INNLEDNING. Kjære alle sammen,

Transkript

1 Oslo Militære Samfund 27. mars 2017 Risiko og sårbarheter i en ny tid Kjetil Nilsen Direktør Nasjonal Sikkerhetsmyndighet INNLEDNING (Eventuelt Deres Majestet/deres kongelige høyhet) Kjære alle sammen, Først vil jeg takke for invitasjonen. Det er en stor ære å komme hit for å snakke om et tema som ligger meg nær, nemlig risiko og sårbarheter i en ny tid. I løpet av de siste månedene har flere fra denne talerstol, på en god måte, beskrevet utviklingen i den sikkerhetspolitiske Redusere sårbarheter situasjonen og redegjort for et krevende trusselbilde og hvilke utfordringer forsvaret står overfor i årene som kommer. I dag er det ikke truslene fra andre som er hovedtema, men sårbarheter av betydning for samfunnet, og hva vi kan gjøre for å redusere dem. I mitt innlegg kommer jeg til å reflektere rundt hvordan Agenda risikobildet utvikler seg, og hva vi kan gjøre med sårbarhetene innenfor IKT-sikkerhet og objektsikkerhet, samt litt om menneskenes rolle i dette. Her vil jeg særlig komme inn på 1

2 Styring av sikkerhetsarbeidet At grunnsikringen må bli bedre At vi har for mange IKT-driftsmiljøer i det offentlige At evnen til å oppdage cyberhendelser må bedres At vi trenger mer kompetanse Internasjonale trender Samfunnet er i endring, og jeg vil innledningsvis nevne noen internasjonale trender som vi må ta høyde for når vi innretter oss for å møte fremtidige sikkerhetsutfordringer. Digitalisering og globalisering skaper økt kompleksitet. Informasjonstilgangen er overveldende. Den digitale utviklingen skaper store avhengigheter på tvers av virksomheter og landegrenser. Store menneskemengder forflytter seg, og det oppstår humanitære utfordringer. Det er klare tendenser til økt polarisering og tilliten til de styrende synes å være svekket. Populisme synes å være i fremmarsj. En ny situasjon har oppstått i Europa etter Brexit, og valget i USA har skapt usikkerhet. Vi og flere land i Europa skal gå til valg senere i år. Alt dette gir en uoversiktlig og krevende situasjon. Likevel tror jeg at rekkevidden av den teknologiske utviklingen som skjer rundt oss og konsekvensene som følger av den, er det som vi har dårligst forutsetning for å forstå. Utviklingen skaper nye måter å kommunisere på, og mennesket innretter seg raskt. Alt rundt oss kommer innen kort tid til å inneholde en datamaskin, en sensor som kommuniserer med andre. Arbeidslivet endres når automatiseringen slår til for fullt. Nasjoner og virksomheter som ikke henger med i utviklingen vil bli 2

3 akterutseilt. De lange planprosessene er en utfordring. Teknologiutviklingen kommer ikke til å vente på dem. Som en følge av disse trendene er det blitt vanskeligere å Behov for nye sikkerhetstiltak sammenfatte og etablere et risiko- og sårbarhetsbilde, og det utløser behov for nye sikkerhetstiltak. Norge er et av verdens tryggeste land, og voldsnivået er lavt. Norge er trygt Høy tillit Forventning til myndighetene Landets økende velstand og utviklingen av velferdsstaten har ført til at Norge ofte rangerer høyt på oversikter over de beste land å bo i. Befolkningen har høy tillit til myndighetene, men det er samtidig en forventning om at myndigheter og viktige samfunnsaktører sikrer at samfunnsfunksjonene våre fungerer. Med dette som bakteppe vil jeg nå gå inn i det risikobildet vi ser for Et motstandsdyktig samfunn Grunnsikringen må alltid være der Et motstandsdyktig samfunn med god beredskap mot hendelser, skapes blant annet gjennom et godt forebyggende sikkerhetsarbeid. Forebyggende sikkerhet handler om å etablere god grunnsikring i form av informasjon, objekter og viktige samfunnsfunksjoner, både nå og i fremtiden. Det er grunnsikringen som må ta støyten dersom vi ikke får noe forvarsel, eller om vi står overfor en ny type angrep som vi ikke har planlagt for. 3

