HØRINGSINNSPILL FRA TELENOR NORGE NOU DIGITAL SÅRBARHET

Transkript

1 Justis- og beredskapsdepartementet Postboks 8005 Dep Oslo Vår dato Vår saksbehandler Hanne Tangen Nilsen HØRINGSINNSPILL FRA TELENOR NORGE NOU DIGITAL SÅRBARHET Telenor Norge (Telenor) viser til NOU som ble avgitt til Justis- og beredskapsdepartementet 30.november Telenor gir herved sine kommentarer til denne. Norge er på vei til å bli et gjennomdigitalisert samfunn, med automatiserte og digitaliserte tjenester, som prosesstyring i industri, mobilapplikasjoner for samferdsel, fjernstyring av kraftproduksjon og finanstjenester. Digitaliseringen vil fortsette, og det bidrar til å holde kostnader nede, understøtter økonomisk vekst og gjør hverdagen enklere. Men det gjør samfunnet og oss sårbare og det gjelder ikke bare mobiltelefoni og internettjenester. Uten de landsomspennende datanettverkene våre stanser samfunnet opp. Sykehus kan gå glipp av livsviktige data, tog- og flytrafikk kan stanse opp, økonomiske transaksjoner kan forsinkes eller stanse, og evnen til politisk ledelse av nasjonen og informasjon til borgerne kan lammes. Et angrep mot eller utfall i vår digitale infrastruktur og tjenester kan med andre ord ramme oss hardt. Det er derfor positivt at myndighetene ber om vurdering av hvordan samfunnet kan redusere sin sårbarhet. Rapporten gir en god oversikt over en rekke sårbarheter som det må arbeides systematisk med fremover. Den gir også oversikt over ansvarsforhold i myndighetsforvaltningen og internasjonale forhold, og legger, slik vi vurderer det, et godt grunnlagt for å videreutvikle samspill på tvers av sektorer og internasjonale aktører. Utvalget har anbefalt en rekke tiltak til videre vurderinger. Vi kommenterer kun på et utvalg av disse. Vi har samlet våre innspill av generell karakter først, dernest kommenterer vi forslaget spesifikt på områdene reduser kritikalitet av Telenors kjernenett, kompetanse, styring og ledelse, samt hendelseshåndtering. Vi stiller gjerne i møte dersom noen av våre innspill ønskes diskutert ytterligere. Med hilsen Telenor Norge AS Berit Svendsen Administrerende direktør Telenor Norge AS Kontoradresse: Snarøyveien Fornebu Postadresse: Telenor 1331 Fornebu Telefon: Bankgiro: Po stgiro: Hovedkontor: Snarøyveien Fornebu Organisasjonsnummer: NO MVA

2 1) Generelle innspill Telenor har utviklet teletjenester i over 160 år, og risikostyring både har vært og er et viktig styringsprinsipp for oss. Det ligger både muligheter og utfordringer i digitaliseringen. Med økt globalisering, teknologiskifter og høy endringstakt på nyutvikling og bruk av digitale tjenester har vi de senere årene gjennomført et skifte i vår tilnærming til risikostyring, dvs i bredden av hva som vurderes. Verden har blitt et tryggere sted på grunn av digitaliseringen, ikke farligere, men truslene og sårbarhetene har blitt annerledes og ny kompetanse og forståelse må utvikles. Digitaliseringen av samfunnet har medført at vi vurderer våre sikkerhetsrisikoer med bakgrunn i samfunnsutviklingen, endringer i klima, lover og forskrifter, sårbarheter i egne nett og tjenester, teknologiendringer og endringer i trusselbildet. Det kan ikke gis 100 prosent garantier for at ikke tjenesteutfall vil skje, men med systematisk risikostyring og forbedringsarbeid legges grobunn for en organisasjon som forebygger for, samt evner å håndtere feilsituasjoner- og hendelser, på en slik måte at samfunnet og enkeltindividet i minst mulig grad blir alvorlig berørt. Vi opplever at det er en avstand mellom hvordan vi vurderer risiko og hvordan myndighetene vurderer risiko tilknyttet vårt område. En sterkere involvering av sentrale samfunnsaktører og infrastruktureiere