Senter for informasjonssikring

Senter for informasjonssikring

Rapport fra forprosjekt

Nærings- og handelsdepartementet

6. juni 2001

1 INNLEDNING

Elektroniske kommunikasjonsnettverk og -tjenester har inntatt en sentral plass i informasjonsutvekslingen, og har blitt et viktig hjelpemiddel for å få utført mange av de daglige arbeidsrutiner både for det offentlige, næringsliv, organisasjoner og privatpersoner. Nettverkene er knyttet sammen på tvers av landegrensene slik at de framstår for brukerne som mer eller mindre ”ett nettverk”. Antall Internett relaterte sikkerhetsbrudd og hendelser som har oppstått de senere år, sammen med den økning og kompleksitet disse trusler har fått, viser at brukerne av den nye teknologien må ta IKT-sårbarheten mer på alvor.

1.1 Bakgrunn

Høsten 1999 satte regjeringen Bondevik i gang et interdepartementalt prosjekt for å kartlegge IKT-sårbarheten i samfunnsviktige funksjoner og utarbeide en strategi for å redusere samfunnets IKT-sårbarhet. AAD, SHD, SD, FD, FIN, OED, JD og NHD deltok i arbeidet. Prosjektets rapport ”Samfunnets sårbarhet som følge av avhengighet til IT” ble lagt frem for NHD 30.10.2000.

I henhold til prosjektets mandat ble en ”underveisrapport” oversendt Sårbarhetsutvalget 01.04.2000. ”Underveisrapporten” og Sårbarhetsutvalgets vurderinger i NOU 2000:24 ”Et sårbart samfunn” danner utgangspunkt for den strategi og de tiltak som foreslås for å redusere samfunnets IKT-sårbarhet.

Som et sentralt element for å realisere den anbefalte strategien foreslår Sårbarhetsutvalget etablering av et Senter for informasjonssikring (Senteret). Høringen av Sårbarhetsutvalgets innstilling viser at den anbefalte strategi for å redusere samfunnets IKT-sårbarhet har fått bred støtte. Tilbakemeldingene viser også generell interesse for å delta i og bidra til Senteret.

På bakgrunn av høringsrunden nedsatte NHD i januar 2001 en arbeidsgruppe for å bistå departementet i å kartlegge lignende eksisterende aktiviteter og miljøer innen IKT-sikkerhet, avklare hvordan Senterets funksjoner kan etableres i forhold til disse og gi en nærmere utredning av Senterets formål, arbeidsoppgaver, organisering og finansiering.

1.2 Arbeidsgruppens mandat, sammensetning og arbeid

Mandat

Arbeidsgruppen ble oppnevnt av NHD 08.02.2001 og fikk følgende mandat:

”Arbeidsgruppen skal bl.a. på bakgrunn av forslag om etablering av Senteret i IT-sårbarhetsrapporten, omtale av Senteret i NOU 2000:24 samt relevante høringsuttalelser til denne

  • Kartlegge vesentlige – pågående eller planlagte – prosjekter/tiltak innen IKT-sikkerhet.
  • Se på muligheten for å bygge videre på den kompetanse og de ordningene som allerede eksisterer i Norge, og foreta nærmere vurdering av om Senteret kan samlokaliseres evt. legges til en eksisterende institusjon.
  • Gi en kort beskrivelse av hvordan koordinering av IKT-sikkerheten i andre land er organisert.

På bakgrunn av ovennevnte oversikt skal arbeidsgruppen foreta en helhetlig vurdering av hvordan et Senter for informasjonssikring kan etableres.

Arbeidsgruppen skal konkretisere Senterets formål og oppgaver og utarbeide et endelig forslag til Senterets formål og innretning, deltagelsesform og organisering og finansiering.

Rapporten skal inneholde arbeidsgruppens forslag til konklusjon. Alle forslag i rapporten skal begrunnes. Gruppen skal levere sin rapport til Nærings- og handelsdepartementet innen 01.05.2001.”

Arbeidsgruppens sammensetning og arbeid

Arbeidsgruppen har hatt følgende sammensetning:

Avdelingsdirektør Eivind Jahren, NHD (leder)

Underdirektør Bent Høien, NHD

Rådgiver Jørgen Dyrhaug, FD

Avdelingsdirektør Mette Stangerhaugen, JD

Underdirektør Kariann Skar Sørdahl, SD

Rådgiver Anne Marie Svenneby, KS

Seniorrådgiver Amund Eriksen, AAD/Statskonsult

Direktør Helge Fredriksen, NHO

Administrerende direktør Johan Ekrem, NSO

Rådgiver Stein Henriksen, DSB

Rådgiver Øistein Aarnes, DSB

Førstestatsadvokat Inger Marie Sunde, ØKOKRIM

Arbeidsgruppens sekretariat har bestått av rådgiver Cort Archer Dreyer, NHD.

Arbeidsgruppen har avholdt 8 møter. I tillegg har et utkast til rapport vært presentert for og drøftet i et utvidet Forum for IT-sikkerhet 27.03.2001. Det utvidede Forumets forslag til endringer er innarbeidet i rapporten.

1.3 Sårbarhetsutvalgets forslag om etablering av et Senter for informasjonssikring i Norge

Sårbarhetsutvalget har påpekt behovet for å gjennomføre tiltak som kan beskytte den IKT-kritiske infrastruktur mot svikt eller uønskede informasjonsoperasjoner. Det er særlig utviklingen av Internett som har ført til et endret trusselbilde, samtidig som tilfredsstillende beskyttelsestiltak foreløpig mangler.

Sårbarhetsutvalget har foreslått en helhetlig strategi med fokus på å redusere samfunnets IKT-sårbarhet. I korthet går strategien ut på følgende:

  • Å øke informasjonsutvekslingen mellom private og offentlige aktører om inntrufne hendelser, om nye trusler og om alvorlige tilfeller av svikt i systemer.
  • Øke varslingsevnen ved å bedre rutinene for overvåkning, varsling og håndtering av sikkerhetshendelser mellom virksomheter.
  • Sørge for tilstrekkelig utdanning, kompetanse og forskning.
  • Gjennomgang av regelverket for å se om det er behov for lover, regler og insentiver.
  • Fremme partnerskap mellom offentlige og private virksomheter.

Som et av hovedtiltakene for å realisere IKT-strategien foreslår Sårbarhetsutvalget at det etableres et Senter for informasjonssikring. Sårbarhetsutvalget mener at Senteret bør ha som oppgave å koordinere deler av innsatsen for å styrke IKT-sikkerheten, bidra til mer robust IKT-infrastruktur og være et ressurs- og kompetansesenter for offentlige og private aktører som kan ivareta nødvendige funksjoner for informasjonsutveksling, varsling og analyse av sikkerhetsbrudd og trusler.

