Temahefte 1/2005 Internett og informasjonssikkerhet Internett er et medium hvor informasjon har et tilnærmet ubegrenset spredningspotensial. Sensitiv informasjon ute på Internett gjør skadepotensialet ekstra stort fordi alle kan laste den ned. Samtidig er det tilnærmet umulig å etterspore spredningen av utlagt informasjon, potensialet for spredning er uendelig, og informasjonen vil aldri med visshet kunne bli slettet. Alle virksomheter bør være bevisste på hvilken innformasjon som legges ut. Hensikten med analysen er å øke bevisstheten omkring informasjon som legges ut på nettet, og bidra til å motvirke at informasjon som kan skade sikkerheten spres.
Internett og informasjonssikkerhet Hans M Synstnes NSM temahefte 1/2005 Side 2 av 20
Kolsås, 23 juni 2005 Forord Hvilken informasjon bør vi ikke legge ut på Internett? Denne analysen vil gå nærmere inn på dette spørsmålet. Internett er i de fleste sammenhenger et praktisk og raskt medium for formidling av informasjon. I dag kan vi finne informasjon om det meste på nettet. Vi kan også finne informasjon som kan benyttes til å planlegge illegal aktivitet. I mange sammenhenger kan det se ut som om mange virksomheter blir for ivrige når informasjon skal legges ut på Internett. Spørsmålet som stilles her er om virksomhetene av sikkerhetshensyn er tjent med at så mye informasjon legges ut. NSM håper at denne analysen kan bidra til en bevisstgjøring omkring bruk av Internett. Jan Erik Larsen Direktør Nasjonal sikkerhetsmyndighet Side 3 av 20
Innholdsfortegnelse 1 INNLEDNING 5 1.1 HVA ANALYSEN FOKUSERER PÅ 5 2 VERDIVURDERING AV INFORMASJON 7 2.1 ÅPENHET ELLER SKJERMING? 7 2.2 SAMMENSTILLING AV ÅPEN INFORMASJON 8 2.3 EN OPPLYST BEFOLKNING 8 3 TILSYNSERFARINGER OG VERDIVURDERING 10 3.1 STATUS VERDIVURDERING 10 4 EGENEKSPONERING GJENNOM INTERNETT 11 4.1 INTERNETT OG SKADEPOTENSIAL 11 4.2 TRUSSELAKTØRERS INFORMASJONSBEHOV 11 5 KONKRETE EKSEMPLER 14 5.1 USA ETTER 11 SEPTEMBER 2001 14 5.1.1 VURDERING 14 5.2 PETROLEUMSUTVINNING I NORD 15 5.2.1 VURDERING 15 5.3 DET GEOGRAFISKE INFORMASJONSSYSTEMET AREALIS 15 5.3.1 VURDERING 16 5.4 KATO AIR SAKEN 16 5.4.1 VURDERING 17 6 ANBEFALINGER OMKRING BRUK AV INTERNETT 18 Side 4 av 20
1 Innledning De fleste virksomheter benytter Internett til å formidle og innhente informasjon. Internett gir en effektiviseringsgevinst ettersom informasjon kan formidles og hentes raskt. Publikum, samarbeidspartnere eller kunder har i mange sammenhenger en rett til, et behov for eller et ønske om enkel tilgang på informasjon, hvilket ofte innebærer at informasjon legges ut på Internett. På samme tid er det viktig å tenke sikkerhet når informasjon legges ut. Denne analysen skal forsøke å gi en beskrivelse av hvorfor det er viktig å tenke sikkerhet ved bruk av Internett. Hensikten med analysen er å øke bevisstheten omkring informasjon som legges ut på nettet, og følgelig bidra til å motvirke at informasjon som kan skade sikkerheten spres. Noen faktiske eksempler vil bli gitt for å konkretisere de problemstillinger som her tas opp. Til slutt i analysen gis noen anbefalinger omkring bruk av Internett. 1.1 Hva analysen fokuserer på Internett-sikkerhet kan forstås på ulike måter. I de fleste sammenhenger er det teknologi som assosieres med Internett-sikkerhet. Et søk på Google på ordene Internett og sikkerhet, gir flest henvisninger til ulike teknologiske utfordringer, utfordringer tilknyttet ondsinnet programvare og gjennomføring av kriminelle handlinger ved bruk av Internett. Selv om teknologien, ondsinnet programvare og Internett som arena for kriminelle handlinger er viktige sider av Internett-sikkerheten, vil dette i liten grad bli problematisert i denne analysen. For mer informasjon om sårbarheter i de teknologier som samlet er konfigurert til Internett, og utfordringer tilliggende ondsinnet programvare og kriminalitet, henvises det til NSMs årlige ugraderte og graderte risikovurderinger, rapporter generert av NSM gjennom Varslingssentral for digital infrastruktur (VDI), vurderinger fra Senter for informasjonssikring (SIS), Næringslivets sikkerhetsråd (NSR) og Politiet. Analysen vil snarere fokusere på mer tradisjonell dokumentsikkerhet. Et dokument defineres innen den forebyggende sikkerhetstjenesten som en logisk avgrenset informasjonsmengde. Med