både i risikovurdering, og i tiltaksutforming er derfor noe vi sterkt anbefaler. Dette mener vi vil gi et bedre grunnlag for felles forståelse av faktisk sikkerhetsnivå og hvilke risiko som er akseptert og ikke. Det må være tydelig hvem som skal gjøre vurderingen og hvem som skal stille krav til tiltak/sikring av samfunnsverdier. Vi er av den oppfatning at samfunnskritiske aktører som er privateid i for liten grad blir konsultert og invitert inn i tiltaksarbeid i samvirke med myndighetene. Det kan virke som kun sektordepartementet og eventuelt direktorat/tilsyn gis denne muligheten. Dette er ikke kritikk til disse, men IKT-forståelse er ikke noe man kun kan ha en opparbeidet teoretisk forståelse for, det må jobbes med kompetanse, sikkerhetskultur og ledelse. Skal man etablere tiltak som er effektive må i tillegg virksomheter med operasjonell forståelse for design, utbygging og drift av infrastruktur være med i utarbeidelsen av disse. Det henvises ofte til at myndighetene har et godt bilde av hvem som har ansvar for hva. Ansvar for samarbeid på tvers av sentrale problemstillinger, så vel strategisk som operasjonelt, virker det imidlertid som det mangler felles strategier og mål for. At IKT er en sektorovergripende utfordring og cyber er tverrsektoriell har utvalget forstått. Sektorprinsippet er imidlertid ikke utfordret. Det kan være flere årsaker til det, men Telenor savner at utvalget i større grad utfordrer myndighetene her. Om det ikke er sektorprinsippet som det er noe feil med, er det da evne og vilje til samarbeid som er manglende? Er det slik at sektorovergripende roller i for liten grad er premissgivende i sin utøvelse og at det i for stor grad blir koordinering? Det er derfor vår anbefaling at man ved konkretisering av de tiltak utvalget har forslått er tydelige på målsettinger som fremtvinger at det tydeliggjøres et premissgivende ansvar og gjennomføres samarbeid på tvers av sektorer, så vel som på tvers av offentlig og private virksomheter. Et direktorat som eksempelvis har fått et ansvar for IKT forbedringsarbeid, må ha mandat til å kunne sette premisser på tvers av sektorer, ikke bare koordinere arbeidet. Det betinger imidlertid at man har nødvendig IKT-kompetanse og kapasitet tilgjengelig. I et samfunnssikkerhetsperspektiv er det både individet og samfunnet som helhet som skal vurderes. I det rapporten spenner fra å trygge kritiske samfunnsfunksjoner til å trygge individet tror vi det er formålstjenlig i videre arbeid å være tydelig på skillet mellom hva som trygger samfunnet og derav individet indirekte, og hva som kun er rettet mot individet og i seg selv ikke gir økt samfunnssikkerhet. Ved prioriteringen av tiltak fremover bør det skilles tydeligere på tiltak knyttet til personvern og menneskerettigheter, og tiltak som er direkte knyttet til å sikre god 2 / 8

3 samfunnssikkerhet (liv og helse). Det vil gi tydeligere mål for tiltaket, samt hvilke innsatsfaktorer og prioritering som må på plass for å nå målet. Det vil også tydeliggjøre hva som er viktigst å bruke innsatsfaktorene på. Utvalget anbefaler videre tiltak om utredning av behovet for digital grensekontroll. Dette avventer vi å kommentere på inntil det nyopprettede utvalget legger frem sine vurderinger. Vi stiller oss selvsagt til rådighet for utvalget. Vi er av den oppfatning at det mangler en helhetlig tilnærming i lovverket som ivaretar balansen mellom å beskytte samfunnet i motsetning til å beskytte individet. Som eier av kritisk infrastruktur er Telenor pålagt å beskytte vår infrastruktur mot ondsinnede handlinger. I cyberdomenet krever dette lagring av data over tid for å avdekke unormale handlinger i våre systemer og nett. For dette