4 Både offentlig forvaltning og private virksomheter har verdier som må beskyttes mot spionasje, sabotasje, terrorisme og Sikkerhetsstyring nødvendig andre sikkerhetstruende hendelser. God styring av sikkerhet er det viktigste virkemiddelet og en nødvendig forutsetning for å identifisere og iverksette effektive, helhetlige sikringstiltak. Mangelfull planlegging og styring av sikkerhetsarbeidet er Mangelfull styring fortsatt en utfordring. Dette er alvorlig. Den overveiende delen av avvik som er avdekket gjennom Burde ha vært avdekket av virksomheten NSMs tilsyn, burde virksomhetene selv ha avdekket gjennom interne sikkerhetsrevisjoner. Uten at sikkerhetsrevisjoner er gjennomført, blir også grunnlaget for ledelsens evaluering svakt, noe som igjen kan føre til feil prioriteringer av korrigerende tiltak for å redusere risikoen mot virksomhetens verdier. NSM utfører hvert år tilsyn med både private og statlige Mange sliter med å implementere de 4 hovedtiltakene virksomheter. Det vi ofte ser, er at mange store foretak og forvaltningsinstitusjoner sliter med å implementere de fire store hovedtiltakene innen sikkerhetsstyring. Disse er verdivurdering, risikoanalyser, internrevisjon og ledelsesevaluering. Kompetansen blir ikke utnyttet Det finnes ofte sikkerhetsfaglig kompetanse i virksomhetene, men den blir ikke alltid systematisk utnyttet. Det finnes også 4

5 tegn som tyder på at underordnede etater i en del tilfeller Ikke tilstrekkelig styring av underordnede virksomheter ikke får tilstrekkelige styringssignaler om og oppfølging av sitt arbeid med forebyggende sikkerhet fra overordnet departement, som har et særlig ansvar for sikkerheten i egen sektor. Anbefalinger Styringssystem Vi anbefaler at virksomhetene etablerer et system for kontinuerlig styring og forbedring av sikkerhetsarbeidet. Dette vil bidra til å gjøre virksomhetenes sikkerhetsarbeid mer systematisk og lettere å følge opp. Overordnet styring Vi anbefaler også at overordnede virksomheter styrer og følger opp underordnede på sikkerhet. Det må være en god kultur for å melde fra om avvik og Kultur for å melde fra hendelser. Den som rapporterer, bør ikke utsettes for negative konsekvenser. Luftfartsindustrien er et eksempel på en sektor hvor det lenge har vært god kultur for rapportering, og er et eksempel til etterfølgelse. Befolkningen er redd for cyberangrep Fra gutterommet til en nasjonalstats angrepsverktøy Nesten 30 prosent av befolkningen er bekymret eller svært bekymret for at cyberangrep skal slå ut viktige styringssystemer, viser DSBs store befolkningsundersøkelse som ble lagt frem nylig. På dette området ser vi privatpersoner som er redd for å bli hacket, virksomheter som er redde for økonomisk tap, og det er en mulighet for at sentral infrastruktur kan bli satt ut av spill. Cyberangrep har 5

