11 Sårbarhet i Internett
Både brukere, leverandører og produsenter av informasjon, som TV, radio, aviser, biblioteker, skoler, offentlige institusjoner og bedrifter ønsker at informasjonstilbudet skal være lettest mulig tilgjengelig. Det er derfor en betydelig drivkraft hos informasjonsprodusenter og nettoperatører om å gi all informasjon en standardisert form, som lett lar seg transportere elektronisk over ulike typer nett og på en enkel måte være tilgjengelig på ulike typer brukerutstyr. Internett, på grunn av sin teknologi og betydelige utbredelse, ligger vel til rette for å fylle dette behovet.
I det arbeid som er gjort i regi av Forsvarets forskningsinstitutt og TIFKOM-prosjektet har det i liten grad vært foretatt vurderinger av Internett. Fokus har vært på den tradisjonelle telefontjenesten og infrastruktur i offentlig telekommunikasjon. Selv om den underliggende teleinfrastrukturen blir gjort mer robust kan likevel sårbarheten ved anvendelse av Internett fortsatt være stor. På denne bakgrunn har Samferdselsdepartementet i samarbeid med Post- og teletilsynet gitt konsulentfirmaet Scandpower i oppdrag å kartlegge nærmere situasjonen på dette området, samt å fremme forslag til sårbarhetsreduserende tiltak som spesielt bør rettes mot Internett.
11.1 Utviklingen i bruken av Internett
En kommunikasjonsprotokoll er et sett av regler som styrer kommunikasjonen mellom ulike enheter i et nett, og som bl.a. definerer grensesnittet mellom nettene og de tjenester nettene skal formidle. Det sentrale med Internett-protokollene er at de tillater overføring og integrering av mange ulike typer tjenester. Gjennom Internett-protokollene er det åpnet en mulighet for å bruke ett felles grensesnitt eller én protokoll for å overføre alle typer informasjon og tjenester. Samtidig vil alle typer underliggende infrastruktur kunne benyttes som overføringssamband. Internett-teknologien gjør det mulig å knytte sammen ulike typer fysiske nett og infrastrukturer i store sammenhengende infrastrukturer. Internett fremstår for brukerne som ett enhetlig nett, men er ingen egen fysisk infrastruktur. Internett er et tjenestenett som benytter ulike typer infrastruktur som opprinnelig ble bygget ut for andre tjenester (for en stor del teletjenester).
Internetts teknologiske grunnlag muliggjør på en enkel måte innføring av et utall tjenester. I det tradisjonelle telenettet som er beskrevet i kapittel 2 er det i dag ikke lagt til rette for tilsvarende muligheter. I løpet av forholdsvis kort tid har derfor Internett blitt en dominerende formidlingskanal for store deler av den digitale informasjonsoverføringen, og det er mye som tyder på at denne utviklingen vil fortsette.
Scandpower mener det må kunne antas at Internett i løpet av få år vil tilby mange av de samfunnskritiske tjenestene som teletjenestene i dag utfører. I hvilken grad disse tjenestene på Internett vil overta eller supplere tilsvarende tjenester i telenettet, er usikkert, men utviklingen vil mest sannsynlig medføre at Internett får økende betydning som kommunikasjonskanal for en rekke tjenester som i gitte situasjoner vil være av avgjørende betydning for å opprettholde samfunnsviktige funksjoner. Dette tilsier at samfunnet, ut fra risiko- og sårbarhetshensyn, har et behov for å arbeide systematisk med sikte på å øke Internetts robusthet mot alvorlige tekniske feil, fysisk sabotasje og - ikke minst - logiske angrep fra stater eller organisasjoner med tilgang til etterretningsinformasjon, kunnskap og teknologi, jf. kapittel 3.1.3.
Nedenfor er det gitt noen illustrerende eksempler på hva man i fremtiden kan forvente av Internett-baserte anvendelser, fordelt på typiske «asynkrone» tjenester, dvs. tjenester som kan tolerere en viss forsinkelse i overføringskjeden, og «synkrone» tjenester, som er mer kritiske med hensyn til forsinkelser.
Typiske asynkrone anvendelser:
Store deler av betalingstransaksjonene skjer via Internett (denne utviklingen er allerede i dag et faktum). Pris og overføringssikkerhet vil avgjøre om Internett overtar også de betalingstransaksjoner som i dag går over telenettene (f.eks. fra betalingsterminaler i forretninger).