2 Sammendrag og konklusjoner

Arbeidsgruppen har lagt Sårbarhetsutvalgets vurdering av behovet for å etablere et Senter for informasjonssikring til grunn, og mener at Senterets hovedoppgaver bør være:

  • Å fremskaffe et helhetlig bilde av truslene mot norske IKT-systemer.
  • Formidle informasjon, kompetanse og kunnskap om trusler og mottiltak.
  • Ha kontakt og samarbeid med tilsvarende organisasjoner i andre land.

Disse oppgavene er etter arbeidsgruppens oppfatning begrenset og overkommelige. Arbeidsgruppen mener at Senteret ikke bør utføre andre analyseoppgaver enn de som er nødvendig for å frembringe et helhetlig trusselbilde, ei heller ha oppgaver som går ut på å utvikle og gjennomføre konkrete mottiltak i akuttsituasjoner. Arbeidsgruppen har lagt vekt på at Senteret i første omgang bør utvikle relasjoner til virksomheter i offentlig og privat sektor med sikte på å få tilgang til informasjon som kan inngå i et helhetlig trusselbilde. Dette er i seg selv en krevende oppgave som det vil ta noen tid å bygge opp.

Senterets målgrupper vil være:

  • Bedrifter og offentlige etater
  • Sikkerhetsmyndighetene, som kan utnytte tilleggsinformasjon til egne analyser.
  • Politikere og andre, som kan utnytte informasjon fra Senteret som grunnlag for en vurdering av sikkerhetstilstanden i samfunnet.

Blant annet på bakgrunn av erfaringer fra andre land har arbeidsgruppen lagt vekt på hvilke forutsetninger som bør være til stede for at Senteret skal fungere tilfredsstillende. Slike forutsetninger omfatter følgende:

  • Senteret skal ikke ha myndighetsoppgaver.
  • De funksjonene som Senteret skal utføre skal kun være et supplement og ikke konkurrere med de tilbud som allerede finnes i markedet.
  • Etater som driver med overvåkning, etterretning eller håndheving av lov og rett vil være kunder av Senteret på linje med øvrige brukere .
  • Senteret skal ikke involveres i konkrete personvernsaker, spørsmål knyttet til om en konsesjons- eller lisensinnehaver overholder sine forpliktelser mv.

Det understrekes også at eksisterende ansvarsfordeling legges til grunn, dvs. at etablering av Senteret ikke får konsekvenser for andre eksisterende institusjoners oppgaver og ansvarsområder - Senterets virksomhet anses å være komplementær i forhold til disse. Senteret er ikke tiltenkt ansvar når det gjelder sikkerhet og beredskap i krisesituasjoner.

Arbeidsgruppen mener at Senteret ideelt sett burde etableres permanent som et separat organ eller være tilknyttet en eksisterende organisasjon fra dag en. Gjennomgang av eksisterende miljøer og etater viser imidlertid at det hersker usikkerhet omkring de organisatoriske sidene ved enkelte av Senterets mest aktuelle lokaliseringsalternativer. Dette gjelder først og fremst Forsvarets overkommando/Sikkerhetsstaben (Nasjonal sikkerhetsmyndighet), og Post- og teletilsynet.

For å komme raskt i gang anbefaler arbeidsgruppen at Senteret etableres som et treårig forsøksprosjekt under NHD. Etter den tid vil en lettere kunne ta stilling til Senterets videreføring og permanente organisering.

Forsøksprosjektet foreslås bemannet med om lag 5 personer med spisskompetanse innen fagområdet. De samlede årlige kostnader anslås av arbeidsgruppen til å være ca. 7-8 mill kr. dersom prosjektet lokaliseres på en måte som gjør at tilleggskostnader som f. eks. husleie ikke påløper eller dekkes på annen måte.

Forsøksprosjektet foreslås fullfinansiert over statsbudsjettet.

3 RELEVANT ARBEID MED IKT-SIKKERHET I NORGE OG ANDRE LAND

I det følgende beskrives pågående arbeid med IKT-sikkerhet i Norge på områder som er relevante i denne sammenheng. Dessuten gjennomgås hvilken strategi enkelte andre land har valgt når det gjelder å redusere samfunnets IKT-sårbarhet.

3.1 Relevante eksisterende eller planlagte tiltak innen IKT-sikkerhet i Norge

Privat sektor/universitets- og høyskolesektoren

Enkelte sektorer i Norge er allerede del av et internasjonalt system for hendelsesrapportering. Det mest kjente systemet er kanskje CERT-funksjonen 1CERT = Computer Emergency Response Team til UNINETT 2UNINETT er det norske landsomfattende datanettet for forskning og utdanning. UNINETT tilbyr nett-tjenester som binder det norske miljøet sammen med det internasjonale akademiske miljø og gir tilgang til ressurser i nettverk. <o:p></o:p></span> <p class=MsoNormal><span style='font-size:12.0pt;mso-bidi-font-size:10.0pt; font-family:

UNINETTs CERT blir finansiert gjennom bevilgninger fra Kirke-, Utdannings- og Forskningsdepartementet. Målet er å bidra til bedre Internettsikkerhet for medlemsorganisasjonene og ivareta behovet for et felles sted for å motta og behandle sikkerhetsspørsmål.

Det finnes flere fora for utveksling av informasjon om IKT-sikkerhet i Norge. Som eksempler kan nevnes Næringslivets sikkerhetsorganisasjon (NSO), IT-SikkerhetsForum – som har både offentlige og private medlemmer – og fagorganisasjoner som f.eks den norske IT-revisjonsorganisasjonen ISACA.

Nasjonal sikkerhetsmyndighet

Regjeringen har i St.prp. nr. 45 (2000-2001) foreslått å opprette Nasjonal sikkerhetsmyndighet som et selvstendig forvaltningsorgan (et direktorat) direkte underlagt FD. En vurdering av eventuell alternativ plassering av direktoratet kan bli foretatt på et senere tidspunkt.

Direktoratet vil – hvis det blir opprettet – benevnes Direktoratet for forebyggende sikkerhet.

Nasjonal sikkerhetsmyndighet er i dag organisert ved Forsvarets overkommando/ Sikkerhetsstaben. Når sikkerhetsloven med forskrifter trer i kraft, vil Nasjonal sikkerhetsmyndighet få et koordinerende og kontrollerende ansvar for sikkerhetstiltak i tilknytning til informasjons- og objektsikkerhet (herunder også personellsikkerhet og sikkerhetsgraderte anskaffelser). Ansvaret vil være knyttet til rikets sikkerhet og vitale nasjonale sikkerhetsinteresser. Ansvaret vil på det nevnte området omfatte så vel den offentlige forvaltning som de deler av privat sektor som gjennom sin virksomhet må håndtere sikkerhetsgradert informasjon eller objekter.