6 beveget seg fra hacking på gutterommet, via kriminelle handlinger, til å bli et angrepsverktøy for en nasjonalstat. Hva ser vi? PST og E-tjenesten har tidligere i vinter trukket frem Russland og Kina som de mest aktive etterretningsaktørene i Norge. Vi i NSM ser at statlige aktører forsøker å etablere et fotfeste i norske virksomheters digitale infrastruktur. Nasjonal sikkerhetsmyndighet NorCERT driver et nasjonalt VDI sensorer NSM koordinerer og bistår Vi ser angrep mot norske mål Fremmed etterretning sensornettverk for å avdekke digitale angrep (VDI). Våre sensorer er utplassert i kritisk infrastruktur og i virksomheter som har kritiske samfunnsfunksjoner eller driver med høyteknologi. Når alvorlige angrep avdekkes, koordinerer vi og bistår i håndteringen av disse. Gjennom vårt sensorsystem har vi i løpet av det siste året sett cyberangrep rettet mot offentlig forvaltning og næringsliv. Det dreier seg om fremmed etterretningsvirksomhet og avanserte datanettverksoperasjoner. Antall angrep øker Store mørketall Rapporteres ikke Avdekkes ikke Cyberangrepene øker i antall. I 2016 registrerte NSM nok en økning i antall hendelser fra året før. Samtidig antar vi at det er store mørketall når det gjelder det årlige totale antall cyberhendelser i Norge. Mange virksomheter avdekker og håndterer slike hendelser selv, uten at dette rapporteres til NSM eller til andre myndigheter. I tillegg antas det å være mange hendelser som av tekniske eller kapasitetsmessige 6

7 Årsaker årsaker ikke blir oppdaget. To trender i 2016 Øker i omfang Mindre virksomheter angripes Brohode I løpet av 2016 var det særlig to trender i risikobildet for IKThendelser som bekymrer oss. Den ene er at de mest alvorlige og ressurskrevende sakene fra avanserte trusselaktører øker i omfang. Den andre er at nettopp disse aktørene har begynt å angripe mindre norske virksomheter med sårbare IKTsystemer, for å utnytte de kompromitterte nettverkene videre som infrastruktur i angrep mot andre, tilsynelatende mer attraktive mål. Foretrukken metode Skreddersydd e-post Den dominerende angrepsmetoden for målrettede angrep er infiserte vedlegg i e-poster sendt til utvalgte personer. Trusselaktørens intensjon er å få mottakeren til å klikke på vedlegget. Angrepet er skreddersydd til offeret, med innhold det er lett å la seg lure av. Eksempelvis kan e-posten se ut som om den kommer fra en kollega. Angrep mot norske myndigheter og teknologivirksomheter, er typisk i denne kategorien. Formålet er normalt å innhente informasjon Andre land har opplevd angrep med formål å skade Angrep med formål å innhente informasjon er det normale. Det er heldigvis slik at Norge ennå ikke har opplevd cyberangrep i betydningen fullskala operasjoner mot oss med formål å gjøre effektfull skade. Flere land har opplevd reelle cyberangrep. Vi husker alle angrepet mot et kraftanlegg i Ukraina med påfølgende bortfall av strøm for mange hundretusener før jul i Både Estland i 2007 og Georgia i 7

8 Tilspisset situasjon 2008 har opplevd cyberangrep. Felles for angrepene er at de har vært knyttet til en tilspisset politisk situasjon. NSM vurderer at risikoen for angrep med stort skadepotensiale, vil være høyest i tilknytning til en konkret sikkerhetspolitisk situasjon. Volum er økonomisk vinning Om volum er stort nok kan det få betydning for samfunnet Det store volumet av IKT-hendelser i Norge er imidlertid kriminalitet med økonomisk vinning som formål. To eksempler på dette er tjenestenektangrep og løsepengevirus med kryptolåsing av systemer. Slike angrep kan forårsake stor skade for kritisk infrastruktur og samfunnsviktige funksjoner. Løsepengevirus vil kunne sette ut hele virksomheter i dager eller uker. Dersom omfanget blir stort nok, vil det kunne få store konsekvenser ikke bare for enkeltmennesker og virksomheter, men for hele samfunnet. Heldigvis er det fortsatt slik at den norske delen av internett er relativt rent i forhold til mange andre land. Utviklingen i 2017 Vi vurderer at økning i alvorlige cyberangrep, kompromittering av nettverk i mindre virksomheter, bruk av cyberangrep og stjålet informasjon til påvirkning, og et stort volum økonomisk motiverte hendelser, er trender som vil fortsette i 2017 og videre fremover. Mange sårbarheter kan utnyttes En stor utfordring er at det foreligger mange sårbarheter en trusselaktører kan utnytte. Ikke bare tekniske. 8

