KRONIKK: I den inneværende langtidsplanen for Forsvaret erkjente Regjeringen at kybertrusselen er den raskest fremvoksende trusselen i vår tid. Jeg kunne ikke vært mer enig. Jeg vil også føye til at trusselen innenfor kyberdomenet er en av de få truslene som vi står overfor som utvikler seg raskere enn vår evne til å beskytte oss.
For å si det i klartekst – det blir stadig mer farlig for hver dag som går.
Mange har perspektiver rundt kybertrusselen. I nyere tid, etter påstandene fra Edward Snowden, trekker mange paralleller mellom kybertrusselen og at nasjonalstater kan lese e-posten din eller se hvem du er venn med på Facebook.
Jeg tror det er på tide at vi hever blikket og erkjenner hva som egentlig ligger i denne nye trusselen. For å sitere Morten Irgens, som er i ferd med å etablere Nord-Europas største kompetansesenter for kyber- og informasjonssikkerhet tilknyttet Høgskolen i Gjøvik: Det norske samfunnet er gjennomsyret av IKT, og alt som er bygget på IKT og datamaskiner er potensielt sårbart. Han trekker frem forhold som spenner fra pacemakere, pasientarkiver på sykehus, oljeplattformer, fjernstyringssystemer for kraftproduksjon og kollektivtransport. Og alt imellom disse. Alt er basert på IKT, og alt som er basert på IKT er potensielt sårbart.
Det er situasjonen i dag.
Men det som er sårbart i dag er egentlig bare en indikasjon på at vi sov i timen for fem, ti eller femten år siden.
Allerede for 10 år siden erkjente finanstilsynet at vi har staket ut en kurs som ikke kan reverseres i forhold til bankenes bruk av IKT. Ingen har sjekker eller bærer store mengder kontanter lenger. Går digitale betalingsløsninger ned, har vi ingen alternative systemer som fungerer. Det samme gjelder for de fleste sektorene i samfunnet.
Jeg skal ikke stå som dommedagsprofet og si at det er enkelt å ta ned den norske finansnæringen – langt der ifra. De jobber aktivt med å beskytte seg, og kybersikkerhet er et hett tema i alle norske finansinstitusjoner. Men dersom en kompetent, målrettet og ressurssterk motstander ønsker å påvirke en norsk finansinstitusjon, kan vi garantere at han ikke vil lykkes? Jeg lar spørsmålet henge i luften for leserens vurdering.
Strategi er, etter den militære definisjon, planen som beskriver veien fra en beskrevet nåtilstand til en definert fremtidig sluttilstand. For å realisere planen må man knytte de ressursene som er nødvendig for å realisere overgangen fra det nåværende til det fremtidige. Penger, personell og materiell utgjør grunnlaget for å utvikle seg og miljøet rundt seg i den retningen som er nødvendig for å realisere de målene som man definerer.
Se til Finland
Et av privilegiene ved å være sjef Cyberforsvaret er muligheten til å utvikle samarbeid med våre støttespillere, nasjonalt og internasjonalt. I den anledning har jeg sett mange nasjoners perspektiver og mål rundt kybersikkerhet. Nylig besøkte jeg Finland og fikk presentert deres nasjonale kyberstrategi. Det er et meget godt produkt som jeg kan anbefale alle å lese. Den presenterer en klar visjon for det finske arbeidet innenfor kybersikkerhet, og den ser på kybersikkerhet i et helhetlig samfunnsperspektiv og hvordan man helhetlig håndterer trusler mot finske interesser på dette området.
Spørsmålet det er betimelig å stille er hvorvidt vi har en strategi for å imøtekomme kybertrusselen i Norge. Vi vet, innenfor en rimelig grad av presisjon, hva som er situasjonen og utfordringen i dag. Vi vet at vi er sårbare, vi vet vi er meget avhengige av IKT og datasystemer og vi vet at denne avhengigheten er økende.
Regjeringen ga i 2012 ut en strategi for informasjonssikkerhet. Det er et viktig dokument, men det er etter min mening et skille mellom kybersikkerhet og informasjonssikkerhet. Det er en erkjennelse som vi bør ta inn over oss. Digital informasjonssikkerhet er en viktig del av kybersikkerhet – men kybersikkerhet omfatter også tjenester, prosesstyring og funksjoner som er samfunnskritiske og som er fundamentet for store deler av samfunnet vårt.