IKT-sikkerhet i Forsvaret for øvrig

Det mest nærliggende tiltaket i forhold til IKT-sikkerhet i Forsvaret, er FISBasis-prosjektet. Prosjektet skal legge forholdene til rette for effektiv utveksling og behandling av informasjon i fredstid, krise og krig mellom politiske og militære myndigheter, og mellom staber og avdelinger på alle nivå. Også behov for informasjonsutveksling med relevante ledd i landets totalforsvar, NATO og internasjonale enheter skal dekkes.

Sikkerhetskonseptet for FISBasis skal sikre at kravene til tilgangskontroll basert på “need to know” oppnås. FISBasis skal inneholde mekanismer som sikrer integritet og tilgjengelighet for den informasjon som skal behandles. Ved sammenkopling av nett med ulik gradering skal det benyttes mekanismer som gir tilfredsstillende beskyttelse mot sikkerhetsbrudd.

Post- og teletilsynet (PT)

SD har i St.meld. nr 47 (2000-2001) Telesikkerhet og -beredskap i et telemarked med fri konkurranse foreslått at PT får et særskilt myndighetsansvar for sikkerheten og beredskapen i de allmenne telenett og for prioriterte brukere i Totalforsvaret.

Som ansvarlig for arbeidet med sikkerhet og beredskap i telesektoren vil PT måtte forholde seg til en rekke andre organisasjoner og enheter som har oppgaver relatert til sikkerhet og beredskap. PT og Senteret vil ha ulike, men beslektede ansvarsområder, og det antas at de to enhetene vil være komplementære og ikke konkurrerende.

ØKOKRIMs datakrimteam

ØKOKRIMs datakrimteam prioriterer etterforsking av saker om datainnbrudd, uautorisert bruk og skadeverk via datanettverk (DOS-angrep 3DOS-angrep: Tjenestenekt-angrep (DOS:Denial of Service) og uautorisert endring/sletting av data). Etterforsking iverksettes på grunnlag av anmeldelse fra fornærmede (”hendelseseieren”, jf punkt 4.2). I praksis er det en viss uformell kontakt med fornærmede i forkant av anmeldelsen hvor alvoret av angrepet og tiltak for sikring av spor blir diskutert. Det er et stort avvik mellom antallet anmeldte saker om dataangrep og det antallet som faktisk blir begått. ØKOKRIM mener at Senteret vil bidra til å synliggjøre omfanget av angrepene, noe som vil være nyttig for planlegning av politiets innsats og ressursbehov.

Prosjektet ”Varslingssystem for digital infrastruktur” (VDI)

VDI-prosjektet er et samarbeid mellom EOS-tjenestene 4EOS: Etterretnings-, overvåknings- og sikkerhetstjenestene og noen offentlige og private virksomheter som har erfaring med beskyttelse av egne datanettverk. Prosjektet er et operasjonelt forsøksprosjekt som skal gå frem til 1. januar 2002. Formålet med prosjektet er at EOS-tjenestene skal å få erfaring med å kartlegge omfanget av trusselen mot sårbar, digital infrastruktur.

VDI skal bidra til at virksomheten får beskjed om at datanettverket utsettes for innbrudd eller forsøk på innbrudd. Meningen er at konkrete saker man eventuelt kommer over gjennom VDI skal overføres for etterforsking hos ØKOKRIM forutsatt at fornærmede ønsker å anmelde saken.

Hver enkelt prosjektdeltager i VDI er eier av utstyret som skal brukes. Utstyret kan ikke brukes til å identifisere eller søke å identifisere mulige gjerningsmenn.

3.2 Organisering av overordnet IKT-sikkerhet i andre land

En overordnet nasjonal organisering av IKT-sikkerhet står høyt på agendaen i en rekke andre land. Dette avsnittet gir en kort beskrivelse av hvordan Sverige, Storbritannia, USA, Sveits og Canada har valgt å organisere tilsvarende funksjoner som det Sårbarhetsutvalget har anbefalt at et Senter for informasjonssikring skal utføre i Norge.

Sverige

I Sverige er problemstillingen tatt opp en rekke ganger i offentlige dokumenter, særlig dokumenter fra Försvarsberedningen og Överstyrelsen för civil beredskap, men også i en rapport fra Statskontoret (tilsv. Statskonsult). Arbetsgrupp Information Warfare, senere omdøpt til Arbetsgrupp Informationsoperationer (AgIO) ble dannet i 1996, med sekretariat i Förvarshögskolan og med bred deltagelse. AgIO har gitt ut to rapporter med forslag til tiltak. Et forslag går ut på å etablere en kapasitet i Post- och telestyrelsen. Det ser ut til at Sverige er i ferd med å etablere defensiv/offensiv militær kapasitet på området i samarbeid med enkelte universiteter.

Storbritannia

I Storbritannia ble det tverrsektorielle National Infrastructure Security Coordination Centre (NISCC) etablert under Cabinet Office i desember 1999. Senterets formål er å utvikle og forbedre Storbritannias evne til å håndtere uønskede hendelser og trusler i kritisk nasjonal infrastruktur. Senterets hovedoppgave er å koordinere IKT-sikkerhetstiltak innen offentlig sektor, og formidle råd og tjenester til brukerne av Senteret. Private – ikke-offentlige – organisasjoner, har mulighet til å kontakte Senteret for å få råd og veiledning om IKT-sikkerhet.

Et annet interessant initiativ ifm. samarbeidet mellom privat og offentlig sektor har blitt etablert gjennom dannelsen av Information Assurance Advisory Council (IAAC). Dette er et nettverk med ulike arbeidsgrupper med sekretariat ved Kings College og med aktiv deltagelse fra bl.a. Cabinet Office på statlig side samt et antall viktige foretak fra alle sektorer.

USA

USA er antagelig det landet som har kommet lengst i arbeidet med etablering av tiltak som skal bidra til å redusere IKT-sårbarheten og bedre IKT-sikkerheten i samfunnet. En rekke nye myndigheter og koordineringsorganer er blitt etablert, bl.a. Critical Infrastructure Assurance Office (CIAO) og National Infrastructure Protection Center (NIPC). Det har imidlertid kommet motforestillinger til at NIPC er organisert sammen med FBI. Et av ankepunktene har vært frykt for at forretningshemmeligheter skal offentliggjøres i forbindelse med etterforskning av datainnbrudd. Det er dessuten nylig gitt en redegjørelse om NIPC i Sentatets justiskomite. Her pekes på at NIPC etter tre års virke ennå ikke har maktet å utvikle evne til informasjonsdeling med private og offentlige aktører. Det understrekes at dette er vanskelig å få til og må utvikles over tid. 5Critical Infrastructure Protection: Significant Challenges in Developing Analysis, Warning, and Response Capabilities (GAO - 01- 769T, May 22, 2001)<o:p></o:p></span> <p class=MsoNormal><span style='font-size:12.0pt;mso-bidi-font-size:10.0pt; font-family:

Det Nasjonale sikkerhetsrådet har tatt initiativ til opprettelsen av en ny operativ arbeidsgruppe – Critical Infrastructure Working Group. Arbeidsgruppen skal bestå av representanter for myndigheter med ansvar for beskyttelse av kritisk infrastruktur. Gruppen er tiltenkt en koordinerende rolle, og skal innkalles ved større angrep som truer nasjonal sikkerhet og økonomi.