9 Kompleksitet Lange uoversiktlige verdikjeder Avhengigheter Vanskelig å ha kontroll Nødnett For det første dreier det seg om den økte kompleksiteten i IKT-strukturen vår. Samfunnet vårt består av det Lysneutvalget kalte lange uoversiktlige verdikjeder, der mange store og små virksomheter er koblet sammen gjennom ulike digitale produkter og tjenester. Dette skaper avhengigheter og innebærer at vi arver andre virksomheters sårbarheter. For virksomhetene som er avhengig av digitale tjenester, er det derfor vanskelig å ha tilstrekkelig innsikt i, og kontroll over egne sårbarheter. Dette øker samfunnets totale sårbarhet. Det seneste uttrykket for denne sammenhengen ble kjent da en eller flere underleverandører til Nødnett fikk bistand fra indiske selskaper, en sak hvor etterforskning fra politiet og tilsyn fra NSM og Nkom fremdeles pågår. Bestillerkompetanse De lange verdikjedene stiller store krav til kompetanse hos dem som bestiller og følger opp leveranser. Det er ikke alle virksomheter som har slik kompetanse. Fragmentering Den andre utfordringen som jeg vil trekke frem, er fragmentering. Både når det gjelder tekniske løsninger og når det gjelder struktur og organisering av IT-tjenester. Dette er egentlig to sider av samme sak. Mange systemer og aktører I offentlig forvaltning ser vi en stor svakhet i at IKTløsningene er fragmenterte og at ansvaret er fordelt på mange aktører. Fragmenterte driftsmiljøer skaper kompleksitet og unødige variasjoner på nettverk og 9

10 systemer. Det skaper utfordringer funksjonelt for å få de ulike programmene til å snakke sammen, og sikkerhetsmessig fordi det er mange løsninger som skal forvaltes og oppdateres. Dette resulterer i flere sårbarheter og mulige angrepsflater. Stor frihet, lite samarbeid Små miljøer har ikke nok kompetanse IKT Norge gjennomførte for noen år siden en undersøkelse som viste at det fantes ca. 600 forskjellige IKT-driftsmiljøer i offentlig sektor. Nesten alle etater har sitt eget. Jeg, som direktoratsleder, står nesten fritt til å velge hvordan jeg vil organisere mitt IKT-driftsmiljø, og hva slags løsninger jeg velger å satse på. Jeg kan ha et eget driftsmiljø eller sette ut driften, og jeg kan inngå leverandøravtaler med nesten hvem som helst. De færreste etater eller direktorater har kompetanse til å gjøre slike valg. Å beholde autonomien og «sjølråderetten» har vært viktigere enn sikker og effektiv drift på IKT-siden. En slik holdning koster oss dyrt som samfunn, og vi har ikke råd til å holde på slik i lengden. Over tid svekker en slik tilnærming både sikkerheten i datasystemene, og mulighetene for å dra full nytte av den nyeste teknologien. Små driftsmiljøer har rett og slett ikke ressurser til å henge med på utviklingen. Felles løsninger er nødvendig Felles IKT-løsninger og infrastruktur er viktig for sikker samhandling både innen sektorer og mellom sektorer. Ved 10

11 en samfunnsmessig eller sikkerhetspolitisk krise må IKTsystemene være tilgjengelige og virke som de skal. Færre og større miljøer NSM mener det er behov for færre IKT-miljøer i offentlig sektor. Vår vurdering er at dette vil gi stordriftsfordeler med mer robuste kompetansemiljøer og kostnadseffektive løsninger, både funksjonelt, driftsmessig og sikkerhetsmessig. Større IKT-miljøer har lettere for å tiltrekke seg og bygge opp sikkerhetsfaglig kompetanse og annen spesialkompetanse. Felles infrastruktur Vi mener også at det er behov for en felles robust IKTinfrastruktur i statsforvaltningen. Flere land har satt i gang tiltak for å innfri kravene om en mer effektiv statsadministrasjon og for å øke digitaliseringen. Et av hovedtiltakene er å etablere en robust felles infrastruktur tilrettelagt for samhandling og kobling av data. Gjelder også private Jeg har nå fokusert på offentlig sektor, men prinsippene er relevante for private virksomheter også. Mange teknologiske sårbarheter Bruker kjente metoder og utnytter kjente sårbarheter Selv om vi rydder og strukturer oss på en god måte vil det være teknologiske sårbarheter vi må håndtere. Det er den tredje utfordringen jeg vil trekke frem. Det er mange teknologiske sårbarheter. En trusselaktør vil benytte seg av kjente sårbarheter, fordi de gir maksimal gevinst med minimal risiko for å bli oppdaget. I klartekst betyr det at kjente metoder er veien inn i en virksomhets datasystem. 11