formålet må vi lagre persondata mye lengre enn vi gjør i dag. Vi mener det er nødvendig med en lovendring som gir hjemmel til dette og samtid setter krav til databehandler om beskyttelse av disse dataene. Det legges i Sikkerhetslovens forslag fra i høst opp til endring av lagring av persondata for NorCert sin del, men dette vil ikke være tilstrekkelig for de som skal beskytte kritisk infrastruktur. Det må derfor vurderes hvordan vi i ugraderte systemer kan lagre persondata for beskyttelse av våre teletjenester og kritiske infrastruktur mot ondsinnede handlinger i cyberdomenet. Telenor er kjent med utfordringene om kablene til Svalbard som er beskrevet i rapporten «..ser det som en utfordring at det er flere andre eiere «utenfor kabelen» og i liten grad et ende-til-endefokus». Telenor har i møte med Justisdepartementet i 2015 beskrevet samarbeidet med Space Norway (SPN) som godt, men samtidig også forklart at den eneste aktøren med tilstedeværelse 24/7 og reell beredskapsorganisasjon er Telenor Svalbard med støtte fra Telenor Norge. Et samlet eierskap og driftsansvar hos Telenor kan være en mulig løsning på utvalgets funn. 2) Redusere kritikaliteten av Telenors kjerneinfrastruktur I NOU en pekes det på at Norge i vesentlig grad er avhengig av ett datanettverk, Telenors. Det vekker bekymringer hos sårbarhetsutvalget. Den nasjonale kommunikasjonsinfrastrukturen er sårbar og det er mange forhold som kan påvirke nasjonens digitale evne. Telenors kjernenett bærer i dag majoriteten av samfunnets digitale tjenester og vi har gjennom mange år investert titalls milliarder i vår infrastruktur. Nettopp derfor har vi et meget godt og robust kjernenett. Et nett som også krever en beredskapsorganisasjon det har Telenor. Slik vi vurderer de foreslåtte tiltakene så handler dette ikke om å redusere kritikaliteten av Telenors nett. Dette oppfattes mer som en politisk sak, enn teknisk. Det er vår oppfatning at utvalget ikke har hatt nødvendig innsikt i hva som faktisk utgjør sårbarheten. Et kjernenett til i Norge vil ikke løse noe som helst når det gjelder samfunnets sårbarhet knyttet til Telenors kjerneinfrastruktur. Skal man foreslå tiltak er det vår anbefaling at man se på hvordan man faktisk gjør Telenors nett mindre sårbart og derav samfunnet mer robust. Dette må vurderes fra et samfunnsøkonomisk perspektiv, ikke kommersielt. Vi forstår utvalget dithen at det er kundene som uansett skal betale for den ekstra sikkerheten. Her bør myndighetene ta et annet perspektiv, dvs samfunns- og statssikkerhetsperspektivet. Telenor har 2 fysisk uavhengige kjernenett. Broadnet har ett. I Sør-Norge vil ett ekstra kjernenett ha minimal betydning for tilgjengeligheten. Teknisk vil neppe en ekstra operatør gi noe mer. I Nord- Norge kan en ekstra operatør tilføre noe. Men Telenor har ikke bare kjernenett. En uavhengig ruting 3 / 8

4 av Telenors Metro transmisjonsnett i forhold til kjernenettet gjør at Telenor kan tilby 3-4 uavhengige veier til de største byene i Nord-Norge. Dette krever at Telenors kjernenett rutes på andre operatørers fibernett, som da rutes uavhengig av Telenors fiberkabler. Dette kan imidlertid ikke garanteres uten full transparens på hvem som kjøper hva fra hvem. Eksempelvis mangler rapporten oversikt over at Altiboks faktisk er rutet på Telenors infrastruktur i Nord-Norge. Og hva mener egentlig utvalget med to fysiske nett? Eller er det et fysisk separat transmisjonsnett? Det kan virke som utvalget blander sammen transmisjonsnett og ip-nett (transportnett). Skal man også ha to ip-nett på toppen? Dette nevnt for å illustrere at utvikling av en helhetlig kjernenettsinfrastruktur i Norge vill være sammensatt og kompleks. Et