Veiledning i verdivurdering

Transkript

1 November 2005 Veiledning i verdivurdering Det er et grunnleggende prinsipp i vårt demokrati å tilstrebe mest mulig åpenhet i forvaltningen, og i utgangspunktet skal all informasjon være offentlig tilgjengelig. Samtidig vil det til enhver tid være informasjon og objekter som er sensitive, og som har et beskyttelsesbehov. Dette er informasjon og objekter som er så viktige av hensyn til rikets sikkerhet og andre vitale nasjonale sikkerhetsinteresser at de må skjermes. Forebyggende sikkerhet dreier seg i videste forstand om å ta vare på våre verdier og styresett. Denne veiledningen skal bidra til å identifisere hva som bør skjermes.

2 Innholdsfortegnelse 1 Hvorfor verdivurdering? Grunnleggende begreper i sikkerhetsloven Veiledningens oppbygging Verdivurderingens plass i forebyggende sikkerhetsarbeid Hva sier sikkerhetsloven om verdivurdering? Hvem har ansvar for å foreta verdivurdering? Begrepene rikets sikkerhet og vitale nasjonale sikkerhetsinteresser Rikets sikkerhet Vitale nasjonale sikkerhetsinteresser Verdivurdering og dens komponenter Hva gjør informasjon generelt verdifull? Skadepotensialet De tre sikkerhetsaspektene: konfidensialitet, integritet, tilgjengelighet Økonomiske og administrative konsekvenser av verdivurdering Tidsperspektivet Gjensidige avhengigheter Verdivurdering som del av risiko- og sårbarhetsanalyse Graderingsnivåene for sikkerhetsgradert informasjon Spesielt om utenlandske sikkerhetsgraderinger Sammenstilling av informasjon Skadereduserende tiltak for å oppnå redusert klassifisering Tjenstlig behov og autorisasjon Punktgradering Ned- og avgradering Fallgruver ved fastsettelse av gradering Overgradering eller overklassifisering Undergradering eller underklassifisering Sikkerhetsloven og forhold til annet regelverk Offentlighetsloven Beskyttelsesinstruksen Personopplysningsloven Sektorvise regelverk/lover Anskaffelser...18 Vedlegg...19 A.1 Risikobegrepet...20 A.1.1 Generelt om risiko og sårbarhet A.1.2 Risikobildet...22 A.2 Liste over begreper og terminologi...25 A.3 Type informasjon som bør være gjenstand for verdivurdering...27 A.4 Et eksempel på konkret verdivurdering...28 A.5 Oversikt over korresponderende sikkerhetsgraderinger med andre stater og internasjonale organisasjoner...29 A.5.1 Spesielt om NATO, ESA og WEU graderinger...29 A.6 Oversikt over behandling av sikkerhetsgradert informasjon...32 A.7 Skjematisk oversikt over offentlighetslovens, Beskyttelsesinstruksens og sikkerhetslovens virkeområde

3 1 Hvorfor verdivurdering? Forebyggende sikkerhetstenkning begynner med verdivurdering! Målgruppen for denne veiledningen er derfor primært virksomheter, det være seg offentlige eller private, som er underlagt sikkerhetsloven. Men også andre virksomheter som behandler sensitiv informasjon eller råder over kritiske objekter kan dra nytte av veiledningen. Hensikten med veiledningen er å gi virksomhetene et hjelpemiddel til å identifisere hva som er skjermingsverdig informasjon 1 og skjermingsverdig objekt 2, og i hvilken grad de er skjermingsverdige, med tanke på at man finner frem til en riktig grad av beskyttelsestiltak. Det er et grunnleggende prinsipp i vårt demokrati å tilstrebe mest mulig åpenhet i forvaltningen, og i utgangspunktet skal all informasjon være offentlig tilgjengelig. Samtidig vil det til enhver tid være informasjon og objekter som er sensitive og som har et beskyttelsesbehov. Forebyggende sikkerhet dreier seg i videste forstand å ta vare på våre verdier og styresett. Det er en målsetting at denne veiledningen kan gi inspirasjon til å tenke verdivurdering når informasjon tilvirkes, og at det kan bidra til at vi evner å beskytte riktige objekter og informasjon i Norge. Det er eieren av informasjonen eller objektet som selv må foreta en verdivurdering og fastsette riktig graderingsnivå. Denne veiledningen er ment å være en overordnet veiledning. De enkelte sektorer vil av naturlige årsaker ha mer spesifikke tilnærminger til verdivurdering, ut fra type funksjon og sin sektors verdiskapende arbeid. NSM anbefaler at hver enkelt sektor selv utarbeider slike veiledninger. NSM bidrar med råd og veiledning innen alle aspekter ved verdivurdering, og kan kontaktes ved behov. 1.1 Grunnleggende begreper i sikkerhetsloven. Det kan innledningsvis være på sin plass å kort gjøre rede for grunnleggende begreper brukt i sikkerhetsloven. Sikkerhetsloven er utformet blant annet med den hensikt å legge forholdene til rette for effektivt å kunne motvirke trusler mot rikets selvstendighet og sikkerhet og vitale nasjonale sikkerhetsinteresser. I kapittel 2 vil det gjøres rede for hva man legger i disse to overordnede begrepene. Hvilke trusler er det man tenker på i forhold til sikkerhetsloven? Sikkerhetsloven er utformet med tanke på å motvirke såkalt sikkerhetstruende virksomhet, og det skal forstås som forberedelse til, forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandliner, samt medvirkning til slik virksomhet. Et annet grunnleggende begrep er det som kalles sikkerhetstruende hendelser. Dette inkluderer (a) sikkerhetstruende virksomhet, (b) kompromittering av skjermingsverdig informasjon og (c) grove sikkerhetsbrudd. Sikkerhetstruende hendelser er dermed å forstås videre enn sikkerhetstruende virksomhet. Kompromittering er det samme som tap eller mistanke om tap av konfidensialitet, integritet eller tilgjengelighet for skjermingsverdig informasjon, herunder uønsket avhending, modifisering eller ødeleggelse. Sikkerhetsbrudd er brudd på bestemmelse om sikkerhetstiltak gitt i sikkerhetsloven eller forskrifter til sikkerhetsloven. 1 Skjermingsverdig informasjon: Informasjon som skal merkes med sikkerhetsgradering i henhold til sikkerhetslovens 11. Det skilles mellom sikkerhetsgradene STRENGT HEMMELIG, HEMMELIG, KONFIDENSIELT og BEGRENSET. Se forøvrig vedlegg A.2. for en oversikt over begreper og terminologi 2 Skjermingsverdig objekt: Eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale, nasjonale sikkerhetsinteresser. Sikkerhetsloven 3 pkt 12 3

4 1.2 Veiledningens oppbygging Veiledningen har sitt utgangspunkt i Lov om forebyggende sikkerhetstjeneste, som ble vedtatt 20. mars 1998 og trådte i kraft fra 1. juli 2001, samt de tilhørende forskrifter som er utarbeidet på nesten alle områdene innen forebyggende sikkerhetstjeneste. Innen informasjonssikkerhet er det utarbeidet omfattende forskrifter, noe som ikke er tilfelle innen objektsikkerhet. Regelverksutforming innen objektsikkerhet har pågått en stund, men er ikke ferdig ennå. Mens NSM har lang erfaring og praksis innenfor utøvelse av informasjonssikkerhetsarbeidet, er det hva gjelder objektsikkerhet knappere erfaring. Dette er i den foreliggende veiledningen løst på den måten at det er tatt med aspekter som angår fagfeltet objektsikkerhet der det er naturlig. I takt med utvikling av nytt regelverk vil dette dokumentet dermed være gjenstand for fortløpende endringer. Veiledningen er delt inn i fire deler. I første kapittel redegjøres det for begrepet verdivurdering, samt overordnet tilnærming til forebyggende sikkerhetsarbeid. I andre kapittel defineres nærmere begrepene rikets sikkerhet og vitale nasjonale sikkerhetsinteresser. I tredje kapittel gjøres det rede for de 14 viktigste momenter i en verdivurdering, iblandet eksempler der det er naturlig. I kapittel 4 gis det en oversikt over sikkerhetsloven og dens forhold til annet norsk regelverk som har til hensikt å skjerme informasjon og objekter, deriblant Offentlighetsloven, Beskyttelsesinstruksen og Personopplysningsloven. I vedleggene er det samlet nyttig informasjon, eksempelvis tilsvarende sikkerhetsgraderinger i andre land og organisasjoner vi har en sikkerhetsavtale med, oversikt over krav til behandling av sikkerhetsgradert informasjon i henhold til sikkerhetsloven, samt en oversikt over type informasjon som bør gjøres til gjenstand for verdivurdering. Til slutt kan nevnes at det er utarbeidet en liste over ofte benyttede begreper og terminologi (se vedlegg A.2). 1.3 Verdivurderingens plass i forebyggende sikkerhetsarbeid Sikkerhetsbegrepet er et teoretisk komplisert begrep å beskrive. I likhet med mange andre kompliserte begreper, er det likevel relativt lett å fatte rent intuitivt: Man kjenner det igjen og vet hva det er når man støter på det. Det mest fundamentale med sikkerhet er forutsetningen om at man har noe en verdi som man ønsker å beskytte. Dette kan være økonomiske verdier som ens egne penger, en virksomhets aktiva eller samfunnets samlede verdier. Verdiene som ønskes opprettholdt kan altså være av materiell eller immateriell art. Hva det kan være snakk om, avhenger selvsagt av hvem aktøren er og hvilket ansvarsmessig utgangspunkt vedkommende har. Det kan også tenkes annet som er verd å beskytte, som for eksempel muligheten til å bevege seg i naturen, kvaliteten på vann og mat, retten til å mene og ytre seg om hva man vil, friheten til å selv kunne være med på å velge hvem som skal styre landet, retten til å praktisere sin egen religion, frihet fra kriminalitet, en sunn helse eller fravær av krig. Altså en mengde gode beskyttelsesformål. Forebyggende sikkerhetsarbeid bygger på følgende forutsetninger: 1) En rasjonelt tenkende aktør som gjennomfører sikkerhetsmessige vurderinger; 2) En verdi eller flere verdier som aktøren ønsker ivaretatt eller opprettholdt, ut fra tanken om at det er skadelig dersom verdiene blir redusert eller tapt; 3) En antatt intern eller ekstern trussel eller trusselaktør; 4) Kunnskap om verdienes sårbarhet/motstandsdyktighet; 5) Gjennomførbare tiltak for å avverge trusselen eller håndtere konsekvensene dersom den inntreffer, slik at skade ikke oppstår eller at den i hvert fall reduseres så mye som mulig; samt 4