12 Trusselaktøren går inn der gjerdet er lavest, for eksempel ved å få noen til å klikke på en lenke i en epost. Det er mulig å beskytte seg mot mye Den gode nyheten er at det er mulig å beskytte seg mot de fleste kjente sårbarheter hvis man følger våre og andres tilsvarende, grunnleggende råd. Vi har utarbeidet 4 helt grunnleggende råd, og 10 råd for sikring av egne nettverk. Opp mot 90% av angrepene kan forebygges gjennom å følge disse rådene. Svært vanskelig å beskyttes seg mot APT, men vi kan engasjere Den dårlige nyheten er at det er svært vanskelig å beskytte seg mot de mest avanserte angrepene. Imidlertid, dersom rådene følges, så tvinger vi angriperen til å anvende mer avanserte metoder. Da engasjerer vi motstanderen, og det er ikke sikkert han er villig til å bruke mer kostbare virkemidler. Et IT-våpen blir kjent når det er avfyrt. Vi i NSM gjennomfører inntrengningstesting i norske Enkle metoder fungerer En bedring systemer. Da er det vi som er trusselaktøren. Som regel klarer vi å bryte oss inn nesten hver gang, med enkle metoder som kunne ha vært stanset dersom våre råd hadde blitt fulgt. Heldigvis ser vi at virksomhetene har blitt bedre til å erkjenne at tekniske sårbarheter finnes, og de er blitt bedre til å lukke dem. For å møte de tekniske sårbarhetene har vi publisert flere råd om sikring av både graderte og ugraderte systemer. Dette vil 12

13 Mange gode råd finnes Grunnprinsipper for å oppnå grunnsikring vi fortsette med. Hensikten er å medvirke til at virksomhetene etablerer en god «grunnsikring» i sine ITsystemer. Vi er i ferd med å utvikle det vi kaller «Grunnprinsipper for IKT-sikkerhet». Grunnprinsippene vil legge til rette for gjenbruk i og på tvers av ulike sektorer og bygger på etablerte internasjonale standarder. Prinsippene skal gjøre det enklere å oppfylle krav i ulike regelverk og på den måten legge til rette for felles tekniske løsninger. I 2017 vil vi prioritere det vi mener er viktigst for å gi Tiltakspakke i 2017 beslutningstakere i offentlige og private virksomheter en overordnet tiltakspakke for sikring av egne informasjonssystemer. Den første tiltakspakken vil omfatte tjenesteutsetting, drift og forvaltning, aksesskontroll, kommunikasjonssikkerhet, herding, logging og hendelseshåndtering. Sikringstiltakene skal endres i takt med den teknologiske utviklingen og samtidig støtte opp under digitaliseringen i samfunnet. Må implementeres av virksomhetene Vi kan gi råd og anbefalinger, men vi er helt avhengig av at den enkelte virksomhet implementerer disse i sine systemer. Evnen til deteksjon må styrkes VDI må styrkes Det fjerde og siste området jeg vil trekke frem er behovet for å kunne detektere og håndtere alvorlige cyberhendelser. Evnen til å oppdage alvorlige cyberhendelser må styrkes, både på nasjonalt plan, gjennom sektorvise responsmiljøer og i virksomhetene selv. Nasjonalt må vårt sensornettverk 13