Et viktig innslag i det amerikanske arbeidet er aktiv IKT-kontroll ved hjelp av såkalte ”Red Teams”, som består av kvalifiserte IT-sikkerhetseksperter og som tillates å penetrere informasjonssystemer. Metoden med denne typen aktiv IT-kontroll har vist seg å fungere for å avsløre alvorlige sårbarheter i komplekse informasjonssystemer og nettverk.

Sveits

I Sveits initierte næringslivet opprettelsen av stiftelsen InfoSurance, i samarbeid mellom næringsliv, myndigheter og universitetsmiljøer. Stiftelsen startet formelt sitt arbeid 01.01.2000, og er støttet av en rekke tunge næringslivsaktører. Det er etablert en 3-års-plan for utvikling av tjenester som kombinerer CERT- og ISAC 6ISAC: Information Sharing and Analysis Center.-funksjoner. Prosessen er imidlertid forsinket på grunn av uenighet om ansvarsforhold mellom berørte departementer.

Canada

Den canadiske tilnærmingen er at tiltak for å sikre kritisk infrastruktur skal skje i regjeringens regi og at det skal være ett enkelt kontaktpunkt i statsadministrasjonen som publikum kan henvende seg til. Funksjoner tilsvarende et nasjonalt varslingssenter blir derfor tillagt en egen avdeling i det nye organet, som kombineres med det nasjonale krisehåndteringssentret.

4 SENTERETS FORMÅL, OPPGAVER OG FORUTSETNINGER

4.1 Senterets formål

Virksomheter i offentlig og privat sektor så vel som private borgere i Norge er langt fremskredne brukere av ny teknologi. Den omfattende bruken er ikke fulgt opp med tilsvarende vektlegging på sikringstiltak. Minst like viktig er det faktum som Sårbarhetsutvalget påpeker, at truslene den senere tid har forskjøvet seg fra det manuelle til det elektroniske.

Som vist i kap. 3.1 er flere ulike myndigheter i Norge involvert i data- og informasjonssikkerhet. Felles for alle disse organene er at de har sektorspesifikke oppgaver som bare i beskjeden utstrekning berører IKT-sikkerheten i det sivile samfunn.

Forslaget om å etablere et Senter for informasjonssikring tar sikte på å bøte på dette, og er et forslag på linje med utviklingen i andre land.

Senterets skal inngå i et samspill med eksisterende tiltak for å styrke samfunnets IKT-sikkerhet. Senteret skal også utarbeide en nasjonal trusselrapport om dataangrep basert på det datamaterialet som de innrapporterte hendelser utgjør.

For at Senteret skal fungere etter intensjonen er det en forutsetning at sikkerhetsbrudd og hendelser meldes inn raskt, og at Senteret har god kontakt med ressurspersoner og –miljøer, blant annet i universitets- og høyskolesektoren.

4.2 Senterets og medaktørenes roller

Senteret er tenkt å virke i et felt med flere typer aktører i ulike roller:

  • Senteret, med de oppgaver og funksjoner som er beskrevet under.
  • Eier av hendelsen dvs. den bedrift, etat eller organisasjon som innrapporterer et sikkerhetsbrudd eller hendelse
  • Kunder av Senteret, dvs de bedrifter, etater eller organisasjoner som mottar informasjon, råd eller veiledning fra Senteret.
  • Senteretsassosierte dvs. Senterets kontaktnett og ressurspersoner.

Rollene er atskilte, men en eier av en hendelse kan også være en kunde eller assosiert av Senteret.

Den som innrapporterer et sikkerhetsbrudd eller hendelse til Senteret anses å være eier av sin hendelse, og bestemmer selv håndteringen av den. Meldingen til Senteret er således bare et bidrag til det samlede trusselbilde.

Den som innrapporterer en hendelse kan også være kunde av Senteret og motta tjenester fra dette. Kunder av Senteret er de som ønsker å motta informasjon, råd eller veiledning.

Senterets assosierte – kontaktnett og ressurspersoner – finnes nasjonalt og internasjonalt. Nasjonalt vil f eks visse universitetsmiljøer, CERTer, private firma, UNINETT, norske sikkerhetsmyndigheter, m.fl. være blant disse. Internasjonalt vil visse universitetsmiljøer, Senterets søsterorganisasjoner og private eksperter kunne inngå.

Senteret er ikke tiltenkt ansvar når det gjelder sikkerhet og beredskap i krisesituasjoner.

4.3 Senterets oppgaver

Senterets hovedoppgaver bør være:

  • Å fremskaffe et helhetlig bilde av truslene mot norske IKT-systemer.
  • Formidle informasjon, kompetanse og kunnskap om trusler og mottiltak.
  • Ha kontakt og samarbeid med tilsvarende organisasjoner i andre land.

Fremskaffe et helhetlig trusselbilde

Det er behov for å utarbeide en oversikt over hvilket totalt trusselbilde som gjør seg gjeldende overfor norske IKT-systemer. I dag finnes ingen slik oversikt. Senterets fremste oppgave vil derfor være å fremskaffe et slikt bilde. Det vil bygge på frivillig rapportering om sikkerhetsbrudd til Senteret fra eierne av datasystemer i offentlig og privat sektor. Det forutsettes at Senteret også selv forestår aktiv innhenting av informasjon.

Senteret bør ha kompetanse til å systematisere og analysere informasjon. Analysen bør frembringe et helhetlig trusselbilde som distribueres bredt slik at flest mulig kan dra nytte av det.

Formidle informasjon, kompetanse og kunnskap om trusler og mottiltak

Et av hovedproblemene innen IKT-sikkerhet i dag vurderes å være manglende bevissthet og kompetanse innen mange virksomheter. Mange av de som i dag er engasjert i drift og vedlikehold av IKT-systemer har enten ingen formell bakgrunn for dette eller har en utdanningsbakgrunn som er foreldet. Like viktig er informasjon til de mindre bedriftene og etatene, - om hva de kan gjøre og hvor de kan søke hjelp. Senteret skal derfor i sin virksomhet legge til rette for at flest mulig får tilgang til informasjon om felles problemstillinger.

Senteret skal tilby kundene tjenester som for eksempel varsling om og videreformidling av meldinger om hendelser/virus mv. samt gi råd og veiledning om håndtering av sikkerhetsbrudd og lignende samt formidling av informasjon til sikkerhetspersonell og andre.

Den grunnleggende kunnskapsutviklingen på sikkerhets- og sårbarhetsområdene vil bli ivaretatt av universitetene, høyskolene og andre utdanningsinstanser. Denne kunnskapen bør Senteret trekke på. Senteret bør kunne, i den grad ressursene måtte tillate det, medvirke i utredninger og eventuelt FOU-relatert arbeid.

