstid og tidspunkt på døgnet.

Kraftnettet deles inn i tre nettnivåer: sentral-, regional- og distribusjonsnett. Sentralnettet består i hovedsak av kraftledninger med 300 eller 420 kV spenning og knytter sammen forbrukere, produsenter og overføringsledninger til utlandet. Sentralnettet består i enkelte deler av landet også av kraftledninger med 132 kV spenning. Regionalnettene er bindeledd mellom sentralnettet og distribusjonsnettene. De mest utbredte spenningsnivåene i regionalnettene er 132 kV og 66 kV. Distribusjonsnettene sørger normalt for distribusjon av kraft til sluttbrukerne, som husholdninger, tjenesteytere og annen næringsvirksomhet. Store industrivirksomheter og kraftkrevende industri er koblet direkte på 132 kV- og 420 kV-nettet. Distribusjonsnettene har normalt en spenning på opptil 22 kV, men spenningen transformeres ned til 230 volt før den leveres til vanlige strømforbrukere.

Sentralnettet drives som en enhet med Statnett SF som operatør og dominerende eier (om lag 90 prosent). Det øvrige sentralnettet er fordelt mellom 20 eiere. Hafslund Nett AS, BKK Nett AS og SKL Nett AS har de største eierandelene. Underliggende nett har en variert eiersammensetning. Det er mange nettselskaper, og enkelte selskaper eier både deler av sentralnettet og regionalnett. Noen få av dem eier også distribusjonsnett.

Figur 13.1 Kraftsystemet.

Figur 13.1 Kraftsystemet.

Kilde: Basert på Skagerak Energi.

Innkjøp av komponenter og teknologi til bruk i det norske kraftsystemet baseres på internasjonale standarder, for eksempel CENELEC og IEC, der utstyret godkjennes av nasjonale standardiserings- og kontrollorganer (NEK, Nemko). I tillegg er sentrale komponenter og utstyr som blir brukt i kraftsystemet, underlagt NVEs beredskapskrav, Justervesenets kvalitetskrav og DSBs forskriftskrav.

13.2 Roller og ansvar

Olje- og energidepartementet (OED) har det overordnede ansvaret for energiforsyningen. Samordningsinstruksen pålegger OED å ha oversikt over risiko og sårbarhet i egen sektor, herunder IKT-sikkerhet.

Norges vassdrags- og energidirektorat (NVE) har ansvar for å forvalte Norges vann- og energiressurser, og er beredskapsmyndighet for kraftforsyningen. NVE fører tilsyn med sikkerhet og beredskap med utgangspunkt i beredskapsforskriftens krav. Forvaltningen skjer gjennom regelverk og regelverksutvikling, veiledning og tilsyn, men også gjennom FoU.

Enhetene i Kraftforsyningens beredskapsorganisasjon (KBO) har en varslings- og rapporteringsplikt til NVE ved hendelser som truer sikkerheten. Alle selskaper som har konsesjon til å eie eller drive nett, kraftproduksjon eller fjernvarme, inngår automatisk i KBO. NVE følger i denne sammenheng opp de 200 KBO-enhetene innen nett, produksjon og fjernvarme. I tillegg utøves NVEs forvaltningsrolle gjennom ulike samvirkearenaer med bransjen og gjennom samarbeid med andre myndigheter. NVE etablerte i 2013 Samvirke for infrastruktur, som er et beredskapsforum for myndigheter som har et fag- og/eller tilsynsansvar for infrastrukturer i Norge. Målsettingen er et effektivt samvirke mellom etater som ledd i en god og robust samfunnsberedskap. Beredskapsforumet er organisert som et likeverdig kollegium, og NVE ivaretar sekretariatrollen.

Statnett ivaretar både rollen som systemansvarlig og rollen som anleggseier. Som systemansvarlig for kraftsystemet har Statnett ansvar for å opprettholde den nordiske balansen mellom produksjon og forbruk og ivareta driftssikkerheten i kraftsystemet. Rollen som anleggseier av hoveddelen av sentralnettet innebærer å drifte om lag 1 000 km med høyspentlinjer og 150 stasjoner over hele landet. Driften overvåkes av én landsentral og tre regionsentraler.37 Statnett har også ansvar for forbindelser til Sverige, Finland, Russland, Danmark og Nederland. Statnett er et statsforetak (SF) opprettet i henhold til statsforetaksloven og er eid av staten ved Olje- og energidepartementet.

Nord Pool er en kraftbørs som driver handel med og «clearing»38 av fysiske og finansielle kraftkontrakter i Norden. Det er bare store aktører i kraftmarkedet som handler direkte på kraftbørsen Nord Pool eller gjennom bilaterale kraftkontrakter. Disse aktørene omfatter kraftprodusenter, kraftleverandører, tradere, meglere, større industribedrifter og andre større virksomheter.

Statkraft AS er den største kraftprodusenten i Norge og står for cirka 50 prosent av produksjonen. Statkraft er et ledende selskap innen vannkraft internasjonalt og Europas største produsent av fornybar kraft. Konsernet produserer vannkraft, vindkraft, gasskraft og fjernvarme og er en global markedsaktør innen energihandel. Statkraft AS er heleid av Statkraft SF, som igjen er heleid av staten ved Nærings- og fiskeridepartementet.

Flere nettselskaper har inngått kompetanse- og innkjøpssamarbeid, som skal ivareta eiernes interesser gjennom å etablere konkurransedyktige og attraktive fellestjenester. En undersøkelse gjort av NVE viser at 78 prosent av selskapene har inngått samarbeidsavtaler med andre nettselskaper om planlegging, innkjøp og installasjon av AMS-utstyr.39 Behovet for samarbeid er også tidligere påpekt av Reiten-utvalget.40

Interesseorganisasjoner

Energi Norge er en interesse- og arbeidsgiverorganisasjon for norsk kraftnæring, og representerer 280 bedrifter innenfor området kraftproduksjon, kraftoverføring og salg av strøm og varme. Energi Norge har blant annet fokus på forsyningssikkerhet, nett, kraftmarkedet, kompetanse og andre problemstillinger av høy relevans for medlemmene. KS Bedrift organiserer over 500 kommunalt eide bedrifter i en rekke bransjer, deriblant kraftbransjen. Distriktenes energiforening (Defo) er opptatt av distriktspolitikk og kraftselskapenes rammebetingelser.

Forum for informasjonssikkerhet i kraftforsyningen (FSK) har 21 medlemsbedrifter blant de største kraftprodusentene og nettselskapene i Norge og skal arbeide med aktiviteter relatert til informasjonssikkerhet i kraftforsyningen slik dette er definert i NVEs beredskapsforskrift. FSK arrangerer faglige samlinger, utarbeider utredninger og felles veiledninger og rammeverk for informasjonssikkerhetsarbeid der slikt ikke finnes, og avklarer/påvirker myndighetskrav innen informasjonssikkerhet.

Kontaktutvalget for telesaker i Kraftforsyningen(KOTE) er et koordinerende organ for alle aktører innen ikke-kommersiell televirksomhet i elforsyningen i Norge. NVE har ikke fast plass i FSK og KOTE, men blir invitert til å holde innlegg eller diskutere særskilte tema innenfor IKT-sikkerhet.

Sivilt–militært samarbeid

Forsvaret er avhengig av pålitelig kraftforsyning for drift av administrative systemer spesielt. Innenfor beredskapsområdet er kraftforsyningsanlegg registrert på lister over objekter som skal beskyttes særskilt dersom en alvorlig krise / krig truer. Utover dette foregår det samarbeid gjennom Fylkesberedskapsrådet.

Forskning og utvikling

Energi Norge deltar i og koordinerer FoU-virksomhet innenfor kraftsektoren, eksempelvis prosjekter knyttet til leveringskvalitet, driftssikkerhet og smartnett-løsninger. Gjennom NVEs økonomiske regulering av nettselskapene får selskapene mulighet til økte inntektsrammer ved å få godkjent egne FoU-prosjekter innen for eksempel IKT-sikkerhet. Flere prosjekter og søknader blant Energi Norges medlemmer er finansiert og igangsatt gjennom denne ordningen. NVE er i ferd med å vurdere et samarbeid med FFI om FoU-prosjekter innenfor temaet EMP-beskyttelse. Bransjen samarbeider allerede med akademia på en rekke områder, blant annet innenfor AMS, risikoanalyser og sårbarhetsindikatorer.

Internasjonalt samarbeid

NVE deltar blant annet i det nordiske samarbeidsorganet NordBER, der energimyndighetene og systemansvarlige selskaper i Norden samarbeider om beredskap og krisehåndtering innen elforsyningen. Kraftnettene i de nordiske landene er knyttet sammen og drives som ett sammenhengende system. Samarbeidet har bakgrunn i et uttrykt ønske fra nordiske energiministre om et forpliktende og samordnet arbeid for å sikre forsyningssikkerheten i Norden. I tilknytning til NordBER er det opprettet en undergruppe med representanter for myndighetene og systemansvarlige i Norden som samles for å diskutere felles utfordringer innen IKT-sikkerhet. NVE er med som observatør i EU-organet Agency for the Cooperation of Energy Regulators (ACER). Etter EU-kommisjonens syn foreligger det et regulatorisk hull blant annet i spørsmål om grensekryssende handel.

13.3 Hjemmelsgrunnlag, konsesjoner og tilsynsvirksomhet

Kraftforsyningen er regulert gjennom energiloven. Pålitelig forsyning av elektrisitet med riktig kvalitet (spenning og avbruddsfri forsyning) er regulert i forskriftsform. I tillegg er det etablert økonomiske incentiver som skal sørge for at nettselskaper inkluderer samfunnsøkonomiske kostnader ved redusert leveringspålitelighet i sine bedriftsøkonomiske beslutninger.

Forsyningssikkerhet for strøm er definert som «kraftsystemets evne til kontinuerlig å levere elektrisk kraft av en gitt kvalitet til sluttbrukere». Forsyningssikkerhet omfatter både energisikkerhet, effektsikkerhet og driftssikkerhet.41

Energiloven og beredskapsforskriften regulerer sikkerhet og beredskap innenfor kraftsystemet, herunder informasjonssikkerhet. Olje- og energidepartementet har revidert kapittelet om beredskap i energiloven.42 NVE forvalter forskrifter som inneholder bestemmelser om beskyttelse av informasjon, IKT-sikkerhet og krav til kompetanse. Bestemmelsene omfatter både forebyggende, skadebegrensende og beredskapsmessige tiltak. Forskrift om forebyggende sikkerhet og beredskap i energiforsyningen (beredskapsforskriften) skal sikre at energiforsyningen opprettholdes, og at normal forsyning gjenopprettes på en effektiv og sikker måte i og etter ekstraordinære situasjoner for å redusere de samfunnsmessige konsekvensene av strømutfall. I beredskapsforskriften stilles det blant annet strenge krav til risikovurderinger, tilgangskontroll og tilgang til systemene fra leverandører. I tillegg er kravene i forskriften differensiert, slik at de viktigste selskapene er underlagt de strengeste sikkerhetskravene.

Energiloven § 9-3 og kapittel 6 i beredskapsforskriften omfatter informasjonssikkerhet. Dette omfatter identifisering og håndtering av kraftsensitiv informasjon og opplysninger om energiforsyningen som kan brukes til å skade anlegg eller påvirke funksjoner som har betydning for energiforsyningen. Kapittel 7 i beredskapsforskriften omfatter krav til sikring av selskapenes driftskontrollsystemer, som er kritiske for å overvåke og styre energiforsyningen. Beredskapsforskriften har en omfattende veileder som gir selskapene ytterligere informasjon om hva som forventes for at kravene i forskriften skal være oppfylt.

NVE har ikke kjennskap til noen myndighet i noen andre land som har tilsvarende regelverk for beskyttelse av driftskontrollsystemer, men innen Norden ser de at særlig Finland er spesielt kompetent på IKT-sikkerhet i flere sektorer, også energiforsyningen.

Beredskapsforskriften pålegger enhetene i KBO en rekke krav for å beskytte sensitiv informasjon om kraftsystemet. Med sensitiv informasjon menes informasjon som kan benyttes til å skade energiforsyningen. Hva som er sensitiv informasjon, er klargjort i § 6-2.

Enheter i KBO som setter ut oppdrag til leverandører og andre, skal påse at disse etterlever bestemmelsene om informasjonssikkerhet og taushetsplikt for sensitiv informasjon. Det skal også opplyses i avtale at beredskapsmyndigheten kan føre tilsyn med etterlevelsen av disse bestemmelsene, jf. beredskapsforskriften § 6-5.

Et annet krav i beredskapsforskriften er beskyttelse og beredskap mot elektromagnetisk puls (EMP). EMP kan i ytterste fall slå ut elektronikk over et stort område, men også et avgrenset område, for eksempel i et enkelt anlegg. Norge er det eneste landet som har krav til EMP-beskyttelse i energiforsyningen.

Forskrift om leveringskvalitet regulerer kvaliteten og stabiliteten på levert energi og effekt til sluttkundene. Forskriften skal bidra til å sikre en tilfredsstillende leveringskvalitet i det norske kraftsystemet og en samfunnsmessig rasjonell drift, utbygging og utvikling av kraftsystemet. Leveringskvalitetsforskriften presiserer blant annet nettselskapenes plikt til å gjenopprette elektrisitetsforsyningen til nettkundene så raskt som mulig etter et avbrudd, og det er gitt konkrete grenseverdier for enkelte parametre på spenningskvalitet i kraftsystemet.

I kontrollforskriften inngår et element som skal sørge for at nettselskapene tar hensyn til samfunnets kostnader knyttet til leveringspåliteligheten i kraftnettet, KILE (kvalitetsjusterte inntektsrammer ved ikke levert energi). KILE-ordningen er en incentivregulering som skal gi nettselskapene økonomisk motivasjon til riktig ressursallokering innenfor de rammene og vilkårene som ellers er gitt av myndighetene. KILE inngår i selskapets inntektsramme som en del av selskapets kostnadsgrunnlag og normkostnad på samme måte som andre kostnader. Faktisk KILE i et gitt år kommer til fratrekk i selskapets inntektsramme, slik at selskapets tillatte inntekt reduseres som følge av avbrudd (ikke levert energi).

Avregningsforskriften pålegger aktører i kraftsektoren en rekke plikter for å legge til rette for et effektivt kraftmarked. Flere av disse pliktene gjelder for nettselskap og er innført på grunn av at nettselskapene ellers ikke ville utført dem, da de ikke er bedriftsøkonomisk lønnsomme. I denne forskriften er det også krav til måling av innmating og uttak fra nettet, herunder kravene til AMS.

13.3.1 Konsesjoner

Utbygging av nettanlegg med høyt spenningsnivå, det vil si regional- og sentralnett, trenger anleggskonsesjon etter energiloven. Søknader om bygging og drift av kraftledninger, transformatorstasjoner og andre elektriske anlegg i sentral- og regionalnettet behandles av NVE. Driftskontrollsystemer er ikke underlagt konsesjonsplikt, men selskapene som etablerer eller i vesentlig grad endrer omfanget av driftskontrollsystemet, har ifølge beredskapsforskriften § 5-9 plikt til å melde fra om dette. NVE fastsetter gjennom enkeltvedtak sikringsklasse på driftskontrollsystemet i de høyeste klassene. NVE kan også i særskilte tilfeller forby bruk av utstyr i driftskontrollsystemer, jf. beredskapsforskriften § 7-6.

NVE hadde tidligere et sterkt virkemiddel i kompetanseforskriften som stilte krav til egenbemanning. Reiten-utvalget konkluderte med at dette kravet kunne være konkurransevridende, og kompetanseforskriften er nå opphevet, slik at det i større grad skal være mulighet for samarbeid og bortsetting av tjenester til tredjepart. Krav til kompetanse vil nå bli lagt inn i energilovforskriften.

13.3.2 Tilsyn

NVE fører tilsyn med kraftforsyningsanlegg, og det gjennomføres både stedlige og skriftlige tilsyn. NVE har i tillegg hjemmel til å føre uanmeldte tilsyn, men dette benyttes ikke ofte. I 2015 har NVE planlagt 90 tilsyn, inkludert skriftlige tilsyn. Av NVEs tilsyn i 2014 ble ett gjennomført i samarbeid med Nkom.

Tilsynsobjektene blir valgt ut blant annet på grunnlag av hvilken betydning de har for kraftsystemet, og tidligere gjennomførte tilsyn. De siste årene har NVE i stadig større grad prioritert tilsyn med selskapenes driftskontrollsystemer. Bakgrunnen for dette er den økte trusselsituasjonen. Tilsyn med selskapenes driftskontrollsystemer er de mest omfattende og gjennomføres som regel over to dager. Ettersom evnen til å håndtere IKT-hendelser er vesentlig, gjennomførte NVE i 2015 et større skriftlig tilsyn der kravene til overvåking og logging av datatrafikk var tema.

Av NVEs egen database går det frem at omtrent alle selskaper der det ble ført tilsyn med informasjonssikkerhet, fikk avvik. Tabell 13.1 viser avvik i forhold til beredskapsforskriften § 6 om informasjonssikkerhet og § 7 om beskyttelse av driftskontrollsystemer.

Tabell 13.1 NVEs tilsynsfunn

År

Antall selskap

Avvik beredskapsforskriften kap. 6

Avvik beredskapsforskriften kap. 7

2013

28

6

18

2014

22

12

12

De fleste funnene etter tilsynene omhandler mangler ved ROS-analyser og hvordan disse kobles mot beredskapsplanverket. Dokumentasjonen, særlig av kobling mellom nettverk i driftskontrollsystemer og andre nettverk, er ofte mangelfull. Det er også mangelfull dokumentasjon av avtaler og retningslinjer rundt kontroll med fjerntilgang til systemene i driftskontrollsystemene. Videre har NVE påpekt at det må øves mer på å håndtere IKT-hendelser.

NVE har ikke hjemmel i lovverket til å føre direkte tilsyn med leverandører til virksomheter, men lovverket pålegger enhetene i KBO å kontraktfeste at beredskapsmyndigheten kan føre tilsyn med leverandøren (jf. beredskapsforskriften § 6-5). I tillegg stilles det krav om at det skal inngås sikkerhetsavtale mellom leverandøren og NVE eller en enhet i KBO for at leverandøren skal få tilgang til sensitiv informasjon (jf. beredskapsforskriften § 4-3). NVE kan imidlertid vedta at virksomheter som leverer varer eller utfører tjenester, eller andre som kan ha betydning for kraftforsyningens drift og sikkerhet, skal inngå i KBO (beredskapsforskriften § 2-2).

Hendelsesbaserte tilsyn benyttes også som virkemiddel av NVE. Disse utløses av selskapenes innrapporterte hendelser, jf. rapporteringsplikten. Et eksempel er tilsyn etter at et selskap meldte fra om en hendelse der årsaken var manglende endringshåndtering.

13.4 Beredskap og hendelseshåndtering

NVE er delegert beredskapsmyndighet av OED. NVE har ansvaret for å samordne energiforsyningens beredskapsplanlegging og skal lede landets energiforsyning ved nasjonal beredskap og i store ekstraordinære hendelser. For dette formålet er det etablert en landsomfattende organisasjon – Kraftforsyningens beredskapsorganisasjon (KBO), som består av NVE og de virksomhetene som står for kraftforsyningen.

Statnett har fullmakt til å sette i verk tiltak for å balansere forbruk og tilbud på effekt. Ved større utfall som skaper effektknapphet, kan Statnett koble ut forbruk for å opprettholde balansen i kraftsystemet. Ved langvarig energiknapphet kan OED iverksette tiltak etter råd fra NVE.

Det viktigste grunnlaget for god evne til å håndtere hendelser ligger hos selskapene. Alle selskapene i energiforsyningen har en selvstendig plikt til å sørge for effektiv sikring og beredskap og til å iverksette tiltak for å forebygge, begrense og håndtere virkningene av ekstraordinære situasjoner. Alle kriser skal i utgangspunktet håndteres på lavest mulig nivå. Dette følger av ansvarsprinsippet. Selskapene i energiforsyningen har imidlertid en varslings- og rapporteringsplikt til NVE ved hendelser som truer sikkerheten.

Etter hvert som truslene mot IKT-systemene har økt, har NVE prioritert arbeidet med IKT-sikkerhet. Eksempler på dette er den siste revisjonen av beredskapsforskriften, flere tilsyn med driftskontrollsystemer, dialog og veiledning. På lik linje med krav om å kunne håndtere utfall ved uvær eller teknisk svikt skal KBO-enhetene ha evne til å håndtere IKT-hendelser. Beredskapsforskriften stiller for eksempel krav om at selskapene skal ha en ordning for hendelseshåndtering av sikkerhetstruende hendelser i driftskontrollsystemet. Undersøkelser gjort i en doktorgradsstudie ved NTNU viste imidlertid at selskapene som var med i studien, ikke hadde tilstrekkelige deteksjonsmekanismer, og at det av ressursmessige årsaker ikke er en systematisk tilnærming til oppfølging av logger og varsler.43

KraftCERT

Med økningen i IKT-trusselnivået og IKT-kompleksiteten innså NVE og bransjen at det var behov for å etablere et kompetansemiljø som kunne gi råd og bistå selskapene ved større IKT-hendelser. KraftCERT AS ble da etablert med Statnett, Statkraft og Hafslund Nett som eiere i november 2014. Selskapet skal bistå medlemmer innenfor kraftbransjen i Norge med håndtering og forebygging av angrep på selskapenes IKT-systemer. KraftCERT hadde medio 2015 13 store medlemmer, inkludert Hafslund, Statnett og Statkraft, og har samlet mange av de mindre kraftselskapene under NC-Spectrum og via KS-bedrift. Noen av de små selskapene leverer tjenester innen vann og avløp, men bruker de samme IKT-leverandørene som kraftbransjen. De har derfor funnet det hensiktsmessig også å være med i KraftCERT-samarbeidet.

KraftCERT ser at det kan bli en utfordring å få kraftselskapene med, blant annet fordi enkelte synes medlemsavgiften er høy. KraftCERT samarbeider med sektor-CERT-er og andre relevante aktører både nasjonalt og internasjonalt, deriblant ICS-CERT og JPCERT (ICS). I Japan, USA, Østerrike, Sverige og Finland har energisektorens miljøer for hendelseshåndtering tung statlig støtte i form av midler og tilknytning til de nasjonale ressursene.

Energi Norge mener det er viktig å støtte opp om og videreutvikle det initiativet som er tatt ved etableringen av KraftCERT. Dette bør skje i nær dialog med NVEs forvaltning av beredskap i kraftforsyningen og øvrige sentrale sikkerhetsmyndigheter.

Boks 13.1 Uvær forårsaker fortsatt mest utfall

NVEs avbruddsstatistikk gir et samlet bilde av forsyningssikkerheten på elkraft. I Norge skyldes mer enn 50 prosent av avbruddene været. Leveringspåliteligheten i 2014 for hele landet var 99,985 prosent.

Figur 13.2 Leveringspålitelighet 1996–2014.

Figur 13.2 Leveringspålitelighet 1996–2014.

Kilde: NVE.

Naturhendelser er fortsatt det som fører til flest avbrudd og blackout, og dette gir seg utslag i statistikken. Eksempelvis gjenfinner vi omfattende avbrudd som følge av ekstremvær som Dagmar i 2011 i avbruddsstatistikken. For nærmere omtale av Dagmar, se kapittel 11 «Elektronisk kommunikasjon».

IKT-hendelser i energiforsyningen

NVE har god statistikk over avbrudd der årsaken er teknisk svikt eller uvær. Det finnes ikke noen tilsvarende nasjonal statistikk over tid når det gjelder IKT-sikkerhetsrelaterte hendelser. Det er ventet at dette bildet blir bedre med etableringen av KraftCERT. I USA viser statistikken til den amerikanske ICS-CERT at hele 87 prosent av de identifiserte sårbarhetene i driftskontrollsystemer kunne utnyttes via fjerntilgang, mens de resterende trengte lokal tilgang. Nesten 65 prosent av sårbarhetene ble av eierne av systemene klassifisert som høyprioritetssårbarheter. To kjente driftskontrollangrep som kan karakteriseres som digital sabotasje, er Stuxnet og angrepet mot et tysk stålverk i 2015. Angrep som Havex og Dragonfly viser også at det foregår spionasje og etterretningskampanjer mot energisektoren.

Energi Norge påpeker at NVE har hatt økende oppmerksomhet på IKT-sikkerhet og på utfordringer knyttet til skytjenester, oppdagelse og logging av unormal og uønsket datatrafikk. Bransjen er blitt bedre til å stille krav til leverandører, til å varsle om hendelser til NVE og til å samarbeide på tvers av selskaper for å bedre IKT-sikkerheten. Til det siste punktet kommer også forskningssamarbeid innenfor hendelsesidentifikasjon og -håndtering.

Boks 13.2 Havex utnyttet menneskelig sårbarhet

Skadevaren Havex, som ble rapportert av ICS-CERT i juni 2014, er en fjernstyringstrojaner som angriper leverandører via phishing-angrep (e-post), omdirigering til infiserte nettsider og ved å infisere gjennom regulære programvareoppdateringer. Den siste måten å angripe på, via programvareoppdateringer, er bekymringsfull, da oppdatering av programvare er et av de viktige sikkerhetstiltakene og angrep mot dette kan undergrave tilliten til oppdateringer.

Havex kommuniserer med en kommando- og kontrollserver. Havex samler inn informasjon om systemet og nettverket den har infisert, og kan sende data tilbake inn i det infiserte systemet, noe som har medført at systemer har brutt sammen.

Analyse av angrep og skadevare hadde ikke vært mulig uten logger som dokumenterer hendelser i systemet. NVE vil fremover se på prinsipper for logging – oppbevaringstid, hvordan man kan gå frem for å søke i logger, med videre. Det kan bli vurdert å utvide krav om logging for selskaper med driftskontrollsystemer i klasse 1.

Øvelser

Øvelser gir gode muligheter for å avdekke sårbarheter, og de bedrer grunnlaget for å håndtere reelle hendelser. Selskapene i energiforsyningen har gjennomført beredskapsøvelser i en årrekke, men i liten grad inkludert IKT-hendelser. De viktigste forbedringspunktene etter øvelsene har i stor grad gått ut på å forbedre beredskapsplanverket, prosedyrer og rutiner, samt internt samarbeid mellom ulike funksjoner.

Etter hendelsene sommeren 2014, der NSM offentlig advarte om et storstilt angrep mot norsk energisektor, har bransjen etter påtrykk fra NVE i større grad gjennomført beredskapsøvelser som inkluderer IKT-hendelser. Frem til nå har ingen norske selskaper vært utsatt for målrettede angrep mot sine driftskontrollsystemer, derfor er denne typen øvelser nyttig for selskapene for å avdekke svakheter i beredskapen og forbedre denne.

13.5 Digitale sårbarheter i kraftforsyningen

Den økte digitaliseringen i energiforsyningen og den stadig tettere sammenkoblingen av systemer og nettverk har medført at de totale systemene blir mer komplekse, og det kan være vanskelig å ha full oversikt. Dette kan igjen medføre at man ikke har god nok kunnskap om hvordan samhandlingen mellom systemene fungerer, noe som kan føre til feil bruk.

Dette øker risikoen for teknisk feil, menneskelig svikt og også for uautorisert inntrenging i systemene.

Nasjonale kraftsystemer og markeder integreres dessuten i økende grad på tvers av landegrensene. Stadig flere strømkabler knytter Norge tettere sammen med resten av Europa, og kraftmarkedene vil etter hvert smelte sammen til ett stort europeisk marked. Sentrale problemstillinger som diskuteres internasjonalt er krav til SCADA- og AMS-sikkerhet, krav til godkjenning av systemer og krav til sertifisering.

13.5.1 Verdikjeden i norsk kraftforsyning

Produksjon og forbruk av elektrisitet må til enhver tid være synkronisert for å unngå teknisk ubalanse i kraftnettet. IKT-systemer understøtter denne balansen, og digitale sårbarheter kan oppstå i alle ledd i verdikjeden, herunder hos underleverandører og kraftbørsen Nord Pool Spot. Alvorlig svikt vil derfor kunne påvirke forsyningssikkerheten negativt. NVE har oversikt over forsyningssikkerheten i regional- og sentralnett gjennom ordningen med kraftsystemutredninger og ga i 2014 ut en rapport som sammenstiller data fra alle de regionale kraftsystemutredningene. Det er 467 punkter i regionalnettet og 312 i sentralnettet som har redusert forsyningssikkerhet i henhold til å tåle en feiltilstand.

Verdikjeden i kraftforsyningen har frem til nå blitt overvåket og styrt av driftskontrollsystemer for henholdsvis produksjonsanlegg, sentralnettnivå, regionalnettnivå og høyspent distribusjonsnivå. Etter utrullingen av smarte målere vil mange selskaper også vurdere å etablere overvåking og styring på lavere distribusjonsnettnivå.

Figur 13.3 er en forenklet fremstilling av verdikjeden i norsk kraftforsyning, fra vann i magasinet til strøm i kontakten.

Figur 13.3 Verdikjeden i norsk kraftforsyning.

Figur 13.3 Verdikjeden i norsk kraftforsyning.

13.5.2 Sårbarheter i driftskontrollsystemer

Driftskontrollsystemer har som tidligere beskrevet omfattende krav til sikring. De fleste nettselskaper har et eget driftskontrollsystem med reserveløsning i en eller annen form, og flere selskaper samarbeider også om felles løsninger og beredskap.

SCADA-systemer og administrative IKT-systemer har generelt ulike sikkerhetsbehov.44 ENISA har pekt på utfordringene med å lage et felles sikkerhetsregime og en felles sikkerhetsarkitektur når SCADA-systemer kobles sammen med administrative IKT-systemer.45

De viktigste selskapene i Norge har krav til redundant kommunikasjon i driftskontrollsystemet, slik at feil i én kommunikasjonslinje ikke medfører funksjonssvikt.

Økt tilgang fra Internett – også fra utlandet

For driftskontrollsystemene er tilgjengelighet og integritet det mest sentrale. De største driftskontrollsystemene er omfattende og i stor grad spesialtilpasset det enkelte selskapets behov, og det kan være flere leverandører som leverer ulike deler av det totale driftskontrollsystemet.

Den økte kompleksiteten og økte krav til forsyningssikkerhet har gjort at selskapene har blitt mer avhengige av leverandører til vedlikehold og feilretting via fjernaksess. Selskapene har i større grad også tilrettelagt for overvåking og styring av anleggene via fjernaksess.

Figur 13.4 Forenklet illustrasjon som viser hvordan driftskontrollsystem og administrativt nett er tilknyttet Internett.

Figur 13.4 Forenklet illustrasjon som viser hvordan driftskontrollsystem og administrativt nett er tilknyttet Internett.

Kilde: NVE.

Driftskontrollsystemene var opprinnelig ikke utviklet med tanke på sikkerhet, noe som har ført til et omfattende og kostbart arbeid med å sikre systemene mot uautorisert tilgang etter hvert som systemene i stadig større grad har blitt koblet til andre IKT-systemer og mot Internett. Dette innebærer også å etablere en moderne arkitektur i nettverket i driftskontrollsystemet som bidrar til større kontroll med trafikken i nettverket.

Et annet eksempel på utfordringer er bruk av antivirusprogramvare eller systemer for overvåking av datatrafikk på SCADA-systemer. I eldre systemer er bruken av disse problematisk fordi risikoen er stor for at disse systemene forstyrrer, forsinker eller stopper lovlig og nødvendig datatrafikk.

I tillegg er kravet til tilgjengelighet så stort at det krever omfattende arbeid og forberedelser når det skal installeres oppdateringer, for å sikre seg mot at oppdateringene ikke fører til nedetid i systemene. Det økte trusselbildet har også utfordret selskapene med hensyn til sikkerhetskompetanse.

Alt dette kan medføre at selskapene blir mer avhengige av leverandørene for raskest mulig gjenoppretting ved omfattende systemfeil. Samtidig er trenden at flere store leverandører i større grad satser på å utføre supporttjenester fra utlandet. Det kan by på utfordringer i forhold til beredskapsforskriftens krav til beskyttelse av sensitiv informasjon og kontroll med egne data. NVEs regulering krever at fjernaksesstjenester leveres i kontrollerte former.

Konsentrasjonsrisiko i leverandørleddet

Enkeltleverandører av SCADA-systemer har store markedsandeler i Norge. Det kan føre til at feil i kjernesystemet fra én stor leverandør påvirker flere selskaper i energiforsyningen. Dette er også en problemstilling som drøftes i kapittel 11 «Elektronisk kommunikasjon».

Det er viktig å hindre at uvedkommende får tilgang til sensitive opplysninger om kraftforsyningen i landet, og å sørge for oppetid for systemer som ivaretar viktige driftskontrollfunksjoner. Sensitiv informasjon om kraftforsyningen vil være informasjon som, i gale hender, kan brukes til å skade eller hindre funksjoner i kraftforsyningen.

Boks 13.3 Stuxnet

Stuxnet fikk i 2007 det iranske atomprogrammet til å stoppe midlertidig ved at et prosesskontrollsystem i et atomanlegg i Natanz (Iran) ble angrepet av skadevare. Dataviruset skal ha ødelagt omtrent 1 000 av Irans 6 000 uransentrifuger.1

Iransk atomindustri hadde en gammel, upålitelig prosessteknologi og hadde implementert systemer som bidro til høyere feiltoleranse enn det som var vanlig for slike anlegg. Operatørene var dermed vant til feilsituasjoner. Teknologien i anlegget stammet fra pakistansk atomindustri på 1970–1980-tallet.

En teknisk analyse av Stuxnet-angrepet (Lagner, 2013) viser at begge angrepene mot anlegget i Natanz hadde som mål å ødelegge sentrifugene. Men taktikken var forskjellig. Det første angrepet, som skjedde skjult, hadde som mål å øke overtrykket i sentrifugene. Det andre angrepet hadde som mål å manipulere hastigheten på sentrifugerotorene og på den måten få dem til å spinne med for høy hastighet og ødelegge dem. Skadevare ble fraktet inn i anlegget og la seg som et «man-in-the-middle-angrep». Det overstyrte dermed operatørene. Dataviruset skapte i egenskap av trusselen bekymring også i norsk kraftindustri.

1 Lagner, Ralph (2014): To Kill a Centrifuge. A Technical Analysis of What Stuxnet’s Creators Tried to Achieve.

Analysen av Stuxnet-angrepet viser at tradisjonelle beskyttelsestiltak som holdningskampanjer, sikkerhetsoppdateringer og antivirusbeskyttelse har liten effekt på denne typen sofistikerte angrep. Data fra Open Source Vulnerability Database (OSVDB) viser at Stuxnet førte til økt oppmerksomhet rundt sårbarheter i industrikontrollsystemer. Av det totale antallet kjente sårbarheter ble i følge ICS-CERT hele 80 prosent oppdaget i tiden etter Stuxnet.

Kostbart å oppgradere

Dagens SCADA-system og stasjonsdatamaskiner utvikles på moderne programvareplattformer der også sikkerhetsmekanismer er mer integrert i systemene. Men å modernisere SCADA-systemer og implementere moderne nettverksteknologi er svært kostbart og arbeidskrevende, og det tar gjerne fra ett til tre år å gjennomføre, avhengig av hvor omfattende driftskontrollsystemet er. Selskapet gjør da dette stegvis, og det betyr at det fremdeles er en god del eldre systemer og komponenter i driftskontrollsystemene i energiforsyningen. Dette innebærer at proprietære og sårbare protokoller fremdeles benyttes, og at det finnes utstyr ute i anleggene som ikke har innebygd sikkerhetsfunksjonalitet.

13.5.3 Sårbarheter i tilknytning til smarte nett

NVE har pålagt alle nettselskapene å innføre strømmålere med toveiskommunikasjon (AMS) innen 1. januar 2019 for sluttbrukere. Dette vil gjøre strømforsyningen sikrere og mer stabil, eksempelvis ved å lokalisere og reparere feil raskere enn før, men det vil også kunne øke den digitale sårbarheten.

Måleren er nettselskapets eiendom, og det er selskapets ansvar å beskytte den. Målerne er plassert i private bygg, og etter den nye NEK-normen46 skal målere til nye bygg plasseres utendørs på vegg og i felles skap med ekom.

Gjennom innføringen av AMS vil strømkunder i Norge få registrert strømforbruket sitt med en oppløsning på en time eller mindre. Datainnsamling og styring av målere skjer gjennom løsninger som er designet for automatiserte prosesser samt overvåking av drift og feilsituasjoner i strømnettet. Utover ren innsamling av måleverdier samler systemet inn data rundt hendelser i strømmålerne, kommunikasjonen eller elnettet. Gjennom dette vil nettselskapene ha mulighet til å motta data av sterkt forbedret kvalitet, noe som vil gi et stort forbedringspotensial for planlegging, drift og vedlikehold av lavspentnettet.

Med innføring av AMS øker antallet flater som kan angripes, med antall husholdninger og virksomheter som skal tilknyttes AMS-systemet. Utfordringene er knyttet til økt avhengighet av offentlig telekommunikasjon og økt behov for tilkobling, personvern og sikkerhetsstyring. Innføringen av AMS vil gjøre kraftsystemet mer eksponert for programvarefeil og trusler som kommer gjennom Internett. Dette følger naturlig av bruken av kommersielle systemer og tilkoblingene til Internett for å overføre data fra AMS til Elhub (sentralisert KWh-server). For eksempel bygger SORIA-prosjektet en sky med IPv6 som gjør at man kan fase inn andre funksjoner i nettet, eksempelvis gatelys. AMS blir da en del av et Smart City/Smart Grid.

Figur 13.5 Eksempel på AMS-system.

Figur 13.5 Eksempel på AMS-system.

Kilde: NVE.

Beslutningen om å implementere AMS har skjedd uten stor debatt i Norge og Norden, i motsetning til i enkelte andre land, særlig Nederland og USA. NVE har imidlertid tydeliggjort overfor bransjen viktigheten av å gjennomføre risikoanalyser ved innføringen av AMS og at nettselskapene er ansvarlige for å sørge for tilstrekkelig sikkerhet i AMS-løsningen.

Strategisk sårbarhet som følge av bryterfunksjonaliteten

I Norge er det et krav til AMS-målerne som installeres, at de støtter bryter- og strupefunksjonalitet. Per i dag har nettselskapene bare adgang til å fjernutkoble én kunde om gangen. Det kan bli aktuelt på sikt, etter testing og utredning, å tilrettelegge for masseutkobling eller massestruping på et gitt effektnivå i forbindelse med en beredskapssituasjon eller ved rasjonering, typisk ved effektknapphet. Ved inntrenging i systemene som administrerer AMS-bryterfunksjonaliteten for å foreta uautorisert utkobling, kan man risikere at mange strømkunder mister strømmen.

Sikkerhet rundt bruk av bryterfunksjonalitet i AMS er en aktuell problemstilling som diskuteres internasjonalt. EUs funksjonskrav for AMS inneholder bryterfunksjonalitet. Det eneste landet som har valgt å gå imot anbefalingene og ikke inkludere bryterfunksjonalitet, er Nederland.

Uautorisert tilgang

Det er allerede vist at smarte målere kan hackes, at radioantenner kan avlyttes, at signaler kan stoppes, eller at måleren fysisk modifiseres når den ikke er godt fysisk beskyttet. Dette synet er støttet av internasjonale sikkerhetseksperter som advarer mot sårbarheter og fare for misbruk i AMS.

Uautorisert tilgang til sentralsystemet for AMS kan gjøre det mulig å manipulere brytere. Samme konsekvens kan oppnås dersom SCADA-systemet ikke er tilstrekkelig sikret mot uautorisert tilgang, eller at tilkoblingen til andre typer systemer er tilsvarende sikret. Dessuten vil en slik sammenkobling kunne gi muligheter for manipulering av data.

I tillegg til dette kommer innsidetrusselen. Dersom en utro tjener i eget selskap eller hos leverandøren får uautorisert tilgang, kan vedkommende tappe systemet for informasjon og i verste fall overta styringen av systemet. Alle landets måleverdier vil bli lagret i Elhub, som også inneholder noe informasjon om de enkelte kundene. Potensielt kan informasjon komme på avveie hvis en ansatt med tilstrekkelig tilgang tapper informasjon fra systemene.

Håndtering av endringer, konfigurasjoner og grensesnitt

AMS-systemet er komplekst og kjennetegnes av mange grensesnitt og gjensidige avhengigheter mellom ulike komponenter, men også avhengigheter til eksterne systemer som elektroniske kommunikasjonssystemer og satellittbaserte tjenester som gir nøyaktig tid.

Det er krevende å holde oversikt over og få verifisert at alle målerne er oppdatert og riktig konfigurert. Leverandørene sender konfigurasjonsdata til nettselskapene, som selv gjennomfører oppdateringer. Driftsselskapene kan også stå for oppdateringer, slik det for eksempel er tenkt i SORIA-samarbeidet. Det er en risiko for at feil kan få utilsiktede konsekvenser et annet sted i verdikjeden, for eksempel dersom systemet blir infisert av skadevare i forbindelse med oppdateringer.

Logging og analyse

Systemkompleksiteten gjør at det blir viktig å være i stand til å oppdage unormal og utilsiktet trafikk. Eierskap til AMS-infrastrukturen vil variere fra selskap til selskap. Enkelte nettselskaper vil eie en god del infrastruktur selv, mens andre vil leie mye av infrastrukturen, som for eksempel mobildatakommunikasjon. Leverandører har hevdet at trafikk fra målere er lett å gjenkjenne ved at det danner seg et mønster. Ved å logge datatrafikk og være i stand til å analysere disse loggene kan leverandøren skille uvesentlige feil fra feil en bør reagere på. Ved å se på adferden til sensorene kan en se om en måler er fysisk manipulert eller ikke. Så langt har NVE standardisert at det ut mot kundene av nettselskapene bare skal være ett lesegrensesnitt, og at kunden skal kunne kryptere eller skru av dette.

Sårbarheter ved bruk av datasentre eller utkontraktering av drift

Noen leverandører tilbyr driftsløsninger til kraftselskapene. Dersom en utkontrakterer drift av AMS, kan det oppstå andre sårbarheter. Ifølge SINTEF drifter 70 prosent av nettselskapene sin egen driftssentral, men dette bildet kan endres i fremtiden.47 Flere nettselskaper har påpekt at det er stor variasjon i modenheten hos leverandører av sikkerhetsløsninger for AMS. Blant annet som følge av lav modenhet hos nettselskapene og leverandørene på enkelte områder ble enkelte krav, som for eksempel PKI og kryptering, «bør-krav» og ikke «må-krav». Alle nettselskapene stilte imidlertid krav om at sikkerhetsløsningen på sikt bør kunne tilpasses et endret trusselbilde.

Bruken av datasentre og skytjenester knyttet til AMS er i dag liten. Flere selskaper har ut fra effektivitetshensyn satt i gang et arbeid for innsamling av måle- og avregningsdata gjennom å etablere regionale datahuber. Når AMS er gjennomført i 2019, vil timesdata av alt forbruk fra cirka 2,9 millioner målere bli innsamlet via regionale datasentraler og videreformidlet til den nasjonale datahuben (Elhub). Dette tilsier at sikring av informasjon i datasentre/skytjenester vil bli spesielt viktig i prosessen frem til oppstart av systemene.

Personvernutfordringer i smarte nett

Personopplysningsloven stiller krav til hvordan nettselskapene kan bruke opplysningene som samles inn.

Strømforbruk kan spores til enkeltpersoner. Opplysninger om strømforbruk er i utgangspunktet knyttet til et målernummer på en bestemt adresse, ikke til en person. Men når måleren igjen knyttes til en huseier, kan opplysningene om strømforbruket spores tilbake til en bestemt person. Dette kan være abonnenten selv eller en annen person, for eksempel en leietaker.

Ved å analysere detaljerte data om strømforbruk kan det i fremtiden være mulig å anta eller forutsi når personene i hjemmet er på ferie eller på jobb, når de sover, når de er våkne, og andre bruksmønstre.

Bruksmønstrene kan være nyttige ved at man kan analysere strømforbruket vårt med tanke på for eksempel strømsparing. Men bruksmønstrene kan også bli brukt til andre ting, som markedsføring og reklame. Politiet, skattemyndighetene, forsikringsselskaper, utleiere, arbeidsgivere og andre tredjeparter kan også være interessert i informasjon om personlig strømforbruk.

Fare for misbruk av personopplysninger. Det er definerte rammer for hvordan de personopplysningene som samles inn ved hjelp av automatiske målesystemer, kan brukes. Det europeiske personvernombudet, The European Data Protection Supervisor (EDPS), advarer likevel om at denne informasjonen kan misbrukes hvis den ikke sikres forsvarlig. EDPS anbefaler at selskapene må innhente samtykke fra forbrukerne før nettselskapet bruker informasjonen fra slike målere til andre formål enn det som er nødvendig for å utøve virksomheten.

NVE har pålagt nettselskapene å innhente data for fakturering (fra Elhub). Kunden eier sine egne strømdata og må selv aktivt samtykke i at kommersielle aktører skal få tilgang til disse dataene.

13.5.4 Avhengighet av ekom og satellittbaserte tjenester

På sentralnett- og regionalnettnivå eier og drifter selskapene sine egne telekommunikasjonssystemer. Dette sikrer selskapene tilgang til telekommunikasjonstjenester også på områder der dekningen fra ekomleverandører ikke er god nok. Selskapene gjør seg mer avhengige av driftskontrollsystemene for å ha mest mulig effektiv drift og detektere feil raskere. En gradvis effektivisering over tid, der personell blir erstattet med informasjons- og kommunikasjonssystemer, forsterker avhengigheten av telekommunikasjon. Myndighetene og bransjen selv er klar over avhengigheten.

De største selskapenes driftssentraler er derfor, etter krav fra NVE, knyttet med dublert samband til underliggende stasjoner av sikkerhetsklasse 2 og 3. Selv om det er dublerte samband på viktige installasjoner, kan sekundærforbindelsen ha lavere kapasitet enn hovedforbindelsen, noe som kan hemme effektiviteten i driften dersom hovedsambandet faller ut. Det er imidlertid et krav at kommunikasjonslinjer som faller ut, raskt skal gjenopprettes.

Det er et krav at selskapene har et mobilt radiosamband som skal fungere uavhengig av offentlige teletilbydere. Det er dette som skal benyttes når mannskap skal påkalles, og når arbeid i felten skal koordineres. Reparasjon og vedlikehold krever imidlertid samvirke med mange aktører og underleverandører. Kommunikasjon med andre aktører enn de rent driftsrelaterte innen bransjen går via teletjenester kjøpt i markedet. Bortfall av mobilnettet vil dermed kunne redusere effektiviteten i samvirke og håndtering av kriser og hendelser i sektoren. NVE har uttrykt at selskapene står fritt til å velge teknologi såfremt de oppfyller kravene i beredskapsforskriften. Bruk av Nødnett til kraftforsyningens behov er ikke avklart. For å opprettholde nødvendig beredskap skal kraftforsyningen etter behov vedlikeholde, anskaffe og bygge radionett for mobilkommunikasjon (driftsradio) uavhengig av utbyggingen av Nødnett.48

Ekstremværet Dagmar medførte store utfordringer for kraftbransjen. Mange hovedveier og mindre veier ble stengt, ferjer var ute av drift og hele eller deler av jernbanestrekninger ble stengt. Dette medførte ekstra utfordringer både for nettselskapenes opprydning og feilretting og for kommunenes håndtering av hendelsen. At kommunikasjonsmuligheter i stor grad var fraværende eller sterkt redusert, medførte store utfordringer for krisehåndteringen – både i kommunene, hos nødetatene og hos mannskapene som skulle gjenopprette feil og ødeleggelser. Hendelsen viste imidlertid at kraftforsyningens kommunikasjon med reparasjonsmannskapene i stor grad ble ivaretatt, ettersom de benyttet egne driftsradiosystemer. Hendelsene i forbindelse med Dagmar har bidratt til en rekke tiltak knyttet til sikkerhet og beredskap. For nærmere omtale, se kapittel 11 «Elektronisk kommunikasjon».

