7 Informasjonssikkerhet
7.1 Helhetlig ansvar for informasjonssikkerhet
Med informasjonssikkerhet i vid forstand menes sikring av informasjonens konfidensialitet, kvalitet/integritet og tilgjengelighet. Med konfidensialitet menes den egenskap at informasjonen ikke er tilgjengelig for uautorisert personell eller ikke godkjente systemer (uvedkommende). Med kvalitet/integritet menes trygghet for at både informasjonen, og eventuelt programmene, forblir fullstendige, riktige og gyldige både i systemet og under forsendelse (at informasjonen ikke blir endret eller ødelagt på uautorisert måte). Med tilgjengelighet forstås at informasjonen, og eventuelt informasjonssystemet som sådan, innen rimelige tidsrammer er tilgjengelig og anvendelig for de som skal bruke dem. Når det gjelder beskyttelse av informasjon av hensyn til rikets sikkerhet, har det tradisjonelt vært fokusert mest på konfidensialitetsaspektet. En har videre sondret mellom dokumentsikkerhet, datasikkerhet og sambandssikkerhet. For fremtiden vil det bli lagt større vekt på sikring av hensyn til integritet og tilgjengelighet. Departementet viser i den forbindelse til høringsuttalelsen fra Norge vassdrags- og energiverk, hvor det bl a heter:
«Sikkerhet må bidra til ikke bare å sikre konfidensialitet, men også kvalitet/integritet og tilgjengelighet av informasjon og ressurser. Fordi en rekke av samfunnets viktige sektorer og forvaltningsområder blir stadig mer avhengig av databaserte prosesser og kommunikasjon kan beskyttelse av sistnevnte være vel så viktig som konfidensialitet. Ikke minst gjelder dette kraftforsyningen.»
Tiltakene for sikring av informasjon er av forskjellig karakter; fysisk sikring, teknisk sikring (f eks passordsystemer for adgangskontroll), logisk sikring (f eks kryptering) eller i form av administrative tiltak (organisatorisk sikring). Informasjonssikkerhet må dessuten sees i sammenheng med personellsikkerhet.
Eksempler på fysiske sikringstiltak er sikring av vinduer, installasjon av godkjente låser på dører og dirkfrie skap til utstyr, definerte rutiner for oppbevaring av nøkler, plassering av telefaksmaskiner, osv. Ved teknisk sikring rettes fokus mot selve teknologikomponenten i informasjonssystemene. Et eksempel er automatisk sikkerhetskopiering. Ved organisatorisk sikring er man særlig opptatt av det menneskelige element og den rolle virksomhetens medarbeidere har. Dette kan delvis være knyttet til administrative rutiner rundt implementering av fysisk og teknisk sikring. Stikkord kan her være ansvars- og arbeidsdeling, oppfølging og sanksjoner. De normative og pedagogiske funksjoner har også stor betydning. For å oppnå det ønskede resultat, er det viktig at sikkerhet innarbeides i den enkeltes handlingsmønster. De IT-tekniske løsninger må sees i sammenheng med bl a bygningsmessige forhold, personkontroll, kompetanse og opplæring, holdninger og ikke minst det ledelsesmessige engasjement. Det er de enkelte sektorer og virksomheter, gjennom det som gjerne kalles linjeansvaret, som må ivareta dette helhetlige ansvaret.
Nasjonal Sikkerhetsmyndighet har i dag et ansvar for å føre kontroll med skjermingsverdig(e) informasjon, systemer og installasjoner, kontrollere at regelverket følges og danne seg et korrekt bilde av sikkerhetstilstanden. Sikkerhetsgraderte informasjonssystemer, kryptoutstyr og nøkkelmateriell skal være sikkerhetsmessig godkjent. Det er etablert et felles system for rapportering og oppfølging av sikkerhetsbrudd. Innen rammen av det sikkerhetsmessige forsvarlige, delegerer Nasjonal sikkerhetsmyndighet kontroll- og godkjenningsoppgavene i noen utstrekning.
De store politiske endringer som har funnet sted de senere år, har redusert den militære trussel mot Norge. Men fortsatt har fremmed etterretningstjeneste forholdsvis store ressurser som kan settes inn for å avlytte/tappe sambands- og elektronikksystemer, f eks innenfor totalforsvaret. Avlytting/tapping kan skje ved at informasjon som sendes over kabler eller som radiosignaler i eteren, fanges opp, enten ved direkte tilkobling til kabelen eller ved avlytting av radiosignaler. Avlytting kan også skje ved at kommunikasjonsutstyret avgir elektromagnetisk stråling. Stadig større bruk og avhengighet av elektroniske sambands- og datasystemer (i lovforslaget brukes fellesbetegnelsen «informasjonssystemer», se pkt 7.3.1 om begrepet) og annet utstyr, øker sårbarheten innen kommando- og ledelsesapparatet på alle nivå. På grunn av mangelfull beskyttelse og store informasjonsmengder, er telekommunikasjonssamband og databehandlingssystemer særlig utsatt. Dette er en av de største utfordringene i fremtiden for den forebyggende sikkerhetstjeneste. Informasjonssikkerhet er av avgjørende betydning for å sikre at skjermingsverdig informasjon ikke kompromitteres, beholder integritet og er tilgjengelig. Nasjonal Sikkerhetsmyndighet vil herunder måtte arbeide videre med å effektivisere kryptotjenesten og gjennomføre nødvendige sikkerhetsevalueringer. Brukersikkerhet må alminneliggjøres og bli en like naturlig og selvfølgelig del av informasjonssikringen som tradisjonell dokumentsikkerhet har vært og er.
Samtidig er det klart at den samfunnsmessige utvikling innebærer at informasjon som tidligere ble ansett skjermingsverdig, i dag i større grad må aksepteres å være åpent tilgjengelig. Som eksempel på dette vises til høringsuttalelsen fra Statens vegvesen, hvor det heter:
«Statens vegvesen er pålagt endel oppdrag i fred og krig ifølge samarbeidsavtalen med Forsvaret. Tidligere var oppdragene gradert «hemmelig». De er nå nedgradert til «begrenset». Omfanget av høyt graderte dokumenter er sterkt redusert og håndteringen er dermed blitt bedre.
Vegdirektoratet vil likevel bemerke at opplysninger om vegnettet og vegnettets fremkommelighet, som f.eks. tillatt aksellast, vegbredder, alternative vegruter, som tidligere ble ansett for å ligge i nærheten av å være «skjermingsverdig informasjon», i dag er opplysninger som er fritt tilgjengelig på en rekke steder i samfunnet (trafikkstasjoner, grensestasjoner, vegtrafikksentralene, ulike databaser mm). Det vil være vanskelig å tenke seg i dag at disse opplysningene ikke skulle være åpent tilgjengelig, slik som informasjonssamfunnet nå har utviklet seg.»
7.2 Dokumentsikkerhet
7.2.1 Sikkerhetsinstruksen
Ved kgl res av 26 juni 1953 ble det fastsatt instruks for behandlingen av dokumenter som av sikkerhetsmessige grunner må beskyttes. Instruksen ble gjort gjeldende for Forsvaret og for en begrenset del av den sivile administrasjon. Den fastsatte at personer som skulle ha befatning med slike beskyttede dokumenter, skulle godkjennes spesielt for dette. Instruksen ble i 1962 revidert og gjort gjeldende for hele statsadministrasjonen.
Sikkerhetsinstruksen er det mest sentrale regelverk når det gjelder dokumentsikkerhet. Gjeldende instruks ble fastsatt ved kgl res 17 mars 1972 og trådte i kraft 1 juli 1972. Instruksen er revidert ved kgl res av 14 mai 1982 og 7 oktober 1988. I tillegg er det gitt regler om automatisk avgradering av beskyttede dokumenter ved kgl res 7 oktober 1988, og Forsvarsdepartementet har den 8 september 1989 utgitt retningslinjer og kommentarer til disse. Hovedregelen om avgradering senest etter 30 år foreslås lovfestet.
Sikkerhetsinstruksen kommer til anvendelse ved behandling av dokumenter som inneholder opplysninger som er av betydning for rikets sikkerhet eller det internasjonale forsvarspolitiske samarbeidet, eller som er av særlig betydning for forholdet til fremmede makter. Instruksen skal også, i den utstrekning det ikke er fastsatt særlige regler, anvendes under behandling av NATO-graderte opplysninger. Dette er Norge bundet av i henhold til de bestemmelser som gjelder i NATO. NATO-dokumenter er NATOs eiendom, og kan av medlemslandene ikke offentliggjøres uten samtykke fra NATO. Dette gjelder også NATO UNCLASSIFIED dokumenter, som ikke skal behandles etter Sikkerhetsinstruksens regler, men som skal unntas offentlighet med mindre NATO har gitt samtykke til offentliggjøring.
Sikkerhetsinstruksen § 1 første ledd lyder:
«Denne instruks kommer til anvendelse ved behandling av dokumenter som inneholder opplysninger som er av betydning for rikets sikkerhet eller det internasjonale forsvarspolitiske samarbeid, eller som er av særlig betydning for forholdet til fremmede makter. Instruksen skal også - i den utstrekning det ikke er fastsatt særskilte regler - anvendes under behandling av NATO-graderte opplysninger.»