dokumentsikkerhet menes igjen at den logiske avgrensede informasjonsmengden må beskyttes. Dokumentsikkerhet omhandler imidlertid ikke bare skrevet tekst, men også bilder, tegninger, kart, film og lydopptak. Kort sagt alt som kan røpe informasjon vi ikke ønsker å spre. For å identifisere hvilken informasjon som ønskes beskyttet må det gjennomføres en verdivurdering. En verdivurdering er noe forenklet sagt evnen til å skille ut sensitive informasjon fra øvrig informasjon. Mer om hva som bør ligge til grunn for en verdivurdering, blir nærmere beskrevet i kapittel 2. Analysen vil i kapittel 4 fokusere på hvilke aktører som kan tenkes å misbruke informasjon utlagt på Internett. Beskrivelsen av trusselaktører er ment å være motiverende, og bidra til å skape forståelse for at visse kategorier informasjon bør beskyttes. Med misbruk forstås her uautorisert endring av utlagt informasjon, bruk av utlagt informasjon til planlegging av illegale aktiviteter eller erstatting av utlagt Side 5 av 20
informasjon med falsk og villedende informasjon. For å forebygge slike farekilder ved innhenting av informasjon fra nettet er det viktig å utøve kildekritikk, og ved tvil etterprøve korrektheten til informasjonen. Analysen går ikke særlig inn på sistnevnte forhold, men konsentrerer seg om å sikre at virksomheter ikke selv legger ut informasjon som kan skade egen, andres eller fellesskapets sikkerhet. Med andre ord er målsetningen med analysen å unngå at vi ved hjelp av nettet ikke blottlegger oss unødig overfor ondsinnede aktører. Side 6 av 20
2 Verdivurdering av informasjon 2.1 Åpenhet eller skjerming? Hovedprinsippet, slik det er nedfelt i offentlighetsloven, er at all offentlig informasjon skal være tilgjengelig for befolkningen. Forvaltningens saksdokumenter er offentlige så langt det ikke er gjort unntak i lov eller i medhold av lov. I et åpent demokratisk samfunn er dette et avgjørende prinsipp. Likevel vil det alltid foreligge et behov for å unndra informasjon fra offentligheten. For alle personer samt private og offentlige virksomheter i samfunnet finnes det en kjerne av informasjon som ønskes beskyttet. For enkeltpersoner omfatter dette informasjon av særlig privat karakter. For en bedrift kan det dreie seg om produktinformasjon eller markedsstrategier som konkurrenter ikke bør få innsyn i. Forvaltningsorganer unntar i enkelte sammenhenger informasjon av hensyn til unntaksbestemmelsene slik de fremstår i offentlighetsloven 6, eller i henhold til Beskyttelsesinstruksen, som åpner for at informasjon kan stemples FORTROLIG eller STRENGT FORTROLIG ut fra andre grunner enn hensynet til nasjonale sikkerhetsinteresser. En særlig kategori av informasjon som må skjermes er sikkerhetsgradert informasjon. Informasjon skal sikkerhetsgraderes innenfor skalaen BEGRENSET, KONFIDENSIELT, HEMMELIG og STRENGT HEMMELIG dersom den har betydning for rikets sikkerhet eller andre vitale nasjonale sikkerhetsinteresser. Det er mange virksomheter som håndterer sikkerhetsgradert informasjon både i offentlig og kommunal sektor samt innen deler av industrien. Sikkerhetsgradert informasjon kan være både norsk nasjonal informasjon, og informasjon tilhørende andre nasjoner eller internasjonale organisasjoner. Sikkerhetsloven med forskrifter 1 setter klare bestemmelser for hvordan sikkerhetsgradert informasjon skal beskyttes gjennom hele sin livssyklus, fra utstedelse til makulering eller avgradering, overalt hvor informasjonen befinner seg. Uansett kategori av sensitiv informasjon følger det et behov for beskyttelse. Et minimum av sikkerhetstiltak må være på plass for å sikre at uautoriserte ikke får innsyn i informasjonen (konfidensialitet), at ingen uautoriserte endrer informasjonen (integritet) og at autoriserte har tilgang til informasjonen ved behov (tilgjengelighet). En stor utfordring for utstedere av informasjon er å finne frem til hvilken informasjon som bør beskyttes. En verdivurdering må gjennomføres for å klarlegge hvilken informasjon som er sensitiv. Et viktig prinsipp er at det er eieren av informasjonen som selv må ta ansvar for at informasjonen verdivurderes. 1 Finnes på www.nsm.stat.no. Her ligger også veiledere til forskriftene. Side 7 av 20