I enkelte bransjer er Internett-handel dominerende. Dette gjelder bl.a. aksjehandel (allerede i dag er størstedelen av aksjehandelen fra privatpersoner og mindre bedrifter Internett-basert) og store deler av engroshandelen, samt handel med standardiserte varer som bøker, musikk osv.
Mange virksomheter, både private og offentlige, baserer store deler av sin informasjonsinnhenting og -distribusjon på Internett (denne utviklingen er allerede i dag et faktum).
En stor del av den interne databehandlingen i både privat og offentlig sektor er satt bort til et lite antall store EDB-sentra. Internett er et viktig kommunikasjonsmiddel mellom de ansatte og dataanlegget.
Logistikksystemer (for eksempel styring av reservedeler) vil i stor grad være Internett-baserte.
Enkleste måte å få tilgang til komplett og utfyllende offentlig informasjon er via Internett.
Overvåking og styring av et stigende antall tekniske anlegg og innretninger vil skje via Internett.
Bedrifter, organisasjoner og enkeltstudenter benytter i økende grad nettbaserte opplærings- og studietilbud. E-læring vil stadig mer inngå som del av det ordinære tilbudet ved offentlige og private utdanningsinstitusjoner.
Typiske synkrone tjenester:
Flere aktører tilbyr telefontjenester over Internett. Drivkrefter i dette vil være muligheten for samtidig overføring av tale og data (dokumenter, bilder, tegninger osv.), enkel oppsetting av nettmøter og kanskje også den antatt lavere prisen som brukeren må betale.
Overføring av video og andre kringkastingstjenester. For slike anvendelser vil man også se at Internett brukes til bestilling og kommunikasjon fra brukerne til informasjonsleverandørene, mens «returoverføring» av video, bilder, lyd og lignende kan gjøres over andre etablerte bredbåndsnett.
Figur 11.1 illustrerer utviklingen av trafikkvolumet i Internett og i det tradisjonelle telenettet. I Internett forventes en fortsatt dobling av trafikk hver 6. til 12. måned, mens volumveksten i telenettet vil avta og enten stoppe opp (a), eller gå ned (b). Krysningspunktet mellom trafikkvolumet i det tradisjonelle telenettet og Internett er i 2000-2001. Scandpower har her trukket to konklusjoner. Den ene er at den samfunnsmessige betydningen av Internett vil øke betraktelig i forhold til bruk av standard telefon. Dette vil selvsagt ha en bremsende effekt på utviklingen av det tradisjonelle telenettet. Om trafikkvolumet her vil avta etter hvert, vil avhenge av om Internett - i global skala - kan demonstrere sin brukbarhet også for telefontjenester.
11.2 Sårbarhetsreduserende tiltak for Internett
Den teknologi som Internett er basert på, gir i utgangspunktet et robust nett i forhold til de fleste typer fysiske trusler. Internett-teknologi med pakkesvitsjing skal i teorien motvirke alvorlige konsekvenser av tekniske feil, uhell, fysisk sabotasje e.l. Denne robustheten er imidlertid avhengig av at de mulighetene som Internett-teknologien gir blir bevisst utnyttet av Internett-operatørene. Dette gjelder spesielt med hensyn til å planlegge de fysiske transmisjonsveiene slik at enkeltfeil ikke slår ut alle forbindelser mellom rutere i Internett. Dersom Internett-operatørene ikke er bevisste på dette området, er Internett like sårbart som det tradisjonelle telenettet når det gjelder kabelbrudd e.l. i alle deler av nettene.
Internett må anses som sårbart overfor logiske anslag. I og med at signalerings- og driftsfunksjoner i prinsippet er åpent tilgjengelige for alle brukere og Internett-operatører, vil det kunne tenkes situasjoner hvor en kompetent organisasjon kan manipulere disse nettfunksjonene, og derigjennom skape betydelige forstyrrelser i nettet. Et annet sårbarhetselement er anslag mot de ende-til-ende tjenester som tilbys gjennom Internett, f.eks. finanstransaksjoner og informasjonssystemer. I utgangspunktet er det brukernes ansvar å sikre slike tjenester ved hjelp av kryptering e.l., men også på dette området er det lett å se scenarier hvor samfunnets stabilitet kan settes i fare, f.eks. ved en alvorlig inntrenging og manipulering med betalingsformidling eller bankkonti, eller såkalte oversvømmelsesangrep mot databaser og informasjonssystemer.