Akkumulert sårbarhet fra elektronisk kommunikasjon

Kompleksiteten i kraftforsyningen er ventet å øke med den planlagte innføringen av AMS. AMS fører til behov for ny IKT-infrastruktur. AMS vil legge til rette for større styringsevne når det gjelder ut- og innkobling av forbruk på distribusjonsnettnivå, og også gi kundene raskere og riktigere innhenting av måleverdier, bedre grunnlag for faktura og muligheter for å effektivisere strømforbruket. På sikt vil dette systemet gi grunnlag for smarte byer (se punkt 6.2.2 «Tingenes Internett») der også husholdninger og virksomheter kan selge energi og effekt fra egenproduksjon (eksempelvis vindmølle på taket / solcellepanel / batteri). Systemdriften blir trolig mer sammensatt fremover som følge av økt innmating fra ikke-regulerbar produksjon. Dette gjelder også i distribusjonsnettet. Forbruket endres i form av økt fleksibilitet og større variasjoner (økt effektuttak). Smarte nett og AMS gir nye muligheter for å håndtere systemdriften, men øker i følge Reiten-utvalget samtidig behovet for investeringer og kompetanseutvikling.

AMS gjør seg nytte av elektronisk kommunikasjon, som GPRS. Selv om det er krav i avregningsforskriften om sikker kommunikasjon i AMS-løsningen, er denne typen teknologi sårbar for avlytting. Derfor vil ifølge NVE alle enten bruke et krypteringslag på toppen eller bruke løsninger som i seg selv beskytter informasjonen mot innsyn under transport. Det er krav til lokal lagring av måledata i AMS-målerne, slik at AMS’ primære funksjon ikke faller ut ved kommunikasjonsutfall.

Avhengighet av satellittbaserte tjenester – tid

Både driftskontrollsystemer og AMS blir stadig mer avhengige av korrekt tid. Internasjonalt utarbeides det nye standarder for kontrollanlegg (IEC 61850) som innebærer synkroniseringskrav på mikrosekundnivå. Det anses derfor som sannsynlig at strengere tidssynkroniseringskrav på sikt kan bli relevant også i Norge.49 Dette kan igjen få konsekvenser for sårbarheten i systemet som helhet.

13.6 Fremtidige problemstillinger og trender

Samfunnet har lenge vært og blir stadig mer avhengig av stabil kraftforsyning med høy kvalitet. Kraftforsyningen står overfor store teknologiskifter som blant annet vil kunne medføre at selskapene i større grad også blir leverandører av IKT-tjenester. Fremtidige sårbarheter er knyttet til fortsatt automatisering, herunder utrullingen av AMS og fremtidig bruk av skyløsninger i kraftforsyningen.

Ny teknologi innenfor desentral produksjon (småskala vindkraft, småkraft og solkraft) og endringer i forbruksmønstre (flere effektkrevende apparater, hurtiglading av elbiler og så videre) endrer tradisjonell kraftflyt og gir nye utfordringer for nettselskapene og produsentene. Det er usikkerhet knyttet til hva den nye teknologien gjør for stabiliteten i nettet når flere kunder blir pluss-kunder og leverer overskuddsstrøm tilbake til kraftsystemet. Ny teknologi åpner også for nye forretningsområder og markedsorientert sluttbrukerstyring, samt løsninger for energieffektivisering.

Utviklingen går i retning av smarte målere, smarte nett og smarte byer, noe som betyr økt kompleksitet, tettere koblinger og økt risiko for mer vidtrekkende konsekvenser ved feil. I fremtiden vil strømleverandørene kunne bli IKT-selskaper som analyserer data og leverer informasjon og tjenester til forbrukernes smarttelefoner og nettbrett. Målesystemer som gir detaljerte opplysninger om hva enkeltpersoner gjør i hjemmet, kan legge til rette for velferdsteknologi og trygghetspakker for eldre. Nettselskapene har pekt på at det er ønskelig at NVE gjør det tydelig hvilke andre bruksmuligheter AMS åpner for.

Boks 13.4 Mulighetsrommet ved avanserte målere

Avanserte målere gir muligheter for å utvikle tjenester knyttet til smarte hus og pleie- og omsorgstjenester. Et eksempel er Lyse energi, som leverer tjenester både til smarte hjem og til velferdstjenester, der kunden skal kunne styre hele boligen med én fjernkontroll. Smartly AS utvikler løsninger for smart styring av varme, lys, innbrudds- og brannalarm. Smartly tilbyr også velferdsteknologiprodukter som skal hjelpe eldre og andre med spesielle behov til å klare seg lenger hjemme. Disse produktene kan styres fra nettbrett og smarttelefoner.

IKT og kraftsystemet smelter mer og mer sammen. Det trengs sikre IKT-systemer og tilstrekkelig kompetanse der problemene oppstår. Det finnes enormt med data, men det blir en utfordring å administrere og analysere disse. Mer overvåking basert på IKT og økning i fornybare energikilder blir mulig. Det er et aktuelt tema i Europa. Det ventes også en økning i cybertrusler og i sabotasje og fysisk ødeleggelse av kommunikasjonssystemer. Elektroniske komponenter blir stadig mindre, samtidig blir de mer sensitive for elektromagnetisk interferens. Dette representerer også en sårbarhet i et stadig mer automatisert system.

Kravene til kontinuerlig risikoanalyse og endringsledelse vil øke som følge av denne utviklingen.

13.7 Vurderinger og tiltak

Infrastrukturer og samfunnsfunksjoner er avhengige av stabil kraftforsyning med god kvalitet. Den økte digitaliseringen gjør avhengigheten enda større, og sårbarheter innen kraftforsyningen akkumuleres til andre områder i samfunnet. Det gjør at det stilles særlige krav til denne bransjen og til hvilke tiltak som må gjennomføres for å redusere sårbarheten. Utvalget har observert at det er uenighet mellom Olje- og energidepartementet og Forsvarsdepartementet knyttet til utpeking av skjermingsverdige objekter i energiforsyningen etter sikkerhetsloven. Utvalgets synspunkter på slike problemstillinger er beskrevet i kapittel 23 «Tverrsektorielle sårbarhetsreduserende tiltak». Gitt kraftforsyningens kritikalitet i samfunnet og økte digitale sårbarhet vil utvalget anbefale følgende:

13.7.1 Styrke tilsyn og veiledning i IKT-sikkerhet

NVE har ansvaret for beredskapen i norsk kraftforsyning og regulerer dette gjennom forskrifter og veiledning av bransjen. Den økte digitaliseringen medfører et behov for tett oppfølging fremover og for mer spissede tilsyn innenfor enkelte områder. NVE har begrenset kapasitet til å følge opp med tilsyn innen IKT-sikkerhet og sårbarhet. Disse forholdene legges til grunn for utvalgets forslag om å styrke NVE betraktelig på området tilsyn og veiledning.

Det er et generelt utviklingstrekk at det legges opp til stadig tettere koblinger mellom driftskontrollsystemer og forretningssystemer. Dette er en betydelig utfordring fordi driftskontrollsystemene i utgangspunktet er bygd for et langt liv i et beskyttet miljø med store krav til stabilitet og driftssikkerhet. Det står i et misforhold til behovet for stadige oppdateringer og tilpasninger som er imperativt for systemer som fungerer i den åpne verden. Utvalget mener ikke det er veien å gå å jobbe mot denne utviklingen, til det er de forretningsmessige og styringsmessige gevinstene for store og åpenbare. Utvalget mener at dette er en utfordring som må møtes med gode og gjennomgripende tiltak knyttet til teknisk arkitektur, transaksjonskontroller og hensiktsmessig soneinndeling. På dette området mener utvalget at NVE bør kunne spille en viktig rolle i å formidle beste praksis og for øvrig veilede berørte virksomheter i sikker implementering.

Utvalget observerer at det i kraftbransjen, som i andre bransjer, er en økt trend mot tjenesteutsetting. Denne trenden har innvirkning på IKT-sikkerheten. Tjenesteutsetting omfatter også oppfølging av leverandører. Virksomhetene må sørge for at relevante IKT-sikkerhetskrav inngår i avtaler med leverandøren, og at kravene følges opp. Den enkelte virksomheten vil ikke alltid evne å se de samfunnsmessige konsekvensene av utilstrekkelige IKT-krav. Derfor mener utvalget at NVE i fellesskap med interesseorganisasjoner og bransjen bør utarbeide veiledere og krav til tjenesteutsetting i kraftbransjen.Utvalget anbefaler sektoren å se på internasjonale standarder.

13.7.2 Stimulere til større og mer ressurssterke fagmiljøer innen IKT-sikkerhet

Flere KBO-enheter er små med få ansatte, og det er en kompetanseutfordring å etablere og opprettholde nødvendige fagmiljøer. Utvalget mener at NVE i samarbeid med interesseorganisasjonene bør stimulere til større og mer ressurssterke fagmiljøer på IKT-sikkerhet i KBO-enhetene. Dette kan gjøres på flere måter, eksempelvis gjennom økt samarbeid mellom KBO-enheter eller gjennom strukturendring.

Bransjeorganisasjonene har et veletablert system for kurs og opplæring. Utvalget foreslår at dette videreutvikles til å dekke de nye utfordringene vi står overfor innenfor IKT-sikkerhet. Bransjeorganisasjonene bør kunne bidra med å organisere kurs innenfor IKT-sikkerhet, gjerne i samarbeid med andre organisasjoner, eller henvise til NVE, andre myndigheter eller undervisningsinstitusjoner der det er hensiktsmessig. Det bør også utvikles kurs og studieretninger innenfor prosesstyring, systemintegrasjon og IKT, noe som kan bidra til at bransjen får den kompetansen som trengs for å drifte systemene i fremtiden.

Kraftbransjen har lang tradisjon for å gjennomføre øvelser. Utvalget er gjort kjent med at kompetansen knyttet til IKT-sikkerhet er varierende blant virksomheter i bransjen, og mener derfor det er behov for å gjennomføre flere øvelser innenfor IKT-sikkerhet, der leverandører inviteres med. Gjennom ulike typer øvelser kan organisasjoner og samarbeidspartnere øve på planverk og nye utfordringer. Utvalget anbefaler at NVE gjennom sin veiledningsrolle er pådriver for flere øvelser på IKT-sikkerhetsområdet både i sektoren og opp mot andre sektorer det er naturlig å samarbeide med.

13.7.3 Bygge et sterkt operativt fagmiljø for IKT-hendelseshåndtering

Leveringssikkerheten i kraftbransjen er høy. Likevel gir naturhendelser og teknisk svikt tidsbegrensede kraftbortfall. Sektorens kritiske rolle tilsier at bransjen må ha god beredskap mot alle typer hendelser, også tilsiktede IKT-hendelser som vi ennå ikke har sett så mange av. IKT er tett integrert i kraftforsyningen og avgjørende for å sikre en effektiv og sikker drift av systemet. Virksomhetene må selv ha evne til å håndtere hendelser. I den sammenheng er det viktig med åpenhet og rask informasjonsutveksling om trusler, erfarte hendelser og mulige avbøtende tiltak.

Kraftforsyningen er en viktig infrastruktur for resten av samfunnet. Bransjen bør ha et kompetent felles miljø for hendelseshåndtering som både kan koordinere hendelser internt i sektoren og være kontaktpunkt ut mot andre sektorer. Utvalget støtter ideen om å videreutvikle KraftCERT som et sterkt fagmiljø innen operativ hendelseshåndtering. NVE må tydeliggjøre krav om tilknytning til et operativt fagmiljø for hendelseshåndtering, enten mot KraftCERT eller mot andre miljøer. Virksomhetene bør ha en tydelig begrunnelse for hvilket alternativ de velger. Det er viktig med avklarte roller mellom responsmiljøene, slik at kraftbransjen opptrer enhetlig overfor andre sektorer.

13.7.4 Vurdere de sikkerhetsmessige forhold ved å behandle og lagre kraftsensitiv informasjon i utlandet

Noen typer informasjon er kritisk for drift av kraftforsyningen i ordinære og ekstraordinære situasjoner. Hva som er kraftsensitiv informasjon, og som skal beskyttes særskilt, går frem av beredskapsforskriften. Samtidig observerer utvalget at teknologiutviklingen, økt systemintegrasjon og organisasjonsendringer hos leverandører endrer mulighetsrommet for tjenesteutvikling. Med dette blir tradisjonelle sikkerhetstiltak og begrensninger for informasjonsdeling utfordret, se nærmere omtale i punkt 23.7 «Utkontraktering og skytjenester».

Norsk kraftforsyning må kunne driftes selv i situasjoner der ekom mot utlandet svikter. Dette har konsekvenser for hvilken informasjon som kan lagres utenfor Norges grenser. Utvalget observerer at dagens regelverk gir utfordringer for tjenesteutvikling og effektiv drift av kraftforsyningen, og vil derfor anbefale at NVE gjør en vurdering av hvilken informasjon som, gitt de endrede teknologiske og organisatoriske rammene, er så kritisk at den ikke bør lagres og behandles utenfor Norges grenser. Utvalget anbefaler at NVE ser på hele verdikjeden og identifiserer hvilken informasjon i denne som må være under nasjonal kontroll.

13.7.5 Gjennomføre risiko- og sårbarhetsanalyse for utvidet bruk av AMS

Vedtak om innføring av AMS skjedde uten en forutgående risiko- og sårbarhetsanalyse.50 Utrullingen av AMS innebærer et stort potensial for økt nettnytte, innovasjon og effektivisering i sektoren. Utvalget stiller seg positivt til at denne effekten må tas ut, men mener det må gjøres med en grad av forsiktighet. Ukritisk implementering av funksjonalitet som for eksempel knytter AMS tettere sammen mot driftskontrollsystemer, vil medføre en sårbarhetsoppbygging med et betydelig skadepotensial. Utvalget mener det er viktig med en god og bredt dekkende risiko- og sårbarhetsanalyse i forkant av teknologiskifter, ved bruksendringer og ved system- og organisasjonsendringer. Utvalget anbefaler at NVE gjennomfører nødvendige risiko- og sårbarhetsanalyser for utvidet bruk av AMS inn mot driftskontrollsystemene.

13.7.6 Utarbeide en oppdatert analyse av kraftforsyningens avhengighet av ekom

Utvalget har merket seg NVEs uttalelser om at kraftbransjens avhengighet av ekom er lav, og at dette i hovedsak skyldes gjeldende krav i regelverket om å kunne drifte kraftsystemet selv når kommersiell ekom er nede. Utvalget er kjent med at kraftforsyningen har et eget samband, men stiller spørsmål ved om denne vurderingen fullt ut tar innover seg kompleksiteten og samhandlingen på tvers av aktører i og utenfor bransjen. Utvalget konstaterer videre en generell trend for alle andre samfunnsaktører om økt avhengighet av IKT og kommersiell ekom. Dette henger sammen med et bredere aktørbilde og økt kompleksitet i verdikjeden.

Utvalget vil peke på at selv om kraftbransjen så langt har klart å håndtere kritiske situasjoner uten kommersiell ekom, kan evnen utfordres i fremtiden når enda mer IKT blir lagt til og integrert i kraftinfrastrukturen. Utvalget anbefaler derfor NVE og bransjen å foreta en ny gjennomgang for å etterprøve om dagens krav gir den «uavhengigheten» som regelverket krever.

14 Olje og gass

Enhver aktivitet i olje- og gassektoren er forbundet med risiko forårsaket av trusler og sårbarheter. Det gjelder i økende grad også risiko som skyldes digitale sårbarheter. Norske etterretningsmyndigheter har de senere årene advart om en økning i antall digitale trusler rettet mot norsk industri. Det er mange indikasjoner på at hele verdikjeden i petroleumssektoren nå er et mål for tilsiktede digitale angrep. Sektoren er svært viktig for norsk økonomisk bæreevne og for Norges internasjonale betydning og omdømme som olje- og gassleverandør. I ytterste konsekvens får alvorlig svikt i leveransene konsekvenser for land som importerer store deler av sin gass fra Norge.

Mens digitale sårbarheter har vært viet stor oppmerksomhet innen tradisjonell informasjons- og kommunikasjonsteknologi, har vektleggingen av slike sårbarheter innen prosess- og industrisektoren kommet det siste tiåret. I 2010 ble man oppmerksom på Stuxnet, som viste at målrettede digitale angrep kan utnytte digitale sårbarheter og påføre industrielt utstyr og infrastruktur signifikante skader. For olje- og gassektoren ble eksplosjonen i en oljerørledning i den tyrkiske byen Erzincan i 2008 en tankevekker. Flere år etter ulykken ble årsaken presentert, og det var tydelige indikasjoner på at dette var resultatet av et digitalt angrep. Hackere hadde slått av alarmer og kommunikasjonslinjer og økt trykket i rørledningen.

Deler av utvalgets omtale av olje og gass er basert på rapporten «Digitale Sårbarheter Olje & Gass (DNV GL)», se elektronisk vedlegg.

14.1 Olje- og gassinfrastruktur

Olje- og gassvirksomheten er basert på en omfattende infrastruktur som består av faste og flytende produksjonsinnretninger, flyttbare boreinnretninger, undervannsinstallasjoner, rørtransportsystemer, mottaks- og prosessanlegg, raffinerier, kontrollsentraler, forsyningsbaser, lagre, forsyningsfartøy, helikoptre og helikopterterminaler. Av infrastruktur er produksjonsplattformer, raffinerier, rørledninger og skipningsterminaler mest kritisk. Sanntidsoverføring av data fra brønn til land og sanntidsdeling av informasjon mellom personell offshore og personell på land gjør nye samarbeidsformer mellom ulike grupper og ulike ekspertgrupperinger – også omtalt som integrerte operasjoner – mulig. Mens man tidligere måtte få eksperter til å reise ut til en plattform for å løse et problem, kan problemet nå ofte løses fra land. Norsk olje og gass anslo i 2008 at integrerte operasjoner kan øke verdiskapingen med 300 milliarder kroner.

Det er omtrent 50 år siden man startet petroleumsvirksomhet på norsk sokkel, og flere av de første feltene er fortsatt i drift. Samtidig har aktiviteten bredt seg utover den norske sokkelen. I begynnelsen var det bare utenlandske selskaper på sokkelen, men etter hvert som kompetansen økte, kom norske selskaper med. I dag er det nær 40 selskaper på norsk sokkel. Statoil er det største selskapet, etterfulgt av internasjonale selskaper som ConocoPhillips, British Petroleum, Exxon, Shell, Total og ENI.

Petroleumsvirksomheten har hatt mye å si for den økonomiske veksten i Norge og for finansieringen av det norske velferdssamfunnet. I 2013 sto petroleumssektoren for 22 prosent av verdiskapingen i landet. Verdiskapingen i sektoren er mer enn dobbelt så stor som i landindustrien og rundt 15 ganger den samlede verdiskapingen i primærnæringene. Norge eksporterer 97 prosent av all gass, noe som gjør Norges til verdens nest største gasseksportør.

14.2 Roller og ansvar

Olje- og energidepartementet har det overordnede ansvaret for forvaltningen av petroleumsressursene på den norske kontinentalsokkelen. Departementet skal se til at petroleumsvirksomheten foregår etter de retningslinjene Stortinget og regjeringen gir, og har i tillegg et eieransvar for de statlige selskapene Petoro AS og Gassco AS og for det delvis statlige oljeselskapet Statoil ASA.

Oljedirektoratet er administrativt underlagt Olje- og energidepartementet og er et statlig fagdirektorat og forvaltningsorgan for norsk petroleumsvirksomhet. Oljedirektoratet har et nasjonalt ansvar for at data og informasjon fra petroleumsvirksomheten er tilgjengelig og derved bidrar til verdiskaping. Oljedirektoratet har en sentral rolle innenfor petroleumsforvaltningen og er et viktig rådgivende organ for Olje- og energidepartementet. Direktoratet utøver forvaltningsmyndighet og skal bidra til å skape størst mulige verdier for samfunnet fra olje- og gassvirksomheten gjennom en forsvarlig ressursforvaltning med forankring i sikkerhet, beredskap og ytre miljø.

Arbeids- og sosialdepartementet har det overordnede ansvaret for forvaltning av arbeidsmiljøet og for sikkerhet og beredskap på norsk sokkel. Departementet gir føringer for Petroleumstilsynets prioriteringer gjennom årlige tildelingsbrev.

Petroleumstilsynet er et selvstendig, statlig tilsynsorgan med myndighetsansvar for sikkerhet, beredskap og arbeidsmiljø i norsk petroleumsvirksomhet. Petroleumstilsynet var tidligere en del av Oljedirektoratet. Regjeringen bestemte i 2002 at Oljedirektoratet skulle deles, slik at tilsynet med sikkerhet ble lagt til en egen etat (Petroleumstilsynet).51 Petroleumstilsynet er nå underlagt Arbeids- og sosialdepartementet.

I tillegg har Petroleumstilsynet et spesielt samordningsansvar med andre etater som har ansvar på norsk sokkel. Ansvaret for deler av petroleumsvirksomheten er fordelt på andre departementer: Oljevernberedskap, helikoptertransport og radiokommunikasjon er underlagt Samferdselsdepartementet, petroleumsskattlegging er underlagt Finansdepartementet, helsemessige sider er underlagt Helse- og omsorgsdepartementet, og det ytre miljøet er underlagt Miljøverndepartementet. Flytende innretninger er underlagt Sjøfartsdirektoratet, som igjen er underlagt Nærings- og fiskeridepartementet.

Direktoratet for samfunnssikkerhet og beredskap(DSB) har et ansvar for oppfølging av prosesstyringsanlegg, på bakgrunn av brann- og eksplosjonsvernloven med forskrifter, samt storulykkeforskriften. Ved etablering av nye anlegg følger DSB opp saksbehandling, tilsyn og annet som blir gjort relatert til behandling av virksomhetens søknad om samtykke. I ordinært tilsyn er det vanlig at DSB følger opp hvordan virksomhetene sørger for at systemene deres virker etter intensjonene. Alle storulykkemyndighetene (DSB, Miljødirektoratet, Petroleumstilsynet, Næringslivets sikkerhetsorganisasjon (NSO) og Arbeidstilsynet) vil under tilsyn med storulykkevirksomheter følge opp denne typen systemer. Anlegg på land er underlagt storulykkeforskriften.

Norsk olje og gass (NOROG) er en interesse- og arbeidsgiverorganisasjon under Næringslivets Hovedorganisasjon for oljeselskaper og leverandørbedrifter knyttet til utforsking og produksjon av olje og gass på norsk kontinentalsokkel. Organisasjonen representerer 53 oljeselskaper og 54 leverandørbedrifter. Formålet med organisasjonens aktiviteter på IKT-sikkerhetsområdet er å forebygge gjennom erfaringsoverføring i NOROGs nettverk og prosjekter/arbeidsgrupper der interesserte medlemsbedrifter deltar. NOROG har et tett samarbeid med aktuelle myndigheter, i dette tilfellet NSM NorCERT og Petroleumstilsynet.

Ifølge Oljedirektoratets faktasider er 37 operatørselskaper registrert som operatører på norsk sokkel. Leverandørindustrien brukes som samlebegrep på aktørene som leverer produkter og tjenester til petroleumsvirksomheten.

Gassco AS er et statlig selskap som siden 2002 har hatt operatøransvaret for transport av gass fra den norske kontinentalsokkelen. Transportsystemet er omfattende og består av flere plattformer og tusenvis av kilometer med rørledninger. Gassco er operatør for Gassled, som er et interessentskap og den formelle eieren av infrastrukturen forbundet med gasstransporten fra norsk sokkel. Petoro AS og Solveig Gas Norway AS er de største eierne, med til sammen nær 70 prosent av eierandelene. Gassco har ikke eierandeler i Gassled, men har tilsyn med operatørselskapet.

Forskning og utvikling

Olje- og energidepartementet er et av de departementene som bevilger store summer til forskning og innovasjon hvert år. Det meste av overføringene til FoU skjer via programmer i Forskningsrådet. IKT inngår i flere store programmer. For eksempel forskes det mye på integrerte operasjoner i offshorevirksomheten, det er blant annet etablert et eget senter for dette temaet ved NTNU, og det pågår sikkerhetsrelevant forskning på IKT i større programmer som DEMO 2000 og PETROMAKS 2.

Internasjonalt samarbeid

Petroleumstilsynets DwH-rapport med vurderinger og anbefalinger for norsk olje- og gassektor inneholder en beskrivelse av internasjonale problemstillinger og pågående samarbeid på generelt nivå.52 I dag reises det blant annet krav om internasjonal sikkerhetsregulering og -koordinering og om etablering av tverrnasjonale regelverkskrav. Fra flere hold er det tatt til orde for mer ensartede internasjonale sikkerhetsregimer i olje- og gassvirksomheten.

14.3 Hjemmelsgrunnlag og tilsynsvirksomhet

Petroleumsloven regulerer myndighetenes forvaltning av norske petroleumsressurser. Loven kommer til anvendelse på petroleumsvirksomhet knyttet til undersjøiske petroleumsforekomster som er underlagt norsk jurisdiksjon. Loven gjelder også petroleumsvirksomhet i og utenfor riket og norsk kontinentalsokkel når det følger av folkeretten eller av overenskomst med en fremmed stat. I 2013 ble ansvaret for å ivareta petroleumsloven § 9-3 Beredskap mot bevisste anslag delegert fra Olje- og energidepartementet til Arbeids- og sosialdepartementet (Petroleumstilsynet). Kapittel 9 i petroleumsloven stiller krav til sikkerhet og beredskap, også mot tilsiktede handlinger, men IKT er ikke nevnt spesielt i petroleumsloven.

Olje- og gassindustrien har et funksjonsbasert regelverk innenfor helse, miljø og sikkerhet (HMS). Regelverket har lagt til grunn at selskapene selv vurderer risiko, setter akseptkriterier og beslutter relevante tiltak. Dette gjøres gjennom risiko- og beredskapsanalyser i de enkelte selskapene. Bransjens egenutviklede standarder legges til grunn for arbeidet.

Næringens retningslinjer

Operatørselskapene har et selvstendig ansvar og en egeninteresse i å ivareta IKT-sikkerheten i egen virksomhet. Næringen har selv, gjennom Norsk olje og gass, utarbeidet spesifikke retningslinjer for informasjonssikkerhet i IKT-baserte prosesskontroll-, sikkerhets- og støttesystemer (sist revidert i 2009).53 Bakgrunnen for etableringen av retningslinjene var en dramatisk økning i antall virusangrep, hendelser på norsk sokkel og ønsket om å etablere et reaksjonsmønster tilpasset prosesskontrollsystemer og ikke bare «normal IT-drift». Fra 2014 henvises det til retningslinjene i innretningsforskriften § 34 a.

Tilsyn

Siste års tilsynsrapporter på selskapsnivå er tilgjengelige på Petroleumstilsynets nettsider. Rapportene fokuserer på HMS og sikkerhet i jobbutøvelse for ansatte. På teknisk side har Petroleumstilsynet gjennomført tilsyn hos enkeltvirksomheter innenfor for eksempel prosessintegritet og barrierer. Tidligere tilsyn med IKT-sikkerhet fra 2007 har påvist mangler i barrierer mellom prosessnettverk og administrativt nett, mangler i IKT-sikkerhetskompetanse, mangelfull oppdatering av dokumentasjon og uklarheter rundt håndtering av feil i kommunikasjonssystemer. Disse forholdene er nå inkludert i retningslinjene til bransjen. Petroleumstilsynet gjennomfører systemtilsyn, og har ikke spesialistkompetanse på teknisk systemevaluering av IKT-sikkerhet.

14.4 Beredskap og hendelseshåndtering

Olje- og gassektoren er utpekt som fortsatt særlig utsatt for etterretningstrusler i Politiets sikkerhetstjenestes årlige trusselvurdering for 2015. Etterretningstjenestens rapport FOKUS 2014 peker på cybertrusselen mot teknologi- og energivirksomheter. Også Olje- og energidepartementet vurderer industrispionasje som en risiko det aktivt må settes i verk forebyggende tiltak mot.

Det har vært en rekke hendelser mot olje- og gassektoren som har bidratt til å sette sikkerhet på dagsordenen. I 2012 ble oljeselskapet Saudi Aramco angrepet av et virus, og 30 000 datamaskiner ble ødelagt. I 2013 skapte Shamoon-viruset ny bekymring da det angrep prosesskontrollsystemer. I august 2014 gikk Nasjonal sikkerhetsmyndighet ut med et varsel til 300 virksomheter i olje- og energiselskaper. Det spesielle med denne situasjonen var ifølge Norsk olje og gass omfanget, antallet virksomheter som var angrepet, og at det så ut til å være relativt avansert skadevare vedlagt e-postene.

Trusselen mot bransjen har dermed eksistert en tid, og også internasjonalt er bransjen blitt klar over trusselen. En frykter innbrudd og integritetsangrep mot prosesstyringssystemene, og med økende systemintegrasjon kan denne trusselen komme til å øke. En undersøkelse blant 46 selskaper som opererer på norsk sokkel,54 viser at prosesstyringssystemene (SCADA-systemene) opererer i et miljø som er utsatt for høy grad av trussel for blant annet hacking. Sammenkobling mellom SCADA-systemer og andre IKT-systemer over Internett øker risikoen for bevisste angrep og tilfeldige feil i prosesstyringssystemene. Se også nærmere omtale av SCADA-problematikk i kapittel 13 «Energiforsyning» og kapittel 15 «Vannforsyning».

En uoffisiell, internasjonal undersøkelse blant amerikanske oljeselskaper konkluderer med at 60 prosent av selskapene ikke har en beredskapsplan mot digitale sårbarheter.55 Det er en oppfatning om at dette også er representativt for selskapene på norsk sokkel. Mens selskapene legger stor vekt på beredskap for brann og eksplosjoner med mer, har mange av dem verken planer eller rutiner for å håndtere en hendelse basert på digitale sårbarheter. Det er få av selskapene som har etablerte rutiner for å koble seg fra Internett eller sperre forbindelsen mellom selskapets IKT-nettverk og selskapets produksjonsnettverk, og bare noen få aktører er tilknyttet VDI-systemet til Nasjonal sikkerhetsmyndighet.

Ved behov for melding om digitale trusler fra myndighetene til bedriftene i olje- og gassektoren har Petroleumstilsynet mulighet til å benytte næringens eget nettverk dersom de ordinære kommunikasjonsløsningene ikke er tjenlige. Ved en hendelse i 2014 sendte Nasjonal sikkerhetsmyndighet melding til Petroleumstilsynet, som brukte kontaktnettet sitt til å varsle bedriftene. Petroleumstilsynet er etterpå blitt kritisert for at meldingen ble gitt til feil personer, og at personer som burde blitt informert, ikke ble det. Det finnes ingen formell prosedyre for melding om digitale trusler fra sikkerhetsmyndighetene til selskapene. Noen selskaper har etablert en egen direkte dialog med sikkerhetsmyndighetene og blir fortløpende oppdatert om trusselbildet gjennom den. De store internasjonale selskapene blir oppdatert fra sine sentrale fagmiljøer. Det kan se ut som om mindre selskaper har en større utfordring når det gjelder å bli oppdatert om nye trusler.

Rapportering av hendelser

Hendelser og nesten-hendelser med alvorlig skadepotensial skal rapporteres til Petroleumstilsynet. Virksomhetene i olje- og gassvirksomheten opplever stadig angrep på IKT-systemene sine. Petroleumstilsynet har ikke avdekket IKT-sårbarheter som årsak til rapporterte hendelser. Varsel til bransjen har kommet fra NSM NorCERT og til det enkelte selskapet.

Petroleumstilsynets regelverk krever varsling av «alvorlig svekking eller bortfall av sikkerhetsrelaterte funksjoner eller barrierer, slik at innretningens eller landanleggets integritet er i fare».56 Grensen for når digitale hendelser skal rapporteres, og for hva som skal rapporteres til Petroleumstilsynet, kan være noe uklar. Det samme gjelder koordinert innsamling av denne typen data. Uten en koordinert registrering har man begrenset mulighet til analyse av data og læring. Manglende rapportering kan skyldes at uønskede digitale hendelser ikke er tydelig omtalt i forskrift og lov og dermed heller ikke vektlagt i tilsyn. Det kan også skyldes at bedriftene er redde for omdømmet sitt, eller det kan være et uttrykk for at bedriftene ikke anser disse truslene som så alvorlige at de kan få alvorlige konsekvenser for produksjonen. Manglende åpenhet om og utveksling av erfarte digitale trusler gjør at samarbeidet i sektoren ikke er optimalt. Både Petroleumstilsynet og Norsk olje og gass har tatt initiativ til aktiviteter for å få satt arbeidet med digitale trusler på dagsordenen.

Kapasiteter for deteksjon og hendelseshåndtering

Operatørselskapene har et selvstendig ansvar for å ivareta IKT-sikkerheten hos seg selv og på sine felt. Oljedirektoratet har ingen operativ rolle i forbindelse med hendelser i næringen. Dersom en IKT-hendelse påvirker og fører til stopp i produksjonen og i leveranser fra norsk sokkel, vil Oljedirektoratets beredskapsvakt bli varslet. I gitte situasjoner vil Oljedirektoratet varsle videre til eget departement. Det er ikke etablert et felles responsmiljø for sektoren.

Det synes som om det er liten grad av myndighetsinitierte øvelser i håndtering av IKT-hendelser i sektoren eller sammen med andre sektorer. Oljedirektoratet har imidlertid deltatt i øvelser initiert av eget departement, men da med vekt på leveransesikkerhet fra norsk sokkel.

14.5 Digitale sårbarheter i olje- og gassektoren

Industrielle automatiserings-, kontroll- og sikkerhetssystemer som benyttes i olje- og gassektoren, er i stor grad digitalisert og avhengige av digital teknologi.

Det er gjennomført noen myndighetstilsyn hos enkeltvirksomheter innenfor olje- og gassektoren når det gjelder IKT-sikkerhet, og Petroleumstilsynet har bedt virksomhetene vurdere sin egen IKT-sikkerhet opp mot retningslinjene til Norsk olje og gass. De samlede resultatene viser at både landanleggene og produksjonsinnretningene har relativt gode systemer og rutiner for IKT-sikkerhet slik de vurderer situasjonen selv, mens riggnæringen kommer noe svakere ut. Dette gjelder spesielt på kriterier som at brukerne må ha tilstrekkelig forståelse for sikkerhetsrisiko og akseptabel bruk av systemene, og planer for gjenopprettelse etter at mulige hendelser har inntruffet.

Tidligere ble det benyttet isolerte og proprietære nett mellom prosessutstyr og kontrollsystemer. Behov for overføring av produksjonsdata til informasjonssystemer, samt fjernvedlikehold, gjør at fullstendig separasjon ikke lenger er praktisk mulig. Den økende bruken av fjernoperasjon fra naboplattformer eller land kan innebære bruk av felles kommunikasjonssystemer, og produksjonsutstyr kan dermed være eksponert for nettverksrelaterte sårbarheter.

14.5.1 Verdikjede

Den norske olje- og gassvirksomheten assosieres ofte med de store produksjonsinstallasjonene som henter hydrokarboner opp fra grunnen, de store landbaserte prosessanleggene som produserer olje- og gassprodukter, og de lange rørledningene på havbunnen som transporterer olje og gass til Europa. I olje- og gassvirksomhetens verdikjede inngår også sentrale ledd som salg, markedsføring, foredling, transport, forskning, myndighetsrapportering med mer. I virksomheten skiller en mellom oppstrømsaktiviteter som de aktiviteter som gjøres for å bringe borestrøm opp fra grunnen og prosessere denne, og nedstrømsaktiviteter som aktiviteter for å bringe olje- og gassprodukter ut til forbrukerne. I alle ledd i både opp- og nedstrømsaktiviteter er informasjonssystemer vitale for alle operasjoner som blir utført.

I de videre diskusjonene i dette kapittelet prioriteres den digitale sårbarheten i de fire leddene i verdikjeden der olje- og gassvirksomheten er spesiell i forhold til annen industri. Det er den digitale sårbarheten i letevirksomhet, under feltutvikling, i produksjonsfasen og i transport av olje og gass til Europa i de store rørledningssystemene. Anlegget på Mongstad er vesentlig i denne verdikjeden.

Figur 14.1 Verdikjede olje og gass.

Figur 14.1 Verdikjede olje og gass.

14.5.2 Letevirksomhet

Letefasen er en informasjonsintensiv fase. Formålet med leteaktivitetene er å finne nye forekomster av hydrokarboner som kan utvinnes. Enorme mengder data blir samlet inn. Disse representerer store verdier for olje- og gasselskapene blant annet for at de skal kunne vurdere verdi og lønnsomhet i mulige nye utbyggingsprosjekter. Kunnskap om verdien av nye felt kan påvirke børsverdien for selskapene. Viktige beslutninger om investeringer og samarbeidsforhold tas basert på informasjon om størrelser og hvilken type sammensetning (olje, gass, kondensat) man finner på feltet.

Den digitale sårbarheten til disse dataene blir primært relatert til beskyttelse mot tilgang til, sletting eller manipulasjon av dataene. Datastrukturene er sammensatte, og man trenger spesialistkompetanse for å kunne tolke og forstå dataene. Et strengt regime for informasjonsforvaltning er nødvendig for å beskytte disse dataene. Det er ikke kjent at det har vært noen hendelser relatert til digital sårbarhet med denne typen data. Det virker som om bedriftene er bevisste på verdien av sin lete- og utvinningsrelaterte informasjon og beskytter denne godt.

Dokumenter med sammendrag og konklusjoner fra letevirksomhet vil være av meget stor interesse for utenforstående, og kan være et mål for digital spionasje. Digitale sårbarheter som kan føre til at slik informasjon kommer på avveie, består primært i manglende oppmerksomhet og opplæring hos de ansatte, i tillegg til manglende rutiner for klassifisering og behandling av sensitiv informasjon.

Databasen Diskos er sentral i norsk olje- og gassvirksomhet. Diskos er en nasjonal lagringsbase for lete- og utvinningsrelatert informasjon. Databasen er opprettet og utformet av Oljedirektoratet og oljeselskapene som er representert på norsk sokkel. Den inneholder til dels konfidensiell informasjon, og består hovedsakelig av brønn- og seismikkdata for norsk kontinentalsokkel. Mens oljeselskapene ikke har tilgang til hverandres data, har ansatte i offentlig virksomhet slik tilgang. Diskos styres av Oljedirektoratet og inneholder nesten alle kartdata som finnes for norsk sokkel. Riksrevisjonen påpeker at dataene kan ha stor betydning for konkurransen mellom oljeselskapene og være et mål for dataangrep fra andre stater.57

Sanntids IKT-systemer er vitale under borevirksomheten. Storulykken på Deepwater Horizon (DwH) skjedde under boring av en brønn på Macondo-feltet i Mexicogolfen. For å illustrere hvordan digitale sårbarheter på en boreplattform kan bidra til ulykker, og hva konsekvensene av en slik ulykke kan bli, er hendelsesforløpet som førte til ulykken gjengitt i boks 14.1.

Boks 14.1 Deepwater Horizon-ulykken1

Den 20. april 2010 skjedde en utblåsing, eksplosjon og brann om bord på den flyttbare innretningen Deepwater Horizon (DwH). Elleve av de som var om bord da ulykken inntraff, omkom, og flere fikk alvorlige skader. Mer enn fire millioner fat olje strømmet ukontrollert ut av brønnen før lekkasjen ble stoppet.

Brønnen var designet slik at den senere skulle kunne brukes som produksjonsbrønn. Under boreprosessen traff man på høyere trykk enn man hadde forventet, noe som førte til endringer i det planlagte boreprogrammet. En måtte også gjøre endringer på grunn av operasjonelle problemer som oppsto underveis. DwH var utstyrt med moderne, databaserte sikkerhetssystemer relatert til overvåking av brønn, avstenging av brønn, frakobling av rigg, kraftforsyning, deteksjon og varsling av mannskap. Under ulykken sviktet alle disse informasjonssystemene helt eller delvis. Det ble i den påfølgende granskingen påvist at det var kjent at flere av informasjonssystemene hadde feil og mangler, og at dette var blitt ignorert og akseptert. Det var flere kjente programvarefeil på riggen. Et nytt system var bestilt, men feil i det nye operativsystemet gjorde at gammel programvare ikke lot seg kjøre på det nye operativsystemet. Noen av riggens alarmsystemer, inkludert riggens generelle alarmsystemer, var slått av. Dette medførte at selv om sensorer på riggen registrerte høye gassnivåer, giftig gass og brann, og overførte disse signalene til brann- og gassvarslingssystemet, ble ingen alarm aktivert. Blowout-preventeren (BOP) stengte ikke av brønnen, slik den skulle gjøre. Det er uklart om den ble skadet under ulykken, eller om den allerede var i ustand. Det var gjort observasjoner om lekkasjer fra BOP-ens hydrauliske kontrollsystem, uten at man hadde gjort noe med dette. Myndighetene hadde krevd en resertifisering av BOP-en, noe som ville gjøre det nødvendig med en nedstenging i 90 dager, men dette var ikke utført.

1 Vinnem, J.E., Utne, I.B., Skogdalen, J.E. (2011): Looking Back and Forward: Could Safety Indicators Have Given Early Warnings about the Deepwater Horizon Accident? Deepwater Horizon Study Group. Working Paper – Jan-2011.

14.5.3 Feltutvikling

Utvikling og utbygging av nye felt er en investeringsintensiv fase. Mange aktører er involvert, som produsenter av hele eller store deler av installasjonene, utstyrsleverandører og tjenesteleverandører. Konkurransen er hard, og et tilslag på et tilbud kan være avgjørende for et selskap. Olje- og gasselskapene har velfungerende, velprøvde og sikre anbuds- og evalueringsprosesser. Strenge regler sørger for at informasjon om tilbud fra konkurrentene beskyttes, er tilgjengelig for kun et fåtall personer og bare blir benyttet til det som er formålet. Denne typen informasjon kan være et mål for digital spionasje.

Gjennom forskning, erfaring og samarbeid i bransjen har norsk industri bygd opp en bred ekspertise på feltutvikling av olje- og gassinstallasjoner til havs. Dette er kunnskap som gir bransjen konkurransefordeler ved både norske og internasjonale feltutbyggingsprosjekter. Slik kunnskap og dokumentasjon er ettertraktet og må beskyttes.

I byggefasen designes og dokumenteres installasjonene. Dokumentasjon om datanett, adresser med mer utveksles mellom leverandørene og oljeselskapet. Slik informasjon vil være av stor verdi for trusselaktører.

Digitale sårbarheter som kan føre til at slik informasjon kommer på avveie, består primært i manglende oppmerksomhet og opplæring hos de ansatte, manglende rutiner for klassifisering og behandling av sensitiv informasjon og manglende herding og oppdatering av programvare.

Utstyr for prosesskontroll tilpasses og utvikles i byggefasen. Det benyttes standardkomponenter som for eksempel PC-er med Microsoft Windows eller Linux. Det innebærer at kjente sårbarheter for disse kommersielle produktene også vil være til stede. Programvare som utvikles, er i begrenset grad designet, utviklet og testet med tanke på digitale sårbarheter.

Underleverandører spiller en viktig rolle i forbindelse med design og produksjon av nye installasjoner. Det er stor bekymring for at manglende sikkerhetskultur hos underleverandører fører til at digitale sårbarheter etableres i feltutviklingsfasen og blir med prosjektene over i produksjonsfasen.

Konsekvenser av uønskede hendelser grunnet digitale sårbarheter i feltutviklingsfasen er primært av økonomisk art for næringslivet.

14.5.4 Produksjon

Tidligere ble det benyttet proprietære nettverk mellom prosessutstyr og kontroll- og sikkerhetssystemer, mens det i dag ofte benyttes nettverk basert på Internett-teknologi (TCP/IP). Industrielle automatiserings- og kontrollsystemer var tidligere fysisk adskilt fra tradisjonelle informasjonssystemer og åpne nett. Overføring av produksjonsdata til informasjonssystemer og fjernvedlikehold gjør at en slik fullstendig separasjon i dag ikke er praktisk mulig. Dette betyr at produksjonsutstyr kan være mer eksponert for nettrelaterte sårbarheter. Dersom en angriper bryter gjennom forsvarsmekanismene til kontroll- eller sikkerhetssystemet, kan vedkommende blant annet forstyrre kontrollsystemets funksjonalitet ved å forsinke eller blokkere flyten av informasjon eller gjøre uautoriserte endringer i kontrollsystemet.

En amerikansk studie fra 2011 om prosesskontrollsystemer viser at det er flere digitale sårbarheter i slike systemer. Sårbarhetene er rapportert inn til Common Weakness Enumeration-registeret (CWE), der produsenter, forskere og leverandører kan se de siste oppdagede sårbarhetene og arbeide med å lukke dem.58

Personell som opererer installasjonene og bemanner kontrollrom, kan påføre installasjonene stor skade. Spredning av ondsinnet kode oppstår oftest på grunn av menneskelige feil. Det åpnes vedlegg i e-post, det settes inn minnepinner, det lades mobiltelefoner, bærbare datamaskiner kobles til kritiske nett, og så videre. Mobiltelefoner kan også lett etablere Internett-forbindelser. Brukere lures til å oppgi passord, med mer. Ved å legge operasjonsrom på land kan oppmerksomheten bli mindre og gi muligheter for flere slike sårbarheter. Mangelfull avlåsing og merking av rom, skap og kabling bidrar også til slike sårbarheter. Utro tjenere med omfattende rettigheter kan påføre virksomheten stor skade.

Fjernoperasjon fra naboplattformer eller fra land kan innebære bruk av felles kommunikasjonsløsninger. For å få redundante nettløsninger benyttes ofte felles, delte datanett. Slike nett kan være sårbare for avlytting, inntrenging og manglende tilgjengelighet, og kommunikasjonsenheter har operatørgrensesnitt som er sårbare. Et tjenestenektangrep på et lite beskyttet segment (for eksempel brukt til underholdningsformål) i et delt nettverk kan medføre at kritiske segmenter blir berørt. Ettersom datanettet går via en rekke plattformer, vil strømstans på én plattform kunne berøre nettforbindelsen fra andre plattformer.

Datanett i Nordsjøen er primært basert på fiberoptisk kabling på havbunnen. Det har vært få skader på denne infrastrukturen, men i områder med grunt vann (15–20 meter) og mye havstrøm har det oppstått 5–6 skader i løpet av de siste 15 årene.

Kontrollsystemene blir anskaffet og drevet i grenselandet mellom to kulturer – informasjonsteknologi (IT) og operasjonsteknologi (OT). Manglende forståelse mellom disse miljøene kan medføre digitale sårbarheter. Eksempelvis prioriteres normalt konfidensialitet som den viktigste egenskapen i et IT-miljø, mens tilgjengelighet prioriteres høyest i et OT-miljø. Løpende oppdatering av programvare kan aksepteres i et IT-miljø, men kreve mer omfattende testing i et OT-miljø.

Integrerte operasjoner bidrar til integrasjon av organisasjonene som jobber på feltene og på land, ved at personer og team knyttes sammen i avanserte (virtuelle) kommunikasjonsrom. Samtidig kan nye samarbeidsrelasjoner internt i oljeselskapene og mellom leverandørene og oljeselskapene bli skapt. Integrerte operasjoner er et bredt begrep, og selskapene legger gjerne noe ulikt innhold i begrepet.

Lavere oljepris og reduksjon i produksjonen vil kunne øke incentivet for å effektivisere driften og ta i bruk integrerte operasjoner. Integrerte operasjoner kan gi konsekvenser for kommunikasjon og samhandling, innføring av ny teknologi og endret beslutningstaking og HMS-ledelse.59 Når oppgaver flyttes til land og man blir avhengig av at kommunikasjonsnettene er oppe, kan dette endre risikobildet.

Eldre anlegg representerer en større digital sårbarhet enn nye. Kontrollsystemene var isolert og ikke tenkt oppkoblet i nettverk og integrert med andre IKT-systemer. Disse kontrollsystemene inneholder ikke det samme nivået av innebygd sikkerhet som nyere systemer.

Olje- og gassinstallasjoner benytter i stor utstrekning underleverandører med eget utstyr og systemer i komplette pakker i form av moduler/«containere». Dette er ikke minst vanlig i tilknytning til boreoperasjoner. Slike moduler skal knyttes til strøm og nett. Manglende dokumentasjon gjør det vanskelig å kontrollere hvilke digitale sårbarheter hver enkelt av disse modulene medfører.