Det er flere isolerte initiativer som sikter på å avdekke hvordan trusselen kommer til å utvikle seg fremover.
På militær side har vi initiert et arbeid gjennom Forsvarets forskningsinstitutt, kybermaktstudien, som vil gi mange svar innenfor vårt fagfelt. På politisk nivå i Forsvaret er man i disse dager i ferd med å avrunde arbeidet med å etablere kyberretningslinjer for forsvarssektoren. På sivil side har flere etater og næringsliv gått sammen for å finansiere det tidligere nevnte Senter for kyber- og informasjonssikkerhet. Et initiativ, som for øvrig også støttes av Forsvaret, igangsatt av etatssjefer som er nær desperate etter en krystallkule å titte inn i.
Men IKT-bruken i Norge er også i en kontinuerlig utvikling. Og den utvikler seg hurtig. Norsk næringsliv og etater tar løpende i bruk nye systemer for å effektivisere og utvikle egen virksomhet. Spørsmålet blir om vi har et strategisk perspektiv som vi utvikler oss innenfor, eller om vi utvikler systemer som vil måtte stå sin prøve overfor en helt annen trusselsituasjon i fremtiden. Og vil vi ha en tilstrekkelig beredskap for å kunne imøtekomme og håndtere storstilte angrep mot norsk nasjonal informasjonsinfrastruktur i fremtiden?
For å være populistisk: Hva gjør Norge den dagen AltInn blir AltUt? Når datasystemene som holder samfunnet vårt oppe slutter å bære oss?
Svaret på dette spørsmålet må være grunnlaget for hvilken retning samfunnet vårt skal utvikle seg i og for fremtiden – for all erfaring tilsier at når man står midt oppe i det uventede så er det for sent å begynne utviklingen av en tilstrekkelig defensiv evne.
4. september, som del av Øvelse hovedstad, mottok Forsvaret en bistandsanmodning fra politiet om å støtte Telenor for å hjelpe til med å beskytte Norges største eier av kritisk informasjonsinfrastruktur mot angrep. Angrepet som var spilt inn var av en så stor alvorsgrad at liv og helse eller nasjonale interesser var sett som truet. Gjennom øvelsen ble mange av de utfordringene som ble identifisert når det gjelder Forsvarets støtte til samfunnet ryddet av veien. Øvelsen var et viktig steg på veien videre, men vi har fortsatt behov for å ta erfaringene derfra med oss og jobbe videre med Forsvarets mulighet for å støtte resten av samfunnet på dette området.
Samtidig vil vi være avhengig av styringsparametere som legger grunnlaget for det videre arbeidet innenfor kyberområdet i Norge. Vi må forsøke å identifisere hvilket trusselbilde nasjonen vil stå overfor om ti, femten år. Derifra må vi søke å styre både IKT-utviklingen, rammene for vårt tverrsektorielle samarbeid og våre reaksjonsmønstre til å være dimensjonert for den trusselen som fremtiden bringer.
For å være forberedt på det fremtiden måtte bringe trengs, etter min mening, to faktorer som er fraværende i dag. Det ene er en god, retningsgivende, strategi. Det andre er strategisk, helhetlig og målrettet, lederskap. Det er utfordrende å få disse to ting på plass, men vi har gode samarbeidspartnere som har fått det til, og vi kan lære mye av det arbeidet som eksempelvis Finland allerede har gjort.
(Vedrørende «cyber» kontra «kyber»
Redaksjonen i digi.no viser til flere tiårs praksis på norsk, og skriver «kyber» der det på engelsk står «cyber». Eksempler er kybernetikk (cybernetics), Kyberiaden (den norske tittelen på Stanislaw Lems berømte novellesamling Cyberiad, på engelsk i 1974, på norsk i 1981), kyberrom (cyberspace), kyberkrig (cyberwar) og så videre. Med unntak av egennavnet «Cyberforsvaret» er denne rettskrivningen anvendt i teksten ovenfor. Se vår artikkel fra 2008, Nå må det bli slutt på dette cyber-tullet.)
Les også:
- [27.05.2014] Watchcom hyrer inn general
- [13.08.2013] Tror ikke på «digitalt 9. april»