Kontakt og samarbeid med tilsvarende funksjoner i andre land

Sikkerhetsproblemer knyttet til bruk av åpne elektroniske nett er et grenseløst problem som nødvendiggjør internasjonalt samarbeid på flere nivåer. Flere land i den vestlige verden har allerede etablert, eller er i ferd med å etablere, sentrale koordinerende sentre for informasjonssikring. Disse sentrene besitter betydelig kompetanse. Internasjonalt erkjennes et sterkt behov for samarbeid.

Senteret bør være det nasjonale kontaktpunktet mot internasjonale søsterorganisasjoner for å utnytte deres kompetanse og for selv å bidra i et samarbeid. Det vil være tale om å utveksle blant annet sensitiv informasjon. I forhold til sentre i andre land er det derfor viktig å etablere og vedlikeholde gode relasjoner basert på tillit.

Senterets kontakter vil være et supplement til annen internasjonal kontakt på området, blant annet innen justis- og forsvarssektoren.

4.4 Senterets målgrupper

Mindre virksomheter i offentlig og privat sektor vil være en viktig del av Senterets målgruppe. De store bedriftene og de større offentlige etatene er i hovedtrekk bedre rustet til å møte utfordringene i sikkerhetsfeltet. Mange av de større enhetene har allerede avsatt ressurser til drift og vedlikehold av data- og kommunikasjonssystemer, og er dermed i besittelse av personell og kompetanse som er nødvendig for å ivareta informasjonssikkerheten. Mindre enheter har trolig dårligere forutsetninger til å vurdere egne sikringsbehov og sikringstiltak med utgangspunkt i egen forretningsvirksomhet.

Kundegruppen til et helhetlig trusselbilde vil blant annet være

  • bedrifter og etater, som antas å ha nytte av et slikt helhetsbilde som grunnlag for bl.a. interne utredninger av hvilket beskyttelsesstrategi virksomheten bør velge for at forretningsmessige og andre interesser blir ivaretatt,
  • sikkerhetsmyndighetene, som antas å kunne ha nytte av et slikt helhetsbilde som bakgrunns- evt. tilleggsinformasjon til egne analyser,
  • politikere og andre, som antas å kunne ha nytte av et slikt helhetsbilde som grunnlag for en vurdering av sikkerhetstilstanden i samfunnet.

Kunder som vil benytte seg av kunnskaps- og varslingstjenester antas å være landets små og mellomstore bedrifter, mindre offentlige etater i statlig og kommunal sektor, og private organisasjoner. Mange av disse virksomhetene er ikke er klar over verken trusler eller virkemidler. Dette skyldes i all hovedsak mangel på ressurser og kompetanse til å håndtere selv enkle sikkerhetssituasjoner.

Sikkerhetsmyndighetene kan også være kunder av Senteret. Arbeidsgruppen legger til grunn at ulike myndigheter i justis- og forsvarssektorene vil ha oppgaver knyttet til sikkerhet og sårbarhet, og at Senteret derfor må utvikle et hensiktsmessig samarbeid med disse myndighetene. Samarbeidet må utvikles slik at tilliten, som er avgjørende for samarbeidet mellom private bedrifter og Senteret, ikke blir skadelidende.

4.5 Forutsetninger

En viktig utfordring for Senteret vil være at det har tillit hos de som på frivillig basis skal innrapportere sikkerhetsbrudd og andre relaterte hendelser. Tillitsspørsmålet knytter seg til at sensitiv informasjon fra bedrifter eller etater ikke kommer på avveie og kan skade virksomhetens omdømme. Behovet for tillit og uavhengighet lå nettopp til grunn for Sårbarhetsutvalgets forslag om å organisere Senteret som en uavhengig stiftelse. Og tillitsspørsmålet er understreket så sterkt av så vel norske aktører som utenlandske, at arbeidsgruppen har valgt å legge spesiell vekt på å sikre tilliten til Senteret.

Et annet spørsmål angår Senterets forhold til myndigheter og forretningsdrivende aktører som virker i dette feltet.

Arbeidsgruppen har derfor skissert noen forutsetninger som bør legges til grunn for etablering av Senteret og for Senterets virksomhet.

Forutsetninger for etablering av Senteret

Følgende forutsetninger legges til grunn for Senterets etablering:

  • Senteret skal ikke ha myndighetsoppgaver .
  • Eksisterende ansvarsfordeling legges til grunn, dvs. at etablering av Senteret ikke får konsekvenser for andre eksisterende institusjoners oppgaver og ansvarsområder.
  • De funksjonene som Senteret skal utføre skal kun være et supplement og ikke konkurrere med de tilbud som allerede finnes i markedet.
  • Etater som driver med overvåkning, etterretning eller håndheving av lov og rett vil være kunder av Senteret på linje med øvrige brukere .
  • Senteret skal ikke involveres i konkrete personvernsaker eller spørsmål knyttet til om en konsesjons- eller lisensinnehaver overholder sine forpliktelser mv.

Forutsetninger ved innrapportering av hendelser

Innrapportering av angrep og hendelser skal skje på frivillig basis, og det forutsettes at etater i offentlig sektor innrapporterer hendelser på lik linje med private bedrifter.

For å fremskaffe et helhetlig trusselbilde er Senteret avhengig av at innrapporterte hendelser kommer fra pålitelige kilder, og at hendelsene lar seg verifisere. Dette kan vanskelig oppnås dersom data leveres inn anonymt til Senteret. De som rapporterer inn hendelser til Senteret bør derfor ikke være anonyme.

Senteret skal fungere som et ”clearing house” der informasjon fra de som innrapporterer anonymiseres. Anonymiseringen beror i hovedsak på at hendelseseierne ikke ønsker å bli utsatt for en negativ markedsføringseffekt dersom det blir kjent at bedriften har blitt utsatt for et angrep. Senterets anonymisering av rapportene vil derfor være nødvendig for å skape det nødvendige tillitsforhold og dermed øke sjansen for at innrapportering skal finne sted. Senteret bør i denne sammenheng vurdere å utarbeide enkle og effektive, og standardiserte rutiner og hjelpemidler for innrapportering av hendelser.

For å effektivisere og øke sannsynligheten for å få inn informasjon om sikkerhetsbrudd må det drives utadrettet informasjons- og veiledningsvirksomhet fra Senterets side. Senteret bør ha klare retningslinjer for hvordan innkommet informasjon skal behandles. Rutinebeskrivelsen bør omhandle så vel behandling av personopplysninger som behandling av opplysninger der hvor det foreligger mistanke om lovbrudd.

Senterets forhold til påtalemyndighetene og EOS-tjenestene

Senteret vil være underlagt vanlige norske lover og regler når det gjelder oppbevaring og behandling av sensitive data.