felles styringsorgan er nødvendig om det skal være praktisk mulig. Dette må modelleres og designes helhetlig for å kunne fungere og det må ligge mekanismer for å legge om trafikk, og det må være planlagt i forkant at det er kapasitet. Dette blir komplekst. Det kan i tillegg virke som utvalget har sett bort fra det faktum at mye av redundansen vi bygger inn i vårt nett nå i størst mulig grad legges på logisk nivå. Vi mener et arbeid på tiltaksutbedring bør starte med å få forståelse for hvordan redundansen i logisk og fysisk infrastruktur faktisk er, samt forskjellen på de fysiske og logiske strukturene. I rapporten beskrives en ekominfrastruktur som ikke stemmer overens med slik vi designer våre nett. Det er også slik at begrepene Aksessnett brukes ulikt. I kapittel synes utvalget å definereaksessnett ganske greit. Aksessnett er altså nettet ut til kunden uavhengig om vi snakker kobber, koaks, fiber eller radio. Men i 11.1 og i figuren der er aksessnett definert som nettet frem til aksessnode. I Telenor kaller vi dette nett-segmentet lokalnett. Rapporten ser ut til å mangle dette segmentet mellom regionsnett og aksessnettnode og således virker beskrivelsen rotete. I kapt henvises det til at en del av infrastrukturen til Telenor og Broadnet er fremført i felles traseèr. Dette kan være en faktor som svekker robustheten i nettet. Vi mener dette blir unyansert. Det at vi har felles traseèr betyr nødvendigvis ikke at alle nett rammes samtidig. Telenors nett, og antakelig Broadnets nett, er bygget som selvstendige nett og har sin redundans uavhengig av hovedtrasèen. Har kunden flere samband som de eksempelvis ønsker å spre på flere operatører, kan hverken Telenor eller Broadnet garantere uavhengighet til enhver tid. Det kan kun gjøres innen en og samme operatør. Vi anbefaler derfor at man i større grad enn nå krever at samfunnsviktige funksjoner kjøper redundante løsninger. Den beste garantien for en kunde er at operatøren de er kunde hos håndterer begge sambandene. Som nevnt mener Telenor at den beste måten å redusere kritikaliteten i vårt kjernenett er å redusere sårbarheten i vår infrastruktur, ikke opprette ytterligere kjernenett, dvs at myndighetene bør gå i dialog med Telenor om dette. Et annet alternativ for å redusere sårbarheten i samfunnet er å redusere sårbarheten i aksessnettene. Dette har imidlertid ikke utvalget problematisert. En politisk diskusjon om regional autonomi i et samfunns- og statssikkerhetsperspektiv bør i så fall være en del av diskusjonen knyttet til kjernenett. Vi har ikke grunnlag for å vurdere hva som inngår i beregningene av beløpet det henvises til i rapporten for å etablere et ekstra kjernenett. Sett i forhold til egne erfaringstall for bygging og drift av kjernenettinfrastruktur virker tallene urealistiske. Sikre samfunnet og nasjonens interesser Utvalget har valg ikke å debattere Forsvarets rolle som del av rapporten. Med dette oppfatter Telenor at man ikke har tatt inn over seg mulighetene det ligger i å sikre digital infrastruktur. Telenor vil derfor anbefale et tiltak til, utover aktivt å redusere selve sårbarheten i Telenors 4 / 8

5 kjernenett, dvs å vurdere et strategisk samarbeid mellom Forsvaret og Telenor. I dette ligger en mulighet for bedre utnyttelse av samfunnets ressurser, både IKT-kompetanse, cyberkompetanse og en sterk beredskapsorganisasjon. Klimatiske utfordringer, som flom og ras, har vi god beredskap på. Det vi i tillegg må evne håndtering av er en situasjon hvor kommunikasjonsinfrastruktur kan være mål for en motstander av statlig karakter. En motstander vil kunne ønske å destabilisere viktige samfunnsfunksjoner, forstyrre politisk ledelse eller Forsvarets evne til