Når russerne klarte å hacke Demokratens valgkamporganisasjon for å påvirke det amerikanske presidentvalget, må vi også regne med at de – eller noen andre – vil kunne gjøre det samme når vi til høsten har Stortingsvalg. Hvor godt forberedt er vi?
På fredag avholdt Dataforeningen en interessant konferanse om Lysne-utvalgets forslag til Digitalt Grenseforsvar. Forslaget ble slaktet; det holder ikke mål hverken juridisk eller teknisk. Datatilsynet sier klart nei til dette forslaget.
Men det er uansett en lang vei frem til at vi får en lov som kan forhindre cyberangrep. I mellomtiden har den norske stat tatt forholdsregler for å hindre slike angrep. Et av dem er å tilby en tjeneste for å overvåke kablene inn og ut av bedrifter som er sentrale i vår samfunnsikkerhet, som olje-, tele-, energi- og mediabransjen. Problemet er at det samarbeidet ikke fungerer. Lovgivning og tekniske løsninger hjelper ikke når problemet er uenighet om hvem som skal gjøre hva.
Bakgrunn
Det er blitt stadig større fokus på cyberangrep som et nytt «våpen» til å angripe eller destabilisere land og hele samfunn. Dette skyldes delvis Internett-utviklingen, men også hvordan Internett brukes. I dag er olje- og gassleveranser, strømnettet og finansmarkedene avhengige av et velfungerende internett.
Cyberangrep brukes av alle parter. Det mest kjente er nok USA og Israels «angrep» på Irans atombombeprogram i 2012 med dataormen Stuxnet. Men samme år foretok Kina et cyberangrep på USA som angivelig stjal milliarder av dollar fra amerikanske bedrifter. I 2012 sa lederen for de amerikanske sikkerhetsmyndigheter Keith Alexander, at dette «the greatest transfer of wealth in history».
Donald Trump har nevnt denne hendelsen flere ganger, men også hevdet at den aldri er blitt kjent offentlig. Det er feil; sjefen for NASA, Keith Richards, har omtalt dette offentlig, og Barack Obama innledet forhandlinger med kineserne for å unngå at noe slikt skjedde på ny.
Cyberangrep har også en annen side: Snowden-avsløringene viste hvordan NSAs overvåkningsprogram ga myndighetene tilgang til å analysere private e-poster, telefonsamtaler og tekstmeldinger. At overvåkningsprogrammet omfattet Brasils daværende president Dilma Rousseff, Tysklands forbundskansler Angela Merkel og minst tretti andre statsledere, satte forholdet mellom USA og resten av verden på prøve.
Hele 29 land har opplyst at de har evne til å utføre offensive cyberangrep, og antallet stiger hvert år. Israel står alene for 13 prosent av all verdens forskning på cybersikkerhet.
Så det er ingen som helst tvil om at cyberangrep er en ny trussel mot både demokratiet og verdensorden. Spørsmålet er hvordan denne trusselen møtes.
Hva er unikt med cyberangrep?
Cyberangrep representerer problemstillinger som ikke har noen paralleller fra tidligere. Det endrer maktrelasjonene mellom landene; det endrer rollefordelingen mellom private og offentlige aktører; og det gir uklarhet i ansvarsfordelingen mellom aktørene.
Det er flere grunner til dette:
- Angrepene er grenseoverskridende. Selv om det i noen tilfeller er mulig å spore hvor et angrep kommer fra, vil det fortsatt være en sjanse for at den identifiserte staten kun har blitt brukt som «gjennomfartskanal» for å skjule den opprinnelige avsenderen.
- Angrepene blir i første rekke utført av private aktører, ikke offentlige myndigheter. Men at disse private aktørene utfører dette på oppdrag eller ordre fra statlige myndigheter, er ofte tilfelle.
- Angrepene rammer både offentlige organer og private bedrifter. Offentlige organer kan være departementer, forsvaret og militære anlegg. Private bedrifter kan være oljebransjen, telebedrifter, strømleverandører, banker, sykehus, media etc. Felles for disse er at de kan være delvis statlig eid.