14 styrkes for å gi et tilstrekkelig situasjonsbilde av den nasjonale IKT-sikkerhetstilstanden i kritisk infrastruktur og kritiske samfunnsfunksjoner. En styrking av deteksjons- og håndteringsevnen, krever både Investeringer nødvendig Rammeverk for digital hendelses-håndtering teknologi-investeringer og retningslinjer for hendelseshåndtering. Derfor jobber vi for tiden intensivt med å utvikle et nasjonalt operativt «rammeverk for digital hendelseshåndtering». Rammeverket skal styrke Norges evne til å håndtere cyberhendelser som rammer offentlige og private virksomheter i og på tvers av sektorer. Rammeverket beskriver hva som skal gjøres, slik at alle relevante aktører effektivt kan utøve sitt ansvar i en koordinert nasjonal respons. Rammeverk for digital hendelseshåndtering vektlegger tiltak Ble prøvd på IKT-2016 Ferdigstilles i 2017 for forberedelse og planlegging, deteksjon og respons, vurdering, rapportering og utarbeidelse av læringspunkter. Rammeverket ble første gang prøvet ut i den store nasjonale IKT-øvelsen som ble gjennomført i november Vi noterte oss en hel rekke med nyttige erfaringer som vi nå tar med i arbeidet med å ferdigstille rammeverket. Nå har jeg snakket mye om IKT- sikkerhet. Et annet område Objektsikkerhet som er viktig i det forbyggende sikkerhetsarbeidet, er fysisk sikring og objektsikkerhet. 14

15 Som dere sikkert kjenner til, var det høring i Kontroll- og konstitusjonskomiteen om arbeidet med objektsikkerhet i Høring Et kontinuerlig arbeid forsvars- og justissektoren og sikring av objekter med sikringsstyrker for en uke siden. Bakgrunnen for høringen var en revisjonsrapport fra Riksrevisjonen. Høringen fikk i alle fall frem kompleksiteten innenfor dette feltet. Det er derfor viktig å forstå at arbeidet med sikring av skjermingsverdige objekter etter sikkerhetsloven er et kontinuerlig arbeid, som til enhver tid må ta utgangspunkt i utviklingen i trusselsituasjonen og samfunnsutviklingen for øvrig. Som jeg nevnte tidligere, er den sikkerhetspolitiske Uten forvarsel Grunnsikring situasjonen blitt slik at sikkerhetstruende hendelser som terrorisme, sabotasje og spionasje, ofte skjer uten forvarsel. Derfor må samfunnet ha en viss grunnleggende motstandskraft. Dette kaller vi for grunnsikring. Grunnsikring skal alltid være til stede. Sikringsstyrker fra forsvaret eller politiet er et påbygningstiltak som kommer i tillegg til grunnsikringen. Om en hendelse plutselig skjer, er det grunnsikringen som er vår beskyttelse og som må fungere. Skjermingsverdige objekter Vår aktivitet konsentrerer seg om sikring av objekter som er viktige for rikets sikkerhet og andre vitale nasjonale sikkerhetsinteresser. Etter sikkerhetsloven omtales disse som «skjermingsverdige objekter.» Det kan være viktig infrastruktur, lagringsløsninger i datahaller eller andre funksjoner som rikets sikkerhet og selvstendighet er avhengig 15

16 av. Det er virksomhetene som eier, eller rår over, skjermingsverdige objekter, som har plikter i henhold til Eiers plikter objektsikkerhetsregelverket. Et sentralt element er å bidra til å finne ut hva virksomheten skal sikre. Her er verdivurdering nøkkelen. I en verdivurdering kartlegger virksomheten sine verdier og rangerer disse etter viktighet. Dette er en forutsetning for utforming av effektive sikringstiltak og for riktig prioritering av begrensede sikringsressurser. I fjor gjennomførte vi mange tilsyn, hvor vi avdekket store mangler når det gjelder fysisk sikring av objekter. Flere virksomheter som forvalter skjermingsverdige objekter etter Tilsyn avdekker mangler sikkerhetsloven, har ikke gjort ordentlige vurderinger av hvilken risiko de faktisk står overfor. De har ikke planer for å øke sikkerheten når risikoen øker. Bare unntaksvis har de kartlagt hvem de er avhengig av i egen sektor og på tvers av sektorer. Alle disse funnene påvirker sikkerhetstilstanden i negativ retning. Dette er bekymringsfullt. Dette betyr ikke at det ikke er etablert noen grunnsikring ved de skjermingsverdige objektene. Noen av dem ligger for eksempel dypt inne i fjellanlegg. I løpet av de siste årene har Det er etablert en sikring mange tiltak blitt iverksatt. Det det betyr er at det fremdeles er mangler. Vi er ikke i mål. At trusselbildet er i forandring og teknologien endrer, seg viser en dynamikk som tilsier at også 16

