Del 3
Utfordringsbildet
8 Styrings- og samordningsutfordringer
Digitaliseringen av samfunnet skjer i alle sektorer og på alle nivåer. Det gjør IKT-sikkerhet til et tverrsektorielt politikkområde. I forvaltningen har hver enkelt statsråd et overordnet ansvar for å ivareta IKT-sikkerheten i sin egen sektor.1 Justis- og beredskapsdepartementet har imidlertid et samordningsansvar for IKT-sikkerhet i sivil sektor og skal utforme regjeringens politikk på området.2 Politiske målsettinger som angir retning og styring på området, kan komme i konflikt med andre målsettinger, både sektorvise og tverrsektorielle.
For departementer med samordningsansvar, som Justis- og beredskapsdepartementet, kan det være utfordrende å utøve rollen som samordningsdepartement innenfor rammen av det konstitusjonelle system med ministeransvar som en grunnleggende forutsetning. Et departement kan ikke uten videre pålegge andre departementer oppgaver, tiltak eller roller. De er likestilte enheter i en flat styringsstruktur. Det fører til en horisontal styringsutfordring mellom departementene (se figur 8.1).
For eksempel kan Kommunal- og moderniseringsdepartementets ansvar for effektive og brukervennlige digitale tjenester ha mål og oppgaver som ikke er i samsvar med Justis- og beredskapsdepartementets målsettinger for nasjonal IKT-sikkerhet.
I utvalgets informasjonsinnhenting peker flere respondenter på at styringen av IKT-sikkerhet i flere sektorer oppleves som sterk, men at samordningen og oversikten på tvers er mangelfull. Blant annet trekkes det frem at samarbeid på tvers av etatene ofte skyldes initiativ fra etatene selv og fra privat sektor, og at det i mindre grad skyldes føringer og krav til samarbeid og koordinering fra departementene. Uklare styringssignaler til underliggende etater og direktorater kan svekke måloppnåelsen. Samlet kan staten oppnå mindre med sine ressurser, enn om styringen var sett i sammenheng.
Informasjonsinnhentingen viser også at de tverrsektorielle etatenes oppgaver i liten grad er samordnet mellom departementene.3 Dette kan føre til dårligere måloppnåelse ved at etatene kan bli bedt om å gå i ulike retninger og at man ikke prioriterer hva som gagner politikkområdet som helhet. De tverrsektorielle etatene har for eksempel i liten grad felles oppdrag, koordinerte oppdrag eller andre oppgaver hvor målene blir sett i sammenheng med hverandre. Unntaksvis hender det at de blir bedt om å samarbeide med hverandre for å løse ulike oppgaver (se figur 8.1).
I tillegg viser en kartlegging fra Difi at IKT-sikkerhet ikke representerer noen sentral del av etatsstyringsdialogen med statlige etater.4 Difi påpeker at bedre dialog på dette området kan bidra til å vektlegge styring og kontroll i statsetatene i større grad, og således bedre IKT-sikkerheten i offentlig sektor. IKT-sikkerhet har heller ikke vært en av fellesføringene i tildelingsbrevene de senere årene.5
Tildelingsbrevene som sendes fra departementene til underliggende etater er i hovedsak like, bare med noen mindre forskjeller. Iverksettingsbrevet til NSM er imidlertid helt ulikt tildelingsbrevene til andre etater utenfor Forsvarsdepartementets styringssystem. Det er i en rekke utredninger blitt pekt på at det er utfordrende å samarbeide om tildelingsbrev på grunn av ulik styringskultur og praksis.6 Slike utfordringer er imidlertid basert på departementer som samarbeider innenfor likere styringssystemer enn Forsvarsdepartementet og Justis- og beredskapsdepartementet. Det kan derfor antas at utfordringen med felles styring er større i styringen av NSM.
Kommunene i Norge er selvstendige rettssubjekter og et demokratisk folkevalgt nivå med ansvar for egen IKT-sikkerhet. De må forholde seg til ulike sektorlover og forskrifter, for eksempel innenfor helse og vannforsyning, i tillegg til overordnede lover og forskrifter, som personvernlovgivningen. Dette kommer til utrykk innen helsesektoren, hvor helsestatsråden har et ansvar for hele helsesektoren, men bare styringsmessig kontroll over spesialisthelsetjenesten. Kommunene har ansvar for primærhelsetjenesten, som dermed er utenfor statsrådens direkte styringslinje. Dette fører til at utviklingen av digitale fellesløsninger i hele helsesektoren er utfordrende. På den andre siden har man innenfor helsesektoren utviklet Normen, som også gjelder i kommunal sektor.
Samtidig har staten et overordnet ansvar for ivaretakelsen av samfunnssikkerhet. Spenningen mellom sentralt og lokalt ansvar gir styringsutfordringer, noe som fører til at man må balansere ulike styringsstrategier (se figur 8.1). På den ene side trengs det en sentral ledelse som kan sørge for oversikt, konsistent styring og effektiv allokering av begrensede ressurser. På den andre siden trengs det en desentralisert organisering som sikrer utnyttelse av lokale ressurser, fleksibilitet og evne til å improvisere.7
Utvikling av mange digitale tjenester og produkter foregår i private virksomheter og i forsknings- og utviklingsmiljøer. En stor andel av landets kritiske digitale infrastrukturer eies og driftes av private virksomheter. For myndighetene er det en utfordring at de ikke kan styre og påvirke private virksomheter på samme måte som offentlig sektor, og er derfor avhengig av et godt offentlig–privat samarbeid og en hensiktsmessig arbeidsdeling. Statens mulighet for styring av de private virksomhetene er som lovgiver, tilrettelegger og tilsynsmyndighet. For eksempel peker Telenor på avhengigheten mellom offentlig og privat sektor og ønsker et tettere offentlig–privat samarbeid.8
9 Digitaliseringen av samfunnet utfordrer oppgaveløsning, ansvar og roller
Dagens organisering av tverrsektorielle etater med ansvar for IKT-sikkerhet er historisk og strukturelt betinget.9 I stor grad har utviklingen skjedd gradvis og som regel uten store eller omfattende organisatoriske endringer. Digitaliseringen av samfunnet fører til at IKT-sikkerhet blir relevant på nye områder hvor det tidligere ikke var av nevneverdig betydning. For eksempel fører fremveksten av intelligente trafikksystemer til at digitale løsninger mellom infrastruktur, trafikant og kjøretøy blir viktig for å ivareta både fremkommelighet og sikkerhet, og IKT-sikkerhet kommer dermed inn som et sentralt element. I mange tilfeller har det betydd at etatene har fått flere oppgaver innenfor IKT-sikkerhet enn de tidligere hadde.
Utfordringen med å avgrense og «ramme inn» IKT-sikkerhet har betydning for hvordan etatene med tverrsektorielt ansvar for IKT-sikkerhet løser sine oppgaver. På enkelte områder har det ført til noe overlapping mellom etatene. Etter hvert som IKT-sikkerhet i stadig større grad har kommet på dagsordenen, har det vært naturlig for flere av de tverrsektorielle etatene å definere arbeidet med nasjonal IKT-sikkerhet som en viktig del av sin rolle og sine oppgaver.
Utviklingen har medført at de tverrsektorielle etatene har fått utvidede oppgaver og beveget seg mot hverandre, tilsynelatende uten at grensedragning mot andre etater har vært tilstrekkelig vurdert. For eksempel fikk Difi i 2013 utvidet mandat til å etablere et kompetansemiljø for informasjonssikkerhet i statsforvaltningen, og dermed beveget Difis oppgaver seg nærmere NSMs oppgaver. Da NSM fikk oppgaver ut over sikkerhetsloven, beveget de seg nærmere DSBs ansvar for samfunnssikkerheten. Samtidig preges innretningen på IKT-sikkerhetsarbeidet naturlig nok av de ulike etatenes kjerneoppgaver. Sett utenfra kan det derfor oppleves som om etatene har sine egne måter å tilnærme seg IKT-sikkerhet på.
I tillegg til at det har utviklet seg slike overlappende områder, har den teknologiske utviklingen ført til konvergens mellom forvaltningsområder. For eksempel blir det stadig vanskeligere å skille mellom el- og ekominstallasjoner fordi mange av dem nå kan være bærere av strømforsyning, styresignaler og kommunikasjon. Når lysbrytere, termostater og sikringer i elektriske installasjoner blir ekomutstyr, men like fullt har en helt avgjørende funksjon i det elektriske anlegget, kan det bli vanskelig å skille forvaltningsområder.10 Både DSB og Nkom har uttrykt at skillet mellom elektrisk utstyr (som DSB har ansvaret for) og kommunikasjonsutstyr (som Nkom har ansvaret for) blir stadig mindre ved nye teknologiske produkter. Utviklingen berører ansvarsområdene og oppgavene til begge etatene, i tillegg til at den skaper regulatoriske utfordringer som gjelder el-tilsynsloven og ekomloven.11
Et annet eksempel er at energiflyt og smarte nett utfordrer grensesnittet mellom DSB som elsikkerhetsmyndighet og NVE (Norges vassdrags- og energidirektorat) som energimyndighet. Installasjoner og nett integreres stadig mer med lokal energiproduksjon, og fører til at det er vanskelig å skille hva som skal reguleres og forvaltes av henholdsvis DSB og NVE.
9.1 Samfunnssikkerhet og statssikkerhet overlapper
DSB har et særskilt ansvar for å ha oversikt over risikoer og sårbarheter som kan ramme samfunnet, og som samfunnet må være forberedt på å håndtere. Tilnærmingen til DSB bygger på en såkalt «all-hazards approach», som innebærer at samfunnets sårbarheter behandles uavhengig av hva som utløser en hendelse. Selv om DSB ikke har et spesifikt og uttalt ansvar for IKT-sikkerhet, må de allikevel ha oversikt over hvilke sårbarheter den digitale utviklingen medfører for samfunnssikkerheten.
I tillegg skal DSB støtte Justis- og beredskapsdepartementet i deres samordningsrolle innenfor samfunnssikkerhet. I kongelig resolusjon fra 2017 sees IKT-sikkerhet som en integrert del av arbeidet med samfunnssikkerhet.12 Samordning av arbeidet med samfunnssikkerhet vil da kunne innebære at DSB har samordningsansvar også for IKT-sikkerhet.
