5 Organisering av arbeidet med telesikkerhet og -beredskap
5.1 Tilknytning, oppgaver og bemanning
Uansett hvilket nivå som velges for sikkerhet og beredskap i telenettene så vil myndighetene måtte tillegges omfattende oppgaver på området. I regjeringens fornyelsesprogram for offentlig sektor er det uttrykt en klar målsetting om å begrense/redusere antallet tilsynsenheter i statsforvaltningen. På teleområdet finnes det gjennom Post- og teletilsynet allerede et spesialisert tilsynsorgan som naturlig også bør få ansvaret for telesikkerhet og -beredskap.
På denne bakgrunn har Samferdselsdepartementet besluttet å delegere et særskilt myndighetsansvar for telesikkerhet og -beredskap til Post- og teletilsynet med følgende ansvarsområder:
Sette krav til telesikkerhet og teleberedskap, og vurdere investeringer i tiltak for å øke robustheten i telenettene, f.eks. investeringer for å øke omrutingsmulighetene i telenettene, etablering av sikrede samlokaliseringssentra som flere operatører gis tilgang til, samt investeringer for å styrke telenettenes reparasjonsbehov og rehabiliteringsevne.
Føre tilsyn med at pålagte tiltak blir iverksatt.
Bevisstgjøring, kompetanseheving og veiledning overfor operatører, brukere og andre aktører (kurs, seminarer, bedriftsbesøk, etablering av kompetansefora etc.).
Arrangere samøvelser og utvikle samarbeid mellom teleoperatørene.
Det vil være naturlig og ønskelig å integrere sikkerhets- og beredskapsarbeidet i den øvrige forvaltningen av telesektoren. Ved å legge også myndighetsansvaret for telesikkerhet og -beredskap til Post- og teletilsynet får teleoperatørene ett felles kontaktpunkt mot myndighetene. I Post- og teletilsynet vil det dessuten være god tilgang på relevant fagkompetanse. Dette er for øvrig i tråd med tilbakemeldingene fra høringen av TIFKOM-prosjektets sluttrapport.
Arbeidet med telesikkerhet og -beredskap må innplasseres i eksisterende organisasjon slik at det ikke oppstår noe motsetningsforhold/habilitetsproblematikk i forhold til andre arbeidsoppgaver.
Samferdselsdepartementet regner med at man for å få et kompetent sikkerhets- og beredskapsmiljø i Post- og teletilsynet bør ha en bemanning på minimum 4-7 personer. Bemanningsstørrelsen må tilpasses ambisjonsnivået for funksjonen, og departementet mener det bør være en gradvis og forsiktig oppbygging av dette feltet. Dessuten må det foretas en nøye avveining mellom den kompetanse tilsynet selv må ha og den kompetanse man kan kjøpe utenfra i tilknytning til de enkelte prosjekter. Beregninger viser at det vil koste i størrelsesorden 5-10 mill. kr å utføre de nye oppgavene i Post- og teletilsynet det første året med en bemanning på 4 personer. Av dette er 3,2 mill. kr rene etableringskostnader.
5.2 Finansiering av virksomheten
Med hjemmel i teleloven § 10-1 har Samferdselsdepartementet (jf. funksjonsfordelingsforskriften) fastsatt forskrift om gebyr til inntekt for Post- og teletilsynets virksomhet. Post- og teletilsynet kan ta inn gebyr for konsesjoner, tillatelser, tildelinger, for kostnader til planleggings-, registrerings-, standardiserings-, tilsyns- og annen forvaltningsvirksomhet i medhold av loven.
Sikring av telenett utføres med hjemmel i teleloven § 7-7. Det må antas at sikkerhetsrelatert virksomhet i hovedsak er å betrakte som «andre forvaltningstjenester», dvs. «annen forvaltningsvirksomhet», fordi sikkerhet inngår som en del av den tradisjonelle forvaltningen. Dette må være utgangspunktet så langt sikkerhetsvirksomheten er å betrakte som offentligrettslig virksomhet. Driftskostnader som påløper som følge av oppgaver relatert til telesikkerhet og -beredskap kan dermed finansieres ved gebyrer fra teleoperatørene.
