Kronikk
– En felles situasjonsforståelse gir bedre sikkerhet
I det digitale universet vi lever i vil vi møte sikkerhetsutfordringer vi ikke kan håndtere alene, skriver Hedda Bryn Langemyr og Birgitte Førsund.
Denne artikkelen er over fire år gammel og kan inneholde utdatert informasjon.
De siste ukene har flere norske virksomheter, så vel som Stortinget, vært rammet av digitale angrep. Etterretningssjef Morten Haga Lunde sier til NRK at vi kan forvente mer, spesielt knyttet til neste års stortingsvalg. Så – er vi godt nok beredt?
Vi befinner oss i et race av digitalisering, transformasjon og innovasjon som samtidig skal sikres mot cybertrusler fra organiserte kriminelle, fiendtlige stater og fra inngripen fra store multinasjonale selskaper som for eksempel Apple, Amazon og Google. Skal vi takle de nasjonale sikkerhetsutfordringene fremover og være med å påvirke sikkerhetsutviklingen i det digitale rom via internasjonale arenaer, trenger vi mer åpenhet, tillit og sterkere samvirke mellom sektorer i Norge.
Høstens nasjonale sikkerhetsfokus
Denne høsten er preget av et tydelig fokus på «sikkerhet, samarbeid og øvelse». Det kommer en ny samfunnssikkerhetsmelding, ny langtidsplan for Forsvaret skal presenteres, og regjeringen legger frem en ny melding om nordområdene. I tillegg skal «Øvelse Digital 2020» gjennomføres med fokus på det nye totalforsvaret, og i oktober er det Nasjonal sikkerhetsmåned med fokus på forebyggende digital sikkerhet.
Les også: Rekrutter vil ha tydeligere føringer for sosiale medier
Alt dette skal alene og samlet bidra til et mer robust og sikkert Norge – spesielt i det digitale rom.
I hvilken grad har de nevnte tiltakene utgangspunkt i et felles trusselbilde og situasjonsforståelse? Kunne man fått alle relevante sikkerhetsaktører på tvers av sektorer til å stå samlet bak en åpen trusselvurdering?
Sektorprinsippet
I hovedtrekk er Norge organisert etter sektorprinsippet med eksempelvis Computer Emergency Response Team (CERT) for kraft, helse, finans og kommune. I tillegg er utvalgte aktører eksempelvis underlagt Sikkerhetsloven, Beredskapsloven og GDPR (General Data Protection Regulation, red. anm.). At det er ulike sektorer betyr også at det er ulike bransjer med ulik grad av modenhet og forskjellige krav til sikkerhet.
Internasjonalt sikkerhetssamarbeid i denne konteksten handler ikke bare om å forebygge og bidra til å sikre vår tilstedeværelse i det digitale rom.
Sektorprinsippet med egne CERTer dekker imidlertid ikke alle norske virksomheter. I Norge står små og mellomstore bedrifter for mye av den digitale infrastrukturen Norge er avhengig av. Næringslivet er derfor definert som en viktig bidragsyter til det nye totalforsvaret. Til tross for dette, har små og mellomstore bedrifter i Norge ingen samlende CERT å forholde seg til. Få har mulighet til å drive egen etterretning og de er avhengige av egen evne til å håndtere trusselbildet, samt finne ut av hvilke nye nasjonale sikkerhetssentre de skal forholde seg til. Her er det mange aktører å ta av: Nasjonalt cybersikkerhetssenter (NCSC), Nasjonalt cyberkrimsenter (NC3), Felles cyberkoordineringssenter (FKCS) og Norwegian Computer Emergency Response Team (NorCERT). I tillegg til NSM, PST, E-tjenesten og DSB som alle utgir hver sine åpne trusselvurderinger.
Dermed blir også definisjoner av hva som er et sikkerhetsbrudd/hendelse, hvordan det rapporteres, anmeldes, og potensielle konsekvenser av slike sikkerhetsbrudd/hendelser, således uklare og ikke nødvendigvis lik for alle.
Les også: Spørsmålet er om Nato kommer til å være i live om 70 år, skriver Hedda Bryn Langemyr.