5 6) rammefaktorer som vil fremme eller hemme aktørens evne eller vilje til å gjennomføre tiltak. Siden verdien ligger i å unngå skade, omtales ofte verdien som skadepotensialet i en sikkerhetsfaglig sammenheng. I sikkerhets- og risikotenkning omtales verdien også som mulig konsekvens av at sikkerhetstrusler utløses. Sikkerhetsmessig verdi er altså identisk med skadepotensialet som i sin tur er identisk med den sikkerhetsmessige konsekvens. En fundamental tanke innen forebyggende sikkerhetsarbeid er at ikke alt er like vesentlig å beskytte. Dette innebærer at man må utvikle systemer for ikke bare å kunne identifisere hva som har sikkerhetsmessig verdi, men også kunne klassifisere det i forhold til andre sammenlignbare verdier. Denne klassifiseringsprosessen er en utfordring så vel å utvikle som å etterleve når konkrete verdier skal klassifiseres. Man kan si populært at den største utfordringen ikke ligger i å finne ut hvilke epler som er mest ettertraktet og verdifulle, men å finne ut hvor ettertraktet og verdifullt et eple er i forhold til en pære. En kartlegging og klassifisering av verdiforhold vil være den første dimensjonen i det totale sikkerhetsbildet. De to andre fundamentale komponentene vil være (1) trusselbildet samt (2) oversikt over sårbarheter. Disse to siste komponentene vil ikke bli grundig behandlet i denne veiledningen. For en mer utfyllende beskrivelse av risiko generelt og risikobildet, se vedlegg A Hva sier sikkerhetsloven om verdivurdering? Sikkerhetsloven har som formål å beskytte informasjon og objekter som er skjermingsverdige av hensyn til rikets sikkerhet og vitale nasjonale sikkerhetsinteresser. Begrepet verdivurdering er ikke definert i loven, og benyttes heller ikke i lovtekst eller eksisterende forskrifter. Det er imidlertid klart at for å kunne oppfylle lovens bestemmelse, må det foretas vurderinger som vil danne grunnlag for å identifisere skjermingsverdig informasjon og skjermingsverdige objekter. Verdivurdering i forhold til sikkerhetsloven kan dermed defineres på følgende måte: En analyse som har til hensikt å identifisere hvilke objekter og hvilken type informasjon som er så viktige av hensyn til rikets sikkerhet og vitale nasjonale sikkerhetsinteresser at de må skjermes. Utgangspunktet er en systematisk tankegang om hvilke skadefølger det vil kunne få dersom informasjonen eller objektene rammes av sikkerhetstruende hendelser. 3 Identifisert skjermingsverdig informasjon må defineres inn i riktig graderingsnivå. 1.5 Hvem har ansvar for å foreta verdivurdering? Det er virksomheten 4 selv som må forestå verdivurdering. Den som utsteder informasjon skal på forhånd vurdere omfanget av eventuelt skadepotensiale dersom uvedkommende får tilgang til informasjonen, og 3 Sikkerhetstruende hendelse: Sikkerhetstruende virksomhet, kompromittering av skjermingsverdig informasjon og grove sikkerhetsbrudd. Sikkerhetstruende virksomhet: Forberedelse til, forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandliner, samt medvirkning til slik virksomhet, jmf sikkerhetsloven 3 pkt 2. Kompromittering: Tap eller mistanke om tap av konfidensialitet, integritet eller tilgjengelighet for skjermingsverdig informasjon, herunder uønsket avhending, modifisering eller ødeleggelse. Forskrift om sikkerhetsadministrasjon 1-2 pkt 3. 4 Et forvaltningsorgan eller annet rettssubjekt som sikkerhetsloven er gjort gjeldende for, jmf sikkerhetsloven 2. 5

6 ut fra denne vurderingen sikkerhetsgradere den. 5 Sikkerhetsgradering innebærer at den som utsteder eller på annen måte tilvirker skjermingsverdig informasjon skal sørge for at informasjonen merkes med aktuell sikkerhetsgrad. 6 Mottaker av sikkerhetsgradert informasjon er forpliktet til å respektere den graderingen som er gjort av utsteder. Tilsvarende er det fastslått at det er virksomheten selv som plikter å utpeke skjermingsverdige objekter som virksomheten eier eller på annen måte har kontroll over eller fører tilsyn med. 7 Informasjonseier eller utsteder av informasjon er det samme som en virksomhet. I denne sammenheng er virksomhet ekvivalent med et forvaltningsorgan eller annen virksomhet, det være seg offentlige eller private, som faller inn under sikkerhetslovens virkeområde. Ansvaret for verdivurdering tilligger etter linjeorganisasjonsprinsippet virksomhetens leder. Ved større prosjekter eller anskaffelser som involverer to eller flere virksomheter (virksomhetsovergripende) påhviler ansvaret for sikkerheten i informasjonssystemer, inkludert verdivurdering, felles overordnet virksomhet eller den denne utpeker, eller den som er utpekt i skriftlig avtale inngått mellom virksomhetene. 8 5 Forskrift om informasjonssikkerhet 2-1, Skadevurdering 6 Sikkerhetsloven 11, Sikkerhetsgradering 7 Sikkerhetsloven 17, Plikt til å beskytte skjermingsverdige objekter 8 Forskrift om sikkerhetsadministrasjon, 2-6 Samordning 6

7 2 Begrepene rikets sikkerhet og vitale nasjonale sikkerhetsinteresser 2.1 Rikets sikkerhet Den forebyggende sikkerhetstjeneste skal i henhold til sikkerhetsloven redusere sårbarheten til informasjon og objekter som har betydning for rikets sikkerhet og selvstendighet og andre vitale nasjonale sikkerhetsinteresser. Det er ikke umiddelbart enkelt å fastslå hva som ligger i dette. I forarbeidene til Sikkerhetsloven presiseres det at det med rikets sikkerhet både siktes til indre og ytre sikkerhet. 9 Det presiseres at begrepet er en utpreget rettslig standard som kan forandre seg i takt med samfunnsutviklingen. Straffelovkommisjonen utredet og drøftet i det nærmere innhold av rikets sikkerhet. Dette begrepet er brukt i en rekke forskjellige lover. Kommisjonen understreket at innholdet i begrepet ikke er helt klarlagt, og at det ikke nødvendigvis har den samme betydning i samtlige bestemmelser som kommisjonen har vurdert. Imidlertid pekes det på at det har skjedd en endring i tidens løp. Når det gjaldt åpenbaring av noe som bør holdes hemmelig av hensyn til rikets sikkerhet, var det tidligere et vilkår i straffebestemmelsene at det dreide seg om opplysninger som måtte holdes hemmelige av hensyn til rikets sikkerhet lige ovenfor anden stat. De rammet altså ikke hemmelighold i forhold til andre enn stater, eksempelvis terroristgrupper og ekstremistiske organisasjoner. Ved lovendring 3 des 1999 nr. 82 ble begrensningen fjernet. I forarbeidene til den nevnte lovendring sies bl a: Eksempler på slike opplysninger kan være opplysninger omkring beredskaps- og sikkerhetsopplegg, omkring statsbesøk, begivenheter i kongehuset og andre nasjonale arrangementer. Det kan tenkes at det vil være skadelig av hensyn til rikets sikkerhet at slike opplysninger åpenbares, for eksempel til en terroristorganisasjon, selv om det ikke vil ha den samme skadelige virkningen om en fremmed stat fikk opplysningen. 11 Det synes klart at nasjonal handlefrihet og integritet må komme inn under rikets sikkerhet. Nasjonal handlefrihet og integritet kan brytes ned til underpunkter, hvor følgende aspekter er vesentlige: - konstitusjonell handlefrihet - økonomisk og finansiell handlefrihet - juridisk handlefrihet - sikkerhetspolitisk handlefrihet - innenriks- og utenrikspolitisk handlefrihet - territoriell integritet Oversikten er ikke uttømmende. 2.2 Vitale nasjonale sikkerhetsinteresser Verdivurdering skal også gjøres i forhold til i hvilken grad vitale nasjonale sikkerhetsinteresser kan bli skadelidende. Dette begrepet ble først introdusert da sikkerhetsloven ble vedtatt Det var en 9 Ot.prp. nr. 49 ( ), s NOU:2003:18 Rikets sikkerhet, Straffelovkommisjonens delutredning VIII 11 Ot.prp. nr. 64 ( ), s. 142, (referert i NOU 2003:18) 7

8 intensjon om å bli kvitt den tidligere skjønnsmessige formuleringen om å gradere opplysninger av sikkerhetsmessig verdi som lå til grunn for dette. I lovens forarbeider sies at endringen for praktiske formål ikke skal innebære en utvidelse i forhold til tidligere vilkår for sikkerhetsgradering. I forarbeidene heter det videre: For det første må det fremheves at opplysningene må være knyttet til rikets sikkerhetsmessige interesser. I ordet vitale ligger videre en forutsetning om at det må dreie seg om helt essensielle og samfunnsviktige sikkerhetsinteresser. Det må legges til grunn at slike opplysninger etter dagens regler som den klare hovedregel vil kunne unntas fra offentlighet etter offentlighetslovens unntaksbestemmelser. Begrepet er likevel foreslått for å indikere at det kan være grunn til å skjerme informasjon etter loven, selv om informasjonen ikke har direkte sammenheng med rikets territorielle sikkerhet. Det vil for eksempel dreie seg om opplysninger som må skjermes for å forebygge alvorlige terrorhandlinger, selv om terrorhandlingene ikke utføres av eller for en fremmed makt eller lignende og således ikke nødvendigvis vil berøre riktets territorielle sikkerhet. 12 I Straffelovkommisjonens drøfting av begrepet rikets sikkerhet i forhold til spørsmålet om hva som skal vernes av straffeloven, bringes begrepet grunnleggende nasjonale interesser inn: Under en hver omstendighet finner utvalget at vernet om innhenting og avsløring av hemmelige opplysninger, ikke bør begrenses til interesser som gjelder rikets sikkerhet i tradisjonell forstand, men at også grunnleggende nasjonale interesser bør omfattes. Ved siden av forholdet til andre stater, herunder forhandlingsposisjoner, er det nærliggende å fremheve de interesser som er knyttet til: infrastrukturen, energi-, mat- og vannforsyning, samferdsel og telekommunikasjon, helseberedskap, bank- og pengevesen og andre samfunnsøkonomiske forhold. 13 I den grad innføringen av begrepet vitale nasjonale sikkerhetsinteresser i det hele tatt kan sees på som en utvidelse i forhold til tidligere regler, sies det i proposisjonen 14 at det vil kunne få som konsekvens at enkelte opplysninger som tidligere ble gradert etter Beskyttelsesinstruksen, i stedet skal behandles som skjermingsverdig informasjon og sikkerhetsgraderes etter sikkerhetsloven. Innføringen av begrepet vitale nasjonale sikkerhetsinteresser gir også mulighet for å beskytte informasjon som kan skade vitale nasjonale sikkerhetsinteresser, men som vanskelig kan henføres under en av unntaksbestemmelsene i offentlighetslovens Ot.prp. nr. 49 ( ), s NOU 2003:18, s Ot.prp. nr. 49 ( ). S.34 8