NSM er nasjonalt fagmiljø for IKT-sikkerhet og skal understøtte Justis- og beredskapsdepartementet innenfor IKT-sikkerhet på sivil side. NSM er i en spesiell situasjon fordi etaten styres av to departementer. De rapporterer til Forsvarsdepartementet for saker i forsvarssektoren og til Justis- og beredskapsdepartementet for saker i sivil sektor. NSM er administrativt underlagt Forsvarsdepartementet, som dermed er det ledende departementet i styringen.
NSM har tradisjonelt jobbet mest innenfor sikkerhetslovens domene. Loven skal motvirke særlig alvorlige tilsiktede handlinger, men sikkerhetstiltakene vil også motvirke menneskelig svikt og tekniske feil. Etter at NSM ble etablert som nasjonalt fagmiljø og fikk oppgaver for Justis- og beredskapsdepartementet innen IKT-sikkerhet fikk etaten et bredere virkefelt. Dette har skapt nye grensesnitt mellom NSM og andre virksomheter, blant annet DSB.
Et uttrykk for NSMs nye rolle er den årlige rapporten Helhetlig IKT-risikobilde, hvor ulike typer uønskede digitale hendelser danner grunnlag for risikobildet. I instruksen til sjef NSM fremgår det blant annet at NSM skal koordinere arbeidet mellom myndigheter som har en rolle innenfor forebyggende IKT-sikkerhet, og legge til rette for hensiktsmessig samhandling mellom disse. DSB har i informasjonsinnhentingen til utvalget påpekt at NSM ikke i tilstrekkelig grad er opptatt av utilsiktede hendelser.
Utvidelsen av virkeområdet til den nye sikkerhetsloven er et annet eksempel på potensielle gråsoner mellom NSM og DSB. Evalueringen av gjeldende sikkerhetslov konkluderte med at lovens virkeområde var for snevert, og at det var et sikringsbehov utover det som fulgte av etablert praktisering av begrepet «rikets sikkerhet og selvstendighet og andre vitale nasjonale sikkerhetsinteresser». Virkeområdet samsvarte ikke med de virksomhetene som er viktige aktører innenfor nasjonal sikkerhet, særlig fordi IKT-sikkerhetsutfordringer er gjennomgripende og tverrsektorielle. Derfor ble det gamle begrepet erstattet med begrepene «nasjonale sikkerhetsinteresser» og «grunnleggende nasjonale funksjoner» i den nye loven. Virkeområdet til den nye sikkerhetsloven beveger seg i større grad enn tidligere inn på samfunnssikkerhetsområdet der DSB har et særlig ansvar.
9.2 Råd og veiledning fremstår fragmentert og lite koordinert
Råd og veiledning gis av mange aktører i ulike former. Det fremgår av punkt 5.2 at det særlig er NSM, Nkom, Difi og Datatilsynet som har rådgivning og veiledning om IKT-sikkerhet som en tverrsektoriell oppgave. I tillegg til disse gir NorSIS rådgivning om informasjonssikkerhet til private og offentlige virksomheter. Sektoretatene, for eksempel NVE og Finanstilsynet, gir også råd og veiledning om IKT-sikkerhet innenfor sine sektorer. I tillegg finnes det en rekke private virksomheter som tilbyr rådgivning.
De tverrsektorielle etatene har noe ulike målgrupper for sitt arbeid med råd og veiledning. Utvalget har identifisert noe overlapping mellom disse, særlig når det gjelder veiledning mot stat og kommune. For eksempel har både Datatilsynet og Difi utarbeidet veiledere i internkontroll og informasjonssikkerhet. Begge tar utgangspunkt i ISO 27001-standarden, men innretning og enkelte områder er ulike fordi de har ulikt formål. Et annet eksempel er at både Difi og NSM gir veiledning til statsforvaltningen om tilgrensende områder. Difi gir veiledning om informasjonssikkerhet knyttet til styring og kontroll, og spesifikt til eforvaltningsforskriften § 15. NSM gir veiledning om spesifikke sikkerhetstiltak knyttet til IKT-sikkerhet i henhold til sikkerhetsloven eller mer generelt med utgangspunkt i grunnprinsippene for IKT-sikkerhet og råd i forbindelse med hendelseshåndtering. Også her tar begge virksomhetene utgangspunkt i ISO 27001.
I informasjonen utvalget har hentet inn, kommer det til uttrykk at brukerne er usikre på hvor de skal henvende seg for å få råd og veiledning om IKT-sikkerhet. Dette kan tyde på at det mangler en tydelig stemme eller ett kontaktpunkt som brukerne opplever er det rette stedet å henvende seg. Det kan også tyde på at det er uklart for brukerne hva de ulike etatene har ansvaret for. Fra et brukerperspektiv kan det være krevende å forholde seg til mange aktører (se figur 9.1).
I tillegg peker enkelte av respondentene på at veiledningsaktørene ikke har tilstrekkelig kapasitet til å gi veiledning. NSM har uttalt at de ikke har kapasitet til å yte tilstrekkelig oppfølgende rådgivning og kompetansebygging etter tilsyn. De sier også at den økende mengden IKT-sikkerhetshendelser gjør det krevende å skulle gi god nok støtte til de virksomhetene som rammes.13 Enkelte tilbakemeldinger peker også på at rådene ikke er koordinerte og enhetlige. Dette knytter seg særlig til en-til-en-veiledningen og ikke det skriftlige materialet etatene gir ut.
De tverrsektorielle etatene peker også på at det meste av den skriftlige generiske veiledningen er koordinert mellom dem. En større utfordring er å samordne en-til-en-veiledning og det at brukerne ikke har ett felles kontaktpunkt. I tillegg utarbeider sektormyndigheter veiledning til sine sektorer, noe som også enkelte av respondentene opplever som lite koordinert med de tverrsektorielle etatene.
Kommunene trekker i tillegg frem at de må forholde seg til flere sektorielle og tverrsektorielle lover og forskrifter. Samtidig opplever de at råd og veiledning bidrar til å skape uklarheter om hva det egentlig stilles krav om, og at rådene og veiledningen som gis, til tider er motstridende. Blant annet trekkes det frem at de statlige aktørene i for liten grad involverer eller har som formål å bistå kommunene innen IKT-sikkerhet. I tillegg vises det til at kommuner har mangler når det gjelder generell fagkompetanse, sektorkompetanse og ledelseskompetanse på IKT-området.14 De har derfor særlig behov for veiledning.
Punkt 6.1 viser at det er variasjon i begrepsbruken i de ulike regelverkene, til dels også i begrepsdefinisjoner og -forståelse. Både etater med tverrsektorielt ansvar og sektoretater gir råd og veiledning i henhold til regelverkene de forvalter. Disse rådene kan være basert på ulike standarder og bransjepraksis eller lover og forskrifter. Det kan medføre at enkelte råd og veiledninger oppleves som lite harmoniserte og i verste fall motstridende, basert på utformingen av selve reguleringen.
Aktører kan være underlagt flere ulike tverrsektorielle og sektorspesifikke lover og forskrifter. Det kan for eksempel tenkes at en virksomhet er omfattet av en sektorlov, som ekomloven, og tverrsektorielle lover, som sikkerhetsloven og personopplysningsloven. Da er det særlig viktig at råd og veiledning knyttet til disse lovene er samordnet og enhetlig.
9.3 Utfordringer med koordinering og informasjonsdeling ved uønskede digitale hendelser
Digitale systemer utsettes kontinuerlig for uønskede hendelser, både tilsiktede og utilsiktede. Det kan utgjøre en trussel mot systemene i seg selv, informasjonen som er i systemene, og tjenestene de bidrar til å levere. Slike hendelser omtales med ulike begreper: hacking, digitale angrep, IKT-sikkerhetshendelser, digitale hendelser med mer. Her brukes uønskede digitale hendelser, i tråd med IKT-sikkerhetsmeldingen.15
Den enkelte virksomhet har et selvstendig ansvar for å håndtere uønskede digitale hendelser, uavhengig av om virksomheten befinner seg i privat eller offentlig sektor. Samtidig kan det være en utfordring å knytte til seg tilstrekkelig kompetanse for å håndtere slike hendelser. Særlig utfordrende kan det være å ha rett spisskompetanse og kapasitet, for eksempel analysekapasitet. Dette gjelder spesielt små og mellomstore virksomheter.
En rekke offentlige virksomheter kan være involvert i håndteringen av en uønsket digital hendelse. Justis- og beredskapsdepartementet har sammen med Forsvarsdepartementet et overordnet ansvar for å sikre hensiktsmessig koordinering av håndteringen av slike hendelser. NSM har et ansvar på nasjonalt nivå for å varsle og dele informasjon om sårbarheter og IKT-hendelser, koordinere håndtering av hendelser mellom berørte sektorer, bistå med rådgivning og teknisk analyse og oppdatere deteksjonsparametere. I tillegg har sektorene et særlig ansvar innenfor sine respektive ansvarsområder for å bistå i håndteringen.
Utfordringer med koordinering og informasjonsdeling mellom aktører ved hendelseshåndtering har blitt løftet frem i tilbakemeldingene til utvalget. Dette har også vært tema i flere utredninger og stortingsmeldinger.16 Lysne-utvalget registrerte at mange aktører opplevde at informasjonsdelingen var mangelfull, og at samarbeidet mellom offentlige og private virksomheter kunne vært bedre. Det ble pekt på at utfordringer innen hendelseshåndtering skyldes dårlig samarbeidsklima, og at eksisterende strukturer ikke er godt nok utnyttet.17 Lysne-utvalget pekte også på at sårbarheten øker når flere gis tilgang til informasjon, noe som kan legge begrensninger for hva som deles og hvem det deles med. Særlig ved uønskede digitale hendelser må slike begrensninger vektes opp mot den enkelte virksomhets behov for informasjon. En annet grunn til mangelfull informasjonsdeling kan være at virksomheter som har vært utsatt for en uønsket digital hendelse, kan mene at detaljer og omfanget av hendelsen er bedriftssensitiv informasjon. Derfor kan de ønske at denne typen informasjon ikke blir delt på en slik måte at virksomheten blir eksponert.