Konsekvensene av uønskede hendelser basert på digitale sårbarheter i produksjonsfasen vil i første rekke være av økonomisk art. Når produksjonen må stenges, innebærer det tapte inntekter for næringslivet, og samfunnet får reduserte skatter og avgifter. Uønskede hendelser vil få betydning for selskapenes omdømme, noe som igjen kan påvirke Norges omdømme som en stabil produsent og leverandør av energi. Dersom sabotasje- og terrororganisasjoner lykkes i å kontrollere vitalt produksjonsutstyr, kan konsekvensen bli miljøødeleggelse og tap av menneskeliv. Olje- og gassektoren er spesielt utsatt fordi det behandles store mengder brann- og eksplosjonsfarlig materiale, og fordi ansatte bor på installasjonene.

14.5.5 Transport

Norge er en viktig leverandør av olje og gass til Europa. Olje og gass blir i hovedsak levert gjennom rørledninger, men også med skip. Rapporten The partnership between the Norwegian Oil & Gas Industry and the EU countries,60 viser hvor viktige norske gassleveranser til Europa er, og også hvor viktige petroleumsaktivitetene på norsk sokkel er for næringslivet i Europa.

Rørledninger er eksponert for sabotasje og ulykker, siden de i store områder ligger ubeskyttet. I tillegg påvirker automatiserings-, kontroll- og sikkerhetssystemer selve flyten av hydrokarboner i rørene. Disse systemene kan også være sårbare. Rørledningssystemene inkluderer stigerør, prosessanlegg og mottaksterminaler.

Ifølge kravene til beredskap i petroleumsloven skal Gassco til enhver tid opprettholde en effektiv beredskap med sikte på å møte farer og ulykkessituasjoner. Gasscos beredskapsorganisasjon bygger på et nært samarbeid med Statoil og andre tjenesteleverandører, myndigheter og nødetater.

14.5.6 Avhengigheter av andre samfunnsfunksjoner

For å redusere utslipp av CO2 fra kraftproduksjon på oljeinstallasjonene baserer nye feltutbygginger seg ofte på kraftforsyning fra land (elektrifisering). De fleste av disse installasjonene må stenge produksjonen i tilfelle brudd på kraftforsyningen fra land. Det har over lengre tid vært en økende oppmerksomhet rettet mot digitale sårbarheter i distribusjonssystemer for elektrisk kraft. Slike distribusjonssystemer er komplekse nettstrukturer med stor avhengighet av styring- og kontrollsystemer.

Store avstander og store havdyp gjør at det er kostbart å etablere datanett til oljeinstallasjoner på norsk sokkel. Fiberoptiske kabler på havbunnen kan være utsatt for skade fra byggevirksomhet, fiskeriaktivitet og erosjon. Det kan være utfordrende å etablere redundante og helt uavhengige nettverksløsninger. Manglende kommunikasjon kan bety umiddelbar nedstenging av produksjon på plattformer som opereres fra land eller fra naboplattformer. Dette er også kritisk for rørledninger, der blant annet trykk og mengde må kunne reguleres og overvåkes i hele systemet.

Avhengighet av kraftforsyning

Kraftproduksjon på land som alternativ til kraftproduksjon på olje- og gassinstallasjonene er et miljøtiltak som nå innføres på en rekke installasjoner. I henhold til Innstilling nr. 114 (1995–1996) fra Stortingets energi- og miljøkomite besluttet Stortinget (St.prp. nr. 65 (1996–97)) at «ved alle nye feltutbygginger skal det legges fram en oversikt over energimengden og kostnadene ved å elektrifisere installasjonen framfor å bruke gassturbiner».

Martin Linge blir det sjuende feltet på norsk sokkel som får strømtilførsel fra land. Til nå er tilsvarende løsning etablert for feltene Gjøa, Valhall, Ormen Lange, Troll A, Snøhvit og Goliat. Stortinget har besluttet at Johan Sverdrup-feltet skal få dekket kraftbehovet sitt fra land, og at feltene Gina Krog, Ivar Aasen og Edvard Grieg senest innen 2022 skal forsynes med kraft fra land.61

Det store energibehovet til en olje- og gassinstallasjon stiller krav til elektrisitetsproduksjon og infrastruktur på land og vil ha betydning for den innenlandske kraftbalansen. Utfall i leveranse av elektrisk kraft vil føre til at produksjonen på installasjonen stopper.

Boks 14.2 Digital sabotasje på rørledning i Tyrkia

Rørledningen fra Baku i Aserbaidsjan går via Tbilisi i Georgia til Ceyhan i Tyrkia. Statoil er, sammen med ti andre foretak, deleier i rørledningen. Rørledningen er utstyrt med sensorer for hver mil. Trykk, oljeflyt og andre kritiske indikatorer blir sendt til et sentralt kontrollrom gjennom et trådløst overvåkingssystem. Kameraer overvåker hele den 1 099 mil lange rørledningen. Eksplosjonen den 7. august 2008 aktiverte ikke et eneste feilsignal. Tyrkiske myndigheter hevder at en feilfunksjon forårsaket eksplosjonen, kurdiske separatister (PKK) hevder at de står bak. Hovedeieren, British Petroleum, hadde rørledningen operativ igjen etter tre uker.

Det har senere vist seg at 60 timer med overvåkingsvideoer var slettet av hackere. Et infrarødt overvåkingskamera som ikke var koblet til det samme nettverket, viser to menn med bærbare datamaskiner som oppholdt seg i nærheten av rørledningen noen dager før eksplosjonen. Senere undersøkelser har avslørt at hackerne utnyttet et svakt punkt i systemet, selve overvåkingskameraene. Kameraenes kommunikasjonsprogramvare hadde sårbarheter som hackerne brukte til å få tilgang til og komme seg inn i det interne datanettverket. Inne i nettverket fant hackerne en maskin som benyttet et Windows operativsystem, og som var ansvarlig for alarmstyringsnettverket. De kunne plassere egen kode her som gjorde det mulig å snike seg tilbake når de måtte ønske. Det sentrale elementet i angrepet var å få kontroll over styringssystemet, slik at de kunne øke trykket i rørledningen uten at alarmer ble utløst. Angriperne kunne infiltrere programvaren på flere ventilstasjoner uten å trenge inn i hovedkontrollsentralen. De kunne øke trykket slik at det forårsaket en eksplosjon, og de kunne manipulere overvåkingssystemene slik at det ikke ble sendt meldinger om feilfunksjonering og lekkasjer til kontrollrommet.

Sikring av systemene som styrer norsk kraftforsyning, er regulert i forskrift om beredskap i kraftforsyningen. De elektriske anleggene som forsyner landanlegg og petroleumsinstallasjonene, er ikke omfattet av disse bestemmelsene, men er regulert av Petroleumstilsynets forskrifter.

Avhengighet av elektronisk kommunikasjon

Datakommunikasjon til oljeinstallasjoner på kontinentalsokkelen er primært basert på fiberoptisk kabel, men i noen grad også radiolinje eller satellittkommunikasjon. Firmaet Tampnet opererer det største offshore kommunikasjonsnettverket i Nordsjøen og betjener de fleste olje- og gassinstallasjoner i Nordsjøen ved fiberkabler og punkt-til-punkt radiolinjeforbindelser. Tampnet har dermed en unik rolle som leverandør av infrastruktur til norsk olje- og gassvirksomhet. De kan tilby redundans ved å kombinere linjeforbindelsene, og reduserer dermed sårbarheten for utfall. Tampnets hovedprodukt er stabil og pålitelig fysisk kommunikasjon mellom to punkter. Sikring av trafikken på nettverket og bruk av nettverket er brukeren selv ansvarlig for.

En av de viktigste endringene som nå pågår i petroleumsvirksomheten, er relatert til bruk av IKT. IKT-baserte løsninger og samhandlingsmønstre innen leting, reservoarstyring, boring, drift, vedlikehold og logistikk er i fokus. Nye driftsformer skaper nye risikomomenter. Personell på land overvåker prosesser på plattformer og rigger, og de mottar mye informasjon. Økt utnytting av IKT kan lede til økt avhengighet og økt sårbarhet. Den digitale sårbarheten vil øke ved økt automatisering og fjerndrift. Med fjerndrift gjør man seg helt avhengig av en elektronisk kommunikasjonsinfrastruktur og pålitelige prosesstyrings- og IKT-systemer. Her er det mange utfordringer, ikke minst når det gjelder informasjonssikkerhet, og da spesielt tilgjengelighet og integritet. Digitaliseringen innebærer bruk av videokonferanser og video-overvåking (CCTV), blant annet i forbindelse med drillingoperasjoner og i forbindelse med overvåking av helse, miljø og sikkerhet. Trenden er at gamle analoge systemer blir integrert med digitale systemer, og at kommunikasjon går over IP.

Den teknologiske utviklingen har også ført med seg økt bruk av fjernstyrte undervannsbåter. Mer enn halvparten av norsk olje- og gassproduksjon skjer ved hjelp av undervannsbrønner, og denne andelen blir stadig større. Disse blir ofte operert fra såkalte flerbruksfartøyer, som vanligvis er skip, lekter eller halvt nedsenkbare innretninger. Fartøyene kan være utstyrt for konstruksjon og vedlikehold av faste installasjoner, ha boligkapasitet, tilby tjenester som lagerplass, vann-, trykkluft- og elektrisitetsforsyning, kontorplass, kommunikasjonssentral og landingsplass for helikoptre. Personellet på flerbruksfartøy kan bestå av mange faggrupper. På skipene etterspør de datanettverk og større båndbredde. Det er flere utganger til mobilnettet. Hvis ikke det er til stede, går kommunikasjonen via satellitt. Mannskapet kan bruke ulike simkort, ett til sjøs og ett i land. MCP, som leverer mobiltjenester offshore, ser på kompresjon av mobiltrafikk for å kunne dekke viktig datatrafikk.

Avhengighet av satellittbaserte tjenester

Det er stor skipsaktivitet i tilknytning til olje- og gassvirksomheten. Maritim navigasjon er i dag basert på en rekke typer utstyr som kan brukes uavhengig av hverandre. Mye navigasjonsrelatert utstyr ombord på et fartøy er tilkoblet GPS og bruker posisjonsinformasjon fra GPS for utstyrets sekundære funksjoner. Det gjelder blant annet radar og gyrokompass. Integrasjon av systemer om bord og hvordan disse er avhengige av hverandre, kan variere fra skip til skip. Ved plutselig tap av GPS-signaler vil denne integrasjonen av systemer i mange tilfeller skape et komplekst alarmbilde og et behov hos navigatøren for å skaffe seg oversikt over hvordan ulike typer navigasjonsutstyr er påvirket, og hvordan ulike navigasjonshjelpemidler kan benyttes under den videre navigasjonen.62

En rekke fartøy holder seg tett inntil oljeinstallasjonene ved hjelp av dynamiske posisjoneringssystemer (DP) som er avhengige av posisjonssignaler fra satellitt. Et DP-system er et styringssystem som automatisk holder skipet i en posisjon eller på en programmert rute, samt holder skipets retning konstant. Dette skjer ved hjelp av aktiv styring av propeller, thrustere og ror. Et fellestrekk ved DP-systemer er at de anvender satellittnavigasjon (GPS og GLONASS) som posisjonsreferansesystem for nøyaktig posisjonering. Gyrokompass, vind-, strøm- og bølgesensorer, akustiske systemer, treghetsnavigasjon, mikrobølgesystemer og laser inngår som støtte- og reservesystemer. Data fra sensorsystemene overføres kontinuerlig til datamaskiner som beregner nødvendig pådrag for å posisjonere fartøyet med tilstrekkelig nøyaktighet i forhold til kravene for spesifikke operasjoner.63

En kollisjon mellom en plattform og for eksempel et forsyningsfartøy eller en flytende boligplattform kan få alvorlige konsekvenser. På samme måte kan feil i posisjoneringssystemer føre til alvorlige hendelser i forbindelse med dykkeaktivitet. Antall fartøyer på kollisjonskurs er blitt sterkt redusert de siste årene, blant annet på grunn av utvidet radarovervåking av installasjonene.

14.5.7 Kompetanse og sikkerhetskultur

Forståelsen for den digitale sårbarheten i virksomheten og evnen til å innføre tilstrekkelige tiltak for å beskytte seg mot digitale trusler er relatert til kulturen i virksomheten. En god kultur for å ta de digitale truslene på alvor er avhengig av den generelle sikkerhetskulturen i sektoren og vilje til å bruke ressurser på adekvate og tilstrekkelige tiltak. Petroleumstilsynet sier i sin hovedrapport64 etter gjennomgangen av DwH-ulykken blant annet:

«Sikkerhetskulturen i Olje- og Gassnæringen har en sammenheng med kostnadskutt, utsatt vedlikehold og manglende investeringer i sikkerhetssystemer. Dette er et ledelsesansvar. I stedet for å ta inn over seg usikkerheten aktørene står overfor i forkant av en uventet hendelse, klandrer vi dem for at de ikke på forhånd skjønte det vi ser så tydelig i ettertid. I stedet for å lære noe om hvor stor usikkerhet vi står ovenfor i beslutningene vi fatter, blir vi etterpåkloke. Igjen blir konsekvensen at vi undervurderer behovet for robuste beslutninger fordi vi lærer oss å undervurdere usikkerhet om fremtiden.»

Granskningsrapporten etter terrorangrepet mot Statoils gassanlegg i In Amenas i 2013 viste blant annet til at arbeid med sikkerhet ikke hadde fått like stor oppmerksomhet som det tradisjonelle HMS-arbeidet. Rapporten inneholdt flere anbefalinger og pekte blant annet på viktigheten av å definere en ambisjon for selskapets sikkerhetsarbeid, og at sikkerhet måtte være en integrert del av virksomheten gjennom en helhetlig sikkerhetstilnærming.65

Fagmiljøene innen IKT-sikkerhet og prosess er adskilte, noe som er en utfordring for samhandlingen og helheten i sikkerhetsarbeidet. Dersom en stopper en prosess i automasjonsverdenen, vil det kunne gi større skade enn selve hendelsen. Tradisjonelt har IKT-sikkerhet vært konsentrert om kontorstøttesystemer, mens prosessikkerhet omhandler hydrokarboner, høyt trykk og fysiske og mekaniske prosesser. I en doktorgradsavhandling fra 2012 pekes det på forutsetninger for trygg og sikker fjerndrift og fjernstøtte. Blant disse fremheves god design av arbeidsprosesser og systemer, samspill i distribuerte team, stabilitet og kvalitet i kommunikasjon og systemer, sikker-tilstands-prosedyre og en proaktiv ledelse.66

14.6 Fremtidige problemstillinger og trender

Investeringsviljen til tiltak for å forebygge digitale trusler i olje- og gassvirksomheten på norsk sokkel vil bli utfordret i nedgangstider. Viljen til å investere i sikringstiltak i et område der man så langt ikke har hatt alvorlige konsekvenser av hendelser, vil bli satt på prøve.

Forskning og utvikling pågår for å bringe frem løsninger for å navigere, analysere og kombinere store datamengder. Dette skaper ikke bare muligheter for olje- og gassvirksomheten, men også nye trusler. Intelligente enheter som kan motta kontrollsignaler utenfra, kan manipuleres hvis ikke tilgangen beskyttes godt nok. Ved å analysere store datamengder kan man avdekke mønstre som avslører rutiner i anvendelse, bruksmønster, svakheter og mangler i teknologi, tilstand på utstyr, og så videre.

Stadig smartere og flere sensorer overvåker og kontrollerer de fysiske prosessene. Nye forretningsmodeller der leverandørene selv får ansvar for å samle inn, overvåke og forbedre eget utstyr, diskuteres i sektoren. Dette vil gjøre det nødvendig at leverandørene får bedre tilgang til sensordata og innsamlet historikk, samt mulighet til å oppdatere programvaren sin. Flere aktører med tilgang til kritiske produksjonssystemer vil øke eksponeringen for inntrenging av skadelig programvare.

Mange av innretningene på norsk kontinentalsokkel er designet for en levetid på mellom 15 og 25 år, og en rekke av disse har fått samtykke til forlenget levetid. Det betyr at mye av utstyret og programvaren er utdatert. Se ytterligere omtale i punkt 5.6 «Teknologiarven».

Digitaliseringen av sektoren pågår kontinuerlig. Tingenes Internett vil føre med seg flere enheter med digitale sårbarheter. Mengden av data som skal transporteres, øker, og standard IKT-utstyr vil i større grad være integrert med de spesialiserte styresystemene.

14.7 Vurderinger og tiltak

Det er utvalgets oppfatning at dagens sikkerhets- og tilsynsregime gitt med hjemmel i petroleumsloven er for svakt med tanke på den viktigheten anlegg på norsk sokkel har for norsk økonomisk bæreevne og for Norges internasjonale betydning og omdømme som olje og gass-leverandør. IKT-sikkerhetsnivået er i dag bestemt av bransjen selv gjennom egenutviklede standarder basert på ISO-standardene for sikkerhetsledelse. I sektoren ser man et behov for å oppdatere disse retningslinjene. I revisjonsarbeidet som pågår, er Petroleumstilsynet ikke invitert med. Utvalget ser at denne modellen gir et sterkt eierskap for bransjen. Den frakoblede myndighetsrollen er uheldig med tanke på de samfunnshensynene som rent bedriftsøkonomisk styring ikke ivaretar. Uønskede hendelser i digitale systemer på norsk sokkel, som i neste omgang kan gi utslag i fysisk skade på anlegg, jf. Tyrkia-hendelsen og Stuxnet, kan få store konsekvenser, ikke bare for Norge, men også for Norges viktige kunder i utlandet. I ytterste konsekvens får alvorlig svikt i leveransene konsekvenser for land som importerer store deler av sin gass og olje fra Norge. Utvalget mener at anlegg på norsk sokkel har betydning for vitale samfunnsinteresser og rikets sikkerhet, og at det ikke kan utelukkes at alvorlige hendelser kan inntreffe i fremtiden. Dette taler for en revisjon av sikkerhets- og tilsynsregimet sektoren har i dag. Utvalget anbefaler følgende:

14.7.1 Overføre sikkerhetstradisjonen innen HMS til det digitale området

Olje- og gassektoren har en lang sikkerhetstradisjon, en sterk sikkerhetskultur og høy kompetanse når det gjelder HMS. Selskapene har selv bygd ut infrastrukturen som er på norsk sokkel, inklusiv kommunikasjonsinfrastruktur. Arbeidet med IKT-sikkerhet er også så langt drevet av bransjen selv og Norsk olje og gass, samt gjennom initiativer til samarbeid som den enkelte virksomhet tar overfor Nasjonal sikkerhetsmyndighet og andre sikkerhetsvirksomheter. Bransjen selv har tatt initiativ for bedre IKT-sikkerhet og utviklet en felles standard for sikkerhetsstyring, samt etablert samarbeid innen forebyggende sikkerhet.

Det funksjonelle regelverket plasserer et stort ansvar på virksomhetene, som daglig opplever digitale trusler. For å redusere risiko implementerer selskapene barrierer, dels for å hindre at en uønsket hendelse skjer, dels for å redusere konsekvensene av en uønsket hendelse som har inntruffet. Det har vært økende oppmerksomhet rundt barrierer som hindrer en uønsket hendelse, men kvaliteten på disse barrierene er i liten grad testet og verifisert. Utvalget mener at bransjen bør videreutvikle den gode sikkerhetstradisjonen innen HMS, og overføre denne tradisjonen til det digitale området. Utvalget vil her henvise til arbeidet som gjøres i EU med hensyn til personvern og IKT-sikkerhet.

14.7.2 Verdivurdere sektorens anlegg og IKT-systemer, og etablere regelverk for digitale sårbarheter

Sikkerhetsloven og dens virkeområde er under revisjon. I påvente av ny sikkerhetslovgivning og en eventuell implementering av NIS-direktivet fra EU bør krav til IKT-sikkerhet gjøres tydelig i forskrifter. Kapittel 9 i petroleumsloven stiller krav til sikkerhet. I 2013 fikk Petroleumstilsynet også ansvar for sikring og beredskap mot bevisste anslag, slik det fremgår av petroleumsloven § 9-3. Den omtalte lovparagrafen har ingen forskrifter eller juridiske forarbeider knyttet til seg. De sentrale forskriftene for den digitale sårbarheten i sektoren finnes i HMS-forskriftene for petroleumsaktiviteten og i arbeidsmiljøforskriftene. Forskriftene er ikke konkrete når det gjelder digitale trusler, men omfatter implisitt også digital sikkerhet. Utvalget mener at det bør foreligge krav fra tilsynsmyndigheten (Petroleumstilsynet) om at barrierer mot digitale sårbarheter skal være etablert.

Ingen av olje- og gassinstallasjonene er per i dag definert som skjermingsverdige objekter i henhold til sikkerhetsloven. Behovet for beskyttelse bør uansett vurderes i lys av virksomhetens betydning for statens inntekter, og – som utvalget har påpekt ovenfor – den internasjonale betydningen olje- og gasseksporten har for våre viktige samarbeidspartnere. I påvente av ny sikkerhetslov, samt eventuelle pålegg og direktiver fra EU, anbefaler utvalget at det settes i gang et arbeid med verdivurdering og klassifisering av anlegg og IKT-systemer.

14.7.3 Tydeliggjøre rolle og kapasitet hos Petroleumstilsynet

Det norske tilsynsregimet i olje- og gassektoren er basert på prinsippet om internkontroll, trepartssamarbeidet og risikobasert tilnærming innen HMS. Det norske regimet kan derfor virke overordnet og ikke detaljstyrende på forhold som blant annet har med den digitale sikkerheten å gjøre. Det norske regelverket inneholder en rekke krav som regulerer myndighetenes kontroll av selskapene, i tillegg til å regulere søknader, rapporter, varslinger med mer fra selskapene til myndighetene. Selskapene har kunnskap om verdikjeden. Petroleumstilsynet har faglig myndighetsansvar for sikkerhet, beredskap og arbeidsmiljø i petroleumsvirksomheten på norsk kontinentalsokkel, samt på enkelte anlegg på land.

Utvalget observerer at Petroleumstilsynet har verdikjedekompetanse og kompetanse på teknisk sikkerhet i sektoren, men begrenset kapasitet når det gjelder tilsyn med sektorens IKT-sikkerhet og sårbarhet. Utvalget foreslår derfor at Petroleumstilsynet styrkes betraktelig på dette området.

14.7.4 Vurdere tilknytning til responsmiljø for IKT-hendelser

Sektoren mangler et felles responsmiljø. Bransjen er internasjonal og består av utenlandske og norske selskaper. De utenlandske selskapene kan være del av større internasjonale konsern og ha sikkerhetssamarbeid via sitt moderselskap eller eget responsmiljø innad i virksomheten. Bare noen få aktører i bransjen er tilknyttet NSM NorCERT. De små selskapene, som ikke er en del av et CSIRT-samarbeid, faller utenfor. Det er ikke etablert noe felles kontaktpunkt for sektoren som myndighetene eksempelvis kan benytte til varsling om nettbaserte angrep. Det er også få formelle fora der sektoren kan utveksle erfaringer. Utvalget anbefaler at virksomhetene i sektoren enten inngår et samarbeid med KraftCERT eller finner andre løsninger for operativt samarbeid. Ved valg av KraftCERT kan sektoren oppnå synergier som følge av likhet i teknologi, slik som styringssystemer. Dette er i tråd med løsninger som er valgt internasjonalt, slik som blant annet ICS-CERT i USA. Dette vil eventuelt aktualisere en debatt om alternativ tilknytning for KraftCERT.

Barrierer som reduserer konsekvensene av en uønsket hendelse, er mer mangelfulle i bransjen enn forebyggende barrierer. Det har vært økende oppmerksomhet rundt barrierer som hindrer en uønsket hendelse, men kvaliteten på disse barrierene er i liten grad testet og verifisert. Bransjen har en egen beredskapsorganisasjon som skal tre i kraft ved større hendelser, jf. sivilt beredskapssystem. Utvalget er ikke kjent med at denne har øvd på å håndtere store IKT-hendelser. Utvalget anbefaler derfor at sektoren gjennomfører øvelser i håndtering av uønskede IKT-hendelser.

15 Vannforsyning

Samfunnet forventer at vannforsyningen er så robust at vannverket kan levere nok og godt vann selv om vannforsyningssystemet utsettes for ulike typer trusler og påkjenninger. Dette gjelder også ved utfordringer som oppstår som følge av digitale sårbarheter.

I dette kapittelet har vi konsentrert oss om vannforsyning. Mange av de problemstillingene vi beskriver, har imidlertid direkte overføringsverdi til avløpshåndtering. Svikt i vannforsyningen vil også medføre svikt i avløpshåndteringen. Uten vann til å transportere avløpet i ledningsnettet vil avløpsnettet bli tilstoppet. Konsekvensene av dette ville svært fort blitt uakseptable og uhygienisk.

I en undersøkelse utført av Myndigheten för samhäldsskydd och beredskap (MSB), som kartla SCADA-sikkerhet i svensk vannforsyning, heter det i konklusjonen:

«Resultaten från enkäten indikerar att kunskaperna om informationssäkerhetsfrågor hos personal inom svensk dricksvattenförsörjning är relativt låg (…) Dessutom är kunskapen om befintliga riktlinjer och föreskrifter ofta bristfällig.»67

I en fersk undersøkelse utført av Mattilsynet i 201568 ble det sendt ut et spørreskjema til om lag 500 vannverk.69 Undersøkelsen viser de samme tendensene som den svenske.

Utvalgets omtale av vannforsyning er basert på innspill fra SINTEF.

15.1 Vann- og avløpsinfrastruktur

Sikker vannforsyning er i stadig større grad avhengig av robuste digitale systemer. Vannforsyningen styres og forvaltes i dag via SCADA, ledningsdatabaser, adgangskontroll og en rekke andre IKT-baserte systemer. Økende bruk av driftskontrollsystemer (DKS)70 innen drift av vann- og avløpssystemer (VA-systemer) gir bedre overvåking og styring og dermed økt effektivisering, pålitelighet og produktivitet. Samtidig gjør denne digitaliseringen VA-sektoren sårbar for nye typer farer og trusler.

Figur 15.1 viser bruken av DKS innen vannbransjen – fra nedbørfelt via vannbehandling og distribusjonsnett til avløpsnett og videre til avløpsrenseanlegg.71 Driftskontrollsystemet brukes til å styre og overvåke vann- og avløpssystemene og til å overvåke ulike målepunkter både i nedbørfelt, i nettet og i prosessanlegg. Ulike utestasjoner er også koblet til driftskontrollsystemet, som for eksempel vannpumpestasjoner, høydebasseng, reduksjonskummer, målekummer, avløpspumpestasjoner, påslippspunkter, avløp, overløp, nedbørstasjoner, vassdragsmålestasjoner og bekkerister. Prosessanlegg (vannbehandlingsanlegg og avløpsrenseanlegg) har ofte egne driftskontrollsystemer som samler inn tilsvarende informasjon fra ulike målere/sensorer i disse anleggene.

Figur 15.1 Vann og avløp fra nedbørfelt til resipient med angitte eksempler på hvordan driftskontrollsystemer styrer og overvåker (figur hentet fra Norsk Vann. Rapport 195/2013).1

Figur 15.1 Vann og avløp fra nedbørfelt til resipient med angitte eksempler på hvordan driftskontrollsystemer styrer og overvåker (figur hentet fra Norsk Vann. Rapport 195/2013).1

1 Jaatun M.G., Røstum J. og Petersen S. (2013): Veiledning for sikkerhet av driftskontrollsystemer for VA-systemer. Norsk Vann. Rapport 195/2013.

For en del vannverk har det historisk sett vært vanlig med ulike DKS-er for henholdsvis ledningsnett og prosessanlegg, gjerne med en eller annen form for overføring av måleverdier og alarmer mellom systemene. DKS-ene består av ulike elektroniske komponenter som er plassert i et stort geografisk område. Systemene varierer i oppbygging fra vannverk til vannverk.

15.2 Roller og ansvar

I Norge er totalt cirka 1 800 vannverk registrert i Vannverksregisteret, hvorav cirka 1 100 kommunale eller interkommunale.

Vannforvaltningen i Norge er sektorisert med en forvaltning og et lovgrunnlag som er delt på flere departementer. Det innebærer at det relevante lovgrunnlaget for vannverk fremstår som noe uoversiktlig. Dette forholdet har vært påpekt ved flere anledninger, og Helse- og omsorgsdepartementet har derfor fått rollen som overordnet «vannmyndighet». Ansvaret er likevel fordelt på mange aktører. Hovedaktøren er kommunene som eier og drifter over 90 prosent av alle norske vannverk.

Helse- og omsorgsdepartementet (HOD) har det overordnede ansvaret for norsk vannforsyning og avløpshåndtering og fastsetter forskrifter.

Klima og miljødepartementet har ansvar for rammebetingelsene for kommunenes vann- og avløpsgebyr.

Mattilsynet har ansvar for blant annet matloven og for godkjenning og tilsyn etter drikkevannsforskriften.

Nasjonalt folkehelseinstitutt er faglig rådgiver for HOD, Helsedirektoratet (Hdir), Helsetilsynet (Htil), Mattilsynet og andre når det gjelder helsefaglige spørsmål om blant annet vannforsyning/drikkevann. Miljødirektoratet er ansvarlig for vannforskriften og forurensningsforskriften.

Miljødirektoratet er ansvarlig for vannforskriften og forurensningsforskriften.

Norges vassdrags- og energidirektorat (NVE) behandler konsesjonssøknader og meldinger etter § 8 i vannressursloven.

Direktoratet for samfunnssikkerhet og beredskap (DSB) er nasjonal brannmyndighet og gir føringer for brannvern overfor befolkningen, virksomheter og kommunene. DSB forvalter lov om kommunal beredskap.

Nasjonal sikkerhetsmyndighet (NSM) fører tilsyn etter sikkerhetsloven med objektsikkerhetsforskriften. Noen av vannverkene i Norge er definert som skjermingsverdige objekter.

Fylkesmannen er forurensningsmyndighet for en rekke virksomheter. Fylkesmannen gir utslippstillatelser og fører tilsyn og kontroll etter forurensningsloven, forskrifter og tillatelser og etter lov om kommunal beredskapsplikt.

Vannverkseieren bygger og driver vannverk i tråd med gjeldende regelverk.

Utvalgte fylkeskommuner har rollen som vannregionmyndighet, med et særlig ansvar for å koordinere prosessen med å gjennomføre planarbeidet i tråd med vannforskriften.

Kommunene er i hovedsak eierne av vann- og avløpsanlegg og har ansvar for overordnet areal og teknisk planlegging. Kommunene skal påse at alle bygninger har vann og avløp før det blir gitt byggetillatelse. De er også forurensningsmyndighet for avløpsanlegg i mindre tettbebyggelser.

15.3 Hjemmelsgrunnlag og tilsynsvirksomhet

Drikkevannsforskriften72 med tilhørende veileder er grunnleggende i norsk drikkevannsarbeid. Drikkevannsforskriften er fastsatt med hjemmel i lov om matproduksjon og mattrygghet mv. (matloven), lov om helsemessig og sosial beredskap og lov om folkehelsearbeid (folkehelseloven). Det er vannverkseieren som er ansvarlig for at forsyningen av drikkevann oppfyller kravene til tilfredsstillende mengde og tilfredsstillende kvalitet.

Dagens drikkevannsforskrift med tilhørende veileder fokuserer i liten grad på IKT-sikkerhet. Det samme gjelder sikkerhets- og beredskapsveiledningen fra Mattilsynet fra 2006.73 Norsk Vanns nye lærebok74 innen vann- og avløpsteknikk fra 2014 omhandler ikke IKT-sikkerhet og bruk av IKT innen vannbransjen.

Mattilsynet er godkjennings- og tilsynsmyndighet for vannverk. Andre viktige lover som påvirker sikkerheten i vannforsyningen, er sikkerhetsloven og sivilbeskyttelsesloven.

15.4 Beredskap og krisehåndtering

Som det går frem av lov om kommunal beredskapsplikt, har hver enkelt vannverkseier, altså i hovedsak hver enkelt kommune, et selvstendig ansvar både for å iverksette forebyggende tiltak for å hindre uønskede hendelser og kriser og for å håndtere situasjonen om en hendelse skulle oppstå. Planer for å håndtere uønskede hendelser skal gå frem av kommunens kriseplanverk. Dette gjelder både for tilsiktede og utilsiktede hendelser.

Det er per i dag ikke etablert en felles funksjon eller et responsmiljø som kan oppdage og bidra til å håndtere eventuelle digitale angrep, slik vi finner i andre sektorer. Kommunal- og moderniseringsdepartementet har imidlertid tatt initiativ til å bygge opp en CERT-ordning.

15.5 Digitale sårbarheter i vannforsyningen

15.5.1 Bruk av driftskontrollsystemer innen vannforsyning

Digitale avhengigheter fører med seg økt kompleksitet og nye sårbarheter. Vannforsyningen benytter i dag i økende grad IKT-systemer og fjernstyring i alle deler av driften. IKT er blitt en integrert del av vannforsyningssystemet og fremstår som en egen infrastruktur i vanninfrastrukturen.

Driftskontrollsystemer (DKS) for styring og overvåking av anleggene er i seg selv et av de mest sårbare punktene i et vannforsyningssystem.

Boks 15.1 Svikt i DKS

En av de mest klassiske hendelsene knyttet til svikt i DKS innen vannsektoren er Maroochy Shire-hendelsen i Australia i år 2000, der en tidligere innleid IT-konsulent hadde installert DKS som styrte 300 pumpestasjoner for avløp via radiokommunikasjon. Konsulenten fikk ikke jobb i vannverket og hevnet seg ved å manipulere pumpestasjoner, ventiler og luker slik at en million liter ubehandlet avløpsvann rant ut i nærliggende vassdrag.1

1 J. Slay and M. Miller: «Lessons Learned from the Maroochy Water Breach» in Critical Infrastructure Protection, vol. 253, E. Goetz and S. Shenoi, Eds., ed: Springer Boston, 2007, pp. 73–82.

Økt bruk av DKS innen vannbransjen har gjort det mulig å effektivisere driften. Det reduserer kostnadene, og færre ansatte trengs for å drifte anleggene. Videre kan man nå innføre bedre tjenester, som tilbyr raskere responstid ved hendelser og bedre overvåking av anleggene. Systemene har samtidig gjort sektoren mer sårbar for nye typer trusler. DKS har gått fra å være lukkede systemer som bare virket på egne maskiner, til å bli integrerte systemer som også er tilknyttet kontorstøttesystemer og Internett. Det er kjent at IKT-baserte styringssystemer kan manipuleres på ulike måter, noe som gjør at systemene i seg selv kan utgjøre en sikkerhetsrisiko.

Vann- og avløpssektoren kjennetegnes av geografisk spredt infrastruktur. Særlig gjelder dette vann- og avløpsnettet, som har anlegg og utestasjoner lokalisert der behovet for anlegg finnes (kummer, pumpestasjoner og så videre). Tilhørende IKT-infrastruktur må følgelig være tilsvarende geografisk plassert. For prosessanleggene, som for vannbehandling og avløpsrensing, er alt utstyr samlet i én eller flere bygninger, og den geografiske utfordringen er mindre. Dette gjør fysisk sikring enklere.

I dag kan pumper og ventiler fjernstyres og overvåkes mye enklere enn tidligere. Større anlegg, som vannbehandlingsanlegg og avløpsrenseanlegg, er også blitt mer kompliserte og krever avansert styring av de ulike integrerte prosessene. Nye vannbehandlingsanlegg er kompliserte prosessanlegg med mange komponenter, signaler i styringssystemet og prosess- og analyseinstrumenter. Manuell drift av de mest komplekse vannbehandlingsanleggene er ikke mulig, spesielt ikke over lengre perioder. Ved hurtige endringer i inngangsdataene, slik som ved endringer i råvannskvalitet under flomperioder, er det behov for raske endringer i driftsbetingelsene. Dette forutsetter styring av anleggene via driftskontrollsystemer.

Vannbransjens ønske om reduserte lekkasjer og effektivisering medfører økt bruk at IKT. Smarte vannmålere tilsvarende AMS, som innføres i strømsektoren, prøves nå ut i en del norske vannverk. I Oslo skal det for eksempel installeres om lag 2 500 smarte vannmålere i løpet av 2015 som et prøveprosjekt for at man skal skaffe seg erfaring med bruken. Innføring av smarte vannmålere og mer aktiv styring av driftsforholdene på ledningsnettet vil kreve økt oppmerksomhet rundt IKT-sikkerhet.

IKT-sikkerhet knyttet til ledningsdata

Når det gjelder sikring av IKT-systemer og den informasjonen som ligger i disse systemene, snakker man gjerne om sikring av konfidensialitet, integritet og tilgjengelighet (se forøvrig punkt 5.1 «Hva er IKT-sikkerhet?»):

  • Konfidensialitet innebærer å sikre at informasjonen er tilgjengelig bare for dem som har autorisert tilgang. Eksempler på tap av konfidensialitet er at hackere får tilgang til hemmelig informasjon som ligger lagret i driftskontrollsystemet (DKS), eller at ledningsdata (GIS) kommer på avveier.

  • Integritet innebærer å sikre at informasjonen og metodene/beregningene er nøyaktige og fullstendige. Uvedkommende kan da ikke endre informasjonen eller systemet som behandler informasjonen.

  • Tilgjengelighet innebærer å sikre autoriserte brukeres tilgang til informasjon og tilhørende ressurser ved behov. Eksempel på tap av tilgjengelighet er at driftsoperatørene ikke klarer å logge seg på systemet og endre verdier ved behov. Tilgjengelighet kan også henspille på evnen et vannbehandlingsanlegg har til å levere rent vann.

Når det gjelder drifts- og styringssystemer, vil integritet og tilgjengelighet ofte være vel så viktig som konfidensialitet. Man er avhengig av at systemet er tilgjengelig og gjør de oppgavene det er satt til. Dette forutsetter også at systemet har tilgang til riktig informasjon til enhver tid. Samtidig vil tap av konfidensialitet gjøre det lettere å tappe integriteten og tilgjengeligheten ved en senere anledning.

Ledningskartverk tilgjengelig på Internett

Det har de senere årene pågått en diskusjon i vannbransjen om ledningsdata skal ligge offentlig på Internett. Ut fra praktiske hensyn bør ledningskartverk være åpent tilgjengelige for alle, men mye tyder på at det ut fra sikkerhetshensyn bør være restriksjoner med hensyn til hvem som får tilgang. I mangel av myndighetssignaler om informasjonssikkerhet har vannbransjen selv anbefalt at ledningskartverk ikke bør gjøres fritt tilgjengelige på Internett.75 En må videre være klar over at mange vannverk har lagt mye informasjon om sine DKS-er ut på Doffin i forbindelse med anbud. Innsynssystemene for kart legges stadig oftere over på ulike portalløsninger der data ligger lagret i skybaserte tjenester.

I en krisesituasjon uten strøm og ekom vil det fortsatt være viktig å lokalisere ledninger, kummer og så videre. Her pågår det et tverrsektorielt arbeid i regi av Kommunal- og moderniseringsdepartementet som blant annet skal se på regelverksløsninger knyttet til ledninger i grunnen og informasjonssikkerhet.76

Driftskontrollsystemer og risiko

Det er en tendens til at driftskontrollsystemer i økende grad blir integrert med tradisjonelle kontorstøttesystemer og tilkoblet Internett. Driftskontrollsystemene er dermed ikke lenger selvstendige systemer, men integrerte løsninger, noe som gjør at driftskontrollsystemene er utsatt for de samme sårbarhetene som vanlige IKT-systemer, blant annet med hensyn til virus og hacking. Den økende bruken av IKT, sammen med økt bruk av hyllevare og sammenkobling mot andre nett i større grad, gjør at sårbarheten for IKT-trusler er større enn før.

SINTEF har i flere publikasjoner belyst sikkerheten i norske vannverk. I arbeidet sitt har de fått tilbakemeldinger fra en del vannverk om at ulike nasjonale sikkerhetsaktører og -rådgivere – som NSM og Forsvarets forskningsinstitutt – tilsynelatende vurderer det samme trusselbildet forskjellig. Dette kom godt frem på TEKNAs konferanse om samfunnssikkerhet i vannbransjen i april 2015, der begge aktørene holdt innlegg. Der NSM basert på sine data peker på viktigheten av å fokusere mer på IKT-sikkerhet, har FFI i sine analyser for utvalgte vannverk nedtonet den digitale sårbarheten. For vannbransjen fremstår en slik dobbeltkommunikasjon som forvirrende, og det kan for mange være uklart om den digitale sårbarheten utgjør en stor trussel eller om den er økende.

NSM skriver i årets statusrapport, Risiko 2015,77 at de har avdekket alvorlige sårbarheter innen norsk vannforsyning i løpet av 2014. Sårbarhetene kunne i verste fall gitt uvedkommende mulighet til å lamme vannforsyningen. NSMs vurdering er at risikoen ved bruk av DKS ikke er blitt mindre i 2015. De peker i sin trusselvurdering for 2015 på sårbarheten i norske vannverk, men det er usikkert hvor bredt datagrunnlag denne vurderingen bygger på.

Tradisjonelt har ikke IKT-sikkerhet i driftskontrollsystemer vært viet stor oppmerksomhet, verken i vannbransjen eller i industrien for øvrig. Det er imidlertid eksempler på hacking av vannverk i USA via driftskontrollsystemet (DKS), og automatiserte verktøy gjør det nå enkelt for hackere å lete opp kontrollenheter som er koblet til Internett. Det er også enkelt for uvedkommende å skaffe seg informasjon om kritiske deler av et DKS via Internett. Standard passord for enkelte systemer kan finnes via Internett, og manualer og videoer for hvordan de ulike DKS-ene virker, kan også lastes ned. Dette gjør det mulig for ikke-eksperter å tilegne seg kunnskap om eventuelle sårbarheter ved de enkelte DKS-ene.

Innføring av systemer som gjør fjernaksess innen drift av vannforsyningen mulig, har gjort det enkelt og effektivt å få tilgang til status for vannforsyningssystemene utenom kontortid. Med en hjemmevaktordning kan en operatør logge seg på systemene og se på status på driften av anleggene og også endre driftsbetingelse (slå av og på, lukke/åpne ventiler). Dette er en fordel med tanke på tilgjengelighet og effektivitet for brukerne, men på den andre siden innebærer muligheten for en slik ekstern pålogging til systemene en fare for at uvedkommende får tilgang til VA-systemene dersom sikkerhetsmekanismene ikke er gode nok. Dette kan dermed påvirke integriteten og til og med konfidensialiteten til systemet.

Tradisjonelle risiko- og sårbarhetsanalyser i vannbransjen fokuserer oftest på prosesstekniske problemstillinger, siden kunnskap om IKT-systemer som regel representerer et ukjent fagområde for vanningeniører. Mattilsynet har tradisjonelt også hatt lite oppmerksomhet rettet mot sårbarheten knyttet til IKT og driftskontrollsystemer, og synes å ha liten faglig kompetanse når det gjelder IKT-sikkerhet. Dette gjenspeiles også i de veiledningene og forskriftene som er tilgjengelige.

I en undersøkelse utført av Mattilsynet i 201578 ble det sendt ut et spørreskjema til om lag 500 vannverk.79 Figur 15.2 viser to resultater fra undersøkelsen. På spørsmålet «Er det tilstrekkelig bevissthet rundt IKT-sikkerhet i hele organisasjonen?» svarer 67 prosent «Ja» og 30 prosent «I noen grad». Vannbransjen i Norge ser altså ut til å være rimelig fornøyd med eget ambisjonsnivå og egen bevissthet vedrørende IKT-sikkerhet. Når det derimot kommer til mer konkrete spørsmål som: «Er det krav til regelmessig bytte av alle passord?» svarer 61 prosent «Nei». Dette viser at det er lite sammenfall mellom svarene på de ulike spørsmålene, og det er grunn til å tro at mange vannverk ikke har full forståelse av de spørsmålene som stilles.

Figur 15.2 Eksempler på svar fra Mattilsynets spørreundersøkelse i 2015 til norske vannverk knyttet til informasjonssikkerhet.

Figur 15.2 Eksempler på svar fra Mattilsynets spørreundersøkelse i 2015 til norske vannverk knyttet til informasjonssikkerhet.

Kilde: Mattilsynet.

SINTEF er i samtaler med leverandører av driftskontrollsystemer blitt kjent med at flere av vannverkene fikk sine leverandører av DKS til å fylle ut spørreundersøkelsen på vegne av vannverket. Dette illustrerer at IKT-sikkerhet ikke er grundig forankret hos ledelsen i alle vannverk. Resultatene viser at det er stort behov for kompetanseheving og økt oppmerksomhet rundt IKT-sikkerhet hos vannverkene.

15.5.2 Vannforsyningens avhengighet av kraft og ekom

Vannforsyningen er sårbar overfor svikt i de kritiske infrastrukturene kraft og ekom. En del elementer i vannforsyningssystemet vil ha en viktigere funksjon enn andre, og dette må gjenspeiles i innebygd sikkerhet ved hvert enkelt anlegg. Viktige utestasjoner kan for eksempel være vannbehandlingsanlegg, enkelte vannpumpestasjoner og høydebasseng. Dersom vannverket for eksempel er avhengig av kommunikasjon via en mobiltelefonsentral (basestasjon), er det viktig å være klar over at basestasjonene normalt bare har begrenset nødstrømskapasitet. Hvert enkelt vannverk må foreta en gjennomgang av hvilke komponenter og stasjoner som er mest kritiske med tanke på kraftforsyning og kommunikasjon, og sørge for at systemene knyttet opp mot disse er sikret i henhold til ønsket akseptnivå.

15.5.3 Organisatoriske forhold og kompetanse

Det er behov for økt IKT-sikkerhetskompetanse innen vann og avløp i kommunal teknisk sektor.80 Dette er knyttet til blant annet teknisk kompetanse, bestillerkompetanse og gjennomføringskapasitet. Dersom en ser mangelen på kompetanse i lys av de andre utfordringene bransjen står overfor, som klimaendringer, forfall av infrastruktur, økte krav til sikkerhet, med mer, kan konsekvensen være at mange vannverk ikke har kapasitet til å prioritere de digitale sårbarhetene.

Mattilsynets gjennomgang av IKT-sikkerhet knyttet til driftskontrollsystemer i vannbransjen81 viser at det er behov for ytterligere økt oppmerksomhet og kunnskapsheving knyttet til IKT-sikkerhet. Dette gjelder både ledelsen i vannverkene og resten av de ansatte. Et godt sikkerhetsarbeid er i utgangspunktet et ledelsesansvar, men ledelsen må ha faglig støtte når det gjelder IKT-sikkerhet, og hver enkelt ansatt må få økt bevissthet rundt IKT-sikkerhet. For å øke bevisstheten om IKT-sikkerhet har Norsk Vann blant annet gitt ut en veiledning om sikkerhet i driftskontrollsystemer for vann- og avløpssystemer. Denne veiledningen gir en god innføring i sikring av DKS.

Bruk av midlertidig innleide konsulenter, bruk av leverandørens personell og drift utsatt til tredjepart medfører at det enkelte vannverk ytterligere tømmes for kompetanse. I tillegg blir kompetanseheving vanskelig, da fagmiljøene normalt er små, jf. det store antallet vannverk som finnes i Norge.

Organisasjonen må ha evne til læring. Det vil si at den må være i stand til å registrere og analysere ulykker og hendelser og bruke dette som grunnlag for både formell og uformell erfaringsoverføring og læring. Det er også viktig å trekke lærdom ut av det som fungerer, og å lære fra egne og andres erfaringer knyttet til svikt i IKT-systemer via egne systemer for hendelseshåndtering.

Organisasjonen må også ha reaktiv handlingsdyktighet og beredskapsevne. Det vil si at den må være i stand til å håndtere de uønskede hendelsene og ulykkene som måtte inntreffe, som tekniske sammenbrudd, brann eller terrorhandlinger. Dette inkluderer også evne til å gjenopprette funksjoner, slik at DKS raskt kommer opp å gå igjen etter en hendelse. For å få god beredskapsevne mot IKT-sikkerhetshendelser må det trenes. I forhold til vanlige øvelser i vannverkene kjennetegnes IKT-sikkerhetsøvelser av at en må knytte hendelser som inntreffer med lengre tids mellomrom til hverandre. For eksempel kan en forstyrrelse som oppstår én dag, ha sammenheng med tapet av en bærbar PC som inneholdt ledningskartverket, tre måneder tidligere.