Verdivurdering av informasjon vil kunne innebærer at personopplysninger må defineres som sensitiv dersom de i tilstrekkelig grad har betydning for individets privatsfære og integritet. Bedrifter må beskytte informasjon av hensyn til egen konkurransesituasjon. Offentlige og private virksomheter underlagt sikkerhetsloven må skjerme informasjon som har betydning for både egen sikkerhet, og den nasjonale sikkerheten. Dersom informasjonen vurderes som skjermingsverdig av hensyn til rikets sikkerhet eller andre vitale nasjonale sikkerhetsinteresser, er utfordringen å definere riktig graderingsnivå. Hva som regnes som sensitiv informasjon, og følgelig har et beskyttelsesbehov, vil aldri være helt statisk over tid. Det vil alltid være et tilsig av ny informasjon som bør beskyttes, samtidig som behovet for beskyttelse av tidligere ansette verdier kan falle fra eller bli redusert. Endringer i våre omgivelser, eksempelvis overordnede sikkerhetspolitiske, teknologiske, samfunnsmessige og økonomiske faktorer, vil løpende påvirke hva som bør beskyttes. Videre er det viktig å la et riktig perspektiv ligge til grunn for en verdivurdering. Informasjonen kan ha et akutt og tidsavgrenset beskyttelsesbehov. Andre kategorier informasjon kan ha et mer langsiktig behov for beskyttelse. Fra etterretningsverdenen viser erfaring at etterretningsaktører ofte har et langsiktig perspektiv for sin aktivitet. Informasjonen som hentes inn vil kunne bli brukt mot oss flere år etter at den ble samlet inn. Det faktum at man anser informasjon for å ha en verdi, innebærer at det eksisterer et skadepotensial dersom informasjonen blir kjent for uvedkommende. Informasjonen kan eksempelvis inneholde opplysninger om sårbarheter eller handlingsmønstre i en krisesituasjon. Målsetningen med informasjonsbeskyttelsen er nettopp å hindre at uvedkommende utnytter våre sårbarheter til å påføre oss skade. Slik skade kan komme til uttrykk gjennom krenkelse av individers integritet og privatsfære, gjennom kriminelle handlinger, spionasje, sabotasje eller i verste fall terror- eller krigshandlinger. Forebygging av disse truslene er avhengig av at vi evner å verdivurdere informasjon, og gi kritisk informasjon den nødvendige beskyttelse. 2.2 Sammenstilling av åpen informasjon Et evig dilemma for informasjonssikkerhetsarbeidet er at riktig sammensatt mengde og omfang av åpen informasjon vil kunne utgjøre en sensitiv mengde informasjon. Fra den sikkerhetsgraderte verdenen vet vi at sammensetting av ugradert informasjon under gitte forutsetninger vil utgjøre et gradert bilde. Dette dilemmaet underbygger viktigheten av å foreta en kritisk vurdering av hva som legges ut på Internett. Selv om informasjonen er ugradert, bør det likevel bli gjort en kritisk vurdering av om den skal legges ut på nettet. 2.3 En opplyst befolkning Skjerming av informasjon er viktig i forebyggende hensikt. I enkelte sammenhenger kan imidlertid også spredning av informasjon være viktig. I forhold til eksempelvis terrortrusselen kan folks årvåkenhet være avgjørende for å være i stand til å avdekke eventuelle planlagte anslag. Generelt er Side 8 av 20
Politiet i sitt arbeid med å avdekke ondsinnede aktørers aktiviteter ofte avhengig av tips og informasjon fra befolkningen. For å sikre en god bevissthet i befolkningen er det således viktig å informere om hva man bør være på vakt overfor. En opplyst befolkning er med andre ord forebyggende i forhold til terrorhandlinger og andre uønskede hendelser. I lys av dette er det viktig å finne en fornuftig balanse mellom hva som holdes skjermet og hva som bør bli offentliggjort. Side 9 av 20
3 Tilsynserfaringer og verdivurdering På Internett finnes det i dag alle kategorier av informasjon, herunder også informasjon som ikke burde ha vært lagt ut på en hjemmeside eller sendt som e-post. Bakgrunn for dette kan være at utsteder av informasjonen ikke har verdivurdert informasjonen og følgelig ikke har erkjent at skjerming var nødvendig. Mangelfull verdivurdering kan igjen bunne i mangelfull kompetanse eller manglende forståelse for nødvendigheten av å beskytte informasjon. Sensitiv informasjon kan selvsagt ha blitt lagt ut på nettet som en følge av et uhell eller en misforståelse. I enkelte tilfeller kan også sensitiv informasjon ha blitt lagt ut bevisst. Hensikten kan her være å skade egen eller andre virksomheters omdømme, bekjentgjøre ulike sårbarheter