Høringsuttalelse om endringer i sikkerhetsloven

Transkript

1 Forsvarsdepartementet Postboks 8126 Dep OSLO Vår referanse: MEØ, JHSS Deres referanse: 2013/ /FD V 3/GCB/PAF Oslo, 7. august 2015 Høringsuttalelse om endringer i sikkerhetsloven Det vises til Forsvarsdepartementets (FDs) høringsbrev av 19. mai 2015 om endringer i lov av 20. mars 1998 nr. 10 om forebyggende sikkerhetstjeneste (Sikkerhetsloven). I høringsbrevet foreslår departementet endringer i følgende bestemmelser: 2 Lovens generelle virkeområde 9 Nærmere om oppgavene 23 Klareringsmyndighet og autorisasjonsansvar 28 Leverandørklarering. Videre foreslår departementet fem nye bestemmelser: varsling mv. risiko for rikets selvstendighet og sikkerhet og andre vitale nasjonal sikkerhetsinteresser (ny 5 a), gebyr (ny 6 a), behandling av personopplysninger (ny 10 a), sikkerhetsmessig overvåking av godkjent informasjonssystemer (ny 13 a), og anskaffelser til kritisk infrastruktur (ny 29 a). Mnemonic AS har følgende merknader til høringsnotatet: 5 a. Varslingsplikt mv. ved risiko for rikets selvstendighet og sikkerhet og andre vitale nasjonale sikkerhetsinteresser Departementet foreslår ny 5 a skal lyde: «Dersom en virksomhet får kunnskap om en planlagt eller pågående aktivitet som kan innebære en ikke ubetydelig risiko for rikets selvstendighet og sikkerhet eller andre vitale nasjonale sikkerhetsinteresser, skal virksomheten varsle overordnet departement om dette». [ ] mnemonic Wergelandsveien 25, 0167 Oslo Telefon Fax kontakt@mnemonic.no

2 Mnemonic stiller seg positiv til at varslingsplikten lovfestes, men stiller spørsmålstegn ved gjennomføringen. Det kommer ikke tydelig frem hva virksomhetene forplikter å varsle om, ei heller hvem som skal ha det overordnede nasjonale ansvaret. Videre er det heller ikke tydelig definert hvem som skal kontaktes dersom det varslede departementets kompetanse og situasjonsforståelse ikke strekker til Vi mener varslinger med betydning for rikets sikkerhet bør samles hos ett organ. Dersom slike varslinger ikke sammenfattes risikerer styresmaktene å miste både situasjonsforståelse og handlingsrom. Vi vil også påpeke viktigheten av at det er tydelig for den enkelte virksomhet hvilket departement de skal varsle til. Ikke alle virksomheter underlagt sikkerhetsloven har en klar sektor- eller departementstilhørighet. Vi forventer at det kommer en forskrift som tydeliggjør disse punktene. Når det kommer til implementering av varslingsplikten, er vi også opptatt av at myndighetenes reaksjoner på varslingene er forutsigbare. Dette er nødvendig for å ivareta varslerne og stimulere til at loven virker etter hensikten. 6 a. Gebyr Departementet foreslår ny 6 a skal lyde: «Kongen kan fastsette nærmere forskrift om gebyr for tjenester som utføres med hjemmel i denne lov. Gebyret må være formålstjenlig, og gebyret skal ikke overstige kostnadene ved ytelsen». Mnemonic mener at det er prinsipielt viktig at offentlige tjenester knyttet til ivaretakelse av lovens formål skal være gratis. En markedsstyrt prioritering av oppgaver relatert til sikkerhetsloven vil etter vår mening være en risiko for rikets sikkerhet. Det er essensielt at prioriteringene gjøres med utgangspunkt i rikets sikkerhet, og ikke basert på hvilke tjenester som kan gjennomføres betalt av mottaker. I høringsnotatets avsnitt fremkommer det at gebyr kan være aktuelt for informasjonssikkerhetstjenester som eksempelvis godkjenning av kryptosystemer, monitoring (et uttrykk vi tolker til å bety overvåking), inntrengingstesting, samt tekniske sikkerhetsundersøkelser. Departementet antar at Nasjonal Sikkerhetsmyndighet (NSM) i hovedsak vil være virksomheten som yter slike tjenester. Vi mener at en kommersialisering av NSM vil virke mot sin hensikt. En statsfinansiert tjenestetilbyder vil direkte undergrave veletablerte sikkerhetsaktører i markedet. Videre mener vi det generelle sikkerhetsnivået vil synke dersom en statlig aktør velger å ta seg betalt for arbeid som tidligere har blitt utført vederlagsfritt. Vårt syn er derfor at innføringen av gebyr vil virke hemmende med hensyn til sikkerhetsnivået. Politiet fakturerer ikke publikum for å følge opp henvendelser eller bekymringsmeldinger. Datatilsynet tar seg ei heller betalt for tilsyn, men deler derimot ut bøter ved brudd på Personvernloven. Side 2