9.3.1 Koordinerings- og informasjonsbehovet
Behovet for koordinering og informasjonsdeling gjør seg gjeldende før, under og etter en uønsket digital hendelse. Virksomheter vil ha et løpende behov for trussel- og sårbarhetsinformasjon for å være best mulig i stand til å forebygge at hendelser inntreffer i virksomheten. Når en hendelse har inntruffet, vil det være et behov for koordinering og informasjon som kan bidra til håndteringen i de berørte virksomhetene. Virksomheter som ikke selv er rammet, kan under en hendelse ha behov for informasjon som gjør at de kan treffe nødvendige tiltak for å hindre at de rammes. I etterkant av en hendelse vil det være behov for å dele informasjon for å evaluere og forbedre virksomhetenes evne til å forebygge og håndtere hendelser.
Ved en uønsket digital hendelse er det behov for å dele teknisk informasjon, som typisk omhandler angrepsmetoder, skadepotensial og annen relevant informasjon som er nødvendig for å forstå den tekniske siden av hendelsen. Denne typen informasjon deles gjerne mellom NSM og sektorvise responsmiljøer, innbyrdes i de sektorvise responsmiljøene, mellom responsmiljøer og virksomheters IKT-avdelinger og mellom ulike virksomheters IKT-avdelinger. Medlemmer av VDI-samarbeidet mottar i henhold til særlig avtale automatisk informasjon fra NSM som angår dem.
Informasjon som deles under en uønsket digital hendelse, kan være sikkerhetsgradert eller ugradert. Behovet for gradering gir begrensninger i informasjonsdelingen. Ikke alle virksomheter har teknisk mulighet til å kommunisere på gradert nivå, og det kan være utfordringer med at personell ikke er sikkerhetsklarert og autorisert. I tillegg kan virksomheter be om begrensninger i distribusjonen av informasjon som de er opphav til.
Informasjon som er relevant for den tekniske forebyggingen og hendelseshåndteringen, kan også inneholde personopplysninger, for eksempel utveksling av IP-adresser, metadata om IKT-trafikk til og fra virksomheter, og logger. Behandling og deling av personopplysninger krever et hjemmelsgrunnlag. Det foreligger i dag ikke noe slikt grunnlag for deling av personopplysninger som dekker hele håndteringskjeden. Virksomheters mulighet for å innhente og dele informasjon har derfor noen begrensninger.
Evalueringen av den nasjonale IKT-øvelsen i 2016 viser at det er behov for deling av andre typer informasjon enn bare den tekniske ved en alvorlig uønsket digital hendelse.18 NSM NorCERT og de sektorvise responsmiljøene er først og fremst opptatt av den tekniske siden av hendelsen. Etatene på sin side har behov for et bredere situasjonsbilde. Under øvelsen innebar det at det ble etablert doble rapporteringskanaler i enkelte sektorer, hvor både de sektorvise responsmiljøene og etatene rapporterte til departementene. Med to rapporteringslinjer risikerer man å få ulik informasjon. Det blir da problematisk å sette sammen et situasjonsbilde, og det kan gi et unødvendig merarbeid.
En uønsket digital hendelse kan medføre svikt i en eller flere kritiske samfunnsfunksjoner eller på annen måte ha potensial for å gi et konsekvensbilde som krever fysisk håndtering.19 Konsekvensene for samfunnet kan være store, noe både erfaringene fra den nasjonale IKT-øvelsen i 2016 og reelle uønskede digitale hendelser har vist. DSB peker på dette som en utfordring og mener det ordinære krisehåndteringsapparatet tidlig må kobles på ved uønskede digitale hendelser. De mener det er helt nødvendig for å sikre god håndtering av samfunnskonsekvensene.20
9.3.2 Ulike krav til håndtering av uønskede digitale hendelser
Det er i dag ingen enhetlig regulering av roller og ansvar knyttet til håndtering av uønskede digitale hendelser, herunder informasjonsdeling og rapportering. Eventuelle krav følger av ulike regelverk, og det er ingen krav til at hendelser skal ses i sammenheng. Etableringen av den nasjonale NorCERT-funksjonen i NSM i 2006 og en føring fra 2012 om at det skal etableres sektorvise responsmiljøer, har søkt å kompensere for dette.21
I tillegg fastsatte Justis- og beredskapsdepartementet og Forsvarsdepartementet i desember 2017 Rammeverk for håndtering av IKT-sikkerhetshendelser.22 Det beskriver håndtering av slike hendelser i og på tvers av virksomheter og sektorer. Rammeverket avgrenser myndighetenes ansvar til å bidra til og tilrettelegge for en koordinert og effektiv håndtering av «alvorlige IKT-sikkerhetshendelser», det vil si hendelser rettet mot kritisk infrastruktur og/eller kritiske samfunnsfunksjoner. Det foreligger imidlertid ingen rettslig plikt for sektorer og virksomheter til å implementere krav og tiltak i rammeverket. Se boks 9.1 for en nærmere beskrivelse av rammeverket.
Boks 9.1 Rammeverk for håndtering av IKT-sikkerhetshendelser
Justis- og beredskapsdepartementet og Forsvarsdepartementet fastsatte i desember 2017 Rammeverk for håndtering av IKT-sikkerhetshendelser. Dette er sendt ut til departementene for implementering innenfor de respektive forvaltningsområdene.1 Rammeverket beskriver håndtering av IKT-sikkerhetshendelser i og på tvers av virksomheter og sektorer for å sikre en effektiv nasjonal håndteringsevne innenfor rammen av de etablerte beredskapsprinsippene.
Rammeverk for håndtering av IKT-hendelser stiller krav/forventninger til virksomhetene, sektorvise responsmiljøer og NSM knyttet til 1) planlegging og forberedelse, 2) deteksjon og vurdering av omfang og alvorlighetsgrad, 3) varsling av relevante parter, 4) iverksetting av prosesser og tiltak for å håndtere hendelsen, 5) situasjonsrapportering og 6) tilbakeføring og læring av hendelsen.
Det enkelte departementet har stor fleksibilitet knyttet til å vurdere hvorvidt det er hensiktsmessig med ett eller flere sektorvise responsmiljøer i egen sektor eller mer hensiktsmessig å samarbeide med andre sektorers responsmiljøer eller private leverandører.
For å utnytte tilgjengelig kommersiell kompetanse i arbeidet med hendelseshåndtering etablerte NSM i februar 2016 en kvalitetsordning for private virksomheter for at disse skal kunne gi råd og bistand til andre knyttet til hendelseshåndtering.
1 Brev fra Justis- og beredskapsdepartementet av 14.12.2017.
Nedenfor beskrives utfordringer knyttet til informasjonsdeling og koordinering med utgangspunkt i sektorvise responsmiljøer, kommunalt nivå og private virksomheter som ikke er en del av kritiske samfunnsfunksjoner.
9.3.2.1 Sektorvise responsmiljøer
For å bidra til god informasjonsdeling og koordinering mellom relevante aktører har myndighetene besluttet at det skal etableres sektorvise responsmiljøer.23 Miljøene skal ha oversikt over egen sektor, være informasjonsknutepunkt for alle relevante virksomheter og være sektorens bindeledd mot NSM NorCERT. Miljøene skal i tillegg ha en tydelig styringslinje til sektordepartementet. Slike responsmiljøer er trukket frem som en styrke for hendelseshåndteringen, fordi miljøene kjenner egen sektor, har tillit hos brukerne, og det følger av ansvarsprinsippet at sektorene selv må ta ansvar for store deler av hendelseshåndteringen.
Det fremgår av stortingsmeldingen om samfunnssikkerhet at flere sektorer så langt ikke har etablert egne responsmiljøer.24 I noen tilfeller skyldes dette manglende finansiering eller begrenset tilgang på relevant kompetanse. I andre tilfeller skyldes dette at ikke alle virksomheter har en sterk og naturlig tilhørighet i én sektor, og derfor har etablert løsninger tilpasset egen virksomhet og eget utfordringsbilde.
Status i dag er at de sektorvise responsmiljøene som er etablert, har varierende organisering, roller og myndighetsforankring. For eksempel kan sektorvise responsmiljøer være en del av en etat (slik som EkomCERT) eller privateide (slik som KraftCERT og Nordic Financial CERT).
Det at de sektorvise responsmiljøene er såpass forskjellige, fører til noen utfordringer. Overfor private CERTer har sektormyndighetene liten mulighet for annet enn regulatorisk styring, eventuelt avtaler som regulerer forholdet mellom partene. Videre ser utvalget det som utfordrende at det i enkelte sektorer er uklarhet om hele sektoren er knyttet til CERT-funksjonen, eller bare utvalgte virksomheter gjennom betalt medlemskap eller andre frivillige tilknytningsformer.
De ulike sektorvise responsmiljøene har også forskjellig oppgaveportefølje. EkomCERT har primært en koordinerende rolle, mens HelseCERT også har en operativ rolle i hendelseshåndteringen og bistår virksomheter ved behov. Summen av disse ulikhetene gjør at det etter utvalgets mening er vanskelig å omtale de sektorvise responsmiljøene som en samlet kapasitet innenfor hendelseshåndtering.
Enkelte store private aktører har egne hendelseshåndteringsmiljøer med høy kompetanse, for eksempel innenfor ekom- og finansnæringen. Koblingen til disse miljøene er ment ivaretatt av de sektorvise responsmiljøene, men dette er dårlig beskrevet i den nasjonale strukturen. Det kan ligge et uutnyttet potensial i å involvere private håndteringsmiljøer i større grad.
Med dagens status for de sektorvise responsmiljøene tviler utvalget på om intensjonen med dem fullt ut er oppfylt, og dermed om alle responsmiljøene som går under benevnelsen sektorvist responsmiljø, faktisk er det. Selv om krav til både NSM NorCERT og de sektorvise responsmiljøene er gitt i Rammeverk for håndtering av IKT-sikkerhetshendelser, bidrar ulikhetene mellom de sektorvise responsmiljøene til uklare ansvars- og rolleforhold ved håndtering av hendelser.
9.3.2.2 Kommunalt nivå
Kommunal sektor er ikke en del av et etablert håndteringsregime for uønskede digitale hendelser. Mange kommuner er gjennom avtaler koblet til HelseCERT og/eller KraftCERT for å få bistand til håndtering. Det vil likevel være deler av kommunens virksomhet som ikke er knyttet til sektorvise responsmiljøer, og hvor det er uavklart hvordan slike hendelser skal håndteres og varsles videre i systemet.