tilliggende en virksomhet eller bevisst røpe beredskaps- og krisehåndteringsinformasjon. Gode interne rutiner for bruk av Internett vil bidra til at sensitiv informasjon ikke legges ut på nettet. Interne rutiner må ta hensyn til hvilke behov for beskyttelse som foreligger, herunder de lovmessige krav som måtte foreligge. NSM foreslår at alle virksomheter utarbeider egne retningslinjer for bruk av Internett. I slike interne retningslinjer anbefales det fastsatt hvilken type informasjon som ikke skal legges ut. Det er også en anbefaling at virksomhetens intern-kontrollrutiner inkluderer egen bruk av Internett. Et ytterligere poeng er at andre virksomheter bør varsles dersom disse skulle ha kommet i skade for å ha lagt ut sensitiv informasjon på nettet. 3.1 Status verdivurdering NSM vet, ut fra egne tilsynserfaringer, at mange virksomheter ikke er flinke nok til å foreta en balansert og riktig verdivurdering slik sikkerhetsloven legger opp til. Tidligere praksis er ofte grunnlaget for verdivurderingen. Dette kan bety at det er problematisk for virksomhetene å endre sin praksis i tråd med endringer i omgivelsene og i risikobildet. Dette kan igjen føre til at informasjon som burde ha blitt beskyttet, ikke blir beskyttet, eller at virksomheter bruker unødige ressurser på å beskytte informasjon som ikke er spesielt verdifull. Svikt i rutinene for verdivurdering av sikkerhetsgradert informasjon, gir grunn til å tro at verdivurderingen også er mangelfull i forhold til andre kategorier sensitiv informasjon. Side 10 av 20
4 Egeneksponering gjennom Internett 4.1 Internett og skadepotensial Internett fremstår som et medium hvor informasjon har et tilnærmet ubegrenset spredningspotensial. Legges sensitiv informasjon ut på Internett vil denne informasjonen være tilgjengelig for hvem som helst. Sensitiv informasjon ute på Internett gjør skadepotensialet ekstra stort fordi alle kan laste den ned. Samtidig er det tilnærmet umulig å etterspore spredningen av utlagt informasjon, potensialet for spredning er i prinsippet uendelig, og informasjonen vil aldri med visshet kunne bli slettet. Flere aktører jobber aktivt med å samle inn informasjon for å planlegge ulike aktiviteter. Hovedsakelig er dette selvsagt en fullt ut legal innhenting av informasjon. Likevel er ikke all innsamling av informasjon ønskelig. Mer konkret gjelder dette at innsamling av informasjon er en viktig aktivitet for kriminelle aktører, terrorgrupper og andre lands etterretningstjenester. Nedenfor beskrives ulike trusselaktører og deres behov for tilgang på informasjon. Generelt kan det sies at skjerming av kategorier av informasjon i stor grad er en forebygging mot slike aktører. Deres mulighet til å planlegge aksjoner vil vanskeliggjøres og terskelen for uønsket aktivitet vil heves, dersom vi evner å holde unna informasjon som beskriver våre sårbarheter og mangler. På samme tid er kjennskap til hvilken informasjon trusselaktører er ute etter et forhold som har relevans under en verdivurdering. 4.2 Trusselaktørers informasjonsbehov PST gir et bilde av etterretningsaktiviteten i og mot Norge i sin ugraderte trusselvurdering for 2005. PST slår her fast at flere stater utfører etterretningsvirksomhet mot norske interesser. Målsetningen med denne aktiviteten er å få tilgang til informasjon som ikke er åpent tilgjengelig. 2 I tillegg vet vi at innsamling fra åpne kilder, for eksempel Internett, bidrar til å gi trusselaktører et mest mulig helhetlig bilde. PST mener videre at etterretningsoffiserer, dels basert på innsamlet informasjon, forsøker å påvirke premissleverandører og enkeltpersoner i de politiske beslutningsprosessene. Mens kompromittering av sikkerhetsgradert informasjon kan være straffbar i henhold til norsk lov, er det nyttiggjøringen av denne informasjonen som vil være utslagsgivende med tanke på skadevirkninger for Norge og norske interesser. 3 2 www.pst.politiet.no 3 www.pst.politiet.no Side 11 av 20