Dersom en hendelseseier innrapporterer forhold som innebærer kriminell bruk av IKT-infrastrukturen vil det forutsettes at hendelseseieren selv vurderer om han skal anmelde dette videre til politiet. Senteret bør imidlertid kunne gi råd til hendelseseieren om hvorvidt hendelsen er av en slik karakter at den bør anmeldes til ØKOKRIM, og evt. hvordan dette kan skje.

Senteret vil i hovedsak produsere aggregerte data over sikkerhetsbrudd med sikte på å utarbeide tilstandsbilder og trendanalyser. Disse vil i all hovedsak være basert på frivillig avgitt informasjon fra hendelseseiere. Normalt vil ikke Senteret sitte på loggdata som kan nyttes til sporing av en eventuell hacker med mindre disse data blir rapportert inn av hendelseseieren.

Politiet og EOS-tjenestene vil være kunder av Senteret, på linje med andre. Dette innebærer at disse myndighetene ikke skal ha adgang til informasjon om identiteten til den som innrapporterer med mindre denne selv ønsker det. Som kunde vil politiet kunne ha nytte av Senteret, bl.a. ved å få bedre kunnskap om omfanget av dataangrep og om utviklingstendenser i trusselbildet. Slik kunnskap medfører at politiet lettere kan avpasse ressursinnsatsen mot dominerende og viktige trusler og planlegge bedre. Informasjonen vil dessuten inngå som et element i et felles kommunisert risikobilde som planleggingsgrunnlag for alle med ansvar for samfunnssikkerhet og beredskap.

5 ORGANISERING OG FINANSIERING AV SENTERET

5.1 Organisering

Senterets eksistens avhenger av at det offentlige og det private næringsliv har tillit til at Senteret kan fungere etter intensjonen. Det er derfor viktig å sørge for ordninger som gjør at all informasjon som avgis til Senteret behandles konfidensielt. All informasjon som den enkelte virksomhet avgir i form av hendelsesrapportering, eller informasjon om konkrete mottiltak mot trusler, må behandles på en måte som inngir tillit.

Det er en forutsetning at Senterets ansatte har en sterk faglig kompetanse som gjør at de forstår og kan håndtere informasjonen som meldes inn. Uten sterk faglig kompetanse blir Senteret uinteressant for brukerne. De profesjonelle har egne tilbud og de små og mellomstore virksomhetene i privat og offentlig sektor vil ha behov for kompetent hjelp.

Arbeidsgruppens oppfatning er at det er tre modeller for organisering av Senterets funksjoner som peker seg ut i dagens situasjon:

  1. Funksjonene etableres som en ny, frittstående organisasjon – et Senter for informasjonssikring
  2. Funksjonene legges til en eksisterende virksomhet/organisasjon
  3. Funksjonene organiseres i et forsøksprosjekt der man høster erfaringer og senere avgjør spørsmålet om endelig tilknytning og organisering.

Flere organer kan antas å være egnede kandidater til å ivareta Senterets funksjoner dersom alternativ 2 velges. Arbeidsgruppen har valgt å fokusere på følgende:

  1. Forvaltningsorgan (Post- og teletilsynet)
  2. Forvaltningsorgan (Nasjonal sikkerhetsmyndighet)
  3. Bransjeorgan (Næringslivets sikkerhetsorganisasjon)
  4. Forsknings- og universitetsmiljøet

Et spørsmål som må besvares ifm. drøftingen av Senterets organisering er hvilken dimensjonering og hvor stor kapasitet Senteret selv skal ha i forhold til å utføre sine oppgaver. Her kan det tenkes to alternativer:

  • Senteret har personell og den kompetanse som er nødvendig for å utføre alle de skisserte arbeidsoppgavene full ut.
  • Senteret består av en ”kjerne” – Senter for informasjonssikring – i første omgang av om lag 5 personer med faglig ekspertise som ved behov benytter seg av tilgjengelig kompetanse gjennom et virtuelt nettverk.

5.2 Nærmere beskrivelse av alternativene

Senteret som en frittstående organisasjon

Dersom Senteret etableres som en frittstående organisasjon vil Sårbarhetsutvalgets forslag om at Senteret blir organisert som en ikke-kommersiell stiftelse med deltagelse fra offentlige og private, inkludert forsknings- og utdanningssektoren og Forsvaret, være et egnet utgangspunkt for de videre drøftelser. Sårbarhetsutvalget har foreslått at Senterets aktivitet blir finansiert av medlemmene og staten.

Post- og teletilsynet (PT)

PT er et frittstående forvaltningsorgan som ligger under SD. Hovedansvarsområdet for etaten er å regulere og overvåke post- og telekommunikasjonssektoren i Norge. PT er selvfinansiert, og driften blir primært finansiert gjennom avgifter og gebyrer.

Bakgrunnen for å etablere PT i 1987 (den gang Statens teleforvaltning) var at liberaliseringen av telekommunikasjonsområde skapte et behov for deling av regulatør- og operatørrollen for å sikre nødvendig habilitet i forvaltningsavgjørelser. 01.01.88 ble det norske markedet for teleterminalutstyr åpnet for konkurranse, og senere har PT gradvis tatt over flere forvaltningsoppgaver - i takt med liberaliseringen av det norske telemarkedet. 01.06.97 fikk PT også ansvaret for tilsyn med postsektoren i Norge, og etaten endret navn til Post- og teletilsynet. PT er i den senere tid gitt ansvar for tilsyn i forbindelse med lov om elektronisk signaturer. Det er også lagt opp til at et særskilt myndighetsansvar ansvar for sikkerhet og beredskap i telekommunikasjon legges til PT.

Forsvarets overkommando/Sikkerhetsstaben (Nasjonal sikkerhetsmyndighet)

Forsvarets overkommando/Sikkerhetsstaben (FO/S) innehar rollen som Nasjonal sikkerhetsmyndighet inntil Stortinget har tatt stilling til spørsmålet om det skal etableres et eget direktorat for forebyggende sikkerhet.

Sikkerhetsstabens ansvarsområde omfatter – i tillegg til Forsvaret – statsforvaltningen, når det gjelder å forebygge mot trusler som kan true rikets sikkerhet og vitale nasjonale sikkerhetsinteresser. Sikkerhetsloven vil, når den trer i kraft, endre dette til også å omfatte kommunal forvaltning. Leverandører av sikkerhetsgraderte varer eller tjenester til statsforvaltningen kommer også inn under stabens ansvarsområde.

Sikkerhetsstaben har i dag som oppgave å legge forholdene best mulig til rette for egen-beskyttelse av skjermingsverdig informasjon og objekter. Staben har kompetanse innenfor samtlige elementer innenfor forebyggende sikkerhet, herunder datasikkerhet.

Sambands- og datasikkerhetsavdelingen i FO/S har det sentrale fag- og kontrollansvar for samband- og datasikkerhet, samt forvaltningsansvaret for nasjonalt- og NATO kryptomateriell. Som faginstans i FO/S skal Sambands- og datasikkerhetsavdelingen påvirke utviklingen og legge forholdene til rette gjennom bl.a. prinsipper (policy), direktiver og retningslinjer, evaluering og sertifisering av produkter og systemer, informasjon og utdanning, råd og veiledning, forskning og utvikling.