mobilisering eller forflytting av styrker, enten gjennom fysiske anslag eller digitale angrep. Alt dette har vi sett i nyere konflikter og det er liten grunn til å tro at en konflikt som involverer Norge vil arte seg annerledes. De sivile og militære systemene er ikke fullt ut frakoblet hverandre. I moderne samfunn ligger komplekse avhengigheter til grunn for all virksomhet, enten den er militær eller sivil. Forsvaret er eksempelvis avhengig av strømforsyning til sine garnisoner, og de er avhengige av telefontjenester. Disse tjenestene leveres ikke nødvendigvis av Telenor, men er avhengige av den grunnleggende infrastrukturen som Telenor leverer i Norge. Likeledes er det flere tilfeller hvor Telenors infrastruktur er samlokalisert med militære kommunikasjonspunkter, og at Telenors basestasjoner for mobiltelefoni nyter godt av Forsvarets løsninger for nødstrøm. Telenor og Forsvaret eier i dag de to viktigste landsomspennende kommunikasjonsnettverkene i Norge. Tiden er inne for å vurdere hvordan vi kan styrke hverandre i enda større grad enn i dag. Vi deler allerede cyberkompetanse, og vi øver sammen men i et nasjonalt beredskapsperspektiv vil det være i nasjonens interesse at vi gjør enda mer sammen. Det kan være faglig, teknisk og operasjonelt, men det dreier seg også om beredskap, og hvordan vi samarbeider i en krisesituasjon, på tvers av myndigheter, militær og privat sektor, og at ressursene finner hverandre. De av oss som har et særskilt samfunnsansvar har også et felles ansvar om å gå sammen for å gjøre nasjonen sikrere og mer robust, og bidra til best mulig trygghet for innbyggerne. Vår anbefaling er derfor å gi Telenor og Forsvaret et ansvar ut fra samfunnssikkerhetsperspektiv å trekke opp linjene for hvordan dette praktisk kan gjennomføres. Sikre mangfold blant leverandørene til infrastrukturen Både fra et strategisk, teknisk og operativt ståsted mener vi at myndighetene bør unngå, så langt det er mulig, å blande seg inn leverandørvalg. Det vil kreve en meget god konsekvensforståelse og tett samarbeide med operatørene. Det er få, om noen, telekommunikasjonsoperatør som kun bruker en leverandør i nettverks- og tjenesteutvikling. Det benyttes mange. Leverandørvalg ses ifht design, pris, sikkerhet, regulatoriske krav, egnethet med mer. Det øker risikoen å ha mange leverandører inne, men en ene-leverandørstrategi gir sjelden fordeler. Ved anskaffelse er det mange kriterier som vurderes, i tillegg til sikkerhetsrisiko. Uten et styringsorgan i myndighetene som har særskilt god innsikt i operatørenes design ser vi ikke at det finnes gode virkemidler for å sikre diversitet i utstyr. Utfordringene med innblanding fra myndighetene knyttet til diversitet på utstyr er flere. Det kan påvirke kommersielle forhold (pris, kontrollmekanismer). Det kan i ytterste forstand svekke sikkerheten fordi man må velge utstyr som ikke har den egnetheten man ønsker for sine respektive nett og tjenester. Det kan også gi vesentlig tap av konkurranseevne (kan ikke levere samme type tjenester, innovasjonsevne mm). Det er også viktig å merke seg at diversitet på utstyr ikke alltid gir diversitet på feil. Leverandører bruker underleverandører og det er eksempler på tilfeller hvor samme kodefeil har blitt avdekket fra to forskjellige leverandører. Fra vårt ståsted er det ikke noe mindre usikkert med en leverandør som to leverandører. Å forvalte en situasjon hvor offentlige myndigheter skal koordinere dette anser vi som tilnærmet umulig. 5 / 8