I tillegg til etterretning mot det politiske miljøet, foregår det også etterretning mot deler av næringslivet. For norske bedrifter vil slik etterretningsvirksomhet kunne føre til svekket konkurranseevne, reduserte markedsandeler og dermed tap av inntekter og arbeidsplasser. Videre vet vi at kriminelle miljøer driver innhenting av informasjon i forkant av sine anslag. Våpentyveriene på Jørstadmoen og Nokas-ranet i Stavanger i 2004 er konkrete eksempler på dette. Etterretningsvirksomhet retter seg også mot militære forhold. Kompromittert informasjon omkring militære planverk eller kapasiteter kan bidra til å svekke eller vanskeliggjøre eventuelle militære operasjoner hjemme og ute, samtidig som egne og alliertes liv blir satt i fare. NSM har i tidligere ugraderte risikovurderinger påpekt terrorgruppers behov for informasjon for å kunne planlegge sine aksjoner. Terrortrusselen fremstår i dag som en mer aktuell trussel mot både vestlige lands sikkerhet generelt, og vår nasjonale sikkerhet spesielt. Gjennom den forebyggende sikkerhetstjenesten etableres det en betydelig grunnsikring mot terrorhandlinger. Informasjonssikkerhet er viktig fordi innsamling av informasjon er en viktig del av forberedelsene til en terroraksjon. Innhenting, systematisering og analyse av informasjon er en kjerneaktivitet for eksempelvis al-qaida. I tillegg til å være et terrornettverk kan al-qaida også betegnes som et etterretningsnettverk. Dette fremgår av beslaglagte al-qaida dokumenter hvor det fremheves at enhver organisasjon som ønsker å delta i en global jihad må samle så mye informasjon som mulig om fienden. Al-Qaida opererer med to hovedmetoder for informasjonsinnhenting; 1) gjennom fordekte midler og 2) gjennom bruk av åpne kilder. Det stilles høye krav til informasjonens integritet. Informasjonen må være oppdatert, pålitelig og bekreftet. Dette forholdet indikerer at informasjonsinnhenting anses som en løpende aktivitet for grupper med tilknytninger til nettverket. Terrorgruppers informasjonsinnhenting kan grovt tenkes å ha to utgangspunkt; 1) innhenting omkring faktiske terrormål, og 2) innhenting omkring potensielle terrormål. Et avgjørende element er å samle inn informasjon omkring sannsynlige måls sårbarheter og styrke. Inngående kjennskap til rutiner, sårbarheter, kapasiteter og planverk forenkler både planleggingen og en eventuell gjennomføring av et anslag. Dette sammenfaller med det generelle forholdet at et måls attraksjon noe forenklet sagt øker i takt med trusselaktørens kunnskap om nettopp målobjektet. Det synes å være liten tvil om at mange terrorhandlinger er godt planlagt og basert på langvarig og systematisk informasjonsinnhenting, primært fra åpne kilder. På en Internettside drevet av al-qaida på den arabiske halvøya ble leserne bedt om å fremskaffe informasjon om økonomiske og militære mål i USA. Måltyper av interesse ble spesifisert som kontorer og rørledninger tilhørende oljeselskaper, ammunisjonslager, boligområder og rekreasjonssenter for amerikansk personell, luftkorridorer og oppstillingsplasser for fly og havner. Et annet felt som ble viet interesse var trafikk over grensene og aktuelle kontrolltiltak. På hjemmesiden ble det også anbefalt å legge ut bilder og kart for å gjøre det enklere for de som følte seg kallet til å gjennomføre et angrep. Leserne av hjemmesiden ble også bedt om å legge ut navn og adresser på høyerestående militært Side 12 av 20
personell. Eksemplene fra denne konkrete hjemmesiden viser at Internett fungerer både som en kilde til informasjon og for å spre informasjon. 4 4 Transnasjonale terrororganisasjoners bruk av medier og massekommunikasjon; Case al-qaida. FFI/TERRA III på oppdrag fra NSM. September 2004. Side 13 av 20
5 Konkrete eksempler For å kunne få et mer bevisst forhold til hvilken informasjon som ikke bør legges ut på Internett gis her noen konkrete eksempler. Først beskrives bakgrunnen for det konkrete eksempelet. Deretter foretas det en liten vurdering omkring de sikkerhetsmessige sidene av eksempelet. 