HØRING NOU 2016:19 SAMHANDLING FOR SIKKERHET

Transkript

1 Forsvarsdepartementet Pb 8126 Dep 0032 Oslo Vår dato Vår referanse Deres dato Deres referanse Vår saksbehandler Morten N. Skogvik HØRING NOU 2016:19 SAMHANDLING FOR SIKKERHET Telenor Norge AS (heretter Telenor) viser til Forsvarsdepartementets høringsnotat av 17. oktober 2016 vedrørende NOU 2016:19 Samhandling for sikkerhet. Telenor oppfatter lovforslaget som et steg i riktig retning for å styrke nasjonal sikkerhet, herunder også samfunnssikkerhet. Vi anser utvidelsen av virkeområder som naturlig og riktig sett i lys av at Norge i stor grad er avhengig av private virksomheter for å opprettholde grunnleggende samfunnsfunksjoner. Det er viktig for utviklingen av vår nasjonale forsvarsevne at vi har en sektorovergripende tilnærming, og samtidig at lovkravene er funksjonelt innrettet. Med lovforslaget legges det godt til rette for at Norge kan få en felles innretning på sikkerhetsarbeid på tvers av og innad i sektorene. Telenor støtter utvalget i at plikten til å ivareta alle tre hensynene til informasjonssikkerhet (konfidensialitet, integritet og tilgjengelighet) innarbeides i ny lov. Dette forsterker at det innen informasjonssikkerhet er mange hensyn som skal ivaretas, herunder tilgjengelighet til kritisk funksjonalitet, tjenester og infrastruktur. Utfordringene knyttet til dagens lovgivning, og fremtidige endringer knyttet til økt globalisering og digitalisering er godt belyst i NOUen, men vi anser at noe av dette ikke gjenspeiles like godt i lovforslaget. Følgende områder bør vurderes tydeliggjort: I NOUen er det godt belyst at Norge i stor grad er avhengig av private virksomheter/rettssubjekter for å opprettholde nasjonale grunnleggende funksjoner. I lovforslaget bør dette tydeliggjøres, dvs. at man under lovens formål bør beskrive at begrepet virksomhet både omfatter offentlige og private virksomheter. I lovforslaget vektlegges i stor grad departementenes og sektorvises miljøers ansvar. Lovforslaget burde gått lenger i å sette krav til samvirke og ansvarsfordeling mellom myndigheter og private virksomheter. Lovforslaget bygger på de etablerte prinsippene for krisehåndtering og beredskap, men erkjenner ikke at cyberdomenet er annerledes enn fysiske domener. I cyberdomenet vil det være den enkelte infrastruktureier som må håndtere hendelsen, samtidig vil nær sagt ingen større cyberhendelse kun treffe én sektor. Eksempelvis vil telekominfrastrukturen i mange tilfeller være berørt ved en cyberhendelse i en annen sektor. Ansvaret til private eiere av kritisk infrastruktur eller funksjoner anbefales tydeliggjort, samt at kritiske private virksomheter må inngå som del av krise- og beredskapsorganiseringen i Norge. Det er kun eier av infrastruktur som kan håndtere hendelser som treffer deres respektive infrastruktur 1

2 I et samfunnsperspektiv krever forebyggende sikkerhet i cyberdomenet at man på tvers av sektorer, private og offentlige virksomheter forholder seg til samme standarder og med lik risikoforståelse. Det er positivt at sikkerhetsmyndighetene tillegges et tydelig ansvar for harmonisering, rådgivning og oppfølging på tvers, samtidig er det viktig at man i lovforslaget tillegger sektormyndighetene et tydelig krav om å legge til rette for harmonisering av IKT-sikkerhetskrav på tvers av sektorspesifikk lovgivning. Det er viktig at NSMs rådgivningsplikt overfor virksomheter underlagt loven ivaretas på en slik måte at også de private virksomhetene får oppfølging og rådgivning. Sikkerhetsmyndighetene må forstå de ulike kritiske funksjonene samfunnet er avhengig av, samt at vi som privat virksomhet