Sikkerhetsinstruksen § 3 første til fjerde ledd lyder:
«STRENGT HEMMELIG nyttes dersom det kan få helt avgjørende følger for Norges eller dets alliertes sikkerhet eller forholdet til fremmede makter forøvrig om dokumentets innhold blir kjent for uvedkommende. HEMMELIG nyttes dersom det alvorlig kan skade Norges eller dets alliertes sikkerhet eller forholdet til fremmede makter forøvrig om dokumentets innhold blir kjent for uvedkommende. KONFIDENSIELT nyttes dersom det kan skade Norges eller dets alliertes sikkerhet om dokumentets innhold blir kjent av uvedkommende. BEGRENSET nyttes for opplysninger av sikkerhetsmessig verdi, hvor det kan være skadelig med spredning utenfor rammen av et tjenestlig behov.»
Med hjemmel i Sikkerhetsinstruksen § 16 har Forsvarssjefen fastsatt utfyllende bestemmelser. Forsvarets overkommando har i september 1994 dessuten fastsatt retningslinjer for nasjonal gradering av skjermingsverdig informasjon innen totalforsvaret.
Sikkerhetsinstruksen med utfyllende bestemmelser inneholder detaljerte regler om bl a merking, journalisering, arkivering, oppbevaring, forsendelse, spredning, reproduksjon, mottakskontroll, av- og nedgradering, autorisasjon, kontroll og tilintetgjøring av informasjon som faller inn under instruksens virkeområde. I Forsvarssjefens utfyllende bestemmelser er dokumentbegrepet definert som brev, notat, telegram, melding, rapport, forslag, utkast, betenkning, utredning, skisse, foto, film, kart og andre billedlige fremstillinger, opplysninger talt inn på bånd eller annet elektronisk medium samt ethvert datamedium hvor det er registrert data. De detaljerte utfyllende bestemmelser egner seg best for forskriftsregulering, og det foreslås i loven at Kongen og Nasjonal sikkerhetsmyndighet gir slike forskrifter.
Kulturdepartementet tar i sin høringsuttalelse opp forholdet til arkivloven av 4 desember 1992, som ennå ikke er trådt i kraft. og uttaler bl a følgende:
«§ 12 i utkastet til sikkerhetstjenestelov hjemler forskrifter om beskyttelse av informasjon og vil derved også omfatte regler om oppbevaring av arkivdokumenter. Vi går imidlertid ut fra at påbudte sikkerhetsforanstaltninger etter denne loven vil være strengere enn de regler som fastsettes for arkivmateriale generelt. En må likevel være spesielt oppmerksom på forholdet til arkivloven med forskrifter i forbindelse med utformingen av forskriftene til sikkerhetstjenesteloven.»
Forsvarsdepartementet er enig i dette. Arkivloven med forskrifter vil også gjelde for kommunesektoren. Arkivlovens § 9 fastsetter for øvrig at arkivmateriale ikke kan kasseres uten i samsvar med forskrifter gitt i medhold av arkivloven eller etter særskilt samtykke fra Riksarkivaren. Arkivloven vil på dette punkt gå foran forskrifter om kassasjon i medhold av en lov om forebyggende sikkerhetstjeneste.
7.2.2 Forholdet til offentlighetsloven m.m.
På bakgrunn av at departementet nå foreslår at Sikkerhetsinstruksens hovedregler nedfelles i lov, og at utfyllende forskrifter om sikkerhetsgradering også foreslås hjemlet i lov, reises spørsmålet om dette får noen konsekvenser for praktiseringen av offentlighetsprinsippet og det såkalte meroffentlighetsprinsippet.
Generelle drøftelser av forholdet mellom Sikkerhetsinstruksen og offentlighetsloven er bl a foretatt i NOU 1980:51 Nedgradering og offentliggjøring og i Arvid Frihagen: Offentlighetsloven. Offentlighet, taushetsplikt og partsinnsyn (3. utgave, Bergen 1994) ss 345-388. Det er forutsatt i teorien, og lagt til grunn i praksis, at gradering etter gjeldende sikkerhetsinstruks ikke skal innskrenke den lovbestemte innsynsrett enhver har etter offentlighetsloven. Dette prinsippet vil etter departementets vurdering bli opprettholdt og styrket, selv om reglene om sikkerhetsgradering nå foreslås lovfestet. Etter lovforslaget vil sikkerhetsgradert informasjon bli undergitt lovbestemt taushetsplikt, og skal derfor unntas offentlighet etter offentlighetsloven § 5a. Omfanget av skjermingsverdig informasjon som skal sikkerhetsgraderes, foreslås imidlertid betydlig innsnevret, jfr nedenfor. Dette vil styrke offentlighetsprinsippet og adgangen til å praktisere meroffentlighet for informasjon som ikke lenger skal sikkerhetsgraderes.
Offentlighetsloven § 2 første ledd bestemmer at forvaltningens saksdokumenter er offentlige «så langt det ikke er gjort unntak i lov eller i medhold av lov», jfr også et tilsvarende unntak fra loven som sådan i § 1 første ledd. Departementet vil i den forbindelse understreke at selv om regler om sikkerhetsgradering lovfestes, er det ikke departementets intensjon med lovforslaget sett under ett at det i større grad enn i dag skal kunne gjøres unntak fra eller innskrenkninger i offentlighetsprinsippet, jfr nærmere om dette nedenfor. Det bemerkes for øvrig at en lovfesting ikke får noen rettsvirkninger i forhold til forvaltningslovens § 1, som bestemmer at loven gjelder så langt «ikke annet er bestemt i eller i medhold av lov». Det følger av Sikkerhetsinstruksen § 6 tredje ledd at en part har rett til å gjøre seg kjent med de deler av dokumentet som ikke inneholder sikkerhetsmessige opplysninger, med mindre annet følger av forvaltningsloven §§ 18 eller 19. Denne regelen vil bli opprettholdt.
Sikkerhetsinstruksen §§ 1 og 3 setter i dag en ramme for gradering som for det vesentligste må sies å falle innenfor angivelsen av unntakene fra offentlighet etter offentlighetsloven § 6 første ledd nr 1, hvilket også er lagt til grunn i praksis og i juridisk teori. I tillegg vil dokumentets innhold kunne være undergitt lovbestemt taushetsplikt, eksempelvis etter borgerlig straffelov § 90. En har i så fall plikt til å unnta dokumentet etter offentlighetsloven § 5a. Det er vanskelig å forestille seg praktiske eksempler på sikkerhetsgradert informasjon som skal unntas etter § 5a, men som ikke omfattes av unntaksbestemmelsen i § 6 første ledd nr 1. Omvendt må det imidlertid understrekes at det kan tenkes dokumenter som kan unntas fra offentlighet etter offentlighetsloven § 6 nr 1, men som ikke kan sikkerhetsgraderes. For sikkerhetsgradering er det etter Sikkerhetsinstruksen § 2 et vilkår om at dokumentet må beskyttes av sikkerhetsmessige grunner. For unntak etter offentlighetsloven § 6 nr 1 vil bl a utenrikspolitiske hensyn kunne være avgjørende, såfremt skadevilkåret i paragrafen er oppfylt.