9 3 Verdivurdering og dens komponenter En del generelle forhold vil gjøre seg gjeldende og være felles for verdivurdering av både informasjon og objekter, mens det på andre områder vil være nødvendig å behandle disse hver for seg. Etter at verdivurdering har funnet sted og riktig graderingsnivå er identifisert vil den ha en konkret bæring på, og være dimensjonerende i forhold til de forebyggende sikkerhetstiltak som skal iverksettes iht. sikkerhetsloven. Det inkluderer fagområdene informasjonssikkerhet, objektsikkerhet, personellsikkerhet, sikkerhetsgraderte anskaffelser samt sikkerhetsadministrasjon. For en oversikt over eksisterende veiledninger fra NSM innenfor hvert enkelt fagfelt vises til NSMs hjemmeside Et konkret eksempel på hvordan en virksomhet vil gå frem for å verdivurdere informasjon og objekter er vist i vedlegg bak (A.4). I tillegg er det listet opp eksempel på konkrete datatyper som bør verdivurderes (A.3) med tanke på om de bør skjermes. 3.1 Hva gjør informasjon generelt verdifull? Vi lever i et samfunn hvor informasjon blir viktigere og viktigere, og hvor man kan si at kunnskap er en strategisk ressurs for nasjonens utvikling. Informasjon, og spesielt tilgangen på riktig informasjon er blitt avgjørende for verdiskapningen i samfunnet. Et annet utviklingstrekk er at vi på samme tid gjør oss mer og mer avhengig av teknologi. Informasjonens kvalitetsmessige verdi er et produkt av at den er nøyaktig, relevant, tidsriktig, i en tilgjengelig form og mest mulig komplett og sikker. Informasjon fungerer som regel alltid i en kontekst, og gir mening når den tolkes sammen med kunnskap og erfaring hos de mennesker som skal bruke den. Innen ulike deler av næringslivet og også innenfor Forsvarets militære organisasjon er det et mer og mer fremtredende mål å søke å sikre seg såkalt informasjonsoverlegenhet. Informasjon i denne sammenheng kan være alle typer data, skjematisk kan den deles opp på følgende måte: rådata, behandlet data, kunnskap og forståelse. Informasjonsoverlegenhet innebærer at virksomheten må kunne skaffe seg og opprettholde et fortrinn på informasjonssiden overfor en motpart eller konkurrent. Det vil med andre ord være kvaliteteter og attributter til den informasjonen man skal vurdere som vil være avgjørende for hvor viktig det er å skjerme informasjonen. 3.2 Skadepotensialet Et grunnleggende aspekt ved verdivurdering av informasjon og objekter er å vurdere hvilken skade som kan oppstå dersom informasjon kompromitteres eller et objekt settes ut av spill. Dette innebærer at man må forsøke å utlede konsekvenser i forhold til tap av konfidensialitet, tilgjengelighet eller integritet for informasjonen/objektet sett opp mot rikets sikkerhet og vitale nasjonale sikkerhetsinteresser. Vurderingstema i denne forbindelse vil være: I hvilken grad kan kompromittering av informasjon/ødeleggelse av objektet utnyttes av en ondsinnet trusselaktør? Hvilken alvorlighet kan skaden ha på rikets sikkerhet eller vitale nasjonale sikkerhetsinteresser? Egen virksomhets operasjoner og beslutninger? Andres virksomhet og operasjoner? 9

10 3.3 De tre sikkerhetsaspektene: konfidensialitet, integritet, tilgjengelighet I sikkerhetsarbeidet er det vanlig å forholde seg til tre aspekter: konfidensialitet, integritet og tilgjengelighet. Med konfidensialitet menes den egenskap at informasjonen ikke er tilgjengelig for uautorisert personell eller i ikke godkjente systemer. Med integritet menes trygghet for at både informasjon og eventuelt programmene forblir fullstendige, riktige og gyldige både i systemet og under forsendelse. Sagt på en annen måte betyr det at informasjonen ikke blir endret eller ødelagt på en uautorisert måte. Videre at Informasjonen er konsistent og oppdatert. Med tilgjengelighet forstås at informasjonen, eventuelt informasjonssystemet og funksjonalitet som sådan, innen rimelige tidsrammer er tilgjengelig for de som skal bruke dem. I forbindelse med IT-systemer vil dette være knyttet til oppetid og responstid. Verdien av tilgjengelighet må konkretiseres gjennom krav til tilgjengelighet og respons. Kravene vil være dimensjonerende for kapasiteten på teknisk infrastruktur, duplisering og vil også ha bæring for driftsorganisasjonen. Når det gjelder beskyttelse av informasjon av hensyn til rikets sikkerhet eller vitale nasjonale sikkerhetsinteresser har det tradisjonelt vært fokusert mest på konfidensialitetsaspektet. I dag legges det stadig større vekt på sikring i forhold til tilgjengelighet og integritet. Ikke minst er dette viktige aspekt ved beskyttelse av skjermingsverdige objekter og kritisk infrastruktur. 3.4 Økonomiske og administrative konsekvenser av verdivurdering I fastsettelse av nivå på sikkerhetsgradering iht. sikkerhetsloven bør det understrekes at økonomiske og administrative konsekvenser ikke skal influere på avgjørelsen. En verdivurdering skal kun skjele til hvorvidt, og i hvilken grad, informasjonen eller objektet omfattes av begrepene rikets sikkerhet eller vitale nasjonale sikkerhetsinteresser. Økonomiske og administrative konsekvenser av en beslutning om gradering/klassifisering kan ikke lovlig vektlegges i verdivurderingen etter sikkerhetslovens Tidsperspektivet Rikets sikkerhet og vitale nasjonale sikkerhetsinteresser er overordnede begreper som forandrer seg over tid, men som er relativt stabile. Her vil faktorer som samfunnsutviklingen generelt og det generelle risikobildet ha betydning, for å nevne noen. Verdier forandrer seg over tid, men det vil til enhver tid være informasjon som har behov for en grunnsikring. En grunnsikring innebærer en hensiktsmessig og betryggende skjermingspolitikk som tar inn over seg eksisterende trusler og sårbarheter samtidig som man også evner å se utover dagens risikobilde. Det innebærer at det må tas høyde for oppdukkende mulige endringer i et langsiktig perspektiv på år. Tidshorisonten er derfor en grunnleggende dimensjonerende faktor ved verdivurdering. Det er viktig å heve blikket og forsøke å ha et langsiktig perspektiv. Sett opp mot sikkerhetslovens hensikt, som er å forebygge mot sikkerhetstruende hendelser mot rikets sikkerhet og vitale nasjonale sikkerhetsinteresser, er det viktig å bygge inn en grunnsikring. NSM vil fraråde å foreta en for rask omvurdering av verdien på et objekt eller informasjon. 3.6 Gjensidige avhengigheter En utfordring for den enkelte virksomhet er å definere hva som er kritiske verdier for sin egen aktivitet. Samtidig må virksomheten, representert av virksomhetens leder, også evne å se seg selv i en større 10

11 sammenheng og kunne vurdere hvorvidt andre virksomheter kan rammes hvis en sikkerhetstruende hendelse skulle inntreffe. Det vil dermed være et eget punkt i verdivurdering å fastsette i hvilken grad konsekvensene av en sikkerhetstruende hendelse i eller mot egen virksomhet kan påføre andre virksomheter av avgjørende skade. Likeledes må virksomheten/virksomhetens leder vurdere hvilke vitale skader virksomheten kan bli påført av en annen virksomhet hvis den sistnevnte rammes av en sikkerhetstruende hendelse. I denne sammenheng er det viktig å ha en oversikt over gjensidige avhengigheter. 3.7 Verdivurdering som del av risiko- og sårbarhetsanalyse 15 Risiko- og sårbarhetsanalyser (ROS) innebærer bl.a. identifikasjon av virksomhetskritisk informasjon og objekter med tanke på å fastsette de riktige sikkerhetstiltakene både ut fra et security og et safety aspekt. Med security-aspekt menes her uønskede villede hendelser (f eks forsøk på sabotasje), mens safety-aspektet inkluderer uønskede hendelser ( f eks en brann eller en orkan). I prosessen med å utarbeide ROS-analyser vil verdivurdering være en del av den analysen som må gjøres. Det er i denne sammenhengen et viktig moment at den enkelte virksomhet har evne til å kunne bedømme endringer i trussel- og risikobildet Graderingsnivåene for sikkerhetsgradert informasjon Et sentralt spørsmål når det gjelder å vurdere om egen informasjon er skjermingsverdig i henhold til sikkerhetsloven må være om informasjonen kan misbrukes av uvedkommende (villede sikkerhetstruende hendelser) slik at det berører rikets sikkerhet eller vitale nasjonale sikkerhetsinteresser. Sikkerhetsloven opererer med fire nivåer av alvorlighetsgrad når det gjelder potensiell skade ved kompromittering av skjermingsverdig informasjon: STRENGT HEMMELIG nyttes dersom det kan få helt avgjørende skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. HEMMELIG nyttes dersom det alvorlig kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. KONFIDENSIELT nyttes dersom det kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. BEGRENSET nyttes dersom det i noen grad kan medføre skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende For videre informasjon om ROS-analyser se NSMs veiledning i ROS analyse på NSMs hjemmesider: 16 Se for øvrig vedlegg A.1 for en nærmere beskrivelse av risikobildet 17 Sikkerhetsloven 11 11

12 NSM besitter kunnskap og gir råd om hvordan disse nivåene bør benyttes. Se også konkret eksempel på bruk av klassifiseringsnivåene i vedlegg A Spesielt om utenlandske sikkerhetsgraderinger Se vedlegg A.6 for en oversikt over sikkerhetsgraderinger med andre stater og internasjonale organisasjoner. Utveksling av sikkerhetsgradert informasjon mellom stater skjer på basis av inngåtte sikkerhetsavtaler. NSM fremforhandler på vegne av Forsvarsdepartementet generelle sikkerhetsavtaler, og skal ha seg forelagt til uttalelse alle prosjektrelaterte sikkerhetsavtaler. NSM skal også holde oversikt over alle inngåtte avtaler. NSM fastsetter i denne sammenheng hvilke sikkerhetsgrader av fremmed stat/internasjonal organisasjon som korresponderer med de norske. I noen tilfeller er det ingen direkte ekvivalenter eller samme gradering er brukt for flere nivåer. Dette er da omhandlet spesielt i de respektive sikkerhetsavtalene. Disse sikrer at informasjonen vanligvis vil bli behandlet tilsvarende som for den norske graderingen. 3.9 Sammenstilling av informasjon Et utfordrende spørsmål i verdivurdering på et overordnet nivå er å utlede den samlede verdien på sammenstilling av informasjon fra forskjellige databaser eller informasjonskilder. Denne vurderingen vil i stor grad være gjenstand for skjønn. Illustrert blir dette som et puslespill: Jo flere biter man har til rådighet jo mer vil man skjønne hva bildet dreier seg om. Har man alle bitene, har man hele oversikten. Har man bare noen få, og det ikke er mulig å avlede hva som skjuler seg rundt den brikken man har, eller brikkene ikke passer sammen så trenger man ikke en ytterligere beskyttelse av den enkelte puslespillbit. Men er det slik at man ved hjelp av de enkelte brikkene kan utlede viktige eller helt sentrale deler av totalbildet så vil disse brikkene til sammen utgjøre en høyere verdi enn hver enkelt isolert. Ved sammenstilling av informasjon fra forskjellige graderingsnivåer er hovedregelen at det er den høyeste graderingen som er førende på den samlede graderingen (se også 3.12 om punktgradering). Men den samlede informasjonsmengden bør gjøres til gjenstand for en verdivurdering med tanke på om de enkelte informasjonsbitene til sammen faktisk representerer en høyere verdi. Utfallet av en verdivurdering kan være at hvert enkelt informasjonselement beholder sin gradering, men at lagringsmediet for den samlede informasjonen gis et høyere sikringstiltak. Sammenstilt sikkerhetsgradert informasjon som inneholder komponenter fra ulike utenlandske myndigheter og/eller internasjonale organisasjoner skal ikke nedgraderes eller avgraderes uten skriftlig forhåndssamtykke fra kompetent myndighet i det aktuelle land eller organisasjon. Ved gjenbruk og sammenstilling av slik type informasjon må det klart kunne identifiseres hvem som er informasjonseier til de enkelte deler. Dette kan gjøres gjennom punktgradering som også viser eierskap. Selve dokumentet bør i tillegg påføres norsk gradering. Et spørsmål vil være om sammenstilling av ugradert og åpen informasjon utgjør en så verdifull kunnskapsbase at den er skjermingsverdig i henhold til sikkerhetsloven fordi den samlet og sammenstilt berører rikets sikkerhet eller vitale nasjonale sikkerhetsinteresser. Det kan eksempelvis være sammenstilling av data i store databaser hvor de enkelte delene/kildene hver for seg er ugraderte. Spesielt viktig er det å foreta en verdivurdering når informasjonen har en stor detaljeringsgrad og informasjonsgruppene faller inn under kategorien risiko- og sårbarhetsinformasjon. 18 En verdivurdering vil utlede om det foreligger behov for å beskytte informasjonen og hvilken beskyttelsesgrad som er nødvendig. Igjen vil det være avgjørende å vurdere om skadepotensialet ved uautorisert tilgang til informasjonen berører rikets sikkerhet eller vitale nasjonale sikkerhetsinteresser på en slik måte at det faller inn under sikkerhetsloven. NSM vil i denne sammenheng peke på at det finnes annet regelverk enn sikkerhetsloven som pålegger virksomheter å skjerme informasjon, se kapittel Se oversikt i vedlegg A.8 over virkeområdene til sikkerhetsloven, Beskyttelsesinstruksen og Offentlighetsloven. 12