Dette medfører at en samlet rapportering og det å få et samlet situasjonsbilde av sikkerheten for AS Norge blir utfordrende.
Sikkerhetsbudd og samarbeid
Hvordan påvirker dette det internasjonale sikkerhetssamarbeidet vi er avhengige av?
Internasjonalt sikkerhetssamarbeid i denne konteksten handler ikke bare om å forebygge og bidra til å sikre vår tilstedeværelse i det digitale rom. Det er også knyttet til arbeidet for å bidra til et felles internasjonalt eller europeisk rammeverk i det digitale rom. Spesielt i henhold til rammer og definisjoner på sikkerhetshendelser/brudd i det digitale rom (utilsiktet eller tilsiktet), og hvilke straffeutmålinger og respons som skal gis fra nasjonene som står bak samarbeidet. Det vil også bidra til å standardisere hvordan man rapporterer sikkerhetsbrudd nasjonalt og fordrer dermed et godt samarbeid mellom sikkerhetsaktørene i Norge.
Målet er å etablere et sikkert, forent system som oppfyller de høyeste standardene for digital suverenitet som skal sikre medlemmenes innovasjon og verdier.
Norge er medlem av Nato og av det internasjonale senteret Cooperative Cyber Defence Centre of Excellence som er akkreditert av Nato og holder til i Tallinn i Estland. I tillegg sitter Norge fra 2021 i FNs sikkerhetsråd og samarbeider med EU/ENISA i henhold til Cybersecurity Act. Norge har derfor mulighet til å bidra slik at eksempelvis EU og Nato kan utvikle felles løsninger for medlemslandene med hensyn til definisjoner og rammer/lovverk, og samlet fatte beslutninger som er av sikkerhetspolitisk betydning for å beskytte vårt felles «e-demokrati». Vi forholder oss nemlig ikke bare til nasjoner og internasjonale organisasjoner. Vi må også forholde oss til store private aktører som Facebook, Google og Apple, der sistnevnte har en økonomi som er større enn hva flere andre land kan vise til.
I startfasen
Eksempler på sikkerhetssamarbeid i Europa er GAIA-X, som kan få betydning for Norge.
Les også: Polariseringen som ødelegger
Med GAIA-X oppretter tyske og franske representanter fra politikk, næringsliv og vitenskap en datainfrastruktur for Europa. Målet er å etablere et sikkert, forent system som oppfyller de høyeste standardene for digital suverenitet som skal sikre medlemmenes innovasjon og verdier. Dette prosjektet er i startfasen og følges tett av flere nasjoner og organisasjoner i Europa. Norge kan påvirke det pågående internasjonale samarbeidet om vår digitale fremtid og sikkerhet via eksempelvis nevnte internasjonale arenaer og organisasjoner. Norge har også en lang diplomatisk tradisjon med erfaring som kan brukes aktivt til erfaringsdeling fra et av verdens mest digitaliserte land.
Sivilt og militært samarbeid
I nasjonal strategi for digital sikkerhet som ble lansert i fjor, understrekes viktigheten av internasjonalt og sivil-militært samarbeid. Det er også en anerkjennelse av at vi har felles utfordringer og at vi må søke sammen for å finne gode løsninger. Som forsker ved NUPI Karsten Friis påpeker i sitt bidrag til boken «Strategisk ledelse i krise og krig» fra 2020, kan det virke samlende og oppklarende om NSM, PST, DSB og E-tjenesten formidlet en samlende åpen trusselvurdering.
I det digitale universet vi lever i vil vi møte på mange sikkerhetsutfordringer fremover...
Det ville kunne bidra til økt forståelse og bevisstgjøring, samt gjøre det lettere for alle berørte å navigere og forholde seg til «sikkerhets – Norges» organisering. Dess flinkere vi blir på å samarbeide om sikkerhet nasjonalt, dess mer robust blir vi som nasjon. I tillegg vil det kunne styrke oss på de viktige internasjonale arenaene hvor det pågår arbeid for å sikre både nasjoner, organisasjoner, næringsliv, akademia og borgere. I det digitale universet vi lever i vil vi møte på mange sikkerhetsutfordringer fremover som vi ikke har stått overfor tidligere, og som vi ikke kan håndtere alene.