Potensielle årsakskjeder går på tvers av organisasjoner, institusjoner og teknologiske systemer, og kartlegging av risiko og sårbarhet og ikke minst beredskap krever samhandling og koordinering. Ofte kan koordineringsutfordringer se enkle ut på papiret, der aktører kan gis ansvar for å tenke helhetlig. Mange kommuner opplever det imidlertid som utfordrende for eksempel å inkludere ulike ekomleverandører i sitt ansvar for helhetlige risiko- og sårbarhetsanalyser (ROS-analyser) og beredskap.

En utfordring for mange vannverk er også forholdet til kommunens egen IKT-avdeling. I mange kommuner er det en egen IKT-avdeling eller et eget interkommunalt IKT-selskap som beslutter hvilke systemer som skal anskaffes, vedtar sikkerhetsnivåer og til dels har ansvar for drift av systemene. IKT-avdelingen i en kommune betjener mange ulike kommunale etater og har ikke nødvendigvis god vannfaglig forståelse.

Tilsvarende har gjerne vannverkets ansatte god vannfaglig kompetanse, men mindre kompetanse knyttet til IKT og IKT-sikkerhet. Vannverksorganisasjonen vil uansett ha et overordnet sikkerhets- og beredskapsansvar i henhold til drikkevannsforskriften, og det må avklares hvordan grensesnittet bør være opp mot IKT-avdelingen og IKT-leverandørene, både for anskaffelser og for drift.

Et felles responsmiljø for vannbransjen ville kunne bidra til bedre planlegging av hendelseshåndtering og sørge for informasjonsdeling av hendelser knyttet til svikt i IKT i norske vannverk. Imidlertid synes en egen CERT-funksjon for alle landets vannverk som en krevende modell.

Større avhengigheter mellom kritiske infrastrukturer endrer også tilsynsrollen og krever økt tverrfaglig kompetanse i de ulike tilsynene. Hvis Mattilsynet skal kunne vurdere robustheten til vannverkene, må de også se etter svakheter i sektorer som leverer tjenester til vannsektoren (strøm, ekom). Sikkerhet innen vannforsyning er i utgangspunktet vannverkseierens ansvar, men er også noe man oppnår på tvers av andre involverte organisasjoner. Dette innebærer store koordineringsutfordringer på tvers av sektorer/infrastrukturer.

Mattilsynet som tilsynsmyndighet har ansvar for å ivareta funksjoner med betydning for vannsikkerheten. For tilsynet medfører dette nye utfordringer og spørsmål om hvor langt inn i leverandørkjedene de skal føre tilsyn. Skal de nøye seg med å inspisere kontraktene vannverkene har med sine leverandører, eller skal de også gå i detalj hos leverandørene?82 Et viktig spørsmål er om Mattilsynet i tilstrekkelig grad er i stand til å gjennomføre tilsyn av vannverkene, tatt i betraktning den nye utviklingen.

15.6 Vurderinger og tiltak

15.6.1 Øke IKT-sikkerhetskompetansen i norske vannverk

Som nevnt over er det i dag svært mange små vannverk i Norge, og modenheten når det gjelder IKT-sikkerhetsarbeid, synes å være på et tidlig stadium. Det store antallet vannverk gjør en god fremdrift på dette området vanskelig, siden det kreves spisskompetanse for å kunne ivareta IKT-sikkerhetsansvaret på en god måte. Se punkt 19.3 «Kompetansesituasjonen i samfunnet».

Vannverkenes ROS-analyser må inkludere sikkerhetsvurderinger knyttet til IKT og IKT-sikkerhet. IKT-sikkerhet må inkluderes i det generelle beredskapsarbeidet, og det må gjennomføres øvelser som inkluderer IKT-hendelser. Vannverkenes avhengighet av kraft og ekom må inngå i ROS-analysene, og tiltak for å håndtere bortfall må inngå i beredskapsplanene. Vannverkene må ha oversikt over hvilke elementer av vannforsyningssystemet som er mest kritiske ved utfall, og sette i verk nødvendige tiltak for å hindre dette.

Kommunerevisjonen i de enkelte kommunene må vurdere om de skal foreta revisjon av IKT-sikkerheten til det kommunale vannverket. Kommunerevisjonen har i enkelte vannverk prioritert IKT-sikkerhet. Selv om en revisjon medfører mye arbeid for de ansatte i vannverket, er erfaringene at revisjonene gir IKT-sikkerheten et løft. I tillegg vil en kommunerevisjon føre til at den politiske ledelsen blir bevisst på problemstillingen.

Siden bare et fåtall av norske kommuner og vannverk har anledning til å delta på nasjonale konferanser, er regionalt samarbeid svært relevant. Regionalt samarbeid kan også utvides til å utgjøre et praksisfellesskap, der ansatte med ansvar for problemstillinger relatert til IKT-sikkerhet både kan få faglig påfyll, utveksle erfaringer og få praktisk støtte i enkeltsaker.

Med så mange små enheter er det en kompetanseutfordring å etablere og opprettholde nødvendige fagmiljøer innen IKT-sikkerhet. Utvalget mener at Mattilsynet i samarbeid med Norsk Vann bør stimulere til større og mer ressurssterke fagmiljøer i kommunene. Dette kan gjøres på flere måter, eksempelvis ved økt interkommunalt samarbeid eller ved strukturendring.

Utvalget foreslår videre at det tas initiativ til å dekke de nye utfordringene vi står overfor innenfor IKT-sikkerhet. Både myndighetssiden og Norsk Vann bør kunne bidra med å organisere kurs, gjerne i samarbeid med andre organisasjoner, som for eksempel NSM eller undervisningsinstitusjoner, der det er hensiktsmessig. Det bør også utvikles kurs og studieretninger innenfor prosesstyring, systemintegrasjon og IKT, noe som kan bidra til at bransjen får den kompetansen som trengs for å drifte systemene i fremtiden.

Bedre organisering av driftsassistanser vil også være et mulig tiltak. Det vises i den sammenheng til Norsk Vanns rapport Fra driftsassistanser til regionale vannassistanser83 med anbefalinger om hvordan dagens fylkesvise driftsassistanser på vannområdet kan videreutvikles til mer helhetlige vannassistanser som gir et styrket og effektiviserende tilbud til deltagerkommuner og vannverk, blant annet på sikkerhets- og beredskapsområdet.

15.6.2 Styrke tilsyn og veiledning i IKT-sikkerhet

Det er behov for økt oppmerksomhet hos Mattilsynet når det gjelder IKT-sikkerhet. Dette inkluderer utarbeidelse av forskrifter som definerer krav til IKT-sikkerhet, og tilhørende veiledningsmateriell for vannverk. Vannverkene synes å ha behov for utfyllende informasjon utover de generelle kravene som er tillagt vannverkseieren i drikkevannsforskriften84. Det bør vurderes et tettere samarbeid mellom de ulike tilsynsmyndighetene for at hvert enkelt tilsyn skal bli bedre i stand til å føre tilsyn med sin sektor knyttet til hendelser som går på tvers av sektorene (vann, strøm, ekom). Mattilsynet har i etterkant av den tidligere omtalte spørreundersøkelsen om IKT-sikkerhet inngått avtale med NSM om kursing av egne ansatte i IKT-sikkerhet. Mattilsynet har i dag ikke kapasitet eller mandat til å drive kursing av hvert enkelt vannverk. En veiledningsrolle på området må også ses i forhold til tilsynsrollen deres.

Relevante myndigheter bør avklare og vedta et nødvendig ambisjonsnivå for IKT-sikkerhet for vannverkene.Dette har lenge vært etterlyst av vannverkene og av Norsk Vann. Utarbeidelse av et kompetansehevende kurs for vannverkene som kan bidra til å styrke sikkerhetsarbeidet, vil være avhengig av det vedtatte ambisjonsnivået.

Helse- og omsorgsdepartementet har startet et arbeid med å revidere drikkevannsforskriften med tilhørende veileder. Revisjonen må også inkludere IKT-sikkerhet og IKT utover det generelle kravet om at vannverkseieren er ansvarlig for å levere sikkert drikkevann.

15.6.3 Bedre systemer for hendelseshåndtering

Den enkelte virksomhet er ansvarlig for IKT-sikkerheten. Det synes imidlertid å være et behov for å etablere et felles responsmiljø for hendelseshåndtering. Et eget responsmiljø for vann er kanskje ikke realistisk, tatt i betraktning det store antallet små enheter i vannsektoren. Tre alternativer kan være:

Alternativ 1: Kommunene oppretter en egen kommune-CERT, som ikke bare omfatter vannforsyning, men også andre deler av kommunenes ansvar for kritiske samfunnsfunksjoner, som primærhelsetjeneste, kriseledelse og brann og redning. Utvalget er kjent med at det er tatt et initiativ til å etablere en kommune-CERT.

Alternativ 2: Fylkesmannen tar initiativ til en regional plan for hendelseshåndtering for kommunale vannverk. Et slikt initiativ bør inneholde et forpliktende samarbeid på tvers av vannbransjen, også for å støtte opp under et praksisfellesskap på regionalt og nasjonalt plan. Dette bør også ses i sammenheng med diskusjonen om å etablere en fremtidig krisestøtteenhet for vannverkenei Norge, tilsvarende det Sverige har. En norsk krisestøtteenhet bør ha kunnskap også om IKT-sikkerhet.

Alternativ 3: At vannverkene knytter seg opp mot allerede eksisterende hendelseshåndteringsmiljø.85

Utvalget anbefaler at Helse- og omsorgsdepartementet, i samråd med Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet, utreder muligheten for et responsmiljø for hendelseshåndtering som ivaretar vann og avløp.

15.6.4 Gjennomføre risiko- og sårbarhetsanalyser før en eventuell innføring av smarte vannmålere

Ved en eventuell større innføring av smarte vannmålere, tilsvarende AMS som innføres i strømsektoren, bør det foretas en omfattende risiko- og sårbarhetsanalyse. Ukritisk implementering av funksjonalitet som knytter smarte vannmålere tettere sammen med driftskontrollsystemer, vil føre med seg en oppbygging av sårbarhet med betydelig skadepotensial. Innføring av smarte vannmålere og mer aktiv styring av driftsforholdene på ledningsnettet vil kreve økt oppmerksomhet rundt IKT-sikkerhet. Utvalget mener det er viktig med en god og bredt dekkende risiko- og sårbarhetsanalyse i forkant av teknologiskifter, ved bruksendringer og ved system- og organisasjonsendringer. Utvalget anbefaler derfor at det gjennomføres nødvendige risiko- og sårbarhetsanalyser før innføring av smarte vannmålere inn mot driftskontrollsystemene.

16 Finansielle tjenester

Finansnæringen er en IKT-intensiv næring og leverer i stor grad sine tjenester på digitale plattformer. Norsk finansnæring var tidlig ute med å ta i bruk IKT i sine produksjonsprosesser. Særlig samarbeidet grupper av banker om standardisering og felles IKT-løsninger – i første omgang om IKT-systemer for kontoføring, deretter om IKT-systemer for registrering av transaksjoner mellom konti. Finansforetakene har benyttet IKT til å effektivisere interne prosesser, og ligger i forkant i bruk av IKT for håndtering av kundedimensjonen. Dette har medført en kompleksitet i IKT-systemer og verdikjeder som gjør næringen sårbar for både tilsiktede og utilsiktede hendelser. Den internasjonale, organiserte kriminaliteten øker. Kriminaliteten har så langt vært rettet mot distribusjonskanalene som benytter Internett. Den rammer også mobile løsninger og løsninger knyttet til brukersteder.

Finansiell stabilitet innebærer at det finansielle systemet er solid nok til å formidle finansiering, utføre betalinger og fordele risiko på en tilfredsstillende måte. De basiskapasitetene og basisleveransene som er nødvendige for å opprettholde finansiell stabilitet, kan ikke leveres uten velfungerende IKT-systemer. Det norske systemet er i likhet med systemene i de andre nordiske landene kjennetegnet av at forbindelsene mellom bankene er samordnet og elektronisk basert i større grad enn i mange andre land. Dette gjør det norske banksystemet utsatt dersom noen skulle lykkes i å ta kontroll over eller ødelegge sentrale felles funksjoner. I tillegg til finansielle og materielle tap kan de samfunnsmessige konsekvensene bli store, og befolkningen vil kunne oppleve betydelige belastninger i dagliglivet.

Finansnæringen må ta høyde for at det kan komme omfattende, organiserte angrep som vil kunne føre til store økonomiske tap. Dette skyldes at flere pengetransaksjoner fra næringslivet digitaliseres, samtidig som kriminelle, med metoder som blir stadig mer avanserte, følger pengestrømmen på nettet.86

For enkeltpersoner er en av de største endringene nye former for elektroniske betalingstjenester, samt overgangen til et stadig mer kontantløst samfunn. I 2012 ble det gjennomført 1,63 milliarder korttransaksjoner her i landet. Her ligger Norge høyt sammenlignet med andre land. Samtidig går bruken av kontanter som betalingsmiddel ned, og her ligger Norge svært lavt sammenlignet med andre land.

16.1 Finansiell infrastruktur

Betalingssystemet består av interbanksystemer og systemer for betalingstjenester. Interbanksystemer er systemer for overføring av penger mellom banker, med felles regler for avregning og oppgjør. Systemer for betalingstjenester er systemer som er basert på standardvilkår for overføring av penger fra eller mellom kundekonti i banker eller andre som kan yte betalingstjenester.

Betalingssystemene er en helt sentral forutsetning for at kapital skal kunne formidles på en sikker måte mellom aktører nasjonalt og internasjonalt, for eksport og import av varer og tjenester, i grossistleddet, i varehandelen (detaljistleddet), for verdipapirhandel og for handel med finansielle tjenester. Betalingssystemene kan deles inn i ulike lag – fra der transaksjoner oppstår, til transaksjonene er avsluttet. En nærmere beskrivelse av betalingssystemene er gitt i punkt 16.5.1, der også sårbarhetene er beskrevet. En forenklet fremstilling av transaksjonsflyten fra der betalingen oppstår, samt innsamling, avregning og oppgjør, er gitt i figuren under.

Figur 16.1 Transaksjonsflyten i det norske betalingssystemet.

Figur 16.1 Transaksjonsflyten i det norske betalingssystemet.

Kilde: Finanstilsynet.

16.2 Roller og ansvar

Finansdepartementet har ansvar for en rekke underliggende etater og statlige foretak, blant annet Finanstilsynet og Norges Bank. Finansdepartementets rolle overfor de tilknyttede virksomhetene varierer, men felles for alle er at Finansdepartementet gir retningslinjer for virksomhetene basert på det lovverket Stortinget har vedtatt. Finansdepartementet har på lik linje med de andre fagdepartementene et overordnet ansvar for å ivareta sikkerheten i sektorens IKT-infrastruktur og for at det forebyggende informasjonssikkerhetsarbeidet i sektoren er tilfredsstillende.

Finanstilsynet er det sentrale offentlige organet som kontrollerer og vurderer om banker, forsikringsselskaper, finansieringsforetak, verdipapirforetak, børs og autoriserte markedsplasser, verdipapirregistre, eiendomsmeglere, e-pengeforetak, revisorer og autoriserte regnskapsførere følger de lover og regler som er vedtatt for finansmarkedet, og driver virksomheten med akseptabel risiko. Tilsynet skal også se til at institusjonene tar hånd om forbrukernes interesser og rettigheter. Finanstilsynets hovedmål er finansiell stabilitet, velfungerende markeder og forbrukervern. Finanstilsynet leder og er sekretariat for Beredskapsutvalget for finansiell infrastruktur (BFI). Se punkt 16.4 for en nærmere beskrivelse av BFI.

Norges Bank er sentralbanken i Norge, og har som mål å fremme den økonomiske stabiliteten i landet. Banken har utøvende og rådgivende oppgaver i pengepolitikken og skal medvirke til robuste og effektive betalingssystemer og finansmarkeder. Norges Bank forvalter valutareservene i landet. Statens pensjonsfond utland skal støtte statlig sparing for finansiering av fremtidige utgifter og underbygge langsiktige hensyn ved bruk av Norges petroleumsinntekter. Norges Bank forvalter Statens pensjonsfond utland, og har delegert gjennomføringen av forvaltningsoppdraget til Norges Bank Investment Management (NBIM).

Finans Norge er hovedorganisasjon for finansnæringen i Norge, og representerer mer enn 200 medlemsbedrifter fra bank og forsikring, med rundt 50 000 ansatte. Finans Norge har ulike oppgaver på IKT-sikkerhetsområdet, både som premisslegger for et omforent sikkerhetsnivå på betalingsområdet og som representant for medlemmene i ulike fora der IKT-sikkerhet diskuteres, herunder Næringslivets Sikkerhetsråd. Som næringsorganisasjon arbeider Finans Norge med selvregulering og standardisering innen IKT-sikkerhet nasjonalt og i EU, og fungerer som høringsinstans på vegne av norsk finansnæring i forbindelse med lov- og forskriftsendringer.

Norwegian Interbank Clearing System (NICS) er sentralt for gjennomføring av betalinger i Norge. Finans Norge forvalter, på vegne av finansforetakene, flere felles operasjonelle infrastrukturer (FOI) innen betalingsinfrastrukturen – både direkte og gjennom NICS Operatørkontor, som driftes av Finans Norge. NICS Operatørkontor er konsesjonshaver for banknæringens hovedavregning.

BankID ble initiert av Finans Norge i 2000, og eies av bankene. Over tre millioner nordmenn har nå BankID, som er den mest utbredte og brukte elektroniske ID-en i Norge. Ingen andre europeiske land er på et tilsvarende nivå. BankID-sertifikatene utstedes av bankene. Bakgrunnen for etableringen av BankID var at banknæringen skulle kunne spille samme rolle i kundebetjening og tjenestetilbud over åpne nett som i den fysiske verden. Dette krevde en samordnet struktur for sikker autentisering og signering i åpne nett. Videre mente man at utbredelsen av sikker digital kommunikasjon i befolkningen krevde at brukerne kunne benytte samme sikkerhetsordning ofte og i flere sammenhenger.

BankAxept ble tidligere administrert av Finans Norge, men er nå etablert som et eget AS, eid direkte av bankene. BankAxept er det dominerende kortsystemet i Norge. Ni av ti kortbetalinger med norske kort skjer via BankAxept.

FinansCERT ble etablert av finansnæringen i 2013, og er et heleid datterselskap av Finans Norge. Målsettingen til FinansCERT er at finansnæringen skal være godt rustet til å møte trusler utenfra rettet mot finansinstitusjonenes IKT-virksomhet og mot digitale tjenestekanaler til kundene. FinansCERTs formål er å koordinere og støtte finansnæringen i håndteringen av IKT-sikkerhetshendelser, samt forebyggende arbeid.87 En nærmere beskrivelse av FinansCERT følger i punkt 16.4 «Beredskap og hendelseshåndtering».

Sentrale leverandører innenfor sektoren er Nets, Evry og SDC. Nets tilbyr betalings-, kort- og identitetsløsninger i de nordiske landene og leverer de tekniske betalingsløsningene mellom norske banker og for dagsoppgjøret i Norges Bank. Evry er en stor tjenesteleverandør i det norske finansmarkedet, og håndterer i løpet av et år i overkant av 300 millioner betalingstransaksjoner. SDC er en annen IKT-leverandør i det nordiske finansmarkedet, og hadde i 2014 82 norske banker på kundelisten.

Forskning og utvikling

Nasjonalt har Finanstilsynet tidligere hatt bistand fra Selmersenteret i Bergen og Norsk Regnesentral til analyser av henholdsvis sikkerhet i nettbank og sikkerhet i betalingskort. I tillegg har de vært involvert i prosjekter om operasjonell risiko ved Universitetet i Stavanger. Internasjonalt har Finanstilsynet deltatt i EUs forskningsprosjekt rettet mot tiltak for å gjøre finanssektorens bruk av Internett sikrere,88 samt arbeid med forslag til aktuelle områder det bør forskes mer på når det gjelder sikkerhet. Samtidig jobber næringen tett sammen om å se på fremtidige behov. Eksempelvis har Bankenes Standardiseringskontor tatt et initiativ overfor Standard Norge for at det skal iverksettes tiltak for å øke satsingen på internasjonal standardisering på sikkerhetsområdet.

Internasjonalt samarbeid

Norge har tett kontakt med internasjonale organisasjoner, som ISACA og FI-ISAC. ISACA er en internasjonal forening som fokuserer på styring av og kontroll med IKT og tilbyr globalt anerkjente sertifiseringer. Financial Institutes – Information Sharing and Analysis Center (FI-ISAC) er et europeisk tiltak primært med deltakere fra CERT-er, bankorganisasjoner og politimyndighet. Det er et uformelt samarbeid mellom enkeltland og definerte myndigheter, blant annet støttet av ENISA. FI-ISAC utveksler til dels konfidensiell informasjon om sårbarheter, angrep og tiltak knyttet til bruk av de elektroniske betalingsløsningene.

ITSG (International IT Supervisors Group) er en uavhengig internasjonal arbeidsgruppe som har IT-tilsyn som arbeidsområde. Formålet med samarbeidet er å utnytte kunnskap og erfaringer på tvers av landegrensene. Det gjelder for både stedlige og dokumentbaserte tilsynsmetoder. Utveksling av kunnskap når det gjelder bruk av rammeverk, standarder og beste praksis ved gjennomføring av tilsynsaktiviteter innenfor IT-området, er et viktig tema i de årlige møtene deres. Forumet består av cirka 20 deltagerland, og det ble startet i 2002 som en forlengelse av samarbeidet tilsynsmyndighetene hadde for overgangen til år 2000. Områder som blant annet IT-sikkerhet, cybersikkerhet, utkontraktering, skytjenester og beredskap, er områder som har fått bred dekning på de årlige møtene. I tillegg blir større hendelser gjennomgått. Gjennom kontaktlister er det stor grad av informasjonsutveksling. Dette gjelder både for hendelser og for risikoøkninger som de enkelte medlemslandenes institusjoner opplever.

European Banking Authority (EBA) satte i 2014 ned en arbeidsgruppe som skulle gjennomgå medlemslandenes tilnærming til IT-tilsyn og informasjonssikkerhet med tilhørende lovverk. Resultatet ble at det i regi av EBA ble etablert en gruppe som skal legge til rette for økt samarbeid og erfaringsutveksling på områdene som er nevnt ovenfor. Arbeidet vil pågå fra 2015 og vil bli en viktig arena for å bidra til å øke kvaliteten og kunnskapen på IT-tilsynsområdet. De nordiske tilsynene har løpende samarbeid og et årlig samarbeidsmøte der IT- og informasjonssikkerhet er tema. I tillegg blir det gjennomført felles tilsyn i banker med grenseoverskridende virksomhet. Dette medfører en stor grad av kunnskaps- og erfaringsutveksling.

Finanstilsynet mener selv at metodeverktøyet som benyttes i Norge, er godt og på høyde med tilsvarende i sammenlignbare land. Utvikling og tilpasning i tråd med teknisk utvikling, trusselbildet og regelverksendringer i EU er likevel nødvendig. Dette krever et tett samarbeid med aktørene som er nevnt ovenfor. DNB trekker frem finanstilsynene i USA og Singapore som særlig kompetente innenfor informasjonssikkerhet. Viktigheten av medlemskap og dialog med private/frivillige organisasjoner som bidrar med tidlig varsling og teknisk kompetanse, blir også påpekt.

16.3 Hjemmelsgrunnlag og tilsynsvirksomhet

Finanstilsynet harsom en av sine oppgaver å føre tilsyn med sektorens bruk av IKT og betalingssystemer. Hjemmelsgrunnlaget for arbeidet er blant annet finanstilsynsloven og lov om betalingssystemer med tilhørende forskrifter. Også hvitvaskingsloven kommer til anvendelse. For oppfølging av sektorens operasjonelle risiko, inkludert bruk av IKT, benyttes kapitalkravforskriften, IKT-forskriften og forskrift om risikostyring og internkontroll som hjemmelsgrunnlag i det praktiske tilsynsarbeidet. Nåværende IKT-forskrift er fra 2003, og tilsynsmetodene har siden blitt utviklet med beste praksis og anerkjente internasjonale rammeverk.

Virksomheten til Norges Bank er regulert gjennom sentralbankloven og betalingssystemloven. Her kommer det blant annet frem et ansvar for å vurdere effektiviteten til systemer for betalingstjenester og hva disse systemene betyr for effektiviteten til det norske betalingssystemet, inkludert samspillet med andre lands betalingstjenester.

Finanstilsynet samarbeider med Norges Bank der omfanget av tilsynet ligger innenfor det felles ansvarsområdet. Det gjelder spesielt betalingstjenester og avregning/oppgjør innen betalingsformidlingen, der det tidvis er gjennomført enkelte felles tilsyn. Samarbeidet er regulert gjennom betalingssystemloven.

Gjennom mandat gitt av Finans Norge fastsetter Bankenes Standardiseringskontor (BSK) standarder og sikkerhetskrav for transaksjons- og meldingsutvekslingen mellom bankene. BSK fastsetter også sikkerhetskrav til minibanker og kortterminaler, samt til kortutstedelse. BSK-krav omfatter også BankID, inkludert FOI (felles operativ infrastruktur). Bankene er gjennom dette forpliktet til et felles avtalt nivå for sikkerhet og risiko som er nødvendig for å kunne ha gjensidig tillit i en informasjonsutvekslingskjede.

Boks 16.1 Finanstilsynets verktøykasse

Finanstilsynet utarbeider hvert år en risiko- og sårbarhetsanalyse av finansforetakenes bruk av IKT. ROS-analysen er basert på funn fra tilsyn gjennom året, innrapporterte hendelser fra foretakene, meldinger i henhold til meldeplikten, spørreundersøkelser og intervjuer med foretakene og IKT-bransjen, regelverksendringer nasjonalt og fra EU, samarbeid og kontakter med andre lands tilsynsmyndigheter og annen relevant informasjon om hendelser og utviklingstrekk i bransjen.

Seksjon for tilsyn med IT- og betalingstjenester i Finanstilsynet har tilsynsansvar når det gjelder finansforetakenes bruk av IKT og finanstilsynslovens bestemmelser. Bestemmelsene er konkretisert i forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften). For å vurdere om finansforetakene etterlever kravene i IKT-forskriften, benytter IT-tilsynet såkalt egenevaluering, med spørsmål basert på Cobit, ITIL, ISO og andre kilder, tilpasset av Finanstilsynet for det norske finansmarkedet. Rapportering av alvorlige og kritiske IKT-hendelser er fra 1. desember 2009 forskriftsregulert gjennom IKT-forskriften. Basert på rapporterte hendelser lager IT-tilsynet statistikker og analyserer årsaksforhold. I tillegg er meldeplikten for systemer for betalingstjenester et viktig virkemiddel for oppfølging av betalingssystemene. Meldeplikten er utformet som en egenevalueringsmelding med 19 kontrollspørsmål. I tillegg til disse verktøyene (som er beskrevet på Finanstilsynets nettside) har Finanstilsynet utviklet en del egne verktøy til eget, internt bruk.

Finanstilsynet samarbeider tett med Norges Bank. Finanstilsynet samhandler også regelmessig med andre tilsynsmyndigheter. I tillegg har de regelmessige møter med BankID og FinansCERT, samt møter med Finans Norge og BSK. Utover det samarbeider Finanstilsynet med IT-tilsyn i andre land, både i Norden, i EU/EØS og globalt, om utvikling av verktøykassen. En nyopprettet gruppe under EBA forventes på sikt å bli en sterk bidragsyter, og Finanstilsynet deltar direkte. I EBA pekes det på både Finanstilsynets IKT-forskrift og ROS-analyse som gode eksempler til etterfølgelse og mal for felles europeiske tiltak.

16.4 Beredskap og hendelseshåndtering

Ansvaret for håndtering av hendelser går frem av IKT-forskriften og er tillagt finansinstitusjonene og deres leverandører. Dette inkluderer krav til hendelseshåndtering for gjenoppretting, eskalering og rapportering til ledelse, samt krav om å iverksette korrektive tiltak for å unngå at samme problem oppstår på nytt. I tillegg er det krav om at alvorlige og kritiske hendelser skal rapporteres til Finanstilsynet uten unødig opphold. På denne måten får myndighetene en oversikt over hendelsesbildet, samtidig som de er sikret rask informasjon om alvorlige hendelser.

Figur 16.2 viser antall rapporterte eksterne angrep i forhold til det totale antallet rapporterte hendelser for perioden 2009 til 2015, aggregert per kvartal.

Figur 16.2 Antall rapporterte eksterne angrep i forhold til totalt antall rapporterte hendelser.

Figur 16.2 Antall rapporterte eksterne angrep i forhold til totalt antall rapporterte hendelser.

Kilde: Finanstilsynet.

Finanstilsynet anslår at i kjernevirksomheten til tilsynsobjektene deres finner cirka 70 prosent av de alvorlige hendelsene sted på områder der institusjonene bruker underleverandører.

Finanstilsynet har etablert en rutine for å motta og behandle hendelsesrapporter og har en beredskapsplan for situasjoner der en virksomhet under tilsyn utsettes for en alvorlig IKT-krise. Beredskapsplanen viser til hendelsesrapporteringen som en aktuell kilde for å identifisere en beredskapssituasjon. Finanstilsynsdirektøren skal sammen med lederen for tilsynsansvarlig avdeling beslutte om det skal varsles til instanser utenfor Finanstilsynet, eksempelvis styret, departementer, bransjeorganisasjoner, media og så videre. Beredskapsplanen viser også til Beredskapsutvalget for finansiell infrastruktur (BFI).

Beredskapsutvalget for finansiell infrastruktur (BFI) har ansvaret for å komme frem til og koordinere tiltak for å forebygge og løse krisesituasjoner og andre situasjoner som kan resultere i store forstyrrelser i den finansielle infrastrukturen. Ifølge sitt mandat skal BFI i en krisesituasjon varsle og informere berørte aktører og myndigheter om hvilke problemer som har oppstått, hvilke konsekvenser problemene kan medføre, og hvilke tiltak som settes i verk for å løse problemene. BFI har etablert en rutine for varsling, problemhåndtering og informasjonsformidling som skal gjelde i en beredskapssituasjon. Finanstilsynet leder og er sekretariat for BFI, og vurderer når det skal kalles inn til møter. BFI representerer en viktig møteplass for sentrale finansaktører i Norge. Finanstilsynet er omfattet av myndighetenes sivile beredskapssystem (SBS), og BFI tar hånd om den nødvendige koordineringen innenfor finansiell sektor.

FinansCERT er en egen sektor-CERT (responsmiljø) for finansnæringen, og har et utstrakt samarbeid med aktører i næringen, samt et eksternt nettverk med både myndighetene/politiet og internasjonale nettverk innen IKT-sikkerhet. FinansCERT mottar informasjon fra mange kilder og videresender relevant informasjon til finansbedriftene og sentrale aktører i infrastrukturen.

FinansCERT Norge deltar aktivt i hendelseshåndtering og har en døgnkontinuerlig beredskap. Videre opererer FinansCERT et system for rask og sikker informasjonsdeling til relevante personer i aktuelle miljøer i næringen. Eksempelvis produseres det kvartalsvise rapporter om trusselbildet, der alvorlige trusler presenteres med en vurdering av trusselnivået, en vurdering av om trenden er økende eller synkende, og en aktørprofil for hver trussel. Et annet eksempel er deling av indikatorer i forbindelse med nettbanksvindel i nær sanntid.

Boks 16.2 Fisking av nettbankpåloggingsinformasjon

I 2015 har mange nettbanker opplevd gjentatte forsøk på å fiske (lure) påloggingsinformasjon fra bankenes kunder. Med denne informasjonen vil de kunne logge seg inn i kundenes nettbank og stjele pengene på konto. For en bedrift eller offentlig virksomhet kan dette være store summer. Angrepene skjer ved at det sendes epost-spam eller SMS-spam som utgir seg for å være fra banken, der kunden bes om å klikke på en link for å låse opp en sperring eller lese en melding. Dersom kunden trykker på linken, kommer hun til en falsk nettbank. Bankene, sammen med FinansCERT og andre leverandører og samarbeidspartnere, jobber hardt for å motvirke og håndtere disse angrepene. Det har vært gjort forsøk på å stjele mange titalls millioner kroner, men disse har i stor grad blitt avverget – ofte fordi bankene har delt informasjon som gjør at de er bedre forberedt. Hendelsene viser viktigheten av god sikkerhetsbevissthet hos kundene, samt nytten av rask informasjonsdeling og aktiv hendelseshåndtering/skadebegrensning når angrep skjer.

Videre gjennomfører FinansCERT aktiviteter som forum og «community» for responsmiljøene i norske banker og forsikringsselskaper. FinansCERT har ikke en myndighetsrolle i sektoren, og omfatter per dags dato ikke alle virksomhetene i sektoren. FinansCERT har imidlertid et uttalt mål om å omfatte alle virksomheter i sektoren, men er fortsatt i en etableringsfase. FinansCERT tar sikte på å være ferdig etablert som planlagt med fem ansatte i løpet av 2015.

Bankenes Standardiseringskontor (BSK) følger internasjonale trender og bevegelser for kriminelle angrep mot minibanker og terminaler, og anbefaler mottiltak til banker i Norge. BSK har også en egen nettbanksikkerhetsgruppe (med representanter fra bankene) som går igjennom hendelser og aktuelle mottiltak. NICS Operatørkontor har et eget opplegg for selvsertifisering og egenmelding for banker som deltar i NICS (i praksis alle banker). Der legges det vekt på varsling av egne hendelser til andre deltagere og rutiner for håndtering av de skjevhetene som oppstår i fordeling av likviditet når driftsavbrudd oppstår i en bank. Operatørkontoret involveres direkte i hendelser ved driftsstans hos deltagere, og det er gitt utsettelser som innebærer senere innleveringsfrister til siste daglige avregning.

I forbindelse med etableringen av objektsikkerhetsforskriften gjorde finanssektoren en vurdering av om det var objekter som skulle foreslås underlagt sikkerhetsloven. Det er kun pekt ut et mindre antall skjermingsverdige objekter i sektoren. Finanstilsynet har imidlertid i samarbeid med BFI pekt ut objekter som skal gis prioritet fra myndighetenes side ved en alvorlig situasjon for leveranser av elektronisk kommunikasjon og kraft.

16.5 Digitale sårbarheter i finanssektoren

I Finanstilsynets ROS-analyse for 2014 vurderes det at betalingstjenestene generelt er stabile og har tilfredsstillende kvalitet. Til tross for at det i 2014 ble registrert en økning i antall alvorlige hendelser, truet ikke disse den finansielle stabiliteten. Finanstilsynet understreker imidlertid at noen av disse, dersom de hadde fått utviklet seg, kunne skapt uro for den finansielle stabiliteten.89 Norges Bank uttrykker gjennom rapporten Finansiell infrastruktur 2015 at det har vært få avvik i interbanksystemene og verdipapiroppgjørssystemet det siste året.

Figur 16.3 viser utviklingen av hendelser siden 2010, der disse er veiet med hvilken konsekvens de har fått for ulike typer tjenester.

Figur 16.3 Hendelser veiet mot konsekvens.

Figur 16.3 Hendelser veiet mot konsekvens.

Kilde: Finanstilsynet.

Sårbarhetene beskrives i det følgende ut fra fem områder. Det handler om å

  1. formidle kapital på en sikker måte mellom aktører nasjonalt og internasjonalt

  2. sikre befolkningen tilgang til betalingsløsninger for å kunne opprettholde nødvendig handel

  3. sikre at betalinger og andre finansielle transaksjoner gjennomføres på en sikker og korrekt måte

  4. sørge for sikker og stabil drift av finansielle registre

  5. kommunisere med befolkningen om kritiske hendelser i bank- og finanssektoren.

16.5.1 Formidle kapital nasjonalt og internasjonalt

Betalingssystemene er en helt sentral forutsetning for formidling av kapital på en sikker måte mellom aktører nasjonalt og internasjonalt, for eksport og import av varer og tjenester, i grossistleddet, i varehandelen (detaljistleddet), for verdipapirhandel og handel med finansielle tjenester. Betalingssystemene kan deles inn i ulike lag, fra der transaksjonene oppstår, til transaksjonene er avsluttet, slik som vist i tabell 16.1. I prinsippet må alle ledd og lag fungere for at transaksjonen skal kunne gjennomføres. Sårbarheten vurderes å være størst der transaksjonene oppstår, mens konsekvensene øker oppover i verdikjeden. Konsekvensene for finansiell stabilitet er størst ved manglende muligheter for oppgjør. Ettersom aktørene i finanssektoren i stor utstrekning benytter den samme nettverksinfrastrukturen, vil dette medføre en konsensentrasjonsrisiko der konsekvensen ved en feilsituasjon er stor. For kundene kan bortfall av felles betalingstjenester representere store konsekvenser, særlig om bortfallet varer over lang tid.

Tabell 16.1 Hovedinndeling av betalingssystemer

Hovedinndeling av betalingssystemer

Funksjon

Overordnet om sårbarheter

Internasjonalt oppgjørssystem CLS (Continuous Linked Settlement)1

Sentralt system for sikkert oppgjør med akseptabel risiko av internasjonale betalinger (valuta).

Få hendelser, liten grad av endring, ingen direkte kundeinvolvering (PC-er kommer lenger ned i verdikjeden).

Norges Banks oppgjørssystem (NBO)1

Sentralt for oppgjør av betalinger i Norge.

Alvorlige feil vil kunne stoppe betalingssystemene.

Bankenes felles avregnings- og oppgjørssystem NICS (Norwegian Interbank Clearing System)1

Sentralt for gjennomføring av betalinger i Norge.

Dette laget inkluderer banker, som har konsesjon for å drive avregnings- og oppgjørssystemer (avleverer i praksis transaksjonene til NICS).2

Alvorlige feil over lengre tid vil få alvorlige konsekvenser for finansiell stabilitet.

Verdipapiroppgjøret (VPO) forvaltet av Verdipapirsentralen

Leverer pengeoppgjøret direkte til Norges Banks oppgjørssystem. System for overføring av finansielle instrumenter, med fellesregler for avregning og oppgjør.

Alvorlige feil vil kunne stoppe verdipapirhandelen.

Bankenes egne betalingssystemer, inkludert transaksjons-innsamlingssystemer

Deler av infrastrukturen er felles, eksempelvis for pengeautomater. Leverandøren Evry er sentral.

Feil som oppstår, kan avgrenses, men for de største bankene vil konsekvensene være store. Feil får også konsekvenser for kundene.

Bankenes felles betalingssystemer, inkludert transaksjonsinnsamlings-systemer

Felles infrastruktur, der BankAxept er den sentrale løsningen. Mange mindre løsninger inngår i felles infrastruktur. Ivaretas i dag i stor grad av leverandøren Nets.

Kan medføre store konsekvenser for kundene, særlig om bortfallet varer i lang tid.

Bankenes felles autentiseringssystem

Felles autentiseringssystem (inkludert digital signatur) ivaretas av BankID Norge AS. Drift av systemer er utkontraktert til Nets.

Representerer et ledd som kan medføre store konsekvenser ved bortfall.

1 Disse benytter det internasjonale meldingssystemet SWIFT, som er et sentralt meldesystem for gjennomføring av internasjonale betalinger mellom kunder (i ulike land) via banker (korrespondentbanker).

2 For store transaksjoner benyttes SWIFT-format også videre til NBO.

16.5.2 Sikre befolkningen tilgang til betalingsløsninger

BankAxept-løsningen er fortsatt dominerende som betalingsmiddel i varehandelen, ettersom alle aksepterer BankAxept. De internasjonale kredittkortene har gradvis økt sin andel, men det vil likevel være slik at bortfall av BankAxept-løsningen får størst konsekvenser for befolkningen ved bortfall over lang tid. Dette vil også ha innvirkning på finansiell stabilitet.

Det vurderes likevel å være store fordeler med et felles system der store investeringer i effektivitet og sikkerhet kan resultere i robuste løsninger og felles grensesnitt som er til fordel for forbrukerne. Dette er situasjonen i Norge, samtidig som konsekvensene ved bortfall også dermed kan bli størst.

Det introduseres stadig nye tekniske tjenesteelementer, eksempelvis med bruk av smarttelefon og trådløs kommunikasjon for både chip og smarttelefon. Selv om dette representerer fleksibilitet for den enkelte brukeren, kan det samlet medføre økt sårbarhet.

Boks 16.3 Mobil «lommebok»

Smarttelefoner brukes i økende grad til betalingstjenester. I tillegg til nettbank og ulike former for SMS-betalinger er kontaktløse betalinger (NFC – Near field communication) en av de nye betalingstjenestene som er kommet. NFC innebærer at man betaler med både betalingskort og mobilen bare ved å holde enheten inntil betalingsterminalen. Mobiltelefonen eller betalingskortet er knyttet opp til en bankkonto eller en kredittkortkonto. ApplePay er eksempel på en slik tjeneste. Den norske tjenesten mCash er en annen form for mobil lommebok, som benytter seg av en annen type teknologi, der mobilkameraet benyttes i kombinasjon med en QR-kode i butikken.

Handel på Internett er i sterk økning. En virtuell valuta er en type uregulerte digitale penger som ikke er utstedt eller garantert av en nasjonal sentralbank, og kan fungere som betalingsmiddel ved kjøp og handel.

De ulike løsningene for betalingsformidling er mange og med ulikt sikkerhetsnivå. Det er forskjell på grensekryssende betalingstjenester innenfor og utenfor EU/EØS. Dette er omhandlet i nasjonale retningslinjer for sikkerhet ved Internett-betalinger og i forslag til forskrift til betalingssystemloven.90 Se også nærmere omtale av PSD2 i punkt 16.6.

Slike løsninger i stort omfang kan representere en økt samfunnsmessig risiko. Denne utviklingen kan være krevende å forholde seg til for både forbrukerne, næringen og myndighetene. Det er større sannsynlighet for kriminelle angrep på tjenestene i et åpent nett.

Dynamikken i EØS-samarbeidet og euro-området vil kunne gi store endringer på bank- (særlig for betalingssystemer) og verdipapirområdet. Endringene kan samlet bidra til å øke operasjonell risiko i en overgangsperiode. Det er en risiko for at felles EØS-regler kan resultere i at kravene til IKT-sikkerhet blir lavere enn de kravene vi allerede har i Norge.

16.5.3 Sikre betalinger og andre finansielle transaksjoner

Det omfattende samarbeidet i finansnæringen i Norge har bidratt til at betalingssystemene har vært effektive (frigjort store ressurser), stabile (basert på tilgjengelig statistikk) og sikre (basert på statistikk over tapsutviklingen). Sett opp mot andre, sammenlignbare, land ligger Norge lavt når det gjelder tap. Tiltak som har bidratt til denne utviklingen, har blant annet vært finansforetakenes vektlegging av konfidensialitet, integritet og tilgjengelighet, finanssektorens samarbeid i regi av felles organer og bransjeorganisasjoner, og myndighetskrav til sektoren.

Boks 16.4 Svindel og bedragerier mot nettbankene

Fra cirka 2007 har hacking, angrep og ransforsøk mot nettbankene vært en reell trussel. Julen 2007 ble to norske banker utsatt for et nettbanktrojanerangrep samtidig, der angriperne forsøkte seg på automatisert pengeoverføring etter at kunden hadde logget på nettbanken. Bankene oppdaget det, og samarbeidet tett om å håndtere og motarbeide angrepene. Bankene tok følgende lærdom av dette:

  • Det er viktig at kundene forstår truslene tilstrekkelig, og gjør sin del av jobben med å motvirke dem. For bankene innebærer dette å være åpen om trusselbildet og informere om sikkerhetshendelser, slik at kundene får en god forståelse av trusselbildet.

  • De digitale truslene rammer ofte bredt, og går gjerne mot flere banker samtidig. Samarbeid og informasjonsdeling mellom bankene er en effektiv og kosteffektiv måte å motvirke angrep på.

  • En tilstrekkelig god forståelse av de digitale tjenestenes oppbygging og virkemåte for å oppdage og forstå angrep er viktig. En slik forståelse kommer ikke av seg selv, men vil være et resultat av bevisste valg, prioriteringer og investeringer.

  • Samarbeid og gode nettverk er viktig. Blant annet skjer angrepene ofte i flere land samtidig, og det kan være mye å lære ved å samarbeide over landegrensene. Videre har samarbeidet mellom bankene og politiet/Kripos resultert i flere arrestasjoner og dommer for nettbankbedragerier i Norge de siste årene.

I årene etter 2007 ble det gradvis hyppigere angrep mot nettbankene, dette var et viktig moment i etableringen av FinansCERT i 2013.

Det betyr likevel ikke at man unngår en potensiell alvorlig hendelse i fremtiden. Dette gjelder både potensielle tilsiktede og utilsiktede hendelser. For tilsiktede hendelser har trusselaktørene vist at de har både vilje, kreativitet og ressurser til å angripe banker. I tillegg kan hvitvasking representere en økt risiko med misbruk av betalingssystemer og inngår som et element i økt internasjonal organisert kriminalitet.

Boks 16.5 Hacking mot banker har gitt store økonomiske tap internasjonalt

I 2014 ble opp mot hundre banker og finansielle institusjoner i 30 land rammet av angrepene fra en gruppe hackere kalt Carbanak. Ifølge en rapport fra Kaspersky Lab medførte hendelsene store økonomiske tap, der eksempelvis en enkelt bank ble tappet for over 10 millioner dollar. Hendelsen viste at hackerne fikk de største utbyttene via elektroniske transaksjoner. Ingen norske banker ble rammet av angrepet.

Lange og uoversiktlige leverandørkjeder er en utfordring. Hvem som er involvert i finansnæringens «økosystem» vil kunne utfordre og øke risikoen fremover. I tillegg kan større omfang av kjøp av ressurser og kompetanse utenfor Norge, og nedbygging av ressurser i Norge, på sikt medføre utfordringer med å opprettholde tilstrekkelig styring og kontroll med betalingsløsningene. Driveren for bankenes utkontraktering er primært kostnadskutt, men også det å sikre nøkkelkompetanse og global videreutvikling av teknologi.91 Endringstakten, både hos finansforetakene og på leverandørsiden, den teknologiske utviklingen og nye aktører både nasjonalt og internasjonalt vil stille store krav til aktørene for å opprettholde den stabiliteten Norge har hatt på betalingssystemområdet de seneste årene.

Enkelte problemstillinger må vies særskilt oppmerksomhet ved utkontraktering ut av Norge. Noen av disse er knyttet til:

  • Annen jurisdiksjon som ofte er vanskelig å overskue konsekvensene av for eksempel norske myndigheters behov for rask tilgang til data i en gitt situasjon.

  • Korrupsjonsgrad og den «iboende» kriminaliteten som følger av dette.

  • Beskyttelse av personopplysninger.

  • Bruk av skytjenester kan representere gode løsninger for mindre virksomheter som hver for seg har liten samfunnsmessig betydning. Det er noe helt annet når det gjelder samfunnsmessig virksomhet eller for eksempel bankenes IKT-løsninger på sentrale områder som kundereskontro. Slik de fleste leverandørene av skytjenester i dag opererer, kan en kunde kanskje sikre at dataene lagres i en region, for eksempel Europa. For virksomheter som banker, der hele bankens virksomhet i praksis er IKT-basert, vil det å ha hele bankens kundeportefølje i en slik løsning kunne være problematisk. Foreløpig er det bankenes egne vurderinger av risiko og kvalitative regelverk som styrer dette.

16.5.4 Sikker og stabil drift av finansielle registre

Med finansielle registre menes i denne sammenheng registre som gir oversikt over fordringer, innskudd, lån, pant, heftelser, eierskap og forsikringer.

