SIKKERHET

Å skjerme informasjon om kritisk infrastruktur er ikke i strid med demokratiske verdier

Ingunn Åsgard Bendiksen og Stian Ervik i KPMG Norway mener målkonflikten mellom ønsket om åpenhet og behovet for å beskytte informasjon om kritisk infrastruktur, nå har kommet tydelig til syne.

Kronikkforfatterne: Ingunn Åsgard Bendiksen og Stian Ervik. Begge har tittelen direktør for sikkerhet og beredskap i KPMG Norway.
Kronikkforfatterne: Ingunn Åsgard Bendiksen og Stian Ervik. Begge har tittelen direktør for sikkerhet og beredskap i KPMG Norway. Foto: KPMG Norway
Av Ingunn Åsgard Bendiksen og Stian Ervik, begge i KPMG Norway
19. okt. 2022 - 14:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

På grunn av den siste tidens sikkerhetspolitiske utvikling har søkelyset blitt satt på hvordan informasjon om kritisk infrastruktur blir beskyttet. Nylig skrev DN om at norske stortingspolitikere etterlyser nye regler for håndtering av kraftsensitiv informasjon. Kritisk infrastruktur støtter opp om samfunnets kritiske funksjoner og omfatter blant annet kraftforsyning, ekom-infrastruktur, infrastruktur for gass/petroleum, jernbane og vannforsyning. En del informasjon om kritisk infrastruktur er taushetsbelagt, men mye er ikke det. 

Internett har gjort at åpen informasjon om kritisk infrastruktur lett kan deles med omverden. Bokstavelig talt. Gjennom nettsider og kartløsninger gir selskaper og myndigheter ulike typer informasjon om kritisk infrastruktur, for eksempel type anlegg, detaljert plassering, størrelse, viktighet, farlige egenskaper og skadepotensial. Internett gjør at denne informasjonen kan hentes inn fra hvor som helst i verden og sammenstilles til ønsket formål. Og det blir gjort. Kartlegging av kritiske infrastruktur har med internett blitt mye enklere enn tidligere tiders tidkrevende puslespill. Det er særlig informasjon om kabler, rør og ledninger i bakken/sjøen, som er attraktiv, ettersom Google Earth her ikke er til like stor hjelp.

Hensikten med å dele informasjonen er god. Infrastrukturprosjekter har ofte betydelige nabo- og miljøvirkninger og kan ha stor oppmerksomhet i media og allmennheten. Målet er for eksempel å informere omverden, sikre åpne og smidige konsesjons-, plan- og byggeprosesser, unngå personulykker, unngå skader på nedgravd infrastruktur og sikre gode innkjøpsprosesser.

Dessuten er åpenhet om myndighetsprosesser en demokratisk verdi i Norge. Gjennom innsyn skal myndighetenes virksomhet kunne kontrolleres av omverden. Etter offentleglova skal taushetsbelagte opplysninger unntas, men generelt er terskelen høy for å unnta opplysninger fra innsyn, og den overordnede føringen er meroffentlighet. 

Samtidig er det ikke noe krav om at den som ber om innsyn skal identifisere seg – hvem som helst kan be om innsyn i all dokumentasjon. Myndighetene vet ofte ikke – og skal heller ikke – vite hvem som spør, hvor i verden vedkommende befinner seg og hva informasjonen skal brukes til. Det eneste kravet er hvilken e-postadresse informasjonen skal sendes til. 

IT-sikkerhetsekspert Gøran Tømte er en av dem som oppfordrer til rask handling når det gjelder å få lukket sikkerhetshullet i Fortimanager.
Les også

Advarer: Kritisk sårbarhet utnyttet av statsstøttede aktører

Nå når vår digitaliserte verden har gått inn i en ny sikkerhetspolitisk tid, kommer målkonflikten mellom ønsket om åpenhet og behovet for å beskytte informasjon om kritisk infrastruktur, tydelig til syne. Informasjon som er lagt ut på internett eller delt på annet vis, kan aldri trekkes tilbake. Vi må erkjenne at mye informasjon om kritisk infrastruktur i Norge er kjent av miljøer vi helst skulle sett ikke hadde den, og det uten at disse har gjort noe ulovlig. 

Vi mener det i lys av dagens situasjon bør gjøres tiltak etter to spor.

For det første bør det gjøres grep for å sikre at viktig informasjon om kritisk infrastruktur i framtiden ikke blir like lett tilgjengelig for alle og enhver. Dette kan gjøres uten å komme i konflikt med demokratiske verdier.

For det andre må selskaper og myndigheter opptre som om nøkkelinformasjon om kritisk infrastruktur allerede er på feil hender. De viktigste anleggene og systemene må sikres. Forebyggende sikkerhetstiltak innenfor personellsikkerhet, fysisk sikkerhet og digital sikkerhet, redundans og god beredskap for gjenoppretting, er effektivt. Med det kan man unngå at informasjon på feil hender får gjort skade på kritisk infrastruktur.

Problemene har stått i kø for Microsofts Recall-funksjon på Copilot+ PCer. Brukerne frykter at skjermbilder av hva de har foretatt seg på PCen vil havne på avveie.
Les også

Microsoft utsetter Recall-funksjonen enda en gang

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.