Næringslivets sikkerhetsorganisasjon (NSO)

NSOs forløpere er Industrivernet og Næringslivets Sikkerhetsråd. Begge organisasjonene var tilsluttet NHO. I 1997 ble Industrivernet og Næringslivets Sikkerhetsråd slått sammen til én organisasjon, NSO.

NSOs oppgaver er:

  • Å organisere og føre kontroll med egenbeskyttelsen (industrivernet) ved landets industri- og håndverksbedrifter i henhold til pålegg gitt i kgl res av 29. november 1996 med hjemmel i Lov om sivilforsvaret av 17. juli 1953.
  • Å være et rådgivende organ for norsk næringsliv i spørsmål om sikringstiltak mot industrispionasje/sabotasje, terrorisme, organisert kriminalitet, datakriminalitet o l.

NSO har opprettet to faglige utvalg, Utvalg mot organisert kriminalitet og Datakrimutvalget, til å bistå i trusselvurderinger og utarbeidelse av tiltak mot kriminelle handlinger i næringslivet, herunder datakriminalitet.

Datakrimutvalget utarbeidet i 1993 og 1997 rapporter om mørketall innen datakriminalitet. En ny undersøkelse blir foretatt i 2002.

Forsknings- og universitetsmiljøet

Norsk Regnesentral (NR) har på oppdrag fra Forskningsrådet kartlagt forskningsmiljøer i Norge som arbeider med IKT-sårbarhet og –sikkerhet. NRs rapport viser at universitets- og høyskolesektorens forskning på IKT-sårbarhet og –sikkerhet er relativt fragmentert. De ulike forskningsinstitusjonene synes å ha sine spesialiteter, som i mange tilfeller er personavhengige. Det er ikke uvanlig at forskningen om IKT-sikkerhet og –sårbarhet drives av noen få ildsjeler.

Innen instituttsektoren og blant andre virksomheter som driver med forskning synes forskningen om IKT-sikkerhet og –sårbarhet også være relativt fragmentert.

5.3 Drøfting av alternativene

Senteret som en uavhengig stiftelse

Stiftelsesmodellen vurderes å være et godt alternativ for Senteret på sikt.

Sårbarhetsutvalget har foreslått en stiftelse der aktivitetene finansieres gjennom bidrag fra medlemmene og staten. Arbeidsgruppens oppfatning er at en slik finansieringsordning ikke er moden før etter at næringslivet har erfart at Senterets aktivitet skaper en ”merverdi” som de kan dra nytte av når de foretar sikkerhetsvurderinger ut fra forretningsmessige hensyn.

På høringsmøtet i Forum for IT-sikkerhet ble det anbefalt - dersom Senteret skal etableres som en selvstendig enhet – at Senteret knyttes opp til et eksisterende fagmiljø. Hvis ikke vil en kunne oppleve rekrutteringsproblemer, og at flere potensielle søkere inntar en avventende holdning til Senteret.

Arbeidsgruppen mener at det ikke foreligger tilstrekkelig dokumentert grunnlag til å anbefale at det opprettes en stiftelse på permanent basis. Et alternativ kan være å iverksette et prøveprosjekt, og at en avventer etablering av en stiftelse inntil prøveprosjektet har gitt praktiske erfaringer vedrørende oppgaveløsning, drift og organisering.

Post- og teletilsynet (PT)

PTs uavhengighet kan oppfattes som en fordel når det gjelder å skape tillit til at den informasjon som blir avgitt ifm. hendelsesrapportering blir behandlet på en tilfredsstillende måte. I rollen som et Senter kan PT imidlertid komme i konflikt med rollen som tilsynsmyndighet, f.eks når PT skal føre tilsyn med en virksomhet som også har avgitt opplysninger til Senteret.

En mulig løsning på en slik problemstilling kan være at det innføres et organisatorisk skille innad i PT som gir trygghet for at Senteret i nødvendig grad holdes atskilt fra PTs øvrige funksjoner.

PT har høy kompetanse på telekommunikasjon, men har pr. i dag ikke den nødvendige kompetanse til å kunne håndtere Senterets tiltenkte oppgaver. Imidlertid vil PT trolig måtte bygge opp sin IKT-kompetanse uavhengig av om de blir tillagt rollen som Senter. Et spørsmål er hvor raskt dette vil skje, og graden av synergi mellom den type kompetanse som Senteret vil måtte ha og PTs kompetanse på telesikkerhetsområdet.

Nasjonal sikkerhetsmyndighet(FO/S)

FO/S er den instans som kan sies å ha best kompetanse innen Senterets oppgaveområde. FO/S antas å ha den nødvendige infrastruktur som Senteret vil ha behov for. Dessuten har FO/S innarbeidede rutiner for håndtering og behandling av konfidensiell informasjon.

Det er delte meninger om, og i hvilken grad FO/S bør ha en rolle som et Senter. FO/S har et sterkt fokusert på ”rikets sikkerhet”. Imidlertid er FO/S i ferd med å innta en ny rolle i samfunnet som Nasjonal sikkerhetsmyndighet – evt. Direktorat for forebyggende sikkerhet. FO/S nye rolle vil innebære et bredere fokus innrettet mot vitale samfunnsmessige interesser. Innenfor en slik rolle vil Senteret eventuelt kunne passe bedre inn som en av FO/S framtidige ansvarsområder.

Det vil også være en del usikkerhet så lenge saken om opprettelsen av en egen etat ikke er endelig behandlet av Stortinget. Det antas imidlertid at de største bedriftene sannsynligvis ikke vil ha noen problemer med å forholde seg til FO/S når det gjelder hendelsesrapportering. Enkelte av dem har allerede samarbeid med FO/S innen enkelte områder innen sikkerhet. Det er usikkert hvordan de små og mellomstore bedriftene stiller seg til å rapportere til FO/S. FO/S kontakt med disse er ikke like utstrakt som til de store bedriftene. Endringen i FO/S rolle må i tilfelle kommuniseres ut til Senterets kunder og assosierte.

Det kan være et spørsmål om FO/S vil ha den nødvendige kapasitet til å kunne håndtere etablering og drift av Senteret samtidig som de også skal gå igjennom en omleggingsprosess for å bli et eget direktorat innen forebyggende sikkerhet.

Næringslivets sikkerhetsorganisasjon (NSO)

NSO arbeider for å øke kunnskapen om informasjonssikkerhet og skape en felles forståelse av det trusselbilde en står overfor gjennom utveksling av informasjon til medlemsbedriftene. Det foregår i all hovedsak gjennom kurs og konferanser utgivelse av faghefter og tidsskriftet Sikkerhet.