Skjermingsverdig informasjon skal sikkerhetsgraderes. Departementet foreslår å lovfeste taushetsplikt for informasjon som er sikkerhetsgradert. Vilkårene for sikkerhetsgradering fremgår av de ulike sikkerhetsgrader (STRENGT HEMMELIG, HEMMELIG, osv), jfr lovforslaget § 11. Sikkerhetsgradene dekker etter forslaget også informasjon som kan medføre skade for «vitale nasjonale sikkerhetsinteresser» om den blir kjent for uvedkommende. Begrepet er nytt i forhold til ordlyden i Sikkerhetsinstruksen, men vil for praktiske formål ikke innebære en utvidelse i forhold til gjeldende vilkår for sikkerhetsgradering. Det vises herunder til at begrepet erstatter dagens skjønnsmessige formulering om gradering av informasjon som har «sikkerhetsmessig verdi», jfr nedenfor om dette. For det første må fremheves at opplysningene må være knyttet til rikets sikkerhetsmessige interesser. I ordet «vitale» ligger videre en forutsetning om at det må dreie seg om helt essensielle og samfunnsviktige sikkerhetsinteresser. Det må legges til grunn at slike opplysninger etter dagens regler som den klare hovedregel vil kunne eller skal unntas fra offentlighet etter offentlighetslovens unntaksbestemmelser. Begrepet er likevel foreslått for å indikere at det kan være grunn til å skjerme informasjon etter loven, selv om informasjonen ikke har direkte sammenheng med rikets territorielle sikkerhet. Det vises for så vidt til fremstillingen ovenfor under pkt 5.6.1. Det vil f eks dreie seg om opplysninger som må skjermes for å forebygge alvorlige terrorhandlinger, selv om terrorhandlingene ikke utføres av eller for en fremmed makt e l og således ikke nødvendigvis vil direkte berøre rikets territorielle sikkerhet. En annen grunn til å medta begrepet er hensynet til situasjoner hvor norske vitale sikkerhetsinteresser gjør seg gjeldende i utlandet, eksempelvis hensynet til å forebygge alvorlige trusler mot sikkerheten til norske styrker som deltar i internasjonale fredsoperasjoner, hvis beskyttelse neppe kan sies å berøre rikets sikkerhet. Slike opplysninger sikkerhetsgraderes og unntas dermed offentlighet også i dag. Det er grunn til å tro at dette ofte skjer gjennom en vid tolkning av begrepet rikets sikkerhet. I den grad innføringen av begrepet i det hele tatt kan sees på som en utvidelse i forhold til gjeldende regler, vil det for praktiske formål få som konsekvens at enkelte opplysninger som tidligere ble gradert etter Beskyttelsesinstruksen, i stedet skal behandles som skjermingsverdig informasjon og sikkerhetsgraderes etter det fremlagte lovforslaget. Teoretisk kan det kanskje tenkes opplysninger som angår vitale nasjonale sikkerhetsinteresser, men som i dag vanskelig kan henføres under en av unntaksbestemmelsene i offentlighetsloven § 6 eller taushetsplikt i eller i medhold av annen lovgivning, selv om departementet har vanskelig for å finne et praktisk eksempel på dette. I så tilfelle taler reelle hensyn for å ha mulighet til å beskytte informasjon som kan skade vitale nasjonale sikkerhetsinteresser. Og selv om sikkerhetsgradering i et slikt tilfelle vil utvide adgangen til å gjøre unntak fra offentlighet, må det bemerkes at dette vil mer enn oppveies av den innskrenkning i adgangen til å sikkerhetsgradere informasjon som lovforslaget for øvrig legger opp til. Samlet sett vil lovforslaget således ikke medføre begrensninger i allmennhetens og pressens innsynsrett etter offentlighetsloven. Det er ikke adgang til å praktisere meroffentlighet for dokumenter som er undergitt lovbestemt taushetsplikt. Dette praktiseres heller i dag for dokumenter som er sikkerhetsgradert. Adgangen til å sikkerhetsgradere dokumenter foreslås i tillegg betydelig innskrenket i forhold til nåværende regler. Forslaget innebærer snarere at adgangen til å praktisere meroffentlighet utvides. Det som skal sikkerhetsgraderes, vil etter forslaget bare gjelde informasjon som kan skade rikets sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser. På dette området må det imidlertid være hemmelighold, og det vil åpenbart uforsvarlig ikke å knytte taushetsplikt til slik svært sensitiv informasjon.
I medhold av offentlighetsloven § 9 fjerde ledd er det fastsatt regler om avgjørelsen av innsyn i dokumenter som er gradert etter Sikkerhetsinstruksen, jfr pkt II i forskrift av 14 februar 1986 nr 351. Det er her bestemt at dersom det kreves innsyn i dokument påført slik gradering, skal spørsmålet om å revurdere graderingen forelegges for den etat som har foretatt graderingen. Finner etaten grunn til å tro at dokumentet ikke kan unntas fra offentlighet etter offentlighetsloven, skal dokumentet nedgraderes etter Sikkerhetsinstruksens regler. Ved kgl res av 14 mai 1983 fikk Sikkerhetsinstruksen en tilføyelse om at revurdering av gradering alltid skal skje når det kommer henvendelse om innsyn i dokumentet. Lovforslaget innebærer ingen endringer i forhold til disse prinsippene. Dersom loven vedtas, må det imidlertid fastsettes nye utfyllende regler i forskrifts form som dekker de forhold som Sikkerhetsinstruksen i dag regulerer, jfr lovforslaget § 12 annet ledd første punktum. Henvisningen til Sikkerhetsinstruksen i forskriftene til offentlighetsloven vil samtidig måtte endres. Dette gjelder også forskriftens regler om journalisering, som bl a viser til og gjengir Sikkerhetsinstruksens § 7.
Sikkerhetsinstruksen har i dag ingen annen hjemmel enn den alminnelige instruksjonsmyndigheten. Departementet foreslår gjennom loven at reglene utvides til også å omfatte virksomheter som ikke er underlagt Kongens instruksjonsmyndighet. Dette vil bl a sikre bedre samsvar mellom reglene om sikkerhetsgradering og offentlighetslovens virkeområde. Forslaget er generelt omtalt og begrunnet i pkt 6 ovenfor, og vil innebære at enkelte organer som Sikkerhetsinstruksen i dag ikke formelt gjelder for, vil måtte følge reglene om sikkerhetsgradering. I forhold til offentlighetsprinsippet vil dette ikke medføre noen endringer. Sikkerhetsgradert informasjon som i dag behandles f eks i kommunal sektor, beskyttes selvfølgelig etter tilsvarende prinsipper som i statlig virksomhet, selv om Sikkerhetsinstruksens regler ikke formelt er gjort gjeldende.
Ved revisjonen av Sikkerhetsinstruksen i 1982 ble instruksens § 3 om bruk av sikkerhetsgraden BEGRENSET strammet inn gjennom at det, i samsvar med justeringen av offentlighetsloven § 6 første ledd nr 1, ble tatt inn et skadekrav. For brukerne av instruksen synes imidlertid formuleringene om når et dokument skal graderes BEGRENSET, fremdeles å være uklare. BEGRENSET skal i dag benyttes for opplysninger «...av sikkerhetsmessig verdi hvor det kan være skadelig med spredning utenfor rammen av et tjenestlig behov». Skadebegrepet er imidlertid ikke knyttet til bestemte kriterier, og begrepet «sikkerhetsmessig verdi» gir etter ordlyden heller ikke særlig veiledning. At skadepotensialet sees i forhold til spredning utenfor rammen av et tjenestlig behov, og ikke i forhold til «uvedkommende» som er benyttet for øvrige sikkerhetsgrader, synes også lite begrunnet. Dersom en streng fortolkning legges til grunn, kan det også være vanskelig å forstå forskjellen mellom vilkårene for KONFIDENSIELT og BEGRENSET, ved at vilkårene «kan skade» og «kan være skadelig» må antas å gi uttrykk for det samme vurderingskriterium. Departementet foreslår derfor å presisere vilkårene for å sikkerhetsgradere informasjon BEGRENSET, slik at denne sikkerhetsgraden bare skal nyttes dersom det «...i noen grad kan medføre skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkkerhetsinteresser om informasjonen blir kjent for uvedkommende». Departementet antar at dette vil klargjøre bestemmelsen for brukerne og generelt medføre en redusert bruk av sikkerhetsgradering, også fordi ordlyden i denne laveste sikkerhetsgraden i dag kan tolkes såvidt omfattende at den åpenbart anvendes i større ustrekning enn hva den var ment å ramme. Forskjellen mellom KONFIDENSIELT («kan skade») og BEGRENSET («i noen grad kan medføre skadefølger») ligger etter dette først og fremst i at skaderisikoen kan være mindre sannsynlig og omfattende, og mer indirekte, når det gjelder informasjon som skal sikkerhetsgraderes BEGRENSET, enn for informasjon som skal sikkerhetsgraderes KONFIDENSIELT. Forhold av betydning for det internasjonale forsvarspolitiske samarbeid (jfr dagens sikkerhetsinstruks § 1) og forhold som kan skade Norges forhold til internasjonale organisasjoner (jfr offentlighetsloven § 6 nr 1 og det som tidligere er lagt til grunn om noenlunde samsvar mellom sikkerhetsinstruksens virkeområde og unntaksbestemmelsen i § 6 nr 1), skal i seg selv ikke medføre adgang til å sikkerhetsgradere informasjon. Denne innsnevring av vilkårene innebærer en betydelig styrking av offentlighetsprinsippet på utenriks- og forsvarssektoren. Utenriksdepartementet skriver om dette i sin høringsuttalelse:
«Departementet har merket seg at adgangen til å gradere dokumenter BEGRENSET etter dette vil bli betydelig innsnevret i forhold til nåværende regler».