- Angrepene har ofte ikke karakter av å stjele informasjon, men å destabilisere samfunnet, såkalt «myk informasjonskrigføring».
Hvordan møter verdenssamfunnet denne utfordringen? Hvilke regler skal gjelde for staters handlinger i cyberspace? Hvem skal utforme reglene og hvordan skal man sørge for at reglene overholdes?
Cyberangrep representerer problemstillinger som ikke har noen paralleller fra tidligere
Svaret på dette er samarbeid, samarbeid mellom private og offentlige aktører. Dette kalles «multistakeholder-modellen». Med det mener man en åpen form for samarbeid mellom aktørene – offentlige som private – basert på tanken om at de har felles mål og interesser.
Men slik er det ikke. Det fungerer ikke slik i det internasjonale miljø. Men i Norge skal det angivelig være annerledes. Her har man innført en samarbeidsmodell for overvåkning av datatrafikken til og fra viktige norske bedrifter gjennom et eget organ – VDI (Varslingssystemet for digital infrastruktur). Dette blitt fremhevet internasjonalt som et utmerket eksempel. Men sannheten er at det ikke fungerer.
Den norske modellen
Siden midten av 1990-tallet har det pågått arbeid for å etablere internasjonale regimer for global styring av cyberspace. Organisasjoner som ICANN (Internet Corporation for Assigned Names and Numbers), FN-organet IGF (Internet Governance Forum), og FIRST (Forum for Incident Response and Security Teams) som samler kun private bedrifter, har jobbet med dette.
Men ingen av disse organene har nådd målet om felles regler for å håndtere cyberspace. Grunnen er manglende tiltro til hverandre, mangel på inkludering og store interessekonflikter mellom private og offentlige aktører. Dette fører til at sikringen av cyberspace internasjonalt utvikler seg langs to spor: ett for den private sektoren og ett for den statlige.
Her i landet har man forsøkt å løse dette problemet ved å etablere VDI (Varslingssystemet for digital infrastruktur). Dette er et forsøk på en helhetlig og samarbeidsorientert nasjonal strategi slik den er beskrevet av Regjeringen i deres nasjonale strategi for informasjonssikkerhet. Det styres og kontrolleres av NorCERT (Norwegian Computer Emergency Response Team), som er underlagt den Nasjonale sikkerhetsmyndigheten (NSM).
Målet er å få til et samarbeid mellom privat og offentlig sektor for å hindre hacking og cyberangrep av vesentlige samfunnsfunksjoner. Dette gjøres ved å overvåke datakommunikasjonen på de nettverkskablene som går til og fra private bedrifter. Dette omfatter også avlesing av informasjon på filnivå av hva som blir sendt inn og ut av nettverkene. Hensikten er at det offentlige gjennom VDI skal gi tilbake en tjeneste om mulig skadevare. Ikke noe annet land i verden har et tilsvarende varslingssystem.
Opplegget er basert på gjensidig tillit mellom privat og offentlig sektor om at data ikke utleveres til andre eller brukes til andre formål enn det det blir innhentet for. Problemet er imidlertid at det ikke fungerer. Dette er godt belyst i en nylig utkommet artikkel i Internasjonal Politikk av forsker Lilly Pijnenburg Muller.
Hvilke bedrifter som er medlem i VDI, er hemmelig. Men faktum er at Telenor meldte seg ut. NRK meldte seg også ut, men er fra 2015 igjen tilbake igjen.
Lysne-utvalgets rapport om Digitalt Grenseforsvar
Lysneutvalget peker på at det er behov for et nasjonalt cybersenter. I debatten under Dataforeningens arrangement ble det pekt på at det er uklart hva dette organet skal gjøre, og hvordan dets ansvarsområde står i forhold til andre organer. Grunnen til denne uklarheten er nok at det internt i staten er uenighet om hvem som skal gjøre hva. Striden står mellom sivil og etteretningsmessig overvåkning, mellom Justis- og Forsvarsdepartementet. I tillegg kommer at private bedrifter har liten tillit til at staten skal samle inn informasjon om deres kunder og deres forretningstransaksjoner.