17 Vi er ikke i mål sikringstiltakene vil måtte endre seg. Det er et kontinuerlig arbeid, men målsetningen må være at vi skal bli bedre hele tiden. Siden tidlig i fjor høst, har et gammelt fenomen i ny drakt Påvirkning dukket opp i samfunnsutviklingen. Det har fått mye omtale ikke minst i media, og handler om påvirkningsoperasjoner. Nordmenn lette å påvirke? Jeg noterte meg Morten Haga Lunde sin vurdering av effekten av den russiske ambassadens påvirkningsforsøk mot norsk opinion, som han snakket om fra denne talerstol for noen uker siden. Han var trygg på at norske borgere var i stand til å gjøre egne vurderinger, eller å skille «snørr og barter» som han sa, og at pressemeldingen fra den russiske ambassaden tidligere i vinter om den norske holdningen til russiske myndigheter, nok ikke fikk den effekten russerne kanskje hadde håpet. Denne vurderingen deler jeg. Foran valget Når det er sagt, så må vi huske på at den digitale arenaen er stedet hvor norsk naivitet og tradisjonell tillit til myndigheter og politiske organisasjoner møter harde realiteter fra andre samfunn. NSM har derfor gitt bistand til partiorganisasjonene for å styrke deres informasjonssikkerhet foran Stortingsvalget. Hovedfokus for rådgivningen er å øke sikkerhetsbevisstheten, i tillegg til å gi anbefalinger om tekniske tiltak for å bedre sikkerheten i organisasjonene. 17

18 Politiske påvirkningsoperasjoner, blant annet gjennom digital påvirkning, misbruker og angriper sentrale verdier i demokratiske samfunn. Disse sentrale verdiene er blant annet fri og åpen meningsdannelse og en fri og uavhengig Enkeltutspill eller koordinerte operasjoner presse. Disse verdiene kan misbrukes til å spre desinformasjon, løgn og undergraving. Når usannheter spres med stor kraft og i stort omfang, må det brukes mye energi og ressurser på å imøtegå dette. I et samfunn med stor grad av ytringsfrihet kan slike virkemidler være vanskelige å identifisere når de skjuler seg i annen informasjon. Når det til stadighet spres drypp av undergravende informasjon, vil det være utfordrende å vite hva som bare er ufarlige enkeltutspill og hva som er del av en Vanskelig å identifisere større, koordinert operasjon. Det kan være vanskelig å vite om det finnes en større hensikt bak og hva som er beste handlemåte for å beskytte seg. Situasjonen er derfor det som i andre sammenhenger kalles asymmetrisk, det vil si at spillereglene er ulike for den som angriper og den som angripes. Siste linje mot spredning av falsk og stjålet informasjon i Media som forsvar mot desinformasjon mediene er journalister og redaksjoner. Det er gledelig at VG, Dagbladet og NRK nå har gått sammen og etablert redaksjonen Faktisk, som skal faktasjekke påstander. Myndighetsorganer, politiske partier, medier og andre 18