5.1 USA etter 11 september 2001 Amerikanske virksomheter ble naturlig nok mer sikkerhetsbevisste etter 11 september 2001. Andelen av sikkerhetsgraderte dokumenter har økt i USA de senere år. Samtidig har amerikanske offentlige virksomheter blitt mer restriktive med å spre ugradert informasjon på biblioteker, arkiver, websider og offentlige databaser. Det som tidligere var offentlig tilgjengelig informasjon er nå ofte stemplet med eksempelvis sensitive but unclassified eller for official use only. Begrunnelsen for denne endringen innen informasjonsforvaltningen er i stor grad hensynet til sikkerheten. Det fryktes at offentlig tilgjengelig informasjon vil kunne bli brukt til å planlegge eksempelvis terroranslag mot amerikanske interesser. Et konkret eksempel på denne innstrammingen er forvaltningen av telefonkatalogen til det amerikanske forsvarsdepartementet i Pentagon. Tidligere var denne katalogen offentlig tilgjengelig. Fra 2001 ble dette endret. Katalogen er nå stemplet for official use only og er følgelig ikke lenger et offentlig tilgjengelig dokument. Et annet eksempel er Det amerikanske landbruksdepartements (USDA) innstramming av informasjonssikkerheten. USDA har gitt ut egne retningslinjer som skal lette identifiseringen av sensitiv informasjon og hvordan denne skal håndteres. Retningslinjene tar utgangspunkt i sensitiv, men ugradert informasjon. Formålet med retningslinjene er dels at egne sårbarheter tilliggende USDA relaterte objekter, ikke blottlegges for omverdenen. Eksempler på informasjon som ikke bør offentliggjøres var statusen på, eller øvrig informasjon om den fysiske sikringen til relevante laboratorier og forskningssentra. Videre ble informasjon som kunne innebære økt risiko mot personell, bygninger eller kritisk infrastruktur anbefalt definert som viktig å beskytte. Informasjon fra eller om ulike sikkerhets- og beredskapsplanverk, informasjon om kritiske IT-systemer, risiko- og sårbarhetsvurderinger, tegninger og kart var andre eksempler på hva som bør skjermes. 5.1.1 Vurdering Vurderingene og kriteriene for innstrammingen av informasjonssikkerheten i USA er ikke nødvendigvis direkte overførbare til norske forhold. Ulike grupper har også kritisert den endrede praksisen og karakterisert den som et uforholdsmessig inngrep som svekker det amerikanske demokratiet. Likevel kan det være grunn til å vurdere de begrunnelser som legges til grunn for en mer restriktiv offentliggjøring av informasjon. I tillegg er det grunn til å studere hvilken informasjon som undras offentligheten. Side 14 av 20
Etter NSMs mening er det ikke et poeng at mest mulig informasjon unndras fra offentligheten. Det viktige er heller at den riktige informasjonen skjermes. Igjen er det viktig at virksomheten foretar en kritisk vurdering av hvilken informasjon de velger å legge ut på Internett. 5.2 Petroleumsutvinning i nord Gass- og kondensatfeltet Snøhvit i Barentshavet skal bygges ut med undervanns produksjonsanlegg, rørledninger til land og gassbehandlingsanlegg på Melkøya utenfor Hammerfest. Utbyggingen av Snøhvit blir den første norske utbyggingen i Barentshavet. Naturgassen fra Snøhvit vil i stor grad eksporteres til et raskt voksende gassmarked i USA. Totalt vil 2,4 milliarder kubikkmeter nedkjølt flytende gass årlig skipes til mottakerterminalen Cove Point på den amerikanske østkysten. I tillegg vil 16 milliarder kubikkmeter gass skipes til Spania årlig. En nøkkelinstallasjon for Snøhvit er gassbehandlingsanlegget på Melkøya. Melkøya er den største industriutbyggingen noensinne i Nord-Norge. For en tid tilbake ble en detaljert tegning av Melkøyaanlegget lagt ut på en hjemmeside på nettet. Tegningene viste relativt viktige detaljer om ulike nøkkelområder eller nøkkelpunkter på anlegget. Eksempelvis viste tegningen hvor gassrørene gikk inn i anlegget og gassrørenes dimensjon, plasseringen til anleggets kontrollsenter, strømaggregat og kjemiske lager. Tegningene fra Melkøya-anlegget er nå fjernet fra den aktuelle hjemmesiden. 5.2.1 Vurdering Generelt er opprettholdelse av nasjonal handlefrihet og integritet viktig for våre nasjonale sikkerhetsinteresser. En forutsetning for dette er at samfunnets kritiske infrastruktur kan operere mest mulig uforstyrret. Det gjelder ikke minst innenfor olje- og gassektoren. I forlengelsen av dette er det viktig å tenke sikkerhet i forhold til ulike trusler som spionasje, sabotasje og terroraksjoner. Sett i lys av dette har den beskrevne tegningen fra Melkøya-anlegget for høy detaljgrad til at den bør legges ut på Internett. Eksponering av slike kritiske deler av Melkøya-anlegget vil være nyttig i en eventuelle planlegging av sabotasje eller terroranslag. En skjerming av slike tegninger og kart kan heller ikke sies å komme i konflikt med det behovet for informasjon publikum har. 5.3 Det geografiske informasjonssystemet Arealis Det håndteres i dag mye risiko- og sårbarhetsinformasjon