6 Vi antar at utvalget mener at dette skal omhandle leverandører til kritisk infrastruktur. Dersom endringene i 27a i Sikkerhetsloven blir vedtatt er det allerede et punkt som omhandler leverandørvalg. Vi anbefaler at prosesser knyttet til leverandørvalg blir sett i sammenheng med et eventuelt vedtak av denne lovendringen. 3) Kompetanse, styring og ledelse Økt IKT-kompetanse og -sikkerhetsforståelse er pekt på som meget sentralt for å sikre en god risikoforståelse for den digitale utviklingen og de samfunnssikkerhetsutfordringer det potensielt kan gi. Dette støtter vi, men savner konkrete tiltak direkte knyttet til standardisering av definisjoner og begrepsbruk på tvers av de konkrete sektorlovgivningene og sektorovergripende lovgivninger. Det er eksempler på uklarheter i både kapt. 4 og 5. Eksempel; Uttrykkene «need to know» og «need to share beskrives som motsetninger. Det er det nødvendigvis ikke, men det må søkes å finne balansen mellom disse. Å kunne motstå og håndtere hendelser i cyber krever større omfang av deling av informasjon mellom offentlig og privat, samt at det må skje langt raskere enn tidligere. Et annet eksempel er bruk av begrepene «sårbarheter», «risiko» og «trusler» som er ulikt definert avhengig av hvilken sektor man forholdes seg til. Begrepet «trussel» brukes gjerne om både (1) kapasitet og intensjon og (2) faren ved konsekvensene av utilsiktede hendelser. Etter Telenor syn er dette en sammenblanding av trussel og risiko. Standardisering av begrepsbruk vil gi myndighetene mulighet for sammenfallende tilnærming til tilsynsoppfølging på IKT-området, i tillegg til at tiltak som helt naturlig vil være sektorovergripende er enklere å kommunisere med henvisning til sektorlovgivning. Innen IKT benyttes det ofte anerkjente internasjonale standarder, i tillegg til bransjestandarder. Det bør derfor så langt det er hensiktsmessig henvises til samme internasjonale standarder på tvers av sektorlovgivning. Det bør tilstrebes å lages EN sentral sektorovergripende oversikt for definisjoner og begreper som eies av ETT departement. I arbeid med lovgivning, utvalgsarbeider mm vil definisjonene fra denne oversikten benyttes, og ønsker man å utfordre definisjoner eller utarbeide nye vil innspill måtte vurderes av departementet som eier oversikten. I rapporten fremstilles de digitale verdikjedene som uoversiktlige for samfunnet og brukerne og at dette gjør oss mer sårbare. Vi mener dette skaper unødvendig usikkerhet ved å fremstille det som en stor sårbarhet for samfunnet. At det er en viss risiko forbundet med ukjente avhengigheter vil vi måtte leve med, og vi må også leve med at det vil oppstå feilsituasjoner som følge av dette. For teknologivirksomheter av en viss størrelse og spesielt med ansvar for kritiske samfunnsfunksjoner bør imidlertid verdikjeder og leverandøravhengigheter være godt dokumentert. At det i en digitalisert verden er nødvendig å ha kontroll på dette er helt åpenbart, og det bør naturlig nok settes tydelige krav fra myndighetene om at dette skal dokumenteres og følges opp på. Likeså hvilke sårbarheter som er tilknyttet ulike ledd i leverandørverdikjeden og risiko som følge av dette. Det kan imidlertid ikke forventes at dette skal være lett tilgjengelige oversikter som enhver borger i Norge kan forholde seg til. Dette handler i tillegg om IKT-kompetanse. Vi støtter derfor at det etableres en overordnet nasjonal kompetansestrategi innen IKT-sikkerhet. Det er imidlertid viktig at en nasjonal strategi dekker både tilsyn, myndigheter, bedrifter og individer. Kompetanse må omfatte både teknologiforståelse, innkjøpsforståelse og forståelse for samfunnets avhengigheter. 6 / 8

