6 Nasjonal responsfunksjon og varslingssystem
6.1 NorCERT og VDI
6.1.1 Innledning
Nasjonal sikkerhetsmyndighet driver i dag en nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur (NorCERT) og et varslingssystem for digital infrastruktur (VDI). Hensikten med NorCERT og VDI er å innhente, analysere og dele informasjon om angrep mot kritisk infrastruktur. Dette oppnås blant annet gjennom utplassering av sensorer i et representativt utvalg virksomheter som innehar kritisk infrastruktur eller informasjon. Informasjon fra sensorene bidrar til en nasjonal evne til tidlig deteksjon og verifikasjon av koordinerte og målrettede angrep. Når angrep mot vår mest kritiske infrastruktur inntreffer, bidrar slik informasjon også til bedre analyse og håndtering på nasjonalt nivå.
6.1.2 Nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur (NorCERT)
Norwegian Computer Emergency Response Team (NorCERT) er Norges nasjonale senter som koordinerer håndteringen av alvorlige IKT-hendelser mot kritisk infrastruktur. NorCERT ble etablert som en integrert del av Nasjonal sikkerhetsmyndighet (NSM) fra 1. januar 2006, og er en oppfølging av St.meld. nr. 39 (2003–2004) Samfunnssikkerhet og sivilt-militært samarbeid. I St.meld. nr. 22 (2007–2008) Samfunnssikkerhet – Samvirke og samordning legges det til grunn at «[e]nheten legger til rette for effektiv håndtering av alvorlige IKT-sikkerhetsangrep mot viktig infrastruktur og informasjon i Norge».
Et helt sentralt element i utøvelsen av NorCERT er innhenting, verifisering, analyse og videreformidling av informasjon om sårbarheter, potensielle risikoer, angrepsmetoder og ondsinnet kode. Dette skjer dels gjennom Nasjonalt varslingssystem for digital infrastruktur (VDI), men også gjennom mottak av informasjon fra nasjonale og internasjonale samarbeidspartnere. Den totale mengde data danner grunnlag for analyse i forbindelse med håndtering av alvorlige hendelser, og er avgjørende for koordinering med, og bistand til, nasjonale og internasjonale samarbeidspartnere.
I tilknytning til håndtering av allerede inntrufne alvorlige angrep, bistår NorCERT også med analyse av infisert maskinvare. I disse tilfellene får NorCERT overlevert det aktuelle lagringsmediet eller en kopi av dette. Ved tilgang til lagringsmediet, vil NorCERT få adgang til innholdsdata som er lagret på mediet. Formålet med analysen er imidlertid utelukkende å kartlegge forhold knyttet til det aktuelle angrep mot systemet. Virksomhetens samtykke og samarbeid er en nødvendig forutsetning for tilgang til materialet.
Den nasjonale evnen til å håndtere alvorlige dataangrep mot kritisk infrastruktur og informasjon er avhengig av et særlig samspill mellom EOS-tjenestene. EOS-tjenestene omfatter Etterretningstjenesten, Politiets sikkerhetstjeneste og NSM. Til sammen har tjenestene i oppdrag å oppdage, varsle, motvirke og etterforske alvorlige IKT-hendelser. NSM samarbeider derfor nært med Etterretningstjenesten og Politiets sikkerhetstjeneste om håndteringen av de mest alvorlige dataangrepene. Samarbeidet er nærmere formalisert og regulert i egne retningslinjer av 15. mai 2013, fastsatt av sjefene for de tre tjenestene.
Videre samarbeider NSM med en rekke andre offentlige og sivile samarbeidsparter. NSM har en koordinerende funksjon mot de nasjonale, sektorvise responsmiljøene (sektor-CERT’er) og enkeltvirksomheter der det ikke er slike. CERT står for Computer Emergency Response Team, og er koordinerende enhet for informasjonssikkerhet. En sektor-CERT bidrar med god kunnskap om spesielle systemer og løsninger innenfor sine respektive sektorer. NSM er også det nasjonale kontaktpunktet for tilsvarende funksjoner i andre land og internasjonale organisasjoner. Som nasjonal fagmyndighet skal NSM koordinere, og legge til rette for, samarbeid mellom alle aktører innen fagfeltet.
6.1.3 Varslingssystem for digital infrastruktur (VDI)
På 1990-tallet ble det klart at bruk av Internett og tiltakende IKT-avhengighet kom til å utgjøre en stor sårbarhet for kritisk infrastruktur. Som en konsekvens ble varslingssystem for digital infrastruktur (VDI) etablert i 1999 som et forsøksprosjekt mellom Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet (NSM). Fra 2003 ble driften av VDI lagt under NSM, og det er i dag en integrert del av NSMs organisasjon. Det nære samarbeidet med Etterretningstjenesten og Politiets sikkerhetstjeneste rundt funksjonen er imidlertid videreført.