Lovforslagets konsekvenser kan oppsummeres slik: Etter gjeldende sikkerhetsinstruks § 3, jfr § 1 - og som følge av at det er lagt til grunn i praksis at det i stor grad er samsvar mellom sikkerhetsinstruksens virkeområde og hva som kan unntas offentlighet etter offentlighetsloven § 6 nr 1 - sikkerhetsgraderes i dag opplysninger som kan skade
rikets sikkerhet
alliertes sikkerhet
forholdet til fremmede makter
det internasjonale forsvarspolitiske samarbeid
landets forsvar
forholdet til internasjonale organisasjoner, dersom opplysningene er «av sikkerhetsmessig verdi, hvor det kan være skadelig med spredning utenfor rammen av et tjenestlig behov»
øvrige «opplysninger av sikkerhetsmessig verdi, hvor det kan være skadelig med spredning utenfor rammen av et tjenestlig behov»
Etter lovforslaget skal sikkerhetsgradering av opplysninger bare skje når det kan skade
rikets sikkerhet
alliertes sikkerhet
forholdet til fremmed makter
andre vitale nasjonale sikkerhetsinteresser
Det er etter dette klart at loven vil medføre en betydelig innsnevring av hva som skal holdes hemmelig, og at adgangen til å praktisere meroffentlighet utvides vedrørende forhold som omfattes av offentlighetsloven § 6 nr 1 og som ikke skal sikkerhetsgraderes. Særlig betydningsfullt vil det være å bli kvitt den skjønnsmessige formuleringen om å gradere «opplysninger av sikkerhetsmessig verdi». Det ligger for øvrig i begrepet andrevitale nasjonale sikkerhetsinteresser (enn rikets sikkerhet mv) ut fra ordlyden en klar indikasjon på at dette bare gjelder helt avgjørende og samfunnsviktige sikkerhetsinteresser, kfr ovenfor. Den detaljerte tolkningen av begrepet må på vanlig måte, i likhet med forståelsen av begrepet «rikets sikkerhet», overlates til å finne sin presise avklaring gjennom forvaltningspraksis, juridisk teori, domstolspraksis, uttalelser fra Stortingets ombudsmann for forvaltningen, osv.
For forholdet mellom offentlighetsloven og reglene om sikkerhetsgradering understrekes ellers at offentlighetslovens anvendelse begrenses av lovens dokumentbegrep, se offentlighetslovens § 3 og forskrift av 19 desember 1986 nr 2202 om offentlighetslovens anvendelse på EDB-materiale. Lovforslagets regler om sikkerhetsgradering favner videre, ved at de gjelder skjermingsverdig informasjon uten hensyn til hvilken form opplysningene foreligger i, jfr definisjonene i lovforslaget § 3. Også f eks gjenstander som røper skjermingsverdige opplysninger, skal sikkerhetsgraderes og beskyttes. I slike tilfeller vil offentlighetsloven ikke få anvendelse.
Norsk Presseforbund og Norsk Redaktørforening fremfører i en felles høringsuttalelse bl a følgende synspunkter til spørsmålet om forholdet til offentlighetsprinsippet:
«Det er neppe uenighet om at unntak fra offentlighet, sikkerhetsgradering og taushetsplikt er praktisert til overmål i vår forvaltning i en årrekke. Behovet for å stramme inn på unntak og taushetsregler burde derfor være godt dokumentert. Vi registrerer derfor med stor forbauselse at lovforslaget går inn for utvidet unntak fra innsyn og utvidet lovbestemt taushetsplikt.»
Det heter videre at det er uholdbart
«..å innføre enda en ny lov med egne bestemmelser om taushetsplikt, i tillegg til de over 100 lovbestemmelser om taushetsplikt som allerede skal praktiseres som unntak fra vårt offentlighetsprinsipp. Dersom lovbestemt taushetsplikt av hensyn til offentlige interesser i det norske samfunn skal reguleres nærmere, kreves et helt annet grunnlag og en helt annen drøfting av motstridende interesser enn det som er lagt til grunn for departementets lovforslag:»
Departementet er ikke enig i refererte uttalelser, og viser til begrunnelsen ovenfor. En vil også fremheve at det neppe er noe argument mot lovbestemt taushetsplikt knyttet til slik informasjon som er av helt vital betydning for Norges sikkerhetsinteresser å skjerme, at det også finnes taushetspliktbestemmelser i andre lover som beskytter mindre sensitiv informasjon. Det skal imidlertid bemerkes at enkelte formuleringer i høringsutkastet kunne misforstås dersom de ikke ble lest i sin rette sammenheng. Forsvarsdepartementet har tatt hensyn til dette, og har - i samråd med Justisdepartementet - som følge av de kritiske merknader fra Norsk Presseforbund og Norsk Redaktørforening endret og presisert både lovteksten og omtalen av disse spørsmål i motivene, slik at det ikke skal være noen tvil knyttet til lovforslagets intensjoner.
7.3 Sikkerhet i informasjonssystemer
7.3.1 Hva som menes med informasjonssystemer
Informasjonssystemer omfatter etter lovforslaget «en organisert samling av periferutrustning, programvare, datamaskiner og kommunikasjonsnett som knytter dem sammen». Med periferutrustning siktes til enhet som ikke tilhører sentralutrustningen eller er en nettverks komponent, som f eks PC, terminal, skanner eller skriver.
Et informasjonssystem vil således omfatte elektriske eller elektroniske systemer for lagring, behandling eller transport av elektronisk representert informasjon. En tilsvarende definisjon er benyttet i utkastet til nytt Datasikkerhetsdirektiv, som skal fastsettes om kort tid. Formuleringene er valgt for å fange opp alle former for analoge og digitale systemer som håndterer informasjon. Begrepet inkluderer telefon, faksimile, datasystem og nettverk. Taktiske systemer, bl a radio, vil også være omfattet. Definisjonen omfatter både datanett (medium for transport av data som elektriske signaler, elektromagnetiske bølger eller lys, som kan bestå av kabelsystemer, radiolinjer, satelittforbindelser samt nødvendig svitsje-, tilkoplings- og nettermineringsutstyr) og andre informasjonssystemer.
7.3.2 Data- og sambandssikkerhet mv
Datasikkerhetsdirektivet er fastsatt av Forsvarssjefen 1 desember 1989, på bakgrunn av og innenfor rammene av det koordineringsansvaret han har etter kgl res 24 september 1965. I noen utstrekning kan direktivet også sees hjemlet i Sikkerhetsinstruksens § 16 om utfyllende bestemmelser. Statsministerens kontor har i skriv av 8 september 1994 bestemt at direktivet også skal gjøres gjeldende for informasjon som er gradert etter Beskyttelsesinstruksen. Datasikkerhetsdirektivet er for tiden under revisjon. Bl a tas det sikte på å legge større vekt enn tidligere på å beskytte informasjonens integritet og tilgjengelighet, selv om hovedvekten fremdeles blir lagt på konfidensialitetssikring. Eksplosjonen vedrørende bruk av dataverktøy har dessuten medført at en rekke av oppgavene må delegeres ut til sluttbrukere eller anskaffende forvaltning. Dette innebærer at den enkelte virksomhet må ta et større ansvar for datasikkerhet. Etablering av egenkompetanse og -kapasitet for datasikkerhet blir nødvendig i større utstrekning enn tidligere.
I tillegg har Forsvarssjefen gitt sikkerhetsregler i Fiberoptikkdirektivet (som ifm revisjonen av Datasikkerhetsdirektivet vil bli inkorporert i sistnevnte), Tempestdirektivet og reglene for håndtering av CCI materiell. Fiberoptikkdirektivet regulerer bl a plikt til å bruke fiberoptiske kabler i informasjonssystemer som skal håndtere sikkerhetsgradert informasjon, og regler om sikring av fiberkablene og kontroll og inspeksjon av disse. Tempestdirektivet inneholder regler som tar sikte på å motvirke at skjermingsverdig informasjon kan kompromitteres som elektromagnetisk stråling fra elektronisk utstyr. CCI direktivet inneholder regler som beskriver merking og håndtering av materiell som tillates benyttet til behandling eller formidling av gradert informasjon. Hensikten er å hindre at uvedkommende får tilgang til materiellet slik at det blir modifisert for å kompromittere skjermingsverdig informasjon.
Datasikkerhetsdirektivet fastsetter sikkerhetsregler for databehandling og transmisjon av informasjon. Nasjonal sikkerhetsmyndighet er sertifiseringsmyndighet og akkrediteringsmyndighet (myndighet for sikkerhetsmessig godkjenning av informasjonssystemer) for hele statsforvaltningen. Sikkerhetsmessig godkjenning (som er det begrep som ofte brukes i stedet for begrepet akkreditering) av et informasjonssystem er en avgjørelse om at systemet i sitt operative miljø tillates brukt for behandling, lagring eller transport av skjermingsverdig informasjon. Ved den sikkerhetsmessige godkjenning vurderes alle sider ved informasjonssikkerheten, herunder fysisk sikring av lokaler og utstyr, sikkerhetsklarering og autorisasjon av personer som kan få tilgang til systemet, organiseringen av informasjonssikkerheten, at sikkerhetsinstrukser er utarbeidet og beskriver alle relevante sikkerhetsmessige forhold, og at systemet er implementert og opereres i henhold til godkjent Kravsspesifikasjon for sikkerhet (KSS; se nærmere om dette begrepet nedenfor).
Departementet foreslår å opprettholde ordningen med at Nasjonal sikkerhetsmyndighet, eller den Nasjonal sikkerhetsmyndighet bemyndiger, skal forestå sikkerhetsmessig godkjenning av informasjonssystemer når skjermingsverdig informasjon skal behandles, lagres eller transporteres i systemet.
