1 Utredninger vedrørende sårbarhet, sikkerhet og beredskap i telekommunikasjon
I1994 ble det besluttet å starte et samarbeidsprosjekt mellom Forsvarets forskningsinstitutt (FFI) og Direktoratet for sivilt beredskap (DSB) med bakgrunn i at den sivile beredskapssektor i vid forstand trengte et mer helhetlig grunnlag for ressursallokering og et bedre system for den langsiktige planlegging. Figur 1.1 i kapittel 1.1 er hentet fra dette forskningsprosjektet som konkluderte med at spesielt de tre funksjonene kraftforsyning, telekommunikasjon og ledelse/informasjon skiller seg ut som nødvendige for all samfunnsvirksomhet. Svikt innen en av disse funksjonene vil kunne medføre svikt i de fleste andre samfunnsfunksjoner. Dette er områder som ifølge FFI bør være gjenstand for økt satsing når det gjelder beredskap.
Prosjektet «Beskyttelse av samfunnet» (BAS) ble etterfulgt av nytt prosjekt med oppdrag å utrede sårbarhet og sårbarhetsreduserende tiltak innen telekommunikasjon. Dette prosjektet fikk betegnelsen BAS2 - «Beskyttelse av samfunnet 2», og ble gjennomført i perioden september 1997 - februar 1999. BAS2-prosjektet ble gjennomført etter oppdrag fra Justisdepartementet, Samferdselsdepartementet og DSB.
For å følge opp FFIs anbefalinger i BAS2-prosjektet, foreslo Totalforsvarets råd for sikring av tele- og informasjonssystemer (TRSTI), etter oppdrag fra Samferdselsdepartementet, at det burde nedsettes et nytt prosjekt som skulle bearbeide FFIs anbefalinger for å fremskaffe grunnlag for et stortingsfremlegg om telesikkerhet og -beredskap i et fritt konkurransemarked (forkortet til TIFKOM).
Beskyttelse av samfunnet 2 - Sårbarhetsreduserende tiltak innen telekommunikasjon (BAS2)
Som nevnt ovenfor har samfunnets avhengighet av velfungerende telekommunikasjoner dannet utgangspunkt for Forsvarets forskningsinstitutts (FFIs) analyse av sårbarhet og sårbarhetsreduserende tiltak innen området offentlig telekommunikasjon. FFI har i BAS2-prosjektet konkludert med at fremtidens samfunn i økende grad vil være avhengig av informasjonsformidling og teletjenester for å kunne fungere. Kommersiell og teknologisk utvikling vil samtidig, dersom den får gå upåvirket, føre til en svært høy grad av sårbarhet innen offentlig telekommunikasjon. FFI mener samfunnet og Totalforsvaret er altfor avhengige av telekommunikasjon til at en kan tillate at markedsutviklingen alene kan få legge premissene for sikkerheten i de offentlige nett. En forutsetning for en videreføring av totalforsvarskonseptet er å sikre kritisk informasjonsbehandling innen Totalforsvaret. Dette dreier seg både om tiltak for å sikre et solid fundament for offentlig telekommunikasjon, så vel som at brukerne innen Totalforsvaret gjennomfører ulike typer tiltak for å sikre sitt eget kritiske behov for informasjonsutveksling. FFI ga en anbefaling om strategi for robust telekommunikasjon, hvorpå brukerens ansvar for sikkerhet ble påpekt.
Et vesentlig element i FFIs anbefalte strategi for sikring av telenettene er satsning på mangfoldet mellom ulike teleoperatører for å redusere sårbarheten. BAS2-prosjektet anbefalte sikring av det offentlige telenettet fremfor i utstrakt grad å satse på tjenester fra alternative nett som Forsvarets nett (FDN) og mobil satellittkommunikasjon. De foreslåtte tiltakene dekker visse grunnleggende behov for Totalforsvaret, men er på ingen måte gode nok i situasjoner der samfunnet står overfor større menneskeskapte utfordringer. Strategien innebærer at avgjørende og vitale punkter i telenettet er fysisk beskyttet i fjellanlegg, og hvor hensynet til grunnsikkerhet er ivaretatt. Bl.a. er det foreslått samlokalisering i fjellanlegg, investering i transportabelt reservemateriell og sammenkoblingspunkter mellom de ulike operatørene nett. Strategien har en samlet kostnad på 750 mill. kr og er anbefalt gjennomført i løpet av en 5-årsperiode. FFI mener strategien vil representere en betydelig forbedring av sikkerheten i telenettet i forhold til i dag, og fremhever at en årlig kostnad på ca. 150 mill. kr i fem år ikke er særlig høy når en til sammenligning årlig bevilger rundt 25 mrd. kr til Forsvaret.
På lang sikt anbefaler imidlertid BAS2-prosjektet at det bør siktes mot å øke robustheten i telenettet ytterligere. FFIs langsiktige strategi går langt i å sikre infrastruktur mot fysiske og elektroniske våpenvirkninger, dog uten å anbefale full EMP-sikring av nettet. I tillegg inneholder denne strategien en anbefaling om innføring av prioritert tjenesteaksess for alle teleoperatører. Kostnadsrammen for den langsiktige strategien er 2,2 mrd. kr.