Dette skaper et vakuum. Det fører til at staten – som jo er den overordnede myndighet for å oppnå samfunnssikkerhet – får begrenset muligheten til å ta beslutninger som sikrer oss mot cyberangrep. I stedet får man interessekonflikter og en uklar fordeling av roller internt blant norske myndigheter om hvem som har ansvar for å gjøre hva.
Kjernen i problemstillingen er at ansvaret for en nasjons sikkerhet må ivaretas av staten på en sentralisert og formalisert måte
Kjernen i problemstillingen er at ansvaret for en nasjons sikkerhet må ivaretas av staten på en sentralisert og formalisert måte. Men sikkerhet knyttet til cyberspace medfører helt andre problemstillinger; privat sektor blir en stadig viktigere del av dette problemet, men trekkes ikke inn på en måte som vekker tilstrekkelig tillit.
Det Lysne-utvalget foreslår er en lovgivning som tar sikte på en klarere ansvarsfordeling mellom aktørene. Problemet er imidlertid at dette ikke holder juridisk, fordi den går for langt inn i å bryte viktige personvern-hensyn, noe som også er årsaken til at sentrale bedrifter har gått ut av VDI-samarbeidet.
Det er kanskje ikke ny lovgivning som skal til, men en bedre og samlet organisering som ivaretar personvern-hensyn slik de i dag er hjemlet i loven, og med klarere rollefordeling mellom private og offentlige aktører.
Det er staten som til syvende og sist skal beskytte samfunnet, men trusselen fra cyberspace innebærer helt andre problemstillinger enn de som kan løses av tradisjonelle militære virkemidler. Dataangrep på vitale samfunnsfunksjoner som i dag ivaretas av private bedrifter – med betydelig statlig eierandeler – er en del av problemet. De må derfor i større grad også bli en del av løsningen.
Dataangrep på vitale samfunnsfunksjoner som i dag ivaretas av private bedrifter – med betydelig statlig eierandeler – er en del av problemet. De må derfor i større grad også bli en del av løsningen
Da forsvarsminister Ine Marie Eriksen Søreide mottok rapporten i fjor høst, var hun tydelig på at status quo ikke var aktuelt, noe måtte gjøres, og at rapporten fra Lysne II-utvalget dannet et viktig beslutningsgrunnlag i så henseende. Lysne-rapporten gjør ikke det. Å rydde opp i eksisterende rolleblanding, organisering og manglende tillitsforhold, err et bedre grunnlag for å forhindre cyberkrigføring - nå.
Å forhindre cyberangrep berører viktige demokratiske prinsipper:
På den ene side vil den type overvåkning som Lysne-utvalget foreslår, innebære en «nedkjølings-effekt» på samfunnet, da det vil kunne bidra til å redusere eller fjerne den offentlige og private meningsutveksling i fare for å bli overvåket og misbrukt.
På den annen side er tiltak for å motstå cyberangrep avhengig av tillit mellom partene, mellom private bedrifter og offentlige myndigheter, slik at rollefordelingen er klar og akseptert, og at begge holder seg innenfor lovverket, også personvernet.
Det er derfor bredere problemstillinger som må løses. Ikke bare komme med et lovforslag om et digitalt grenseforsvar.
Fredag hadde Den norske Dataforening møte om digitalt grenseforsvar:
Datatilsynet slakter omstridt forslag: – For oss er Digitalt grenseforsvar helt uaktuelt! »
Arild Haraldsen har bidratt til digi.no med debatt, kommentarer og bokanmeldelser i mange år. Haraldsen var tidligere adm dir i NorStella, og i den anledning ansvarlig for Samhandlingsarenaenen i forskningsprosjektet Semicolon. Nå selvstendig konsulent med oppdrag innen strategisk bruk av IKT, foredrag og debattleder. Haraldsen har skrevet en rekke fagbøker innen sitt område.