NSO har i dag begrenset med faglige ressurser internt i organisasjonen innen IKT-sårbarhet og –sikkerhet. NSO anslår selv at ca. ett årsverk går med til å ivareta denne oppgaven.

NSO er et lokaliseringsalternativ , men har påpekt at dersom Senteret skal legges til organisasjonen må NSO bygge opp sin kompetanse innen IKT-sårbarhet og -sikkerhet. Kompetansen må rekrutteres utenfra, og det kan ta tid før Senteret kan bli operativt.

Forsknings- og universitetsmiljøet

Dersom Senteret skal lokaliseres til denne sektoren vil det mest fornuftige være å bygge på eksisterende ordninger. UNINETTs CERT er en kandidat. Denne kan utvides til å ta imot hendelsesrapporter fra flere miljøer. I tillegg til CERT-tjenesten kan opplysningene som kommer inn danne grunnlaget for analyser av trusselbildet. Analysen kan gjøres av personer ved f.eks UNINETT, et akademisk miljø som NTNU, eller andre forskningsmiljøer.

Problemet med å legge Senteret til forsknings- og universitetsmiljøet er – som det også fremgår av NRs rapport (jf. punkt 5.2) – at kunnskapen om IKT-sårbarhet og –sikkerhet innen sektoren pr i dag er spredt på mange små miljøer som ikke organisert eller lokalisert på en slik måte at Senteret raskt kan komme i gang.

5.4 Samlet vurdering av alternativene

Det er fordeler og ulemper ved alle de vurderte alternativer. Felles for dem alle er det behovet de har for å bygge opp kompetanse innen IKT-sårbarhet og -sikkerhet slik at de kan ivareta Senterets formål og oppgaver. Dette vil ta tid.

Arbeidsgruppen er enig med Sårbarhetsutvalget i at Senteret organisert som en stiftelse ideelt sett er å foretrekke. En endelig beslutning bør imidlertid avventes til usikkerheten rundt de organisatoriske spørsmålene innen forsvars-, tele- og beredskapssektoren er avklart. Inntil Stortinget har ferdigbehandlet de organisatoriske spørsmålene vil det være knyttet usikkerhet til hvordan et Senter vil passe inn – eventuelt når et Senter kan starte opp – dersom valget skulle falle på å lokalisere Senteret til en av de tre nevnte sektorer.

Dersom man velger å legge Senteret til en etablert enhet antar arbeidsgruppen at eierdepartement evt. -organisasjon må foreta nærmere vurderinger og avklaringer om hvorvidt det er hensiktsmessig å lokalisere Senteret til den valgte enhet.

5.5 Arbeidsgruppens anbefaling

De oppgaver og den rolle som arbeidsgruppen anbefaler for senteret (fremskaffe helhetlig trusselbilde, formidle informasjon, kompetanse og kunnskap, og ha kontakt og samarbeid med tilsvarende organisasjoner i andre land) er nedskalert i forhold til oppgavene i f.eks de tilsvarende enheter i USA og England. F.eks mener arbeidsgruppen at Senteret, i hvert fall ikke under oppbyggingsfasen, bør utføre andre analyseoppgaver enn de som er nødvendig for å fremskaffe et helhetlig trusselbilde, ei heller ha oppgaver som går ut på å utvikle og gjennomføre konkrete mottiltak i akuttsituasjoner. Arbeidsgruppen har lagt vekt på at Senteret i første omgang bør utvikle relasjoner til virksomheter i offentlig og privat sektor med sikte på å få tilgang til informasjon som kan inngå i et helhetlig trusselbilde. Arbeidsgruppen mener at denne oppgaven er krevende i seg selv og at betydelig innsats må rettes inn mot å bygge opp slike relasjoner så vel som kompetanse i Senteret. Det vises her blant annet til erfaringene fra USA.

Av disse grunner, og for å få etablert Senterets funksjoner så snart som mulig foreslås Senteret etablert som et frittstående forsøksprosjekt. Forsøksprosjektet bør virke både i offentlig og privat sektor. Formålet med prosjektet vil være – foruten å komme raskt i gang – å bygge relasjoner og tillit, utvikle kompetanse og i det hele derigjennom vinne erfaringer med hvordan Senteret kan organiseres på permanent basis.

Et av prøveprosjektets formål er å vinne erfaringer med praktisk virksomhet. Det forutsettes derfor at en det etableres en styringsgruppe – med god brukerrepresentasjon – som om nødvendig kan korrigere kursen underveis. Prosjektet forutsettes å kunne operere relativt fritt innen de gitte rammer.

Senteret er helt avhengig av å få etablert et kontaktnett og få inn rapporter om sikkerhetsbrudd. For å bygge opp kontaktnettet og samtidig sikre praktisk erfaring i arbeidet foreslår arbeidsgruppen at prosjektet får en tidshorisont på 3 år, med evaluering av prosjektet etter ca 2 år. Det forutsettes at prøveperioden ikke starter før prosjektleder og bemanning er på plass.

På bakgrunn av de erfaringer en gjør med Senteret i prøveperioden vil en ha bedre vurderingsgrunnlag når det gjelder tilknytning til et passende miljø. Det vil ved prøvetidens utløp også foreligge avklaringer vedrørende organiseringen av forsvars-, tele- og beredskapssektoren.

Arbeidsgruppen foreslår statlig grunnfinansiering av Senteret, og at det ved prøveperiodens utløp foretas en vurdering av Senterets organisering, oppgaver og finansiering.

Forslaget om statlig finansiering forankres i Sårbarhetsutvalgets forutsetning om at staten skal fremstå som en sentral og enhetlig drivkraft i arbeidet for å sikre et effektivt og målrettet sikkerhets- og beredskapsarbeid, der offentlig finansierte tiltak i omfang og effekt må utgjøre en dominerende del av en langsiktig strategi for å redusere samfunnets sårbarhet.

Næringslivets interesse for å bidra til Senterets fremtidige finansiering vil avhenge av at Senterets aktivitet i prøveperioden skaper en ”merverdi” som næringslivet ser at de kan dra nytte av når de foretar sine sikkerhetsvurderinger ut fra sine forretningsmessige hensyn.

På høringsmøtet i Forum for IT-sikkerhet sa flere av de store private aktørene at de er villige til å bidra aktivt til et forsøksprosjekt med Senteret, både når det gjelder å gi informasjon om hendelser samt bistå Senteret med faglige ressurser.

Arbeidsgruppen anbefaler – for at Senteret skal oppnå ønsket effekt – at innsatsen i prosjektet blir lagt på et ressursnivå som tilsvarer en bemanning på om lag 5 personer med spisskompetanse innen fagfeltet.

Basert på erfaringer fra andre prosjekt av lignende karakter – bl.a. i Sverige – anslås den årlige kostnaden for prosjektet til ca. 7-8 mill. kr.

Det foreslås at NHD forestår organisering og lokalisering av prosjektet og står som prosjektets eier.