Kommune-Norge omtales ofte enhetlig som kommunal sektor, men i virkeligheten består kommunene av en rekke sektorer, noe som kanskje bidrar til at det er utfordrende å etablere en egen Kommune-CERT eller et responsmiljø.25 I kommunal sektor er det ingen aktører som beskriver et samlet situasjonsbilde (trusler, sårbarheter, hendelser og sikkerhetstiltak) for kommunene. Dette er noe av kjernen i utfordringen de står overfor.
Det er heller ingen aktører som i dag har ansvar for varsling og informasjonsdeling mellom alle kommuner, fylkeskommuner og andre håndteringsmiljøer. Noe varsling og deling av informasjon forekommer, primært sentrert rundt eksisterende håndteringsmiljøer og i kommuner som har kompetanse og kapasitet til dette. Videre mangler kommunene et felles ressurs- eller kompetansesenter som kan støtte dem med tekniske analyser, eller yte teknisk og metodisk støtte ved håndtering av uønskede digitale hendelser. Det er heller ikke formalisert et kontaktpunkt for kommunal sektor i den nasjonale CERT-strukturen.
I tillegg er det noe uklart for utvalget hvordan det vanlige håndteringssporet innen samfunnssikkerhet skal kobles på når kommunene i økende grad skal forholde seg til sektorvise responsmiljøer. Når hendelser med samfunnsmessige konsekvenser inntreffer skal kommunen iverksette rapportering på samordningskanal til fylkesmannen, som igjen rapporterer til DSB.26 En vurdering av alvorlighetsgrad avgjør videre rapportering til Justis- og beredskapsdepartementet ved Krisestøtteenheten og eventuell involvering av andre etater.27 Kommunen må også rapportere i den relevante fagkanalen, det vil si til sektormyndigheten(e) som har ansvaret for det området hendelsen skjer innenfor.
9.3.2.3 Private virksomheter som ikke er en del av kritiske samfunnsfunksjoner
Målgruppen for rammeverket for håndtering av IKT-sikkerhetshendelser er offentlige og private virksomheter som har betydning for kritisk infrastruktur og/eller kritiske samfunnsfunksjoner. Det vil si at virksomheter i privat sektor som ikke er omfattet av denne avgrensningen, faller utenfor rammeverket. De får dermed ikke samme støtte, informasjonsdeling og koordinering som virksomhetene som er en del av rammeverket. De har likevel et selvstendig ansvar for å håndtere uønskede digitale angrep, slik tilfellet er for alle andre virksomheter. De må derfor benytte seg av den generelle veiledningen til NSM, Datatilsynet, Difi eller andre for selv å forebygge og håndtere angrep, eller de kan kjøpe tjenester av andre private virksomheter på dette området.
9.4 Tilsyn med IKT-sikkerhet oppleves som mangelfullt og lite koordinert
Utvalget har identifisert tre forhold knyttet til tilsyn som kan forbedres. For det første fremstår tilsynsetatene som lite koordinert i tid, begrepsbruk og metodikk. For det andre er det mangler og hull i tilsynsvirksomheten, herunder utilstrekkelig kompetanse til å foreta tekniske IKT-tilsyn i sektorene. I tillegg utfordrer uoversiktlige digitale verdikjeder hjemmelsgrunnlaget for tilsyn med underleverandører.
9.4.1 Manglende koordinering av tilsyn
I utvalgets informasjonsinnhenting har det blitt pekt på manglende koordinering og samordning i gjennomføringen av tilsyn. Det kan se ut som dette er en generell problemstilling knyttet til statlig tilsynsvirksomhet og ikke noe spesifikt bare for de tverrsektorielle etatene som gjennomfører tilsyn med IKT-sikkerhet. Det er et relativt beskjedent antall tilsyn som gjennomføres av DSB, NSM og Datatilsynet hvert år, og utvalget antar derfor at denne utfordringen skyldes at respondentene også er gjenstand for sektortilsyn i tillegg til de tre tverrsektorielle tilsynene.
Utvalget har fått tilbakemelding på at tilsyn fra ulike etater kan komme relativt tett i tid. Tilsynene kan be om ganske lik dokumentasjon, for eksempel dokumenter på styringssystemet og internkontroll for å kontrollere etterlevelse av sine regelverk. At mange tilsyn kommer samtidig, eller nært i tid, bryter med forventingen om at tilsyn utført av ulike virksomheter skal være samordnet for å minimere byrden for dem det føres tilsyn med.28
Respondentene til utvalget har også pekt på at tilsynsmyndighetene bruker ulike begreper og metodikk. Det er få føringer for hvordan tilsynet skal gjennomføres i de ulike sektorene. For eksempel er det ingen felles krav til tilsynsmetodikk eller hvilke elementer som skal inngå i et IKT-sikkerhetstilsyn. Det er heller ingen enhetlig regulering av tilsynsmyndighetens rettigheter og tilsynsobjektets plikter, og det er varierende sanksjonsmuligheter og ulike måter å finansiere tilsynene på.
For å bidra til bedre informasjonsutveksling og kompetanseoverføring for de ulike sektorenes sentrale tilsynsmyndigheter opprettet NSM våren 2018 en samhandlingsarena for styrket IKT-tilsyn (se punkt 5.4).
9.4.2 Mangler i tilsynsvirksomheten
Utvalget konstaterer at det gjennomføres få tilsyn med teknisk IKT-sikkerhet, og at flere av respondentene i utvalgets undersøkelse etterspør dette. Dette understrekes ytterligere av evalueringen som Difi og Forsvarets forskningsinstitutt har utført på oppdrag fra Justis- og beredskapsdepartementet av DSBs tilsyn med departementene.29 Den viser blant annet at departementene etterspør inntrengningstesting som en del av, eller et tillegg til, dagens tilsyn.
Tilsyn med IKT-sikkerhet retter seg i dag i første rekke mot de styrings- og kontrollfunksjonene en virksomhet har for å ivareta IKT-sikkerhet. Det er få tilsynsmyndigheter som har kompetanse til å utføre tekniske IKT-tilsyn der en vurderer hvilke sikkerhetsmekanismer som er implementert i IKT-systemene, om systemene er konfigurert på en slik måte at de faktisk sett er sikre, og om de tilfredsstiller de sikkerhetskravene som følger av ulik regulering.30 Utvalget er imidlertid kjent med at flere tilsyn nå jobber med å styrke kompetansen på dette området.
Lange og uoversiktlige digitale verdikjeder kan også føre til at tilsynet blir mangelfullt gitt en tradisjonell inndeling i tilsynsobjekt og tilsynsutfører. Norges Bank peker på at svikt hos sentrale IKT-leverandører kan sette viktige deler av betalingssystemet og andre sentrale samfunnsfunksjoner ut av spill. Slik konsentrasjonsrisiko kan vanskelig håndteres av den enkelte systemeier. Norges Banks hovedstyre mener derfor det bør utredes hvordan sentrale IKT-leverandører til betalingssystemet best kan underlegges tilsyn.31 Utfordringer med å føre tilsyn hos underleverandører kan gjelde hos flere samfunnskritiske virksomheter.
10 Mangelfull regulering av IKT-sikkerhet
I dette kapittelet vurderes det om gjeldende lover og forskrifter stiller hensiktsmessige krav om forsvarlig IKT-sikkerhet til norske virksomheter. Etter en gjennomgang av regelverk (se vedlegg 1), informasjonsinnhentingen til utvalget og samtaler med en rekke sentrale aktører konstaterer utvalget at det foreligger mangler ved eksisterende rettslige krav om forsvarlig IKT-sikkerhet.
Utvalget har kartlagt at det er mye regelverk som inneholder bestemmelser som kan ha betydning for IKT-sikkerheten. Det er ingen eksisterende lov, forskrift, instruks, legaldefinisjon, enhetlig begrepsbruk eller «norm» som eksplisitt gir uttrykk for hva som er IKT-sikkerhetsregelverk. Utvalgets kartlegging av regelverk viser en uensartet tilnærming til regulering av IKT-sikkerhet, noe som gjenspeiles i ulik regulering i sektorene og uensartet begrepsbruk. Det gjør det krevende å etablere en oversikt over de faktiske krav som ulike regelverk stiller om IKT-sikkerhet.
Utvalget vil nedenfor gå nærmere inn på de største utfordringene med dagens regulering. Det stilles ofte kun krav om sikring av informasjon. Videre er det usikkert om generelle sektorspesifikke krav om sikkerhet inkluderer krav om IKT-sikkerhet. Det er ikke hensiktsmessig regulering av IKT-sikkerhet i offentlig forvaltning, og sikkerhetsloven har begrensninger av betydning.
Det er i tillegg andre utfordringer som har sammenheng med dagens regulering, men som ikke gjennomgås i dette kapittelet. Utfordringer knyttet til digitale verdikjeder og anskaffelser tas opp i kapittel 12, og tilkoblede produkter og tjenester behandles i kapittel 13. Utfordringer med hendelseshåndtering og tilsyn er også relevante, og de drøftes i kapittel 8 og 9.
10.1 Krav om sikring av informasjon er ikke tilstrekkelig
Mange av dagens lover og forskrifter stiller delvis krav om forsvarlig IKT-sikkerhet. I mange tilfeller stilles det imidlertid kun krav om sikring av informasjon. Noe av grunnen til dette kan være at mange regelverk har sin opprinnelse i en analog og papirbasert verden. Senere forsøk på modifikasjon av hensyn til samfunnsutviklingen har i varierende grad vært vellykkete. Et eksempel på dette er krav i arkivloven som ifølge Stortinget «[…] er laget før digitalisering og bruk av data, og loven har av den grunn flere mangler».32, 33
Personopplysningsloven er ett eksempel der formålet med sikringen er å beskytte en bestemt type informasjon, nemlig personopplysninger. Lovens krav om IKT-sikkerhet er dermed utformet med dette for øyet. Flere andre lover og forskrifter som regulerer sikring av informasjon, bygger på personopplysningsloven. Den gjelder for bortimot alle virksomheter som behandler personopplysninger.34 Det følger av loven at alle IKT-systemer som behandler personopplysninger, må sikres. Det vil si at omtrent alle norske virksomheter må forholde seg til kravene om IKT-sikkerhet i loven.
