8 Informasjonssikkerhet
I dette kapitlet gis en redegjørelse for status i regjeringens arbeid med å styrke IT-sikkerheten i samfunnet. Informasjonssikkerhet omfatter tiltak for å beskytte informasjon som behandles av et informasjonssystem mot brudd på konfidensialitet, integritet og tilgjengelighet, for å beskytte systemet i seg selv og for å beskytte nett der informasjonen uveksles.
IT-sikkerhetsarbeidet tar utgangspunkt i Nasjonal strategi for informasjonssikkerhet, som ble lagt frem av Nærings- og handelsdepartementet, Justisdepartementet og Forsvarsdepartementet i juni 2003. Strategien skal legge forholdene til rette for at samfunnets behov for god informasjonssikkerhet blir ivaretatt. Regjeringens arbeid knyttet til telesikkerhet og teleberedskap inngår som en del av Nasjonal strategi for informasjonssikkerhet, og tar utgangspunkt i St.meld. nr. 47 (2000–2001) om telesikkerhet og -beredskap i et telemarket med fri konkurranse, jf. Innst. S. nr. 329 (2000–2001).
8.1 Status
Samfunnskritiske funksjoner er avhengige av informasjons- og kommunikasjonsteknologi. Mangelfull informasjonssikkerhet kan derfor få store konsekvenser for enkeltpersoners liv og helse, bedrifters økonomi og offentlige etaters forvaltningsfunksjoner. Også brudd i alminnelige IT-systemer i næringslivet eller forvaltningen kan ha betydelige konsekvenser for produktivitet, konkurranseevne og servicenivå, med mulige økonomiske tap som følge.
Angrep på informasjonssystemer kan foregå på ulike måter, som ulovlig adgang («hacking»), spredning av virus og overbelastning av systemer og nett slik at tjenestene de bærer blir utilgjengelige (tjenestenekting). I tillegg til angrep kan sårbarheten i systemene knyttes til hendelige uhell, for eksempel ved menneskelig eller teknisk svikt. Sårbarhet i forhold til naturpåkjenninger, som for eksempel flom og lynedslag, påvirker også det totale risikobildet.
IT-systemer forstyrres jevnlig som følge av ulike former for IT-angrep. Samfunnet må i tillegg være forberedt på at det i fremtiden kan forekomme et koordinert IT-angrep mot infrastruktur som enten direkte eller indirekte påvirker norske samfunnsinteresser. Flere nasjoner synes å være i ferd med å utvikle militære kapasiteter for angrep mot informasjonssystemer, samtidig som det må forventes at også ikke-statlige aktører vil kunne besitte slike kapasiteter i fremtiden.
Ansvaret for IT-sikkerheten er et virksomhetsansvar. Det enkelte fagdepartement er ansvarlig for at dette ivaretas innenfor sine underlagte virksomheter. Samtidig skal fagdepartementet påse at aktuelt regelverk etterleves av alle målgrupper innenfor sektoren, enten dette er offentlige eller private virksomheter. Eksempler på slike regelverk er sikkerhetsloven av 20. mars 1998 nr. 10 som gir regler for forebyggende sikkerhetstjeneste og personopplysningsloven av 14. april 2000 nr. 31 som gir regler for beskyttelse av personopplysninger.
Nærings- og handelsdepartementet er i henhold til kgl.res. 17. desember 1997 tildelt ansvaret for å koordinere arbeidet med IT-sikkerhet. Koordineringsansvaret innebærer at departementet skal være en pådriver overfor fagdepartementene på IT-sikkerhetsområdet, og tilføre merverdi til aktiviteter i regi av fagdepartementene. Videre skal Nærings- og handelsdepartementet identifisere og følge opp sektorovergripende spørsmål, samt initiere og koordinere tiltak av tverrsektoriell karakter. Nærings- og handelsdepartementet har også et ansvar for å utarbeide oversikter og strategier for utvikling av den overordnede politikken på fagområdet. Som ledd i rollen som koordineringsdepartement leder departementet det nyopprettede Koordineringsutvalget for informasjonssikkerhet (KIS). Som fagdepartement arbeider Nærings- og handelsdepartementet for at IT-sikkerhet skal bli en sterkere integrert del av nærings- og handelspolitikken, samt at IT-sikkerhet i sterkere grad blir inkludert på forskningssiden.