i samfunnet. Mange virksomheter gjennomfører risiko- og sårbarhetsvurderinger innenfor en rekke områder. Hensikten med slike vurderinger er å kunne skaffe et grunnlag for å forebygge ulykker og andre uønskede hendelser. Det er etter hvert blitt vanlig at risiko- og sårbarhetsinformasjon blir, eller vurderes lagt ut, på Internett. Det geografiske informasjonssystemet (GIS) AREALIS er et eksempel på et system hvor mye informasjon samles. AREALIS er et landsdekkende og brukerstyrt samarbeid i regi av Miljøverndepartementet. Formålet er å lette tilgangen til viktig kartfestet informasjon om arealverdier, miljø og ressurser. Dette vil i en planprosess tydeliggjøre eventuelle konflikter knyttet til et areal. Side 15 av 20
Risiko- og sårbarhetsegenskaper ved et areal kan representere en arealkonflikt eller en hensynsone som må ivaretas i planleggingen, og derav bør synliggjøres i AREALIS. Dataflyten i AREALIS-samarbeidet har hittil vært basert på oversendelse av CD-er, og dataene har vært lagt inn på kommunens interne GIS-system. I noen kommuner vil alle ansatte ha tilgang til dette, i noen tilfeller også skoler, bibliotek mfl. Mye av AREALIS-bruken er nå i ferd med å flyttes over på webbasert programvare. Det finnes en nasjonal AREALIS kartapplikasjon på Internett, og mange av kommunene er i ferd med å ta i bruk løsninger der kartdata tilbys kommunens brukere over intranett, mens de fleste opplysningene etter hvert også åpnes for allmennheten over Internett. 5.3.1 Vurdering En arbeidsgruppe bestående av DSB og NSM har vurdert AREALIS. 5 Etter arbeidsgruppens oppfatning eksisterer det et behov for å skjerme risiko- og sårbarhetsinformasjon utover behovet for å ivareta rikets sikkerhet og vitale nasjonale sikkerhetsinteresser. Det antas at informasjon som ikke omfattes av sikkerhetsloven, men som likevel bør vurderes skjermet, i dag ikke blir tilfredsstillende ivaretatt. En del av den risiko- og sårbarhetsinformasjonen som er, eller i fremtiden kan være aktuell i AREALIS, bør etter arbeidsgruppens syn bli gjenstand for en nærmere verdivurdering med tanke på skjerming. Dette er informasjon som trenger beskyttelse enten for å hindre gjennomføring av straffbare handlinger, eller for å unngå skade på offentlige interesser, bedrifter, institusjoner eller enkeltpersoner. Det kan være tilfeller der tilgjengeligheten til informasjon øker muligheten for kriminelle og ondsinnede handlinger om den blir kjent. Videre kan det være handlinger som kan skade samfunnsviktig infrastruktur, skade kritiske funksjoner og virksomheter eller føre til tap av liv, helse, store materielle verdier, miljø osv. I arbeidsgruppens konklusjon understrekes betydningen av å verdivurdere informasjon som skal legges ut på Internett. Slike verdivurderinger bør foretas for å hindre at sensitiv risiko- og sårbarhetsinformasjon legges ut på nettet. 5.4 KATO Air saken I september 2004 forsøkte en asylsøker å styrte et Kato Air fly mellom Narvik og Bodø. Ved hjelp av en øks prøvde vedkommende å sette pilotene ut av spill. Da piloten etter hvert fikk kontroll over flyet, var både hovedstrømbryteren og radioene slått av. Strømbryteren er i taket i cockpiten, mens radiobryteren er i midtkonsollen. Begge er beskyttet av bøyler, og skal ikke kunne slås av ved en feiltagelse. 5 Rapporten finnes på www.nsm.stat.no Side 16 av 20
5.4.1 Vurdering NSM vet ikke om gjerningsmannen hadde brukt informasjon innhentet fra Internett under planleggingen av sitt anslag. Uansett er det interessant at det ligger mye informasjon ute på Internett som vil kunne bli brukt i anslag mot lufttrafikken. Informasjonen NSM sikter til her ligger utlagt på private hjemmesider. I rettsaken mot den anklagede i vinter kom det frem at informasjon om selve flytypen lå ute på Internett. For den som vil skaffe seg oversikt over hvor instrumenter, funksjoner og brytere om bord i flyet er plassert kan slik kunnskap skaffes gjennom søk på Internett. Ut fra en forebyggende sikkerhetstankegang er det ikke heldig at denne typen informasjon legges ut på Internett. Ettersom slik informasjon kan misbrukes, er det ut fra et sikkerhetsperspektiv uheldig at den finnes så lett tilgjengelig. I tillegg til tekniske data fra selve flyet kan flyruten simuleres ved hjelp av programmer som ligger utlagt på Internett. Ved hjelp av detaljert og virkelighetstro grafikk kan flyet følges fra avgang til landing. Gjennom denne programvaren kan flyets lokalisering for eksempel kunne beregnes underveis. Også dette er informasjon som kan være nyttig for en ondsinnet aktør dersom et anslag planlegges. Fra et sikkerhetsmessig ståsted er det ikke uproblematisk at denne kategorien av informasjon er så lett tilgjengelig på nettet. Side 17 av 20