Mange av betalingstjenestene må av naturlige grunner distribueres helt ut til sluttbrukerne, og kanalene som benyttes kan være sårbare. Det som ofte betegnes som kjernesystemer, innlån, utlån, depotsystemer (omfatter også pant), panteregistre, forsikringssystemer og eiendomsregistre (offentlige), inngår i finansforetakenes sentrale løsninger.

Særlig når det gjelder banker og forsikring, behandles denne typen løsninger i stor grad fortsatt på sentrale stormaskiner og har flere lag med beskyttelse. Bruk av nye distribuerte plattformer kan ha samme strenge driftsopplegg. Det gjør at aktører via offentlige nett ikke uten videre får tilgang, og terskelen for å hacke seg inn er større enn for løsninger som er knyttet direkte opp i Internett. Dette har resultert i at det er rapportert få slike hendelser i Norge. På den annen side er det en vurdering at ressurssterke kriminelle grupper og stater som er engasjert i denne typen virksomhet, har kapasitet til å utøve skadeverk.

En annen potensiell sårbarhet er at mange av denne typen systemer er gamle, med til dels komplekse løsninger som er utviklet gradvis over mange år. Deler av teknologien er under utfasing, og kompetansen er heller ikke så lett tilgjengelig lenger. Konsekvensene av en alvorlig og langvarig hendelse på denne typen systemer vil kunne bli katastrofal, både for samfunnet, for næringslivet og for den enkelte innbygger.

16.5.5 Kommunisere med befolkningen om kritiske hendelser

En rekke sårbarheter kan utfordre kommunikasjonen med befolkningen om kritiske hendelser i bank- og finanssektoren og om hvordan den enkelte bør forholde seg for å opprettholde normalitet i dagliglivet. Sårbarheten vurderes å kunne være stor på dette området.

Finansforetakene har et klart ansvar for å informere kundene sine om alvorlige hendelser som får konsekvenser for dem. Finanstilsynet har eksempler på at enkeltforetak ikke tar dette ansvaret ved en alvorlig hendelse, men i praksis peker på leverandøren. Bransjeorganisasjoner tar ofte et sektoransvar for informasjon om alvorlige situasjoner som ikke bare berører den enkelte bank. Det er et samarbeid på dette området gjennom Beredskapsutvalget for finansiell infrastruktur (BFI), med deltagelse fra myndigheter, bransjeorganisasjoner, viktige enkeltforetak (representativ deltagelse) og andre med viktige oppgaver for beredskapen. Hensikten er å sikre en formell møteplass om forebyggende arbeid og ved alvorlige beredskapssituasjoner der BFI blant annet skal gi råd til de utøvende myndighetene.

Finansmyndighetene har et ansvar for å informere om alvorlige hendelser som får konsekvenser for finansiell stabilitet, finansforetak og kunder. Dette må skje ut fra det mandatet myndighetsorganet har, eksempelvis Norges Bank ut fra sentralbankloven, Finanstilsynet ut fra finanstilsynsloven og Finansdepartementet som overordnet myndighetsorgan for hele finanssektoren. Andre myndighetsorganer som har et horisontalt ansvar, kan også være aktuelle, men bør samordne dette med sektormyndigheten. Som et eksempel har tjenestene til Nav og Skatteetaten vært gjenstand for samordning mellom sektormyndighetene. Finanstilsynet har redegjort for rutiner for varsling og beredskap overfor andre etater ved alvorlig svikt i betalingsformidlingen. Fra motsatt perspektiv har Nav og Skatteetaten redegjort for de mest kritiske ut- og innbetalingene. Varslingsveien vil være fra Finanstilsynet til Finansdepartementet, som så vil varsle videre til det aktuelle departementet, som igjen vil varsle den aktuelle underliggende etaten.

Boks 16.6 Virksomhetenes avhengighet av betalingssystemer

Nav er helt avhengig av tilgjengelige betalingssystemer for å løse sitt samfunnsoppdrag. Hver måned er 1,4 millioner brukere avhengig av utbetalinger fra Nav. Nav har lagt inn beredskap ved å være tilknyttet to banker. En fjerdedel av betalingsoverføringene gjennomføres fast gjennom den andre bankforbindelsen. Med dette får begge bankene utbetalinger regelmessig, og det er mulig å bytte bankforbindelse dersom den ene forbindelsen skulle være nede, selv om dette vil ta noen dager. For de mest kritiske utbetalingene er Nav ferdig med transaksjonene til bankene fem–ti dager før de skal inn på konto. Dette er en sikkerhetsmargin dersom systemene er utilgjengelige eller det oppstår feil i transaksjonene. Utenfor Navs virkemiddelapparat kan det også oppstå svikt som hindrer at brukerne får utbetalingene til rett tid – enten ved at Navs bankforbindelser blir forhindret fra å gjennomføre transaksjoner videre til brukernes banker, eller at brukerne i ytterste ledd ikke får brukt kort til betalinger i butikk eller uttak i minibanker. Nav har liten innflytelse på disse to scenarioene, men ønsker å vite hva slags beredskap bankene har for dette, ettersom Nav fort vil ende opp med å være kontaktpunktet for alle brukerne dersom de blir rammet. Nav har derfor tatt et initiativ overfor Finanstilsynet for å skaffe seg innsikt i de beredskapstiltakene finansnæringen har etablert.

På tross av øvelser på dette temaet og andre forberedelser vil det alltid være utfordrende å håndtere alvorlige hendelser som får store samfunnsmessige konsekvenser, på en optimal måte. I tillegg er det utfordrende å få delt kunnskapen om kontinuitet og beredskap på nasjonalt nivå i tilstrekkelig grad.

Boks 16.7 Angrep mot storbanken JPMorgan Chase

Høsten 2014 ble den amerikanske storbanken JPMorgan Chase utsatt for et stort cyberangrep da en gruppe hackere brøt seg inn i datasystemene deres. Ifølge The New York Times ble rundt ni andre banker og meglerhus rammet av innbruddet, som beskrives som et av de mest omfattende noensinne. En av konsekvensene av angrepet var at personopplysninger til 83 millioner personer og virksomheter kom på avveie.

Hendelsen ble etterforsket av amerikanske myndigheter og skapte frykt for at den stjålne informasjonen kunne bli brukt i svindelforsøk. I tillegg var det en reell mulighet for at kunder ville tape tillit til banken, som i etterkant gikk bredt ut til sine interessenter og redegjorde for hvilke sikkerhetstiltak de hadde etablert for å unngå lignende hendelser. Ifølge redegjørelsen hadde JPMorgan Chase investert mer enn 250 millioner dollar og gitt mer enn 1 000 ansatte i oppdrag å satse på cybersikkerhet innen utgangen av 2014.

16.5.6 Særskilte personvernutfordringer

Finansinstitusjoner i Norge utveksler i stor grad personopplysninger med enheter i andre stater. I transaksjonsdata inngår personopplysninger eller opplysninger som kan knyttes til en person. Dette er nødvendige opplysninger for å kunne vite «hvem som har betalt hva», eller «hvem som har kjøpt hvilke verdipapirer». Krav til personopplysningsinnhold i transaksjoner er regulert blant annet gjennom EU-lovgivning. Gjennom en felles operasjonell infrastruktur (FOI) behandles store mengder persondata. I felles registre på forsikringssiden oppbevares også store mengder personopplysninger, noen av dem sensitive.

Utlevering av personopplysninger til andre lands stater er hjemlet i lover innrettet på å bekjempe terrorfinansiering, hvitvasking, skatteunndragelser og annen kriminalitet. Utenom slike offentligrettslige bestemmelser er utleveringsadgang regulert gjennom avtaler (konsernavtaler, herunder «Binding Corporate Rules», utkontrakteringsavtaler og så videre). Finansinstitusjonene har konsesjoner gitt fra både Finanstilsynet og Datatilsynet som regulerer virksomheten og behandlingen av personopplysninger.

Med bakgrunn i den amerikanske loven FATCA (Foreign Account Tax Compliance Act), har Norge og USA inngått en avtale om informasjonsdeling som innebærer at alle norske banker og finansinstitusjoner skal identifisere hvilke kunder som er skattepliktige til USA. Det blir oversendt informasjon om privatpersoner og eiere av selskaper som har konto i norske banker, og som er bosatt i USA, født i USA eller er amerikanske borgere. Personvernhensyn ble diskutert da reglene ble innført.

Finansinstitusjoner i Norge har også ulike hjemler til å utveksle informasjon med andre finansinstitusjoner som ledd i for eksempel gjennomføring av kontraktsforpliktelser med kunder (oppgjør/betalingsforpliktelser/tvisteløsning) og kriminalitetsbekjempelse (hvitvaskingsloven). Ved utkontraktering av virksomhet vil finansinstitusjoner inngå direkte avtaler med den som får oppdraget. Dette vil kunne være foretak i Norge og i utlandet.

Finansinstitusjoner prioriterer personvern når de utvikler nye tjenester og systemer. Dette er ifølge krav etter gjeldende regelverk, herunder personopplysningsloven, IKT-forskriften og hvitvaskingsloven. Finansinstitusjoner er også underlagt streng taushetsplikt, noe som begrenser utlevering av personopplysninger og utvikling av nye tjenester og systemer.

I 2007 gjennomførte Nordea en gransking etter at det ble hevdet at bankansatte i Nordea hadde lekket informasjon om kongehuset og andre kjendiser til Se og Hør. Granskingen var avhengig av at det fantes logger med oversikt over hvilke ansatte som hadde gjort oppslag på ulike konti. Datatilsynet hadde ingen innvendinger mot granskingen og er et eksempel på at kundenes personvern kan veie tyngre enn de ansattes personvern.

Finans Norge ser både store utfordringer og muligheter knyttet til innsamling av store data i forbindelse med utvikling av nye tjenester og systemer. I vurderingen av ulike muligheter må næringen veie flere hensyn opp mot hverandre, for eksempel forretningsdrift/inntjening, taushetsplikt, sikkerhet, kundevennlighet og hensynet til den enkeltes personvern. Det totale regelverksbildet næringen er underlagt, setter begrensninger og rammer for hvilke systemer og tjenester som kan utvikles og markedsføres, og hvilken informasjon som kan behandles av finansinstitusjoner.

Boks 16.8 Konsekvenser for finanssektoren ved bortfall av ekom

I DSBs nasjonale risikobilde for 2014 synliggjøres store konsekvenser for finansiell stabilitet som følge av bortfall av ekomtjenester i fem døgn:

  • Det antas at pengetransaksjoner stopper opp og terminaler fungerer i begrenset grad.

  • Uten tilgang til kunde-, konto-, og saldoinformasjon vil korttransaksjoner og utlevering av kontanter stoppe etter et par dager.

  • «Masseutbetalinger» (for eksempel trygd fra Nav), nett- og mobilbank, utenlandshandel og oppgjørssystemer faller bort.

  • Forbindelsen mellom bankene faller ut.

Finanssektorens nødløsninger kan minske skadene hvis nettet innimellom fungerer, men hvis kommunikasjonen faller helt bort, vil alle finansielle transaksjoner stoppe opp. Stans i pengesirkulasjonen får virkninger for finanssektoren, næringslivet, publikum og offentlig virksomhet. Det at finansielle registre og nasjonale felleskomponenter som Enhetsregisteret, matrikkelen og Altinn ikke fungerer, antas å føre til forsinkelseskostnader.

I en rapport fra Forbrukerrådet i 2014 påpekes det blant annet at det eksisterer en rekke uklare betingelser om bruk av personopplysninger. Det blir også påpekt problemstillinger knyttet til eventuell misbruk av digitale spor. Forbrukerrådet mener at bankene bør prioritere produktinnovasjon på betalingstjenesteområdet, og kommer til å følge utviklingen for å sikre at forbrukernes interesser blir ivaretatt i denne prosessen.92

16.5.7 Avhengighet av kraft og elektronisk kommunikasjon

Avhengigheten av elektronisk kommunikasjon (ekom) er stor. Sentrale finansaktører bruker i stor grad samme kraft- og ekomleverandører. Finansbedrifter og IKT-leverandører kan ikke selv sikre reservekommunikasjon dersom teleoperatørenes leveranser faller ut. Bankenes Standardiseringskontor stiller krav til felles infrastruktur, men det stilles i bransjen spørsmål om hvem som sitter på den helhetlige oversikten. Dette er avgjørende for å sikre reell redundans.

Finanstilsynet har vært pådriver i arbeidet med å forankre finanssektorens prioritering av tilgang til kraft og ekom i en beredskapssituasjon. Det er gjennomført møter mellom aktørene og etablert rutiner for at kraft- og ekomleverandører skal kunne prioritere kritiske finanstjenester i en krisesituasjon. Dette er gjort i samråd med BFI.

16.6 Fremtidige problemstillinger og trender

Det antas at utviklingen av betalingstjenester fremover i større grad vil foregå utenfor den tradisjonelle banksektoren. Ny teknologi, nye aktører og forretningsmodeller gjør dette mulig, noe som skaper økt konkurranse i markedet for betalingstjenester – særlig for småbetalinger. Internasjonale aktører som PayPal og Google har betalingsløsninger som ikke er utviklet i bank. Et annet eksempel er Starbucks, som på kort tid har vokst seg til å bli en stor bank i USA. Utviklingen av nye betalingstjenester vil gi forbrukerne flere instrumenter å velge mellom, slik at de kan velge det som passer dem best. I en rapport fra Norges Bank fremgår det at dersom nye betalingsmåter skal få gjennomslag, må brukerne oppleve at tjenestene er raskere eller har funksjoner som eksisterende betalingstjenester ikke har. Samtidig må sikkerheten være god og prisen akseptabel.93

I EU foregår det store diskusjoner på regelverkssiden, blant annet om det nye betalingstjenestedirektivet PSD2 (Payment Services Directive 2), som trer i kraft tidlig i 2016. DG FISMA oppgir at årsaken til at behandlingen av direktivet har vært så tidkrevende, er at rådet har vært opptatt av gode tiltak på informasjonssikkerhet. Finanstilsynet har påpekt to vesentlige områder i det nye direktivet:

  • Tilbydere av betalingsinitiering og kontoinformasjon og deres rett på vegne av den som betaler, å initiere betalinger og innhente kontoinformasjon.

  • Krav til styring av operasjonell- og sikkerhetsrisiko knyttet til betalingsløsninger og krav til autentisering, der tidligere henvisninger til NIS-direktivet nå er erstattet med lovtekst i direktivet.

Internasjonalt fremheves finansmarkedsinfrastrukturer som avgjørende for å opprettholde finansiell stabilitet, og Norge fremheves som et land med en moderne og stabil finansmarkedsinfrastruktur.94 I en rapport fra The Bank for International Settlements (BIS)95 fremheves det at IKT-angrep på finansielle systemer øker i frekvens og omfang og stadig blir mer sofistikerte. Til tross for at dette området er høyt prioritert av ledelsen i selskaper, fremheves det at tiltakene må intensiveres, gitt den hurtige utviklingen i truslene mot finansiell infrastruktur. Det nevnes blant annet utfordringer med deling av gradert informasjon i multinasjonale selskaper, og myndighetene oppfordres til å bistå virksomhetene med å løse disse utfordringene gjennom koordinerte tiltak mellom offentlig og privat sektor.

Boks 16.9 Endringer i føringer

Verdiøkende tjenester knyttet til betaling og kontoinformasjon kommer på markedet, der nye grupper av tjenesteleverandører blir regulert i det nye betalingsdirektivet. ECB (European Central Bank)/ EBA (European Banking Authority) har tatt initiativ for å definere sikkerhetskrav. Kravene vil gjelde for foretak under regulering.

Et overordnet premiss er at kravene ikke fører til uønskede innlåsingseffekter. Sikkerhetskravene for tilgang til konto må ikke være slik at de låser kunden inne i det eksisterende tjenestetilbudet, og reglene må ikke være slik at de låser tilbyderne ute når det gjelder å tilby alternative eller verdiøkende løsninger.

Det er ønskelig at kravene kan bidra til at tjenestene kan virke på tvers av landene i Europa.

Finanstilsynet ser nå konturene av prinsipper som anses hensiktsmessige for å oppnå dette.

  • Det skal defineres standardiserte grensesnitt som tilbydere kan benytte for å få tilgang til konto.

  • Der det eksisterer en standard når det gjelder krav til sikkerhet for et gitt sikkerhetsnivå, skal denne standarden kunne benyttes/tilbys. Dette kan tenkes å gjelde innenfor områder som PKI, kryptering og autentisering.

  • Proprietære løsninger som låser kunden inne og tjenestetilbyderen ute, er ikke ønskelige.

  • Effektivitet i oppgjør og levering av varer og tjenester, samt ønsket om utvikling av nye tjenester, tilsier at tilgangen til konto bør være direkte og ikke indirekte.

  • En tilbyder av tjenester som bygger på kontoinformasjon, skal autentisere seg overfor kunden og banken.

  • Tilbyderen skal kunne bygge på bankens autentiseringsløsning.

  • Tilbyderen skal kommunisere med bruker og bank på en sikker måte i henhold til tekniske standarder utviklet av EBA i nært samarbeid med ECB.

EBA har tidligere utgitt ECBs anbefalinger til sikkerhet når det gjelder Internett-betalinger. Grunnsikringen har ikke vært ansett som tilstrekkelig på dette området. Anbefalingene innebærer en innskjerping av sikkerheten når det gjelder betalinger med blant annet kort utstedt av norske banker og kredittkortselskaper. Anbefalingene gjelder fra 15. august 2015.

I Finanstilsynets ROS-analyse for 2014 går det frem at det i 2014 var over 550 typer ulike virtuelle valutaer på verdensbasis. Virtuelle valutaer deles inn i to kategorier – sentrale og desentrale. De desentrale virtuelle valuatene som bitcoin, som ikke har noen aktør bak seg, representerer en økt risiko for brukerne, ettersom brukerne ikke har rettsbeskyttelse utover allmenn lovgivning. Finanstilsynet deltok i 2014 i et arbeid i regi av EBA (European Banking Authority), der man så på om virtuelle valutaer kan og bør reguleres. Rapporten konkluderte blant annet med at «risikoen man ser, overstiger langt de fordelene man kan se, særlig i europeisk sammenheng». Som en konsekvens av konklusjonene i rapporten har flere lands myndigheter gått ut med varsler og frarådet finansnæringen å kjøpe eller eie slik virksomhet. Det advares mot at virtuelle valutaer kan innebære stor risiko for brukerne, ettersom de ikke er regulert eller garantert av en sentralbank. Hittil er ingen forpliktet til å motta virtuelle valutaer som betaling, og Skattedirektorat har vurdert omsetning av bitcoin til å være en elektronisk tjeneste og ikke en valuta.96

Valutaer som bitcoin og litecoin kan være med på å tilrettelegge for kriminalitet, ettersom valutaene tillater anonymt eierskap og anonyme overføringer av verdier. Samfunnets kontrollinstanser og politiet vil da ikke lenger kunne følge pengestrømmer ved mistanke om ulovlige transaksjoner. Det er eksempler på at bitcoin er blitt brukt av kriminelle til å presse individer og bedrifter for penger, for eksempel ved løsepengeviruset CryptoLocker.

16.7 Vurderinger og tiltak

Utvalget mener at finansnæringen representerer en sektor med høy bevissthet rundt de truslene og sårbarhetene økt digitalisering medfører, sammenlignet med andre sektorer. Sikkerhet har hittil ikke vært en konkurransefaktor, men noe finansnæringen har samarbeidet om for å kunne ta i bruk ny teknologi. Dette er begrunnet i blant annet økonomi, slik at bankene kan komme frem til gode fellesløsninger på et tidlig tidspunkt. Utvalget mener det er viktig at finansnæringen fortsetter å styrke og effektivisere den samhandlingen som allerede eksisterer. Dette vil også være avgjørende på grunn av den sterke avhengigheten mellom bankene, for eksempel at det for kundene vil være et problem når andre banker er utilgjengelige.

God operasjonell risikostyring er sentralt for å forstå nivået på risiko i en virksomhet, og er særlig viktig for virksomheter i finansnæringen, der IKT er et helt sentralt virkemiddel. Finanstilsynets krav bidrar til at det gjennomføresregelmessige risikoanalyser, men det sikrer ikke nødvendigvis nivået på kvaliteten. Det er viktig at sektoren – både virksomhetene og tilsynsmyndighetene – gjennomfører kvalitativt gode risikoanalyser, gitt kompleksiteten i arkitektur og verdikjeder.

Utvalget foreslår følgende tiltak:

16.7.1 Styrke innsatsen på vurdering av fremtidige betalingstjenester

Utviklingen av nye betalingstjenester foregår raskt og utfordrer de tradisjonelle samarbeidsmønstrene mellom bankene. Ut fra et næringsperspektiv og av effektivitetshensyn er dette en utvikling som gir både enkeltpersoner og næringslivet mange fordeler. Dette utfordrer imidlertid finansnæringen med hensyn til håndtering av risiko. Det er lagt stor vekt på raskt å omsette ny teknologi til nye tjenester. Brukervennlighet og «time to market» vil ofte prioriteres, noe som kan gå på bekostning av sikkerhet og operasjonell stabilitet. Dette er eksempler på at de nye betalingstjenestene kan medføre nye digitale sårbarheter, der utfordringene ligger utenfor nasjonal kontroll og Norge ikke i like stor grad har mulighet til å påvirke.

Finansforetak vil kunne bli involvert i å tilrettelegge løsninger som ikke er tilstrekkelig sikre. Selv om dette foreløpig er svært begrenset, vil det kunne øke i omfang og bli en utfordring, blant annet ved at det blir flere ledd i verdikjeden som bankene ikke har kontroll over.

Utvalget mener finansnæringen bør rette mer oppmerksomhet mot disse problemstillingene, blant annet for å sikre at regelverket også fremover er relevant og tilpasset. Finansdepartementet bør innta en tydeligere rolle for å følge med på nye aktører som tilbyr bank- og betalingstjenester.

16.7.2 Videreføre tverrfaglig samarbeid for god beredskapsevne og håndtering av alvorlige tilsiktede IKT-hendelser

Utvalget mener det er viktig å videreføre det gode arbeidet som gjøres i dag med hensyn til rapportering og håndtering av tilsiktede IKT-hendelser. En systematisk tilnærming til hendelseshåndtering bidrar til effektiv gjenoppretting, statistisk oversikt over utviklingen og ikke minst evne til å lære av feilene for å iverksette nye og/eller justerte tiltak. Utvalget oppfatter Finanstilsynets initiativ for 2015 om identifisering av rotårsaker til alvorlige hendelser som viktig i denne sammenheng. Utvalget mener det er positivt at bransjen selv har tatt initiativ til FinansCERT. Det synes å være et stort eierskap til FinansCERT i sektoren. Utvalget poengterer at det må tilrettelegges for bredere samarbeid og informasjonsdeling nasjonalt. Det er avgjørende med et godt organisert samarbeid på tvers av CERT-ene for å få best mulig nytte ut av ressursene.

I tillegg mener utvalget at FinansCERT, i samarbeid med foretakene, må ta høyde for å etablere risikoindikatorer som kan fange opp hendelser som ikke følger hittil kjente angrepsmønstre («black swan»97), og i større grad være forberedt på sjeldne, men store hendelser.

Utvalget er kjent med arbeidet i Beredskapsutvalget for finansiell infrastruktur (BFI) og de fellesøvelsene som BFI iverksetter årlig. Det er viktig å tørre å planlegge for de sjeldne krisescenarioene, som at den elektroniske infrastrukturen blir utilgjengelig over lengre tid, og at man må gå over til alternative løsninger. Utvalget stiller spørsmål ved hvor godt forberedt sektoren vil kunne være til å håndtere de store krisene, og mener BFI, i samarbeid med FinansCERT, må ta initiativ til mer samordnede og komplekse øvelser, med tilstrekkelig tyngde og realisme. Dette blir desto viktigere, gitt utviklingen av lange og komplekse leverandørkjeder. Videre bør krisekommunikasjon til kundene øves.

16.7.3 Analysere sårbarhetskonsekvensene som følge av utkontraktering ut av landet

Utvalget mener det er en svakhet at det er få økonomiske incentiver til å tenke langsiktig med hensyn til kompetansebehov ved utkontraktering. Det må stilles krav til hva slags kompetanse og kapasitet organisasjonen som utkontrakterer, må ha for faktisk å ivareta ansvaret rundt leverandøroppfølging. Utvalget opplever en usikkerhet rundt hvorvidt for mange utkontrakterer for mange av oppgavene eller har for lite ressurser til at de reelt kan kontrollere og følge opp avtalen og leveransene. Utvalget er samtidig kjent med at det er vanskelig å finne tilstrekkelig kompetanse i Norge.

Utvalget mener noe av kompetansen må være virksomhetsnær, spesielt med hensyn til beredskap. Det er viktig at virksomhetene har et bevisst forhold til hvilken kompetanse som ikke bør utkontrakteres. Selv om utkontraktering av virksomhet kan være innenfor akseptabel risiko for det enkelte foretaket, kan det medføre samfunnsmessige konsekvenser som ikke kan aksepteres dersom et stort antall foretak i en sektor flytter sin IKT-virksomhet ut av landet.

Etter utvalgets vurdering må Finansdepartementet gi Finanstilsynet i oppdrag å vurdere hva de langsiktige konsekvensene av offensiv bruk av utkontraktering kan bli. Det bør vurderes om utkontraktering av virksomhet som kan være viktig for samfunnet, bør ha krav om at det til enhver tid skal være en virksom «cold backup» lokalt i Norge. I finanssektoren i Norge er det regler for utkontraktering både i IKT-forskriften og i forskrift om risikostyring og internkontroll, men det bør vurderes om disse bør videreutvikles og detaljeres basert på den foreslåtte kompetansevurderingen. Utvalget mener det er viktig å modnes når det gjelder denne problemstillingen, ettersom utstrakt bruk av utkontraktering på sikt kan bidra til å svekke den nasjonale evnen til utvikling og oppfølging på sentrale kompetanseområder.

16.7.4 Videreføre og styrke engasjementet for å påvirke internasjonal regulering av IKT-sikkerhetsmekanismer

Utvalget observerer at det er en økende trend at man har felles regelverk med EU og andre internasjonale aktører. Utvalget anerkjenner Finans Norges frykt for å få lavere sikkerhetskrav i Norge som følge av felles regelverk i EU. Internasjonal konkurranse vil kunne bidra til å drive kravene ned mot en nedre grense, selv om Norge i utgangspunktet kan definere strengere minimumskrav. Det er viktig at Finansdepartementet tar en gjennomgang av hvilke arenaer Norge har tilgang til, samt benytter de mulighetene som finnes for å påvirke utviklingen tidligst mulig. Utvalget er enig med Finanstilsynet i at tilsynsaktivitetene må være à jour med beste praksis, og oppfordrer Finanstilsynet til å videreføre det omfattende samarbeidet som allerede pågår internasjonalt, med andre lands og EUs tilsynsorganer.

16.7.5 Styrke beredskapstiltak for utviklingen mot det kontantløse samfunnet

Norge er ett av få land der kontantandelen av det samlede pengevolumet er på under 5 prosent. Økt innføring av mer brukervennlige og kosteffektive betalingsløsninger vil sannsynligvis føre til at kontantandelen fortsatt vil synke. Imidlertid spiller fortsatt kontanter en viktig rolle i samfunnet. Det å benytte kontanter som en del av beredskapsløsningen er under utredning av Norges Bank og Finanstilsynet. Finans Norge har angitt at omfattende bruk av kontanter i en beredskapsløsning er lite hensiktsmessig for bankene.

Som en del av myndighetenes vurderinger inngår også en klargjøring av bankenes plikt til å sikre tilbakebetaling til innlånskundene, også i en alvorlig beredskapssituasjon. Grupper i samfunnet kan også være mer avhengige av tilgang på kontanter som betalingsmiddel enn andre, så en vurdering av aktiv utfasing av kontanter har flere motstridende faktorer. Full overgang til digitale løsninger og dermed kun elektroniske penger kan ut fra en beredskapsmessig synsvinkel gi økt sårbarhet ut fra dagens status for beredskapsløsningene.

Utvalget mener dette er et eksempel på en stor sårbarhet med digitalt utspring som Norge må ha beredskap for. At det eksisterer kontanter, gir i seg selv flere muligheter i en krisesituasjon. Finansdepartementet bør ta initiativ til å se på hvordan dette best kan løses, blant annet gjennom å se til andre lands håndtering av lignende utfordringer.

17 Helse og omsorg

Nødvendig helsehjelp og omsorgstjenester til befolkningen er en vesentlig og kritisk samfunnsfunksjon for å redde liv, behandle sykdom og gi bistand til dem som trenger hjelp til dagliglivets nødvendige gjøremål. Helsesektoren består av et omfattende antall virksomheter i både offentlig og privat sektor – cirka 17 000 virksomheter og cirka 300 000 ansatte. Sektoren er komplekst organisert i administrative styringsnivåer, ulike nivåer for helsehjelp, ulike grupper helsepersonell og flere forsknings- og kunnskapsmiljøer. Det siste tiåret har sektoren vært igjennom omfattende reformer når det gjelder organisering av helseforetak og senere omfordeling av oppgaver mellom spesialisthelsetjenesten (sykehus) og primærhelsetjenesten (kommunal helse- og omsorgstjeneste). Reformene er gjennomført ved flere særlover. Styring, herunder effektivitets- og sikkerhetsmål ved bruk av IKT, er også en vesentlig del av de gjennomførte og pågående reformene. Sammenlignet med andre land var Norge tidlig ute med å ta i bruk IKT på mange områder i helsesektoren.98

Dokumentasjonsplikt, taushetsplikt og behovet for tilgang til nødvendige opplysninger til helsehjelpsformål er grunnleggende krav som stilles til det omfattende antallet IKT-systemer i sektoren. Kombinasjonen av taushetsplikt, tilgjengelighet og korrekt informasjon stiller høye krav til opplysningskvalitet og informasjonssikkerhet i pasientjournalsystemene og til sikker bruk av infrastrukturen som formidler pasientopplysninger mellom virksomhetene. Helsedirektoratet arbeider med løsninger som skal sikre mulighet for elektronisk kommunikasjon mellom lege og pasient og gi pasienter tilgang til egne helseopplysninger.

Deler av utvalgets sårbarhetsbeskrivelse er basert på oppsummering fra workshop om digitale sårbarheter i helsesektoren, se elektronisk vedlegg «Digitale sårbarheter i helsesektoren (SINTEF)».

17.1 Infrastruktur

Infrastrukturen internt i sykehus kan være svært kompleks og består blant annet av systemer for pasientstyring (for eksempel elektroniske journaler), systemer for laboratoriestyring, radiologistyring, operasjonsstøtte og klinisk overvåking. Samtlige av disse består igjen av en rekke underliggende systemer. Oslo universitetssykehus oppgir at de anslagsvis har over 1 000 systemer.

Norsk Helsenett ble etablert i 2004 og fasiliterer blant annet et kommunikasjonsnett – helsenettet – som skal legge til rette for sikker utveksling av personopplysninger og kommunikasjon for øvrig. I tillegg skal selskapet levere basistjenester som støtter samhandlingen i hele helse- og omsorgssektoren. Norsk Helsenett eier ikke egen fiberinfrastruktur, men kjøper transmisjon fra tredjeparter, som Telenor. Med Neste Generasjons Kjernenett blir Broadnet leverandør av fiberinfrastruktur til helsenettet. Broadnet vil i tillegg til å benytte eksisterende fibernett etablere en ny infrastruktur for dette formålet.

Helsenettet er etablert for å sikre en felles standardisert infrastruktur for elektronisk samhandling i helse- og omsorgssektoren i Norge. Med et slikt nettverk blir det mulig å standardisere felles tjenester og sikkerhetsregimer.

Nasjonal kjernejournal, e-resept og IKT-systemer til støtte for pasientreiser er eksempler på nasjonale tjenester som tilbys gjennom helsenettet. Virksomheter som knytter seg til helsenettet, er forpliktet til å oppfylle kravene i Norm for informasjonssikkerhet i helsesektoren. Det er et krav at virksomheter som knytter seg til Norsk Helsenett, ikke har egen Internett-forbindelse fra sitt nettverk. Som medlem av helsenettet får virksomhetene tilgang til flere helseadministrative registre, blant annet Norsk Helsenetts adresseregister, Helsepersonellregisteret og Legestillingsregisteret. Norsk Helsenett administrerer på vegne av Skattedirektoratet en kopi av Folkeregisteret som sikrer medlemmene fri tilgang til relevante folkeregisterdata. Norsk Helsenett er forpliktet til å levere kommunikasjon 24/7.

Utbredelsen av helsenettet har vært i betydelig vekst. I 2014 inkluderte helsenettet over 2 500 helseaktører: offentlig og privat spesialisthelsetjeneste, nesten alle legekontorer, over 700 tannleger, alle norske kommuner, alle apoteker og de fleste av landets laboratorier og røntgeninstitutter. Norsk Helsenett har uttrykt en ambisjon om at alle som har behov for det, skal være tilknyttet helsenettet innen 2020. Samtidig ser de på muligheten for å kommunisere med utenlandske klinikker og sykehus som behandler norske pasienter.

Figur 17.1 Norsk Helsenett – dagens situasjon.

Figur 17.1 Norsk Helsenett – dagens situasjon.

Kilde: Norsk Helsenett.

På det meste går det 800 000 unike medisinske meldinger gjennom helsenettet i døgnet. Underleverandører til helsenettet må følge kravene i Norm for informasjonssikkerhet i helse- og omsorgstjenesten. Norsk Helsenett foretar en sikkerhetsvurdering før tilkobling innvilges, og i tillegg blir utstyr og tjenester levert av underleverandører testet for å forhindre uønsket eller skadelig funksjonalitet.

Boks 17.1 Neste Generasjons Kjernenett

Figur 17.2 

Figur 17.2

Kilde: Norsk Helsenett.

I forbindelse med Norsk Helsenetts innføring av Neste Generasjons Kjernenett er det lagt betydelig vekt på høytilgjengelig høykapasitetsnett. Bakgrunnen for det nye helsenettet er behovet for å øke kapasiteten i nettet og gjøre det mer robust. I tillegg er det avgjørende at Norsk Helsenett mer effektivt skal kunne implementere nye tjenester. Dagens infrastruktur tar for eksempel ikke høyde for innføringen av Nasjonal kjernejournal. Norsk Helsenett er i ferd med å etablere georedundante løsninger, og har tilgang til tre eller flere optiske bølgelengder i minst tre uavhengige føringsveier mellom Oslo, Bergen, Trondheim og Tromsø. Den overordnede arkitekturmodellen inkluderer fire datasentre, som alle er likeverdige og kan fungere som backup for hverandre. Infrastrukturen til Neste Generasjons Kjernenett vil være på plass i løpet av 2015. Deretter skal kundene fases over på det nye nettet.

I tillegg til de nasjonale tjenestene som tilbys av Norsk Helsenett, inngår en rekke IKT-systemer i primærhelsetjenesten (kommunehelsetjeneste, fastlegekontorer med videre) og spesialisthelsetjenesten (regionale helseforetak). En komparativ studie fra 2014 viser hvilke IKT-systemer som er i bruk i den enkelte helseregion, og hvilke moderniseringsplaner som foreligger frem mot 2018. Av studien går det frem at kategoriene pasientstyring, spesialistsystemer og digitale tjenester er høyt prioritert. Innenfor kategoriene helseovervåking og beredskap er det ikke planlagt modernisering i perioden.99

17.2 Roller og ansvar

Sykehusreformen organiserer og regulerer, med hjemmel i helseforetaksloven og spesialisthelsetjenesteloven, roller og ansvar for spesialisthelsetjenesten (sykehusene). Samhandlingsreformen stiller krav til samarbeid mellom kommune og stat, og helse- og omsorgstjenesteloven tildeler roller og ansvar i primærhelsetjenesten.

Helse- og omsorgsdepartementet (HOD) har det overordnede ansvaret for at befolkningen får gode og likeverdige helse- og omsorgstjenester, og har det strategiske ansvaret for IKT-utviklingen i helse- og omsorgssektoren.100 HOD har overordnet ansvar for informasjonssikkerhet og objektsikkerhet i helse- og omsorgssektoren og styrer de regionale helseforetakenes arbeid med beredskap og sikkerhet. HOD gir oppdrag til Helsedirektoratet angående myndighetsoppgaver knyttet til informasjonssikkerhet, og til Norsk Helsenett angående drift av HelseCSIRT (Computer Security Incident Response Team).

Helsedirektoratet er underlagt HOD og har et overordnet ansvar for at de nasjonale strategiene for elektronisk samhandling og standardisering blir fulgt opp og realisert. Ansvaret for etablering av flere nasjonale IKT-prosjekter, som nasjonalt meldingsløft, e-resept, helsenorge.no, automatisk frikort og kjernejournal, ligger også til Helsedirektoratet. Helsedirektoratet iverksetter IKT-tiltak som omfatter hele helse- og omsorgssektoren, og ivaretar en faglig og koordinerende rolle på vegne av hele sektoren overfor sektorovergripende felleskomponenter som for eksempel ID-porten.

Direktorat for e-helse opprettes 1. januar 2016 basert på divisjon e-helse i Helsedirektoratet. Direktoratet skal være fagdirektorat for Helse- og omsorgsdepartementet når det gjelder IKT-politiske spørsmål. Sentrale oppgaver vil være ledelse og styring av nasjonale oppgaver knyttet til premisser, standarder og retningslinjer innen IKT-området, herunder innspill til politikkutforming innen e-helse. Direktoratet vil også få i oppgave å utvikle, implementere og drifte nasjonale felleskomponenter.

De regionale helseforetakene (RHF) (Helse Vest, Helse Midt-Norge, Helse Nord og Helse Sør-Øst) er eid og styrt av Helse- og omsorgsdepartementet. RHF-ene styres gjennom årlig budsjettildeling over statsbudsjettet med tilhørende oppdragsbrev og har «sørge-for»-ansvar og tilretteleggingsansvar for at helseforetakene kan yte helsetjenester. I tillegg mottar RHF-ene styringsføringer fra politiske mål og strategier, også for IKT-området. Hvert av de regionale helseforetakene har etablert en felles IKT-tjenesteleverandør for sin region: Sykehuspartner (Helse Sør-Øst), Helse Vest IKT (Helse Vest), Hemit (Helse Midt-Norge) og Helse Nord IKT (Helse Nord). I en rapport fra Helsedirektoratet i 2015 fremmes en anbefaling om å etablere en helhetlig og felles nasjonal leverandørfunksjon for helse- og omsorgssektoren som kan sørge for anskaffelse, utvikling, drift og forvaltning av nasjonale fellesløsninger.101

Helseforetakene (sykehusene) representerer kjerneytelsen i spesialisthelsetjenesten, som er å gi adekvat helsehjelp poliklinisk og på døgnbasis. Helseforetakene er eid av RHF-ene, men er selvstendige rettssubjekter. Innen IKT er foretakene i stadig større utstrekning avhengige av RHF-enes IKT-enheter, som beslutter innkjøp, infrastruktur og drift av IT-systemene. Dette krever dialog og rapportering mellom foretaket og IKT-selskapet.

Primærhelsetjenesten dekker kommunale helse- og omsorgstjenester, som fastlege, sykehjem, legevakt med videre. Kommunenes ansvar for helse- og omsorgstjenester omfatter pasienter med behov for sammensatte og koordinerte tjenester, noe som krever involvering og kommunikasjon med flere kommunale enheter, samt med spesialisthelsetjenesten, i forbindelse med inn- og utskriving av pasienter. Kommunale helse- og omsorgstjenester har derfor et stort behov for sikker kommunikasjon. Kommunene følger nasjonale føringer og programmer for bruk og utvikling av IKT fra KS og Helsedirektoratet.

KommIT er et program for IKT-samordning i kommunesektoren. Hver kommune forvalter sine egne IKT-kjernesystemer, men enkelte samarbeider interkommunalt. Fastlegene er en del av den kommunale helsetjenesten, og har i svært stor grad sine egne IKT-systemer med liten eller ingen integrasjon med kommunenes IKT-systemer, med unntak av meldingsutveksling ved bruk av helsenettet.

Statens helsetilsyn har, sammen med Fylkesmannen, det generelle tilsynsansvaret i helsesektoren, og fører tilsyn med utførelse av helsehjelp og med helsepersonells skikkethet. Tilsynet fører også tilsyn med helseberedskapsloven og tilsyn i forbindelse med større uønskede hendelser.

Folkehelseinstituttet (FHI) er underlagt Helse- og omsorgsdepartementet og er en nasjonal kompetanseinstitusjon for myndigheter, helsetjeneste, rettsapparat, påtalemyndighet, politikere, media og publikum. Instituttets hovedoppgaver er helseovervåking, forskning, forebyggende helsearbeid og beredskap. FHI har ansvar for 10 av 17 sentrale helseregistre. De sentrale helseregistrene brukes til landsdekkende formål knyttet til helsestatistikk, beredskap, kvalitetsforbedring av helsetjenester, forskning, administrasjon og styring.

Norsk Helsenett SF er et statsforetak som styres med oppdragsbrev fra Helse- og omsorgsdepartementet. Oppdraget er å levere og videreutvikle en sikker, robust og hensiktsmessig nasjonal IKT-infrastruktur for effektiv samhandling mellom alle aktører i helse- og omsorgstjenesten, helsenettet. Norsk Helsenett utarbeider risikovurderinger for nye eller endringer av eksisterende tjenester, og gjennomfører en rekke sårbarhetskartlegginger i egen infrastruktur. Videre har de et opplegg for monitorering av løsninger og infrastruktur, både internt og i regi av HelseCSIRT.

Nasjonal IKT er spesialisthelsetjenestens hovedarena for samhandling innen informasjons- og kommunikasjonsteknologi. Det gjelder både samhandling innad i spesialisthelsetjenesten (mellom de ulike helseforetakene og de regionale helseforetakene) og samhandling med andre sentrale aktører, som kommunehelsetjenesten, Helse- og omsorgsdepartementet, Helsedirektoratet og Norsk Helsenett.

I tillegg kommer en rekke private aktører i helsesektoren. Flere av disse er tilknyttet Norsk Helsenett og/eller kjøper driftstjenester fra eksterne leverandører. Det er fragmenterte ansvarsforhold i helse- og omsorgssektoren, med mange selvstendige aktører som ikke er underlagt direkte statlig styring, unntatt gjennom lov.

17.3 Hjemmelsgrunnlag og tilsynsvirksomhet

Helsesektoren er sterkt lovregulert med bakgrunn i de store reformene som har vært førende siden helseforetaksreformen i 1999. Sektoren styres i stor grad av rettsregler fra 2000, med hyppige endringer og nye lover frem til i dag. Sentrale lovverk for helsetjenesten omfatter både organisering, beredskap, krav til ytelse av helsehjelp, herunder krav til å dokumentere helsehjelpen for senere bruk i pasientbehandlingen og for å kunne kontrollere at den helsehjelpen som ble gitt, var forsvarlig.

For bruk av IKT som verktøy i tjenestene er de mest sentrale lovene helsepersonelloven, pasientjournalloven, pasient- og brukerrettighetsloven, helseregisterloven og personopplysningsloven.

Lov om helsemessig og sosial beredskap (helseberedskapsloven) pålegger kommuner, fylkeskommuner og regionale helseforetak å utarbeide en beredskapsplan for de helse- og omsorgstjenestene eller sosialtjenestene de skal sørge for eller er ansvarlige for å tilby. Plikt til å etablere planverk fremgår også av spesialisthelsetjenesteloven, den kommunale helse- og omsorgstjenesteloven og folkehelseloven. Planplikten i helseberedskapsloven er utdypet i forskrift nr. 881 23. juli 2001 om krav til beredskapsplanlegging og beredskapsarbeid. Forskriften fastsetter at virksomheten gjennom risiko- og sårbarhetsanalyser skal skaffe en oversikt over hendelser som kan føre til ekstraordinære belastninger for virksomheten, og at det på bakgrunn av avdekket risiko og sårbarhet skal utarbeides en beredskapsplan. Verken loven eller forskriften nevner ekom eller IKT eksplisitt, men det forutsettes at dette er omfattet av pålegget om risiko- og sårbarhetsanalyser.

Lov om behandlingsrettede helseregistre, pasientjournalloven, regulerer adgangen til å registrere og bruke pasientenes helseopplysninger for å yte og administrere helsehjelp. Loven forener behovene for dokumentasjon til helsehjelpsformål og ivaretakelse av pasientenes krav på personvern. Lovens § 5 viser til at personopplysningsloven supplerer pasientjournalloven. For eksempel stilles det krav til informasjonssikkerhet i personopplysningsloven kapittel 2, som gjelder frem til HOD eventuelt benytter adgangen til å gi forskrift etter § 22 i pasientjournalloven.

Lov om helseregistre og behandling av helseopplysninger, helseregisterloven, gir hjemmel for å etablere helseregistre på tre forskjellige måter. Hvilken fremgangsmåte som skal benyttes, er avhengig av pasientens mulighet til å medvirke til å la seg registrere. Registre som må opprettes ved lov, omfattes av § 11, ved forskrift §§ 8 og 9 eller ved konsesjon fra Datatilsynet § 7. Datatilsynet har gitt konsesjon til cirka 20 nasjonale sykdomsregistre. Til nå er det lovvedtak for ni ulike helseregistre,102 og det pågår et arbeid for å etablere et nasjonalt register for primærhelsetjenesten, tilsvarende Norsk pasientregister for spesialist-helsetjenesten, som registrerer alle pasientbehandlinger ved landets sykehus. Personopplysningslovens regulering av informasjonssikkerhet gjelder for både helseregisterloven og pasientjournalloven.

Norm for informasjonssikkerhet i helse- og omsorgstjenesten, heretter kalt Normen,er utarbeidet av aktørene i sektoren med sikte på å sørge for implementering av rettslige krav til informasjonssikkerhet i den enkelte virksomhet og i sektoren generelt. Dette skal bidra til å etablere gjensidig tillit til at samtlige virksomheter behandler helse- og personopplysninger på et forsvarlig sikkerhetsnivå. Normen omsetter lovkravene til behandling av helseopplysninger til praktiserbare funksjonelle krav som skal sikre gjennomføring i IKT-systemene.

Normen er i samsvar med bestemmelser som omhandler konfidensialitet, opplysningsplikt, dokumentasjonsplikt, pasientenes rett til innsyn, med videre. Videre omfattes virksomhetenes systemansvar, som skal sikre at helsepersonell kan ivareta sine lovpålagte plikter, herunder taushetsplikten. Ved eventuell motstrid mellom Normen og de til enhver tid gjeldende lover eller forskrifter vil lov og forskrift gå foran Normen.

Tilsyn

Det finnes ikke et eget sektortilsyn for informasjonssikkerhet på helseområdet. Helsetilsynet har som tidligere beskrevet det generelle tilsynsansvaret i sektoren. De fører også tilsyn med helseberedskapsloven og utfører tilsyn i forbindelse med større uønskede hendelser. Datatilsynet som generell tilsynsmyndighet fører tilsyn med at behandlingen av helseopplysninger er i samsvar med regelverket i både pasientjournalloven, helseregisterloven og personopplysningsloven. For to av de lovregulerte helseregistrene, Norsk pasientregister og Hjerte- og karregisteret, fører Datatilsynet forsterket tilsyn. Det innebærer årlig rapportering fra registrene med oppfølging fra tilsynet. For medisinsk utstyr, elektromedisinsk utstyr inkludert, er tilsynsansvaret delt mellom Statens helsetilsyn / Fylkesmannen, Helsedirektoratet og Direktoratet for samfunnssikkerhet og beredskap – dels for ulike typer helseinstitusjoner og dels ut fra type medisinsk utstyr.

17.4 Beredskap og hendelseshåndtering

De overordnede kravene til beredskap for kommuner, fylkeskommuner og regionale helseforetak går frem av flere regelverk, som beskrevet i punkt 17.3 «Hjemmelsgrunnlag og tilsynsvirksomhet». Nasjonal helseberedskapsplan er et nasjonalt rammeverk for helsesektorens beredskap. Planen beskriver lov- og plangrunnlag, aktørene i helseberedskapen og deres rolle, ansvar, oppgaver og ressurser når det gjelder forebygging, beredskapsplanlegging, kriser og katastrofer, og utgjør grunnlaget for helsesektorens håndtering av alle typer kriser og katastrofer.103

Helse- og omsorgsdepartementet oppgir at IKT-hendelser var tema under Øvelse Østlandet 2013, der all infrastruktur ble utilgjengelig. Norsk Helsenett har også gjennomført flere øvelser.