Justisdepartementet er i henhold til Kronprinsregentens resolusjon 4. juli 2003 om fordeling av ansvar for forebyggende sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet, gitt et overordnet faglig ansvar for forebyggende sikkerhetstjeneste i sivil sektor, herunder NSMs oppgaver knyttet til informasjonssikkerhet. Forsvarsdepartementet har et tilsvarende ansvar i militær sektor.
Samferdselsdepartementet har et sektoransvaret for telesikkerhet og -beredskap og er regelverksforvalter av lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon. Samferdselsdepartementets ansvar dekker alle tilbydere av elektroniske kommunikasjonsnett og -tjenester knyttet til overføring av elektronisk kommunikasjon med tilhørende infrastruktur, tjenester, utstyr og installasjoner. Nærings- og handelsdepartementet har et generelt, koordinerende ansvar for informasjonssikkerhetsarbeidet. Dette ansvaret omfatter både sikring av selve informasjonsutvekslingen og sikring av den informasjonen som utveksles. Når det gjelder sikkerheten i de offentlige elektroniske kommunikasjonsnettene (telenettene), vil tilbyderne av slike nett og tjenester ha ansvar for dette i henhold til egne rutiner, men med tilsyn av myndigheten etter lov om elektronisk kommunikasjon (ekommyndigheten). Samferdselsdepartementet og Post- og teletilsynet setter krav til, og fører tilsyn med sikkerhet og beredskap hos tilbydere av elektroniske kommunikasjonsnett og -tjenester, med hjemmel i lov om elektronisk kommunikasjon. I kraft av sitt sektoransvar for telesikkerhet og -beredskap kan således Samferdselsdepartementet gi pålegg til alle tilbydere om dette, inkludert til selskap der Nærings- og handelsdepartementet forvalter statens eierinteresser. Totalforsvarets råd for sikring av tele- og informasjonssystemer (TRSTI) skal gi råd til Samferdselsdepartementet i sikkerhets- og beredskapsspørsmål på teleområdet.
8.1.1 Nasjonal strategi for informasjonssikkerhet
Utarbeidelsen av en nasjonal strategi for informasjonssikkerhet er en oppfølging av St.meld. nr. 17 (2001–2002) Samfunnssikkerhet og regjeringens IT-politiske plandokumentet om eNorge. Regjeringen etablererer fire overordnede mål for informasjonssikkerhet:
Samfunnskritisk infrastruktur for elektronisk informasjonsutveksling skal være robust og sikker i forhold til de trusler den utsettes for.
Det skal bygges en sikkerhetskultur med henblikk på å få bevisstgjort alle aktører.
Det skal utvikles en allment tilgjengelig samfunnsinfrastruktur for elektronisk signatur, autentisering av kommunikasjonspartnere samt sikker overføring av sensitiv informasjon.
Regelverk som berører informasjonssikkerhet skal håndheves og videreutvikles på en samordnet, og for brukere enkel og oversiktelig måte.
Det foreslås en rekke tiltak både rettet mot det offentliges ansvar, næringslivets ansvar og individenes ansvar. Det skal gjennomføres tiltak for å oppnå sikkerhet og robusthet i tele- og datanett, styrke tilgjengelighets- og integritetssikring i et samfunnsperspektiv, utarbeide generelle normer for offentlig informasjonssikkerhet, styrke beredskapsforberedelsene og styrke internasjonalt samarbeid. Sikkerheten i kritiske systemer innenfor offentlige og private virksomheter skal sikres blant annet gjennom tiltak knyttet til klargjøring av behov, klassifisering av informasjon og systemer, veiledning for hvordan informasjonssikkerhet skal implementeres og bruk av evaluerings- og sertifiseringsordninger. Det skal videre gjennomføres tiltak som bidrar til at virksomhetene foretar jevnlige risikovurderinger, at det etableres tilfredsstillende kontroll- og sikkerhetssystemer og at informasjonssikkerhetsarbeidet jevnlig revideres. I strategien fremgår det at den enkelte ansvarlige virksomhet bør etablere den nødvendige fysiske og driftstekniske sikkerhet og etablere gode rutiner og prosedyrer for styring og kontroll av sine kritiske systemer og infrastrukturer.