kan få bidra direkte inn mot sikkerhetsmyndighetene med vår kompetanse i utviklingen av både den forebyggende sikkerheten og beredskapsorganisering. At man i lovforslaget har utvidet objektsikkerhet til både objekt og kritisk infrastruktur er fornuftig. Det er imidlertid viktig at fagdepartement sikrer tydelige og forståelige utvelgelseskriterier og at det så langt mulig samsvarer på tvers av sektorer. Vurderingen av hva som er samfunnsøkonomisk lønnsomt vil trolig variere fra virksomhet til virksomhet. Skal Norge oppnå et harmonisert sikkerhetsnivå, på tvers av samfunnskritiske funksjoner, må myndighetene sette en minimumsstandard for hva som er et forsvarlig sikkerhetsnivå og derav hva som skal legges til grunn for å beregne samfunnsøkonomisk lønnsomhet. Vi kan ikke se at det i NOUen eller lovforslaget er belyst hvordan den økonomiske byrdefordeling mellom spesielt private rettssubjekter og myndighetene skal være. I videre arbeid bør en rimelig fordeling av de økonomiske forpliktelsene mellom private rettssubjekter og myndighetene tas hensyn til. Lovforslaget tar ikke i nødvendig grad hensyn til samfunnets og nasjonens avhengighet til IKT-infrastruktur og konsekvensene ved bortfall, f.eks. utfall på varetransport, banktjenester, samferdsel og helse. Det vil tilkomme økte kostnader for den enkelte virksomhet for i større grad å kunne garantere for avhengigheter mellom virksomheter (sikrings- og redundanskrav). Det anbefales at man også her vurderer hvordan den økonomiske forpliktelsen skal fordeles mellom virksomhetene, herunder myndighetens håndtering av merkostnadene Både i forarbeidene og lovforslaget er det for oss uklart hvordan skjermingsverdig informasjon i ugraderte systemer skal håndteres. Sikkerhetsgradert informasjon innføres som et nytt samlebegrep, men dersom dette ikke omfatter skjermingsverdig informasjon i ugraderte systemer så anser Telenor dette som en mangel som bør vurderes tatt inn. Telekom er en internasjonal bransje der leverandører, samarbeidspartnere, spesialkompetanse og tekniske løsninger går på tvers av landegrenser. At det åpnes opp for stillingsklarering av utenlandske statsborgere som ikke har tilknytning til Norge er positivt. Tilsvarende må også vurderes for autorisasjonsprosessen for BEGRENSET, slik at denne ikke håndteres strengere enn sikkerhetsklareringer for høyere nivåer. Videre i notatet belyser vi områdene nevnt over, og noen andre områder, mer i detalj. 2 / 6

3 Offentlige vs. private rettssubjekter I NOUen er man tydelig på at private rettssubjekter er underlagt sikkerhetsloven. Dette bør som nevnt innledningsvis tydeliggjøres i den nye lovens formål og virkeområde. Etter Telenors oppfatning er ikke private eiere av samfunnskritisk infrastruktur og samfunnskritiske funksjoner i nødvendig grad innarbeidet i lovforslaget når det gjelder roller, ansvar og samhandling. Lovforslaget er i stor grad orientert mot ansvar og roller hos myndighetene, hvor delegering av oppgaver er relatert til departement og direktorater. Forebyggende sikkerhet i cyberdomenet er ikke bare en tverrsektoriell utfordring, den er like mye en utfordring i å koordinere og samhandle på tvers av myndigheter, samt offentlige og private virksomheter. Samhandling og hendelseshåndtering i cyberdomenet Forslag til ny sikkerhetslov utvides fra å gjelde rikets sikkerhet til å inkludere samfunnssikkerhet. Eiere av samfunnskritisk infrastruktur og funksjoner, herunder private virksomheter, har en avgjørende rolle for nasjonens evne til å håndtere hendelser i cyberdomenet. Det bør medføre at disse virksomhetenes ansvar og rolle tydeligere fremkommer i