Mange hendelser inntreffer som følge av manglende opplæring, holdninger og årvåkenhet. Det øves på nedetid av IKT-systemer, men som oftest ikke på redusert bemanning. Det er uttrykt at det trengs beredskapsplaner og øvelser med tanke på situasjoner der blant annet journalsystemer er ute av funksjon. Ifølge Norsk Helsenett anses nedetid på IKT-systemer ofte som mindre kritisk enn evnen til å yte helsehjelp i sektoren, noe som ofte gjenspeiles i beredskapsplanene. Ifølge Norsk Helsenett er dette et område som antas å få større oppmerksomhet i årene som kommer. Flere av de regionale driftsleverandørene har rapportert om IKT-hendelser som har medført utilgjengelighet i IKT-systemene og dermed redusert kapasitet til pasientbehandling i kortere perioder. Lav grad av standardisering og stor grad av arv av systemer medfører blant annet lang responstid når hendelser inntreffer.

HelseCSIRT104 ble etablert i 2011 og driftes av Norsk Helsenett. HelseCSIRT er helse- og omsorgssektorens nasjonale senter for informasjonssikkerhet. Senteret kan brukes av hele sektoren, og bistår blant annet de regionale helseforetakene ved IKT-hendelser. HelseCSIRT skal bidra til økt kompetanse om IKT-trusler og beskyttelsesmekanismer og kontinuerlig holde øye med trafikken i helsenettet. Målet er å forebygge, avdekke og håndtere trusler mot sikkerheten. Senteret er et viktig verktøy for å ivareta informasjonssikkerheten og kartlegge sårbare systemer i sektoren. Støtten HelseCSIRT gir de regionale helseforetakene og driftsleverandørene, blir betraktet som svært nyttig av sektoren. Det er likevel avgjørende for en effektiv håndtering at det er tilstrekkelig sikkerhetskompetanse til stede lokalt.

HelseCSIRT har et eget sensornettverk, Nasjonalt beskyttelsesprogram for helse- og omsorgssektoren (NBP). NBP består av sensorer plassert i helsenettet som oppdager uønskede hendelser og uønsket trafikk ved at all trafikk skannes i sanntid. Det er etablert varslingsrutiner for å informere deltagerne i beskyttelsesprogrammet om hendelser, trusler og sårbarheter. Per 1. oktober 2015 var det utplassert 26 sensorer på sentrale steder i helsenettet.

HelseCSIRT er tilknyttet Varslingssystem for digital infrastruktur (VDI), og samarbeider med NSM NorCERT og øvrige sektorvise CERT-er i Norge. Norsk Helsenett har et forpliktende samarbeid med alle aktører som er tilknyttet helsenettet, og gjennom Nasjonalt beskyttelsesprogram (NBP).

Boks 17.2 Økende utfordringer knyttet til løsepengevirus i helsesektoren

I helsesektoren har det vært hendelser knyttet til løsepengevirus som krypterer filene lokalt og på nettverksområder som det får tilgang til, og der trusselutøveren i etterkant krever bitcoins som løsepenger for å dekryptere filene. Helse Sør-Øst har opplevd til dels alvorlige hendelser der flere hundre tusen filer har blitt kryptert i én og samme infeksjon. Dette har medført at dokumenter, databaser eller andre filer på delte filområder har blitt uleselige, og at personell som har blitt rammet av dette – noen ganger i flere timer – ikke får tilgang til ressurser for å utføre arbeidsoppgavene sine. Ved et annet tilfelle ble et registreringssystem tilknyttet sykehusets blodbank rammet.

Konsekvensen av løsepengevirusene i Helse Sør-Øst har i betydelig grad blitt mitigert av gode manuelle rutiner for kontinuerlig drift, mens det på teknisk nivå har vært implementert god enterprise-backup. Likevel har angrep ført til at produksjon i forskjellige deler av helseforetaket midlertidig har stoppet opp, frem til filområdene som er blitt kryptert, er blitt gjenopprettet fra frisk backup. Filer som har blitt opprettet eller endret i tidspunktet mellom siste backup og kompromittering fra løsepengeviruset, har måttet gjenopprettes manuelt.

Ingen av løsepengevirusene ved Helse Sør-Øst har medført noen direkte fare for liv eller helse. Likevel har løsepengevirusene i stor grad vist hvor viktig det er med sikkerhetskontroller som sikkerhetsoppgraderinger, beskyttelse mot ondsinnet kode, logganalyse og deteksjon, og hvilket skadepotensiale mer destruktive ondsinnede virus kan ha innenfor sektoren.

Det finnes ingen rapporteringsplikt om IKT-hendelser i helsesektoren. De regionale helseforetakene rapporterer inn til HelseCSIRT ved behov for støtte, men det er ingen fast sentral rapportering. Etter HelseCSIRTs mening er det behov for tydeligere krav til rapportering. Figur 17.3 viser statistikk fra HelseCSIRT knyttet til hendelser og sårbarheter de har registrert og varslet sektoren om.

Figur 17.3 Hendelser og sårbarheter varslet fra HelseCSIRT.

Figur 17.3 Hendelser og sårbarheter varslet fra HelseCSIRT.

Kilde: Norsk Helsenett.

Kompromitterte klienter er klienter der HelseCSIRT med sikkerhet vet at det er kjørt ondsinnet kode og klienten kommuniserer eller forsøker å kommunisere med en ekstern maskin. Dette tallet viser hvor mange varsler som er sendt ut til aktører som er innrullert i Nasjonalt beskyttelsesprogram angående slike hendelser. Klienter som mistenkes å være kompromittert, men der HelseCSIRT ikke kan bekrefte det med 100 prosent sikkerhet, er ikke med i statistikken. Sårbarheter i programvare omfatter antall varsler HelseCSIRT har sendt ut angående sårbarheter i programvare som er utbredt i sektoren. Et slikt varsel kan inneholde varsler om mange sårbarheter i forskjellige typer programvare. Varsler om sårbarheter i eksponerte tjenester refererer til antall sårbare tjenester HelseCSIRT har oppdaget i sektoren. Flere sårbarheter i én tjeneste teller som én. Et varsel vil typisk inneholde varsel om flere sårbare tjenester.

Norsk Helsenett etablerte høsten 2015 et nasjonalt kompetanseforum for å dele kompetanse og erfaringer på tvers av regioner. HelseCSIRT vil fungere som fasilitator for denne møtearenaen. I tillegg finnes det ulike regionale samarbeidsstrukturer innen informasjonssikkerhet og beredskap.

17.5 Digitale sårbarheter i helsesektoren

Det er mange avhengigheter mellom aktørene i helsesektoren. Sentrale utfordringer er tilgjengelighet av IKT-systemer og beredskap mot nedetid. Helsevesenet har så små marginer at liv kan gå tapt som følge av bortfall av IKT. Det finnes visse manuelle rutiner og muligheter for utskrifter på papir som gjør at sykehusene kan opprettholde driften noen timer, men ikke dager. Sektoren består av mange selvstendige aktører og systemer og lite teknisk integrasjon.

Medisinsk-teknisk utstyr er på vei inn i private hjem, og påliteligheten til dette utstyret kan variere. Fremover vil private hjem i større grad være behandlingsstedet, og dette innebærer nye sårbarheter. Infrastrukturen er privateid og kanskje delt med mange private og offentlige aktører, eksempelvis leverandører av helsetjenester, vaktselskaper, strømleverandører med flere. Dette gir et uoversiktlig bilde med mange ulike tjenesteleverandører, i tillegg til data som skal integreres og lagres. Økt bruk av privat utstyr for medisinsk personell og pasienter er én problemstilling, konsekvensene av «det utvidede legekontoret» som blir brakt hjem til folk, en annen.

17.5.1 Avhengighet av elektronisk kommunikasjon og øvrige infrastrukturer

Helsesektoren er svært sårbar for bortfall av elektronisk kommunikasjon (ekom), energi og vannforsyning. Avhengigheten av vann og avløp er stor, og sykehus må stenge etter få timer om dette bortfaller. Tilgjengelig ekom er nødvendig for de fleste tjenestene og fremheves som en av de største sårbarhetene. Nødvendige kommunikasjonskanaler for å tilkalle helsepersonell, kommunikasjon mellom sykehusene og mellom sykehus og fastleger vil stoppe opp. I de fleste tilfeller er for eksempel tilgang til pasientjournaler avhengig av fungerende IKT-systemer. Uten pasientjournaler vil det være svært vanskelig å opprettholde en forsvarlig drift. Akuttfunksjonene vil imidlertid kunne fortsette å behandle pasienter selv om den digitale samhandlingen opphører.

Boks 17.3 Massiv IKT-svikt ved Ahus

I juni 2011 førte en feil i en svitsj til at hele Akershus universitetssykehus (Ahus) var uten telefoni- og datatilgang i 14 timer før feilen ble rettet. All telefoni på sykehuset er IP-basert og falt dermed ut – både internt og eksternt – siden både telefoni og data ligger på samme fysiske WLAN-løsning. De ansatte kunne benytte private mobiltelefoner, men alle relevante telefonnumre lå på et ikke-fungerende datasystem. Det gjorde også kriseplanen, som det ikke fantes papirkopi av. Også laboratorietjenester, medisin- og journaltilganger ble rammet, da tilgang til disse tjenestene er avhengig av samme IKT-system. Konsekvensen av hendelsen var blant annet at det tok fire og en halv time å hente ut medisiner til pasientene, og at journaler måtte skrives ut ved å koble en printer rett på en server, noe som også tok lang tid. Mellom 10 og 20 pasienter måtte overføres til andre sykehus, og det var ikke mulig å ta inn nye akuttpasienter. Hendelsen fikk ingen direkte konsekvenser for liv og helse.

I DSBs nasjonale risikobilde for 2014 synliggjøres det hvilke konsekvenser for liv og helse det vil ha dersom ekomtjenester skulle falle bort i fem døgn. Det anslås blant annet at 50 flere enn normalt vil dø som følge av at det ikke er mulig å ringe etter ambulanse og varsle nødetatene ved akutte hendelser. I tillegg regner man med 200–300 alvorlige skadde og syke som følge av utsatt behandling eller feilbehandling. Det er imidlertid stor usikkerhet knyttet til anslagene, ettersom sektoren hittil ikke har erfart slike langvarige bortfall. Bortfall av ekom vil også kunne medføre mangelfull kommunikasjon og koordinering mellom nødetatene, ettersom Nødnett bare fungerer lokalt. For nærmere omtale av Nødnett, se kapittel 20 «Styring og kriseledelse».

Digitale kjølesystemer er viktig for drift av sykehus. Slike systemer styres over nettet og er dermed sårbare for angrep og hendelser. Dersom man mister evnen til å kontrollere temperaturen i et sykehus, vil det gå ut over evnen til å behandle pasienter.

Boks 17.4 Tidligere påpekte mangler

I selskapskontrollen for 2013 påpekte Riksrevisjonen følgende mangler ved helseforetakenes beredskap innen IKT, vann og strøm:1

  • Helseforetakene mangler eller har mangelfulle risiko- og sårbarhetsanalyser og beredskapsplaner for IKT, vann og strøm.

  • Helseforetakene gjennomfører få øvelser i forbindelse med innsatsfaktorene vann, strøm og IKT.

  • Ledelsen i helseforetakene følger i liten grad opp beredskapsarbeidet.

  • Helse- og omsorgsdepartementet og de regionale helseforetakene har lagt til rette for beredskapsarbeidet, men oppfølgingen har vært svak.

1 Riksrevisjonen (2014): Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013, Dokument 3:2 (2014–2015).

Helse- og omsorgsdepartementet understreket i etterkant av Riksrevisjonens rapport at det skal foreligge konkrete beredskapsplaner for bortfall av IKT, vann og strøm i alle helseforetakene. Planene skal testes ved reelle hendelser, og også inngå i regionale og nasjonale fellesøvelser. I tillegg må beredskapsplanene ta høyde for ekstreme hendelser eller hendelser som oppstår svært sjelden.105

17.5.2 Infrastruktur og tjenester

Det gjennomføres sikkerhetstesting i helsenettet for å avdekke eventuelle svakheter i infrastrukturen. I 2013 gjennomførte Norsk Helsenett 19 sikkerhetsrevisjoner fordelt på 13 kommuner, to helseforetak og fire tredjepartsleverandører. Ifølge Norsk Helsenett har disse testene gitt gode resultater, og påviste avvik er lukket.

Det ligger en generell sårbarhet i IKT-tjenester som ikke er høytilgjengelige, og som kjører fra kun én bestemt geografisk lokasjon. Dette medfører at tjenestene kan bli utilgjengelige i enkelte landsdeler, og at tjenestene som sådanne kan bli redusert eller lammet på grunn av infrastruktursvikt som følge av ulykker, ekstremvær eller andre utilsiktede hendelser. Flere av disse tjenestene mangler i dag automatiske og velprøvde muligheter for reservelegging og parallelldrift. Som beskrevet i punkt 17.1 «Infrastruktur» er det satt i gang et arbeid med et nytt høytilgjengelig høykapasitetsnett. Det strategiske målet er at kjernetjenestene – fra et brukerståsted – skal være 100 prosent tilgjengelige, gitt at brukeren har kontakt med helsenettet.

Ifølge Norsk Helsenett fremstår tilknytningsløsningene til helsenettet, spesielt for mindre organisasjoner som legekontorer, tannlegekontorer og mindre kommuner, som uhensiktsmessige og unødig kostbare. De har derfor utviklet en enklere, men like sikker, tilknytning til helsenettet som gir kundene større frihet i valg av nettleverandør.

Erfaring viser at IKT-utstyr i sektoren ofte er utenfor support og ikke lar seg oppdatere. Utfasing og sanering av systemer kan være krevende. I tillegg påpekes det som en sårbarhet at oppdateringer tar tid, siden disse må testes på infrastrukturen først. Et stort antall eldre IKT-systemer i sektoren er utviklet uten evne til å beskytte seg mot trusler fra nettet, direkte eller indirekte, og utgjør dermed en sikkerhetsrisiko. Dette krever særskilte sikringstiltak som gjerne øker kompleksiteten i totalsystemet, noe som igjen bidrar til å gjøre systemene mindre pålitelige og robuste. I flere risikovurderinger fra helseforetakene fremgår det at det er et høyt antall kritiske feil i flere IKT-applikasjoner.

Stor grad av variasjon i tekniske løsninger medfører utfordringer for meldingsutveksling mellom helseforetakene og primærhelsetjenesten. Dette er også tidligere påpekt av Riksrevisjonen.

Helsetilsynet kjenner til eksempler på at henvisninger og prøvesvar er blitt borte, noe som kan forårsake forsinket diagnostisering av alvorlige tilstander. Svikt i elektroniske systemer og/eller menneskelige feil er påpekt som mulige årsaker. Helsetilsynet har sammenlignet arbeidsmetodene i Norge med måten svenske myndigheter analyserer sine situasjoner på. Det går frem av sammenligningen at den svenske havarikommisjonen blant annet legger større vekt på å «avdekke mulig svikt i teknisk utstyr som kan ha hatt betydning for hendelsen, enn det som er praksis i Norge».106

Elektronisk pasientjournal (EPJ) er avhengig av kommunikasjon mellom mange systemer og omfatter pasientinformasjon som for eksempel røntgenbilder, laboratoriesvar og annen pasientdokumentasjon. Alle landets sykehus og de fleste allmennleger har installert EPJ-systemer, og det foregår en gradvis overgang fra papirjournaler til elektronisk lagrede journaler. Det er ikke entydig om man for eksempel i forbindelse med fritt sykehusvalg på en enkel måte eller automatisk kan ta med egne data fra ett sykehus til et annet.

I Meld. St. 9 (2012–2013) Én innbygger – én journal påpekes det blant annet at de teknologiske mulighetene elektronisk pasientjournal gir, ikke blir utnyttet. Dette begrunnes blant annet med at det er mange selvstendige aktører og mange systemer. Det pågår et omfattende arbeid som følge av denne stortingsmeldingen, og det foreligger ulike konsepter. Valget av konsept vil skje i løpet av 2015.

Hensiktsmessig tilgangsstyring og sporing av brudd på taushetsplikt er utfordrende. Riksrevisjonen har påpekt følgende: «Ansatte i helseforetak har tilgang til helseopplysninger utover tjenestebehov, og kontrollen av tilganger til elektronisk pasientjournal er mangelfull.» Én av årsakene som oppgis, er at helseforetakene ikke i tilstrekkelig grad har implementert gjeldende regelverk om informasjonssikkerhet og behandling av helseopplysninger.107 Det pågår imidlertid et systematisk arbeid i de regionale helseforetakene for å rette opp dette. Samtidig må det erkjennes at dette er et vanskelig område fordi det er svært mange ulike systemer med innbyrdes ulike oppsett.

Boks 17.5 Digitale sårbarheter på tvers av sektorer og bransjer

Vi omgir oss med elektronikk, digitaliserte styringssystemer og apper. Store internasjonale selskaper leverer industrikontrollsystemer og medisinsk-teknisk utstyr til en rekke bransjer globalt, inklusiv norske virksomheter. Forskning har vist at samme type sårbarheter går igjen i industrikontrollsystemer og i medisinsk-teknisk utstyr på tvers av bransjer.

Forskerne testet blant annet røntgenmaskiner ved hjelp av fuzzing1 og sjekket ut en app som leger kan bruke for å overvåke pasienter. Appen viste seg å dele en konto på App Store, noe som viser at det ikke har vært tenkt mye på sikkerhet, mens det medisinsk-tekniske utstyret hadde innebygde hardkodede passord som representerte sårbarheter. Slike innebygde passord i programvare blir brukt til intern eller ekstern autentisering av enheter og programmer og representerer digitale sårbarheter som kan utnyttes. Hardkodede passord er vanskelige å oppdage av systemadministratorer og vanskelige å rette opp hvis de blir oppdaget.2 Sårbarhetene viste seg i produkter som benyttes til operasjoner, anestesi, ventilatorer, medisinpumper, pasientovervåking, laboratorieanalyse og hjertestartere. Totalt gjaldt dette 300 medisinske enheter og 40 leverandører.

1 En testteknikk innenfor programvareutvikling.

2 CWE-259: Use of Hard-coded Password.

17.5.3 Styring og samhandling

Erfaring viser at mange uønskede IKT-hendelser i helsesektoren skyldes underleverandører, blant annet feil på strømleveranse og brudd på kommunikasjonslinjer. Tre av de regionale helseforetakene har rapportert til Lysneutvalget at henholdsvis 17–20 prosent, 26 prosent og 50 prosent av hendelsene skyldes svikt hos underleverandører. Ett av helseforetakene oppgir at de ikke har oversikt over dette. Norsk Helsenett anslår at omkring 80 prosent av større uønskede IKT-hendelser innenfor deres ansvarsområde er forårsaket av underleverandører. En stor andel av disse skyldes kommunikasjonsbrudd som har rammet større eller mindre grupper av kundene.

Flere av de samme utfordringene kommer også til uttrykk i en rapport fra Gartner i 2014, der det konkluderes med at norske og nordiske IKT-leverandører ikke leverer den funksjonaliteten som er påkrevd.108 Det er store forskjeller mellom de regionale helseforetakene med hensyn til løsninger og valg av teknologi, og det er ingen felles prosess for samordning av krav til leverandører. Helsedirektoratet har imidlertid i en rapport fra 2015 foreslått en rekke virkemidler for å styrke gjennomføringsevnen for IKT-utvikling i helse- og omsorgssektoren og for å redusere disse sårbarhetene.109

Kommunene i samspill med leverandører og sektoren. Manglende virksomhetsstyring når det gjelder digitalisering og IKT-utvikling, vil kunne medføre «skygge-IKT», det vil si IKT-prosjekter som etableres med manglende kontroll i virksomhetene. Ifølge Ikomm er det vanskelig å finne gode digitaliseringsstrategier både i kommunene og i helse- og omsorgssektoren for øvrig. Manglende digitalisering kan også i mange tilfeller være en digital sårbarhet – for eksempel ved at det blir innført elektroniske verktøy uten at arbeidsprosesser endres eller gevinstene ved investeringen hentes ut. En uheldig konsekvens av manglende digitalisering og manglende utnyttelse av digitale verktøy kan være svekket pasientsikkerhet.

Helsepersonell har et stort behov for effektive og funksjonelle IKT-systemer, noe som er uttrykt i flere rapporter. Flere av dagens systemer er tungvinte for brukerne, for eksempel ved at de har lang innloggingstid og lite strukturerte pasientjournaler. En suksesshistorie som skiller seg ut med hensyn til involvering av helsepersonell i utviklingsarbeidet, er innføringen av e-resept og utarbeidelsen av Norm for informasjonssikkerhet. Norm forinformasjonssikkerhet blir i hovedsak ansett som et godt tiltak for sektoren. Likevel oppleves enkelte forslag til tiltak som utdaterte, og det etterlyses mer konkrete forslag til hvordan man skal forholde seg til IKT-sikkerhet. For de minste helseforetakene oppleves normen som for omfattende, noe som medfører at de ikke har ressurser til å følge den opp.

Helsesektoren er gjenstand for et stort antall revisjoner og utredningsarbeider. Flere har uttrykt bekymring over all tiden som går med til å svare på henvendelser, noe som fører til økt sårbarhet for personellet, ettersom mindre tid benyttes direkte til primæroppgavene, nemlig å yte helsehjelp.

Flere aktører etterlyser en sterkere styring fra Helse- og omsorgsdepartementet når det gjelder digitalisering av helsesektoren. Aktørene er videre bekymret for at informasjon fra HOD og Helsedirektoratet ofte ikke når frem til de relevante miljøene i helseforetakene, eller at informasjonen kommer for sent frem til at man rekker å svare på den.

I alle sektorer finnes kommunikasjonsutfordringer mellom IKT-ansvarlig personell og personell som er ansvarlig for sektorens primæroppgaver. Innen helsesektoren er dette spesielt fremhevet. Uheldige beslutninger som følge av manglende forståelse for hverandres ansvarsområde og arbeidshverdag er påpekt av flere aktører i sektoren.

Det kommer også frem at det er utfordringer knyttet til kommunikasjon med andre helseaktører, for eksempel når det gjelder utvikling og bruk av fellesløsninger, elektronisk meldingsutveksling, tilgangsstyring og så videre. I tillegg klarer ikke de tekniske systemene å ivareta de kravene lovene stiller til behandling av helseopplysninger, i tilstrekkelig grad.

17.5.4 Kompetanseutfordringer når det gjelder IKT-sikkerhet

Behovet for opplæring anses som viktig, da det er mye turnover i sektoren. Det har blitt nevnt at helsepersonell sliter med å forstå systemer, blant annet på grunn av økende kompleksitet. Som et eksempel nevnes utfordringer ved at brukerne ikke forstår konsekvenser av handlinger med bruk av verktøy. Ulik bruk av verktøy medfører varierende datakvalitet.

Norsk Helsenett har uttrykt at nærheten til teknologimiljøet i Oslo og Tromsø, og i Trondheim spesielt, har vært avgjørende for å rekruttere og beholde teknisk sikkerhetskompetanse i organisasjonen, inkludert HelseCSIRT. Høy kompetanse, både på overordnet og detaljert teknisk nivå, er svært kritisk for evnen til å forebygge og håndtere uønskede IKT-hendelser. Som andre sektorer rapporterer enkelte av de regionale helseforetakene at det er utfordringer med rekruttering av IKT-sikkerhetskompetanse, og at kompetansebehovet stadig øker.

Som nevnt i blant annet kapittel 15 «Vannforsyning» og 20 «Styring og kriseledelse» er det en betydelig svikt i sikkerhetskunnskap i kommunene. Et eksempel er en dagsaktuell sak knyttet til at en eksisterende PKI-leverandør endret rot-sertifikatet sitt, noe som satte et stort antall legekontorer ut av spill, da de ikke var i stand til å oppdatere dette hos seg selv.

Få akademiske miljøer i Norge forsker på IKT i helsesektoren (helseinformatikk). Samtidig er det i liten grad forskning på konsekvensene av de IKT-tiltakene som innføres, og store IKT-prosjekter blir i liten grad evaluert. Det er uttrykt et behov for en mer akademisk tilnærming til helseinformatikk, i tillegg til at det trengs mer forskning på dataflyt, dataeierskap og tilgangsstyring. Det blir etterlyst en tettere involvering av helsepersonell, slik at de som har forståelse for arbeidsprosesser, strukturering av informasjon, og så videre, inkluderes.

Små og mellomstore private helseforetak har ofte begrensede ressurser til IKT-drift, og mange har lagt for liten vekt på å utarbeide og implementere styringssystemer for informasjonssikkerhet. Mange mindre helsevirksomheter har servere stående i eget hus, og de mangler ofte gode backup-rutiner. De er også svært sårbare når det gjelder kompetanse i egen IKT-drift. Ikomm mener det er behov for at systemeierne og virksomhetsledelsen i større grad tar grep om informasjonssikkerhet og digitalisering i egen virksomhet og ikke lar dette være opp til IKT-ansvarlig eller systemansvarlig å håndtere.

En mulig sårbarhet som kan oppstå, er at klinisk skjønn «digitaliseres bort» som følge av heldigitaliserte helsesystemer (for eksempel strukturerte pasientjournaler). At all informasjon er tilgjengelig ved hjelp av noen få tastetrykk, vil kunne medføre at den diagnostiske, analytiske kompetansen som leger i dag bygger opp, blir borte. Risikoen for at utredningen av pasienter ikke blir god nok fordi pasienten ikke passer inn i en standard sjekkliste, kan oppstå. På den annen side kan innebygget sikkerhet, det vil si at datasystemene «spør mer» og kontrollerer at tiltak er gjennomført, være en støtte for forsvarlig pasientbehandling.

17.5.5 Særskilte personvernutfordringer

Helsesektoren er av åpenbare grunner avhengig av å benytte helserelaterte personopplysninger når de yter helsehjelp til pasienter. I dag er de fleste pasientjournaler elektroniske. Helseopplysninger er juridisk klassifisert som sensitive personopplysninger, jf. personopplysningsloven § 2. Styring av hvilket personell som skal ha tilgang til opplysningene, er et viktig tiltak for å beskytte pasientenes helseopplysninger mot innsyn fra personell som ikke har tjenestebehov for opplysningene.

Mangelfull styring av tilgang er en problemstilling som sist ble påpekt av Riksrevisjonen i 2013, og som tidligere er påpekt i forbindelse med Datatilsynets kontroll av flere sykehus i 2008. Det er imidlertid viktig å bemerke at etablering av en forsvarlig tilgangsstyring i sykehusene er spesielt krevende, selv om det ikke kan frita for å etablere tilgangsstyring i samsvar med lovgiverens krav. I korthet omfatter kravene respekt for at pasienten i fortrolighet må formidle nødvendige opplysninger til behandlende helsepersonell for å kunne få helsehjelp, og respekt for helsepersonells taushetsplikt.

Kontroll i ettertid av logger som viser hvordan helsepersonell aksesserer personopplysninger, kan ha preventiv effekt, men kan ikke veie opp for manglende forebyggende tiltak i form av bedre styring med tilgangskontrollen.

Samhandlingsreformen og planen om å realisere «én innbygger – én journal» gjør at den enkelte pasients opplysninger blir tilgjengelige for flere grupper av helsepersonell. En betydelig utvidelse av grupper av helsepersonell som skal ha tilgang til pasientjournaler, understreker viktigheten av en forsvarlig tilgangsstyring som er i samsvar med helsepersonells taushetsplikt, og som tar vare på tillitsforholdet mellom pasient og behandler.

Det er flere nasjonale helseregistre som er basert på helsepersonells plikt til å rapportere helseopplysninger fra en pasients journal. Helseregistrene benyttes for sekundære formål, for eksempel til forskning og styring av helsesektoren. Når det ikke skal ytes helsehjelp, er behovet for å kunne identifisere den enkelte pasient annerledes enn i en helsehjelpssituasjon. I helseregistrene er det fullt mulig å beskytte pasientenes identitet ved hjelp av ulike former for anonymisering, men dette er i liten grad sørget for.110 At det overveiende flertallet av helseregistre som ikke er knyttet til konkret pasientbehandling, er basert på full identifikasjon av den enkelte pasient, kan se ut til å stride mot det som anses nødvendig. Det skal likevel fremheves at et av de store registrene, Norsk pasientregister, har etablert en forsvarlig forvaltning av pasientenes identitet, der denne behandles både teknisk og fysisk isolert fra helseopplysningene.

Personvernkommisjonen viet helsesektoren mye oppmerksomhet og foreslo et moratorium for opprettelse av nye helseregistre frem til de eksisterende registrene var gjennomgått og utredet. Kommisjonen anbefalte å vurdere pseudonymisering av pasientenes identitet i registrene.111 Kommisjonens forslag er ikke tatt til følge, og det er opprettet ytterligere nasjonale helseregistre. Et nytt nasjonalt helseregister over alle pasienter i primærhelsetjenesten er nå under utvikling. Dermed er enhver medisinsk konsultasjon og behandling av den enkelte pasient i befolkningen kartlagt. Summen av helseopplysninger om befolkningen fra fødsel til død blir dermed altomfattende, og ethvert sykdomsforløp hos enhver pasient kan spores i registrene.

Høsten 2013 gjennomførte Datatilsynet 15 brevkontroller av fastleger, spesialister og helseforetak som utleverer helseopplysninger til de sentrale helseregistrene. En forutsetning for pasientenes mulighet til å ivareta sitt personvern er at de blir informert om at helseopplysningene om dem videreformidles slik regelverket krever. Kontrollene viste at pasienten generelt ikke blir informert om at helseopplysninger blir utlevert til sentrale helseregistre som for eksempel Norsk pasientregister og Kreftregisteret.

Boks 17.6 GE-sakene

I Personvernnemdas årsmelding fra 2013 går det frem at mange av de sakene som har vært prinsipielle, angår helsesektoren. Et eksempel fra 2013 er de såkalte GE-sakene, der situasjonen var at en type medisinsk utstyr som flere sykehus benyttet til diagnostisering av pasienter, var tilknyttet nettet. Gjennom nettet kunne GE i USA, som drev service på maskinen, hente ut norske personopplysninger. Det at maskiner er tilknyttet nettet på denne måten, vil antagelig bli mer vanlig fremover. Det var ingen som var klar over at personopplysningene ble sendt til USA, det skjedde automatisk. Da GE selv oppdaget overføringene, ble de norske sykehusene orientert, og spørsmålet var da om man skulle orientere pasientene om hva som hadde skjedd, eller ikke. Datatilsynet fattet vedtak om at de berørte pasientene skulle informeres om hendelsen. Flere av sykehusene ønsket ikke dette og klaget saken inn for avgjørelse i Personvernnemnda. Nemndas flertall konkluderte med at det forelå rettslig grunnlag for å pålegge sykehuset en informasjonsplikt. Rettslig sett var situasjonen at det ville foreligget en informasjonsplikt overfor pasientene dersom sykehuset på forhånd hadde vært klar over at dataene ville bli overført til USA, og det ville være en lite balansert situasjon dersom en tilsvarende informasjonsplikt ikke forelå når overføringen skjedde i strid med avtale med sykehuset. Et av hovedprinsippene innen personvern er retten til å kontrollere opplysninger om seg selv, og hvis det ikke er mulig, vite hvordan opplysninger om en selv blir behandlet. Nemnda antok at den teknologiske utviklingen gjør at lignende situasjoner kan tenkes å oppstå på flere samfunnsområder fremover, og at saken kan få betydning også for disse.

En særskilt problemstilling innen helsesektoren er den teknologiske muligheten som foreligger til å lagre hele gensekvensen til enkeltindivider. Når dette skrives er det begrenset hvilke egenskaper ved personen det er mulig å lese ut fra en slik sekvens. Likevel foregår det en betydelig utvikling på dette området, og man bør utvise varsomhet når det gjelder tillatelse til innsamling, lagring og bruk av slikt materiale. Det er anerkjent at dette er spesielt sensitiv informasjon, og at den derfor må forvaltes slik at den ikke blir misbrukt. Vi har idag et strengt regelverk for bruk av genetiske analyser til behandlingsformål i helsetjenesten,112 og utredningen av et nytt regelverk pågår. Bruk av biologisk materiale har skapt internasjonale debatter, og det er vedtatt konvensjoner113 som også Norge har forpliktet seg til å følge.

Utfordringer knyttet til velferdsteknologi i en personvernkontekst

Velferdsteknologi kan være inngripende overfor enkeltindividet ettersom teknologien kan innebære en omfattende kartlegging av den enkeltes privatliv, men dette avhenger av hvordan teknologien fungerer, og hvordan den settes opp. I mange tilfeller vil teknologien og bruken av dataene den generer, berøre personvernet.

I tillegg til de ordinære helsetjenestene samler en rekke andre næringsaktører inn helseopplysninger via apper. Hjemmelsgrunnlaget overfor pasienten er ofte en avtale der brukeren samtykker til bruken av opplysningene. En undersøkelse av apper som Datatilsynet foretok i mai 2015, viser at to tredjedeler av alle apper ber om tilgang til personopplysninger, uten å informere om hva opplysningene skal brukes til, og hvorfor de samles inn. Dette er problematisk. Flere aktuelle saker viser at eksempelvis Google og andre aktører kan bygge opp helseinformasjon om enkeltpersoner, basert på den enkeltes søk på Internett. En undersøkelse fra 2015 viste at over 90 prosent av helserelaterte nettsider initierer http-forespørsler til en tredjepart.114

Gratistjenester som måler treningsaktivitet og helsetilstand, er attraktive, men brukeren «betaler» ofte med personlige data som kan brukes i reklame og til andre formål. Det kan imidlertid være uoversiktlig for den jevne nettbrukeren å vite hvor helsedataene befinner seg, om de lagres trygt og sikkert, hvem som har tilgang til dem, og hva de eventuelt brukes til. Som vist til i Datatilsynets undersøkelse, er det en risiko for at informasjonen brukes til andre formål enn brukeren opprinnelig ga tillatelse til. Det kan også være vanskelig å få slettet dataene, fordi den enkelte sjelden har oversikt over alle aktørene dataene er delt med.

I sum er det høyst betenkelig at helsetjenestene og næringsaktører ikke alltid informerer pasienter og brukere om hvordan opplysningene deres videreformidles og behandles for nye formål. Det kan være fare for at økende høsting av helseopplysninger kan undergrave den nødvendige tilliten til helsetjenestene og føre til at deler av befolkningen unngår å oppsøke det alminnelige helsehjelpstilbudet. Alternativt kan det føre til at det oppstår et «grått» marked for behandlingstilbud som unnlater å registrere pasientene eller fører «skyggejournaler» som ikke rapporterer til de lovpålagte registrene.

Dagens systemer (IKT-systemer, organisering og kompetanse) har åpenbare mangler når det gjelder å understøtte innbyggernes rett til personvern. Helsepersonell gis for omfattende tilgang i forhold til hva de reelt sett har tjenstlig behov for. Det er avdekket store mangler i logging av tilganger som gis, hvilket gjør det vanskelig å gjennomføre etterkontroller for å avdekke urettmessig tilegning av opplysninger. Det er implementert for lavt sikkerhetsnivå i henhold til Normen på noen av de mest brukte digitale innbyggertjenestene i dag. Dette øker risikoen for at uvedkommende får tilgang til helseinformasjonen.115

På den annen side gir digitalisering muligheter for styrket personvern, og disse mulighetene må utnyttes. Selv om dagens løsninger og dagens rutiner i sektoren innebærer kjente svakheter, mener Helse- og omsorgsdepartementet at dagens IKT-løsninger lokalt i sektoren må videreutvikles for å oppnå styrket personvern og økt digitalisering.

17.6 Fremtidige problemstillinger og trender

Utvikling og bruk av velferdsteknologi og mobil helseteknologi er økende. Ifølge statistikk fra Forbes fra 2015 topper helseteknologi listen over de mest lønnsomme industriene.

Helsetjenester vil i stadig større grad utføres i hjemmet. For eksempel vil mange undersøkelser og konsultasjoner kunne gjøres uten at man fysisk oppsøker en lege. Målet er en helsesektor som er tilpasset fremtidens økte behov, men utviklingen kan på mange måter karakteriseres som teknologidrevet. Ifølge Norsk Helsenett er det naturlig å se for seg at for eksempel enheter som smarttelefoner og nettbrett blir «hub-er» for velferdsteknologi.

Offentlig helse- og omsorgssektor vil sannsynligvis miste kontrollen over deler av den digitale tjenesteleveransen til innbyggerne, blant annet fordi den enkelte brukeren selv har råderett hjemme og der tar aktivt initiativ til innføring og bruk av ny teknologi. Det vil kreve stor innsats før sentrale systemer med strenge krav til sikkerhet og personvern kan gi tilfredsstillende integrasjon mot infrastruktur i utstyr, applikasjoner og data fra innbyggernes private hjem. På veien vil nye sårbarheter introduseres, samtidig som det er fare for at gamle sårbarheter vil gjøre seg ytterligere gjeldende.

Personer med spesielle omsorgsbehov kan bruke en mer avansert trygghetsalarm med for eksempel GPS-sporing, fallalarm og andre alarmer for å bli fulgt bedre opp hjemme. Pasienter med kroniske sykdommer kan følge opp helsen sin ved å utføre egenmålinger av for eksempel KOLS selv. Offentlige og private helse- og omsorgstjenester vil da ta imot og følge opp egenmålinger og alarmer. Brukere av velferdsteknologi og mobile helseløsninger blir avhengige av at disse tjenestene er tilgjengelige døgnet rundt. Samfunnet blir sårbart for at utstyret ikke virker, eller at IKT-infrastrukturen mellom privatpersoner og helsetjenestene blir utilgjengelig. Norsk Helsenett mener en annen potensiell stor sårbarhet vil være at et høyt antall falske alarmer kan bli et økende problem.

Lav integritet for medisinsk utstyrbrukt til innsamling av helsedata kan bli en sårbarhet i en tid da selvdiagnostisering er utbredt og pasienter kan insistere på at deres data skal brukes. Stadig rimeligere medisinsk utstyr vil øke graden av privatisering. Det er for eksempel allerede mulig å måle parametre som puls, blodtrykk, søvnrytme med mer med mobilen. Helsedata og private data blandes når data integreres fra hjemmet, og det blir et spørsmål hvor grensen går for hva som skal inn i en journal, og hva skal som skal holdes utenfor. Private enheter og applikasjoner vil være sårbare for datalekkasje. Systemene skal også integreres mot grensesnitt som til slutt ender opp i en elektronisk journal, men også gjerne lagres flere steder på veien, inkludert hos globale – potensielt dominerende – aktører der brukerens kontroll over lagringen og prosesseringen av dataene er liten, med mindre det foreligger særlig gode avtaler. Dersom det er helsetjenesten som eier utstyret, kan de til en viss grad sikre utstyret i henhold til egne policyer og innkjøpsavtaler. Det er imidlertid grunn til å tro at folk vil anskaffe mye av dette utstyret selv. I disse tilfellene har ikke helsetjenestene den samme kontrollen over kvaliteten på utstyret. Det vil aldri være mulig å stille samme sikkerhetskrav i et privat hjem som på en helseinstitusjon.

Videokommunikasjon for konsultasjon og lignende må nødvendigvis gå over Internett via standardiserte åpne protokoller, som igjen må sikres mot avlytting ut fra innholdet som potensielt kan kommuniseres her. Teknisk oppsett på brukersiden vil samtidig kreve sitt av brukervennligheten til tilbudet og kan være sårbart for feilkonfigurasjoner og bortfall.

Nedetid/avbrudd utenfor helsetjenestens kontroll kan i tilknytning til private hjem ta ekstra lang tid å fange opp og kartlegge omfanget av. Det kan også ta lang tid å involvere ansvarlig leverandør, varsle pasienten/sluttbrukeren og gjennomføre og kvalitetssikre utbedringen.

Overføring av sensitive data til nettskyer kan introdusere ytterligere trusler mot personvernet. Slike overføringer kan for eksempel skje ved stordata-analyse der man leier regnekraft fra eksterne nettskyleverandører. Dette kan medføre at globale kommersielle aktører vil kunne få tilgang til informasjon og til en viss grad overta kontrollen over denne. I tillegg kan det bli utfordrende å avklare ansvar på tvers av landegrenser dersom leverandøren opererer globalt. Se også punkt 23.7 «Utkontraktering og skytjenester».

17.7 Vurderinger og tiltak

Helsesektoren er en svært kompleks sektor, som består av mange organisatoriske enheter, komplekse styringsmodeller og verdikjeder som på overordnet nivå ikke lar seg beskrive på en enkel måte. Utvalget har ut fra en begrenset tidsramme bare sett på et lite antall problemstillinger og tjenester innenfor dette komplekse bildet.

Utvalget mener at etableringen av Norsk Helsenett har vært et nyttig grep for å samle nasjonale løsninger og sikre enhetlige krav og styring. Gitt den kompleksiteten helsesektoren består av, hadde det vært utfordrende å opprettholde tilstrekkelig kompetanse til å ivareta sikkerheten i de tjenestene som etableres, dersom alle skulle opprettholdt regionale løsninger. HelseCSIRT er et annet initiativ som fungerer godt i sektoren, og som er en viktig ressurs for de regionale helseforetakene. Norge er det eneste landet som har etablert et statlig kompetansemiljø for sikkerhet i helsesektoren i form av HelseCSIRT. Utvalget mener det er viktig at disse ordningene forvaltes på en god måte også fremover.

Utvalget foreslår følgende tiltak:

17.7.1 Sterkere styring av IKT-sikkerhet fra Helse- og omsorgsdepartementet

Flere aktører etterlyser en sterkere styring fra HOD. Utvalget stiller spørsmål ved hvorfor styringsmuligheten som departementet har til å samkjøre mellom de regionale helseforetakene, ikke benyttes i større utstrekning.

Utvalget mener det er behov for sterkere nasjonal styring for å identifisere og styrke felles behov og for å unngå divergerende løsninger i regionene. I helsesektoren er det et sterkt behov for beslutningsevne hos HOD og for at det gis klare føringer for hvilke standarder som skal gjelde, hvilke IKT-områder RHF-ene må samkjøre, og så videre. Dette kan gjøres gjennom Direktoratet for e-helse, men det må legges til rette for at de får tilstrekkelige virkemidler og myndighet til å bistå HOD i utøvelsen av rollen. Dette inkluderer også tilgang på nødvendig IKT-faglig kompetanse der det er nødvendig. Videre må HOD sikre god samhandling med de ulike fagmiljøene.

Opprettelsen av Direktoratet for e-helse gir en mulighet for å utarbeide en samlet styringsstruktur som dekker både primær- og spesialisthelsetjenesten, med ansvar for å implementere og følge opp løsningene knyttet til e-helsesamarbeid. En slik løsning vil, spesielt i kommunesektoren, være til støtte for mange mindre aktører som kan ha vansker med å rekruttere og vedlikeholde tilstrekkelig egenkompetanse. Sikkerhetskrav i innkjøpsprosessene kan for eksempel i større grad samkjøres med større vekt på leverandøransvar.

Utvalget har gjennom sitt arbeid registrert at det er utgitt en stor mengde utredninger som omhandler IKT i helsesektoren, de siste årene. Flere av disse ser ut til å beskrive dagens utfordringer på en god måte, og det synes å være stor bevissthet i sektoren om hvilke forbedringstiltak som er nødvendige. Utvalget stiller spørsmål ved hvorfor ikke flere av tiltakene er fulgt opp, og om mengden utredninger i seg selv er til hinder for en effektiv iverksetting av tiltakene. Flere har uttrykt at evnen til å lære av tidligere utredninger ikke alltid er til stede, og at man i stor grad «finner opp hjulet på nytt». Utvalget har ikke vurdert hvorvidt dette skyldes manglende gjennomføringsevne, økonomi, eller styringsevne og -vilje. Utvalget mener imidlertid at det er viktig med en tydeligere prioritering av forebyggende tiltak for å redusere de identifiserte sårbarhetene, og at det sikres gjennomføringskraft for disse. Som en del av dette foreslår utvalget at det nye Direktoratet for e-helse utarbeider en årlig statusrapport om tilstanden for IKT-sikkerhet i helsesektoren.

Helsefaglig personell, som best kjenner sine egne arbeidsprosesser, må være med på å sette premissene for sikkerhetstiltak, slik at disse blir tilstrekkelig forankret i virksomheten. Sterk involvering av helsepersonell vil ikke stå i motsetning til sterkere nasjonal styring. Utvalget anerkjenner at kompleksiteten i sektoren, samt lang historikk med systemer som arves og lappes på, gjør at dette er en utfordring.

Utvalget observerer at Normen er ønsket velkommen av sektoren, og at den i all hovedsak fungerer bra. Normen gjør at helseforetakene tør å stille krav, og leverandørene blir mer oppmerksomme på temaet ved anskaffelser. Prosessen med å utvikle Normen har hatt en god effekt i seg selv og økt kompetansen i bransjen. Utvalget er orientert om at det er laget minimumskrav beregnet for små enheter. På bakgrunn av innspill mener utvalget likevel det bør vurderes forenklinger i Normen for de minste helseforetakene i den grad det er mulig uten at det bidrar til å øke sårbarheten.

17.7.2 Mer forskning på IKT-sikkerhet innenfor ny helse- og velferdsteknologi

Den raske utviklingen av helse- og velferdsteknologi gir en rekke nye muligheter, men kan også føre til økt sårbarhet dersom det ikke tas nødvendige forholdsregler. Dette kan være både sårbarheter innad i helseforetakene og sårbarheter knyttet til bruk av helsetjenester utenfor helseforetakenes kontroll i privathjem. Behovet for kontroll av utviklingen understrekes av de tidligere beskrevne sårbarhetene knyttet til velferdsteknologi, som et økt antall angrepsflater, uklarheter omkring databehandleransvar og manglende digitaliseringsstrategi.

Etter utvalgets vurdering bør helse- og velferdsteknologi som i stor grad endrer samfunnet, utredes og følges opp av en offentlig debatt før implementering. Utvalget mener det er behov for en mer spisset forskningsinnsats for å se på sikkerhetsaspektene ved teknologien, samtidig som man ivaretar de mulighetene og utfordringene som ny helse- og velferdsteknologi vil gi. Forsøk som pågår med ny helse- og velferdsteknologi, bør videre samordnes nasjonalt for å sikre kompetanseoverføring. Det nye Direktoratet for e-helse bør sikre at disse initiativene samordnes.

17.7.3 Etablere løsninger for å imøtekomme utviklingen innenfor helse- og velferdsteknologien

Ved innføring av helse- og velferdsteknologi bør hovedregelen være at tjenesteeieren av slike løsninger tar et overordnet ansvar for sikkerheten i hele verdikjeden og ikke utelukkende baserer seg på at sikkerheten er ivaretatt av underliggende tjenester som for eksempel ekom-tilbydere. Også på dette området er leverandørkjeder og verdikjeder viktig. Se for øvrig omtale av verdikjeder i punkt 23.1 «Etablere nasjonalt rammeverk for å ivareta en helhetsvurdering av verdikjeder».

Utvalget støtter Norsk Helsenetts forslag om at helsenettet, i samarbeid med sektoren, bør vurdere om det er sentrale felleskomponenter (innen kommunikasjon mot Internett) som sektoren behøver for å fremme en trygg innføring av velferdsteknologiske løsninger.

17.7.4 Gjennomføre flere IKT-øvelser der kritiske systemer er ute av funksjon

Det er behov for å ha en beredskap for bortfall av IKT i helsesektoren, enten dette skyldes tilsiktede eller utilsiktede IKT-hendelser. Mindre grad av manuelle rutiner å falle tilbake på kan i fremtiden gi nye og økte sårbarheter. Utvalget mener det bør gjennomføres flere IKT-øvelser der kritiske systemer er ute av funksjon. Se også kapittel 20 «Styring og kriseledelse». I tillegg kreves det at sentrale helsetjenester kan opprettholdes uavhengig av IKT-støtte. Utvalget stiller spørsmål ved om man ved fremtidens heldigitaliserte helsesystemer (eksempelvis strukturerte pasientjournaler) vil ha mulighet og evne til å gå tilbake til manuelle systemer, og om vi med dette påfører oss en ny sårbarhet.