13 I denne forbindelse kan nevnes den såkalte Liste-saken som ble behandlet i rettsapparatet på tallet, hvor spørsmål om ytringsfrihet og rikets sikkerhet i fredstid ble aktualisert. Det dreide seg om en enkeltperson, som, nærmest som et ledd i privat etterretningsvirksomhet, samlet inn åpent tilgjengelig materiale om ansatte i overvåkings-, etterretnings- og sikkerhetstjenesten. Lister ble utarbeidet og overlatt til to journalister, som siden ble dømt for å ha tatt imot materialet. Informasjon som ligger tilgjengelig på Internett er åpen informasjon. Det skal derfor ikke forekomme at sikkerhetsgradert informasjon publiseres på Internett, da det vil være et sikkerhetsbrudd. I tillegg er det å benytte Internett som informasjonskanal forbudt for sikkerhetsgradert informasjon. Generelt kan man si at tilgang til informasjon om et samfunns sårbare punkter kan være med på å øke kapasiteten hos ondsinnede aktører til å gjennomføre anslag. Man må også være oppmerksom på, og vurdere informasjon som legges ut i lys av, at den kan sammenstilles med annen tilgjengelig (sårbarhets)informasjon. I spesielle tilfeller kan en heller ikke se bort fra at ervervelse av sårbarhetsinformasjon faktisk kan bli en utløsende faktor slik at anslag gjennomføres som, uten tilgang på sårbarhetsinformasjon, ellers ikke ville ha blitt gjennomført. NSM understreker derfor at det er viktig å tenke gjennom og skape bevissthet rundt hva virksomheten legger ut på Internett av informasjon som kan karakteriseres som risiko- og sårbarhetsinformasjon. 19 Slik informasjon, f eks om detaljer i beredskapsplaner eller tegninger og kart over kritisk infrastruktur, kan ha en høy nytteverdi for en utenforstående trusselaktør. Det vises til en oversikt i vedlegg A.3 over type informasjon det kan være viktig å verdivurdere også i forhold til hvorvidt det skal publiseres på Internett Skadereduserende tiltak for å oppnå redusert klassifisering Siden skadepotensialet er en så viktig komponent i forhold til å fastsette verdien (og dermed sikkerhetsklassifiseringen), er det klart at en reduksjon av dette vil kunne ha en gunstig virkning. Det er ikke noe mål i seg selv å fastsette høyest mulig gradering på informasjon eller objekter. Det er også et lovfestet prinsipp at sikkerhetsgradering ikke skal skje i større utstrekning enn nødvendig, eller med høyere sikkerhetsgrad enn nødvendig 20 Tiltakene som kan være nødvendig for å beskytte for eksempel skjermingsverdige objekter kan i noen tilfeller vise seg å bli omfattende, kostbare og skape praktiske problemer til daglig. Dersom det etter en verdivurdering (og en mer omfattende risikovurdering) viser seg at et objekt representerer en svært kritisk verdi for samfunnet, bør det vurderes om det kan gjøres tiltak for å redusere denne faktoren. Eksempelvis kan det etableres løsninger hvor funksjonene som ivaretas ved ett objekt også kan ivaretas et annet sted. Et konkret eksempel som viser hvordan et objekts kritiske betydning kan reduseres er sammenknytningspunktet mellom norske internettleverandører (NIX). Dette var opprinnelig kun etablert på ett geografisk sted. Utfall/bortfall av dette objektet ville kunne få store konsekvenser, og en verdivurdering ville påvirke sikkerhetstiltakene i skjerpende retning. Ved å etablere et nytt objekt som kan overta store deler av funksjonaliteten, og som er lokalisert et annet sted, blir den kritiske faktoren for hvert av objektene mindre. Objektene kan settes i en lavere klasse fordi hvert av dem ikke representerer så stor verdi i denne sammenheng. Lavere sikkerhetsgradering av informasjon kan for eksempel oppnås ved at de deler av informasjonen som medfører høyere verdifastsettelse tilsløres eller anonymiseres. Dette kan være nødvendig dersom det er behov for å gjøre tilgjengelig hovedinnholdet i en informasjonsmengde, men dette vanskeliggjøres ved at mulighetene for å beskytte denne ikke finnes i tilstrekkelig grad. Selvfølgelig må den informasjonen 19 NSM har utarbeidet et eget hefte kalt Internett og informasjonssikkerhet som tar for seg denne problematikken. Det er bla utarbeidet en liste med 10 anbefalinger om hva en virksomhet bør tenke på i forbindelse med publisering av informasjon på Internett. 20 Sikkerhetsloven 11 Sikkerhetsgradering 13

14 som var utgangspunktet for dette tiltaket beskyttes i henhold til den verdi og sikkerhetsgradering som gjelder for den Tjenstlig behov og autorisasjon Det er et grunnleggende prinsipp at sikkerhetsgradert informasjon kun skal gjøres tilgjengelig for de som har et tjenstlig behov. Dette for å motvirke utilsiktet spredning. Prinsippet om tjenstlig behov er nedfelt i sikkerhetsloven Et tjenstlig behov vil være utledet ut fra den funksjon vedkommende er satt til å utøve, dvs. hvilke oppgaver som skal utføres og hvorvidt tilgang til sikkerhetsgradert informasjon er nødvendig for å utføre oppgaven. Vedkommende må i tillegg inneha det riktige sikkerhetsklareringsnivå 22 tilsvarende den gradering informasjonen har, samt ha vært gjennom en autorisasjonsprosess av virksomhetens leder eller den som en har bemyndiget. 23 En har ikke automatisk tilgang til all type informasjon som er merket med den sikkerhetsgradering som samsvarer med sikkerhetsklareringen. Prinsippet om tjenstlig behov tilsvarer det engelske need-to-know, og er velkjent i enkelte miljøer. Man kan si at prinsippet har til hensikt å ikke spre informasjon unødig, da man i størst mulig grad ønsker å beholde kontrollen med hvem som får innsikt i informasjonen. Det påhviler et ansvar for informasjonsutstedere og informasjonsforvaltere å distribuere skjermingsverdig informasjonen til de riktige funksjoner/miljøer. I denne sammenheng kan det være på sin plass å påpeke behovet for kunnskapsdeling (need-to-share). Hensikten med kunnskapsdeling er at flest mulig med tilsvarende sikkerhetsklareringsnivå skal kunne få tilgang på relevant sikkerhetsgradert informasjon. Dette gjøres ut fra en antagelse om at jo flere som får tilgang til informasjonen, jo større er muligheten for at man kan fange opp trender på et tidlig stadium; se informasjon fra forskjellige kilder i én sammenheng samt ikke minst inneha den samme bakgrunnsinformasjon. Det er derfor viktig at prinsippet om tjenstlig behov ikke benyttes av andre årsaker enn de rent sikkerhetsmessige, for eksempel for å dekke over pinlig informasjon eller for å hevde egen makt. Spredning av sikkerhetsgradert informasjon ut over hva som kan begrunnes ut fra det rent tjenstlige behov er ikke mulig innenfor rammen av gjeldende lovverk Punktgradering Å punktgradere informasjon vil si at en verdivurderer avsnitt for avsnitt i et dokument og fastsetter gradering på hvert avsnitt. Det fullstendige dokumentet skal graderes med den høyeste sikkerhetsgrad som er benyttet i dokumentet. Informasjonseiere oppfordres til å punktgradere sikkerhetsgradert informasjon ut fra flere hensyn. Det blir enklere å distribuere et dokument til en større brukergruppe hvis en f eks kan utelate de høyest graderte avsnittene eller samle de sammen i et vedlegg til slutt som ikke nødvendigvis tilflyter alle mottakere av hoveddokumentet. Et annet moment er at det blir lettere for mottagere av sikkerhetsgradert informasjon å gjenbruke deler av den i sine dokumenter. Det understrekes at det kun er informasjonseier som kan nedgradere sikkerhetsgradert informasjon, og derfor må det tydeliggjøres hvor sikkerhetsgradert informasjon er hentet fra. Ved sammenstilling av informasjon fra mange kilder er det viktig å identifisere hvem som er informasjonseier til de enkelte delene. Se også pkt 3.9 om sammenstilling av utenlandsk sikkerhetsgradert informasjon. 21 Sikkerhetsloven 12, Plikt til å beskytte sikkerhetsgradert informasjon 22 Sikkerhetsklarering: Avgjørelse, foretatt av klareringsmyndighet og bygget på personkontroll, om en persons antatte sikkerhetsmessige skikkethet for angitt sikkerhetsgrad. Sikkerhetsloven 3 pkt En autorisasjon er en avgjørelse, foretatt av autorisasjonsansvarlig, om at en person etter forutgående sikkerhetsklarering (med unntak for tilgang til informasjon sikkerhetsgradert BEGRENSET), bedømmelse av kunnskap om sikkerhetsbestemmelser, tjenstlig behov samt avlagt skriftlig taushetsløfte, gis tilgang til informasjon med angitt sikkerhetsgrad. (Sikkerhetsloven 3 pkt. 17). 14

15 Det kan nevnes at i forbindelse med en presentasjon eller et foredrag så kan hver plansje merkes med foredragets helhetlige gradering, i tillegg til at hver enkelt side merkes med egen gradering, slik at tilhørerne vet hvilken informasjon som er gitt hvilken gradering. TIPS: Mer om hvordan man punktgraderer og praktisk merker dokumenter finner du i Forskrift om informasjonssikkerhet kapittel 2A og 4A Ned- og avgradering. Sikkerhetsloven påpeker at det ikke skal nyttes mer inngripende midler og metoder enn det som fremstår som nødvendig i forhold til den aktuelle sikkerhetsrisiko og omstendighetene for øvrig. 24 Dette innebærer at gradering ikke skal skje i større utstrekning enn nødvendig, og at det ikke skal brukes høyere sikkerhetsgrad enn nødvendig 25. Dette er viktig for å unngå å belaste administrative og økonomiske systemer mer enn strengt tatt påkrevet. Sikkerhetsgradert informasjon bør derfor være gjenstand for omgradering og nedgradering når rammefaktorene for selve graderingen endres. Dette kan være informasjon som er av stor betydning å beskytte for en spesiell tidsperiode, f.eks. en forhandlingsposisjon, som etter at hendelsen har funnet sted ikke lenger er kritisk. Et spørsmål man må stille seg er hvor lenge graderingen av den aktuelle informasjonen skal opprettholdes. Normalt skal tidsangivelsene 2 eller 5 år benyttes, og i prinsippet skal graderingen bortfalle senest etter 30 år. Andre tidsangivelser, herunder inntreden av bestemt begivenhet, kan benyttes dersom det er mer praktisk. Det er viktig å merke seg at virksomhet som foretar omgradering skal underrette alle som har mottatt informasjonen om endringen. Om nedgradering og omgradering, se nærmere i sikkerhetslovens 11, samt Forskrift om informasjonssikkerhet kapittel 2B, C og D. NSM forventer at utsteder av skjermingsverdig informasjon benytter seg av den dynamikken som sikkerhetsloven og forskriftsbestemmelsene åpner for Fallgruver ved fastsettelse av gradering Det er viktig å understreke at man finner et riktig graderingsnivå for informasjon. Fallgruver ved feil sikkerhetsgradering, det være seg overgradering eller undergradering, kan først og fremst få sikkerhetsmessige konsekvenser Overgradering eller overklassifisering Ved overgradering av informasjon eller overklassifisering av objekt vil en alvorlig effekt kunne være at færre får tilgang på informasjonen eller objektet enn de som bør ha tilgang på den. Overdreven bruk av gradering vil også kunne motvirke den åpenhet og gjennomsiktlighet som det er ønskelig skal prege offentlig forvaltning. Et faremoment ved overgradering av informasjon kan videre være at graderingsnivået ikke respekteres. Et annet moment er at det påfører informasjonseier unødig høye administrative kostnader. Et siste forhold kan være at et unødig høyt antall personell må sikkerhetsklareres på et for høyt nivå i forhold til det som er nødvendig. Dette fører igjen til unødig ressursbruk i klareringsprosessen, og også mulige unødvendige belastninger for enkeltindivider. 24 Sikkerhetsloven 6 25 Sikkerhetsloven 11 15