Personopplysningsloven dekker likevel bare deler av behovet utvalget ser for IKT-sikkerhet. Særlig fordi mange virksomheter er avhengige av IKT-systemer som ikke behandler personopplysninger. Personopplysningsloven stiller da ikke krav om sikring av slike IKT-systemer.
10.2 Varierende krav om IKT-sikkerhet
Sektorspesifikke lover og forskrifter regulerer i all hovedsak gjennomføring av en viss type aktivitet, slik som bankvirksomhet, drikkevannsforsyning og luftfart. I mange tilfeller stilles det krav om sikkerhet i tilknytning til gjennomføringen av aktiviteten, for eksempel for å unngå ulykker og skader på miljøet.
Sektorregelverket har ulik tilnærming til sikkerhet generelt og IKT-sikkerhet spesielt. I noen tilfeller stilles det hensiktsmessige krav om forsvarlig IKT-sikkerhet. I andre tilfeller stilles det ingen krav om IKT-sikkerhet. Videre ser utvalget at det i mange tilfeller er uklart om lover og forskrifter faktisk stiller krav om forsvarlig IKT-sikkerhet.
Slik utvalget vurderer det, er virksomheter i finanssektoren, drikkevannsforsyningen, kraftforsyningen, ekomsektoren og langt på vei jernbanesektoren underlagt krav om forsvarlig IKT-sikkerhet.
For virksomheter i enkelte andre sektorer, som for eksempel vegtransport og drivstofforsyning, gjelder det ingen sektorspesifikke krav om forsvarlig IKT-sikkerhet, verken i lov eller i forskrift.
Flere sektorspesifikke lover og forskrifter stiller mer generelle krav om sikkerhet i tilknytning til en type aktivitet, for eksempel luftfart, havnevirksomhet og skipsfart. Det kan være gode grunner til at IKT-sikkerhet skal tolkes inn i allerede eksisterende lover og forskrifter. Det må imidlertid vurderes konkret om disse regelverkene faktisk stiller krav om forsvarlig IKT-sikkerhet.
For det første er det spørsmål om et krav i lov eller forskrift endrer seg, fordi samfunnsutviklingen gir begrepene som benyttes nytt eller endret innhold. Er for eksempel et krav om risikovurdering det samme i dag som for fem år siden? Kan man si at det påhviler den enkelte virksomheten å forstå at det i sikkerhetssammenheng må tas høyde for digitale elementer i sikkerhetsarbeidet? Dersom lov og forskrift ikke opplyser eksplisitt hva som konkret ligger i begrepet forebyggende sikkerhet, kan det likevel tolkes inn krav om sikkerhetslogging og tilknytning til et hendelseshåndteringsmiljø?
Det kan argumenteres med at jo lengre tid som går uten signaler fra lovgiver, domstoler eller forvaltningspraksis, jo vanskeligere blir det å mene noe bestemt hva som er den «riktige» forståelsen av begrepet (se boks 10.1).
Boks 10.1 Begrepsbruk om sikkerhetslovens virkeområde
Sikkerhetslovens (1998) begreper «rikets sikkerhet» og «andre vitale nasjonale sikkerhetsinteresser» er viktig for forståelsen av lovens virkeområde. Traavik-utvalget kom frem til at det var motstridende synspunkter på det nærmere meningsinnholdet i begrepene. Forarbeidenes henvisning til at overordnede politiske myndigheter til enhver tid skal vurdere og definere innholdet i begrepene, var i liten grad blitt fulgt opp i praksis.1 Traavik-utvalget uttalte videre at dersom de innarbeidede begrepene skulle videreføres i den nye loven, noe det var flere gode argumenter for å gjøre, så ville det også være en risiko for at usikkerheten knyttet til innholdet ville bli videreført. Konklusjonen ble, blant annet med dette som grunnlag, at en ny sikkerhetslov burde benytte andre begreper.
1 NOU 2016: 19 Samhandling for sikkerhet - Beskyttelse av grunnleggende samfunnsfunksjoner i en omskiftelig tid. s. 100.
For det andre er det spørsmål om praksis blant aktørene som er underlagt regelverket. Et relevant moment er om disse virksomhetene, har endret atferd. Et annet moment er om tilsynsmyndighetene har endret innhold i sine tilsyn i samsvar med en fornyet forståelse av de rettslige kravene.
Manglende eller uklare sikkerhetskrav betyr ikke nødvendigvis at de enkelte virksomhetene ikke har forsvarlig IKT-sikkerhet. Utvalget mener likevel at gjeldende lover og forskrifter er lite hensiktsmessige for å oppnå forsvarlig nasjonal IKT-sikkerhet. For det første er det utfordrende for virksomheter å etterleve utydelige krav. For det andre er tydelige krav i eller i medhold av lov en forutsetning for å føre tilsyn med IKT-sikkerhet, og for å kunne sanksjonere mangelfull IKT-sikkerhet. For det tredje er det her i vesentlig grad snakk om virksomheter som er særlig viktige for samfunnet. Da har myndighetene behov for å ha en viss styring med gjeldende sikkerhetstilstand.
Regulering på et veldig overordnet nivå kan skape uklarhet knyttet til forståelsen av om loven eller forskriften stiller krav om forsvarlig IKT-sikkerhet, og hvilke krav som stilles. Det er enkelte lover og forskrifter i dag som benytter begreper som «forsvarlig sikkerhet» og tolker IKT-sikkerhet inn i dette begrepet, for eksempel ekomloven. I praksis vil det imidlertid være vanskelig for brukerne ut fra et så overordnet krav å utlede hva forsvarlighetskravet gjelder, og hvilke tekniske og organisatoriske tiltak som forutsettes implementert. Det stiller krav om høy kompetanse både hos virksomheter og tilsynsmyndigheter.
10.3 Lite hensiktsmessig regulering av IKT-sikkerhet i offentlig forvaltning
Utfordringene som ble påpekt i punkt 10.1 og 10.2 gjelder for mange virksomheter i offentlig forvaltning. Det er videre to relevante lover som gjelder spesifikt for offentlig forvaltning, forvaltningsloven og sivilbeskyttelsesloven.
Forvaltningsloven gjelder for all offentlig forvaltning. Det følger av loven at den gjelder for forvaltningsorganer, som er ethvert organ for stat og kommune. Loven hjemler eforvaltningsforskriften, som også gjelder for forvaltningsorganer. Forskriften stiller krav om «internkontroll på informasjonssikkerhetsområdet». Etter utvalgets syn er det tre grunner til at forskriften ikke stiller tilfredsstillende krav om forsvarlig IKT-sikkerhet.
For det første er det usikkert om forskriften gjelder for alle relevante IKT-systemer i offentlig forvaltning. Forskriften gjelder IKT-systemer som brukes til saksbehandling og til kommunikasjon med og i forvaltningen. Fordi flere forvaltningsorganer produserer tjenester som ikke er tradisjonell saksbehandling, kan det være at IKT-systemer som brukes til tjenesteproduksjon, ikke omfattes av forskriften.
For det andre stilles det for vage sikkerhetskrav. Etter utvalgets syn, som det redegjøres nærmere for i punkt 15.2, er det ikke tilstrekkelig at det kun stilles krav om internkontroll på informasjonssikkerhetsområdet. Det bør gå tydelig frem at kravet om IKT-sikkerhet også gjelder for en virksomhets produksjon av varer eller tjenester. Videre må det stilles krav om at det skal iverksettes tiltak for å forebygge og håndtere hendelser.
For det tredje har eforvaltningsforskriften ikke rettsregler om tilsyn. Etter utvalgets mening er tilsyn et viktig virkemiddel for å få virksomhetene til å etterleve de rettslige kravene.
Riksrevisjonen har påpekt at flere statlige virksomheter har for dårlig styring av informasjonssikkerhet og sikring av IKT-systemer. Ofte er det mangler i grunnleggende sikkerhetstiltak som tilgangsstyring og overvåking av egne systemer.35 Dette tyder på manglende etterlevelse av eforvaltningsforskriften.
Kommunene har en sentral rolle i arbeidet med samfunnssikkerhet og beredskap. Denne rollen er tydeliggjort gjennom kommunal beredskapsplikt i sivilbeskyttelsesloven. Beredskapsplikten pålegger kommunen å arbeide helhetlig og systematisk med samfunnssikkerhet og beredskap, og loven understreker kommunens viktige rolle som samordner og pådriver i samfunnssikkerhetsarbeidet. I DSBs veileder til helhetlig risiko- og sårbarhetsanalyse i kommunen er cyberangrep og hacking anført som to eksempler på tilsiktede uønskede hendelser som kommunen skal vurdere.36
Beredskapsplikten for kommunene kan derfor også omfatte IKT-sikkerhet, men utvalget anser kravet som vagt utformet. Det kan vanskelig konstateres at den kommunale beredskapsplikten omfatter tydelige krav om forsvarlig IKT-sikkerhet. Undersøkelser viser at under halvparten av kommunene har en helhetlig risiko- og sårbarhetsanalyse som oppfyller utvalgte krav.37 Videre har 1 av 3 kommuner i Norge for dårlig nettsidesikkerhet.38 I utvalgets informasjonsinnhenting var det også få av respondentene som viste til sivilbeskyttelsesloven som grunnlag for krav om IKT-sikkerhet.
10.4 Begrensninger i sikkerhetsloven
Den nye sikkerhetsloven stiller krav om forsvarlig sikkerhet, inkludert IKT-sikkerhet. Loven gjelder for offentlig forvaltning, for leverandører av varer og tjenester i forbindelse med sikkerhetsgraderte anskaffelser og for virksomheter som har avgjørende betydning for grunnleggende nasjonale funksjoner. Loven stiller tydelige krav om sikring av IKT-systemer. Mange av virksomhetene som har avgjørende betydning for grunnleggende nasjonale funksjoner, er også samfunnskritiske virksomheter. Det kommer ikke eksplisitt frem i sikkerhetsloven hvilke konkrete virksomheter som inngår i grunnleggende nasjonale funksjoner, men det er grunn til å anta at det vil dreie seg om virksomheter innen for eksempel kraftsektoren, elektronisk kommunikasjon og lignende.