lovverk og forskrifter. Det er kun eier av kritisk infrastruktur som kan beskytte, detektere og håndtere hendelser som rammer deres respektive infrastruktur. En nasjonal rolle er nødvendig for god koordinering av cyberhendelser som kan ramme på tvers av sektorer. I cyberdomenet er det nødvendig at man får en like tydelig politimyndighet som i den fysiske/analoge verden, og at hendelser i cyberspace håndteres etter de samme retningslinjer som hendelser i «den fysiske verden». Det må sikres at kritiske virksomheter, også private, inngår direkte i den nasjonale krise- og beredskapsorganiseringen for hendelser i cyberdomenet. Det nasjonale varslingssystemet for digital infrastruktur (VDI) er ikke VDI for nasjonal kritisk infrastruktur i dag, men et sensornettverk for kritiske virksomheters interne nettverk. Det er viktig at den nasjonale responsfunksjonen fremover baserer seg på mer enn VDI, det vil si at denne også innretter seg mot selve infrastrukturen. Dersom private virksomheter underlagt sikkerhetsloven skal være en del av en VDI-løsning forutsettes det at dette finansieres av det offentlige. Objekt- og infrastruktursikkerhet Telenor støtter innføringen av et nytt begrep skjermingsverdig infrastruktur, hvor anlegg og systemer ses i sammenheng og ikke bare gjelder fysiske skjermingsverdige objekter. At det åpnes opp for å utpeke kontroll- og styringssystemer som skjermingsverdig infrastruktur på forskjellige klassifiseringsnivåer anses positivt. Lovforslaget legger opp til funksjonelle krav til sikring. Dette er fornuftig og sett fra et virksomhetsperspektiv gir det stort mulighetsrom for å finne hensiktsmessige løsninger. I et nasjonalt perspektiv kan det imidlertid gi økt risiko hvis det ikke er tverrsektoriell koordinering. Det er viktig at lovforslaget tydeliggjør at sektoransvarlige må sikre samsvar innad i sektoren, og at Sikkerhetsmyndigheten har ansvaret for å sikre samsvar på tvers av sektorer med hensyn på bruk av standarder og begreper og hvordan man vurderer risiko. 3 / 6

4 Telenor har tidligere påpekt behovet for tverrsektoriell koordinering og synes det er positivt at utvalget med sitt lovforslag legger til rette for det. At sikkerhetsmyndighetene ikke bare koordinerer, men også blir en aktiv pådriver for arbeidet fremover anser vi som viktig. Identifisering av skjermingsverdig infrastruktur og forhåndsgodkjenning av ugraderte systemer Telenor stiller seg positiv til at hver enkelt virksomhet selv kan identifisere hvilke IKT-systemer som er skjermingsverdige. Telenor støtter at det legges opp til å kunne gjøre egne vurderinger, men anbefaler at det etableres vurderingskriterier og prosesser som sikrer at det blir en sammenheng mellom utpeking av kritiske systemer innad i en sektor, og på tvers av sektorer. Vi er enig i at det ikke bør være en lovbestemt plikt med forhåndsgodkjenning av ugraderte systemer. Hvis det allikevel blir besluttet en slik forhåndsgodkjenning for enkelte ugraderte systemer er det viktig at denne prosessen blir lettfattelig og at det finnes standarder for ugraderte systemer/systemgrupper. Telenor støtter utvalgets vurdering om å se både logiske og fysiske sikringstiltak for informasjonssystemer i sammenheng, og stiller seg bak forslaget i ny lov hvor informasjonssystemer omfatter både kontroll- og styringssystemer, samt telekominfrastruktur. Samfunnsøkonomisk lønnsomt Lovforslaget baserer seg på at det forebyggende sikkerhetsarbeidet skal være samfunnsøkonomisk lønnsomt. Dette er et godt prinsipp, men krevende å ivareta på virksomhetsnivå, spesielt for private virksomheter som har et kommersielt utgangspunkt for sitt