VDI består av et nettverk av sensorer som utplasseres hos utvalgte offentlige og private virksomheter som innehar kritisk infrastruktur i tilknytning til deltakernes datanettverk. Sensorene samler inn data som skal gjøre det mulig for NSM tidlig å detektere, verifisere og varsle om koordinerte og alvorlige dataangrep.
VDI registrerer metadata (data som tjener til å definere eller beskrive andre data) i den hensikt å kunne identifisere unormale kommunikasjonsmønstre hos de deltakende virksomhetene. Gjennom den enkelte VDI-sensor registrerer NSM trafikkdata som inneholder blant annet IP-adresser og domenenavn. Dette utgjør ca. 4 % av kommunikasjonen knyttet til inn- og utgående datatrafikk hos virksomheten. I denne prosessen vil det også registreres personopplysninger. Det er imidlertid avidentifiserte personopplysninger som inngår i den metadataen som registreres i tilknytning til datakommunikasjon inn og ut fra tilknyttede virksomheter. De avidentifiserte opplysningene må koples med andre opplysninger, som NSM ikke har tilgang til, for å kunne knyttes til en enkeltperson. Dataene er avidentifiserte i utgangspunktet, og NSM trenger derfor ikke å avidentifisere opplysningene i etterkant.
VDI-sensornettet har et signatursett som er utviklet basert på tidligere hendelser og annen kjent aktørinformasjon. Ved unormal trafikk vil det også kunne utløses en alarm basert på pre-definerte signaturer. Ved slike alarmer blir det lagret en meget begrenset mengde innholdsdata i form av såkalt «pakkedump». Dette vil kun være fragmenter av innhold, fra for eksempel e-poster. Disse dataene er nødvendige for å kunne analysere og verifisere utløste alarmer.
Tilknytning til VDI er basert på frivillighet, og tilbys etter en nærmere vurdering av virksomhetens betydning for kritisk infrastruktur. Det inngås en avtale mellom NSM og den enkelte deltaker hvor partenes rettigheter og plikter nærmere reguleres. Deltakende private virksomheter er i dag forpliktet til å bidra til finansieringen av VDI og nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur (NorCERT) gjennom et årlig vederlag.
Tilknytning til VDI erstatter ikke virksomhetens egne sikkerhetstiltak, men er et komplementerende sikkerhetstiltak. Virksomhetene har derfor både en rett og plikt til å ivareta sikkerheten i egne systemer, uavhengig av tilknytning til VDI.
6.2 Gjeldende rett
Nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur og varslingssystem for digital infrastruktur er opprettet og lagt til Nasjonal sikkerhetsmyndighet etter beslutninger fra regjeringen og Stortinget, men har i dag ingen direkte forankring i lov.
6.3 Utenlandsk rett
I Danmark ble Governmental Computer Emergency Response Team (GovCERT) (etablert og plassert under Ministeriet for Videnskab, Teknologi og Udvikling, og var fullt operativ ved utgangen av 2010. I juni 2011 ble «Lov om behandling af personopplysninger ved driften af den statlige varslingstjeneste for internettrusler» vedtatt. Av ny lov om Forsvarets Efterretningstjeneste, som trådte i kraft 1. januar 2014, følger det at GovCERT og Militær varslingstjeneste for internettrusler (MILCERT), nå er en del av Forsvarets Efterretningstjeneste som «Center for Cybersikkerhed». Loven etablerer også behandlingsgrunnlag for innholds- og trafikkdata hos virksomheter som anmoder om midlertidig tilslutning til «netsikkerhetstjenesten». Loven viderefører elementer fra «GovCERT-loven» om begrensninger i adgangen til analyse og lagring av innholdsdata. Prinsippet om at analyse kun skal finne sted der det foreligger en begrunnet mistanke om en sikkerhetshendelse, videreføres. Det erkjennes i forslagets høringsnotat at begrensingene i slettetidspunktene for de ulike formene for data, ikke har fungert etter hensikten med loven. Derfor skilles det ikke lenger mellom pakke- og trafikkdata vedrørende lagring og sletting, og det utvider i vesentlig grad maksimal oppbevaringstid for innsamlede data som ikke knytter seg til en sikkerhetshendelse.