Etter gjeldende regler er Nasjonal sikkerhetsmyndighet også sertifiseringsmyndighet for informasjonssystemer som skal håndtere skjermingsverdig informasjon. Med sertifisering menes her en teknisk evaluering av et informasjonssystem/-produkt; dvs en typegodkjenning uten at det tas hensyn til det operative miljø. Evalueringen skal påvise at sikkerhetsmekanismene er tilstrekkelige og at de er implementert iht spesifikasjonene i en Kravsspesifikasjon for sikkerhet (KSS), som formulerer alle sikkerhetskrav til systemet. KSS kan være erstattet av internasjonale kriterier, f eks EU-kriteriene «Information System Evaluation Criteria (ITSEC)». Internasjonale kritierier blir ofte lagt til grunn når det gjelder tillitsnivået til implementeringen, mens kriteriene ikke alltid passer når det gjelder funksjonaliteten. Sertifiseringsprosessen deles ofte inn i aktivitetene 1) sikkerhetsevaluering, som er den tekniske gjennomgang og vurdering, og 2) utstedelse av sertifiseringsbevis. Sertifiseringsbevis kan bare gis av en myndighet som er autorisert for oppgaven. Departementets lovforslag innebærer at den nåværende ordning fortsetter; dvs at Nasjonal sikkerhetsmyndighet er sertifiseringsmyndighet for informasjonssystemer som skal håndtere skjermingsverdig informasjon.
Departementet foreslår videre å lovfeste at Nasjonal sikkerhetsmyndighet kan godkjenne at andre virksomheter utfører tjenester for sikring av informasjonssystemer som skal håndtere skjermingsverdig informasjon. Den virksomhet som forestår slike sikkerhetstjenester for andre virksomheter, kalles gjerne «tjenestetilbyder». Foreløpig er det bare etablert ordninger for sikkerhetstjenester basert på NSK kryptoutstyr, se nedenfor under pkt 7.3.3. Forslaget innebærer at nåværende ordning med godkjennelse av tjenestetilbydere innen krypto opprettholdes, i tillegg til at Nasjonal sikkerhetsmyndighet får ansvaret for å godkjenne tjenestetilbydere på nye områder innen informasjonssikkerhet, avgrenset til lovforslagets virkeområde.
Forsvarssjefen har formelt ikke ansvaret for Beskyttelsesinstruksen og gjennomføringen av denne. Dette ansvaret tilligger Statsministerens Kontor. Etter avtale med Statsministerens Kontor er imidlertid Datasikkerhetsdirektivet også gjort gjeldende for informasjon gradert etter Beskyttelsesinstruksen, mens det formelt sett ikke utøves regler for sambandssikkerhet på dette området. Fremtidige ansvarsforhold knyttet til informasjon som graderes etter Beskyttelsesinstruksen, samt avklaring av andre forhold knyttet til denne type informasjon, berøres ikke i lovforslaget.
I St meld nr 33 (1994-95), Personvern og telekommunikasjon, er det på ss 19-20 uttalt følgende om sertifisering av løsninger innen informasjonssikring, som har interesse for rikets sikkerhet selv om meldingen i hovedsak drøftet sikring av informasjon pga personvernhensyn:
«I forslaget til felles regelverk for beskyttelse av informasjon, var ett av forslagene opprettelse av et felles sertifiseringsorgan i Norge. Dette forslaget var grunnet i behovet for effektivisering av kontroll- og godkjenningsordninger som skyldes økt vektlegging på informasjonssikkerhet. Sertifiseringsorganet skulle dekke sertifisering av produkter til bruk i offentlig og sivil sektor. Arbeidsgruppens forslag var å legge ansvaret til Forsvarets overkommando (FO), men at det skulle etableres et nært og forpliktende samarbeid med Datatilsynet for å sikre at sivil sektor får sine behov tilgodesett. (---).
I Datasikkerhetsdirektivet er det allerede hjemlet at FO er sertifiseringsmyndighet for edb-system og datanett som behandler, lagrer eller transporterer informasjon gradert etter Sikkerhetsinstruksen eller Beskyttelsesinstruksen. Videre er FO sertifiseringsmyndighet for norskprodusert kryptoutstyr som skal beskytte sikkerhetsgradert informasjon.
Uttalelsene i høringsrunden til opprettelsen av et sertifiseringsorgan var stort sett positive. Det var imidlertid også kritiske røster, men disse var særlig knyttet til forslaget om at FO skulle ha rollen som eneste sertifiseringsmyndighet av produkter. Særlig helsesektoren og kommunene var negative til dette, og også Datatilsynet hadde motforestillinger.»
I denne forbindelse ga justiskomitéen uttrykk for følgende i Innst S nr 24 (1995-96) s 5, som Stortinget sluttet seg til:
« Komiteen vil også vise til forslaget fra Lars Sponheim på vegne av Venstre, oversendt fra Stortinget 6 juni 1995 om et teknisk sertifiserings- og rådgivningsorgan for sikrere dataløsninger. Komiteen støtter intensjonen i forslaget, og ber om at Regjeringa vurderer å opprette et slikt organ. Det kan være et godt hjelpemiddel for å ivareta informasjonssikkeheten og personvernet. Komiteen vil imidlertid ikke ta stilling til organiseringa av et slikt organ eller hvor det bør ligge.»
Etter høringsrunden om et felles og samordnet regelverk for dokumentbasert og elektronisk informasjon fra 1992, var det enighet mellom berørte departementer om at samordningsbehovet ikke skal ivaretas gjennom et felles regelverk. Problemene innenfor de ulike sektorer er svært uensartet. Det forutsettes derfor at de enkelte elementer i regelverket fortsatt skal forvaltes av de respektive fagdepartementene i tråd med linjeansvaret. Det arbeides videre med forslag til opprettelse av en sertifiseringsordning i Norge. Samordning av regelverksutviklingen mv skal ivaretas av et opprettet tverrdepartementalt råd; Rådet for IT-sikkerhet i statsforvaltningen (RITS). En eventuell sertifiseringordning vil imidlertid ikke gjelde informasjonssystemer og IT-produkter som skal håndtere sikkerhetsgradert informasjon. Lovforslagets regler om Nasjonal sikkerhetsmyndighet som sertifiseringsmyndighet for slike informasjonssystemer, vil dermed ikke gripe inn i det pågående arbeidet rettet mot etablering av en sivil sertifiseringsordning. Datatilsynetuttaler om dette i sin høringsuttalelse, som departementet slutter seg til:
«Datatilsynet driver også forebyggende sikkerhetsarbeid og foretar sikkerhetskontroller av de samme gruppene som Nasjonal sikkerhetsmyndighet gjør. Det blir for tiden foretatt en utredning om en eventuell opprettelse av et nasjonalt sertifiseringsorgan. Dette organet kan også få en rolle når det gjelder godkjenning og vurdering av informasjonssikkerhet. De ulike aktørenes roller innenfor området informasjonssikkerhet bør avklares. Det kunne være fornuftig med en viss samordning av ressursbruken slik at man unngår dobbelt arbeid.»
7.3.3 Særlig om kryptosikkerhet
Kryptering betyr å forvanske (kode) informasjon slik at den ikke kan leses. Krypteringen kan reverseres ved å benytte en tilsvarende prosess, gjerne kalt dekryptering (dekoding). Krypteringen kan gjøres individuell ved hjelp av såkalte nøkler. Mottakeren av informasjonen kan dermed gis eksklusiv tilgang til informasjonen ved at vedkommende får den aktuelle nøkkelen. Dette setter imidlertid krav til en sikker nøkkeladministrasjon, f eks rutinemessig skifte av krypteringsnøkler og beskyttelse av nøklene under transport, lagring og bruk.
Datasikkerhetsdirektivet stiller krav til kryptering av eksterne linjer (informasjon som sendes utenfor eget kontrollert område) under visse betingelser. Informasjon som er gradert etter Sikkerhetsinstruksen, skal beskyttes med kryptosystemer og metode for nøkkeladministrasjon som er godkjent av Nasjonal sikkerhetsmyndighet. Kryptosystemer er en organisert samling av funksjoner eller metoder (kryptoenheter/-utstyr og tilhørende nøkkeladministrasjon) for å transformere data med det mål å skjule innholdet, tranformere tilbake til klartekst data, sikre at modifikasjon oppdages eller hindre uautorisert bruk av data eller ressurser. Begrepet omfatter både krypto «hardware» og krypto «software». I datateknisk kompliserte installasjoner kan det være vanskelig - for ikke å si umulig - å implementere altomfattende kryptering basert på maskinelle enheter. Samtidig kan en viss beskyttelse kunne gis ved bruk av krypto «software», som ut fra en gitt risikovurdering i noen tilfeller kan være en akseptabel løsning. Med kryptosikkerhet menes utvikling, godkjenning og implementering av kryptosystemer, herunder materiell, nøkler og algoritmer, samt utarbeidelse av regler for og kontroll med bruken av kryptosystemene.
Det er viktig for selvråderetten at Norge har en levedyktig kryptoindustri. Som et tiltak for å legge forholdene til rette for bedre kommunikasjonssikkerhet, er det utviklet en egen norsk kryptologi for informasjon som må beskyttes av hensyn til offentlige interesser. Kryptolgoritmen går under betegnelsen NSK. Algoritmen er ikke offentliggjort. Bruksområdet går lenger enn bare til beskyttelse av sikkerhetsgradert informasjon.