16 Undergradering eller underklassifisering Et faremoment ved undergradering vil eksempelvis være at man unnlater å ta stilling til at mange ugraderte eller lavt graderte enkeltdeler til sammen vil kunne få et høyere graderingsnivå enn hver enkelt bestanddel. Sammenstilling av informasjon i store databaser er et område hvor nettopp denne type vurdering bør gjøres. Det er viktig å tenke gjennom detaljnivå i informasjonen, med tanke på om den kan avsløre sårbarheter, at man kan koble sammen informasjon på en måte som avslører kapasiteter, sårbarheter og gjensidige avhengigheter på en måte man opprinnelig ikke hadde tenkt seg. Erfaringsmessig forekommer det at informasjon ikke graderes eller undergraderes for å unngå å måtte følge et sikkerhetsregime som oppfattes som byrdefullt. Dette eksempelvis for å muliggjøre forsendelse av informasjon over Internett eller behandling av informasjon i et ønsket informasjonssystem. I en verdivurdering er ikke dette relevante momenter å ta i betraktning. Unnlatelse av å gradere eller en undergradering ut fra slike betraktninger vil være å anse som et sikkerhetsbrudd. Det vises for øvrig til fremstillingen om sammenstilling av informasjon i pkt 3.9, spesielt momentet ved at sammenstilling av åpen informasjon kan få en høyere verdi samlet sett. 16

17 4 Sikkerhetsloven og forhold til annet regelverk Prinsippet om offentlighet er fastsatt i Lov om offentlighet i forvaltning fra 1970, og er det overordnede prinsipp for et demokratisk samfunn som Norge. Hovedregelen er at forvaltningens saksdokumenter er offentlige så langt det ikke er gjort unntak i loven. Det finnes regelverk utover sikkerhetsloven som er utformet med tanke på skjerming av opplysninger og objekter. De viktigste blir redegjort for nedenunder. I de tilfeller hvor opplysningenes art ligger i et grenseland, det vil si at hensikten med skjerming kan vurderes forskjellig opp mot de enkelte lovers og reglers intensjon, vil det være en skjønnsmessig vurdering som blir avgjørende for verdivurderingen. NSM bistår med råd og veiledning på området. 4.1 Offentlighetsloven 26 Offentlighetsloven angir at forskjellige typer informasjon kan (og i enkelte tilfeller skal) skjermes ut fra en vurdering av mulige skadefølger for offentlige eller private interesser. Dette kan være informasjon som hvis den blir kjent kan skade noens personlige forhold, en bedrift, ulike offentlige interesser eller forenkle gjennomføringen av kriminelle handlinger. Offentlighetsloven gir ikke anvisning på hvordan et dokument som er unntatt offentlighet skal behandles og oppbevares for å hindre innsyn i dokumentet. Offentlighetsloven forplikter heller ikke mottaker av et slikt dokument å holde dokumentet unntatt fra offentlighet. Offentlighetsloven gir derfor bare hjemmel for å hindre innsyn, men gir ikke informasjonen i seg selv beskyttelse slik sikkerhetsloven gjør. Lovens 5a definerer nærmere at opplysninger undergitt lovbestemt taushetsplikt skal unntas offentlighet. 6 angir grunnlag for at et dokument kan unntas offentlighet på grunn av dokumentets innhold, deriblant opplysninger, som om de ble kjent, ville kunne skade rikets sikkerhet og vitale nasjonale sikkerhetsinteresser, landets forsvar eller forholdet til fremmede makter eller internasjonale organisasjoner. 6a i loven gir hjemmel for at opplysninger som kan lette gjennomføring av straffbare handlinger kan unntas offentlighet. Det samme gjelder offentliggjøring av opplysninger som kan lette gjennomføringen av handlinger som kan skade deler av miljøet som særlig er utsatt eller som er truet av utryddelse. Se for øvrig skjematisk oversikt over Offentlighetslovens virkeområde i eget vedlegg bak ( 5.5). 4.2 Beskyttelsesinstruksen Beskyttelsesinstruksen kommer til anvendelse når dokumenter trenger spesiell beskyttelse og det ikke inneholder opplysninger som faller inn under sikkerhetsloven. Det skal legges to nivåer av vurdering til grunn: STRENGT FORTROLIG nyttes dersom det vil kunne forårsake betydelig skade for offentlige interesser, en bedrift, institusjon eller enkeltperson at dokumentets innhold blir kjent for uvedkommende. FORTROLIG nyttes dersom det vil kunne skade offentlige interesser, en bedrift, institusjon eller enkeltperson at dokumentets innhold blir kjent for uvedkommende. 26 Regjeringen Bondevik II har den i Ot prp nr. 102 ( ) fremmet forslag til Stortinget om ny offentlighetslov. 17

18 I motsetning til offentlighetsloven gir Beskyttelsesinstruksen en del bestemmelser om beskyttelse av informasjon. For å kunne beskytte opplysninger etter denne instruksen må opplysningene kunna unntas offentlighet etter Offentlighetslovens unntaksbestemmelser. Beskyttelsesinstruksens 3 lyder: Gradering av et dokument skal bare foretas når det kan unntas offentlighet i medhold av offentlighetsloven og skadevirkninger nevnt i 4 kan inntreffe. Beskyttelsesinstruksen er en kgl. res., og Kongens instruksjonsmyndighet gjelder bare for statsforvaltningen. Det er en kobling mellom Beskyttelsesinstruksen og sikkerhetsloven når det gjelder på hvilken måte informasjon gradert etter Beskyttelsesinstruksen skal lagres og oppbevares elektronisk. Dette skal skje etter bestemmelsene som gjelder for informasjon sikkerhetsgradert BEGRENSET. Se for øvrig skjematisk oversikt over Beskyttelsesinstruksens i eget vedlegg. 4.3 Personopplysningsloven I personopplysningsloven stilles også krav til beskyttelse av informasjon. I kapittel 2 til forskriften finnes funksjonelle krav til informasjonssikkerhet. Til hjelp i arbeidet med å anslå taps- eller skadepotensial er det aktuelt å avdekke om personopplysningene er sensitive. Dette begrepet skal ikke oppfattes som en sikkerhetsgradering i seg selv. Personopplysningsloven benytter begrepet for vidt forskjellige opplysninger, også for slike som i seg selv ikke utløser særlige krav til sikkerhetstiltak (eks. medlemskap i fagforeninger). Det sier imidlertid noe om forventet diskresjon, det vil si angir behov for konfidensialitet men det må understrekes at begrepet ikke sier noe om andre behov (tilgjengelighet eller integritet). 4.4 Sektorvise regelverk/lover Innen hver sektor i samfunnet finnes ulike regel- og planverk som i varierende grad også omfatter behov for skjerming av informasjon og objekter. Den enkelte virksomhet er forpliktet til å sette seg inn i de angjeldende regelverk Anskaffelser. Lov om offentlige anskaffelser (LOA), og forskrifter gitt med hjemmel i denne regulerer anskaffelsesvirksomheten for staten. Lovens 3 og anskaffelsesforskriftens 1-3 hjemler i visse tilfeller unntak fra det alminnelige anskaffelsesregelverket ved anskaffelser som krever særskilte sikkerhetstiltak, f. eks fordi anskaffelsen involverer sikkerhetsgradert informasjon. Om unntakene kommer til anvendelse må imidlertid bero på en konkret vurdering i det enkelte tilfelle. 18

19 Vedlegg Risikobegrepet Liste over begreper og terminologi Type informasjon som bør være gjenstand for verdivurdering Et eksempel på konkret verdivurdering Oversikt over korresponderende sikkerhetsgraderinger med andre stater og andre organisasjoner Oversikt over behandling av sikkerhetsgradert informasjon 19

20 A.1 Risikobegrepet A.1.1 Generelt om risiko og sårbarhet. Risiko er et alminnelig begrep, men betydningen av det er avhengig av kontekst og ulike gruppers/personers forståelse og fortolkning av begrepet. Risiko kan forstås som produktet av sannsynlighet og konsekvens. I forebyggende sikkerhetstjeneste bør også fokus rettes mot hvilke muligheter som måtte finnes for å gjennomføre spionasje, sabotasje eller terrorhandlinger. Konsekvens har nøye sammenheng med verdi, samtidig som mulighet for å gjennomføre anslag henger sammen med egenskaper både hos verdiene (i form av sårbarhet) samt egenskaper hos trusselaktørene, i form av intensjoner og kapasitet. NSM sine risikoanalyser er basert på en analyse av faktorene verdi trussel sårbarhet, som forsøkt illustrert i figuren under. Til sammen utgjør disse faktorene risikobildet. Verdi Risikobildet Trussel Sårbarhet Med verdi menes den betydning eller viktighet en virksomhet, objekt eller person representerer. Fastsettelse og klassifisering av verdi er komplekst da ikke alt av verdi nødvendigvis kan kvantifiseres i penger, informasjonsgraderinger, karakterskalaer og lignende. Denne veiledningen er ment å skulle bidra til korrekt verdivurdering av informasjon og objekter. Trusselen representerer eksterne krefter som har til hensikt å skade, kompromittere eller stjele de angitte verdiene, som er utledet ved en verdivurdering. Sårbarhet er tekniske, organisatoriske, menneskelige eller rutinemessige feil og mangler som gjør at trusselaktøren kan fullbyrde sin hensikt. En vanlig forståelse av risikobegrepet er at det utledes av to komponenter; sannsynligheten for at en uønsket hendelse skal skje og hvilke konsekvenser dette kan medføre. Den tradisjonelle definisjonen av risikobegrepet som et produkt av sannsynlighet for en uønsket hendelse og konsekvensen denne hendelsen gir, blir likevel ikke et hensiktsmessig utgangspunkt når det gjelder for eksempel trusselen som utgjøres av terrorgrupper. Vurderinger av disse som enkeltfaktorer er en utfordring i seg selv, og det samlede risikobildet er ofte komplekst og ikke minst dynamisk over tid. Risikoanalyser som ikke er knyttet til en bestemt virksomhet, objekt eller person omtaler verdier, sårbarheter og trusler på et generelt grunnlag. Det kan i stedet være nødvendig å anvende en metode som gir et grunnlag for å si noe om hvilken mulighet det er for at en slik trussel skal føre til utløsning av en uønsket hendelse gjennom utnyttelse av sårbarheter. Det er avdekking av sårbarheter og tiltak for å redusere denne, som kan redusere mulighetene for et vellykket anslag. En kan gå ut fra at for eksempel et informasjonssystem som ikke har god nok beskyttelse i form av brannmurer, vil være mer sårbart overfor angrep og at muligheten for at dette informasjonssystemet rammes dermed vil være større. Konsekvensene av ondsinnede handlinger kan være så store at de truer rikets sikkerhet og vitale nasjonale interesser. Stortinget vedtok i 1998 Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven), 20