I EU la Europa-parlamentet mot slutten av 2013 fram et forslag til et direktiv for nettverks- og informasjonssikkerhet (Directive of the European Parliament and of the Council concerning measures to ensure a high common level of network and information security across the Union). Bakgrunnen for forslaget til direktiv er at det i EU i dag ikke er implementert tilstrekkelige og helhetlige beskyttelsestiltak for å oppnå en høy grad av nettverks- og informasjonssikkerhet. Ettersom medlemslandene har ulik kvalitet på sine implementerte sikkerhetstiltak, er det en fragmentert tilnærming til beskyttelsestiltak innen unionen. EU ønsker med dette direktivet å oppnå et høyt fellesnivå for nettverks- og informasjonssikkerhet. Av direktivets artikkel 7 følger krav til medlemsstatenes opprettelse av en nasjonal CERT, at denne har tilstrekkelige ressurser, at denne har en sikker nasjonal kommunikasjonsmulighet og at denne styres av en nasjonal kompetent myndighet som rapporterer til EU-kommisjonen. Av vedlegg 1 til direktivet, framgår en mer detaljert oppgave- og kravsbeskrivelse. Kommisjonen forutsetter at disse blir implementert som klare nasjonale retningslinjer og/eller i lovgivning.
I NATO er det etablert en CERT-funksjon som er tilknyttet NATOs egne systemer (NCIRC). Gjennom NATOs cyber-policy forutsettes det nasjonale strukturer som ivaretar disse behovene i det enkelte medlemsland. Det er også inngått arrangementer mellom NATO og NATOs medlemsland om samarbeid på området.
6.4 Høringsforslaget
Departementet foreslo i høringsnotatet at virksomheten som i dag utøves av Nasjonal sikkerhetsmyndighet (NSM) gjennom nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur (NorCERT) og varslingssystem for digital infrastruktur (VDI) blir lovfestet i § 9 som en del av NSMs oppgaver. Det ble foreslått at bestemmelsen inntas som ny bokstav e i § 9 første ledd. Som følge av ny bokstav e, ble det foreslått at gjeldende bokstav e blir bokstav f og at gjeldende bokstav f blir bokstav g. Forslaget innebærer utelukkende en kodifisering av ordninger som allerede har eksistert siden henholdsvis 1999 og 2006.
Departementet ga videre uttrykk for at dagens ordning med frivillig tilknytning til VDI videreføres som hovedprinsipp, men at det i forskrifter vurderes å åpne for å gjøre unntak fra dette for skjermingsverdige objekter og graderte informasjonssystemer. Unntaket var ment også å omfatte systemer som understøtter slike og som kan være spesielt utsatt for såkalte logiske trusler. Forslaget var kun ment som en sikkerhetsventil, der tilknytning til VDI ble vurdert som påkrevd ut fra det totale risikobildet, og hvor det ikke hadde vært mulig å få til en avtale basert på frivillighet. I den forbindelse understreket departementet at et eventuelt unntak fra frivillighet kun var ment å omfatte de største og viktigste systemene innen norsk IKT-infrastruktur.
6.5 Høringsinstansenes syn
Flere høringsinstanser, støtter en lovfesting av nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur (NorCERT) og varslingssystem for digital infrastruktur (VDI). KRIPOS uttaler at «[d]isse to funksjonene er tett knyttet sammen og anses i økende grad nødvendig for å kunne ha et helhetlig sanntidsbilde over sårbarheter og trusler mot digitalt baserte samfunnskritiske funksjoner». Etterretningstjenesten og Telenor påpeker at det bør åpnes for at virksomheter kan pålegges tilknytning til VDI. Nasjonal kommunikasjonsmyndighet (Nkom) mener at en slik ordning bør ha direkte hjemmel i lov.
Enkelte høringsinstanser stiller spørsmål om NorCERT og VDI er forenlige med NSMs tilsynsoppgaver. I den forbindelse uttaler Nasjonal senter for informasjonssikring(NorSIS):
«I redegjørelsen argumenteres det for at NSMs oppgaver knyttet til koordinering av nasjonal respons ved alvorlige IKT-hendelser bør lovfestes. Ser man foreslåtte formulering av operativt ansvar i e) opp mot tilsynsoppgaven i c) så kan dette medføre at NSM utøver operativ virksomhet og tilsyn i og overfor samme virksomhet. Spesielt da lovens virkeområde foreslås utvidet, bør den inngripen dette kan medføre overfor berørte virksomheter vurderes nærmere.»