Videre skal det gjennomføres tiltak knyttet til undervisning i skolene og kompetansebygging ved satsing på forskning. Regelverket skal tilpasses den teknologiske utviklingen og dermed legge forholdene til rette for god sikkerhetskultur i samfunnet. OECDs retningslinjer for sikkerhet i informasjonssystemer og nettverk; Mot en sikkerhetskultur legges til grunn i dette arbeidet. Nærings- og handelsdepartementet deltok i utarbeidelsen av disse retningslinjene som ble vedtatt på ministerrådmøte 25. juli 2002. OECDs retningslinjer ble oversatt til norsk og publisert av Nærings- og handelsdepartementet høsten 2002.
Utfordringene samfunnet står overfor på dette området tyder på at en sentral og overordnet samarbeidsarena vil bidra til at de ansvarlige myndigheter og virksomheter møter utfordringene på en enhetlig og ressurseffektiv måte. Et av de mest sentrale tiltakene i Nasjonal strategi for informasjonssikkerhet er derfor etableringen av et koordineringsutvalg for informasjonssikkerhet (KIS), som inkluderer sentrale myndigheter og regelverksforvaltere på området. Koordineringsutvalget for informasjonssikkerhet ble etablert våren 2004, og ledes av Nærings- og handelsdepartementet. Utvalgets sekretariat er lagt til Nasjonal sikkerhetsmyndighet. Utvalgets mandat favner om både alminnelig IT-sikkerhet samt spørsmål knyttet til rikets sikkerhet, vitale nasjonale sikkerhetsinteresser og kritiske samfunnsfunksjoner.
8.1.2 Enkelte sentrale aktører
I Nasjonal strategi for informasjonssikkerhet er det redegjort for ansvarsforholdene innen informasjonssikkerhetsarbeidet. I denne meldingen gis en redegjørelse for ansvarsforholdene mellom enkelte sentrale aktører på området.
Senter for informasjonssikring (SIS) ble i april 2002 etablert som et treårig forsøkprosjekt på initiativ fra Nærings- og handelsdepartementet. SIS er en selvstendig enhet (lagt til SINTEF i Trondheim) og skal i samarbeid med private og offentlige brukere fremskaffe et helhetlig bilde av truslene mot norske IT-systemer samt formidle informasjon, kompetanse og kunnskap om trusler og mottiltak til virksomheter innen deres ovennevnte ansvarsområde og allmennheten. En beslutning om den videre innretting av SIS vil bli tatt innen utgangen av 2004.
Nasjonal sikkerhetsmyndighet (NSM) er tillagt ansvaret for Varslingssystem for digital infrastruktur (VDI). VDI består av både offentlige etater og private bedrifter med ansvar for samfunnskritiske funksjoner, og skal identifisere og varsle angrep.
Systemet analyserer forsøk på angrep på de datanettverk som deltakerne har i bruk, og som er knyttet opp mot Internett. Deltakerne blir varslet hvis det oppdages alvorlige angrep som kan slå ut den digitale kritiske infrastrukturen. Foruten varslingen skal VDI til enhver tid ha et oppdatert situasjonsbilde, gjennomføre trendanalyser og kartlegge gjennomførte angrep (hacking, ormer, tjenestenekt). VDI skal understøtte sikkerhetsarbeidet hos deltakerne, rapportere, utvikle et bredt kontaktnett nasjonalt og internasjonalt og være en nasjonal ressurs innen datanettverkssikkerhet. Det legges opp til at erfaringene fra analysene gjøres tilgjengelig for andre aktuelle samarbeidspartnere og eventuelt andre parter etter behov. Det er etablert et samarbeid mellom VDI og Senter for informasjonssikring (SIS).