7 4) Avdekke og håndtere digitale angrep Både myndighetene, departementer og sektortilsyn bygger kompetanse på cyberhendelser og hva som kreves for å håndtere disse. Vi støtter derfor at det etableres et helhetlig rammeverk for digital hendelseshåndtering, og at dette etableres og øves i tett samarbeid med Forsvarsdepartementet. Det må imidlertid ikke stoppe der, både privat sektor og eiere av kritisk infrastruktur er naturlige parter å involvere i utvikling av rammeverket og naturlig nok i øvelser. Telenor mener at der er høyst usannsynlig at en større IKT-hendelse i cyber vil være avgrenset til en sektor. Ekomsektoren er bærer av kommunikasjon til alle sektorer og derfor samfunnskritisk på tvers og vil høyst sannsynlig være involvert i enhver form for IKT-hendelse i cyber, uavhengig av hvilken sektor som er mål eller rammet av hendelsen. Det samme kan sies om kraftsektoren. En tilleggsfaktor er at en cyberhendelse i ekomsektoren vil kunne ha konsekvenser for andre sektorer. I Norge har vi behov for å styrke nasjonal deling av informasjon om cyberhendelser, informasjonsutveksling i sanntid, samt samarbeid mellom myndigheter og fagmiljøer om utviklingen i trusselbildet. Vi støtter derfor forslaget om å styrke Justis- og beredskapsdepartementets tverrsektorielle virkemidler på IKT-sikkerhetsområdet. Dette må innebære en tydeliggjøring av ansvaret for, og økt kompetanse og mandat til å kunne gjennomføre sektorovergripende tiltak. I cyberdomenet finnes i dag ingen politimester. Det er ingen kapasitet som kan rykke ut og ta over ansvaret for håndtering av hendelsen. Det er virksomheten som er rammet som må normalisere situasjonen (ansvarsprinsippet). Politiet må imidlertid få samme sentrale rolle i håndtering av cyberkriminalitet som for annen type kriminalitet. Det er viktig at hendelser i cyberdomenet håndteres etter de samme retningslinjer som hendelser i «den virkelige verden». Det krever imidlertid en annen type kompetanse for å kunne håndtere hendelsen overfor den aktuelle virksomheten. Skal politiet evne å sette krav til virksomheten om hvordan denne skal forholde seg til hendelsen krever det ny kompetanse hos politiet. Vi støtter derfor at politiets evne til å bekjempe IKT-kriminalitet styrkes, blant annet gjennom opprettelse av et nasjonalt senter for å forebygge og etterforske komplekse og grenseoverskridende IKT kriminalitet. Det er etablert miljøer for å håndtere hendelser i en rekke sektorer. Disse er av varierende form, type og adresserer ulike målgrupper. En del er å regne som rene informasjonshub er hvor den viktigste rollen er informasjonsdeling, rapportering og varsling. Andre miljøer er fullt ut operasjonelle og med innsyn i IKT-infrastrukturen for virksomheten. Telenor tror det er et potensial å utnytte de store infrastrukturleverandørene som trenger egne SOC/CERT-miljøer på en mer optimal måte enn i dag. Vi anbefaler at man ved evaluering av sektorvise CERT vurderer dette. Utvalgets flertall anbefaler at det legges til rette for at sektorvise koordineringsmiljøer kan samles i et felles senter og at det legges til rette bygningsmessig. Vi anerkjenner sektorcert enes behov for tettere samhandling med NorCert, men vi mener at bygningsmessige forhold er feil sted å starte. Vi må vite hvordan vi skal samhandle, og hvem som gjør hva i håndteringen av hendelser, før vi vurderer samlokalisering og bygg. Vi er enig i at det må legges til rette for bedre samhandling både i det daglige og i forbindelse med hendelser. Telenor anbefaler at NorCert sin rolle videreutvikles slik at de i større grad enn i dag har en eksplisitt og tydelig rolle i et nasjonalt samfunnssikkerhetsperspektiv. Det vil si å videreutvikle og styrke Norges samlede evne til å håndtere et cybertrusselbilde i stadig endring. Herunder å legge til rette for strukturert deling av informasjon knyttet til sårbarheter, hendelser og endringer i trusselbildet til private så vel som statlige virksomheter som har behov for denne kunnskapen. For 7 / 8