Sikkerhetsloven oppfyller imidlertid kun i begrenset grad det behovet utvalget ser for IKT-sikkerhet i samfunnet. Det er særlig tre grunner til dette. For det første er sikkerhetslovens formål avgrenset til å gjelde forebygging, avdekking og motvirkning av tilsiktede handlinger. Loven stiller derfor ikke krav om at man sikrer seg mot utilsiktede hendelser. For det andre er det antakelig mange private virksomheter, herunder samfunnskritiske virksomheter, som ikke vil bli omfattet av loven. For det tredje stilles det kun krav om å sikre skjermingsverdige IKT-systemer. Det er IKT-systemer som enten behandler sikkerhetsgradert informasjon, eller som har avgjørende betydning for grunnleggende nasjonale funksjoner. Dette utelukker mange IKT-systemer som utvalget mener bør sikres.
11 Manglende insentiver for å investere i IKT-sikkerhet
Til tross for potensielt betydelige økonomiske konsekvenser er det ikke alltid slik at virksomheter har tilstrekkelige insentiver til å beskytte seg mot digitale trusler og sårbarheter. Mørketallsundersøkelsen fra 2018 konkluderer med at norske virksomheter investerer for lite i IKT-sikkerhet.39 Ifølge undersøkelsen er det kun 24 prosent av norske toppledere som mener at deres virksomhet enten er «svært godt» eller «godt» forberedt på et cyberangrep, og nesten halvparten sier de er for dårlige til å identifisere nye cybertrusler.
Manglende insentiver kan ha en rekke årsaker. I en rapport fra britiske myndigheter trekkes det frem at mange virksomheter mener at de har for lite kunnskap, forståelse eller kjennskap til digitale trusler til å iverksette hensiktsmessige tiltak.40 Det kommer i tillegg frem at mindre virksomheter tror de er uaktuelle mål for cyberangrep, og at de har lite kjennskap til de mulige negative konsekvensene av slike hendelser. Mange er også usikre på hvem i virksomheten som er ansvarlig. Enkelte mindre virksomheter tror for eksempel det er banken som håndterer slike trusler, mens større virksomheter mener det er IT-avdelingens ansvar.
Virksomhetene har enda mindre insentiver til å gjøre noe med de eksterne virkningene som manglende sikkerhetstiltak har på andre aktører i samfunnet. Som Oslo Economics trekker frem i sin rapport (se digitalt vedlegg), er det en kjent problemstilling i det samfunnsøkonomiske fagfeltet at virksomheter kan ha manglende insentiver som fører til at de underinvesterer i IKT-sikkerhet.
Gordon–Loeb-modellen viser at selskaper som er profittmaksimerende og følger sine egeninteresser, kun burde investere en liten andel av det forventede tapet ved IKT-sikkerhetsbrudd.41 Dersom man inkluderer de negative virkningene som et IKT-sikkerhetsbrudd har utenfor virksomheten, vil det bedriftsøkonomisk rasjonelle investeringsnivået være for lavt i et samfunnsøkonomisk perspektiv.42 Den teoretiske prediksjonen er derfor at det investeres for lite i IKT-sikkerhet. En virksomhet kan for eksempel gå konkurs, mens samfunnet blir sittende igjen med hoveddelen av kostnadene ved et alvorlig IKT-sikkerhetsbrudd.
Et annet poeng er at virksomheter kan velge å investere mindre i IKT-sikkerhetstiltak fordi investeringene er synlige som kostnader i regnskapene. Sikkerhetsinvesteringene har derfor normalt negativ innvirkning på lønnsomheten i virksomhetene. Det kan føre til at ledelsen i en virksomhet blir mer opptatt av kortsiktig lønnsomhet enn tiltak for å redusere sikkerhetstrusler.
I tillegg til potensielle insentivproblemer i det private næringslivet kan det også oppstå insentivproblemer i offentlig sektor. Det er for eksempel tenkelig at noen etater har insentiver til først og fremst å drive digitaliseringen fremover med sikte på økt effektivitet, mens andre i første rekke ønsker å ha god IKT-sikkerhet. Dette er en form for målkonflikt som kan føre til insentivproblemer. Et annet eksempel kan være at noen etater ønsker kort lagringstid på logger for å fremme personvern, mens andre etater ønsker lengre lagringstid for å få bedre sikkerhetsinformasjon.
Underinvestering i IKT-sikkerhet hos virksomheter kan ha konsekvenser for større deler av økonomien fordi forbrukere, kunder og andre virksomheter kan bli rammet når det skjer IKT-sikkerhetsbrudd. Myndighetene har derfor en motivasjon og en rolle å spille for å påvirke insentivene, for eksempel gjennom regulering eller gjennom råd og veiledning.
12 Anskaffelser og digitale sårbarheter
Enhver virksomhet, enten den er offentlig eller privat, er avhengig av å kjøpe inn varer og tjenester. Som et samlebegrep på slike kjøp benyttes gjerne anskaffelser. Dette omfatter alt fra innkjøp av kontorrekvisita, mobiltelefoner og printere, til leasing av flymotorer og tjenesteutsetting av IKT-drift og renhold. Ved kjøp av tjenester benyttes som regel begrepet tjenesteutsetting. Hvis tjenesteutsettingen leveres av en aktør utenfor Norge, kalles det gjerne offshoring.
Noen anskaffelser kan utgjøre en kritisk innsatsfaktor for virksomheten. For eksempel er de fleste virksomheter avhengig av at IKT-systemene fungerer som de skal. Virker de ikke, så stopper produksjonen opp. Slik avhengighet utgjør i seg selv en risiko for virksomheten.
Et av hovedfunnene i Lysne-rapporten er at mange virksomheter ikke bare er avhengige av at leverandøren leverer som forutsatt. Underleverandører i flere ledd har ulike avhengigheter, ofte lange og komplekse digitale verdikjeder. En feil langt ute i kjeden kan forplante seg raskt og umiddelbart få konsekvenser for egen virksomhet.
Uavhengig av om anskaffelsen er kritisk for virksomheten eller ikke, kan alle anskaffelser innebære digital risiko for virksomheten. Digitale produkter kan gjøre virksomheten sårbar ved at de kobles både til internett og interne IKT-systemer, for eksempel termostater og overvåkningskameraer. Noen tjenesteleveranser innebærer at eksterne får tilgang til virksomhetens IKT-system. Det kan være aktuelt ved utsetting av IKT-drift og innkjøp av regnskap- og HR-tjenester.
12.1 Mangelfull regulering
Gjeldende lover og forskrifter regulerer IKT-sikkerhet ved anskaffelser i varierende grad. Sikkerhetsloven og personopplysningsloven regulerer det på en tilsynelatende tilfredsstillende måte. Fordi lovenes virkeområde er begrenset, har bestemmelsene likevel begrenset relevans for denne utredningen.
Beredskapsforskriften og IKT-forskriften har tydelige krav til IKT-anskaffelser.43 Andre anskaffelser er ikke like tydelig regulert. For mange sektorer gjelder det som nevnt i kapittel 10 ingen krav om IKT-sikkerhet, og heller ikke krav om IKT-sikkerhet ved relevante anskaffelser. Andre steder, hvor det stilles krav om IKT-sikkerhet, er det likevel ikke opplagt om det faktisk stilles krav om sikring av alle relevante IKT-systemer. Samlet sett mener utvalget at gjeldende lover og forskrifter ikke er tilfredsstillende på dette området.
12.2 Offentlige anskaffelser
Ifølge tall fra SSB var det samlede innkjøp av varer og tjenester for offentlig sektor over 500 milliarder kroner i 2016. Offentlig sektor investerer årlig flere milliarder kroner i IKT. I Digital agenda for Norge blir det anslått at offentlig sektor anskaffet IKT for 16,6 milliarder kroner i 2014.44
Anskaffelseslovens formål er å fremme effektiv bruk av samfunnets ressurser, og gjelder når offentlige myndigheter kjøper varer og tjenester over en viss verdi.45 Oppdragsgiveren kan stille krav knyttet til anskaffelsesprosessen, slik at kontrakten gjennomføres på en måte som fremmer ulike samfunnshensyn, forutsatt at kravene har tilknytning til leveransen. Det kan stilles krav om IKT-sikkerhet ved kjøp av IKT-produkter og -tjenester. Det er imidlertid ikke like opplagt om det kan stilles krav om IKT-sikkerhet i tilknytning til andre anskaffelser. Spørsmålet er ikke diskutert i forarbeidene til loven.
Difi har utarbeidet et sett med standardavtaler (SSAer) for kjøp av IT og konsulenttjenester. Flere av avtalene har generelle krav om informasjonssikkerhet og personvern. Kravene handler først og fremst om å sikre konfidensialiteten og integriteten til kundens data. Oppdragsgiveren er henvist til å angi eventuelle nærmere krav om informasjonssikkerhet i bilag til avtalen (se vedlegg 1, punkt 3.3).
12.3 Tjenesteutsetting
Tjenesteutsetting, inkludert bruk av skytjenester, er en betydningsfull trend som følge av digitaliseringen av samfunnet. Ifølge SSB har andelen norske virksomheter med ti eller flere ansatte som kjøper skytjenester, økt fra 40 til 48 prosent fra 2016 til 2017.46 Økende bruk av tjenesteutsetting gjelder også for virksomheter som understøtter samfunnets kritiske funksjoner.
Formålet med tjenesteutsetting er ofte et ønske om kvalitetsheving, effektivisering og kostnadsreduksjon gjennom tilgang til større og mer profesjonelle leveransemiljøer enn man har i egen organisasjon. På denne måten kan virksomheten i større grad konsentrere seg om sine kjerneaktiviteter.
Det er flere forhold som må tas i betraktning ved en tjenesteutsetting. Det har betydning for hvilken type virksomhet (offentlig eller privat) det gjelder. Videre om anskaffelsen innebærer overføring av personell (virksomhetsoverdragelser) eller nedskalering og/eller endring av personalets arbeidsoppgaver. I hvilken grad anskaffelsen medfører risiko for virksomheten må vurderes. I tillegg må det vurderes om det er egne lover og forskrifter som får anvendelse og kan regulere handlingsrommet.
Den siste tiden har det vært en del debatt i offentligheten rundt tjenesteutsetting av IKT-tjenester generelt og offshoring spesielt. Med utviklingen av skybaserte tjenester, det vil si nettbaserte tjenester som er fullautomatiserte, og som kan skaleres opp og ned etter behov, har dette blitt ytterligere aktualisert (se boks 12.1).