18 Transport

Transportsektoren har en sentral plass i det moderne samfunnet, og velfungerende transport er nødvendig for verdiskapingen. Transportsektoren kan deles inn i fire transportgrener, som hver har sine særegenskaper. Det blir investert mye i IKT i transportsektoren for å effektivisere sektoren og for å øke sikkerheten.

Samferdselsdepartementet har det overordnede ansvaret for IKT-sikkerhet innen luftfart, sjøtransport, veitrafikk og jernbane. Departementet har blant annet etatsstyring av Statens vegvesen, Vegtilsynet, Jernbaneverket, Luftfartstilsynet, Kystverket, Statens havarikommisjon for transport og Statens jernbanetilsyn.

Både Sårbarhetsutvalget og Infrastrukturutvalget omhandlet transportsektoren. Lysneutvalget vil peke på at de vurderingene fortsatt står seg. I tiden etter at disse rapportene ble utgitt, har digitaliseringen kommet mye lenger, og tendensene er derfor styrket. Kompleksiteten i transportsektoren har økt.

IKT-systemer i transportsektoren har effektivisert informasjonsflyten betydelig og blant annet bidratt til bedre utnyttelse av veikapasiteten. Men dette gjør også at sårbarheten blir større, ettersom transportsektoren blir kritisk avhengig av ekom, satellittbaserte tjenester og elektrisitet og en svikt i disse tjenestene vil redusere kapasiteten og effektiviteten betydelig.

Utvalget har valgt å se grundigere på sjøtransport, særlig på grunn av denne sektorens avhengighet av satellittbaserte tjenester. De øvrige transportgrenene behandles på et overordnet nivå, og utvalget har valgt å se på noen utvalgte sårbarheter.

18.1 Veitrafikk

IKT-systemer blir stadig mer integrert og koblet sammen. Som tidligere beskrevet vil det i følge estimater være mellom 25 milliarder og 50 milliarder enheter koblet til Internett gjennom tingenes Internett. Denne trenden treffer også veitrafikken. Statens vegvesen ser at det er en utfordring å sikre disse enhetene, da teknologien utvikles svært raskt. Nye løsninger for nasjonal reiseplanlegging og elektronisk billettering er under gjennomføring for kollektivtransporten i hele landet. Over en og en halv million kunder benytter seg av elektronisk reisekort eller mobiltelefon når de kjøper billett på båt, buss eller bane, og antallet brukere stiger raskt.116

Statens vegvesen er et myndighetsorgan og en vei- og trafikkforvalter, og består av Vegdirektoratet og fem regioner. Statens vegvesen drifter fem regionale veitrafikksentraler (VTS), som gjør det mulig å overvåke trafikken. Fra disse sentralene styres blant annet lyskryss, trafikkbommer, datastyrte friteksttavler og fjernstyrte skilt via fjernstyringssystemer. Sentralene har mulighet til å avlaste hverandre. Vegtrafikksentralen i Oslo har et landsansvar når det gjelder nasjonale kriser og veimeldinger. VTS-ene samarbeider med nødetatene, og spesielt politiet, når dette er naturlig, for eksempel ved trafikkulykker, ras og lignende. VTS-ene har muligheten til å bryte gjennom radiosendinger for å gi viktige beskjeder. I tillegg har Statens vegvesen ansvar for tre viktige registre: motorvognregisteret, førerkortregisteret og Nasjonal vegdatabank (som inneholder teknisk informasjon om veinettet).

Vegtilsynet er direkte underlagt vegdirektøren, og er organisatorisk og styringsmessig skilt fra Statens vegvesen. I årsrapporten for 2014 går det frem at Vegtilsynet driver risikobasert systemtilsyn. Ingen av tilsynene var rettet mot IKT-sikkerhet.

Etablering av et felles sektor-responsmiljø for håndtering av hendelser har vært diskutert for transportsektoren. Aktørene konkluderte med ikke å opprette et sektorvis responsmiljø på grunn av ulikhetene mellom transportgrenene. Høsten 2014 ble det imidlertid etablert en egen IKT-sikkerhetsenhet i Statens vegvesen, og etaten ble tilknyttet NSM NorCERT. Etaten har hittil hatt lite erfaring med IKT-hendelser.

Intelligente transportsystemer (ITS) vil i fremtiden kunne bidra til mer effektiv bruk av transportmidlene og bedre utnyttelse av kapasiteten i infrastrukturen. ITS omfatter løsninger som i en eller annen form benytter informasjons- og kommunikasjonsteknologi (IKT) i et trafikk- eller transportsystem. ITS kan blant annet brukes som del av en anleggsfase på store utbyggingsprosjekter for å ivareta trafikksikkerhet og fremkommelighet. ITS kan også inngå som elementer i nye transportsystemer for å legge til rette for styring, informasjon og beredskapssituasjoner. For nødetatene og andre beredskapsaktører vil bruk av ITS være avgjørende for å kunne bidra i beredskaps- og nødssituasjoner.117 Innovasjonstakten på dette området er høy. Et stadig viktigere trekk er den økende integrasjonen mellom infrastruktur og transportmiddel. Nye ITS-løsninger utvikles i et internasjonalt miljø. ITS-direktivet er en del av EØS-avtalen.118

Statens vegvesens strategi for bruk av ITS inneholder en rekke tiltak. Eksempler på tiltak for bedre trafikksikkerhet på vei er streknings-ATK, automatisk kjøretøykontroll og dynamiske fartsgrenser. På litt lengre sikt kan elektroniske kant- og midtlinjevarslere være aktuelt. Innenfor kjøretøyteknologi finnes ulike kjørestøttesystemer og systemer for passiv sikkerhet. Statens vegvesen tar også sikte på å etablere et nasjonalt trafikk- og transportdatasystem for alle offentlige veier.119

Bompenger utgjør en viktig inntektskilde for veiutbyggingen. En egen infrastruktur for bompengeinnkreving er drevet av cirka 60 ulike bompengeselskaper. AutoPASS Grindgut er en ny nasjonal IKT-løsning som skal erstatte det eksisterende sentralsystemet for bompengebetaling. Sentralsystemet er det administrative systemet bomselskapene benytter for å kreve inn bompenger. Systemet håndterer i dag nær 500 millioner passeringer i bomstasjoner hvert år.

18.1.1 Sårbarhet i kjøretøy og digitale trafikkstyringssystemer

Den teknologiske utviklingen går i retning av selvgående kjøretøy, samt at kjøretøy blir tilkoblet Internett. Det finnes cirka 23 millioner biler som er koblet direkte til Internett, og dette tallet er forventet å stige til 152 millioner i løpet av 2020. Amerikanske myndigheter har opplyst at fire av 48 selvkjørende biler over en periode på åtte måneder har vært involvert i ulykker. Bilprodusentene har avvist at de selvkjørende bilene var årsak til ulykken.120 Beregninger fra Transportøkonomisk institutt har vist at teknologiske tiltak kan bidra til å oppnå en nedgang i antall drepte eller hardt skadde i trafikken.

SINTEF121 har påpekt flere aktuelle sikkerhetsutfordringer knyttet til kjøretøy som følge av den økende graden av tilknytning til Internett. Noen av disse knyttes til masseprodusert elektronikk, der det hittil ikke har vært investert tilstrekkelig i sikkerhet. Løsningene er ofte proprietære og med manglende standarder. Selv standardiserte protokoller har vist seg å være uten sikkerhetsmekanismer. Dette kan blant annet gjøre det mulig å overstyre styre- og bremsesystemene via tilgang til underholdningssystemet i bilen. I tillegg er kjøretøy utstyrt med komponenter med lang levetid, noe som gjør at disse blir hengende etter i forhold til trusselbildet. Eksempelvis er det vist til tilfeller i bilindustrien der det ikke er implementert mekanismer for softwareoppdatering. Konsekvensen av dette er at det vil ta lang tid å rette opp i sårbarheter selv om de blir kjent.

Sikkerheten i de digitale trafikkstyringssystemene er en utfordring. Systemene styrer pumpesystemer mellom undersjøiske tunneler, lyssignaler, variable skilt med videre. Statens vegvesen har ikke hatt IKT-hendelser (hacking eller tjenestenektangrep) så langt.

Boks 18.1 Hacking av trafikklys

En gruppe amerikanske forskere tilknyttet University of Michigan utførte et hackingangrep på ekte, operative trafikklys. Lysene i det aktuelle området brukte trådløse 5,8 GHz-nettverk, som ligner på den vanlige 802.11-standarden, til å kommunisere med. Det forskerne raskt fant ut, var at de dermed enkelt kunne se nettverks-ID-en (SSID) til hvert lyskryss bare ved hjelp av vanlige, umodifiserte PC-er og smarttelefoner. De brukte i stedet en spesiallaget radio. Forskerne fant ut at kommunikasjonen til kontrollerne som styrer lyskryssene, heller ikke var kryptert, noe som satte dem i stand til å analysere systemarkitekturen og lage sine egne kommandoer.

Internasjonale avtaler og internasjonal transportpolitikk stiller en rekke betingelser og gir bindinger og muligheter når det gjelder utviklingen av Norges transportsystem på vei. Det setter rammer for norsk transportpolitikk, og særlig gjelder dette tekniske standarder og krav til kjøretøy. Når for eksempel kjøretøy blir produsert med Internett-forbindelse, gjelder dette også kjøretøy på norske veier.

18.1.2 Trafikkstyringens avhengighet av elektronisk kommunikasjon og satellittbaserte tjenester

Staten vegvesen har virksomhet i hele landet og er avhengig av tilgjengelig elektronisk kommunikasjon (ekom) for at ulike systemer skal kunne snakke med hverandre. Pinseflommen (se kapittel 20 «Styring og kriseledelse») illustrerer hvilke konsekvenser bortfall av elektronisk kommunikasjon kan ha. Trafikkavvikling og trafikkstyring vil bli rammet ved ekombrudd og gi redusert informasjonsflyt til/fra veitrafikksentralene, noe som hemmer informasjon til trafikantene og fremkommeligheten, spesielt i de større byene med mange tunneler. Ekom er særlig viktig for å opprettholde tunnelsikkerheten. Ved langvarig brudd i ekom vil trafikkavviklingen kunne bli treg eller stoppe opp, og de samfunnsmessige konsekvensene vil bli store.122 Statens vegvesen har jobbet med reservekommunikasjon, og har både satellitt-telefoner, nødnett og prioritert mobilsamband. De vurderer også VHF for helt lokal bruk. IKT-avdelingen har startet en utredning for å se på det totale kommunikasjonsbehovet.

Mye av kommunikasjonen som Statens vegvesen er avhengig av, skjer via trådløse nett. Dersom kommunikasjon blir jammet i et område, vil det kunne sette viktige funksjoner ut av spill, for eksempel pumpestasjoner, trafikkstyring med videre. Statens vegvesen har uttrykt bekymring for politiets ønske om å få mulighet til å jamme trådløse nett.

I tråd med utviklingen av ITS, der en blant annet er avhengig av posisjoneringsdata, øker også avhengigheten av GPS og satellittbaserte tjenester. Se kapittel 12 «Satellittbaserte tjenester».

Boks 18.2 Bruk av ITS i nødsituasjoner

ITS vil være avgjørende for å kunne bidra i beredskaps- og nødssituasjoner. Et eksempel på bruk av ITS i nødsituasjoner er eCall.1 Tjenesten eCall er tenkt å virke slik at en teknisk innretning i bilen automatisk ringer nødnummeret og opplyser om bilens posisjon ved ulykker, slik at nærmeste nødsentral raskt kan sende assistanse til riktig sted. Systemet er planlagt å bli en felleseuropeisk alarmtjeneste for kjøretøy, bygd på alarmnummeret 112. Det er satt som mål at alle biler som blir solgt i EU-området, skal være utstyrt med satellittposisjonering og kommunikasjon via mobiltelefonnettet. Det er anslått at 2 500 liv kan reddes hvert år i Europa når eCall blir ferdig utviklet og utbredt. Systemet vil dermed være et viktig bidrag til trafikksikkerheten gjennom å redusere konsekvensene av ulykker.

1 Direktoratet for samfunnssikkerhet og beredskap (2012): Samfunnets sårbarhet som følge av bortfall av elektronisk kommunikasjon.

18.1.3 Særskilte personvernutfordringer innen veitrafikken

Digitalisering i transportsektoren utfordrer personvernet. Hensynet til personvern skal være en viktig del av planleggingen og videreutviklingen av ITS.123 De fleste innsamlede opplysninger er ikke sensitive, men sammenstilt med andre kilder og mulige nye anvendelsesområder kan de endre risikoen for personvernet.124 En rekke initiativer er satt i verk for å imøtekomme dette. Blant annet har Datatilsynet og Statens vegvesen sett på tekniske løsninger for økt anonymitet i bompengesystemet og vurdering av unntak for lagring av opplysninger om passeringer etter bokføringsloven.125 Det vises også til arbeidet med en nasjonal bransjenorm for elektronisk billettering. Der deltok både Datatilsynet, Statens vegvesen og transportaktører for å nå frem til en enighet om hvordan reise med kollektivtrafikk kan skje ved hjelp av elektroniske billetter samtidig som retten til personvern, fri ferdsel og anonymitet blir ivaretatt.126

Trafikkregistrene inneholder informasjon om blant annet folk med hemmelig adresse og kjøretøy som tilhører politiet og Forsvaret. Dette er informasjon som ikke skal offentliggjøres. Statens vegvesen har påpekt at de mange innsynsbegjæringene fra eksterne som ønsker kopi av hele registeret, er en utfordring ettersom registrene ikke er laget for å gi delvis tilgang. Det er satt i gang et arbeid for å se på nye løsninger for bedre å kunne strukturere og skille ut sensitive data.

18.2 Jernbane

Jernbanen står overfor store investeringer og digitalisering i årene som kommer. Det samlede jernbanenettet i Norge er på om lag 4 000 km, hvorav om lag 1 400 km ikke er elektrifisert. Hver dag frakter jernbanen i snitt mer enn 160 000 passasjerer og 80 000 tonn gods. Som de andre transportgrenene er jernbanen en del av et internasjonalt system, riktignok begrenset til våre naboland. Med innføringen av ERTMS (European Rail Traffic Management System) vil norsk jernbane få samme signalsystem som europeisk jernbane.

ITS-løsninger vil bli viktige innen trafikantinformasjon og trafikkstyring. Ny teknologi gjør det enklere å identifisere og registrere hendelser gjennom bruk av sensorer eller kameraovervåking og kontroll, og slik bidra til å gi bedre og løpende informasjon om tilstanden i infrastrukturen. Dette vil kunne bidra til å identifisere feil i infrastrukturen og løse problemet før det påvirker togtrafikken. På sikt kan det også tenkes å påvirke behovet for henholdsvis korrektivt og forebyggende vedlikehold av infrastrukturen.

Jernbaneverket skal på vegne av staten drifte, vedlikeholde og bygge ut statens jernbaneinfrastruktur med tilhørende anlegg og innretninger. Jernbaneverket har ansvaret for trafikkstyringen på det nasjonale jernbanenettet.

Statens jernbanetilsyn (Jernbanetilsynet) er en selvstendig etat underlagt Samferdselsdepartementet, og er tilsynsmyndighet for blant annet jernbane, trikk og T-bane. Statens jernbanetilsyn fører kontroll og tilsyn med blant annet 33 jernbanevirksomheter. En forskrift om sikkerhet trådte i kraft 1. juli 2015, og Jernbanetilsynet fikk med den hjemmelsgrunnlag for å føre tilsyn mot tilsiktede hendelser. Jernbanetilsynet har få ressurser til oppfølging av IKT-sikkerheten.

NSB er et nordisk transportkonsern der godstrafikk og persontransport med tog utgjør en viktig del av virksomheten. Ansvarsforholdene vil bli endret med den kommende jernbanereformen, der det er besluttet å etablere et eget jernbanedirektorat. Dette skal blant annet ha en koordinerende rolle overfor aktørene i både egen sektor og øvrig kollektivtransport.

Som tidligere beskrevet er det ikke etablert et felles responsmiljø innenfor samferdselssektoren. De mest sentrale aktørene har valgt å inngå som medlemmer av VDI-samarbeidet med NSM NorCERT.

Flere aktører innenfor sektoren har blitt utsatt for utilsiktede IKT-hendelser, uten at disse har fått konsekvenser for den operative driften. En av hendelsene i 2015 ble opplevd som så alvorlig at Jernbaneverket for første gang satte krisestab med hele ledelsen til stede. I dette tilfellet mente Jernbaneverket det var avgjørende med fysisk nærhet til underleverandøren for effektivt å håndtere hendelsen.

18.2.1 Sikkerhetsutfordringer i skinnegående trafikk

Skinnegående transport er avhengig av at en rekke systemer er tilgjengelige. Systemer i transportmiddelet omfatter systemer som støtter operasjon og drift av transportmiddelet, samarbeid med andre systemer og informasjon til passasjerer. Systemer langs kjøreveien styrer uavhengige soner og overlevering av kjøretøy fra en sone til en annen. De styrer også alle elektromekaniske enheter i sin sone inklusiv energikontroll. Stasjonsystemene styrer infrastrukturen på stasjonene – alt fra heiser til systemer for passasjerinformasjon. Kontrollsentralsystemene styrer transportnettverket og samarbeider med systemene på toget, langs kjøreveien, med mer. Administrative systemer støtter transportoperatøren i forretningsvirksomheten, som transportplan, vedlikeholdsplan, regnskap, HR med videre.

ERTMS (European Rail Traffic Management System) vil være det nye signal- og sikringssystemet for jernbanen. ERTMS er et automatisk togkontrollsystem, men det er ikke laget for førerløse tog. I løpet av de kommende årene vil byggingen av ERTMS medføre store endringer for den norske jernbanen. Den mest synlige endringen er at de ytre signalene som i dag står langs sporet og regulerer togtrafikken, erstattes med overføring av signalinformasjon direkte til det enkelte toget via jernbanens eget mobilnett GSM-R. Videre vil togene fritt kunne trafikkere andre lands infrastruktur uten å være flerdobbelt utrustet med hvert enkelt lands spesielle system for automatisk togkontroll. ERTMS kan karakteriseres som et meget stort, sikkerhetskritisk, distribuert programvarebasert system basert på felles europeiske standarder. Dersom mobilnettet GSM-R får utfall, vil konsekvensen for trafikken på jernbanenettet være stor.

Ifølge Jernbaneverket vil innføringen av ERTMS skape en mer pålitelig jernbane enn med dagens signalanlegg, som er basert på sårbar reléteknologi. Det er forventet at antall tekniske feil knyttet til signal- og sikringsanleggene vil bli redusert. Samtidig er det fra flere hold uttrykt bekymring for at dette vil introdusere nye sårbarheter, ettersom IKT-systemer vil styre kritisk sikkerhetsinformasjon, som blant annet hastighet og bremselengde for togene.

Jernbaneverket har uttrykt at de vil rette oppmerksomheten mot dette fremover. Arbeidet med å sikre tilgang og kapasitet på nøkkelkompetanse innenfor signalområdet og øvrige spesialiserte jernbanefag har høy prioritet.127

18.2.2 Sårbarheter i systemer knyttet til togfremføring

FIDO(Filtrert distribusjon av operative kunngjøringer) er Jernbaneverkets nye distribusjonssystem for informasjon ved togfremføring og arbeid i spor. Med dette distribusjonsverktøyet kan jernbanen sende ut automatisert og målrettet informasjon til den det gjelder, i stedet for å distribuere papirer og dokumenter manuelt. Jernbaneforetak kan også motta data direkte og implementere disse i sine egne systemer, samt skrive ut informasjon dersom det er ønskelig. Systemet har en modell av jernbaneinfrastrukturen og en ruteplan som grunndata. Disse dataene behandles i systemet og settes sammen til en visning basert på hvem man er, og hva man skal gjøre. FIDO er kritisk ettersom man må kvittere ut informasjon per avgang for å få lov til å kjøre toget.

FIDO vil på sikt være kilden for ruteinformasjon til andre fagsystemer internt i Jernbaneverket, men også til eksterne systemer hos jernbaneforetak og entreprenører. FIDO har mange brukere: togførere, jernbaneselskaper, sikkerhetsvakter, entreprenører, operative ruteplanleggere og driftskoordinatorer. En feil i dette systemet førte til togstans i hele landet i mai 2015.

18.2.3 Avhengighet av ekom

De største sårbarhetene innen skinnegående transport er hittil knyttet til avhengigheten av andre samfunnsfunksjoner som energiforsyning og elektronisk kommunikasjon (ekom). En stor del av den skinnegående transporten er elektrifisert, og driften av infrastrukturen og sikkerhetssystemene krever tilgjengelig ekom.

Jernbaneverket jobber aktivt med å fase ut gamle systemer. Det linjesvitsjede systemet som bærer av fasttelefon fases ut og erstattes av IP-telefoni. Transmisjonsnettets betydning fremover vil øke, ettersom det binder sammen det nye signalsystemet, systemet med tilstandsovervåking, med videre. De gamle systemene har kjente sårbarheter som eksponerer Jernbaneverket for angrep. Ifølge Jernbaneverket konkurrerer fornyelse av IKT-systemer med andre driftsoppgaver. En annen utfordring er de ulike tidskonstantene i investeringer. Jernbaneverket bygger jernbane for 100 år og signalanlegg for 40 år, mens IKT-systemer har en mye kortere levetid enn dette og dermed krever jevnlig fornyelse. Analog teknologi går til sikker tilstand ved feiltilstand. Ved innføring av digitale systemer er det usikkerhet knyttet til hvilken mulighet utenforstående har til å manipulere systemene, slik at de ikke går til sikker tilstand. I dag må en være fysisk til stede for å manipulere systemet. Jernbaneverket har gjennomført en verdivurdering av informasjon om signalanleggene, og skadepotensialet er høyt. Som for andre sektorer er det utfordrende å håndtere sensitiv informasjon, særlig med hensyn til problematikken med underleverandører.

18.3 Luftfart

Luftfarten i Norge har en desentralisert lufthavnstruktur som gir god tilgang til passasjertransport og flyfrakt i hele landet. Luftfarten er blant annet sentral for helsesektoren, som benytter rutefly til pasientreiser, og i form av akuttberedskap for ambulansefly og -helikoptre. Luftfarten har en lang tradisjon med sterk vekt på sikkerhet, blant annet ved hjelp av prosedyrer for å kunne håndtere «enhver» situasjon. Pilotene og mannskapet om bord er blant sikkerhetsbarrierene mot svikt i tekniske systemer. Dersom det oppstår teknisk svikt eller feil, skal de manuelle prosedyrene ta over. Til tross for dette har også luftfarten med økt digitalisering flere utfordringer med hensyn til IKT-sikkerhet.

Luftfartsinfrastruktur består forenklet av luftfartøy, lufthavner og flysikringstjenester. Inn under flysikringstjenester kommer blant annet kontrollsentraler og luftromsreguleringer, og inn under lufthavner kommer blant annet bakketjenester som bagasjehåndtering og catering. Flyselskapenes elektroniske systemer for håndtering av passasjerer (innsjekk, bag-drop og så videre) er et eksempel på avhengighet mellom lufthavnoperatør og flyselskap. Alle enheter i infrastrukturen er avhengige av fungerende kommunikasjon, spesielt digital kommunikasjon (IKT), for å kunne levere en sikker og effektiv tjeneste til passasjerene.

Luftfartstilsynet har hovedansvaret for tilsynet med norsk sivil luftfart. Dette inkluderer tilsyn med blant annet luftfartøy, flyselskaper, flyplasser, verksteder, flysikringstjenester, personell, utdanningsinstitusjoner med mer. Luftfartstilsynet skal også sikre luftfarten mot terror og sabotasje (security) og ivareta helse, miljø og sikkerhet for flygende personell. Videre skal Luftfartstilsynet utvikle og oppdatere regelverk og påvirke utviklingen av internasjonale regler på luftfartens område. Luftfartstilsynet har begrenset hjemmelsgrunnlag for å føre tilsyn med IKT-sikkerhet i luftfartssektoren. Luftfartsloven § 4-1 stiller krav om luftdyktighet for luftfartøy og viser til en EU-forordning. I forordningen, som tar for seg de flyoperative systemene, er IKT-sikkerhet ikke nevnt. Det stilles krav til design av luftfartøy. I EASA Certification Specification (CS) 25.1309 fastslås det at luftfartøy skal designes slik at ingen enkeltsystemer i seg selv skal kunne forårsake katastrofale feil. Innenfor flysikringstjenesten slås det fast i en EU-forordning (1035/2011) at operasjonelle data skal være sikret slik at kun autorisert personell har tilgang. Forordningen gjennomføres i norsk rett i forskrift om felles krav for yting av flysikringstjenester (BSL G 2-2). Forordningen er veldig generell, og for tilsynsmyndigheten er det utfordrende å gjennomføre tilsyn basert på veiledninger.

Avinor AS er et statlig eid aksjeselskap der eierskapet forvaltes av Samferdselsdepartementet. Selskapet har ansvaret for å eie, drive og utvikle et landsomfattende nett av lufthavner for den sivile luftfarten og en samlet flysikringstjeneste for den sivile og militære luftfarten.

Avinor Flysikring AS er sertifisert som tjenesteyter for leveranser av flysikringstjenester. Avinor Flysikring AS har som et ledd i barrierebyggingen mot den stadig økende IKT-trusselen etablert et eget nettverk som ikke er koblet opp mot andre nettverk. Dette nettverket driftes og monitoreres av Avinor Flysikring AS som leverandør av lufttrafikktjenester i Norge.

Som tidligere beskrevet er det ikke etablert et felles responsmiljø innenfor samferdselssektoren. Det er heller ikke gjennomført nasjonale øvelser i samordning og håndtering av IKT-hendelser i luftfarten. Avinor har egen CSIRT-funksjon og er tilknyttet ekstern CERT. Luftfartstilsynet fører ikke særskilt statistikk over IKT-hendelser, men slike hendelser tas inn i den ordinære rapporteringsstatistikken. Statens havarikommisjon har statistikk over hendelser og ulykker innenfor luftfarten, men ikke over IKT-hendelser spesielt.

18.3.1 Internasjonale avhengigheter – globale premissgivere

Luftfart er en global industri der verdensomspennende regler og standarder setter betingelser for godkjenning av luftfartøy, krav til IKT-sikkerhet og prosedyrer for flygning, avgang og landing. Dagens systemer innen luftfart aldres, og flytrafikken øker. Økt trafikk øker behovet for utnyttelse av luftrommet, sammen med krav til pålitelighet, sikkerhet, komfort og miljø. Den globale luftfarten vil de nærmeste årene gjennomgå en betydelig modernisering på IKT-området, med NextGen i USA og Single European Sky i Europa som de store initiativene.128 Slike globale initiativer gir også rammebetingelser for hva Norge selv kan og må gjøre som nasjon.

Sammen med Samferdselsdepartementet deltar Luftfartstilsynet i internasjonale organisasjoner for å ivareta norske interesser. To av disse organisasjonene er europeiske EASA (European Aviation Safety Agency) og FNs organisasjon for sivil luftfart, ICAO (International Civil Aviation Organization). ICAO arbeider for internasjonal standardisering og beste praksis innenfor luftfart. ICAOs standarder er folkerettslig bindende for statene som har ratifisert Chicagokonvensjonen. Anbefalinger i vedleggene til Chicagokonvensjonen er ikke bindende, men fungerer som beste praksis. Det er i EU-forordning 1035/2011 inkludert spesifikke krav innen IKT for tjenesteytere.129

European Aviation Safety Agency ble etablert i 2002. Hovedaktivitetene er strategiutvikling og sikkerhetsledelse (safety), sertifisering av produkter og oversikt over godkjente organisasjoner og EU-medlemsland. Det internasjonale forbundet av flyselskaper (IATA) legger stor vekt på sikkerhet og tilbyr også en rekke verktøy for IKT-sikkerhet.

Utvalget er kjent med at det har vært en rekke personvernmessige utfordringer knyttet til tvungen overføring av passasjerlister, såkalte PNR-data, til USA. Opplysningene blir lagret i databaser og sammenlignet med andre databaser før reisende tillates innreise til USA. Det er flere eksempler på at personer feilaktig har blitt ført opp på «no fly»-lister i USA som følge av ukorrekte lister. I EU pågår det arbeid med å få på plass en tilsvarende ordning i Europa. Der diskuteres blant annet krav som skal ivareta passasjerenes rettigheter bedre, som for eksempel at de skal være informert om hvilke data som samles inn.

18.3.2 Sårbarheter om bord i fly

Et luftfartøy har avansert elektronikk og IKT-systemer om bord. Systemene i luftfartøy kan klassifiseres i tre nett etter kritikalitet: 1) De flyoperative systemene om bord. Systemene er lukket og kommuniserer med støttesystemer på bakken. Kun pilotene er brukere av de operative kontrollsystemene. 2) Tjenestenett som ivaretar behovet for vedlikehold og drift for flyselskapet. Mannskapets enheter, for eksempel nettbrett, kan kobles til dette tjenestenettet. 3) Passasjerenes underholdningssystemer om bord i luftfartøyet. Disse systemene er adskilt fra de andre to. Det er bare krav om logisk adskillelse og ikke fysisk separasjon mellom nettet til passasjerene og de andre systemene i flyet. Det er identifisert sårbarheter knyttet til underholdning og velferdstilbud om bord, se boks 18.3.

Boks 18.3 Trådløse passasjernettverk sårbare for inntrenging

I en rapport skrevet for amerikanske luftfartsmyndigheter påpekes det at fly med trådløst passasjernettverk kan være sårbart for inntrenging.1 Dette kan gjøre det mulig for en angriper å få tilgang til og kompromittere flyets kontrollsystem. Som en respons på rapporten har FBI og TSA varslet flyselskaper om å være oppmerksomme på mistenkelig aktivitet. Et viktig spørsmål, som det er uenighet om mellom flyfabrikanter og sikkerhetsforskere, er om tilgang til flyoperative systemer kan oppnås via passasjernettverket.

1 United States Government Accountability Office (2015): Air Traffic Control. FAA Needs a More Comprehensive Approach to Address Cybersecurity As Agency Transitions to NextGen.

Flyselskapene tar i bruk nettbrett som verktøy (Electronic Flightbag) i cockpiten. Dette kan medføre at sårbarheten for inntrenging fra utenforstående i flyoperative data blir en ny problemstilling. I stedet for den tidligere pilotkofferten med kart, prosedyrer og reiserute får pilotene nå med seg et nettbrett med den informasjonen de trenger for å gjennomføre flyturen. Det er et spørsmål hvordan nettbrett-tilkoblingen er sikret, og i hvilken grad nettbrettet for eksempel er tilgjengelig for andre. Flyselskaper har etablert strenge rutiner for bruk av Electronic Flightbag. Rutinene beskriver blant annet bruk av nettbrettet slik at informasjon ikke kommer på avveier, ikke blir infisert av virus, og så videre. Det er likevel en kjensgjerning at mennesket er den siste barrieren også her, og det er ikke nødvendigvis alltid slik at rutinene følges.

Sårbarheter i programvare kan slå ut på ulike måter. Kart og kartoppdateringer er en kritisk funksjon. Det har vært ett tilfelle av svikt i kartoppdateringen som medførte at en person fysisk måtte dra rundt til alle flyene for å oppgradere kartene manuelt ved hjelp av minnepinne. Denne hendelsen fikk ikke kritiske konsekvenser.

Landing kan skje automatisk i dag. Det er krav om landing på autopilot dersom værforholdene er spesielt dårlige. En forutsetning for å kunne lande på autopilot under dårlige værforhold er at flyplassen er utstyrt med avansert teknologi som støtter bruk av autopiloten. Avgang skjer alltid manuelt. Når luftfartøyet når en viss høyde, kan autopiloten kobles inn. I de fleste tilfeller vil det være slik at styrmannen (flygende pilot) både tar av og lander manuelt. Pilotene og flygelederne anses som de viktigste barrierene i Air Traffic Management (ATM). Pilotene kan fly manuelt hele tiden, men det er en uttrykt bekymring blant piloter i dag hvorvidt de reelt sett er i stand til å håndtere uforutsette problemer, gitt den teknologiske avhengigheten. Dette gjelder spesielt store luftfartøy. Rutinene de skal følge finnes på nettbrettet. I ytterste konsekvens må de fly tilbake til utgangspunktet.

I mai 2015 styrtet et militært transportfly under testing i Sevilla. Flyselskapet sendte varsel til kundene sine om mulige problemer og instruerte dem til å kjøre kontroll på elektroniske kontrollenheter på motoren (Electronic Control Units). En programvarefeil gjorde at tre av fire motorer stoppet opp.

18.3.3 Systemkompleksitet i operative systemer og på lufthavnene

Elektronisk informasjonsflyt er viktig og skal sikre at samspillet mellom leverandører av bakketjenester, flyselskaper og lufthavnoperatører fungerer. Det er mange IKT-systemer på lufthavnene som er koblet sammen i nettverk. Avinor har fysisk adskilt det operative nettet fra det administrative nettet. Det er også fysisk adskilt fra lufthavnnettet, som mange systemer på lufthavnene er avhengige av.

Ifølge Luftfartstilsynet er de operative systemene stabile. Det har vært bortfall av redundans, men det har ikke medført bortfall av tjenester. Luftfartstilsynet har likevel uttrykt bekymring knyttet til den reelle sikkerheten i systemene, ettersom de til nå har operert i et lukket system. Økt tilsynsaktivitet kan gi bedre grunnlag for å si noe mer kvalifisert om sikkerheten.

I 2015 førte en teknisk feil til stans i flytrafikken ved Sola og Flesland. Feilen ble rettet etter cirka en halv time, men trafikken gikk da en stund med 50 prosent kapasitet. Luftkontrollsentralene kan i dag ikke uten videre ta over oppgavene for hverandre.

For lufthavnsystemet er det mange systemer som skal virke sammen, og selv svikt i «ikke-kritiske» systemer, som for eksempel bagasjebånd, kan få konsekvenser for passasjerene. I mai 2015 stoppet bagasjebåndene på Gardermoen opp, noe som medførte at reisende ble forhindret fra å sjekke inn. Svikten medførte forsinkelser på rundt tre timer.

EUs etablering av et felleseuropeisk luftrom (Single European Sky) er tuftet på fire forordninger og vil føre til store endringer for flysikringstjenesten i Norge. Hovedformålet med initiativet er å legge til rette for et europeisk luftrom som har økt kapasitet og er mindre oppstykket enn det som er tilfellet i dag. Avinor vil vurdere fjernstyrte tårn som et alternativ. En vellykket test av dette ble gjennomført i 2014 med sentral fjernstyring fra Bodø kontrollsentral for lufthavnene Værøy og Røst.

Den økende utbredelsen av droner åpner luftrommet for mange typer ny bruk og nye brukere. Det kan føre til økt risiko og sårbarhetsutfordringer som følge av utilsiktede hendelser og ved at aktører kan ha som hensikt å gjøre skade. Droner utfordrer luftfartssikkerheten ved at de kan komme i konflikt med andre fartøy eller skade mennesker og verdier på bakken. Styringssystemer og kommunikasjonslinjer har vist seg å være sårbare for feil, og det finnes en mengde eksempler på at operatører har mistet kontrollen over droner på grunn av IKT-svikt eller mangel på ferdigheter.

18.3.4 Luftfartens avhengighet av ekom og satellittbaserte tjenester

Luftfartstjenesten er svært avhengig av velfungerende elektronisk kommunikasjon og IKT-systemer for øvrig. Det er mulig å drive trafikkavvikling selv om enkelte av funksjonene skulle svikte, blant annet ved å operere via forhåndsplanlagte prosedyrer, men effektiviteten i trafikkavviklingen vil da kunne bli svært lav.

Hendelsen 23. mai 2011 som medførte kabelbrudd i viktige forbindelser i Telenors nett, gjorde at flytrafikken mellom Bodø og henholdsvis Trondheim lufthavn, Værnes og flyplassene i Møre og Ørland måtte settes på vent. Etter en times tid fikk Avinor satt i gang sitt reservesystem, og luftrommet kunne åpnes igjen. Isolert sett førte ikke hendelsen til større samfunnsmessige problemer, men denne type hendelser kan få konsekvenser for næringslivet, det offentlige og den enkelte. Skjer en svikt på et uheldig tidspunkt i en pågående trafikkavvikling, kan utfallet bli svært alvorlig. Avinor har redundante føringsveier og kjøper ekomtjenester fra ulike leverandører.

Det er en stor og økende avhengighet av GPS-baserte tjenester og satellittkommunikasjon. I dag er det ikke alle luftfartøy som har aktive antikollisjonsmekanismer, derimot har de passive varslingssystemer. I fremtiden vil dette bildet kunne endre seg. Den gradvise innføringen av satellittbasert flynavigasjon i Europa skjer innenfor rammen av Single European Sky (SES). SESAR (Single European Sky ATM Research) er EUs forsknings- og utviklingsprosjekt for innføring av nye administrative, operative og teknologiske konsepter for en mer effektiv utnyttelse av europeisk luftrom. I SESAR vil posisjonsdata fra satellittsystemer brukes til navigasjon, trafikkovervåking og tjenester ved lufthavnene. I tillegg vil satellittsystemer bli brukt som tidsreferanse for synkronisering av systemer for flykontroll (Air Traffic Management, ATM) og flybåren avionikk.130 USA og EU samarbeider om å harmonisere moderniseringen av ATM. Sammenlignet med aldrende radarsystemer og gammeldags luftkontroll vil en ny infrastruktur basert på GPS, automatisk kringkasting av posisjon (ADS-B) og IP-basert telekommunikasjon for luftfarten kunne bidra til bedre integrasjon mellom luftfartøy og bakkebaserte systemer. Forstyrrelser av GPS-signaler eller forfalskning av lokasjonsinformasjon vil imidlertid kunne degradere overvåkingsnøyaktigheten, og den økte integrasjonen gjør det mulig å spre skadevare og utføre tjenestenektangrep.131

18.4 Sjøtransport

Maritim sektor har oppnådd en vesentlig rasjonalisering og forbedring av tjenestene ved å ta i bruk digital teknologi. Et moderne skip er avhengig av en rekke digitale systemer for navigasjon, motorkontroll, lastkontroll, sikkerhet og kommunikasjon. Offshoreflåten er for eksempel avhengig av kompliserte systemer for dynamisk posisjonering. Logistikk knyttet til vare- og passasjertransport er helt avhengig av sentrale IKT-systemer og kommunikasjon mellom et stort antall aktører. Fiskeri- og kystdepartementet har utpekt 5 av totalt 32 stamnetthavner som anses som særlig viktige for å utvikle en effektiv og sikker sjøtransport av personer og gods. Transport av varer med skip og import/eksport av disse varene via landets havner utgjør en kritisk funksjon i samfunnet.

Det transporteres store mengder farlig last, og ulykker med for eksempel eksplosiv last kan gi store skader på helse og miljø. De verst tenkelige tilfellene er kollisjon mellom skip der menneskeliv går tapt, eller der store miljøødeleggelser er konsekvensen.

Maritim sektor har investert i sikkerhet og beredskap med tanke på ulykker som grunnstøting, brann, eksplosjon med mer. Det er investert i fysisk sikring av blant annet havneområder, men mindre i sikkerhet med tanke på digitale sårbarheter.

Utvalgets omtale av sjøtransport er i sin helhet basert på rapporten «Digitale Sårbarheter Maritim Sektor (DNV GL)», se elektronisk vedlegg.

18.4.1 Roller og ansvar

Ansvaret for implementering av det internasjonale regelverket for maritim sikring i Norge er delt mellom Samferdselsdepartementet (SD) og Nærings- og fiskeridepartementet (NFD). Kystverket har ansvar for havner og havneanlegg, og Sjøfartsdirektoratet har ansvar for skip og personell om bord. Det er et stort antall aktører i sektoren, og med ulik IKT-infrastruktur. Noen rederier har tilstrebet like IKT-løsninger på sine skip for å forenkle bruken og vedlikeholdet.

Det finnes en rekke interesseorganisasjoner som blant annet er involvert i samarbeidet mellom næring og myndigheter. Norges Rederiforbund er en interesse- og arbeidsgiverorganisasjon for norsktilknyttede bedrifter innen skipsfart og offshore entreprenørvirksomhet. Rederiforbundets medlemmer sysselsetter over 55 000 sjøfolk og offshorearbeidere fra mer enn 50 forskjellige nasjoner. Rederiforbundet har en sentral rolle i samarbeidet mellom rederi og myndigheter. Norsk Havneforening er en medlems- og interesseorganisasjon med 47 medlemshavner langs hele norskekysten. Foreningen arbeider med havnenes rammevilkår ved å jobbe med myndigheter og næringsaktører, samt ved å samarbeide med andre organisasjoner og aktører.

18.4.2 Hjemmelsgrunnlag og tilsynsvirksomhet

Det internasjonale regelverket for maritim sikring er gjort gjeldende i norsk rett gjennom forskrift om sikring av havneanlegg, forskrift om sikring av havner og forskrift om sikkerhet, pirat- og terrorberedskapstiltak og bruk av maktmidler om bord på skip og flyttbare boreinnretninger (sikkerhetsforskriften fra Sjøfartsdirektoratet).

De nevnte forskriftene gjennomfører EU-forordning 725/2004, om forbedret sikkerhet for fartøyer og havneanlegg. Forordningen gjelder fullt ut som norsk forskrift, og brukerne må derfor forholde seg til kravene i denne direkte. SOLAS-konvensjonen132 kapittel XI-2 og ISPS-koden (International Ship and Port Facility Security Code) er vedlegg til forordning 725/2004. Forordningen gjør ISPS-koden del A obligatorisk i alle EUs medlemsland, i tillegg til at enkelte av bestemmelsene i del B også gjøres obligatoriske.

ISPS er en utvidelse av SOLAS-konvensjonen om sikkerhet for personell og skip på sjøen. ISPS-koden trådte i kraft i 2004 og angir hvilke ansvarsområder forskjellige parter har for å detektere og hindre sikkerhetstrusler mot skip og havner som brukes til internasjonal handel. Regelverk etter ISPS-koden gjelder uavhengig av flagg, farvann, eier med mer.

Forskrift nr. 538, om sikring av havneanlegg, og forskrift nr. 539, om sikring av havner, etablerer et begrep om sikringsnivå for havner og havneanlegg. Tilsvarende etablerer forskrift nr. 972, om sikkerhet og terrorberedskap om bord på skip, et tilsvarende begrep om beredskapsnivå for skip. Denne graderingen gjør det mulig å tilpasse sikringstiltak til den gjeldende trusselsituasjonen. Myndighetene kan beslutte å sette i verk et forhøyet beredskapsnivå. Kystverket fastsetter det maritime sikringsnivået som havner og havneanlegg skal operere på. Skip som befinner seg i disse eller i norsk farvann, må forholde seg til dette sikringsnivået uavhengig av flagg. Sjøfartsdirektoratet fastsetter sikringsnivået for skip under norsk flagg, gjerne knyttet til spesielle farvann. Ingen av forskriftene nevner digitale sårbarheter eller IKT-sikkerhet spesielt.

Sikkerhetsforskriften fra Sjøfartsdirektoratet krever at det skal utarbeides en sårbarhetsvurdering (Ship security assessment, SSA) som beskrevet i ISPS-koden del A seksjon 8, og en sikkerhets- og terrorberedskapsplan (Ship security plan, SSP) som beskrevet i ISPS-koden del A seksjon 9. Når det er verifisert at fartøyet oppfyller kravene i forskriften og i den godkjente sikkerhets- og terrorberedskapsplanen, utsteder Sjøfartsdirektoratet eller klasseinstitusjonen (såkalt RSO) et internasjonalt sikkerhets- og terrorberedskapssertifikat (ISSC). Dette har en gyldighet på fem år med forutsetning om en mellomliggende verifikasjon mellom andre og tredje år.

Et minstekrav til sikkerhetsvurderingen i henhold til ISPS-kodens del A, seksjon 8 er at den skal identifisere: eksisterende tiltak, operasjoner det er særlig viktig å beskytte, mulige trusler og deres sannsynligheter, samt sårbarheter. ISPS koden nevner ikke digitale sårbarheter spesielt, men kravene til en sikkerhetsvurdering er formulert generelt slik at digitale sårbarheter også omfattes av forskriften. Dette kravet om sårbarhetsvurdering og sikringsplan gjelder også for havner og havneanlegg.

Kystverket og Sjøfartsdirektoratet fører ikke tilsyn med IKT-sikkerhet i maritime selskaper. Rederiene har uttrykt at de ikke ønsker et detaljert regelverk og tilsynsregime for digitale sårbarheter, men foretrekker en risikobasert tilnærming.

18.4.3 Beredskap og hendelseshåndtering

Det er ikke kjent at norsk maritim sektor har vært berørt av alvorlige hendelser knyttet til digitale sårbarheter, men flere mindre hendelser er identifisert, og alvorlige hendelser har inntruffet i andre land. Det er kjent hvordan ondsinnet modifikasjon av navigasjonssignaler og identifikasjonssignaler kan medvirke til grunnstøting og kollisjon.

Maritim sektor er en foregangssektor når det gjelder beredskapsplaner og øving av beredskap. Offshoreskip ligger kanskje lengst fremme på dette området innenfor skipsfarten. Dette arbeidet fokuserer på utilsiktede hendelser som grunnstøting, havari og brann. Disse planene har i liten grad innarbeidet digitale sårbarheter, og det er ikke identifisert øvelser som involverer slike hendelser. Det er etablert globale rutiner for varsling av hendelser eller systembortfall som kan gi fare for navigasjonssikkerhet (NAVTEX- og NAVAREA-meldinger).

Det øves på å styre skip «manuelt» ved bortfall av industrielle automasjons- og kontrollsystemer, men systemene blir mer og mer avhengige av slike systemer. Det er tvilsomt om en flytende oljeplattform lar seg styre uten et funksjonelt DP-system (dynamiske posisjoneringssystemer). Det øves på utfall av elektroniske navigasjonssystemer, og enkelte rederier opplyser at de har beredskapsplaner for noen kritiske systemer.

18.4.4 Digitale sårbarheter innen sjøtransport

Ettersom maritim sektor i stor grad benytter IKT, er sektoren også eksponert for digitale sårbarheter. Det benyttes i stor grad trådløse datanett i sektoren, sektoren er global, og det kan forventes industrispionasje, jf. hendelsen mot Ulstein Gruppen. Sjøtransporten er avhengig av en rekke systemer basert på digital teknologi:

  • globale posisjoneringssystemer (GNSS)

  • elektroniske kart og informasjonssystemer (ECDIS)

  • automatisk identifisering av skip (AIS/LRIT)

  • nettverksbaserte kontrollsystemer om bord for blant annet styring og fremdrift

  • radiokommunikasjon (satellitt, MF/HF, VHF, UHF, mobiltelefon, kabel (i havn))

  • datakommunikasjon (primært via satellitt)

  • administrative systemer (rapportering til myndigheter, rederi, lasteier med flere)

  • landbaserte systemer for administrasjon av havneanløp, last, passasjerer med mer

Underholdning og velferdstilbud om bord på skip medfører nye sårbarheter. Noen skip har fysisk adskilte nett, mens andre har virtuelt adskilte nett. Det er varierende kvalitet på separasjonsmekanismene, ofte er det bare enkle brannveggfunksjoner. Se for øvrig omtale i punkt 18.3 «Luftfart».

18.4.4.1 Navigasjons- og posisjoneringssystemer

Navigasjonsulykker (kollisjon, grunnstøting, kontaktskade) utgjør omtrent 50 prosent av alvorlige skipsulykker. Slike ulykker kan få store konsekvenser, spesielt ved passasjertransport og ved transport av farlig last. Norskekysten har mange leder som er trange og krever presis navigering med hyppige kursendringer. Det er også betydelig transport av farlig eller forurensende last, blant annet i forbindelse med oljevirksomheten. Seilaser i Norge med forhøyet risiko er generelt underlagt losplikt, noe som reduserer mulige konsekvenser av sårbarheter i digitale systemer.