19 Virksomheter avhengig av høy tillit bør kontrollere seg selv virksomheter med høy grad av tillit i samfunnet, bør forsterke sikkerheten i og kontrollen med egne kommunikasjonskanaler, som nettsider, e-post og kontoer på sosiale medier. Task force? I EU er det opprettet en «task force» - en arbeidsgruppe - for å kontre desinformasjon. Initiativet skal samtidig øke EUs kapasitet til å forutsi, håndtere og svare på desinformasjon fra eksterne aktører. Vi har ikke noe tilsvarende i Norge, men kanskje vi bør vurdere noe slikt nasjonalt? Mennesket som vårt beste forsvar Kompetanse Borgere med høy kompetanse og evne til å reflektere, er kanskje vårt beste forsvar mot påvirkningsoperasjoner. Borgere som tenker seg om og ikke klikker ukritisk på lenker i e-poster, bidrar også til bedre cybersikkerhet. Som samfunn trenger vi kompetanse i bred forstand. Alt fra hvordan vi får inn forståelse for de digitale mulighetene og utfordringene gjennom undervisning i skolen, til hvordan vi lærer den oppvoksende generasjonen til å vurdere den enorme mengden informasjon de har tilgang til på internett med en sunn skepsis og en viss kritisk sans. Alt man leser på nettet er jo ikke sant. Her har både skolen og foreldre en viktig rolle. I dette bildet må vårt beste vern som samfunn være å sørge Skole og foreldre for å ha grunnleggende og god kompetanse til å gjøre de rette vurderingene. Nøkkelen her er et effektivt og godt utviklet skolesystem, hvor vanlige mennesker lærer nok til at 19

20 de kan gjøre riktige vurderinger. Mennesker kan være vårt beste forsvar, men mennesker kan også utgjøre et svakt punkt. Innsidere med legitim tilgang har Innsidere ikke bare tilgang til virksomhet, systemer, informasjon eller prosesser, men kan også kjenne til svakhetene ved tiltak og prosedyrer som skal sikre virksomhetens verdier. Siden en innsider kjenner virksomhetens svakheter, kan skadepotensialet være stort. Bevisstgjøring og holdningsskapende arbeid er sentrale mottiltak, sammen med konkrete tiltak som god logging i datasystemene og skjerpet årvåkenhet. Dessverre ser vi regelmessig at sensitiv og gradert informasjon lekker fra norske virksomheter. Det er et problem som virksomhetene må følge opp. Avslutning Hovedpoeng NSM jobber forebyggende med å skape motstandsdyktighet. Samtidig jobber vi operativt med å håndtere hendelser døgnet rundt. Vi er avhengig av et velfungerende samarbeid både nasjonalt og internasjonalt. Vi er avhengig av å ha god oversikt over situasjonsbildet i og mellom sektorer. Dette gir oss en nødvendig grunnmur som sikkerhetsarbeidet kan hvile på. Mine hovedpoeng har vært følgende: Styringen av sikkerhetsarbeidet må bli bedre Grunnsikringen må styrkes Det er for mange IKT-forvaltnings- og driftsmiljøer i det offentlige 20

21 Det er for mange og uensartede tekniske løsninger i virksomhetene Evnen til å oppdage cyberhendelser må bedres Det er behov for bedre kompetanse Virksomhetene har primæransvaret Jeg kommer ikke unna budskapet om at det til syvende og sist er virksomhetene selv, offentlige og private, som har primæransvaret for å beskytte egne verdier. Om grunnsikringen er på plass, vil forutsetningene være bedre om vi må høyne beredskap og anvende statens maktapparat. Politi og forsvar. Innledningsvis sa jeg at sikkerhet er til for å beskytte verdier. Vi er avhengig av sikkerhet for at befolkningen skal ha tillit til nye tjenester. Storbritannia er ett av de landene som ser på digital sikkerhet som et satsningsområde. Ikke bare for å La det bli en inntektsmulighet! beskytte sine interesser, men også i troen på at satsning på sikkerhet vil være lønnsomt for samfunnet og gi forretningsmessige fordeler. Sikkerhet er således ikke bare et spørsmål om å hindre at noe negativt skjer. Sikkerhet er like mye å bidra til at noe positivt kan skje. En utgift til inntekts ervervelse. Takk for oppmerksomheten! 21