NSK prosjektet ble finansiert av Forsvarsdepartementet og Telenor i fellesskap. Forsvaret og Telenor har eiendomsretten til kryptoalgoritmen og -kretsen. Utviklingen er utført i samarbeid med Datatilsynet. Når kryptoutstyr med NSK skal anvendes for å beskytte sikkerhetsgradert informasjon, skal utstyret sertifiseres. Nasjonal sikkerhetsmyndighet er sertifiseringsmyndighet for slikt utstyr i Norge, og har den 15 mars 1996 fastsatt «Regler for kontroll og bruk av nasjonal kryptoalgoritme og -krets og kontroll og bruk av utstyr hvor kretsen inngår», hvor det bl a er gitt nærmere regler om nøkkeladministrasjon, kontroll og inspeksjon og autorisasjon av tjenestetilbydere og utstyrsleverandører. Det er produsert et større antall NSK kretser. Flere kan produseres etter behov.
Ved bruk av NSK er det ikke mulig å foreta avlytting uten tilgang til nøkkelmateriellet. Ved å åpne for at brukergruppene selv kan produsere og forvalte nøkkelmateriell, vil den enkelte bruker kunne være trygg på at ingen utenforstående får tilgang. Myndighetenes kontroll er sikret gjennom at tilgang til NSK kryptoutstyr krever godkjennelse av sluttbruker. Det er kun brukere med hjemlet behov etter norsk regelverk, eller hvor forholdene for øvrig tilsier at NSK-utstyr bør brukes, som kan bli godkjent. Offentlige etater og sluttbrukere som forvalter gradert informasjon, vil imidlertid automatisk bli godkjent.
Ovenfor under pkt 7.3.2 er omtalt at departementet foreslår å lovfeste at Nasjonal sikkerhetsmyndighet kan godkjenne tjenestetilbydere knyttet til sikring av informasjonssystemer som skal håndtere skjermingsverdig informasjon. Som der nevnt, er en slik ordning foreløpig bare etablert for sikkerhetstjenester basert på NSK kryptoutstyr. Nasjonal sikkerhetsmyndighet godkjenner tjenestetilbyderne for slikt utstyr. I tillegg til Nasjonal sikkerhetsmyndighet er Telenor AS godkjent tjenestetilbyder. Det forventes at en ytterligere tjenestetilbyder blir godkjent i løpet av første halvdel av 1997.
Det såkalte Statssekretærutvalget utga i januar 1996 rapporten «Den norske IT-veien - Bit for bit». I rapportens pkt 3.3.6 uttaler utvalget følgende:
«Elektronisk kommunikasjon og bruk av nett som infrastruktur for samhandling skal bli like akseptert, tillitvekkende og ha samme juridiske holdbarhet som tradisjonelt papirbasert skriftlig kommunikasjon og dokumentasjon.»
For å oppnå dette, kreves at underskrift på papirbaserte dokumenter må erstattes av en like troverdig elektronisk signatur for elektronisk dokumentutveksling (EDI). En måte å signere elektroniske dokumenter, er ved bruk av en asymmetrisk kryptoalgoritme, hvor det er ett nøkkelpar; en nøkkel som bruker holder hemmelig og en offentlig nøkkel. Avsender signerer med sin hemmelige nøkkel, og alle som mottar dokumentet kan verifisere signaturen ved hjelp av avsenderens offentlige nøkkel. Problemet knyttet til spørsmålet om hvorledes en kan være sikker på at nøkkelparet tilhører avsender, løses ved at en tjenestetilbyder - «Tiltrodd Tredje Part (TTP)» - utsteder sertifikat om at den offentlige nøkkel virkelig tilhører avsenderen. Flere virksomheter i Norge planlegger å etablere seg som TTP tjenestetilbyder. For informasjonssystemer som skal håndtere skjermingsverdig informasjon, innebærer departementets forslag at dagens ordning om at Nasjonal sikkerhetsmyndighet skal godkjenne tjenestetilbydere, opprettholdes.
Det tilbys i dag kryptosystemer av ulik kvalitet. For beskyttelse av skjermingsverdig informasjon er det utarbeidet policy og standarder for hvilket sikkerhetsnivå utstyret skal tilfredsstille. Systemene må sertifiseres, slik at brukerne har garanti for at det gir tilstrekkelig sikkerhet. Kryptosystemene vil som regel, men ikke nødvendigvis, også benyttes til å beskytte NATO gradert informasjon. I slike tilfeller må systemene i tillegg tilfredsstille NATOs krav og policy for bruk. Departementet foreslår lovfestet at Nasjonal sikkerhetsmyndighet, som i dag, tillegges enekompetanse for godkjenning av kryptosystemer som skal brukes for beskyttelse av skjermingsverdig informasjon.
Nasjonal sikkerhetsmyndighet fører i dag sentralt regnskap over kryptomateriell, er eneste nasjonale mottaker av NATO kryptomateriell, produserer nøkkelmateriell til nasjonale kryptosystemer og distribuerer nasjonalt nøkkelmateriell og NATO nøkkelmateriell til brukere i Norge og utenrikstjenesten. Nasjonal sikkerhetsmyndighet er i dag sentral kryptoforvalter og tjenestetilbyder for utenrikstjenesten, politiets overvåkingstjeneste, Forsvaret og den kommunikasjon sivil statlig forvaltning eller andre etater med totalforsvarsoppgaver må ha med Forsvaret av beredskapsmessige årsaker. Kryptering antas i fremtiden å bli et sentralt sikringsmiddel også for virksomheter som Nasjonal sikkerhetsmyndighet i dag ikke ivaretar. For å sørge for at slike virksomheter kan få tilbud om kryptotjenester som møter kravene til beskyttelse av skjermingsverdig informasjon, er det opprettet en ordning hvor andre etater, «tjenestetilbydere», kan godkjennes som kryptoforvaltere. Ordningen med at Nasjonal sikkerhetsmyndighet godkjenner andre leverandører av kryptosikkerhetstjenester, foreslås opprettholdt og nedfelt i loven.
Utenriksdepartementet har ansvaret for norsk eksportkontroll, herunder eksport av kryptoutstyr. Det er etablert en praksis om at Utenriksdepartementet søker råd hos Nasjonal sikkerhetsmyndighet mht hvor kryptoutstyr kan eksporteres. Hvilke kryptoalgoritmer som tillates eksportert, kan ha betydning for rikets og våre alliertes sikkerhet. Departementet foreslår derfor at det nedfelles i loven at Nasjonal sikkerhetsmyndighet skal godkjenne hvilke kryptoalgoritmer som kan anvendes i utstyr for eksport.
Det pågår et arbeid i OECD om utforming av retningslinjer for kryptopolitikk. Representanter fra Planleggings- og samordningsdepartementet, Justisdepartementet, Forsvarsdepartementet, Nasjonal sikkerhetsmyndighet og Datatilsynet deltar i dette arbeidet. Arbeidet med retningslinjene, som ikke er sluttført, avgrenser imidlertid bl a mot de enkelte lands suverene rettigheter mht offentlig sikkerhet, lov og orden og nasjonal sikkerhet. Retningslinjene vil således ikke berøre politikk som angår skjermingsverdig informasjon, og arbeidet kommenteres derfor ikke nærmere her.
7.3.4 Sikkerhetsmessig kontroll av informasjonssystemer
Den sikkerhetsmessige kontroll av informasjonssystemer skjer først og fremst gjennom godkjenning av data-, sambands- og kryptosystemer i sitt operative miljø før systemene tas i bruk. Oppfølgende kontroll skjer gjennom regelmessige inspeksjoner av de samme systemer. Kontrollvirksomheten gjennomføres også ved iverksetting og oppfølging av nødvendige tiltak for å redusere virkningen og hindre gjentakelser av alvorlige sikkerhetsbrudd.
I tillegg er det et viktig forebyggende sikkerhetstiltak å kontrollere at kommunikasjonen i informasjonssystemer skjer i samsvar med gitte bestemmelser og pålegg. Kontrollen gjennomføres bl a gjennom «monitoring». Med monitoring menes i lovforslaget avlytting av tale og avlesing av elektroniske signaler som kommuniseres i eller mellom informasjonssystemer. Hensikten med monitoring er gjennom stikkprøvekontroller å gi status for sikkerhetstilstanden på systemene som grunnlag for å iverksette tiltak for å vedlikeholde eller bedre sikkerheten, forebygge sikkerhetsbrudd, samt avdekke sikkerhetsbrudd og iverksette tiltak for å begrense skadene. Formålet er således av forebyggende og pedagogisk art, ved at det som ledd i virksomhetens sikkerhetsarbeid gis tilbakemelding til ledelsen og ansatte om bruken av informasjonssystemene og resultatene av stikkprøvekontroller. Monitoring gjennomføres ikke for å etterforske mulige straffbare handlinger. Dette vil være politiets ansvar.