21 som skal sikre at en grunnsikring til enhver tid er på plass for informasjon og objekter av spesiell verdi for samfunnet, gjennom blant annet å stille krav til defensive sikkerhetstiltak. Det er ikke mulig å forutsi med særlig grad av sikkerhet hvor trusselaktører vil angripe. De defensive sikkerhetstiltakene har derfor som utgangspunkt at den samfunnsmessige verdien identifiseres og danner utgangspunkt for tiltakene, slik at tiltak skal være på plass alle steder hvor det finnes en mulighet for anslag som kan medføre betydelige, samfunnsmessige konsekvenser. Konsekvensvurderingen er styrende ved fastsetting av sikkerhetsmessig verdi på informasjon og objekter. Jo større konsekvens det får dersom informasjon blir kjent for uvedkommende eller et objekt ødelegges for eksempel av terrorister eller sabotører, dess større sikkerhetsmessig verdi har objektet eller informasjonen. Det er avgjørende for samfunnssikkerheten at virksomheter er i stand til å foreta en vurdering av hva som har sikkerhetsmessig verdi slik at objekter og informasjon som virkelig har samfunnsmessig betydning, blir beskyttet. Det er ikke mulig å beskytte absolutt alt, derfor må en gjøre et utvalg. Nasjonal sikkerhetsmyndighet vil kunne bistå i en verdivurdering. Det er imidlertid virksomhetene selv som må foreta den innledende verdivurderingen. Nærhet til og erfaring fra oppgaveløsningen innenfor egen sektor eller egen virksomhet, gir et godt grunnlag for å kunne foreta en verdivurdering. Bak de tilsiktede, ondsinnede handlingene står en trusselaktør. Trusselaktører kan være alt fra misfornøyde ansatte i en bedrift til pressgrupper, organiserte kriminelle, terroristorganisasjoner eller andre stater. Muligheten for at spionasje, sabotasje eller en terrorhandling faktisk vil finne sted har blant annet sammenheng med egenskaper hos trusselaktøren. Sentrale vurderingstema i denne forbindelse vil være aktørens intensjon og kapasitet. Intensjonen, altså ønsket om og viljen til for eksempel å utføre en terroraksjon, er i første rekke styrt av motivasjonen. Motivasjonen vil også påvirke forhold som besluttsomhet, grad av voldsanvendelse og vilje til å overse risiko ved gjennomføring av aksjoner. Eksempel på motiverende faktorer hos forskjellige trusselaktører kan være: - politiske - ideologiske - kriminelle - religiøse - hevn - økonomiske - etterretning Ulike katalysatorer kan påvirke valg av både mål og tidspunkt for et angrep. Katalysatorer kan være av forskjellig karakter: Hendelser: Kan være relatert direkte eller indirekte til angriperen, for eksempel en personlig opplevelse eller tilgang til et nyhetsinnslag som fører til at en forhåndsplanlagt aksjon settes i verk. Det kan også være endringer i politiske forhold mellom land eller andre konflikter, som får stor oppmerksomhet. Teknologiendringer: Viktige teknologiendringer skjer stadig. Nye anvendelsesområder synliggjøres, og det kan også gi nye sårbarheter som kan utnyttes. Dette kan i seg selv være en katalysator for å utløse angrep. Personlige forhold: Endringer av personlig karakter hos en (potensiell) trusselaktør kan utløse og gi motivasjon for å utføre en ondsinnet handling. Ikke minst i forhold til innsidetrusselen, er dette en type katalysator som det må tas hensyn til. 21

22 Kapasitetsbegrepet beskriver ulike sider ved en trusselaktør, som vil ha betydning for å vurdere hvilken evne denne har til å gjennomføre et anslag av forskjellig styrke og karakter. Teknologisk kunnskap, økonomisk støtte, tilgang på våpen/annet utstyr og nivå på organiseringen er eksempler på elementer som inngår i kapasitetsbegrepet. I vurderinger av kapasitet vil det måtte legges forskjellig vekt på de ulike aspektene, etter hvilken type trusselaktør det gjelder. En trusselaktør vil kunne benytte seg av alle tilgjengelige nivåer i sine angrep, inkludert enkle metoder dersom dette kan gi den ønskede effekt. Men det kan også være aktuelt med høynivå/høykapasitets metoder over en lengre periode, for å få en tilsiktet effekt. Det er grunn til å understreke at ønsket om å skade ser ut til å ligge på et permanent, høyt nivå hos enkelte trusselaktører i dag. Kapasiteten synes imidlertid å være utilstrekkelig på enkelte områder. 27 Tilgang til informasjon om et samfunns sårbare punkter kan være med på å øke kapasiteten hos ondsinnede aktører i forhold til å gjennomføre anslag. I spesielle tilfeller kan en heller ikke se bort fra at ervervelse av sårbarhetsinformasjon faktisk kan bli en utløsende faktor slik at anslag gjennomføres som, uten tilgang på sårbarhetsinformasjon, ellers ikke ville ha blitt gjennomført. I denne sammenhengen understreker NSM at det er viktig å tenke gjennom hva en virksomhet legger ut på Internett av informasjon som kan karakteriseres som risiko- og sårbarhetsinformasjon. Slik informasjon, f eks om detaljer i beredskapsplaner eller tegninger og kart over kritisk infrastruktur, har en høy nytteverdi for en utenforstående trusselaktør. Det kan være informasjon som en potensiell ondsinnet trusselaktør kan bruke for å planlegge anslag, og sikre nøyaktig faktainformasjon før man går til verk med en kriminell handling. Det vises til en oversikt i 5.2 over type informasjon det kan være viktig å verdivurdere også i forhold til hvorvidt det skal publiseres på Internett. A.1.2 Risikobildet Det har i de senere årene vært gjennomført en rekke offentlige utredninger hvor det nye risikobildet Norge står overfor, har vært drøftet. Generelt kan det sies at utviklingen har gått fra en ganske entydig og klart dimensjonerende trussel til et variert og diffust trusselbilde. Tidligere var vern om landets suverenitet (territorielt og statsmessig) det sentrale sikkerhetsmessige fokus. Etter den kalde krigens epoke, har den tradisjonelle militære trussel mot Norge blitt sterkt redusert. I St.meld. nr. 17 ( ) Samfunnssikkerhet står det: Vi står overfor et mye bredere og mer diffust trusselbilde enn tidligere, kjennetegnet av glidende overganger mellom det nasjonale og det internasjonale, og mellom fred, krise, væpnet konflikt og krig. Norge kan i økende grad bli trukket inn i konflikter i den lavere del av krisespekteret, og vi kan bli trukket inn i konflikter på en indirekte måte. I sum er de potensielle truslene som vi står overfor som en del av en mer global verden ikke blitt borte de er flere og mer uoversiktlige. Perioden med bortfall av den kalde krigen faller tidsmessig sammen med en annen viktig utvikling, nemlig inngangen til informasjonssamfunnet og globaliseringen som dette fører med seg. Vi har i løpet av de siste to tiårene sett en eksplosiv utvikling innen informasjons- og kommunikasjonsteknologi (IKT). Nye sårbarhetsområder har dermed blitt introdusert, selv om teknologien også gir bedre muligheter for å forebygge uønskede hendelser. Ved siden av at denne teknologien etter hvert tas i bruk på stadig flere områder i samfunnet, har fremveksten av et Internett på verdensbasis skapt en helt ny epoke. Et sentralt kjennetegn ved denne samfunnsutviklingen, er at stabile og fungerende IKT-systemer i stadig økende grad er en forutsetning for at samfunnsmaskineriet skal virke. Det er også slik at måten teknologien tas i bruk på gjør at det er stadig flere tannhjul som griper i hverandre, selv på tvers av sektorer. Samfunnets infrastruktur på nær sagt alle områder drives på en eller annen måte av IKTsystemer. 27 Fremstilling og spredning av biologiske våpen synes for eksempel å være såpass komplisert at terrorgrupperinger så langt ikke har lyktes med dette i særlig grad, selv om intensjonene synes å være til stede. 22

23 Det nye trusselbildet har mange fasetter; noen av dem er knyttet nettopp til infrastrukturens avhengighet av IKT. IKT representerer en helt spesiell verdi for samfunnet. At samfunnet er blitt så avhengig av fungerende IKT-systemer, gjør at trusler mot disse får en helt ny dimensjon. For 15 år siden ville feil eller sammenbrudd i en datamaskin kun føre til meget begrenset skade. I dag kan en tilsvarende hendelse gi omfattende og kanskje katastrofale virkninger. Utviklingen har gått så raskt at vi kanskje ikke kan sies å ha full kontroll over situasjonen. Hvor sårbare er vi egentlig? Hvilke trusler vil være dimensjonerende for valg av sikringstiltak? Hvilke er de viktigste truslene i dag, i morgen? Det kan observeres noen trender som kanskje kan si noe om hva oppmerksomheten bør rettes in mot: - Det er flere angrep som er koordinerte med økonomiske, politiske eller samfunnskritiske mål - Server-, klient- og applikasjonsparken i Norge blir mer og mer homogen - Norske virksomheter er raske til å ta i bruk ny teknologi - Norge har høy utbredelse av bredbånd - Teknologi blir brukt på nye måter for å bli hørt; demonstrasjoner, utpressing - Nye sammenstillinger av angrepstyper blir brukt av organiserte kriminelle miljøer ikke alltid veldig sofistikerte, men enklere angrep - Det er en nedgang i helgene med antall automatiske angrep mot mål - Derimot en økning i antall angrep i helgene mot hjemmebrukere, hvor sosial manipulasjon er fremtredende Organiserte kriminelle bruker kombinasjoner av spam 28, sosial manipulering, id-tyveri, phishing 29 å kunne angripe for eksempel nettbanker. etc. for De mer langsiktige trendene kjennetegnes ved en angrepsvektor med elementer av nektelsesangrep, koordinert med økonomiske eller politiske mål. En annen langsiktig trend er at norske, samfunnskritiske kontrollsystemer blir koblet opp mot Internett. 30 Det er også en økende motivasjon for økonomisk vinning ved såkalte zero-day-attacks. 31 Politisk motiverte nektelsesangrep har man sett mye av i enkelte deler av verden (eksempel i Midt-Østen). Denne angrepstypen er vanskelig å spore. Det finnes heller ikke noe internasjonalt lovverk som retter seg mot dette. Til nå har vi ikke sett at elektroniske informasjonssystemer har vært utsatt for angrep, verken av fysisk eller elektronisk karakter, som med rimelighet kan betegnes som terrorisme. Ikke desto mindre gjør infrastrukturens avhengighet av IKT-systemene disse til et potensielt mål, ikke bare for terroristorganisasjoner. Muligheten til å være føre var i forhold til å vurdere truslene, avdekke sårbarhetene og forberede tiltak som kan redusere konsekvensene ved et angrep mot infrastrukturen, må utnyttes. 28 Uønsket, elektronisk post som sendes ut i store mengder. 29 Forsøk fra tredjepart på å lure et individ, en gruppe, eller en organisasjon til å gi fra seg sensitiv informasjon. Motivet bak phishing er i de fleste tilfeller økonomisk. Begrepet er phishing er ikke nytt. Det ble første gang nevnt på Internett i nyhetsgruppen alt.2600 i januar 1996 og ble da brukt for å omtale handlinger utført av enkelte angripere som stjal America Online (AOL) brukerkonti. En typisk angrepsmetode benyttet i forbindelse med phishing, er bruk av forfalskede e-post meldinger hvor avsenderen utgir seg for å være en pålitelig kilde, eksempelvis en bank eller et kredittkortselskap. E-posten inneholder gjerne en link til et nettsted, hvor brukeren registrerer sine sensitive data. Nettstedet kan i utgangspunktet se helt legitimt ut, men alt er i realiteten en forfalskning designet for å få tak i sensitiv informasjon. 30 Konfidensialitet kan ivaretas ved eksempelvis bruk av Virtual Private Network (VPN), som gir kryptert forbindelse på Internett. Problemet kan imidlertid bli manglende tilgjengelighet. Dersom en Internet Service Provider (ISP) får problemer med sin leveranse av Internett, kan det ta tid å få rettet opp feilen. Dette kan, i de tilfeller hvor kritiske systemer er koblet opp mot Internett, få alvorlige konsekvenser. 31 En sårbarhet som blir utnyttet, eksempelvis av hackergrupperinger, før den blir rapportert inn til sikkerhetsmiljøet. 23

