Den økende etterretningsaktiviteten og cybertruslene fra Kina og Russland gjør at vi hele tiden må tenke nytt om hvor balansen mellom personvern og hvilke tiltak vi skal tillate for å ivareta cybersikkerheten i Norge, skal være.
Det var et av de viktigste budskapene til IKT-Norges administrerende direktør Øyvind Husby og sjef for etterretningstjenesten Nils Andreas Stensønes under en paneldebatt mandag om cybertruslene Norge står overfor i 2022.
Debatten var en del av IKT-Norges program under Arendalsuka, og de to deltok sammen med Nkom-sjef Pål Wien Espen og sikkerhetsdirektør Esten Hoel i Basefarm.
Støre: Kan ikke vente noen nasjonal transportplan for digitaliseringen
Kontroversiell metode
Stensønes trakk fram såkalt tilrettelagt innhenting som et viktig tiltak for å kunne følge med på Russlands og Kinas forsøk på digital spionasje og cyberangrep.
Tilrettelagt innhenting innebærer at ekomleverandørene som transporterer data inn og ut av Norge, må speile den informasjonen til E-tjenesten når de får pålegg om det, og det innebærer blant annet innsamling av metadata i bulk for å kunne gjøre målrettede søk i slike data.
Metoden er så kontroversiell at kapitlene som omhandler tilrettelagt innhenting i etterretningstjenesteloven som trådte i kraft fra nyttår 2021, ble utsatt ett år fordi regjeringen ville forsikre seg om at de ikke bryter med Norges internasjonale forpliktelser. Og en siste paragraf – om hvem som skal ha myndighet til å pålegge en ekomtilbyder tilrettelegging – har ennå ikke trådt i kraft. Paragrafen, som foreslår at sjefen for e-tjenesten skal ha denne myndigheten, ble sendt ut på høring i slutten av juni, og fristen for å uttale seg er satt til 27. september.
E-tjenesten regner derfor ikke med å ta i bruk tilrettelagt innhenting før i 2025, men Stensønes mener metoden vil bli svært viktig for å kunne fange opp cybertrusler og digital etterretningsaktivitet mot Norge. Under debatten i Arendal brukte han datainnbruddene Stortinget ble utsatt for i 2020 og 2021 som eksempel.
– De var en del av et stort europeisk kartleggingsforsøk, og slike forsøk foregår hele tiden. Nå ser vi dem bare i virksomheter som har veldig spesifikt utstyr for å plukke det opp. Får vi på plass tilrettelagt innhenting, kan vi søke etter slik aktivitet og for eksempel se at nå går de mot NTNU eller mot politiet eller en spesifikk høyteknologibedrift de prøver å kartlegge. Tilrettelagt innhenting kan hjelpe oss å fange opp det store volumet av det som skjer, slik at vi mye lettere kan finne ut hvor utenlandske aktører er på jakt og sammen med NSM hjelpe norske virksomheter med å stoppe dem, sa han.
Frykter masseovervåking
Hovedinnvendingen mot tilrettelagt innhenting er at det åpner for masseovervåking av nordmenn, og flere norske jurister har tidligere advart mot konsekvensene av den nye etterretningstjenesteloven. Etterretningssjefen mener imidlertid at de som er redd for at e-tjenesten skal invadere folks privatliv, ikke har noe å frykte.
– Mange er bekymret over at tilrettelagt innhenting skal kunne trenge inn i privatsfæren. Men jeg kan forsikre at det ikke gjør det. Før vi får søke i noe slik tilrettelagt informasjon, må vi få tillatelse av Oslo tingrett, sa Stensønes.
Han la imidlertid til at det er et spørsmål om ikke Norge må åpne opp for mer inngripende tiltak enn vi gjør i dag.
– Det er en balanse mellom personvern og hvilke verktøy e-tjenesten får lov til å bruke. Det er en debatt som vi er nødt til å modne, og jeg tror den langt fra er over. For det kommer til å bli verre, og da er spørsmålet om vi er nødt til å tillate oss noe mer enn det vi gjør i dag. Det er ikke lett å svare på. For vi ønsker på ingen måte å tre inn i den private sfæren mer enn absolutt nødvendig, men vi vil samtidig beskytte dere og oss mot det som kommer utenfra, sa etterretningssjefen.
Tung: Bestemmer seg før nyttår om 2G-nettet skal slukkes
Ny situasjon, nye debatter
Også IKT-Norge-direktør Øyvind Husby mener vi må være villige til å gjøre nye vurderinger rundt både personvern og andre rettigheter.
– Det er opp til myndighetene å foreslå og begrunne hvilke verktøy de mener er nødvendige å bruke. Vi andre må være med på disse diskusjonene og ikke havne i ideologiske skyttergraver om personvern og ytringsfrihet eller andre ting uten å ta inn over oss at vi har en ny situasjon, uten å høre på motargumentene og uten å ta debattene på nytt og på nytt etter hvert som samfunnet utvikler seg.
Husby tok til orde for at personverndebatten, debatten rundt tilrettelagt innhenting og hva som egentlig er truslene vi står overfor, må være kontinuerlige debatter.
– Det som var riktig svar i går, er ikke riktig svar i morgen, fordi rammebetingelsene er helt annerledes. Vi lever ikke i en ideell verden som man kan ønske seg skal være sånn eller sånn. Vi lever i verden slik den er. Den endrer seg hele tiden, og da må vi også endre standpunktene og tilpasse myndighetenes muligheter til å møte den nye verdenen fortløpende, sa Husby, som også etterlyste klarere regler rundt cybersikkerhet og strengere reaksjoner mot dem som ikke følger dem.
– Vi må ha mer statlige reguleringer og større konsekvenser hvis man ikke etterlever reguleringene. GDPR er et godt eksempel på at dette fungerer. Der er det reguleringer og bøter om man ikke følger opp. Men når det gjelder cybersikkerhet, er det frivillig å rapportere inn til NSM hvis man har hatt et datainnbrudd. Vi må ta inn over oss alvoret i situasjonen og ha virkemidler som faktisk fungerer, sa han.
Digitaliseringsstrategien: – Vi trenger allerede nå å se at det settes av penger