8 samfunnskritiske aktører og aktører underlagt Sikkerhetsloven bør det være et pålegg, ikke frivillig, å være del av et nasjonalt CERT. På samme måte må aktører med samfunnskritisk funksjon være pålagt å være med i det nasjonale CERT-et. Telenor anbefaler at Telenor og NorCert i samarbeid dokumenterer hvorledes et slikt forpliktende samarbeid kan formaliseres. I dette ligger blant annet kriterier for hva som skal legges til grunn for å delta i et slikt samarbeid. Vi mener at et nasjonalt CERT skal være en arena der eiere av nasjonal samfunnskritisk infrastruktur eller utøvere av nasjonal samfunnskritisk funksjon er forpliktet til å delta og der aktører som vurderes ha en verdi i nasjonalt perspektiv kan få delta under samme forpliktelser som øvrige. Myndighetene bør også etter Telenors syn vurdere å se helhetlig på hvilke virkemidler som kan benyttes fra sektormyndighetene for å finansiere relevante cybersikkerhetstiltak innen rammen av offentlig-privat samarbeid. Telenor mener at politiet må ha en sterk posisjon i NorCERT for å kunne bruke funn i forebygging og etterforskning. Posisjonen må forankres politisk slik at det blir gitt tydelige retningslinjer for deling av informasjon.. Utvalget mener at et NkomCSIRT er hensiktsmessig og anbefaler at Nkom fortsetter å jobbe videre med dette. Telenor ser det som riktig at Nkom bygger kompetanse og forståelse for hva cyberhendelser omhandler og hvordan disse må håndteres. Telenor mener imidlertid at det må defineres tydelig hva som ligger i «håndtering». Håndtering kan være operasjonelt i form av implementering, analyse og risikovurdering, det kan være informasjonsdeling, koordinering eller strategiske nasjonale prioriteringer. Og hvordan skal relevant risikoinformasjon fra eksempelvis NorCERT analyseres og formidles slik at det blir både hensiktsmessig og forsvarlig innad i sektoren? Vi ser utfordringer med hvordan effektiviteten i informasjonsdeling skal sikres, samt rollesammenblanding av tilsyn og CSIRT. Det må skapes tydelighet på hvilken merverdi dette gir for ekomsektoren. Det må i tillegg være tydelig hvilken rolle NkomCSIRT skal ha i forbindelse med informasjonsdeling og rådgivning under en hendelse, som i all hovedsak må håndteres av tilbyderne. Nkom legger opp til tett dialog med NorCERT gjennom deltakelse i diskusjoner på operative kanaler, sikkerhetsfora og periodiske møter for informasjonsutveksling. Varsling fra tilbyderne skal også inngå her. Telenor vil understreke at for at dette skal gi effekt må alle involverte forstå hvor kritisk tid er og hvor vesentlig det er å dele innhold. Den deling som i dag skjer via NorCERTkanalen er sårbarheter og teknisk informasjon, ikke trusselforståelse og aktørinformasjon. Det må etableres andre fora for det sistnevnte. Det er store bransje-, sektor- og virksomhetsvise forskjeller med tanke på forståelse og evne til å håndtere egne svakheter og sårbarheter. Den samme forskjellen er det på virksomheters modenhet, evne og kapasitet til beredskapstenkning. Telenor finner det uklart hvorledes Nkom skal støtte både de store ekomleverandørene og de små, og behovet for leveranser fra et sektorcert er svært forskjellig fra tilbyder til tilbyder og det vil bli krevende å holde seg oppdatert. For en stor aktør som Telenor er det imidlertid helt nødvendig å være oppdatert og ha evne til både å avdekke og håndtere cyberhendelser. Denne kunnskapen kan kanskje komme andre telekomoperatører til nytte. Telenor finner det naturlig å spørre om vi som eier av samfunnskritisk infrastruktur bør ha en mer sentral rolle i et CSIRT for ekomsektoren? 8 / 8