24 24

25 A.2 Liste over begreper og terminologi Anskaffelsesmyndighet Autorisasjon Et forvaltningsorgan som har til hensikt å anskaffe, eller har anskaffet, varer, tjenester fra rettssubjekt som ikke er et forvaltningsorgan Avgjørelse, foretatt av autorisasjonsansvarlig, om at en person etter forutgående sikkerhetsklarering (med unntak for tilgang til informasjon sikkerhetsgradert BEGRENSET), bedømmelse av kunnskap om sikkerhetsbestemmelser, tjenstlig behov samt avlagt skriftlig taushetsløfte, gis tilgang til informasjon med angitt sikkerhetsgrad. (Sikkerhetsloven 3 pkt. 17) Forebyggende sikkerhetstjeneste Planlegging, tilrettelegging, gjennomføring og kontroll av forebyggende sikkerhetstiltak som søker å fjerne eller redusere risiko som følge av sikkerhetstruende virksomhet Informasjon Intensjon Kapasitet Kompromittering Risiko Sabotasje Sikkerhetsadministrasjon Sikkerhetsbrudd Sikkerhetsgradert anskaffelse Enhver form for opplysninger i materiell eller immateriell form (Sikkerhetsloven 3 pkt. 7) Personers eller organisasjoners vilje og motivasjon til å realisere en trussel De ressurser og den kompetanse som er nødvendig for å realisere en trussel. Tap eller mistanke om tap av konfidensialitet, integritet eller tilgjengelighet for skjermingsverdig informasjon, herunder uønsket avhending, modifisering eller ødeleggelse. (Forskrift om sikkerhetsadministrasjon 1-2 pkt. 3) Uttrykk for den fare som uønskede hendelser representerer for informasjon/objekter av skjermingsverdig karakter. Risikoen uttrykkes ved sannsynligheten for og konsekvensene av de uønskede hendelsene. Tilsiktet ødeleggelse, lammelse eller driftsstopp av utstyr, materiell, anlegg eller aktivitet, eller tilsiktet uskadeliggjøring av personer, utført av eller for en fremmed stat, organisasjon eller gruppering. (Sikkerhetsloven 3 pkt. 4) Internkontroll ved gjennomføring av systematiske tiltak for å sikre at virksomhetenes aktiviteter planlegges, organiseres, utføres og revideres i samsvar med krav fastsatt i og i medhold av sikkerhetsloven. (Forskrift om sikkerhetsadministrasjon 1-2 pkt. 1) Brudd på bestemmelse om sikkerhetstiltak gitt i sikkerhetsloven eller forskrifter til sikkerhetsloven. (Forskrift om sikkerhetsadministrasjon 1-2 pkt. 4) Anskaffelse, foretatt av anskaffelsesmyndighet, som innebærer at leverandøren av varen eller tjenesten vil kunne få tilgang til skjermingsverdig informasjon eller objekt, eller som innebærer at anskaffelsen må sikkerhetsgraderes av andre årsaker. 25

26 (Sikkerhetsloven 3 pkt. 14) Sikkerhetsgradert informasjon Informasjon som er merket med sikkerhetsgrad i henhold til reglene i sikkerhetsloven 11 Sikkerhetsklarering Avgjørelse, foretatt av klareringsmyndighet og bygget på personkontroll, om en persons antatte sikkerhetsmessige skikkethet for angitt sikkerhetsgrad. (Sikkerhetsloven 3 pkt. 16) Sikkerhetstruende hendelse Sikkerhetstruende virksomhet, kompromittering av skjermingsverdig informasjon og grove sikkerhetsbrudd. (Forskrift om sikkerhetsadministrasjon 1-2) Sikkerhetstruende virksomhet Skjermingsverdig informasjon Skjermingsverdig objekt Spionasje Terrorhandlinger Trussel Trusselaktør Virksomhet Forberedelse til, forsøk på og gjennomføring av spionasje, sabotasje eller terrorhandliner, samt medvirkning til slik virksomhet. (Sikkerhetsloven 3 pkt. 2) Informasjon som skal merkes med sikkerhetsgrad i henhold til sikkerhetslovens 11. Det skilles mellom sikkerhetsgradene STRENGT HEMMELIG, HEMMELIG, KONFIDENSIELT og BEGRENSET. Vurderingen av hvilken sikkerhetsgradering informasjonen skal få, er basert på en vurdering av hvilken skade på rikets sikkerhet og andre vitale nasjonale sikkerhetsinteresser som ville oppstå, dersom informasjonen ble kompromittert. (Sikkerhetsloven 3 pkt. 8 Eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale, nasjonale sikkerhetsinteresser. (Sikkerhetsloven 3 pkt. 12) Innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt. (Sikkerhetsloven 3 pkt. 3) Ulovlig bruk av, eller trussel om bruk av, makt eller vold mot personer eller eiendom, i et forsøk på å legge press på landets myndigheter eller befolkning eller samfunnet for øvrig for å oppnå politiske, religiøse eller ideologiske mål. (Sikkerhetsloven 3 pkt. 5) Ethvert forhold eller enhver enhet med potensial til å forårsake en uønsket, negativ hendele. En person, organisasjon eller et objekt som ønsker og er i stand til/evner å utløse en uønsket, negativ hendels. Ønsket kan relateres til intensjon, evne kan relateres til kapasitet. Et forvaltningsorgan eller annet rettssubjekt som sikkerhetsloven gjelder for, jf sikkerhetsloven 2. 26

27 A.3 Type informasjon som bør være gjenstand for verdivurdering Virksomhetskritiske informasjonssystemer Planverk Beredskapsplanverk Operative planer Sikkerhetsorganisasjon Detaljinformasjon om medarbeidere i operative avdelinger Sensitive stillinger/funksjoner Politiske forhandlingsstandpunkter overfor motparter/andre land Reisevirksomhet til kritisk personell Oversikt over sårbarheter som kan utnyttes av utenforstående Oversikt over iverksatte forebyggende sikkerhetstiltak Plantegninger over samfunnskritiske bygninger Oversikt over sårbarheter ifm beskyttelse av farlig biologisk, kjemisk og radiologisk materiale Oversikt over sårbarheter ifm transportknutepunkter/flyplass sikkerhet Risiko- og sårbarhetsinformasjon Store sentraliserte databaser Virksomhetskritisk nasjonal infrastruktur Detaljert informasjon om lagre for strategiske ressurser Detaljinformasjon om samfunnskritiske forsknings- og utviklingsprosjekter Sikkerhetssystemer rundt virksomhetskritisk IKT Oversikt over fysiske sikringstiltak iht. sikkerhetsloven Informasjon som i vesentlig grad kan vanskeliggjøre opprettholdelse av norsk økonomisk evne Metode, mål og kapasiteter til etterretnings-, overvåknings- og sikkerhetstjenestene Etterretningsrapporter 27

28 A.4 Et eksempel på konkret verdivurdering. Datafirmaet Helt sikkert AS utvikler og leverer spesielt viktige programvareløsninger til Staten, blant annet programvare som hjelper norske soldater med å systematisere informasjon om ulike mål i spesielle, militære operasjoner. Firmaet har fått sikkerhetsklarering som leverandør. Sikkerhetsleder Hansen ønsker å utarbeide dokumentasjon på forebyggende sikkerhetsløsninger i bedriften. Hansen starter med å beskrive sikkerhetsorganisasjonen hvor han oppgir navn, adresse og telefonnummer til alle som er med i sikkerhetsorganisasjonen. Denne informasjonen bør vurderes sikkerhetsgradert BEGRENSET. Hansen vurderer fra sak til sak også gradering av dokumentasjon rundt programvareløsningene. Han er spesielt oppmerksom på detaljert og korrekt informasjon rundt kildekoden og oversikter over sårbarheter i programvaren. Kildekoden graderer han tilsvarende den høyeste graderingen til informasjonen som informasjonssystemet skal kunne håndtere. Sikkerhetsleder Hansen ønsker deretter å dokumentere hvilke fysiske sikringstiltak som er implementert i datafirmaet. Han beskriver hvordan ytterdøren og alle vinduer er sikret med et elektronisk alarmsystem av merket CERBERUS, som kan deaktiveres ved å slå den firesifrede koden Alarmsystemet har bevegelsessensorer, men inne på Direktørens kontor er det foreløpig ikke montert noen sensor. Denne informasjonen bør vurderes sikkerhetsgradert KONFIDENSIELT. Sikkerhetsleder Hansen ønsker å dokumentere noe som etter hans mening er en stor svakhet, slik at andre også kan bli oppmerksomme på dette, internt. Strømforsyningen til datafirmaet skjer gjennom en jordkabel som går inn i bygget på baksiden. Ved å kutte denne kabelen vil strømmen til firmaet umiddelbart bli borte. Firmaet har, for å spare penger, en svært enkel backupløsning, som gjør at de kan drive videre i kun en time. Etter dette vil det være stor sannsynlighet for å tape data. Det finnes ikke noe strømaggregat i firmaet. Hansen mener at det vil være ideelt for ondsinnede aktører å sabotere strømforsyningen til firmaet, for ved dette å ramme utviklingen av programvare, som igjen kan ramme norske spesialstyrkers evne til å operere. Den detaljerte informasjonen om sårbarhet i strømforsyningen bør vurderes sikkerhetsgradert HEMMELIG. Sikkerhetsleder Hansen er også spesielt oppmerksom på å utøve verdivurdering i forhold til hva bedriften legger ut på Internett av informasjon om seg selv. Dette er typisk informasjon som ikke kan anses som skjermingsverdig i forhold til sikkerhetsloven, men som er sensitiv i den forstand at den kan misbrukes av ondsinnede aktører. Eksempelvis er han spesielt oppmerksom på beredskapsplaner og tiltak. Sikkerhetsleder Hansen sørger for at denne informasjonen ikke spres via Internett. Helt sikkert AS har laget en egen Internett-policy hvor verdivurdering foretas fortløpende ift sikkerhetsmessige betenkeligheter med å publisere stoffet. 28