virke. Det er åpenbart at det er den enkelte virksomhet som må vurdere hva som er sikkerhetsrisikoen knyttet til deres virksomhet og samfunnskritiske funksjon, og hvilke tiltak som må iverksettes for å sikre evnen til å forsvare funksjonen. Vurderingen av hva som er samfunnsøkonomisk lønnsomt vil imidlertid kunne variere fra virksomhet til virksomhet. Norge vil ikke få et harmonisert sikkerhetsnivå på tvers av samfunnskritiske funksjoner om ikke myndighetene tar et særskilt ansvar for å sette standarden for hva som er et forsvarlig sikkerhetsnivå (minimumskrav), og hva man skal legge til grunn for å beregne hva som er samfunnsøkonomisk lønnsomt. Telenor anbefaler at myndighetene i videre arbeid konkretiserer krav, standarder og normer i forskrifter slik at dette kan forstås på tvers av sektorer, og innad i sektorer der det er sektorspesifikke risikoer. Økonomisk byrdefordeling I NOUen er det ikke belyst hvordan myndigheter og underlagte private virksomheter skal fordele den økonomiske forpliktelsen knyttet til nasjonal sikkerhet og samfunnssikkerhet. Lovforslaget reflekter i liten grad at kritiske samfunnsfunksjoner i stor grad er i privat eierskap og ikke får sine bevilgninger for å styrke sikkerheten over statsbudsjettet. Lovforslaget medfører at flere private rettssubjekter blir underlagt sikkerhetsloven. Økte sikkerhetskrav vil medføre nye sikkerhetstiltak som krever finansiering for de som blir underlagt. For Telenors samfunnskritiske infrastruktur er det i dag våre kunder som finansierer de nasjonale sikkerhetskravene vi ivaretar. Vi mener at det nå må vurderes modeller for håndtering av merkostnadene knyttet til sikring av kritisk infrastruktur, dvs. som sikrer hensiktsmessig fordeling av de økonomiske forpliktelsene samfunnsansvaret krever, spesielt mellom private rettssubjekter 4 / 6

5 og myndighetene. For offentlige virksomheter kan dette ivaretas gjennom myndighetenes budsjettprosess, for private rettssubjekter må det imidlertid utredes hvordan staten skal bidra økonomisk over statsbudsjettet der hvor nødvendige sikkerhetstiltak gir en betydelig merkostnad. Utvalget påpeker at lovforslaget vil omfatte virksomheter som leverer kritiske innsatsfaktorer til understøttelse av grunnleggende nasjonale funksjoner. Telenor forventer av den grunn at det vil bli stilt økte krav til sikring- og redundans til oss, ettersom vi leverer en funksjon som er viktig på tvers av alle sektorer. Det bør derfor tydeliggjøres prinsipper for hvordan merkostnader skal dekkes. Et grunnleggende prinsipp kan være er at det er den som utløser avhengigheten som også dekker den økonomiske forpliktelsen, dernest at myndighetene tar en del av den økonomiske forpliktelsen dersom merkostnadene er betydelige. Informasjonssikkerhet Utvalget innfører et nytt begrep sikkerhetsgradert informasjon. Begrepet omfatter både skjermingsverdig informasjon og sikkerhetsgradert informasjon. Telenor er av den oppfatning at innføringen av et nytt samlebegrep ikke nødvendigvis fører til en klargjøring. Det er heller ikke tydeliggjort hvordan skjermingsverdig informasjon i ugraderte systemer blir behandlet i NOUen og lovforslaget. Dersom det er slik at det nye begrepet sikkerhetsgradert informasjon ikke omfatter skjermingsverdig informasjon i ugraderte systemer så anser vi dette som en mangel i lovforslaget. Dersom informasjon om nasjonal samfunnskritisk infrastruktur/samfunnskritiske funksjoner blir kjent og misbrukt av uvedkommende, vil det kunne ha store nasjonale konsekvenser. Denne type informasjon bør graderes etter sikkerhetsloven, selv om informasjonen ikke kan behandles i graderte