Boks 12.1 Tjenesteutsetting og offshoring
Det er mye debatt og mediedekning om mulige sikkerhetsrisikoer ved tjenesteutsetting og spesielt offshoring. Gjennomgående fokuseres det på sikkerhetsrisikoer som, i henhold til fremstillingene, antas å ville oppstå fordi tjenesteutsetting foregår utenfor Norge. Ofte bærer debattene og dekningen også preg av at databehandlingen er sikker eller til og med risikofri om den gjøres i Norge. En slik tilnærming til databehandling og risikovurdering er etter utvalgets syn i seg selv en sikkerhetsrisiko.
Av den offentlige debatten kan det også synes som at det er en utbredt oppfatning at det er forbudt å behandle data utenfor Norge. Et slikt generelt forbud finnes ikke.
Risikobildet varierer fra land til land, men det er ingen automatikk i at risikoene alltid er større utenfor Norge. Risikoen kan også være lavere. I Helhetlig IKT-risikobilde 2017 skriver NSM at «sårbarheter finnes i nær sagt alle virksomheter, systemer og infrastrukturer, både av teknisk, organisatorisk og menneskelig art». Hvor databehandlingen geografisk skjer er bare ett av flere momenter i den risikovurderingen som må gjøres for å kunne iverksette hensiktsmessige sikkerhetstiltak. Som utgangspunkt eksisterer de samme risikoene alle steder.
Uavhengig av hvilket land en tjeneste leveres fra, må man vurdere de samme forholdene, og gjennomføre mange av de samme tiltakene. Viser vurderingen at det knytter seg forhøyet risiko til enkelte forhold, må det iverksettes tiltak som reduserer risikoen til et akseptabelt nivå. Det må kontinuerlig vurderes om det er mulig å oppnå et akseptabelt sikkerhetsnivå for den gjeldende tjenesteleveransen. Denne risikovurderingen må inngå som en del av en samlet vurdering av fordeler og ulemper som følger av tjenesteutsettingen.
Tilgang på kompetanse er et viktig element når tjenesteutsetting skal vurderes. NSM påpeker at det er et økende gap mellom behov for og tilgang på sikkerhetskompetanse, og at dette utgjør en nasjonal sårbarhet. Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan redusere sårbarheten og bidra til bedre sikring av IKT-systemer og andre verdier.
NSM presiserer at tjenesteutsetting krever gode risikovurderinger og høy bestillerkompetanse. De ser at der sårbarheter lukkes, åpnes ofte nye. Likevel anbefaler NSM tjenesteutsetting, inkludert skytjenester, forutsatt at det gjøres grundige risikovurderinger.
Det finnes enkelte virkeområder i samfunnet som er regulert av lover og forskrifter som begrenser muligheten for offshoring (eksempelvis sikkerhetsloven og arkivloven). For øvrig gjelder en grunnleggende forutsetning om at den som skal gjennomføre en tjenesteutsetting, gjør en grundig risikovurdering knyttet til tiltaket og sikrer at uakseptabel risiko håndteres gjennom relevante avbøtende tiltak. NSM har utarbeidet en egen rapport om hvordan denne risikoen kan håndteres når det gjelder tjenesteutsetting til utlandet.47 Dersom en tjeneste skal leveres fra utlandet, anbefaler NSM at virksomheten vurderer landets statlige styringsindikatorer, IKT-sikkerhetstilstanden, IKT-infrastruktur og kompetanse samt forretningsstabilitet.
Sikkerhet kan også være en driver for tjenesteutsetting, særlig med fremveksten av skytjenester fra store, anerkjente IT-selskaper. Gitt at virksomheten har vurdert risiko og gjennomført tiltak for å bøte på risiko, vil tilgangen til store, profesjonelle sikkerhetsmiljø hos driftsleverandøren erfaringsmessig gi bedre sikkerhet, fordi kompetansen er større, sikringstiltakene er flere, og tjenester og løsninger i bruk er oppdatert til siste versjoner. I tillegg kommer det at denne typen tjenester baserer seg på standardisert teknologi, hvor leverandøren alltid sørger for løpende oppdatering.
Samtidig medfører tjenesteutsetting et endret risikobilde for virksomheten. Tjenesteutsetting kan føre til mindre kontroll over de tjenestene som kjøpes, og det stiller krav til effektiv leverandørstyring. Digitale verdikjeder, som det er vanskelig for en virksomhet å ha oversikt over, kan bli enda mer komplekse.
13 Utfordringer med IKT-sikkerhet i tilkoblede produkter og tjenester
Fordeling av ansvar, roller og oppgaver mellom de tverrsektorielle etatene blir stadig utfordret av den teknologiske utviklingen. Digitaliseringen av samfunnet fører til at IKT-sikkerhet blir relevant på nye områder hvor det tidligere ikke var av nevneverdig betydning. Særlig er det en utfordring når det gjelder IKT-sikkerhet i tilkoblede produkter og tjenester (se kapittel 4). Det er forventet en sterk vekst i tingenes internett de neste årene, særlig innenfor bil- og transportbransjen, helsevesenet, detaljhandelen, finans og offentlige myndigheter.48
Forbrukerrådet påpeker i sine innspill til utvalget at manglende IKT-sikkerhet i tilkoblede produkter og tjenester kan medføre problemer som identitetstyveri, manipulasjon og svindel. Tjenester og produkter som er utilstrekkelig sikret, kan også utgjøre en trussel mot samfunnssikkerheten.
Myndighetene i Storbritannia har nylig utgitt en rapport hvor de vektlegger de samme utfordringene: Forbrukerens sikkerhet og personvern undergraves av sårbarheten til produkter som er knyttet opp mot internett, og hele økonomien står overfor en økende trussel om større cyberangrep lansert fra store mengder usikre enheter som er tilkoblet internett.49
Nkom skriver i sin årlige risikovurdering av ekomsektoren for 2017 at «[d]en forventede massive økningen i IoT vil skape mange nye utfordringer i nettene i årene som kommer. Stor vekst av billig utstyr av dårlig kvalitet, samt tilgang til og effekt av jammeutstyr, vil øke risikoen for forstyrrelser i kritisk trådløs kommunikasjon».50
I tillegg til sårbarheter og trusler påpeker EUs IKT-sikkerhetsorgan ENISA at den raske utviklingen av tilkoblede produkter åpner opp for en rekke nye politiske og regulatoriske utfordringer som foreløpig er uløste.51 En konsekvens av dette er at det finnes få retningslinjer, og at selskaper og produsenter velger sine egne tilnærminger og løsninger i utviklingen av tilkoblede produkter og tjenester som igjen fører til ulike IKT-sikkerhetsutfordringer. Et eksempel er trygghetsalarmer eller GPS-sporing av demente, der digitale løsninger fører til økt sikkerhet for den enkelte. Samtidig er det en fare for at man gjør seg avhengig av teknologien i en slik grad at sikkerheten svekkes om trygghetsalarmen eller GPS-sporingen er utilgjengelig, eller dersom man ikke kan stole på at GPS-koordinatene som kommuniseres er riktige.
13.1 Mangelfull regulering
Det er krevende å regulere IKT-sikkerhet i tilkoblede produkter og tjenester. Forbrukerorganisasjoner som BEUC (den europeiske paraplyorganisasjonen for forbrukerorganisasjoner) og ANEC (europeisk organisasjon som forsvarer forbrukerinteresser i standardiseringsarbeid) hevder at det europeiske produktsikkerhetsregelverket ikke er tilstrekkelig oppdatert eller egnet til å møte sikkerhetsutfordringene med tilkoblede produkter.52
Utvalget finner heller ingen hjemler i det norske regelverket som gjør at myndighetene i dag kan tilbakekalle produkter som følge av manglende IKT-sikkerhet, slik for eksempel DSB kan tilbakekalle produkter på grunn av brannfare. I tillegg er det uklart om en forbruker kan kreve å heve et kjøp dersom produktet ikke har tilstrekkelig IKT-sikkerhet. I sum kan det se ut til at dagens regelverk gir svake insentiver for å produsere og selge forbrukerprodukter med tilstrekkelig IKT-sikkerhet.
13.2 Uklart myndighetsansvar
Det kan synes uklart hvem som har myndighetsansvar for IKT-sikkerhet i tilkoblede produkter. DSB er fag-, forvaltnings- og tilsynsmyndighet for sikkerhet ved produkter og forbrukertjenester etter produktkontrolloven, el-tilsynsloven og brann- og eksplosjonsvernloven.53 Produktkontrolloven stiller krav om at produkter skal være sikre og ikke utgjøre en uakseptabel risiko for helse- eller miljøskade, og den gjelder alle produkttyper dersom de ikke er underlagt særskilt sektorregelverk.
El-tilsynsloven, som regulerer de fleste elektriske produkter, har tilsvarende målsetting (sikkerhet for liv, helse og materielle verdier). Elektriske produkter tilkoblet internett som ikke er omfattet av særregelverk, som leketøy og elektromedisinsk utstyr, reguleres av ekomloven som forvaltes av Nkom. Tilkoblede produkters behandling av personopplysninger er imidlertid regulert i personopplysningsloven som forvaltes av Datatilsynet.
NSM er sertifiseringsmyndighet for IKT-sikkerhet i produkter og systemer (SERTIT). Dette kan omfatte tilkoblede produkter. Ordningen er imidlertid frivillig, noe som tilsier at det må være et ønske om sertifisering fra den som skal anskaffe produktet, eller fra produsenten eller leverandøren. Sertifisering kan også skje med utgangspunkt i at det stilles krav om dette i regelverk. Ordningen, som er del av et internasjonalt arrangement for sertifisering, benyttes i liten grad av norske aktører. Utenom sikkerhetsloven har det i liten grad vært stilt krav om sertifisering av IKT-produkter og -systemer i norsk regelverk.
Det er vanskelig å vite til hvem og hvordan man skal varsle dersom man oppdager alvorlige IKT-sikkerhetshull i slike produkter. Det kan også være en utfordring at forskjellige regelverk og tilsynsmyndigheter ofte er relevante for ett og samme tilkoblede produkt. Dette kan føre til at ingen myndigheter tar tak i saker der produkter mangler IKT-sikkerhet, eller at saker blir en kasteball mellom flere myndigheter. I 2016 erfarte for eksempel Forbrukerrådet at ingen tilsyn tok tak i klager på manglende sikkerhet i lekene Cayla og I-que, til tross for kontakt med DSB, Forbrukerombudet, Nkom og Datatilsynet.54
Ifølge Forbrukerrådets innspill til utvalget etterspør importører og forhandlere råd og veiledning for å forebygge at tilkoblede produkter uten tilstrekkelig IKT-sikkerhet kommer på det norske forbrukermarkedet. Det er uavklart hvilken rolle det offentlige skal ha i dette, og hvilken myndighet som eventuelt skal ha et tydelig ansvar.