For å gjennomføre de strengt påkrevde offentlige inngrep i utviklingen av det sivile telemarkedet, trengs det politisk forståelse, både for telenettets sårbarhet og for samfunnets avhengighet av telekommunikasjon. FFI mener det også trengs et statlig organ med overordnet ansvar for sikkerhet innen norsk telekommunikasjon, som har kompetanse, myndighet og midler til å oppdatere, implementere og følge opp konkrete, langsiktige planer. Rask teknologisk utvikling og et samfunn i stadig endring krever et dynamisk organ som kan følge opp den løpende utviklingen og iverksette tiltak, dvs. bygge sårbarhetsreduserende tiltak inn i den videre utviklingen av telekommunikasjonssektoren.
BAS2-rapporten hadde hovedfokus rettet mot myndighetens ansvar for å sørge for at Totalforsvaret og samfunnet skal ha tilgang til et robust fundament for telekommunikasjon i et moderne telemarked. Utviklingen har imidlertid ført til at brukerens ansvar for å sikre seg robuste kommunikasjonsløsninger øker, ikke minst fordi det moderne telemarkedet gir brukeren nye valgmuligheter og at brukerutstyret er i ferd med å bli svært komplekst. Som konkrete eksempler på anvendelsesrettede tiltak fra brukernes side, nevner FFI at brukeren selv må sørge for tilstrekkelig nødstrømsforsyning til eget teleutstyr, som telesentraler, datanettkomponenter og annet terminalutstyr. Et annet eksempel er at en sørger for å ha alternative traséer for tilknytning til nærmeste telesentral, det vil si alternative aksessnettforbindelser.
FFI fremhever at stor avhengighet av teletjenester også i fremtiden vil være forbundet med en betydelig grad av risiko, selv med de tiltak som foreslås gjennomført. Det er derfor viktig at man ved utviklingen av organisasjoner minimerer risiko med hensyn til at en eller flere teletjenester kan falle bort i kortere eller lengre tidsrom. Det påpekes at det også er nødvendig å være forberedt på at en slik situasjon kan oppstå, og utvikle beredskapsplaner, alternative rutiner og gjennomføre øvelser.
Teleberedskap i fritt konkurransemarked (TIFKOM)
Samferdselsdepartementet har hatt som målsetting å bruke FFIs utredning som utgangspunkt og underlagsmateriale for å utarbeide en nasjonal strategi for telesikkerhet og -beredskap tilpasset et telemarked i fri konkurranse. For å følge opp FFIs anbefalinger, foreslo derfor Totalforsvarets råd for sikring av tele- og informasjonssystemer (TRSTI), etter oppdrag fra Samferdselsdepartementet, at det burde nedsettes et nytt prosjekt med oppdrag å bearbeide FFIs anbefalinger for å fremskaffe grunnlag for et stortingsfremlegg om telesikkerhet og -beredskap i et telemarked med fri konkurranse.
Det nye prosjektet fikk betegnelsen «Teleberedskap i fritt konkurransemarked» (TIFKOM) og ble opprettet i september 1999, med Post- og teletilsynet som prosjektansvarlig forvaltning. TIFKOM-prosjektet ble utført av en prosjektgruppe bestående hovedsakelig av eksterne konsulenter som har innhentet informasjon om telesikkerhet og -beredskap fra teleoperatørene og berørte statlige myndigheter. I tillegg ble en rekke europeiske land besøkt for å få ideer og forslag til å utvikle norske løsninger innenfor telesikkerhet og -beredskap, samt å fremskaffe sammenligningsgrunnlag for vurdering av de tiltak som foreslås. De landene som ble besøkt var Sverige, Danmark, Finland, Storbritannia, Nederland og Sveits. TIFKOM-prosjektets sluttrapport ble overlevert Samferdselsdepartementet 30. mars 2000, og ble umiddelbart sendt ut på bred høring til alle departementer, teleoperatører, Forsvaret og andre relevante myndigheter.
TIFKOM-rapporten gir innledningsvis en beskrivelse av samfunnets avhengighet av og behov for telekommunikasjon, samt sårbarhet og konsekvenser ved tap av telekommunikasjon. I likhet med BAS2-prosjektet konkluderer TIFKOM-prosjektet med at det er behov for tiltak for å styrke robustheten i de norske telenettene, og prosjektet gir bl.a. anbefaling om hvilket ambisjonsnivå en bør legge seg på for å sikre samfunnet den nødvendige robusthet i de samlede nasjonale telenett. Behovet for ekstra telesikkerhet og -beredskap utover det som finnes i telenettene i dag fremheves. TIFKOM-rapporten omhandler hvilke krav som må stilles til markedsaktørene i alminnelighet, og rapporten identifiserer også særlig behov for sikre telekommunikasjoner knyttet til såkalte prioriterte brukere innenfor Totalforsvaret, som har mer spesielle krav til telesikkerhet og -beredskap enn andre aktører. De konkrete forslagene fra TIFKOM-prosjektet blir omtalt nærmere og vurdert fra kapittel 5 i meldingen og utover.