systemer. Denne type informasjon lagres og behandles i dag i systemer som benyttes til å sikre levering av blant annet telekommunikasjonstjenester, og som aldri vil tilfredsstille kravene til behandling av sikkerhetsgradert informasjon slik det fremstilles i lovforslaget. Denne type «skjermingsverdig informasjon» kan vi ikke se er hensyntatt og vi oppfatter at dette vil medføre at informasjonen ikke blir beskyttet på rett nivå. Informasjonssikkerhetsforskriften er i dag gjeldene kun for graderte systemer. Personellsikkerhet Telenor er av den oppfatning at innføring av adgangsklarering vil bidra til å styrke sikkerheten, men det må tydeliggjøres i lovforslag og i eventuelle forskrifter, at det gjelder både adgang til anlegg og tilgang til kritisk infrastruktur (informasjonssystemer, kontroll- og styringssystemer). Det bør presiseres for hvilket graderingsnivå adgangsklarering skal gjelde for, samt differensiering av adgang/tilgang til anlegg, systemer og behovet for tilgang til sensitiv informasjon. Telenors erfaring med dagens regelverk er at det har blitt tolket strengt og ikke enhetlig. Telekom er en internasjonal bransje der leverandører, samarbeidspartnere, spesialkompetanse og tekniske løsninger går på tvers av landegrenser. Sikkerhetsklaring og autorisasjon av personell som skal gis logisk tilgang til systemer som er utpekt som skjermingsverdige objekter etter Sikkerhetsloven, slik det utøves nasjonalt i dag, er en stor utfordring for private virksomheter som er helt avhengig av internasjonale leverandører. Eksempel: For å få permanent logisk tilgang til skjermingsverdig objekter i dag kreves kun autorisasjon. Det er ikke noen etablert internasjonal prosess for å innhente informasjon for kun å autorisere en person på samme måte som ved sikkerhetsklarering. 5 / 6

6 Derfor er det nærmest umulig i dag å få autorisert en person som ikke er norsk statsborger og/eller har vært bosatt i Norge over lengre tid. At det åpnes opp for stillingsklarering av utenlandske statsborgere som ikke har tilknytning til Norge er positivt. Tilsvarende utredninger (stillingsklarering av utenlandske statsborgere) bør også vurderes for autorisasjonsprosessen for BEGRENSET, og i tillegg hvordan dette skal håndteres. Telenor støtter utvalget når de påpeker viktigheten av å sikre en praksis som ivaretar en helhetsvurdering også for norske statsborgere med tilknytning til andre land, slik at man ikke blir for restriktiv og mister verdifull kompetanse grunnet for streng tolkning av loven. Sikkerhetsgraderte anskaffelser Det må tas hensyn til at elektronisk kommunikasjon både er en samfunnskritisk funksjon, en kommersiell tjeneste, samt del av et globalt økosystem når det skal avgjøres om anskaffelsen omfattes av regelverket for sikkerhetsgradert anskaffelse. Herunder hvilke krav som skal stilles til anskaffende myndighet (det private rettssubjektet) og leverandør, og hvilke leverandører som kan godkjennes for hvilke leveranser. Det bør vurderes å innføre differensiert leverandørklarering hvor det tas hensyn til at det er en forskjell på leverandørgodkjenning for «rikets sikkerhet» og «samfunnssikkerhet». Ved anskaffelser til skjermingsverdige objekt eller skjermingsverdig infrastruktur kan ikke det private rettssubjektet alene vurdere risiko for nasjonen Norge. Vi kan ikke se at det i lovforslaget er lagt til rette for at dette kan ivaretas på en god måte. I dag er det Telenor alene som vurderer risiko, og tar beslutningen basert på dette. Telenor stiller seg til rådighet for ytterligere utdypning av høringssvaret. Med hilsen Telenor Norge AS Hanne Tangen Nilsen Sikkerhetsdirektør 6 / 6