Nasjonal sikkerhetsmyndighet er tillagt sertifiseringsmyndigheten for IT-sikkerhet i produkter og systemer (SERTIT). SERTIT er en sertifiseringsordning for sikkerhet i IT-produkter og systemer, for eksempel en brannmur eller et operativsystem. SERTIT er basert på «Common Criteria» og tilhørende metodikk, som er en internasjonal standard for produkter og systemer. Formålet med sertifiseringen er å ha tillitt til at sikkerhetsmekanismene er implementert riktig i forhold til spesifikasjonene, slik at man kan avdekke eventuelle skjulte feil eller mangler.
Post og teletilsynet skal bistå Samferdselsdepartementet i planlegging og iverksetting av regulatoriske og operative tiltak innen området telesikkerhet og -beredskap. Post- og teletilsynet har med hjemmel i lov om elektronisk kommunikasjon fått et ansvar for å sette krav til sikkerhet og beredskap hos tilbydere av elektroniske kommunikasjonsnett og -tjenester, og for å føre tilsyn med at pålagte tiltak blir iverksatt. Post- og teletilsynet har blitt en viktig pådriver for samarbeid mellom tilbyderne, brukere og andre aktører på dette området, og arrangerer blant annet øvelser mellom tilbyderne. Tilsynet har også et ansvar for å følge utviklingen på Internett, herunder de utfordringene uønsket e-post og virus skaper. Det er blant annet etablert en ressursgruppe for Internettrelaterte spørsmål som blant annet diskuterer sikkerhet og Internett. Post- og teletilsynet og SIS har innledet en dialog om samarbeid om sikker bruk av PC og Internett herunder informasjon om SPAM.
Politiets datakrimsenter ble etablert i 2002 og offisielt åpnet i mai 2003. Senteret er foreløpig organisert under ØKOKRIM og er den sentrale enhet i politiet for etterforskning og påtale av datakriminalitet. Politiets datakrimsenter skal bistå nasjonale og utenlandske politi- og påtalemyndigheter, bidra til å heve kompetanse i politi- og påtalemyndighet, drive opplysningsvirksomhet, drive kriminaletterretning og utarbeide trusselvurderinger og være rådgivende organ for sentrale myndigheter. Datakrimsenteret vil fra 1.1.2005 inngå i et nytt særorgan i politiet, Den nasjonale enhet for bekjempelse av organisert kriminalitet og annen alvorlig kriminialitet.
8.2 Vurderinger og tiltak
Det eksisterer ingen koordinerende enhet for håndtering av koordinerte IT-angrep på samfunnskritiske funksjoner i Norge. Flere instanser har påpekt et behov for en slik enhet for å sikre effektiv håndtering av en krise der flere samfunnskritiske funksjoner blir angrepet samtidig. Etableringen av en slik enhet vil kunne knytte norske myndigheter til et internasjonalt miljø under oppbygging. Finland, Tyskland, England, Nederland, Belgia og Frankrike har etablert organer med lignende funksjoner. Samtidig er U.S. Department of Homeland Security i gang med å etablere et tilsvarende organ i USA. En slik enhet vil kunne styrke den nasjonale beredskapen mot IT-angrep gjennom å utvikle et system for koordinert respons og gjenoppretting, først og fremst innenfor virksomheter med samfunnskritiske funksjoner. En slik såkalt CERT (Computer emergency response center)/CIRC (Computer incident response center) vil ikke redusere ansvaret som tilligger den enkelte systemeier, men supplere den allerede eksisterende beredskap. Det vil bli vurdert om en slik enhet bør etableres og hvilken myndighet som eventuelt bør ha ansvaret for den.
Direktoratet for samfunnssikkerhet og beredskap og Nasjonal sikkerhetsmyndighet har i samarbeid igangsatt arbeidet knyttet til et tidsavgrenset forskningsprosjekt knyttet til sikkerhet og sårbarhet i nasjonalt viktige IKT-systemer. Forskningsprosjektet er en forlengelse av forskningsserien Beskyttelse av samfunnet (BAS) ved Forsvarets forskningsinstitutt (FFI).