I Norge har det frem til sommeren 2000 vært bare ett sammenkoblingspunkt mellom de ulike Internett-operatørene. Dette sammenkoblingspunktet har vært drevet av Universitetet i Oslos sentrale IT-avdeling. Dette punktet, «Norwegian Internet eXchange» (NIX), kobler sammen ca. 30 uavhengige Internett-operatører. Driftsstabiliteten til selve utstyret har vært svært god, men NIXen er et sårbart punkt dersom tilhørende kabler (transportsystemer) skades. Avdelingen som driver NIXen tok derfor initiativet til installasjon av nok en NIX i Oslo, kalt NIX2. Dette har i betydelig grad økt tilgjengeligheten og gjort det totale norske Internett mindre sårbart for kabelbrudd og liknende.
11.2.1 Forslag til sårbarhetsreduserende tiltak
Internett er en teleinfrastruktur som reguleres av teleloven, og er dermed Samferdselsdepartementets ansvarsområde. I tillegg har Nærings- og handelsdepartementet interesser i dette området. Det er så langt lagt til grunn at tjenestetilbyderne selv skal være sentrale i ordninger for administrasjon og drift av infrastrukturen som benyttes ved tjenester på Internett.
Det har ikke vært foretatt en samlet gjennomgang og vurdering av på hvilken måte telelovgivningen får anvendelse på Internett. Som en del av det pågående arbeidet med regelverksgjennomgang på teleområdet vil det imidlertid bli vurdert om det er områder innen Internett der det kan være behov for å sikre samfunnsmessige interesser via lovregulering, eventuelt om det er mer hensiktsmessig med andre former for regulering. Samferdselsdepartementet vil starte planleggingen av en utredning som vil ha som hensikt å skaffe bedre oversikt over Internett-markedet.
Etter hvert som Internett også tilbyr samfunnskritiske tjenester, vil det bli et økende behov for at statlige myndigheter regulerer og overvåker viktige funksjoner i Internett. Nedenfor følger en gjennomgang av eksempler på områder der det i fremtiden kan være aktuelt for en statlig regulatør å gripe inn.
Det har vist seg å være vanskelig å skaffe oversikt over hvem som tilbyr Internett-baserte overføringstjenester, dvs. de Internett-operatørene som tilbyr nett-tilknytning, signaloverføring og grunnleggende tjenester som e-post, web, filoverføring osv. Det bør derfor finnes en oversikt over Internett-tilbydere.
I dag går all Internett-trafikk i Norge via to nasjonale sammenkoblingspunkter (NIX og NIX2). Dette er svært sårbare punkter for Internett-trafikken i Norge, ved at svikt her kan medføre store problemer for trafikkavviklingen mellom de ulike Internett-operatørene. Geografisk plassering, eierskap, fysisk og logisk sikring av NIXene er viktige faktorer i en nasjonal sårbarhetsstrategi for Internett.
Dersom viktige samfunnsinstitusjoner som alarmsentraler, sykehus, politi, statlige etater etc. overfører større deler av sin kommunikasjon med omverdenen til Internett, vil det bli behov for å bevisst velge Internett-operatører med tilstrekkelig robusthet i nettet. Det vil i denne forbindelse være behov for retningslinjer og rådgivning med hensyn til det minimumsnivå for sikkerhet som en Internett-operatør må oppvise for å kunne ha ulike kritiske samfunnsinstitusjoner som abonnenter.
Antall alternative transmisjonsveier mellom noder og nett, og hvordan disse veiene rutes i transmisjonsnettet, er av avgjørende betydning for Internetts sårbarhet. Denne problemstillingen har store likhetstrekk med tilsvarende sårbarhetsaspekter i tradisjonelle teletjenester.
Etter hvert som antall Internett-operatører øker, vil det bli behov for retningsgivende standardavtaler mellom operatørene, for å sikre problemfri samtrafikk, forsvarlig kvalitet og kapasitet, samt like konkurransevilkår.
11.3 Samferdselsdepartementets vurderinger
Dersom Scandpower får rett i sin antagelse om at Internett i løpet av få år vil tilby mange av de samfunnskritiske tjenestene som de tradisjonelle teletjenestene i dag utfører, vil det være behov for å iverksette særskilte sikringstiltak for Internett tilsvarende det man i dag gjør i telesektoren for øvrig. Post- og teletilsynet må derfor overvåke utviklingen i bruken av Internett og fortløpende vurdere behovet for å implementere sikkerhets- og beredskapstiltak.