3 Departementet sier selv i høringsnotatet at aktuelle områder for en eventuell gebyrordning må konsekvensutredes og vurderes i et eventuelt forskriftsarbeid. Vi anbefaler at gebyrforslaget fjernes i sin helhet fra det endelige lovforslaget. 9. Nærmere om oppgavene Departementet foreslår 9 a skal lyde: «e. drive en nasjonal responsfunksjon for alvorlige dataangrep mot samfunnskritisk infrastruktur og et nasjonalt varslingssystem for digital infrastruktur,» Mnemonic er uenig i at NSMs drift av nasjonal responsfunksjon for alvorlige dataangrep mot samfunnskritisk infrastruktur og Varslingssystem for Digital Infrastruktur (VDI) skal fastsettes i lov. Disse funksjonene, samt Norwegian Computer Emergency Response Teams (NorCERTs) plassering, bør vurderes nærmere etter at innstillingene fra det Digitale Sårbarhetsutvalget (Lysneutvalget) og Forsvarssjefens Fagmilitære Råd (FMR) er ferdig behandlet. På generelt grunnlag stiller vi spørsmål ved hensiktsmessigheten ved at den operative funksjonen for håndtering av hendelser er tilknyttet en tilsynsmyndighet. Vi observerer at det kan være en utfordring både for virksomheter underlagt sikkerhetsloven, og dermed NSM som tilsynsmyndighet, og virksomheter underlagt andre tilsynsmyndigheter. Vi er også noe usikre på hensiktsmessigheten av å benytte begrep som «samfunnskritisk infrastruktur» i lovteksten, uten at det er nærmere definert hva dette betyr i praksis. Vi viser for eksempel til den pågående prosessen med å nominere og definere hvilke systemer som skal omfattes av objektsikkerhetsforskriften, og andre diskusjoner rundt hva som er samfunnskritisk og hvilke sektorer som har størst betydning. En tydelig definisjon av «samfunnskritiske infrastruktur» er nødvendig for å sikre at nødvendige systemer omfattes av lovteksten og de foreslåtte endringene. I dag betaler ikke-offentlige virksomheter for deltakelse i VDI. Mnemonic mener ut fra et sikkerhetsperspektiv at deltakelse i VDI ikke bør være basert på betalingsvillighet, men være noe myndigheter pålegger virksomheter etter klare formål og at tjenesten betales av det offentlige. 13 a. Sikkerhetsmessig overvåking av godkjente informasjonssystemer Departementet foreslår at ny 13 a bl.a. skal inneholde følgende avsnitt: «Den enkelte virksomhet skal kontinuerlig overvåke godkjente informasjonssystem for sikkerhetstruende hendelser, fortrinnsvis ved bruk av automatisert systemovervåking. Sikkerhetsrelevante hendelser skal registreres». Side 3