St.meld. nr. 47 (2000–2001) om telesikkerhet og -beredskap i et telemarked med fri konkurranse, jf. Innst. S. nr. 329 (2000–2001), varsler flere tiltak som skal øke sikkerheten og beredskapen i telenettene. En ny prioriteringsordning i telenettene til erstatning for ordningen med viktig prioritert telefon (VPT) som ble nedlagt fra årsskiftet 2000/2001, er et av tiltakene som vurderes av Samferdselsdepartementet. En slik ny prioriteringsordning bør antakelig omfatte alle tilbydere av offentlig telefontjeneste både i fastnett og mobilnett. Det antas mest hensiktsmessig å starte arbeidet med en slik prioriteringsordning i mobilnettene. En slik ordning vil sikre at forhåndsdefinerte viktige abonnenter får prioritet i situasjoner der nettene eller deler av nettene er overbelastet. Et pilotprosjekt skal settes i gang i løpet av 2004.
Liberaliseringen og teknologiutviklingen i telesektoren skaper behov for nytt regelverk. I lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon settes det krav til tilbydere av elektroniske kommunikasjonsnett og -tjenester om sikkerhet og beredskap. Dette er krav som omhandler sikring av kommunikasjonen, sikring av trafikkdata, fysisk sikring og beredskapsplanlegging. Loven har også en bestemmelse som sikrer fortsatt levering av tjenester til brukere ved en konkurs.
Det arbeides med å etablere en samfunnsinfrastruktur for elektronisk signatur. Det legges til grunn at en slik infrastruktur må utvikles i samarbeid mellom offentlig og privat sektor. Målet om at Norge skal ha en allment tilgjengelig samfunnsinfrastruktur for elektronisk signatur, autentisering av kommunikasjonspartnere samt sikker overføring av sensitiv informasjon kan nås ved hjelp av digitale sertifikater og en infrastruktur for administrasjon av krypteringsnøkler (Public Key Infrastructure – PKI). Nærings- og handelsdepartementet samarbeider med Arbeids- og administrasjonsdepartementet og med private markedsaktører for å legge til rette for en slik infrastruktur til bruk i hele samfunnet.
Post- og teletilsynet er tilsynsorgan for utstedere av kvalifiserte sertifikater etter lov 15. juni 2001 nr. 81 om elektronisk signatur, forvaltet av Nærings- og handelsdepartementet.
Nasjonal sikkerhetsmyndighet har operativ rolle når det gjelder bruk av digitale sertifikater og PKI i graderte IT-systemer. Retningslinjer er gitt i NSMs veiledning for bruk av digitale sertifikater og PKI. Det ble utarbeidet en revidert versjon av veiledningen våren 2004. Slik teknologi kan også gjøres tilgjengelig for bruk av digitale sertifikater i andre IT-systemer hvor det er behov for mer sikkerhet enn det åpne kommersielle markedet kan levere.
Arbeids- og administrasjonsdepartementet forvalter forskriftene til personopplysningsloven og forskriften om elektronisk kommunikasjon med og i forvaltningen. AADs ansvarsområde er også knyttet til tverrgående spørsmål vedrørende IT i offentlig sektor. AAD vil gi anbefalinger om egnede sikkerhetsnivåer ved bruk av PKI i offentlig forvaltning. Slike anbefalinger vil ha betydning for kostnadsomfang og kvalitet ved valg av teknologi og sikkerhetssystemer.
Det er behov for sterk kryptering i mange sammenhenger innenfor elektronisk kommunikasjon. Bruk og utvikling av kryptoprodukter bør baseres på internasjonale standarder så langt det er mulig. Et kompetent fagmiljø på myndighetssiden og tett samarbeid med norsk krypteringsindustri er sentralt for å utvikle gode kryptoprodukter. Rammer for bruk og utvikling av kryptoprodukter er gitt i Norsk kryptopolitikk, utgitt av Nærings- og handelsdepartementet i 2001.