Når det gjelder de øvrige tiltakene i telesikkerhet og -beredskap vil det bli nødvendig å vurdere alternative modeller for finansiering. Finansiering av konkrete tiltak vil kunne skje gjennom gebyrer, avgifter, egenfinansiering (operatørfinansiering), kundefinansiering eller bevilgninger over statsbudsjettet, jf. kapittel 12. Valg av finansieringsmåte vil avhenge av type tiltak og må derfor avgjøres konkret i forbindelse med beslutning om implementering av det enkelte tiltak. Det er viktig at det ved vurderingen sikres at finansieringen ikke gir utilsiktede konkurransevridninger.
5.3 Forholdet mellom Post- og teletilsynet og andre organer
Som ansvarlig for arbeidet med sikkerhet og beredskap i telesektoren vil Post- og teletilsynet måtte forholde seg til en rekke andre organisasjoner og enheter som har oppgaver relatert til sikkerhet og beredskap. Nedenfor følger en kort gjennomgang av tilsynets forhold til Totalforsvarets råd for sikring av tele- og informasjonssystemer (TRSTI) og to andre organisasjoner som er under planlegging, Nasjonal sikkerhetsmyndighet (NSM) og Senter for informasjonssikring.
5.3.1 Totalforsvarets råd for sikring av tele- og informasjonssystemer (TRSTI)
På beredskapssiden er det allerede skjedd enkelte endringer som følge av den endrede markedssituasjonen i telesektoren ved at den tidligere Totalforsvarets sambandsnemnd (TSBN), som ble ledet av Telenor, ble erstattet av et nytt råd fra 1. mars 1998. I likhet med TSBN skal også det nye rådet, Totalforsvarets råd for sikring av tele- og informasjonssystemer (TRSTI), gi råd til Samferdselsdepartementet i sikkerhets- og beredskapsspørsmål. I tillegg til at rådets ledelse og sekretariat er flyttet fra Telenor til Post- og teletilsynet, er representasjonen i det nye rådet bedre tilpasset den nye markedssituasjonen ved at ElTele Øst, Tele2, Enitel og NetCom er representert i tillegg til Telenor. Ved siden av de sivile nettoperatørene har TRSTI representanter fra ulike enheter i Forsvaret, Direktoratet for sivilt beredskap (DSB) samt sektorene kringkasting, luftfart, og bank- og finans. Samferdselsdepartementet deltar i rådet som observatør.
I rådets instruks heter det bl.a. at TRSTI skal utrede og foreslå forebyggende og skadebøtende tiltak basert på trusselbildet og risiko- og sårbarhetsvurderinger. Rådet skal innenfor rammen av gjeldende beredskaps-, tele-, data- og kringkastingslovgivning på eget initiativ og på forespørsel bl.a.:
Utarbeide forslag til generelle sikrings- og beredskapskrav som bør stilles til nettutbyggere.
Utarbeide forslag til policy og retningslinjer for prioritert bruk av tele- og informasjonssystemer/-tjenester innenfor Totalforsvaret, herunder komme med forslag til retningslinjer og policy for tilknytning og drift av slike systemer.
Utarbeide forslag til tiltak for å sikre tilgjengelighet til prioriterte tele- og informasjonssystemer i Totalforsvaret.
Gi bidrag til utarbeidelsen av langtidsplaner innenfor det sivile beredskap innen tele- og informasjonssektoren som er koordinert med aktuelle sikringstiltak i Forsvarets langtidsplanlegging.
Foreslå beredskapstiltak innenfor sivile og militære tele- og informasjonssystemer med anslag over tiltakenes kostnad og forslag til prioritering innenfor gitte budsjettrammer. Forholdet mellom militære og sivile systemers bruksområder, herunder utnyttelse av Forsvarets sambandsnett for den sivile del av Totalforsvaret, belyses særskilt.
Behandle saker om og gi høringsuttalelser til forslag til beredskapsrelaterte bestemmelser (i lov, forskrift eller konsesjonsdokument) rettet mot ulike operatører/aktører innenfor tele- og informasjonssektoren.
