Etter offentliggjøringen av innbruddet i Stortingets informasjonssystemer har Regjeringen vært rask med å peke ut Russland som angriperen. De er helt klare og tydelige på at de vet at angrepet kommer fra Russland. Men det er svært lite sannsynlig at det vil komme ut hvorfor de er så sikre, og hvor informasjonen kommer fra. Detaljene vil aldri bli offentliggjort. De er sannsynligvis gradert STRENGT HEMMELIG, og det kan ifølge sikkerhetsloven «få helt avgjørende skadefølger» for nasjonale sikkerhetsinteresser dersom de kommer ut.
Sikkerhetsgradert informasjon kan etter sikkerhetsloven graderes fra BEGRENSET opp til STRENGT HEMMELIG. Ansatte i Forsvaret og EOS-tjenestene (PST, NSM og E-tjenesten) utgjør majoriteten av de sikkerhetsklarerte personene i Norge. Sikkerhetsklarering for tilgang til informasjon på det høyeste graderingsnivået er en grundig prosess, og personens nærmeste familie og omgivelser blir også undersøkt og vurdert før klarering eventuelt blir gitt. Taushetsplikten gjelder livet ut.
PST-sjefen måtte gå
Et godt kjent eksempel på brudd på taushetsplikten her i Norge stammer fra 2012. Janne Kristiansen, den tidligere sjefen for Politiets sikkerhetstjeneste, måtte gå av med øyeblikkelig virkning etter at hun avslørte i en TV-sendt stortingshøring at Etterretningstjenesten samarbeidet med pakistansk etterretning og hadde representasjon i Pakistan. Akkurat den informasjonen kom kanskje ikke som noen bombe på så mange, men forsnakkelsen kostet henne jobben. Det tok under ett døgn.
Denne typen informasjon er sensitiv fordi kan avsløre hva Norge har av etterretningsmetoder, lokasjoner, utstyr, installasjoner, ressurser (personer) etc. Spesielt sensitivt er opplysninger om kapasitet (hvor mange og hvor mye). Konkrete ressurser behøver ikke være navngitt, men vet man bare litt om hvordan informasjonen er hentet inn, vil det kunne være nok til å kunne identifisere kilder. Dette er etterretningstjenestenes kjernevirksomhet, og de er veldig flinke til å sette sammen større bilder av mange små biter med informasjon.
Stammer slik informasjon fra samarbeidende land kan den i tillegg avsløre hvilke samarbeidspartnere Norge har, og tilsvarende disses kapasiteter og ressurser. Det ville være nærmest katastrofalt om norske myndigheter hadde lekket slik informasjon, både for partneren, samarbeidet og ikke minst den konkrete ressursen. Norge er et lite land, og er helt avhengig av samarbeid med andre etterretningstjenester. Internasjonalt etterretningssamarbeid drives generelt av gjensidig utveksling av informasjon. Gir man ingenting, får man ingenting tilbake. Lekkasjer av utvekslet etterretningsinformasjon har i noen tilfeller forsuret forholdet mellom «vennlige» etterretningstjenester i flere år, inntil tilliten er blitt gjenopprettet.
Følsomme sikkerhetsopplysninger om Riksdagen ute på nettet etter IT-angrep
Fatale konsekvenser
For en avslørt kilde kan konsekvensene kan bli fatale. Aldrich Ames, en av de to amerikanske spionene som regnes som å ha forårsaket størst skade (den andre er Robert Hanssen), skal i tiden han var aktiv ha navngitt til Sovjetunionen et tresifret antall agenter, hvorav mange ble henrettet som direkte konsekvens av hans lekkasjer. Her i Norge har vi nylig hatt saken med Frode Berg, som ble dømt til 14 år i fengsel i Russland for spionasje og satt to år i Lefortovo-fengselet i Moskva før han ble utvekslet til Norge.