29 A.5 Oversikt over korresponderende sikkerhetsgraderinger med andre stater og internasjonale organisasjoner Utveksling av sikkerhetsgradert informasjon mellom stater skjer på basis av inngåtte sikkerhetsavtaler. NSM fremforhandler på vegne av FD generelle sikkerhetsavtaler, og skal ha seg forelagt til uttalelse alle prosjektrelaterte. NSM skal også holde oversikt over alle inngåtte avtaler. NSM fastsetter i denne sammenheng hvilke sikkerhetsgrader av fremmed stat/internasjonal organisasjon som korresponderer med de norske. I noen tilfeller er det ingen direkte ekvivalenter eller samme gradering er brukt for flere nivåer. Dette er da omhandlet spesielt i de respektive sikkerhetsavtalene. Disse sikrer at informasjonen vanligvis vil bli behandlet tilsvarende som for den norske graderingen. Oversikt over de bilaterale sikkerhetsavtaler Norge har inngått, samt kopi av avtaletekstene, kan ved tjenstlig behov fås ved henvendelse til NSM. Arbeidet med å inngå nye, og revidere eksisterende, sikkerhetsavtaler er imidlertid en kontinuerlig prosess. Verken den nevnte oversikt eller avtalenes innhold er således statisk over tid. A.5.1 Spesielt om NATO, ESA og WEU graderinger De grunnleggende reglene for behandling av NATO graderte opplysninger er gitt i C-M (2002) 49 Security within the North Atlantic Treaty Organization med understøttende direktiver og veiledninger. Dokumenter merket NATO Unclassified er ugradert, men NATO eiendom, og i prinsippet unntatt fra offentlighet og kan bare offentliggjøres etter særskilt vedtak. De nærmere regler for behandlingen er gitt i NATO dokumentene C-M(2002)60 The Management of Non-Classified NATO Information og PO(99)47 NATO Information Management Policy (NIMP). Avtalen mellom Norge og WEU spesifiserer ingen konkrete graderinger, men inneholder blant annet en artikkel om å opprettholde sikkerhetsgraderingen som den andre part har fastsatt for informasjonen, samt å sikre denne tilsvarende. Regler om behandling av ESA sikkerhetsgradert informasjon er nedfelt i sikkerhetsavtale mellom ESA og medlemslandene med underliggende direktiver. De ovennevnte dokumentene vil ved tjenstlig behov kunne fås fra NSM. NORGE STRENGT HEMMELIG (SH) HEMMELIG (H) KONFIDENSIELT (K) BEGRENSET (B) AUSTRALIA TOP SECRET SECRET CONFIDENTIAL RESTRICTED BELGIA (Fransk) TRÉS SECRET (TS) SECRET (S) CONFIDENTIEL (C) DIFFUSION RESTREINTE (R) BELGIA (Flamsk) ZEER GEHEIM GEHEIM VERTROUWELIJK BEPERKTE VERSPREIDING CANADA TOP SECRET (TS) SECRET (S) CONFIDENTIAL (C) DANMARK YDERST HEMMELIGT (YHM) HEMMELIGT (HEM) FORTROLIGT (FTR) TIL TJENESTEBRUG (TTJ) EUROPEAN SPACE AGENCY ESA TOP SECRET ESA SECRET ESA CONFIDENTIAL ESA RESTRICTED 29

30 ESTLAND TAIESTI SALAJANE SALAJANE KONFIDENTSIAALNE KONFIDENTSIAALNE EU TRES SECRET UE/ EU TOP SECRET SECRET UE CONFIDENTIEL UE RESTREINT UE FINLAND ERITTÄIN SALAINEN SALAINEN LUOTTAMUKSELLINEN FRANKRIKE TRES SECRET DEFENSE (TSD) SECRET (SD) DEFENSE CONFIDENTIEL DEFENSE (CD) DIFFUSION (DR) RESTREINTE HELLAS AKPOΣ ΑΠΟΡΗΤΟ (AAΠ) ΑΠΟΡΗΤΟ (AΠ) EMΠIΣTEYTIKO (EM) ΠΕΡΙΩΡΙΣ MENHΣ XPHΣΕΩΣ (ΠΧ) ITALIA SEGRETISSIMO (SS) SEGRETO (S) RISERVATISSIMO (RR) RISERVATO (R) LATVIA SEVIŠĶI SLEPENI SLEPENI KONFIDENCIĀLI DIENESTA VAJADZĪBĀM LUXEMBOURG TRÉS SECRET (TS) SECRET (S) CONFIDENTIEL (C) DIFFUSION RESTREINTE (R) NATO COSMIC TOP SECRET (CTS) NATO SECRET (NS) NATO CONFIDENTIAL (NC) NATO RESTRICTED (NR) NEDERLAND Stg. ZEER GEHEIM (ZG) Stg. GEHEIM (G) Stg. CONFIDENTIEEL (C) POLEN SCI SLE TAJNE TAJNE POUFNE ZASTRZEŻONE PORTUGAL MUITO SECRETO (MS) SECRETO (S) CONFIDENCIAL (C) RESERVADO (R) ROMANIA STRICT SECRET SECRET SECRET SECRET DE SERVICIU SLOVAKIA PRÍSNE TAJNÉ TAJNÉ DOVERNÉ VYHRADENÉ SPANIA SECRETO (S) RESERVADO (R) CONFIDENCIAL (C) DIFUSION LIMITADA (DL) STORBRITANNIA TOP SECRET (TS) UK SECRET (S) UK CONFIDENTIAL (C) UK RESTRICTED (R) SVERIGE KVALIFICERAT HEMLIG (KH) HEMLIG (H) HEMLIG (H) HEMLIG (H) SVEITS (Fransk) SECRET SECRET CONFIDENTIEL SVEITS (Tysk) GEHEIM GEHEIM VERTAULICH VERTAULICH SVEITS (Italiensk) SEGRETO SEGRETO RISERVATISSIMO TSJEKKIA PŘİSNĔ TAJNÉ TAJNÉ DŮVĔRNÉ VYHRAZENÉ TYRKIA COK GIZLI GIZLI OZEL HIZMETE OZEL TYSKLAND STRENG GEHEIM GEHEIM VS-VERTRAULICH VS-NUR FÜR DEN DIENSTGEBRAUCH UNGARN SZIGORÚAN TITKOS! TITKOS (T) BIZALMAS (B) KORLÁTOZOTT 30

31 (SZT) TERJESZTÉSÜ (KT) USA TOP SECRET (TS) SECRET (S) CONFIDENTIAL (C) ØSTERRIKE STRENG GEHEIM (Strg Geh) GEHEIM (Geh) VERSCHLUβ (Verschl) EINGESCHRÄNGT 31

32 A.6 Oversikt over behandling av sikkerhetsgradert informasjon Henvisninger til paragrafer i Forskrift om informasjonssikkerhet av 1 juli 2001 nr 744 der intet annet er anført. STIKKORD STRENGT HEMMELIG HEMMELIG KONFIDENSIELT BEGRENSET Bruken av de ulike graderingene (Sikkerhetsloven 11) Benyttes dersom det kan få helt avgjørende skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. Benyttes dersom det alvorlig kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. Benyttes dersom det kan skade Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende. Benyttes dersom det i noen grad kan medføre skadefølger for Norges eller dets alliertes sikkerhet, forholdet til fremmede makter eller andre vitale nasjonale sikkerhetsinteresse r om informasjonen blir kjent for uvedkommende. Overskriftens innhold ( 2-3) Kan være STRENGT HEMMELIG Ikke over BEGRENSET Ugradert Journaler Graderes STRENGT Graderes BEGRENSET Ugradert ( 4-1 og 4-10 til 4-17) Merking ( 4) Delgradering ( 2-3, 4-3) Hjemmel gradering for ( 4-3) Paginering (sidenummerering) ( 4-7) HEMMELIG Et dokument skal merkes med den høyeste sikkerhetsgrad av informasjon som er i dokumentet. Merkingen skal påføres lett synlig øverst og nederst på alle dokumentets sider. Merkingen på første side skal ha rød farge. Dersom informasjonen består av deler med forskjellig beskyttelsesbehov. Angi forskjellige sikkerhetsgrader til vedlegg, kapitler, overskrifter, avsnitt, punkter eller lignende. Påføres med forkortelsene SH,H,K,B eller U i parentes i venstre marg. I forbindelse med sikkerhetsgraden skal følgende henvisning påføres: iht sikkerhetsloven 11 og 12 jf. offentlighetsloven 5a. Alle sikkerhetsgraderte dokumenter skal pagineres. Eksemplarnummer ering ( 4-7) Skal merkes med eksemplarnummer. Behøver ikke nummerering. Oppbevaring ( 6-9 til 6-12) I sperret område sikret som hvelv. Permanent vakthold / elektronisk sikring. I sperret område sikret som hvelv. I sperret område eller i godkjent skap i beskyttet område. I avlåst rom eller nedlåst i skuff/skap. 32

33 Se 6-9 og 6-12 for alternativer og detaljer. Forsendelse innland ( 4-19) Forsendelse utland ( 4-19) Med kurer Med kurer. Med kurer eller som registrert postsending. Ordinær post Med kurer. Evt som registrert postsending til NATO-stater. Emballering ( 4-20) Dobbel emballasje. Indre forsegles og merkes med gradering på begge sider. Ytre emballasje skal ikke opplyse om innhold eller gradering. Enkel umerket emballasje innenlands. Utenlands som for dobbel. Reise innland ( 4-23) Reise utland ( 4-23) Spredning og utlån ( 4-25 til 4-30) Makulering ( 4-31 til 4-37) Kan bare medbringes etter tillatelse fra virksomheten. Liste over medbrakte dokumenter skal deponeres i arkivet. Skal sendes som kurerpost i samsvar med 8. Behøver ikke sendes som kurerpost dersom det er i den reisendes personlige varetekt under hele reisen og det kan deponeres ved norsk utenriksstasjon ved ankomst. Gjelder ved reiser innen NATO-land eller land Norge har sikkerhetsavtale med. Stikkord her er autorisasjon og tjenstlig behov. Se forskriften for detaljer. Detaljert beskrivelse av krav til tilintetgjøring av sikkerhetsgradert informasjon på ulike medier finnes i forskriften 4-31 til 4-37) 33

34 A.7 Skjematisk oversikt over offentlighetslovens, Beskyttelsesinstruksens og sikkerhetslovens virkeområde Lov- og regelverk Statlig sektor Kommunal sektor Sikkerhetsloven: Privat sektor Gir hjemmel for beskyttelse av informasjon som kan true rikets sikkerhet og andre vitale nasjonale interesser om den ble kjent for uvedkommende. Angir hvordan dokumenter skal behandles for å hindre innsyn fra uvedkommende gjennom etablering av et helhetlig beskyttelsesregime. Kun utsteder kan endre sikkerhetsgradering. Dekker risiko- og sårbarhets-informasjon i forhold til rikets sikkerhet, informasjon om samfunnskritisk virksomhet og funksjoner av nasjonal betydning Det samme som for statlig sektor Dekker det samme som for statlig sektor under forutsetning at: 1. Virksomheten er en leverandør i forbindelse med en sikkerhetsgradert anskaffelse, eller 2. Det er fattet vedtak om at loven skal gjelde for den aktuelle private virksomhet Offentlighetsloven 32 : Krever at opplysninger undergitt lovbestemt taushetsplikt ikke gjøres offentlig kjent. Gir hjemmel for å unnta fra offentlighet informasjon som dersom den ble kjent kan lette gjennomføringen av straffbare handlinger. Dekker risiko- og sårbarhets-informasjon hvor innsyn kan lette gjennomføring av straffbare handlinger. Hindrer innsyn men gir ikke informasjonen beskyttelse Det samme som for statlig sektor Omfattes ikke Angir ikke retningslinjer om dokumentbehandling og beskyttelse av informasjonen. Forplikter ikke mottaker av dokument til å holde dokumentet unntatt offentlighet. Beskyttelsesinstruksen: Gir hjemmel for beskyttelse av informasjon som om den ble kjent kan forårsake skade for offentlige interesser, en bedrift, institusjon eller enkeltperson. Angir dokumentbehandling. Dekker risiko- og sårbarhets-informasjon som ikke dekkes av Sikkerhetsloven. Hindrer innsyn og gir beskyttelse som for BEGRENSET Omfattes ikke Omfattes ikke 32 Ikke uttømmende kun medtatt de bestemmelser som kan ha en direkte relevans opp mot beskyttelse av risiko- og sårbarhetsinformasjon. 34