Sikkerhet er et tema som vi mennesker har måtte forholdt oss til så lenge mennesket har utøvet vold, skadeverk, tyveri og andre ondskapsfulle handlinger mot hverandre. Heldigvis finnes det flere gode enn onde mennesker i verden. Vi er flere som forsøker å skape sikkerhet, enn de som forsøker å ødelegge den. Det samme gjelder sikkerheten i vårt digitale samfunn v2.0.
De siste årenes digitale hendelser og trusselvurdering tegner et mørkt bilde. Personopplysninger på avveie, digital spionasje, illegitim demokratisk påvirkning, storstilt økonomisk kriminalitet og sabotasje av kritisk infrastruktur. Trusselaktørene i det digitale domenet er mangfoldige, og vårt digitale samfunn er sårbart. Spørsmålet mitt er om det finnes andre tilnærminger til sikkerhet, og sikring av vår felles digitale infrastruktur, enn dagens?
Sikkerhet i det analoge samfunnet v1.0 har i lang tid vært forbundet med militære og polisiære styrker. Nødetater, målrettet overvåkning, grensekontroll, fysisk sikring av verdier og andre proaktive (forebyggende) og reaktive (hendelseshåndterende) tiltak. Felles for de analoge sikkerhet-, beredskaps- og sikringstiltakene er at de har hatt en desentralisert tilnærming. De har vært plassert lokalt, fysisk nært de verdiene som tiltakene har hatt til hensikt å beskytte.
Hvem har ansvaret?
I det analoge samfunnet har det vært relativt tydelig hvilken samfunssikkerhetsaktør som har vært ansvarlig for å håndtere en hendelse. Alle de private og offentlige bidragsyterne har fulgt de tre prinsippene: ansvar, nærhet, likhet, og etter erfaringene 22. Juli 2011, også samvirke. Det digitale trusselbildet med utstrakt gråsoneproblematikk og hybride hendelser i spenningsfeltet mellom fred, krise og krig, utfordrer vårt digitale samfunn. Utviklingen bør få oss til å reflektere om prinsippene fortsatt er like relevante, i vårt digitale som i vårt analoge samfunn.
Personlig tror jeg ikke det. I det minste må vår forståelse for prinsippene tilpasses vårt digitale samfunn. For det første fører dagens sektor- og ansvarsprinsipp til at hver enkelt virksomhet selv står ansvarlig for å etablere egne IKT-systemer, og for å sikre sin digitale infrastruktur. Dette fører til at virksomhetene står alene, hver for seg, selv om behovene til flere aktører kan være tilnærmet identiske. Når vi også vet at vi har et kompetanseunderskudd innen både IKT og sikkerhet, og spesielt de to i kombinasjon, IKT-sikkerhet, må de private og offentlige aktørene konkurrere seg imellom om de kloke hodene. Hver sektor med sine underliggende etater, må trenger høyt kompetente enheter innenfor både IKT og sikkerhet, på strategisk og operativt nivå. Dette skaper et godt arbeidsmarked for oss innen bransjen, men om det er den klokeste tilnærmingen til å sikre vårt digitale samfunn, er jeg ikke helt overbevist om.
Ulikt det analoge samfunnet, egner de digitale løsningene seg i større grad for sentralisering. Hovedårsaken er at det digitale samfunnet i liten grad forholder seg til geografiske begrensninger. Tiden det tar å forflytte data over fiber på tvers av et kontinent, måles i millisekunder. For mennesker, brevpost, fly, biler og båter, måler vi tiden vanligvis i timer. Nærhetsprinsippet i det digitale rom kan derfor ikke forstås som fysisk nærhet, men som evnen til å forstå sikringsbehovene, til å detektere unormal aktivitet og til å forstå hva som utspiller seg i virksomhetens IKT-system. Slik at risiko kan reduseres og konsekvenser kan håndteres.
Samtidig vet vi at mange av de sentraliserte løsningene hva gjelder deteksjonskapabiliteter i det digitale domenet, har bedre informasjonstilfang enn de desentraliserte. Muligheten til å fange opp informasjon om trusler og sårbarheter, og til å omsette dette til proaktive sikringstiltak, øker. Derfor har vi i Norge etablert NSCS og flere sektorvise CERT’er de senere årene. Den reaktive (hendelseshåndterende) dimensjonen styrkes, sentraliseres gradvis, og samvirkeprinsippet formaliseres gjennom konkrete operasjonelle enheter. Selv om etableringen av de nevnte enhetene er et viktig og riktig skritt på veien til mer samarbeid, bør vi se på flere mulige arenaer.
Tjenesteutsetting innebærer risiko
At flere virksomheter velger å tjenesteutsette deler av sine IKT-systemer til skyleverandører, er et lite skritt i retning av mer fellesskap. Spesielt gjelder dette felles infrastruktur (IaaS) og plattformer (PaaS). Tjenesteutsetting innebærer imidlertid også risiko, siden staten ikke eier infrastrukturen. En alternativ og langsiktig tilnærming, kunne vært at staten i større grad gjorde mer av arbeidet for å etablere nye løsninger, i fellesskap. Slik at ikke hver virksomhet selv står ansvarlig for, og alene om, sine valg. Litt som med sikkerhetsgodkjente informasjonssystemer, bare at behovet for smidighet, brukervennlighet og utvikling, bør få en fremtredende plass.
Behovet for å sikre det digitale samfunnets felles løsninger som vi alle er avhengig av, vil ikke avta. Så lenge stater ikke klarer å bli enige om å utvikle felles rammeverk og diplomatiske løsninger for hvordan man skal legge ned stridsøksen i det digitale domenet, vil trusselbildet forbli krevende. Dette vil kreve utstrakt offentlig-privat, sivil-militært, nasjonalt og internasjonalt samarbeid. Samtidig må samarbeidet, spesielt på det nasjonale plan, inkludere det systematiske forebyggende arbeidet for å redusere risiko. Gitt de utfordringer som jeg har pekt på i innlegget, er det ikke sikkert at dagens modell hvor hver enkelt sektor og virksomhet selv er ansvarlig for å utvikle egne, sikre løsninger, er den mest hensiktsmessige, på lengre sikt.
Vi har mulighet til å utvikle et digitalt og sikkert vegnett, i fellesskap. Så kan hver aktør velge kjøretøy som er best mulig tilpasset de oppgavene som aktøren skal utføre. Dette kan imidlertid kreve at vi må reflektere rundt dagens desentraliserte, fragmenterte og sektoriserte tilnærming.