Gi råd om nasjonal iverksetting av tiltak i samsvar med forslag fra den sivile kommunikasjonskomiteén i NATO.
Foreslå utredning av viktige problemstillinger innenfor rådets virkefelt, herunder forskningsprosjekter.
Til støtte for rådets arbeid er det etablert en egen permanent arbeidsgruppe. Også denne gruppen har ledelse og sekretariat fra Post- og teletilsynet.
I høringsuttalelsene i forbindelse med TIFKOM-prosjektet kom det bl.a. forslag om å opprette en ressursgruppe med representanter fra sivile myndigheter, Forsvaret og teleoperatørene. Samferdselsdepartementet mener en slik ressursgruppe allerede finnes i form av TRSTI. Samferdselsdepartementet mener TRSTI bør bli en viktig medspiller som rådgivende organ også for Post- og teletilsynet. Bl.a. vil Post- og teletilsynet gjennom TRSTI ha et egnet forum for å få i stand tett samarbeid med telebransjen ved utredning og implementering av tiltak.
5.3.2 Forholdet til Nasjonal sikkerhetsmyndighet (NSM)
Ansvarsfordelingen mellom Post- og teletilsynet og det myndighetsorgan som etter sikkerhetsloven skal utøve oppgaven som Nasjonal sikkerhetsmyndighet (NSM) er nærmere utredet i samarbeid med Forsvarsdepartementet.
I sikkerhetsloven § 8 heter det at Nasjonal sikkerhetsmyndighet (NSM) skal koordinere de forebyggende sikkerhetstiltak og kontrollere sikkerhetstilstanden. NSM er også utøvende organ i forholdet til andre land og internasjonale organisasjoner. NSM har koordinerings- og kontrollansvaret, i praksis fagmyndighetsansvaret, for alle forebyggende sikkerhetstiltak som skal motvirke spionasje, sabotasje og terrorhandlinger som kan tenkes å skade rikets sikkerhet eller vitale nasjonale sikkerhetsinteresser. Dette fagmyndighetsansvaret har tverrsektoriell gjennomslagskraft i offentlig forvaltning og de deler av næringslivet som omfattes av loven. Fagmyndighetsansvaret vil derfor også gjelde innen telesektoren, men avgrenset til de deler som genererer eller behandler skjermingsverdig informasjon eller som råder over infrastruktur (skjermingsverdige objekter) som kan utsettes for sabotasje eller terrorhandlinger.
Post- og teletilsynet bør, avgrenset til telesektoren, ha som oppgave å utvikle løsninger for å kontrollere at de prosedyremessige eller tekniske sikkerhetstiltak som foreskrives i sikkerhetslov med forskrifter, ses i sammenheng med andre sikkerhetsmessige krav som stilles. Disse må på en koordinert måte ivaretas i sektoren. Post- og teletilsynet bør som en konsekvens av dette gi nødvendige råd og skriftlige veiledninger, eller om det foreligger behov og juridisk hjemmel, instrukser innen telesektoren. Post- og teletilsynet bør videre søke å identifisere sikkerhetsbehov innen telesektoren, som ikke er dekket av andre regelsett og tekniske løsninger, og fremme forslag til hvordan slike risikoer bør reduseres.
Forsvarsdepartementet har uttalt at etablering av et organ med spesielt ansvar for telesikkerhet og -beredskap vil bidra vesentlig innen dette felt i samfunnet generelt og i Totalforsvaret spesielt. Særlig er det viktig å få etablert en organisasjon som kan koordinere mellom det store antall teleoperatører i markedet og brukere med behov for tjenester med mer sikkerhet og beredskap enn det som det allmenne telenettet kan levere.
For øvrig er det i St.prp. nr. 45 (2000-2001) Omlegging av Forsvaret i perioden 2002-2005 foreslått at NSM etableres som et eget direktorat direkte underlagt Forsvarsdepartementet. Direktoratet vil benevnes Direktoratet for forebyggende sikkerhet.