4 Mnemonic er positive til nye bestemmelser om sikkerhetsmessig overvåking og lagringsplikt på registrerte data på fem år. Samtidig mener vi det på sikt bør vurderes tilsvarende krav til ikke-godkjente informasjonssystemer. I høringsnotatets avsnitt «Nærmere om forslagene» viser departementet til forholdsmessighetsprinsippet i sikkerhetsloven 6 første ledd om restriksjoner på inngripende midler og metoder. Departementet påstår at «behovet for omfanget av registrering og lagring av data kan være mindre på lavgraderte systemer enn på de høyere graderte systemer». Våre erfaringer med design, utvikling, implementasjon, drift og støtte av slike systemer, samt gransking av et stort antall dataangrep de siste ti årene tilsier derimot at behovet for registrering og oppbevaring av logger er vel så viktig i lavgraderte systemer. Avanserte angrep kan ta lang tid å oppdage, og begrenser seg sjelden til et enkelt system. Tvert imot spenner slike angrep ofte på tvers av ulike systemer og nettverkssoner. Uten tydelige krav til lagring av logger på tvers av systemklasser og nettverk risikerer man både redusert evne til gransking av uønskede hendelser, så vel som å utfordringer med å gjenopprette tillit til berørte systemer. Videre i høringsnotatets avsnitt «Nærmere om forslagene» presiserer departementet «at slik overvåking ikke må utføres av personell. Det bør tilstrebes at overvåkingen skjer ved hjelp av automatiserte prosesser». Mnemonic mener sikkerhetsmessig overvåkning er helt avhengig av menneskelig analyse for å avdekke fakta og signifikante variabler. Automatiserte prosesser alene er ikke gode nok. Dersom lovforslaget presiserer bruk av automatiserte prosesser tror vi sikkerhetsnivået vil synke, samtidig som konsekvensene ved feiltolkning ikke oppdages før det er for sent. Tvert imot bør loven kreve at overvåking skjer ved hjelp av kvalifisert personell med tydelige kompetansekrav. Vi anbefaler derfor at 13 a første setning endres ved å fjerne delsetningen «fortrinnsvis ved bruk av automatisert systemovervåking», alternativt at den endres til «fortrinnsvis ved en hensiktsmessig kombinasjon av automatisert systemovervåking og menneskelig analyse utført av kvalifisert personell». Når det gjelder personvernhensyn peker departementet på en mulig «to-mannsregel» for interaktiv tilgang til loggdata. Eksempelet peker på at ulike personer i sikkerhetsroller deler en felles brukerkonto og ivaretar hver sin del av kontoens passord. Vår vurdering er at en slik kontrollmekanisme er vanskelig å gjennomføre og vedlikeholde i praksis. Hvis vi forutsetter en ordrett tolkning av den overnevnte «to-mannsregelen» er mekanismen sårbar dersom en av de to ansatte ikke er tilgjengelig ved behov for innsyn. Virksomheten vil dermed miste sin evne til å kontrollere de aktuelle informasjonssystemene. Videre er praksisen å dele upersonlige kontoer på tvers av brukere dårlig praksis med hensyn til sporbarhet. Vi vurderer sporbarhet og jevnlig revisjon av tilganger som en mer hensiktsmessig kontrollmekanisme. Side 4

5 Videre oppfatter vi begrepsbruken i høringsnotatets avsnitt som upresis. Vårt syn er at ondsinnet programvare ikke utgjør en trussel i seg selv. Truslene skapes av aktører som søker å nå spesifikke målsetninger. I tillegg mener vi det er problematisk at uttrykket «Advanced Persistent Threats» (APT) benyttes for å eksemplifisere «viktige trusler». Uttrykket ble opprinnelig benyttet av det amerikanske luftforsvaret (United States Air Force USAF) for å beskrive datainnbrudd utført av nasjonstater for å oppnå strategiske eller militær-strategiske mål. I dag benyttes derimot uttrykket til å beskrive et stort antall ulike aktører med svært varierende motivasjoner, kapasiteter og kapabiliteter. Vi mener begrepet bør unngås med mindre det blir tydeligere definert. 23. Autorisasjonsansvarlig og klareringsmyndighet Departementet foreslår at nytt avsnitt i 23 skal lyde: «Kongen utpeker to klareringsmyndigheter, en for forsvarssektoren og en for sivil sektor. Etterretnings- og sikkerhetstjenestene klarerer eget personell». Mnemonic opplever at dagens klareringsordning ikke fungerer optimalt. Det kan ta svært lang tid å gjennomføre en klareringsprosess, noe som kan føre til forsinkelser i gjennomføringen av andre aktiviteter. Det kan også føre til at leverandører med allerede klarerte konsulenter fra andre oppdrag kan få fortrinn framfor andre leverandører. Kapasitetsutfordringer og mangel på forutsigbarhet i saksbehandlingen er etter vår vurdering løsbare utfordringer. Dersom det vedtas å etablere to klareringsmyndigheter bør det vektlegges tilstrekkelig kapasitet for å unngå restanser i en eventuell overgangsfase. 28. Leverandørklarering Mnemonic støtter den foreslåtte lovendringen om at leverandørklareringer skal gis for en nærmere definert tidsperiode. For kommersielle leverandører er imidlertid fem år en lang periode, og det kan skje mye som kan ha betydning for klareringen i denne perioden. En slik klarering må derfor gis under forutsetning om at leverandøren forplikter seg til å varsle klareringsmyndighet om eventuelle større endringer, slik som oppkjøp, større endringer i bemanning og endring i lokalisering. Alternativt må klareringsperioden reduseres med de konsekvensene det har for tidsbruk. Vi anbefaler også å vurdere om det finnes eksisterende sertifiseringsordninger det kan være hensiktsmessig å knytte en slik leverandørklarering opp mot, hvor man eventuelt kan stille ytterligere krav innenfor enkelte områder ved behov. Side 5

6 Avsluttende merknader Vi registrerer at mnemonic ble stavet feil i listen over høringsinstanser. Med vennlig hilsen, mnemonic AS Tønnes Ingebrigtsen Administrerende Direktør Side 6