Dette er en av grunnene til at høyt gradert informasjon normalt nedgraderes først etter 30 år. Etter denne tiden er det lite sannsynlig at det lenger finnes aktive ressurser som vil kunne ta skade av at informasjonen offentliggjøres. Men all informasjon vurderes individuelt med tanke på nedgradering, og perioden kan forlenges dersom det er behov.
Informasjon som lekker ut kan også indikere hvilke kapasiteter vi, eller våre allierte, ikke har, noe som også kan være like interessant for våre ikke-allierte etterretningstjenester, siden det bidrar til å sette sammen det store bildet.
Alt dette vet selvfølgelig Russland, siden de har akkurat de samme utfordringene. Så når Russisk UDs pressetalskvinne går høyt ut i media og beskylder Norge for ikke å ha dekning for påstandene har hun råd til å virke selvsikker. Hun tror ikke på dette selv, men hun vet at bevisene mot dem vil aldri bli offentliggjort. Uttalelsene er dels rettet mot hjemmepublikumet, men de er også en del av informasjonskrigen mellom Norge og Russland. Det finnes alltid noen i Norge som vil tro på dem, og disse bidrar i sosiale medier og avisers kommentarfelter til destabilisering av forholdet mellom Norge og Russland. De kalles «nyttige idioter».
Kan ikke argumentere med det man vet
Det er en utfordring når sensitiv informasjon er grunnlag for avgjørelser eller synspunkter som kan være kontroversielle. Det er vanskelig å argumentere overbevisende for en sak når man ikke kan bruke argumentene man sitter med. Det gir motstanderne fritt spillerom. Angrepene på Stortingets systemer er bare ett eksempel på en slik sak.
Nå kommer det neppe veldig overraskende på så mange i Norge at Russland kan stå bak dette, så akkurat denne saken har ikke vekket så stor diskusjon her. Men det finnes andre saker, som for eksempel innføringen av det som nå kalles Etterretningstjenestens «Tilrettelagt innhenting av grenseoverskridende elektronisk kommunikasjon (TI)». Her er stemningen i sosiale medier at departementet har gjort for dårlig arbeid og at behovet for loven ikke er godt nok begrunnet. Et annet eksempel NSMs «Varslingssystem for digital infrastruktur (VDI)», som har vært mistenkeliggjort og fremstilt som et avlyttingsapparat for Staten. Felles for disse og andre lignende saker er at det er mye som tyder på at mange av kritikerne har mangler i informasjonsgrunnlaget sitt.
Ett sted må tillit forankres, og på dette området er de gjort hos sikkerhetsmyndigheten og personene som sikkerhetsklareres. De er gitt tillit til å se, vurdere og behandle denne informasjonen. Deres oppgave er å rådgi myndighetene eller å selv ta avgjørelser på dette grunnlaget. Det er ikke et perfekt system, siden perfekte systemer ikke finnes, men det er vanskelig å se for seg alternative modeller som er bedre.
I Norge er det Nasjonal Sikkerhetsmyndighet (NSM) som forvalter sikkerhetsloven og har siste ord når det gjelder beskyttelse av sensitiv informasjon. Dette omfatter bl.a. sikkerhetsgodkjenning av informasjonssystemer, tilsyn, fysisk sikring, objektsikring, personellklarering, krypto og andre oppgaver innenfor informasjonssikkerhet.
Litt populært kan man si at hvis man ser for seg et gjerde rundt Norges grenser, så er E-tjenestens oppgave å bekjempe trusler mot norske interesser utenfor gjerdet, mens PST har kontroll på tilsvarende typer trusler innenfor gjerdet. NSM passer på gjerdet.
At disse tjenestene er gitt denne tilliten betyr ikke at de er ufeilbarlige og at man skal være ukritisk til dem, men mange kan nok med fordel være noe mer kritisk til sitt eget kunnskapsnivå om tjenestenes rolle og hvordan de fungerer.
Gjort med vilje, mener cybersikkerhetsforsker: Finsk og svensk internettkabel er kuttet