5.3.3 Forholdet til et planlagt Senter for informasjonssikring
Det regjeringsoppnevnte Sårbarhetsutvalget har i sin utredning bl.a. foreslått at det bør etableres et Senter for informasjonssikring som bør ha som oppgave å koordinere deler av innsatsen for å styrke IKT-sikkerheten og bidra til en mer robust IKT-infrastruktur. Senter for informasjonssikring skal være et ressurs- og kompetansesenter for offentlige og private aktører. Det er foreslått at Senter for informasjonssikring bl.a. skal være det koordinerende og operative meldings- og håndteringssenter for sikkerhetsbrudd i norske nettverk innen næringsliv, statsforvaltning, utdanning, forskning og forsvar, og bidra til at sikkerhetsbrudd håndteres effektivt på tvers av sektorer og organisatoriske skiller. Senteret skal ikke ha myndighetsoppgaver.
Sårbarhetsutvalget har anbefalt at senteret i første omgang konsentrerer seg om et sett av kjerneoppgaver. Aktivitetsnivået kan deretter økes i løpet av en innkjøringsfase og vurderes løpende i forhold til brukernes behov. Utvalget ser det som en krevende oppgave å få etablert partnerskapet og den nødvendige tillit mellom aktørene. Det er fremhevet som viktig at senteret ikke dupliserer eksisterende aktiviteter.
For å komme raskt i gang er det våren 2001 igangsatt et forprosjekt av Nærings- og handelsdepartementet med deltakelse fra flere departementer. Forprosjektet skal bl.a. avklare forhold omkring formålet med et slikt senter, arbeidsoppgaver, organisering, lokalisering/tilknytning samt økonomiske og administrative konsekvenser forbundet med etableringen av et Senter for informasjonssikring. Det legges opp til at regjeringen vil komme tilbake til dette.
Mens Post- og teletilsynet er et sektorspesifikt forvaltningsorgan med ansvar for å ivareta bl.a. sikkerhets- og beredskapstiltak i telesektoren, er Senter for informasjonssikring tenkt å skulle omfatte flere samfunnssektorer, der telesektoren vil være én av mange sektorer som bør være deltaker. Slik Samferdselsdepartementet ser det er det derfor ingen konflikt mellom Post- og teletilsynet og Senter for informasjonssikring ettersom de to enhetene vil ha ulike roller. Ansvarsområdene til de to enhetene vil imidlertid være nært beslektet, og det blir derfor viktig å få til et godt samarbeid mellom de to enhetene. På den måten kan man trekke veksler på den kunnskap som finnes og det arbeid som utføres i den enkelte enhet.
5.4 Samferdselsdepartementets konklusjon
Samferdselsdepartementet vil utvide Post- og teletilsynets myndighetsansvar til å omfatte også oppgaver i tilknytning til telesikkerhet og teleberedskap. Disse oppgavene må innplasseres i eksisterende organisasjon slik at det ikke oppstår noe motsetningsforhold/habilitetsproblematikk i forhold til andre arbeidsoppgaver.
Samferdselsdepartementet regner med at man for å få et kompetent sikkerhets- og beredskapsmiljø i Post- og teletilsynet bør ha en bemanning på 4-7 personer. Beregninger viser at det vil koste i størrelsesorden 5-10 mill. kr å utføre de nye oppgavene i Post- og teletilsynet første år, med en bemanning på 4 personer. Av dette er 3,2 mill. kr rene etableringskostnader. Samferdselsdepartementet går inn for at etableringskostnadene dekkes over Samferdselsdepartementets beredskapskapittel i statsbudsjettet, mens drift finansieres ved gebyrer fra teleoperatørene, på lik linje med Post- og teletilsynets øvrige virksomhet.
Når det gjelder investeringer i konkrete tiltak, vil det bli nødvendig å vurdere alternative modeller for finansiering. Finansiering vil kunne skje gjennom gebyrer, avgifter, egenfinansiering (operatørfinansiering), kundefinansiering eller bevilgninger over statsbudsjettet, jf. kapittel 12. Det er viktig at det ved vurderingen sikres at finansieringen ikke gir utilsiktede konkurransevridninger.