Enkelte høringsinstanser stiller spørsmål ved hensiktsmessigheten av å lovregulere virksomheten, og mener organiseringen blant annet bør skje i samsvar med de behovene som samfunnsutviklingen krever. Telenor anerkjenner NSMs behov for å ha et tydelig mandat, ansvar og rolleavklaring mot andre myndighetsorganer, men påpeker at lovfesting vil være lite hensiktsmessig og bør unngås. Etter Telenors syn vil dagens organisering kunne være helt uhensiktsmessig om fire-fem år.
Politidirektoratet motsetter seg ikke lovfesting av ansvaret til NorCERT, men bemerker at lovfestingen kan bidra til å forsterke de uklarheter som allerede eksisterer rundt hvilke myndigheter som har ansvar for hva knyttet til alvorlige IKT-hendelser. Forarbeidene bør etter direktoratets vurdering, derfor klargjøre at det er politiet som har ansvaret for krisehåndtering i sivil sektor.
Flere høringsinstanser påpeker også at regulering av NorCERT og VDI bør sees i sammenheng med (og avvente) anbefalingene fra Digitalt sårbarhetsutvalg.
6.6 Departementets vurderinger
Departementet foreslår en lovfesting av virksomheten som i dag utøves av Nasjonal sikkerhetsmyndighet (NSM) gjennom nasjonal responsfunksjon for alvorlige dataangrep mot kritisk infrastruktur (NorCERT) og varslingssystem for digital infrastruktur (VDI). Videre foreslås en egen hjemmel for behandling av personopplysninger som er nødvendige for utførelsen av disse funksjonene, se punkt 7. Departementet mener en lov- og etterfølgende forskriftsfesting av funksjonene, og nærmere rammer for virksomheten, vil forenkle grunnlaget for EOS-utvalgets kontroll på dette området.
Av de instanser som har uttalt seg, støtter flertallet en lovregulering av NorCERT og VDI. Imidlertid registrerer departementet at enkelte instanser har stilt spørsmål om disse funksjonene er forenlige med NSMs øvrige oppgaver, da primært knyttet til tilsyn. Departementet vil peke på at forslaget ikke legger noen nye oppgaver til NSM. Denne oppgaveporteføljen har NSM allerede hatt i en rekke år, uten at departementet har erfart at det har oppstått noen interessekonflikt. Departementet vil også peke på at det ikke er uvanlig at etater med kontroll- og tilsynsansvar også har oppgaver av veiledningsmessig eller operativ karakter. En vesentlig del av de saker som NorCERT og VDI håndterer, er alvorlige IKT-angrep mot kritisk infrastruktur hvor fremmede stater kan stå bak. Denne type saker håndteres naturlig av etterretnings- og sikkerhetstjenestene. Gjennom en organisering av NorCERT og VDI i en av disse tjenestene, sikres et godt samarbeid og en god koordinering og informasjonsdeling mellom de ansvarlige aktører. En plassering av disse funksjonene utenfor EOS-tjenestene vil vanskeliggjøre en helhetlig tilnærming og informasjonsdeling knyttet til de mest alvorlige hendelsene. Dette vil kunne svekke vår nasjonale evne til håndtering av slike hendelser. Departementet mener på denne bakgrunn at NorCERT og VDI i dag er riktig organisatorisk plassert, og at dette også bør forankres i lov. Departementet er av den oppfatning at de nærmere rammer for utøvelse av funksjonen, herunder samarbeidet med de øvrige EOS-tjenestene og de sektorvise responsmiljøene, nærmere bør reguleres i forskrift.
I høringsforslaget var forslaget til ny bokstav e i § 9 utformet:
«drive en nasjonal responsfunksjon for alvorlige dataangrep mot samfunnskritisk infrastruktur og et nasjonalt varslingssystem for digital infrastruktur.»
Departementet har endret «samfunnskritisk infrastruktur» til «kritisk infrastruktur», slik at det er i tråd med legaldefinisjonen i § 3, se punkt 11.3.2 og 11.4.7. Endringen er imidlertid ikke ment å innebære en realitetsforskjell.
Departementet har som opplyst i høringsnotatet, vurdert om det bør etableres en hjemmel for å kunne pålegge enkelte virksomheter med kritisk infrastruktur en tilknytning til VDI. Departementet ser at det er argumenter for en slik ordning, men har registrert innvendinger mot en generell hjemmel fra flere av høringsinstansene. Departementet har kommet til at et slikt pålegg må utredes nærmere. Spørsmålet bør dessuten ses i sammenheng med en vurdering av den framtidige finansieringsmodellen for NorCERT og VDI. Departementet vil derfor komme tilbake til dette spørsmålet ved en senere anledning.