– Det er sannsynlig at noe usannsynlig vil skje.
(Aristoteles, 384–322 f.Kr.).
Regjeringskvartalet er blitt hacket. Det samme har Pentagon, CIA, Det Internasjonale Pengefond (IMF) og Google. I tillegg har både mobilnettet, togene og bankene her i landet vært lamme ti perioder før sommerferien. Og 22. juli skjedde det som ikke skal skje. Hvem tør si at ikke samfunnet er blitt mer sårbart.
Det finnes flere årsaker til det: Den IT-teknologiske utviklingen, og den økende kompleksiteten og avhengigheten i samfunnet, også global, er bare ett av flere utviklingstrekk. La meg se på bare ett aspekt av denne problemstillingen – under fellesbetegnelsen «hacking».
Det er to ting som kjennetegner denne utviklingen:
- «Hacking» som foregår av privatpersoner har økt i omfang og fått stadig mer alvorlig karakter.
- «Hacking» er i ferd med å bli legitimt i og med at flere lands nasjonale myndigheter i dag står bak de alvorligste hacker-angrepene.
«Hacking» hadde tidligere et visst ideelt formål. En skulle (anonymt) vise hvor sårbare IT-systemene var, for å gjøre bedrifter og myndigheter oppmerksomme på de svakheter systemene hadde. Men dette har for lengst utviklet seg til å bli kriminelle handlinger. Hackingen har hatt som formål å stjele person- og kredittkortopplysninger for så å selge disse «svart». Flere er imidlertid avslørt, domfelt og fengslet.
Delvis som følge av dette har en utbrytergruppe fra Anonymous, LulzSec, annonsert at de vil gå til krig mot «de undertrykkende elementene i samfunnet som kontrollerer oss, ved å bruke den makt og frihet vi fortjener». LulzSec ansees som en politisk terrororganisasjon av amerikanske myndigheter.
Det er ikke bare privatpersoner som driver hacking. Men også offentlige myndigheter.
Hacking er nå blitt en storindustri etter at lands nasjonale myndigheter ser en interesse i å benytte dette som politisk våpen. Det utvikles nå stadig mer avanserte, men samtidig lette å bruke, «toolkits» for enten å binde flere datamaskiner sammen som styres av «hackeren» (botnet), eller de mer tradisjonelle angrepene som tar kontroll over den enkelte datamaskin, («exploit»), og utnytter svakhetene i operativsystem, og så videre. Flere av hacker-miljøene eller tradisjonelle sikkerhetsselskaper har nå åpenbart fått i oppdrag av nasjonale myndigheter i flere land om å utvikle mer avanserte hackings-«våpen», og eller delta i angrep.
Et typisk eksempel på et slikt angrep på lands infrastruktur utført fra et annet land, var det som skjedde i Syd-Korea i mars i år. Tusenvis av private datamaskiner ble infisert, og brukt til å angripe offentlige hjemmesider og militære anlegg. Angrepet varte i 10 dager og skapte store problemer for de syd-koreanske myndighetene. Hvem utførte det? Mistanken går mot Nord-Korea. Men det faktiske angrepet kom fra datamaskiner i USA, Saudi-Arabia, Vietnam og så videre. Dette illustrerer problematikken – angrepet kan gi store skader, samtidig som en ikke vet hvor det kommer fra.
I siste nummer av Bloombergs Business Week pekes det på hvilke samfunnsmessige skadevirkninger denne utviklingen kan ha:
- Flytrafikk – en kan lett bryte seg inn både på trafikk-kontrollsystemet og selve flygningen. United Airlines fikk nylig sammenbrudd i sine IT-systemer, og måtte sette alle flyene på bakken for en kortere periode. Hackere kan gå inn i flyselskapets IT-systemet og simulere samme situasjon.
- Helsesektoren – hackere kan gå inn på sykehusenes overvåkningssystemer og for eksempel stoppe tilgangen til intravenøs næring eller oksygen før det medisinske personellet oppdager noe.
- Transportsektoren – hackere kan gå inn å stoppe, eller sette bremsefunksjoner ut av system i privatbiler.
- Finanssektoren – hackere vil kunne fore børsens handelssystemer med negative data eller falske handelstransaksjoner, og utløse panikk på børsene verden over.
- Hjemmet – hackere kan gå inn ikke bare på din PC, men også TV, og via webkameraet kunne spionere på familiens gjøren og laden.
Trusselen mot samfunnets sårbarhet er selvsagt ikke bare knyttet til teknologiutviklingen. Men den er en sentral del av det.
For 11 år siden foreslo et utvalg ledet av Kåre Willoch en rekke tiltak for komme denne utviklingen i møte. Mange av tiltakene er gjennomført, men ikke det overordnede politiske forslaget, nemlig å samle alle enhetene i ett ansvarlig departement – kalt Sårbarhetsdepartementet.
Etter terrorangrepet 22. juli har Willoch og andre tatt dette opp igjen. Hensikten med et slikt departement er å ansvarliggjøre den politiske ledelse for å sikre at samfunnet på vesentlige områder – det være seg mobilnettet, bankvesenet, flytrafikken, el-sektoren, helsevesenet – ikke lammes av hackerangrep slik flere departementene utvilsomt var gjenstand for nylig.
Jeg gjengir Willoch-utvalgets begrunnelse for et slikt overordnet politisk ansvar i ett departement:
«Utvalget mener det er behov for at ett departement har et overordnet ansvar for å ta initiativ, fungere som pådriver, være koordinator og kontrollør for det ikke-militære arbeid for samfunnssikkerhet. Dette vil bidra til kontinuerlig fokus på og prioritering av sikkerhets- og beredskapsarbeidet, styrke mulighetene for effektiv krisehåndtering, og få positive følger for viktige kompetansemiljøer. Utvalget anbefaler derfor at det etableres et eget departement med sikkerhet og beredskap som en hovedfunksjon. I og under dette departementet bør det samles flest mulig instanser med ansvar for samfunnets sikkerhet mot andre former for risiko og trusler enn de rent militære.»