6 Anbefalinger omkring bruk av Internett Hensikten med denne analysen har vært å bidra til en bedre bevissthet omkring hvilken informasjon som legges ut på Internett. NSM anbefaler at alle virksomheter gjør en kritisk gjennomgang av egne rutiner for verdivurdering av informasjon. Hvilke kriterier som legges til grunn under en verdivurdering bør tydeliggjøres og tilpasses de sikkerhetsmessige utfordringene for den enkelte virksomhet. Det er her viktig at den enkelte virksomhet ser seg selv i en større sammenheng. Samtidig har det vært vesentlig å understreke hovedprinsippet om at all offentlig informasjon i utgangspunktet skal være tilgjengelig for befolkningen. Forvaltningens saksdokumenter er offentlige så langt det ikke er gjort unntak i lov eller i medhold av lov. I et åpent demokratisk samfunn er dette et avgjørende prinsipp. Likevel vil det alltid foreligge et behov for å unndra informasjon fra offentligheten for å forebygge at uønskede hendelser skader individer, virksomheter eller nasjonens sikkerhet. På bakgrunn av denne analysen ønsker NSM å gi noen generelle anbefalinger for bruk av Internett. Nedenfor listes noen sentrale momenter som bør vektlegges når virksomhetene vurderer hvilken informasjon som skal legges ut på en hjemmeside, eller sendes som e-post: 1. Etabler interne rutiner for verdivurdering av informasjonen 2. Gjør dere kjent med Offentlighetsloven, Sikkerhetsloven med forskrifter, Beskyttelsesinstruksen, Personopplysningsloven og aktuelle sektorbestemmelser 3. Gjør dere kjent med veilederen Bruk av elektronisk post (e-post) i statsforvaltningen 6 4. Utform en intern policy for bruk av Internett 5. Foreta en kritisk vurdering av om ugradert informasjon bør legges ut 6. Vurder om informasjon som planlegges lagt ut kan skade egen sikkerhet 7. Vurder om informasjon som planlegges lagt ut kan skade andres eller fellesskapets sikkerhet 8. Bruk den interne sikkerhetsorganisasjonen og tilgjengelig fagekspertise aktivt under verdivurderingen av informasjon 9. Inkluder virksomhetens bruk av Internett i den sikkerhetsrelaterte intern-kontrollen 10. Varsle andre virksomheter dersom vedkommende virksomhet har lagt ut informasjon som kan skade egen, andres eller fellesskapets sikkerhet 6 www.odin.no Side 18 av 20
Nasjonal sikkerhetsmyndighet (NSM) NSM er et direktorat administrativt underlagt Forsvarsdepartementet, med faglig rapporterings- og ansvarslinje til Justis- og politidepartementet for saker i sivil sektor og til Forsvarsdepartementet for tilsvarende i militær sektor. NSM er nasjonal fag- og tilsynsmyndighet innen forebyggende sikkerhetstjeneste innen informasjons- og objektsikkerhet. Hensikten med sikkerhetsarbeidet er å gjøre samfunnet mer motstandsdyktig mot sabotasje, spionasje og terror. NSM dekker fagområdene IKT-sikkerhet, dokumentsikkerhet, personellsikkerhet, fysisk sikring, industrisikkerhet og sikkerhetsadministrasjon. I tillegg ligger SERTIT-ordningen og Varslingssentralen for digital infrastruktur inn under NSMs ansvarsområde. NSMs samfunnsmål er å være en anerkjent og synlig pådriver for bedre sikkerhet i samfunnet. Selve utøvelsen av forebyggende sikkerhetstjeneste er som hovedregel desentralisert idet alle virksomheter som håndterer sikkerhetsgradert informasjon og sikkerhetsklassifiserte objekter, skal utøve nettopp forebyggende sikkerhetstjeneste. Dette omfatter virksomheter både innen Forsvaret, øvrig statsforvaltning, fylkeskommunene, kommunene og leverandører som leverer varer eller tjenester i forbindelse med sikkerhetsgraderte anskaffelser. Side 19 av 20
Nasjonal sikkerhetsmyndighet (NSM) Postboks 14 1306 Bærum postterminal Telefon: 67 86 40 00 Faks: 67 86 40 09 www.nsm.stat.no Norwegian National Security Authority (NoNSA) P.O. Box 14 1306 Baerum postterminal Norway Telefon: + 47 67 86 40 00 Faks: + 47 67 86 40 09 www.nsm.stat.no Side 20 av 20