Grunnlaget for dagens monitoringstjeneste i Forsvaret bygger på en vurdering foretatt av Justisdepartementet i brev av 20 februar 1963, hvor det bl a heter:
«Man antar at det er adgang til å iverksette monitoring av reint militære sambandsnett, når det anses ønskelig av militære grunner. Monitoringen må imidlertid begrenses til samtaler mm som utelukkende går over det militære nett eller mellom rekvirent og adressat i atskilte militære sambandsnett, slik at den ikke i noe høve utvides til å omfatte samtaler som formidles til en adressat eller en rekvirent i det alminnelige sivile nett. De som bruker nettet bør på forhånd så vidt mulig underrettes om muligheter for avlytting. Det er videre forutsetningen at tillatte private samtaler under ingen omstendigheter avlyttes.»
De føringer som er lagt i denne uttalelsen, er i praksis tolket strengt. En har lagt til grunn at monitoring bare kan gjennomføres dersom terminalutstyret i begge ender eies av Forsvaret og betjenes av Forsvarets personell (vernepliktige mannskaper, øvrig militært personell og sivilt ansatte). På grunn av de senere års teknologiske utvikling på sambandssiden, bl a gjennom automatisering og større samtrafikk mellom militære og sivile nettverk, er det umulig å ha full kontroll på eierforholdet for selve overføringsforbindelsen.
Det er for øvrig lagt til grunn at monitoring kan skje under øvelser i totalforsvarssammenheng; dvs at det under totalforsvarsøvelser er anledning til å monitorere Forsvarets nett inkludert de posisjoner som betjenes av personell som tilhører og er oppsatt i totalforsvarets organisasjon. Adgangen til dette er bekreftet i et brev fra Justisdepartementet av 4 september 1970. I tillegg gjennomføres monitoring i Forsvarsdepartementet.
Forsvarssjefen har fastsatt direktiv for monitoringstjenesten (datert 12 mai 1980), hvor ovennevnte regler er ytterligere presisert. På grunnlag av direktivet er det i tillegg utarbeidet en detaljert instruks for monitoringstjenesten. Monitoring utføres av spesialutdannet personell, sikkerhetsklarert for STRENGT HEMMELIG, etter strenge instrukser. All registrert trafikk skal sikkerhetsgraderes og beskyttes som KONFIDENSIELT eller høyere. Tjenestlig trafikk skal separeres fra trafikk av privat karakter. Sistnevnte skal ikke avlyttes/avleses. Kommunikasjonen må avlyttes/avleses inntil en kan fastslå dens karakter. Monitoring av privat trafikk skal umiddelbart avbrytes. Justisdepartementet har i brev av 4 september 1970 uttalt følgende om dette:
«Det må være fullt forsvarlig å monitore en samtale (---) inntil det viser seg at det er en privat samtale, og deretter avmagnetisere lydbåndet og tilintetgjøre eventuelle notater.»
Det er departementet syn at monitoring er et viktig tiltak for å oppnå god forebyggende informasjonssikkerhet, og at monitoringtjenesten således bør opprettholdes. Sikkerhetsbrudd forekommer fremdeles. Rapporter fra Nasjonal sikkerhetsmyndighet om sikkerhetsbrudd blir tatt alvorlig av avdelinger i Forsvaret, og ordningen må antas å ha en positiv effekt ved å bidra til å hindre at et større antall kompromitteringer forekommer. Ordningen er et supplement, ikke et alternativ, til andre virkemidler for å oppnå respekt for skjermingsverdig informasjon. For øvrig bør nevnes at dagens monitoringstjeneste uansett må opprettholdes som følge av forpliktelser etter NATOs regelverk.
Alle som kan bli utsatt for monitoring, skal på forhånd være informert om at dette vil kunne forekomme. Etter gjenomført kontroll gis det rapport/tilbakemelding til virksomheten.
Monitoringsvirksomheten i Forsvaret er nærmere beskrevet i Lund-kommisjonens rapport, se Dok nr 15 (1995-96) ss 414-417 og 433. Kommisjonen har ikke funnet holdepunkter for at monitoring-tjenesten er blitt misbrukt til uhjemlet avlytting.
Dagens monitoringsvirksomhet har etter departementets oppfatning et aktverdig formål, representerer ikke et uforholdsmessig inngrep og kan ikke sees å ha vesentlige rettssikkerhetsmessige implikasjoner, bl a tatt i betraktning de begrensninger og retningslinjer for gjennomføring av monitoring som er nedfelt i gjeldende direktiver gitt av Forsvarssjefen. Selv om hjemmelsgrunnlaget anses tilfredsstillende i dag, basert på eierrådighetsbetraktninger og avtale-/samtykkesynspunkter, vil det være naturlig å lovfeste hovedreglene om monitoring i en samlet lov om forebyggende sikkerhetstjeneste.
Sikkerhetsmessig kontroll av informasjonssystemer gjennom monitoring bør imidlertid ikke være begrenset, som i dag, til Forsvaret. Opprettholdelse av denne begrensningen vil være i strid med det sektoroverskridende kontrollansvaret som er pålagt Nasjonal sikkerhetsmyndighet. Hensikten med kontrollen gjør seg også gjeldende for kommunikasjon i eller mellom andre informasjonssystemer. I prinsippet bør monitoring derfor være tilgjengelig som forebyggende sikkerhetstiltak overfor ethvert informasjonssystem som tilhører en virksomhet som lovforslaget vil gjelde for.
På den annen side har andre virksomheter ikke den samme erfaring som Forsvaret med monitoring, og det kan også sees andre betenkeligheter dersom Nasjonal sikkerhetsmyndighet ble gitt en selvstendig adgang til å foreta slik kontroll. Departementet vil derfor foreslå at slik sikkerhetsmessig kontroll bare kan skje dersom den enkelte virksomhet på forhånd er gjort kjent med og uttrykkelig har gitt samtykke til kontrollen, og at virksomhetens ansatte på forhånd er orientert om kontrollen. Det blir således opp til den enkelte virksomhet å avgjøre hvorvidt en anser det hensiktsmessig å gi Nasjonal sikkerhetsmyndighet adgang til å foreta stikkprøvekontroll av sikkerhetstilstanden mht personellets bruk av informasjonssystemer, for å avgjøre om kommunikasjon skjer i samsvar med gjeldende sikkerhetsregler. Departementet vil understreke at monitoring er et tilbud til den enkelte virksomhet, og at kontrollen krever virksomhetens tillatelse. Dersom det dreier seg om monitoring av kommunikasjon mellom to ulike virksomheter, kreves begge virksomheters tillatelse og at alle ansatte i begge virksomheter er orientert om tiltaket. Det sees etter dette ikke avgjørende rettssikkerhetsmessige betenkeligheter ved en slik ordning. Departementet vil også bemerke at dersom en av rettssikkerhetsmessige årsaker i stedet velger å opprettholde dagens ordning, vil dette indirekte bety at rettssikkerheten til øvrige ansatte i stat og kommune settes høyere enn for de ca 35 000 tjenestegjørende i Forsvaret.
Fordi noen høringsinstanser har reist spørsmålet om hva som eventuelt skjer dersom virksomheten avslår tilbudet, vil departementet her klart og utvetydig slå fast at den enkelte virksomhet står fritt til å benytte tilbudet, og at det ikke vil få noen negative konsekvenser om virksomheten avstår fra dette.
De gjeldende restriktive begrensninger mht gjennomføringen av kontrollen, vil naturligvis bli opprettholdt. Den Norske Advokatforening uttaler om dettte i sin høringsuttalelse at en
«...har merket seg at det foreslås lovfestet at monitoring ikke i noe tilfelle skal omfatte privat kommunikasjon som blir formidlet til eller fra andre enn virksomheter og at informasjon som fremkommer ved kontroll skal makuleres når den ikke lenger har betydning for kontrollen. Av personvernhensyn er det viktig at det i forskriftene etableres betryggende kontrollrutiner for å sikre at disse regler blir fulgt.»
Departementet slutter seg til uttalelsen, og vil sørge for at betryggende kontrolltiltak iverksettes.
Tilsvarende foreslås at Nasjonal sikkerhetsmyndighet gis mulighet for å penetrere sikkerhetsmekanismer i informasjonssystemer i den hensikt å utprøve motstandsdyktigheten i systemene, dersom den enkelte virksomhet på forhånd har samtykket. Det er viktig at denne utprøvingen også kan skje i systemets operative og realistiske miljø. Også her skal de ansatte varsles på forhånd, og etter gjennomført forsøk på penetrering vil det bli gitt rapport/tilbakemelding til virksomheten.
Monitoring og penetrering er altså kontrolltiltak som overfor de berørte foregår i åpenhet. Dersom angjeldende virksomhet ikke har slik adgang til å la Nasjonal sikkerhetsmyndighet kontrollere sikkerhetstilstanden mht selve kommunikasjonen, både når det gjelder tale og dataoverføringer, vil det gjøre det vanskeligere å sette inn kosteffektive tiltak for å forebygge sikkerhetsbrudd. Tiltakene kan være av ulike art. På teknisk side kan det f eks være aktuelt å innføre kryptoutstyr på forbindelsene dersom dette best kan løse problemet, mens det på holdningssiden bl a kan benyttes målrettet informasjon og undervisning.