Mens det foreligger varslingssystem for giftige produkter, slik at myndighetene på tvers av landegrenser kan ta tak i denne typen produkter i sitt marked, er det uklart om det finnes eller planlegges noe tilsvarende varslingssystem for produkter med store IKT-sikkerhetsmangler.55 Ifølge Forbrukerrådet virker håndheving på tvers av landegrenser lite effektivt. Hvert lands tilsyn må gjøre egne tid- og ressurskrevende vurderinger for å kunne handle på enkeltklager.
13.3 Offentliggjøring av digitale sårbarheter
En annen utfordring er knyttet til i hvilken grad og hvor koordinert man skal offentliggjøre digitale sårbarheter i forskjellige informasjonssystemer, programvarer eller andre IKT-produkter. Alle IKT-produkter og all programvare har sårbarheter. En forutsetning for å redusere og rette opp slike sårbarheter er at de er kjent. Videre må leverandørene sørge for å gjøre sikkerhetsoppdateringene sine tilgjengelige, slik at forbrukere og offentligheten kan ta sine forholdsregler.
Det er imidlertid mange ulike hensyn som må veies opp mot hverandre. Fullstendig åpenhet om digitale sårbarheter i et produkt eller en tjeneste kan bety åpenbare sikkerhetsutfordringer. Produsenter eller selgere ønsker kanskje ikke å vise offentlig frem svakheter ved sine produkter, selv om de i utgangspunktet ønsker å rette opp sårbarhetene. På grunn av lange digitale verdikjeder er det heller ikke alltid mulig å finne ut hvor sårbarhetene ligger, og hvem som er ansvarlig for dem.
I flere land har man imidlertid begynt å utarbeide retningslinjer for hvordan man skal få til en mer styrt tilnærming til å ta imot varsler og offentliggjøre digitale sårbarheter. Nederland er et eksempel der de har etablert et system med ansvarlig offentliggjøring (såkalt «Responsible Vulnerability Disclosure Guidelines»).56 I Norge mangler vi en slik tilnærming, og det er uklart hvilken myndighet som er ansvarlig for å ta tak i problemstillingene.
Fotnoter
Meld. St. 38 (2016–2017) IKT-sikkerhet. Et felles ansvar.
Kongelig resolusjon 10. mars 2017: Ansvaret for samfunnssikkerhet i sivil sektor på nasjonalt nivå og Justis- og beredskapsdepartementets samordningsrolle innen samfunnssikkerhet og IKT-sikkerhet.
Basert på gjennomgang av de tverrsektorielle etatenes tildelingsbrev for 2018 og samtaler med de ansvarlige departementene. Vi har sett på omtale av oppgaver eller områder som refererer til etatens utadrettede ansvar for IKT-sikkerhet, ikke interne krav om IKT-sikkerhet innad i etatene.
Direktoratet for forvaltning og IKT (2018) Arbeidet med informasjonssikkerhet i statsforvaltningen – kunnskapsgrunnlag. 2018: 4.
Felles oppdrag til alle statsetater som er av særlig viktighet for regjeringen og relevans for alle statsetater.
Direktoratet for økonomistyring og Direktoratet for forvaltning og IKT (2017) Departementers styring av samarbeidsoppgaver som gis til underliggende virksomheter.
Rykkja. L. (2017) Håndtering av ekstremvær, flom og skred. I Askim m.fl. (2017) En smartere stat. Universitetsforlaget.
Telenor (2018) Sterkere sammen, Digital sikkerhet 2018.
De tverrsektorielle etatene er definert som NSM, Difi, Nkom, Datatilsynet og DSB. Se mandatforståelse punkt 2.2.
Direktoratet for samfunnssikkerhet og beredskap (2018) Internt notat om Elektro og ekom konvergerer av 10.04.2018.
El-tilsynsloven (lov 24. mai 1929 nr. 4 om tilsyn med elektriske anlegg og elektrisk utstyr).
Kongelig resolusjon 10. mars 2017: Ansvaret for samfunnssikkerhet i sivil sektor på nasjonalt nivå og Justis- og beredskapsdepartementets samordningsrolle innen samfunnssikkerhet og IKT-sikkerhet.
Nasjonal sikkerhetsmyndighet (2015) Sikkerhetsfaglig råd. s. 32.
Dokument 3:6 (2015–2016) Riksrevisjonens undersøkelse av digitalisering av kommunale tjenester.
Meld. St. 38 (2016–2017) IKT-sikkerhet. Et felles ansvar.
Blant annet NOU 2015: 13 Digital sårbarhet – sikkert samfunn kap. 21, Meld. St. 38 (2016–2017) IKT-sikkerhet. Et felles ansvar kap. 7.
NOU 2015: 13 Digital sårbarhet – sikkert samfunn.
DSB (2017) Tverrsektoriell evaluering av øvelse IKT16.
Direktoratet for samfunnssikkerhet og beredskap (2016) Samfunnets kritiske funksjoner.
DSB i møte med utvalget 24.04.2018.
Fornyings-, administrasjon- og kirkedepartementet (2012) Nasjonal strategi for informasjonssikkerhet med handlingsplan.
Fornyings-, administrasjon- og kirkedepartementet (2012) Nasjonal strategi for informasjonssikkerhet med handlingsplan.
Meld. St. 10 (2016–2017) Risiko i et trygt samfunn.
NorSIS (2015) Kommune CSIRT 2015.
Direktoratet for samfunnssikkerhet og beredskap (2016) Retningslinjer for varsling og rapportering på samordningskanal.
Krisestøtteenheten er et sivilt bemannet situasjonssenter med døgnkontinuerlig beredskap. Under en krise bidrar enheten med kompetanse i form av rådgivning og faglig bistand til Kriserådet og lederdepartementet.
St.meld. nr. 19 (2008–2009) Ei forvaltning for demokrati og fellesskap.
Direktoratet for forvaltning og IKT (2017) Evaluering av tilsyn med departementenes samfunnssikkerhets- og beredskapsarbeid – tredje tilsynsrunde. 2017:4.
Nasjonal sikkerhetsmyndighet (2015) Sikkerhetsfaglig råd s. 28.
Norges Bank (2018) Finansiell infrastruktur.
Innst. 14 S (2016–2017) Innstilling fra familie- og kulturkomiteen om bevilgninger på statsbudsjettet for 2017, punkt 5.11.
Arkivloven (lov 4. desember 1992 nr. 126 om arkiv).
Loven og forordningen gjelder ikke for saker som behandles eller avgjøres i medhold av rettspleielovene (domstolloven, straffeprosessloven, tvisteloven og tvangsfullbyrdelsesloven mv.), jf. § 2 annet ledd bokstav b.
Dokument 1 (2018–2019) Riksrevisjonens årlige revisjon og kontroll – budsjettåret 2017.
Direktoratet for samfunnssikkerhet og beredskap (2014) Veileder til helhetlig risiko- og sårbarhetsanalyse i kommunen. s. 62.
Direktoratet for samfunnssikkerhet og beredskap (2016) Kommuneundersøkelsen 2016.
Loopia (2018) 1 av 3 kommuner i Norge har for dårlig nettside-sikkerhet.
Næringslivets sikkerhetsråd (NSR) har kartlagt sikkerhetstilstanden hos over 1500 virksomheter i privat og offentlig sektor. Mørketallsundersøkelsen gir et innblikk i norske virksomheters holdninger til digital sikkerhet, kunnskap, forebygging og beredskap.
UK Department for Digital, Culture, Media and Sport (2016) Cyber Security Regulation and Incentives Review.
Gordon, Lawrence; Martin Loeb (November 2002) The Economics of Information Security Investment. ACM Transactions on Information and System Security. 5 (4): 438–457.
Gordon et al. (2015) Externalities and the Magnitude of Cyber Security Underinvestment by Private Sector Firms: A Modification of the Gordon–Loeb Model, Journal of Information Security, 2015, 6, 24–30.
Beredskapsforskriften. Forskrift 7. desember 2012 nr.1157 om forebyggende sikkerhet og beredskap i energiforsyningen.
Meld. St. 27 (2015–2016) Digital agenda for Norge – IKT for en enklere hverdag og økt produktivitet.
Anskaffelsesloven (lov 17. juni 2016 nr. 73 om offentlige anskaffelser).
I Nasjonal sikkerhetsmyndighet (2018) Sikkerhetsfaglige anbefalinger ved tjenesteutsetting. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet.
Nasjonal sikkerhetsmyndighet (2018) Anbefaling om landvurdering ved tjenesteutsetting. Må ses i sammenheng med rapporten Nasjonal sikkerhetsmyndighet (2018) Sikkerhetsfaglige anbefalinger ved tjenesteutsetting og NSM grunnprinsipper for IKT-sikkerhet.
Consumers International (2016) Connection and protection in the digital age. The Internet of Things and challenges for consumer protection.
UK Department for Digital, Culture, Media & Sport (2018) Secure by Design: Improving the cyber security of consumer Internet of Things – Report, 7 March 2018.
Nasjonal kommunikasjonsmyndighet (2017) EkomROS 2017.
ENISA (2017) Baseline Security Recommendation for Internet of Things in the context of critical information infrastructure, November 20, 2017.
BEUC/ANEC (2018) Cybersecurity for connected products. Position Paper, 2018.
Produktkontrolloven (lov 11. juni 1976 nr. 79 om kontroll med produkter og forbrukertjenester). Brann- og eksplosjonsvernloven (lov 14. juni 2002 nr. 20 om vern mot brann, eksplosjon og ulykker med farlig stoff og om brannvesenets redningsoppgaver).
Forbrukerrådet (2016) Cayla og i_que bryter flere norske lover. Se også ISO/IEC 29147:2014 Information technology – Security techniques – Vulnerability disclosure.
European Commission Rapid Alert System for Dangerous non-food Products.
National Cyber Security Centrum (2018) Coordinated Vulnerability Disclosure: the Guideline.