Globale posisjoneringssystemer spiller en stor rolle ved navigasjon. Det amerikanske GPS-systemet har flere kjente sårbarheter. Signalene kan forstyrres (jamming), signalene kan modifiseres (spoofing), og amerikanske myndigheter kan degradere ytelse eller i spesielle tilfeller slå av tjenesten. Passasjerer kan med enkelt og rimelig utstyr forstyrre GPS-signaler om bord. Tester med GPS-blokkering (jamming), utført av The General Lighthouse Authorities of the United Kingdom and Ireland, viser at utfall av GPS-tjenester har betydelige konsekvenser for maritim sikkerhet.

Konsekvensene av utfall av eller feil på globale posisjoneringssystemer kan være store for eksempelvis offshorefartøy som holder posisjon tett inntil oljeinstallasjoner. For navigasjon i ledene langs kysten i god sikt er konsekvensene mindre. Undersøkelser blant seilende navigatører viser at observasjon av land og navigasjonsinnretninger visuelt eller ved hjelp av radar, eventuelt også med los, er den viktigste navigasjonsmetoden. Denne metoden brukes oftest i kombinasjon med elektronisk stedfesting på elektroniske kart. Navigasjon basert på informasjon fra to separate kilder som kontinuerlig verifiseres opp mot hverandre, anses som «best practice». Det er da viktig at begge kildene fungerer, men det blir ikke sikkerhetsmessig kritisk før begge kildene svikter samtidig.

I et eksperiment fra 2013 viste forskere ved University of Texas (Austin) hvordan GPS-modifikasjon (spoofing) kan påvirke et fartøys navigasjon. Om bord i skipet ble en innretning på størrelse med en koffert brukt for å sende falske signaler til skipets GPS-mottakere. Skipets navigasjonssystem var ikke i stand til å avsløre at signalene var falske. Mannskapet ble lurt til å korrigere kursen i henhold til de falske GPS-signalene, og skipet kom ut av kurs uten at det ble oppdaget. Utstyret som ble brukt, kostet cirka 20 000 kroner å produsere.

GPS-sporsystemer benyttes til lokalisering og overvåking av last (containere) i transportkjeden. Dette gir forutsigbare ankomsttider og kan virke avskrekkende på potensielle tyver. Sporsystemet inneholder også informasjon om type last. En jammer kan «gjemme» containeren.

Det finnes flere eksempler på at overdreven tillit til digitale navigasjonssystemer kan medvirke til å svekke årvåkenheten hos navigatøren eller skipsføreren. Dette forsterker konsekvensen av angrep rettet mot slike systemer. En mulig fare er at operatørene enten ikke merker at et system er satt ut av spill, eller at de ikke er godt nok forberedt til å ta i bruk alternative navigasjonsmidler. For ytterligere omtale av sårbarheter knyttet til satellittbaserte tjenester, se kapittel 12 «Satellittbaserte tjenester».

Boks 18.4 USS Guardian

Den 17. januar 2013 grunnstøtte minesveiperen USS Guardian på Tubbataha-revet ved Filippinene. En granskingsrapport fant ingen enkeltårsak til hendelsen, men konkluderte med at ulykken kunne vært unngått og var et resultat av «poor voyage planning, poor execution and unfortunate circumstances». Spesielt påpekes det at for stor tillit til elektroniske kart var en medvirkende årsak: «The leadership and watch teams relied primarily on an inaccurate Digital Nautical Chart (DNC)® coastal chart during planning and execution of the navigation plan.» Selv om denne hendelsen skyldtes menneskelig svikt og ikke ondsinnede handlinger, viser den at den store tilliten til slike systemer er en risikofaktor.

18.4.4.2 Elektroniske kart- og informasjonssystemer

Electronic Chart Display and Information System (ECDIS) er et navigasjonsinformasjonssystem som oppfyller krav fastsatt av Den internasjonale sjøfartsorganisasjonen (IMO). ECDIS kan benyttes som lovlig erstatning for papirkartet dersom det brukes offisielle kartdata som er produsert etter gitte internasjonale standarder og kravspesifikasjoner. I tillegg må en ha et godkjent backup-system. Det betyr at man må ha to ECDIS-er om bord som er tilknyttet hver sin strømkilde. Det stilles også krav om at et ECDIS skal være typegodkjent.

Et ECDIS skal vise all sjøkartinformasjon som er nødvendig for sikker og effektiv navigasjon, og data skal være levert og godkjent av en autorisert sjøkartmyndighet. I Norge er Kartverket sjøkartmyndighet, og deres sjødivisjon leverer og godkjenner sjøkartdataene.

Elektroniske kart- og informasjonssystemer må holdes løpende oppdatert. Dette skjer ved bruk av minnepinner, CD-er, e-post eller nettbaserte tjenester. Under oppdatering kan det spres virus, og det kan bli lagt inn tilsiktede og utilsiktede feil i kart og informasjon. I ett kjent tilfelle manglet nye nedlastede kart dybdeinformasjon.

Boks 18.5 Digitale kart og ECDIS

En ECDIS-arbeidsstasjon tar inn navigasjonsdata fra en rekke sensorer som sammen med elektroniske kart gir et kraftig navigasjonsverktøy. Siden ECDIS er et knutepunkt som kobler sammen mange navigasjonssystemer, vil en angriper som får tilgang til ECDIS, ha mange muligheter til å villede navigatøren: modifisering av sensordata slik at operatøren får et feilaktig bilde, manipulasjon/tyveri av elektroniske kart eller bruk av ECDIS som et tilgangspunkt for videre inntrenging. Sikkerhetsfirmaet NCC Group har vist at man kan trenge inn i ECDIS-systemer ved hjelp av enkle teknikker.

18.4.4.3 Identifikasjonssystemer

Automatisk identifikasjonssystem (Automatic Identification System, AIS) er et antikollisjonshjelpemiddel for skipsfarten. Fartøyer som har utstyr for AIS om bord, sender ut og utveksler informasjon om sin identitet, posisjon, fart, kurs og så videre over frekvenser på VHF-båndet. AIS brukes også av maritime trafikksentraler for å holde oversikt over skipstrafikken innen egne ansvarsområder.

Rekkevidden varierer, men kan være på opptil 40 nautiske mil. Etter krav fra IMO skal fartøyer over 300 brutto registertonn i internasjonal fart ha utstyr for sending og mottak av AIS-signaler. Med visse unntak har de aller fleste skip i dag AIS, og det anslås at over 40 000 skip har AIS-utstyr klasse A om bord.

Boks 18.6 Digitale sårbarheter ved AIS

AIS er sårbart fordi systemet i liten grad er designet med tanke på digitale sårbarheter. Det er ingen kontroll av autentisiteten til meldinger og heller ingen kryptering. I en sikkerhetsevaluering utført av Trend Micro i 2013 ble det vist hvordan AIS kan angripes. Med enkelt utstyr kunne en angriper blant annet

  • endre all AIS-informasjon som sendes ut fra et fartøy

  • forfalske fartøysinformasjon, slik at ikke-eksisterende skip blir oppfattet av andre som faktiske fartøy, eller for å igangsette operasjoner med søk- og redningsfartøy (SAR), herunder helikoptre

  • generere falske værmeldinger

  • utløse falske kollisjonsvarsler (CPA)

  • utgi seg for å være sjøfartsmyndigheter for å kunne manipulere mannskapet på fartøyet

  • sende ut falske mann-over-bord-meldinger (SAR) for å lure et fartøy inn i et fiendtlig område

  • iverksette ulike former for tjenestenektangrep for å hindre legitim AIS-trafikk

Realisering av én av disse handlingene eller flere i kombinasjon kan ha ulike og omfattende konsekvenser.

En kjenner ikke til tilfeller der modifiserte AIS-signaler har ført til ulykker, men manipulerte AIS-signaler kan medføre kollisjonsfare selv om en bemannet bro skal reagere på slike hendelser. Trafikksentraler benytter informasjon om dypgang i AIS-signalene for å dirigere fartøy. Modifiserte data om dypgang kan føre til grunnstøting. Modifiserte AIS-signaler er ikke lett synlige for brukeren og kan gi feilaktige vurderinger av den aktuelle kollisjons- og/eller grunnstøtingsrisikoen og derigjennom bidra til en gal beslutning. Falske AIS-signaler kan brukes til å skjule identiteten til et skip. AIS-data er tilgjengelige på åpne websider og fra mobile applikasjoner (apper). Dette utgjør en sårbarhet ved at «alle» kan kjenne til et skips identitet, dimensjoner, hastighet med mer.

Den viktigste egenskapen til AIS er en veldig nøyaktig tidssynkronisering som muliggjør en selvorganiserende datalink mellom alle AIS-mottakere. Tidssynkroniseringen til AIS baserer seg på GPS’ atomklokker. Bortfall av GPS-tid (UTC) vil dermed også stenge ned AIS. I dag er det kun VHF og radar som er alternativene for identifikasjon av fartøyer i antikollisjonsøyemed, med LRIT som «strategisk» ID-kilde for myndighetene. For ikke-landnære områder ble et satellittbasert langdistansesystem for identifisering og sporing av fartøy (LRIT) innført i Norge i 2009. Et alternativt (redundant) identifikasjonssystem blir tilgjengelig hvis/når infrastrukturen «Maritime Cloud» blir implementert.

18.4.4.4 Industrielle automasjons-, kontroll- og sikkerhetssystemer

Tradisjonelt har skip vært bygd med enkeltstående og autonome kontroll- og sikkerhetssystemer, der skipets viktige hovedfunksjoner (for eksempel fremdrift, styring, kraftproduksjon, dynamisk posisjonering, kran, ROV-systemer og ballastering) var kontrollert og overvåket av enkle, ikke-programmerbare systemer. Slike skip var i liten grad utsatt for fellesfeil som kunne påvirke flere hovedfunksjoner samtidig. Gjeldende internasjonale regelverk er basert på at skipets mannskap skal ha kapasitet, kunnskap og mulighet til å styre skipets hovedfunksjoner med enkle lokale og manuelle metoder dersom en feil skulle oppstå.

Som et resultat av den teknologiske utviklingen er imidlertid dagens skip høyteknologiske installasjoner som er avhengige av programmerbare og nettverksbaserte systemer. I tillegg blir skipets viktige automasjons-, kontroll- og sikkerhetssystemer i økende grad integrert med nettverksløsninger. Dette innebærer økt risiko for at digitale feil, skadeprogrammer og angrep vil kunne slå ut enkelte eller flere av skipets viktige funksjoner samtidig. Selv om skipet fremdeles skal kunne styres og kontrolleres lokalt/manuelt, vil dette i mange tilfeller være en krevende oppgave på grunn av manglende kunnskap, manglende øvelse, begrenset mannskap, kompliserte brukergrensesnitt, og så videre.

Næringen bruker systemer som i dag i stor grad er basert på kommersielt tilgjengelige komponenter som for eksempel PC-er med Microsoft Windows operativsystem. Det innebærer at kjente sårbarheter for slike kommersielle standardprodukter også vil være eksponert i sektoren. For å sikre seg mot slike sårbarheter må systemene løpende oppdateres med rettelser fra produsentene. Dette er utfordrende i maritim sektor fordi datakommunikasjonen til skipene kan ha begrenset kapasitet, og fordi oppdateringer som kan påvirke systemer som er i drift, må planlegges nøye og kanskje utføres når skipet ikke er i normal drift. Mange skip benytter digitale systemer som ikke har oppdaterte sikkerhetsrettelser.

18.4.4.5 Kommunikasjon

Logistikk-kjeden ved transport av varer og personer involverer et stort antall aktører og utstrakt bruk av usikret e-post. Blant annet utveksles passasjerlister, og ved en ulykke vil informasjon om skadede personer utveksles. Skadeinformasjon er sensitiv personinformasjon, og usikret e-post er ikke et medium som er egnet til dette.

Et stort antall aktører utveksler mye informasjon på e-post om skip, last og passasjerer.

Systemer for sikring av e-post har vært tilgjengelige over lang tid, men er i liten grad tatt i bruk, da systemene krever elektronisk ID og anskaffelse og bruk av slik ID oppfattes som svært tungvint. Løsningene har også primært vært tilrettelagt for person-til-person-kommunikasjon. Det arbeides med løsninger for selskap-til-selskap-kommunikasjon («Digipost for selskaper»).

Åpen kommunikasjon gjennom VHF har en sikkerhetsfunksjon som gjør at det er mulig å initiere kommunikasjon uten nærmere kunnskap om identiteten til den man vil kommunisere med, og ved at alle fartøy som er involvert i en trafikksituasjon, får tilgang til lik informasjon ved å overhøre kommunikasjon mellom andre skip eller mellom andre skip og vessel traffic service (VTS). Dette innebærer utfordringer med tanke på personvern, men også i forbindelse med utveksling av sikkerhetsinformasjon i havner, og så videre. I dag kommuniseres sensitiv informasjon mellom skip og aktører på land i stor grad ved hjelp av mobiltelefoni når fartøy er nær land, eller ved hjelp av satellittbasert telefoni til havs. Med utviklingen av små, håndholdte VHF-enheter har det oppstått en ny sårbarhet, nemlig at disse enhetene kan bli «liggende på sendeknappen» og dermed jamme oppkallings- og nødkanalen.

18.4.4.6 Kommandoforhold om bord kan medføre sårbarheter

Dersom en kaptein beordrer sammenkobling av systemer eller nett, er det vanskelig for en elektriker/servicetekniker å motsette seg dette ut fra sikkerhetsbetraktninger. Næringen har i liten grad IKT-teknisk personell ombord, og ofte gjøres IKT-teknisk vedlikehold av ikke-IKT-faglige personer. Skipene er derfor i stor grad avhengige av fjernarbeid utført av leverandører og landbaserte IKT-teknikere. De digitale systemene om bord muliggjør fjernvedlikehold, diagnostikk og oppdateringer over nett. Det betyr ofte at systemene åpnes for tilgang fra Internett, noe som også åpner for en rekke digitale sårbarheter. Det varierer hvor sterkt sikring mot dette blir vektlagt. Noen rederier har innført nøkkelbrytere for å kontrollere slik tilgang, men sektoren har i liten grad innført dedikerte systemer for kontroll. Ved et tilfelle resatte personell som utførte vedlikehold via en nettforbindelse, digitale systemer på feil skip.

Når skip ankommer havner, kommer det ofte servicepersonell og inspeksjonspersonell om bord. Kontrollen med identitet og kompetanse hos slikt personell varierer. Disse har ofte med seg minnepinner og lignende, som utgjør en sårbarhet ved at de kan installere feil programvare, spre ondsinnet kode eller utføre feilkonfigurasjon av systemer. Det er varierende fysisk sikring av serverrom, kommunikasjonsrom og kablingsskap på skip. Det er også varierende grad av merking av kabling. Spesielt på eldre skip kan datakabling for kritiske nett være tilgjengelig for mannskap og passasjerer. Dersom uautoriserte datamaskiner kobles til slike segmenter, innføres en rekke sårbarheter.

18.4.4.7 Sentrale systemer

Det benyttes i stor grad overvåkingssystemer (CCTV) både om bord i skip, i trange passasjer og i havn. Slike systemer samler mye informasjon som kan ha betydning både for personvern og for ondsinnede handlinger. Systemene kan settes ut av drift, og de kan benyttes til å innhente informasjon. Slike systemer er brukt for å stjele brukeridentiteter og passord. Det er varierende praksis for sikring av data og sletting.

Kystverket utvikler og drifter SafeSeaNet Norway som en felles nasjonal meldeportal for skipsfarten. Dette systemet er basert på det europeiske Single Window-konseptet, som anbefaler utviklingen av en nasjonal portal der fartøy, rederier og operatører kan sende inn rapporteringspliktig informasjon til nasjonale myndigheter kun én gang. Informasjonen skal videreformidles automatisk til nasjonale myndigheter for å forenkle og øke kvaliteten på den offentlige saksbehandlingen overfor maritime brukere. Informasjon om farlig eller forurensende last blir videreformidlet til det sentrale europeiske SafeSeaNet-systemet.

SafeSeaNet har en stor og variert brukermasse, og det er utfordrende å sikre god brukerautentisering. En utenforstående kan lage seg en falsk konto og både hente ut og registrere feilaktig informasjon. Blant annet ligger sikkerhetsinformasjon om skip i systemet. SafeSeaNet spiller en viktig rolle ved losformidling, meldinger om farlig gods, trafikkontroll, tollkontroll og grensekontroll. Bortfall av systemet eller feilaktig informasjon kan føre til at viktig informasjon ikke er tilgjengelig når kritiske situasjoner oppstår.

Barents Watch er et norsk overvåkings- og informasjonssystem som gir et oversiktsbilde av aktiviteter og tilstand i kyst og havområder. En åpen løsning finnes allerede og det arbeides med en adgangsbegrenset løsning. Barents Watch adgangsbegrensede del skal tjene som et system for utveksling av informasjon mellom etater med operativt ansvar i kyst- og havområdene.

18.4.4.8 Globale utfordringer

Etter angrepet på Twin Towers 11. september 2001 har det vært økt oppmerksomhet omkring mulige angrep som involverer passasjerskip og skip med farlig last. Den amerikanske kystvakten har en pågående vurdering av om de skal sette «cybersecurity»-krav til skip som anløper amerikanske havner.

EU fikk i 2011 utført en analyse som munnet ut i rapporten Cyber Security Aspects in the Maritime Sector. Noen av hovedfunnene i denne rapporten var at maritim bevissthet om informasjonssikkerhet («cyber security awareness») er lav og til dels ikke-eksisterende, og at eksisterende maritimt regelverk og policy kun fokuserer på fysisk sikkerhet og ikke tar informasjonsaspektet i betraktning. Dette kan overføres til norske forhold. Videre anbefales det at IMO og EU sørger for en harmonisering av regelverket, og at man bør forsøke å bygge plattformer for bedre informasjonsutveksling mellom medlemsstatene for dette domenet.

IMOs sjøsikkerhetskomité (Maritime Safety Committee) har satt i gang et arbeid for å se på behovet for retningslinjer for maritim cybersikkerhet under det stående agendapunktet «Measures to enhance maritime security» etter initiativ fra Canada og USA. Maritim industri ved Intertanko, Intercargo, BIMCO og ICS arbeider med en egen industriveiledning for risikobasert håndtering av informasjonssikkerhet. Arbeidet med veilederen er gjort kjent for IMO, og MSC holdes informert og vil bli presentert det endelige dokumentet. Et lignende arbeid er satt i gang av IMOs Facilitation Committee.

IMO er en stor og tung organisasjon der utarbeidelse av nye retningslinjer tar lang tid. IMOs intensjon er å lage frivillige retningslinjer, mens EU gjør disse retningslinjene til obligatoriske krav.

18.4.5 Fremtidige problemstillinger og trender

IMO har vedtatt en strategiplan (MSC94) for implementering av e-navigasjon. Planen påpeker behovet for en autorisert kommunikasjonsinfrastruktur om bord i skip, mellom skip, mellom skip og land og mellom myndigheter og andre maritime interessenter. Denne «maritime skyen» («Maritime Cloud») er definert som «en kommunikasjonsinfrastruktur for effektiv, pålitelig og sømløs digital informasjonsutveksling mellom alle autoriserte maritime interessenter på tvers av alle tilgjengelige kommunikasjonssystemer».

Virtuelle seilingsleder erstatter bøyer og andre fysiske navigasjonsinnretninger med motsvarende virtuelle objekter som fremvises om bord på beslutningsstøttesystemer som ECDIS og RADAR. IALA/IEC har allerede utarbeidet standarder for presentasjon av virtuelle navigasjonsinnretninger (ikoner) på navigasjonsutstyr. Kystverket, som har ansvar for merking av ledene i dag, legger ikke opp til en slik utvikling i Norge.

Autonome og ubemannede skip anses som et element i en bærekraftig og konkurransedyktig (skips)industri i fremtiden. EU-prosjektet MUNIN undersøker både konseptet og teknologien som kreves for å operere et «industrielt autonomt skip» både kosteffektivt og sikkert i et reelt og kommersielt miljø.

Reassuransemarkedet innførte etter 11. september 2001 et unntak for bruk av datateknologi i skadelig hensikt, den såkalte Cyber Attack-klausulen (CL 380). I det internasjonale forsikringsmarkedet for maritime enheter (skip, rigger og så videre) gjelder CL 380 tilnærmelsesvis uten unntak.

Under krigsdekningen hos Den Norske Krigsforsikring for Skib dekkes tap og skade som oppstår på basis av bruk av datateknologi i skadehensikt, altså det CL 380 i hovedsak søker å ekskludere. Slik sett er norske skip og rigger bedre beskyttet enn resten av verdensflåten. Det er imidlertid en risiko for at norske skip og rigger kan bli utsatt for skadeverk gjennom hacking eller lignende som ikke omfattes av krigsforsikringen fordi angrepet ikke kan betegnes som sabotasje eller politisk motivert skadeverk. Skal skadeverket henføres til sivildekningen, vil det være et hull i dekningen. Med den praksis at denne risikoen ekskluderes under sivil kasko, vil det være en ikke ubetydelig udekket risiko for rederne/sikrede, ettersom slike risikoer bare i spesielle tilfeller vil være å regne som krigsfare etter CL 2-9.

18.5 Vurderinger og tiltak på tvers av transportsektoren

Samferdselssektoren har de siste årene blitt mer avhengig av IKT, og kompleksiteten i IKT-systemer og nett har økt. Utviklingen har ført til at sektoren er blitt mer sårbar overfor svikt og brudd i systemer og nett. Bortfall av IKT-tjenester kan få store konsekvenser for transportsikkerhet og pålitelighet, og utvalget mener at IKT-sikkerhet og -beredskap må være et grunnleggende innsatsområde innenfor sektoren.

Transportsektoren står blant annet overfor store og omfattende investeringer innen IKT. Disse prosjektene kjennetegnes av grenseoverskridende føringer, høy kompleksitet og store kostnader. Investeringer i dag skal være levedyktige i mange år fremover i tid, noe utvalget mener er utfordrende på et område der teknologien utvikler seg svært raskt samtidig som anskaffelsesregime og lovverk har en vesentlig lengre endringstakt.

Utvalget merker seg at sentrale trafikkstyrings- og kontrollsystemer innen vei, bane, luft og sjø kan svikte på grunn av både tilsiktede og utilsiktede hendelser. Dette vil kunne medføre konsekvenser for trafikkavvikling og kan i noen tilfeller true sikkerheten, spesielt hvis noen får kontroll over eller manipulerer styringssystemene.

Utvalget mener at transportsektoren derfor bør vie eksisterende og kommende digitale sårbarheter enda større oppmerksomhet, og at innsatsen, som følge av sektorens globale karakter, også må rettes mot internasjonale samarbeidsfora.

Nye, publikumsvennlige digitale løsninger for utførelse av offentlige tjenester vil i de fleste tilfeller inneholde personopplysninger samt kunne åpne for en tettere kobling mellom forskjellige registre med ulike formål. Utvalget mener det er behov for å vurdere personvernspørsmål knyttet til sektorens systemer. Området er relevant i forhold til Den europeiske menneskerettighetskonvensjons (EMK) bestemmelser om fri bevegelse. Dette avhenger av om det blir obligatorisk å benytte systemene i praksis. Ikke å kunne bevege seg uten å legge igjen spor representerer et inngrep i borgernes rettigheter og friheter. Det er også nødvendig å se på hvem som har tilgang til opplysningene som lagres. Anonymiseringsmuligheter må vurderes ettersom mange hensyn kan ivaretas uten at man knytter opplysningene til person. Problemstillingene må ses i sammenheng med utkontraktering, i og med at mange av «eierne» av informasjonen (transportselskaper, billettselskaper og så videre) hører hjemme i andre jurisdiksjoner. Formålsglidning er en sentral problemstilling jf. kapittel 11 «Elektronisk kommunikasjon».

Utvalget foreslår følgende tiltak:

18.5.1 Styrke IKT-tilsyn og samarbeid mellom transportgrenene

Samtlige transportgrener opplever en trend der digitaliseringen skyter fart og sektoren skal igjennom store endringer. Utvalget ser blant annet med bekymring på økende systemintegrasjon og kompleksitet, som også rammer styringssystemer. Utvalget er gjort kjent med eksempler på manglende kontroll av kritiske styringssystemer, blant annet knyttet til fysisk skille («air gap») mellom et kritisk IKT-system og kunderettede tjenester, for eksempel om bord i fly eller skip. Dette er en internasjonal problemstilling, og det forutsettes at tilsynsmyndighetene har tilstrekkelig kompetanse og kapasitet til å kunne påvirke i relevante internasjonale fora.

Transportbransjen kjennetegnes av en pågående og økende privatisering og internasjonalisering, noe som medfører en rekke utfordringer, særlig for myndighetenes krisehåndtering. Eie- og leieavtaler er i kontinuerlig endring. Det er en utfordring for krisehåndtering at tjenesteproduksjonen i stor grad håndteres av underleverandører og dermed styres gjennom kommersielle avtaler.133Utvalget vil anbefale at sektoren går igjennom beredskapsplanene og sjekker disse opp mot digitale sårbarheter og reserveløsninger. Beredskapsplanverket må også ha planer for å håndtere digitale kriser der leverandører befinner seg utenfor Norges grenser.

Samferdselssektoren gjør et omfattende arbeid med risikoanalyser. Utvalget har observert at IKT og digitale sårbarheter i mindre grad er inkludert i dette arbeidet. Utvalget er imidlertid kjent med at det pågår diskusjoner om etablering av et samarbeidsforum mellom transportetatene.

Det er behov for ressurssterke tilsynsmyndigheter som kan følge med på den internasjonale utviklingen og gi norske innspill. Dette forutsetter at myndighetene har hjemmel og makt i tilsynsarbeidet sitt. I tilfeller der tilsynsmyndigheten mangler hjemler, bør det settes i gang et arbeid med å gi myndigheten dette der det er mulig. Et slikt initiativ er blant annet gjort innenfor skinnegående transport. Utvalget vil også fremheve myndighetenes veiledningsrolle som vesentlig, samt samarbeid og informasjonsutveksling både internt i sektoren og med andre tilsynsmyndigheter på IKT-området.

Utvalget anbefaler at Samferdselsdepartementet styrker tilsynsmyndighetene innenfor transportsektoren innen IKT-sikkerhet. Tilsynsmyndighetene må ha kapasitet og kompetanse til å føre tilsyn med og veilede virksomheter på norsk territorium, samt bidra i internasjonale fora.

18.5.2 Etablere en felles rapporteringskanal for IKT-hendelser innen transportsektoren

Utvalget vurderer at det er behov for en felles rapporteringskanal både fra myndighetene til sektoren og fra sektoren til myndighetene når det gjelder IKT-hendelser. Når for eksempel NSM NorCERT detekterer en økning av Internett-baserte angrep mot sektoren, må alle relevante aktører i sektoren kunne varsles.

Et alternativ kan være at sektoren etablerer en egen CERT-tjeneste, men det er uklart hvem som eventuelt skal etablere og finansiere denne, også gitt den globale dimensjonen for flere av transportgrenene. Utvalget observerer at Samferdselsdepartementet hittil har overlatt denne diskusjonen til underlagte etater. Utvalget mener at Samferdselsdepartementet bør utrede hvordan rapportering av IKT-hendelser bør ivaretas for sektoren.

18.5.3 Særskilte tiltak for sjøtransport

Den maritime sektoren er svært avhengig av digitale systemer for å ivareta sjøsikkerhet og effektivitet. Maritim sektor omfatter mange aktører, også et globalt arbeidsmarked der utenlandske sjøfolk arbeider på skip som seiler i norske farvann. Maritim sektor er en global industri underlagt internasjonale konvensjoner og regelverk. Dette setter rammer for hva norske myndigheter selv kan gjøre. Utvalget observerer at ulike myndigheter har et ansvar i en kompleks verdikjede i sjøfarten, samtidig som det mangler en myndighet med et helhetsblikk på digitale sårbarheter i hele verdikjeden.

Etablere helhetsoversikt over IKT-sikkerheten i maritime verdikjeder

Utvalget vil anbefale at Kystverket gis et overordnet ansvar for å ha en helhetsoversikt over IKT-sikkerheten i maritime verdikjeder og gi råd til departementet om prioriteringer som gjelder digitale sårbarheter i verdikjeden. Det inkluderer en digitalisert maritim infrastruktur langs kysten og i farleder og IKT-sikkerhet om bord i fartøy og for maritimt personell. Rollen tilsvarer den som Petroleumstilsynet er gitt på petroleumsområdet. Rollen endrer ikke ansvaret Sjøfartsdirektoratet har for skip og maritimt personell, eller Nkoms ansvar for elektronisk kommunikasjon.

Tilrettelegge for sikring av identitet

Det er en uløst problemstilling internasjonalt knyttet til sikret digital utveksling av passasjer- og mannskapsinformasjon, last- og kundedata. Utvalget anbefaler Samferdselsdepartementet, i samarbeid med andre relevante myndigheter, å ta initiativ for å finne en løsning på dette internasjonalt.

Fotnoter

1.

Næringslivets sikkerhetsråd (2014): Mørketallsundersøkelsen 2014 – Informasjonssikkerhet, personvern og datakriminalitet.

2.

Kjernenettet kalles i noen sammenhenger transportnettet.

3.

Regionalnettene kalles i noen sammenhenger metronett.

4.

Public Switched Telephone Network.

5.

Integrated Services Digital Network.

6.

Voice Over IP.

7.

Bing, J.: «Building cyberspace: a brief history of Internet». In: Internet Governance, Infrastructure and Institutions. Eds: Bygrave, L.A. and Bing. J., Oxford University Press: 8–47.

8.

Post- og teletilsynet (2014): Ekomtjenester, -nett og -utstyr. Utvikling og betydning for PT.

9.

Lov om elektronisk kommunikasjon (ekomloven), Samferdselsdepartementet 01.10.2015.

10.

Nasjonal kommunikasjonsmyndighet (2013): Forskrift om klassifisering og sikring av anlegg i elektroniske kommunikasjonsnett (klassifiseringsforskriften).

11.

«Tilbyder skal varsle Post- og teletilsynet om hendelser som vesentlig kan redusere eller har redusert tilgjengeligheten til elektroniske kommunikasjonstjenester» Ekomforskriften § 8-4.

12.

Ekomlovens krav vedrørende kommunikasjonsvern, integritet og tilgjengelighet – logiske angrep. Presiseringsnotat fra Post- og teletilsynet til ekomtilbydere 2.4.2013.

13.

Hentet fra blant annet Sårbarhetsanalyse av mobilnettene i Norge 2012, Post- og teletilsynet.

14.

Ibid.

15.

Direktoratet for samfunnssikkerhet og beredskap (2014): Risikoanalyse av cyberangrep mot ekom-infrastruktur. Delrapport til Nasjonalt risikobilde 2014.

16.

DSB har med utgangspunkt i bruttonasjonalproduktet (BNP) for 2013, som var på om lag 3 000 milliarder kroner, beregnet at samlet produksjon i Norge i løpet av fem dager beløper seg til ca. 40 milliarder kroner. Det er videre antatt at om lag 1/3 av normalproduksjonen (ca. 13 milliarder kroner) vil gå tapt som følge av ekombortfallet. Selv om noe av omsetningssvikten kan innarbeides, antar det at nettotapet vil overstige 10 milliarder for de fem dagene landet i henhold til scenariet er uten ekomnett.

17.

Direktoratet for samfunnssikkerhet og beredskap (2015): Risikoanalyse av cyberangrep mot ekom-infrastruktur. Delrapport til Nasjonalt risikobilde 2014.

18.

Nexia/Styrmand (2012): Kost/nyttevurdering av tiltak for styrking av norsk sambands- og IP-infrastruktur. For Post- og teletilsynet.

19.

Fra Robusthet i transmisjon. Reservestrøm i transmisjonslinjer i Nødnett, DNK februar 2014.

20.

Hentet fra blant annet Sårbarhetsanalyse av mobilnettene i Norge, Nkom-rapport nr. 1 2012, Post- og teletilsynet.

21.

Brev fra John T. Chamber, CEO Cisco System, til president Obama, vedrørende lekkasjer i media om at NSA har brutt opp CISCO-forsendelser og modifisert CISCO-produkter. Datert 15. mai 2014.

22.

Over the top.

23.

Post- og teletilsynet (2014): Ekomtjenester, -nett og -utstyr. Utvikling og betydning for PT.

24.

http://www.pst.no/media/pressemeldinger/ vedtak-om-henleggelse-falske-basestasjoner/

25.

Oslo Economics (2015): Konsekvensutredning – Alternativer for styrket robusthet i landsdekkende kjernenett. Utarbeidet for Lysneutvalget.

26.

Justis- og beredskapsdepartementet (2014): Modell for håndtering av IKT-sikkerhetshendelser – anbefalinger og retningslinjer, brev til departementene.

27.

NOU 2009: 15 Skjult informasjon – åpen kontroll, side 164, høyre spalte.

28.

International Maritime Organization, FN.

29.

Samferdselsdepartementet (1999): Forskrift om etablering, drift og bruk av jordstasjon for satellitt.

30.

Hjemmelen for opprettelsen av IKU ligger i St.prp. nr. 54 (2008–2009).

31.

Norsk romsenter (2013): Vurdering av sårbarhet ved bruk av globale satellittnavigasjonssystemer i kritisk infrastruktur.

32.

Tabellen er basert på tabell i Sikkerhet i kritisk infrastruktur og kritiske samfunnsfunksjoner – modell for overordnet risikostyring. Direktoratet for samfunnssikkerhet og beredskap, 2012.

33.

Norsk romsenter (2013): Vurdering av sårbarhet ved bruk av globale satellittnavigasjonssystemer i kritisk infrastruktur.

34.

Ibid.

35.

For beregning av kostnader se Konsekvensutredning – Tydeliggjøring av myndighetsansvar for norsk romvirksomhet. Utarbeidet for Lysneutvalget, september 2015 Oslo Economics.

36.

For generell omtale av SCADA-systemer, se punkt 5.7 «Sikkerhet i prosesskontrollsystemer».

37.

Fra 1.9.2016 legges regionsentralen på Sunndalsøra ned, mens regionsentralene i Oslo og Alta består. Beslutningen ble tatt som en del av Statnetts arbeid med å styrke beredskapen og forsyningssikkerheten i kraftsystemet.

38.

«Clearing» betyr at en tredjepart håndterer transaksjonen, og sikrer at kjøpers og selgers forpliktelser blir ivaretatt.

39.

Norges vassdrags- og energidirektorat (2015): Smarte målere (AMS). Status og planer for installasjon og oppstart per 1. kvartal 2015.

40.

Olje- og energidepartementet (2014): Et bedre organisert strømnett fra 2014.

41.

Energisikkerhet er definert som «kraftsystemets evne til å dekke energiforbruket». Energiknapphet eller svikt i energisikkerhet karakteriseres ved redusert produksjon av elektrisk energi som følge av mangel på primærenergi (vann, gass, kull etc.). Effektsikkerhet defineres som «kraftsystemets evne til å dekke momentan belastning» og karakteriseres ved tilgjengelig kapasitet i installert kraftproduksjon eller i kraftnettet. Driftssikkerhet defineres som «kraftsystemets evne til å motstå driftsforstyrrelser uten at gitte grenser blir overskredet».

42.

Se Prop. 112 L (2010–2011) om endringer i energiloven. Dagens kapittel 9 i energiloven omhandler beredskap, og § 9-3 omhandler informasjonssikkerhet. Her sies det at enhver plikter å hindre at andre enn rettmessige brukere får adgang eller kjennskap til sensitiv informasjon om kraftforsyningen.

43.

Line, Maria Bartnes (2015): Understanding Information Security Incident Management Practices – A case study in the electric power industry. NTNU.

44.

Weiss, Joseph (2010): Protecting Industrial Control Systems from Electronic Threats. Momentum Press. New York.

45.

ENISA (2012): Smart Grid Security – Annex I General Concepts and Dependencies with ICT.

46.

Norsk elektroteknisk norm – NEK 399-1 2014 Tilknytningspunkt for el- og ekomnett. Normen omhandler etablering og utforming av felles grensesnitt (skap) for blant annet elnett, elmåler og ekomnett.

47.

Sæle, H., Sagosen, Ø., Bjørndalen, J. (2014): Norsk driftssentralstruktur Funksjon, kostnadsforhold og fremtidig utvikling. SINTEF Energi.

48.

Energi Norge og Telenor (2013): Sikkerhet og beredskap mot ekstremvær i telesektoren.

49.

Norsk romsenter (2013): Vurdering av sårbarhet ved bruk av globale satellittnavigasjonssystemer i kritisk infrastruktur.

50.

En rekke ROS-analyser er imidlertid gjennomført etter vedtaket, se eksempelvis Proactima og Energi Norge (2015), Overordnet risiko- og sårbarhetsanalyse for innføring av AMS.

51.

Olje- og energidepartementet (2003): Kronprinsregentens resolusjon om det nye Oljedirektoratets ansvar og oppgaver etter utskillelsen av Petroleumstilsynet.

52.

Petroleumstilsynet (2011): Deepwater Horizon-ulykken – Vurderinger og anbefalinger for norsk petroleumsvirksomhet.

53.

Retningslinje 104 Anbefalte retningslinjer krav til informasjonssikkerhetsnivå i IKT-baserte prosesskontroll-, sikkerhets- og støttesystemer, 110 Recommended guidelines for implementation of information security in Process Control, Safety and Support ICT systems during the engineering, procurement and commissioning phases, og retningslinje 123 Recommended guidelines for classification of process control, safety and support ICT systems based on criticality.

54.

Johnsen, Stig Ole (2012): An Investigation of Resilience in Complex Socio-Technical Systems to Improve Safety and Continuity in Integrated Operations. NTNU.

55.

FOX IT (2015): Cyber security: 60 percent of oil and gas companies do not have an Incident Response Plan in place.

56.

Helse- og omsorgsdepartementet, Klima- og miljødepartementet, Arbeids- og sosialdepartementet (2011): Forskrift om styring og opplysningsplikt i petroleumsvirksomheten og på enkelte landanlegg (styringsforskriften), § 29.

57.

Riksrevisjonen (2013): Riksrevisjonens rapport om den årlige revisjon og kontroll for budsjettåret 2013, Dokument 1 (2014-2015).

58.

Office of Electricity Delievery and Energy Reliability (2011): Vulnerability analysis of energy delivery control systems.

59.

Oljeindustriens landsforening (nå Norsk olje og gass) (2007): HMS- og Integrerte operasjoner: Forbedringsmuligheter og nødvendige tiltak.

60.

ECON (2014): The partnership between the Norwegian Oil & Gas Industry and the EU countries.

61.

Norges vassdrags- og energidirektorat (2015): Kraft fra land til Johan Sverdrup-feltet.

62.

Norsk romsenter (2013): Vurdering av sårbarhet ved bruk av globale satellittnavigasjonssystemer i kritisk infrastruktur.

63.

Ibid.

64.

Petroleumstilsynet (2011): Deepwater Horizon-ulykken – Vurderinger og anbefalinger for norsk petroleumsvirksomhet.

65.

Granskningsgruppe (2013): Angrepet mot In Amenas – Rapport fra granskningen av terrorangrepet mot In Amenas. Utarbeidet for styret i Statoil ASA.

66.

Johnsen, Stig Ole (2012): An Investigation of Resilience in Complex Socio-Technical Systems to Improve Safety and Continuity in Integrated Operations. NTNU.

67.

MSB (2010): Kartläggning av SCADA-säkerhet inom svensk dricksvattenförsörjning.

68.

Undersøkelsen er ikke publisert.

69.

Norsk Vann. Rapport 195/2013: Sikkerhet og sårbarhet i driftskontrollsystemer for VA-anlegg. 11.03.2013. Undersøkelsen var basert på sjekklisten utarbeidet i Norsk Vann. Rapport 195/2013.

70.

Driftskontrollsystem brukes synonymt med SCADA-system, se for øvrig kapittel 13 «Energiforsyning».

71.

Som beskrevet i Norsk Vann (2013): Jaatun M.G., Røstum J. og Petersen S. (2013): Veiledning for sikkerhet av driftskontrollsystemer for VA-systemer.

72.

Helse- og omsorgsdepartementet (2002): Forskrift om vannforsyning og drikkevann (Drikkevannsforskriften).

73.

Mattilsynet 2006: Økt sikkerhet og beredskap i vannforsyningen. Veiledning.

74.

Norsk vann (2014): Vann- og avløpsteknikk.

75.

http://norskvann.no/images/pdf/ledningskartverk.pdf.

76.

Samarbeidsforum for ledninger i grunnen, Kommunal- og moderniseringsdepartementet.

77.

Nasjonal sikkerhetsmyndighet (2015): Risiko 2015.

78.

Presentasjon av Mattilsynet på TEKNAs konferanse «Samfunnssikkerhet og vannbransjen», 21.–22. april 2015.

79.

Basert på sjekklisten utarbeidet i Norsk Vann. Rapport 195/2013.

80.

Rambøll (2013): Utfordringer og muligheter i kommunalteknisk sektor. FOU-prosjekt nr. 134038.

81.

Presentasjon av Mattilsynet på TEKNAs konferanse «Samfunnssikkerhet og vannbransjen», 21.–22. april 2015.

82.

Almklov (2011): Offentlige etaters rolle i å sikre robusthet i komplekst organiserte og tett koblede infrastruktursektorer.

83.

Norsk Vann (2014): Fra driftsassistanser til regionale vannassistanser. Rapport 203/2014.

84.

Helse- og omsorgsdepartementet (2002): Forskrift om vannforsyning og drikkevann (Drikkevannsforskriften).

85.

Se kapittel 14 «Olje og gass» hvor det vurderes tilknytning til responsmiljø for IKT-hendelser.

86.

Næringslivets sikkerhetsråd (2014): Mørketallsundersøkelsen 2014 – Informasjonssikkerhet, personvern og datakriminalitet.

87.

FinansCERT Norge opererer i dag for medlemmer i Finans Norge. Det er åpent for at også andre aktører i finansnæringen kan slutte seg til FinansCERT.

88.

Henholdsvis CoMiFin: Communication Middleware for a secure and dependable Financial Infrastructure (under EUs 7. rammeprogram) og European Security Research and Innovation Forum (ESRIF), som ett av flere underlag for EUs 8. rammeprogram.

89.

Finanstilsynet (2015): Risiko- og sårbarhetsanalyse (ROS) 2014. Finansforetakenes bruk av informasjons- og kommunikasjonsteknologi (IKT).

90.

Finanstilsynet (2015): Endelige retningslinjer for sikkerhet i internettbetalinger. Med virkning fra 15.08.2015.

91.

Gottschalk, Petter (2013): Flytting av arbeidsoppgaver til utlandet. En oversikt over forskning om mål og resultat når virksomheter setter ut til andre å utføre tjenester. BI. Til Finansforbundet.

92.

Forbrukerrådet (2014): Du selger deg billig – En rapport om betalingsløsninger og personvern.

93.

Langbråten, Nina (2012): Nye betalingsmåter. Norges Bank.

94.

International Monetary Fund (IMF)(2015): Financial System Stability Assessment for Norway.

95.

The Bank for International Settlements (BIS)(2014): Cyber resilience in financial market institutions.

96.

Norges Bank (2014): Finansiell infrastruktur 2014.

97.

«The black swan theory» dreier seg om hendelser som kommer som en overraskelse og har betydelig negativ effekt, men som oppstår svært sjelden, slik at det er lite eller ingen hendelseshistorie å lære av det.

98.

Meld. St. 9 (2012–2013) Én innbygger – én journal.

99.

Helsedirektoratet (2014): Utredning av «én innbygger – én journal», Komparativ analyse av de regionale helseforetakene på IKT-området.

100.

Meld. St. 9 (2012–2013) Digitale tjenester i helse- og omsorgssektoren, kap. 5, s. 43–47.

101.

Helsedirektoratet (2015): Styrket gjennomføringsevne for IKT-utvikling i helse- og omsorgstjenesten.

102.

De ni registrene som er opprettet i medhold av lov, er: Dødsårsaksregisteret, Medisinsk fødselsregister, Kreftregisteret, Meldingssystem for smittsomme sykdommer, System for vaksinasjonskontroll, Forsvarets helseregister, Norsk pasientregister, Nasjonalt register over hjerte- og karlidelser og System for bivirkningsrapportering.

103.

Helse- og omsorgsdepartementet (2014): Nasjonal helseberedskapsplan. Versjon 2.0.

104.

I forslag til statsbudsjett for 2016 har HOD foreslått at HelseCSIRT skal gå over til en fullverdig CERT. HelseCSIRT har vært godkjent for det i tre år allerede. Uttrykket HelseCERT vil dermed kunne benyttes fremover.

105.

Riksrevisjonen (2014): Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013, Dokument 3:2 (2014-2015).

106.

Helsetilsynet (2015): Med tilsynsblikk på alvorlige og uventede hendelser i spesialisthelsetjenesten. Status og erfaringer 2014 fra Undersøkelsesenheten i Statens helsetilsyn.

107.

Riksrevisjonen (2014): Riksrevisjonens kontroll med forvaltningen av statlige selskaper for 2013, Dokument 3:2 (2014-2015).

108.

Gartner (2014): Gartner survey of EHR suppliers and systems in the Norwegian market.

109.

Helsedirektoratet (2015): Styrket gjennomføringsevne for IKT-utvikling i helse- og omsorgstjenesten.

110.

NOU 2009: 1 Individ og integritet – Personvern i det digitale samfunnet.

111.

Ibid.

112.

Lov om humanmedisinsk bruk av bioteknologi -2003-12-05-100.

113.

Oviedokonvensjonen og Helsinkideklarasjonen.

114.

«Privacy Implications of Health Information Seeking on the Web». Communications of the ACM. Mars 2015.

115.

Helsedirektoratet (2014): Utredning av «en innbygger – én journal», IKT utfordringsbilde i helse- og omsorgssektoren.

116.

Meld. St. 26 (2012–2013) Nasjonal transportplan 2014–2023.

117.

Direktoratet for samfunnssikkerhet og beredskap (2012): Samfunnets sårbarhet som følge av bortfall av elektronisk kommunikasjon.

118.

Meld. St. 26 (2012–2013) Nasjonal transportplan 2014–2023.

119.

Ibid.

120.

Walton, Mark (2015): Google’s quirky self-driving bubble car hits public roads this summer.

121.

Moe, Marie (2015): Informasjonssikkerhet og personvern: Hva må vi tenke på ved tilgjengeliggjøring av data? Sintef IKT, Systemutvikling og sikkerhet.

122.

Samferdselsdepartementet (2010): Krisescenarioer i samferdselssektoren – KRISIS.

123.

Meld. St. 26 (2012–2013) Nasjonal transportplan 2014–2023.

124.

Øvstedal, L., Lervåg, L.E. og T. Foss (2010): Personvern og trafikk: Personvernet i intelligente transportsystemer. SINTEF.

125.

Meld. St. 26 (2012–2013) Nasjonal transportplan 2014–2023.

126.

Statens Vegvesen, Vegdirektoratet (2014): Bransjenorm for personvern og informasjonssikkerhet i elektronisk billettering.

127.

Meld. St. 26 (2012–2013) Nasjonal transportplan 2014–2023.

128.

Sampigethaya et al. (2011): Future E-Enabled Aircraft Communications and Security: The Next 20 Years and Beyond, Proceedings of the IEEE | Vol. 99. No. 11.

129.

EU (2011): Commission implementing regulation (EU) No 1035/2011.

130.

Norsk Romsenter (2013): Vurdering av sårbarhet ved bruk av globale satellittnavigasjonssystemer i kritisk infrastruktur.

131.

Sampigethaya et al. (2011): Future E-Enabled Aircraft Communications and Security: The Next 20 Years and Beyond, Proceedings of the IEEE | Vol. 99. No. 11.

132.

Titanic-ulykken for over 100 år siden satte søkelyset på sikkerhet innen maritim sektor. Dette var forløperen til at den første internasjonale konvensjonen om sikkerhet til sjøs, SOLAS (Safety of Life at Sea), ble utarbeidet.

133.

Samferdselsdepartementet (2010): Krisescenarioer i samferdselssektoren – KRISIS.

Til forsiden