7.4 Tekniske sikkerhetsundersøkelser (TSU)
Nasjonal sikkerhetsmyndighet er i dag ansvarlig for gjennomføring av TSU i Forsvaret og i den sivile statsforvaltning, samt ved norske utenriksstasjoner. Politiets overvåkingstjeneste skal i alminnelighet forhåndsvarsles om gjennomføring av TSU i den sivile statsforvaltningen. Gjennomføring av slike undersøkelser krever spesialutdannet personell.
Hovedformålet med TSU-tjenesten er å avsløre illegalt avlyttingsutstyr og eventuelt påvise de svakheter i bygningskonstruksjoner, installasjoner og fysisk sikring som er av en slik art at de øker faren for avlytting o l, slik at nødvendige forholdsregler kan iverksettes. TSU vil også ha som formål å virke avskrekkende bl a overfor potensielle avlyttere. TSU-tjenesten må opprettholdes også av hensyn til våre NATO-forpliktelser.
Departementet foreslår en egen lovhjemmel om at Nasjonal sikkerhetsmyndighet, eller den Nasjonal sikkerhetsmyndighet bemyndiger, kan foreta undersøkelser av lokaler, bygninger og andre objekter som eies, brukes eller på annen måte kontrolleres av en virksomhet som loven vil gjelde for, i den hensikt å fastslå hvorvidt uvedkommende med eller uten tekniske hjelpemidler kan skaffe seg tilgang til skjermingsverdig informasjon gjennom avtitting, avlytting av tale eller avlesing av elektroniske signaler. I motsetning til monitoring av og inntrengning i informasjonssystemer, bør det ikke kreves at virksomheten på forhånd skal være gjort kjent med og ha gitt samtykke til undersøkelsene. TSU blir kun utført der det (skal) behandles eller tales skjermingsverdig informasjon. Tjenesten må betraktes som en regulær godkjennings- og inspeksjonsvirksomhet for å forebygge og kontrollere at skjermingsverdig informasjon ikke kompromitteres, og kan sammenlignes med hva som gjelder ved inspeksjon av dokumentsikkerhet. Det ligger imidlertid i dagen at undersøkelsene normalt vil være forhåndsvarslet og avtalt på forhånd med den berørte virksomhet, da dette vil være mest hensiktsmessig for begge parter og gjøre prosedyren mer planmessig og effektiv.
Kongen bør gi nærmere forskrifter om gjennomføring av tekniske sikkerhetsundersøkelser.
7.5 Særlig om taushetsplikt
Departementet foreslår en egen taushetspliktbestemmelse i lovforslaget § 12 første ledd om å bevare taushet om sikkerhetsgradert informasjon for den som utfører arbeid, oppdrag eller verv for en virksomhet som loven gjelder for.
Borgerlig straffelov § 121 rammer allerede i dag den som forsettlig eller grovt uaktsomt krenker taushetsplikt som i henhold til lovbestemmelse eller gyldig instruks følger av hans tjeneste eller arbeid for statlig eller kommunalt organ. Strafferammen er bøter eller fengsel inntil 6 måneder. Annet ledd forhøyer strafferammen til 3 år i visse tilfeller. Medvirkning er ikke gjort straffbar. For Forsvarets vedkommende gjelder en særlig bestemmelse i den militære straffelov § 69, som innen sitt virkeområde er vesentlig strengere enn straffeloven § 121. Bestemmelsen dekker både lov- og instruksbestemt «Tjenestehemmelighed».
I det norske lovverket er det over hundre bestemmelser som pålegger taushetsplikt. Det er vanskelig å skaffe oversikt over antallet instrukser som pålegger taushetsplikt, men det er grunn til å tro at også dette tallet er høyt.
Taushetsplikten etter straffeloven § 121 omfatter imidlertid ikke enhver som får tilgang til informasjon gradert etter Sikkerhetsinstruksen, selv om den ikke utelukkende er begrenset til offentlige tjenestemenn. Et aksjeselskap som er i offentlig eie, vil f eks falle utenfor regelen. Det er noe uklart om bestemmelsen rammer enhver leverandør av varer og tjenester som har oppdrag for det offentlige ifm sikkerhetsgraderte anskaffelser. Det er også noe uklart om kommunale tjenestemenn rammes av bestemmelsen ved brudd på Sikkerhetsinstruksen, fordi denne instruksen formelt sett ikke gjelder for kommunene i dag.
Dette vil klargjøres gjennom en lovfestet taushetspliktsbestemmelse som foreslått. Bestemmelsen vil bare gjelde informasjon som er merket med sikkerhetsgrad (sikkerhetsgradert).
For å markere alvorligheten i å begå taushetsbrudd knyttet til sikkerhetsgradert informasjon, foreslås i § 31 annet ledd en egen straffebestemmelse for den som forsettlig eller grovt uaktsomt krenker taushetsplikt etter § 12 første ledd. Strafferammen foreslås satt til bøter eller fengsel i inntil ett år. Departementet foreslår ikke å gjøre medvirkning straffbart.
Det foreslås at taushetspliktbestemmelsen skal gjelde for enhver som utfører arbeid, oppdrag eller verv for en virksomhet, som naturligvis må leses i sammenheng med lovens virkeområde i § 2 og definisjonen av virksomhet. Taushetspliktregelen vil ikke ramme (ansatte mv i) rettssubjekter som loven ikke er gjort gjeldende for. F eks vil en privatperson som tilfeldig kommer over sikkerhetsgradert informasjon, eller en journalist som benytter opplysninger han har fått ved brudd på taushetsplikt, ikke kunne straffes etter lovforslaget § 31, jfr § 12 første ledd. Derimot kan det tenkes at f eks straffeloven § 90 vil være anvendelig. Dette er i samsvar med dagens rettstilstand. Taushetspliktbestemmelsen vil f eks heller ikke gjelde for stortingsrepresentanter, jfr en bestemmelse i lovforslagets § 2 om at loven ikke gjelder for noe organ for Stortinget. Noen juridiske teoretikere antar at et dokument som er korrekt gradert av et statlig organ, kan skape straffesanksjonert taushetsplikt etter strl § 121 også for enkelte andre som mottar sikkerhetsgradert informasjon, f eks stortingsrepresentanter (se også ansvarlighetsloven § 14), selv om Sikkerhetsinstruksen ikke gjelder direkte for disse. Noen entydige konklusjoner er det imidlertid ikke mulig å utlede av juridisk teori vedrørende dette spørsmålet. Ved at reglene om sikkerhetsgradering nå forelås lovfestet og ikke lenger skal være instruksbasert, kan det muligens hevdes at rekkevidden av strl § 121 («..gyldig instruks..») innsnevres, ved at taushetsplikt som etter lovforslaget følger av sikkerhetsgradering, vil være uttømmende regulert i utkastet § 12. En slik innsnevring kan ikke utelukkes, avhengig av hvilken forståelse av gjeldende rett som en finner å legge til grunn. Denne eventualitet antas imidlertid ikke å få særlig praktisk betydning. Om nødvendig kan en, etter at sikkerhetsloven har virket en stund, vurdere å komme tilbake til Stortinget med forslag om å utvide taushetsplikten til å gjelde f eks stortingsrepresentanter og/eller enkelte andre som mottar sikkerhetsgradert informasjon uten å være omfattet av sikkerhetsloven som sådan.
Det bør nedfelles i taushetspliktbestemmelsen at reglene gjelder etter at vedkommende har avsluttet tjenesten, arbeidet eller vervet (jfr tilsvarende regel i straffeloven § 121 tredje ledd), og at sikkerhetsgradert informasjon bare skal spres til personer som har tjenestlig behov for tilgang til informasjonen (iht det såkalte «need to know-prinsippet», jfr bl a Sikkerhetsinstruksen § 6 første ledd). For sikkerhetstjenestens vedkommende kan det på den annen side være nødvendig å meddele sikkerhetsgradert informasjon til andre i visse tilfeller, for å kunne gjennomføre de forebyggende sikkerhetstiltak som er nødvendige, forebygge eller oppklare straffbare handlinger, og i enkelte andre særskilte tilfeller. Avvik fra prinsippet om at spredning bare kan skje til personer som har tjenestlig behov kan følge av andre lovbestemmelser, f eks etter lov 3 februar 1995 nr 7 om kontroll med etterretnings-, overvåkings- og sikkerhetstjeneste. For øvrig foreslås lovfestet at Kongen gjennom generell forskrift kan gjøre unntak fra taushetspliktreglene. De foreslåtte begrensinger i taushetsplikten bygger på en tilsvarende unntaksregel i straffeprosessloven § 61 c første ledd nr 7.
Opplysninger som er gitt klareringsmyndighet i forbindelse med personkontroll, vil som oftest ikke være sikkerhetsgradert informasjon. Slike opplysinger kan imidlertid ofte være undergitt lovbestemt taushetsplikt etter andre regler, f eks etter forvaltningslovens alminnelige bestemmelser om personlige forhold og forretningshemmeligheter. Departementet foreslår i tillegg en uttrykkelig bestemmelse i loven om at slike innhentede opplysninger ikke skal benyttes til andre formål enn vurdering av sikkerhetsklarering, jfr nærmere under pkt 9.5 nedenfor.