NÆRINGS- OG HANDELSDEPARTEMENTET. Norsk kryptopolitikk

Like dokumenter
Nasjonal sikkerhetsmyndighet

Mandat informasjonssikkerhet. Avdelingsdirektør Arne Lunde Uh-avdelingen KD

Et grunnlag for utvikling av en helhetlig nasjonal kryptopolitikk

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Veiledning til forskrift om elektronisk kommunikasjon med og i forvaltningen

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Et skråblikk på partiprogrammene - Et lite forsøk på å finne ut hva partiene mener om ikt foran valget til høsten

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett

KRYPTO OG AKTUELLE PROBLEMSTILLINGER

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

Norge et foregangsland på IT-sikkerhet

Digital kommunikasjon som hovedregel endringer i eforvaltningsforskriften

Forelesning 2: Kryptografi

NSMs kryptoaktiviteter

OVERSIKT SIKKERHETSARBEIDET I UDI

Semantikkregisteret for elektronisk samhandling (SERES): I hvilken grad er personvernet en hindring?

Felles sikkerhetsportal for elektronisk kommunikasjon med offentlig sektor.

Styresak. Styresak 031/04 B Styremøte

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

Introduksjon til DR 1010: Personvern og personvernlovgivning. DR1010 Personvern i offentlig forvaltning Vår 2011 Mona Naomi Lintvedt

Seniornettkonferansen 2005

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Høringssvar - Langsiktig strategi for Altinn

Bedre polititjenester tryggere samfunn

Informasjonssikkerhet og internkontroll. DRI1010 forelesning Jon Berge Holden

FOR nr 988: Forskrift om elektronisk kommunikasjon med og i forvaltnin...

Anbefalinger til Standardiseringsrådet vedrørende utredning av standarder for informasjonssikkerhet

Derfor trenger du BankID på nettstedet ditt

Behandles av utvalg: Møtedato Utvalgssaksnr. Administrasjonsutvalget /11

Rettslige krav til informasjonssikkerhet i offentlig forvaltning

På tide med sikker samhandling? Helge Veum, avdelingsdirektør Sikkerhet og Sårbarhet 2013, 8. mai 2013

Behandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Anbefalinger om åpenhet rundt IKT-hendelser

Nasjonalt ID-kort og eid Sikker e-forvaltning

Seminar om betalingssystemer og IKT i finanssektoren,

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Justis- og beredskapsdepartementet

Nye felles løsninger for eid i offentlig sektor

Ny postregulering - høringsuttalelse

Digitaliseringsstrategi

Nasjonal sikkerhetsmyndighet

Felles journal. Fra et samfunnssikkerhets- og beredskapsperspektiv. avdelingsdirektør

Mandat for arbeidet med Langsiktig strategi for Altinn

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Regelrådets uttalelse. Om: Høring forskrifter til ny sikkerhetslov Ansvarlig: Forsvarsdepartementet

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Digitaliseringsstrategi

Digitalt førstevalg hva innebærer det i praksis Arild Jansen, AFIN/SERI, UiO

Difi. Digitalisering av offentlig sektor. Offentlig sektor er ikke en enhet

Digitalisering av offentlig sektor

Disposisjon. Digitalt førstevalg og Digitaliseringsprogrammet

Det må etableres gode og fremtidsrettede helseregistre som gir formålstjenlig dokumentasjon til kvalitetsforbedrende arbeid og forskning.

Forelesning 2: Kryptografi

Samarbeid om den felles infrastruktur

Rapportering av sikkerhetstruende hendelser til NSM

Høring - Hindre for digital verdiskapning - Rapport fra utvalg som har vurdert muligheter og hindringer for digital verdiskapning

Når en statisk forvaltningskultur møter en dynamisk teknologiutvikling. Arild Haraldsen Partnerforum

Kryptogra og elliptiske kurver

Elektronisk faktura i offentlig sektor også en del av effektive innkjøp

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Retningslinjer for databehandleravtaler

Vår referanse (bes oppgitt ved svar)

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

Introduksjon til DRI1010 Personvern i offentlig forvaltning: Oversikt over personvern og personvernlovgivningen. Dag Wiese Schartum, AFIN

Sikkerhetsmessig verdivurdering

Bane NOR SF Postboks HAMAR. Att.: Saksbehandler: Tone Gotheim, Vår ref.: 12/ Deres ref.: Dato:

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Personinformasjon i norsk offentlig sektor et område i endring Jon Ølnes, UniBridge AS

Objektsikkerhet endringer i sikkerhetsloven

KRYPTOGRAFI, KRIMINALITET OG PERSONVERN

Høringssvar Felles elektronisk tjenesteyting i offentlig sektor

Nasjonal sikkerhetsmyndighet

Digitaliseringsstrategi. - trygghet og tillit til teknologi

Statlig IKT-politikk en oversikt. Endre Grøtnes Difi, avdeling for digital strategi og samordning

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Sviktende tilgangsstyring i elektroniske pasientjournaler? Ragnhild Castberg, seniorådgiver Norsk Arkivråds arkivseminar,18.

Difi bidrar til å digitalisere Norge. BankID - dagen 2017 Torgeir Strypet, avdelingsdirektør Difi

Standardisering av krypto i offentlig sektor. Standardiseringsrådsmøte (beslutningssak)

IT strategi for Universitet i Stavanger

Kryptoporteføljen i Forsvaret

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Utredning av standarder for styring av informasjonssikkerhet

Sikkerhetsportalen det nye verktøyet for det offentlige sin bruk av eid og sikker kommunikasjon på internett SDF

Personvernforordningen

Informasjonssikkerhet i Norge digitalt Teknologiforum

Digitaliseringsstrategi

Underbygger lovverket kravene til en digital offentlighet

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Ny langsiktig strategi for Altinn

Tjenesteyting som næringsutvikling

Sondre Granlund Moen

Kriminalomsorgen. Taushetserklæring

Sikkerhet og informasjonssystemer

Elektronisk tilbudsinnlevering

Kommunikasjon for en levende by

ID-Porten bruk av elektronisk ID i offentlige tjenester på nett

Næringslivets Sikkerhetsråd Mot kriminalitet - for næringsliv og samfunn

Transkript:

NÆRINGS- OG HANDELSDEPARTEMENTET 2001 Norsk kryptopolitikk a 91 a

eministerens forord Internett har gitt oss verktøy for global kommunikasjon, samhandel, kulturformidling og personlig kontakt. Millioner av mennesker verden over utveksler elektronisk post, dokumenter, bilder og henter informasjon eller underholdning på nettet. Norge har ambisjon om å være ledende i bruk av Internett. Den store økningen i trafikk fører med seg utfordringer knyttet til personvern, sikkerhet og pålitelighet av de transaksjoner som gjennomføres på nettet. Krypteringsteknologi (krypto) er av de fleste lands myndigheter nå anerkjent som et nødvendig verktøy for å møte disse utfordringene. Krypteringsteknologien har tradisjonelt vært forbeholdt forsvaret og organer som har som oppgave å ivareta rikets sikkerhet og beredskap. På grunn av dette har mange land ført en svært restriktiv politikk når det gjelder å gjøre krypteringsprodukter tilgjengelig for bruk av det brede publikum. Denne tiden er nå over. OECD publiserte i 1997 retningslinjer for kryptopolitikk som knesatte flere viktige prinsipper for hvordan slik politikk bør utformes og håndheves. Mange land har nå utviklet kryptopolitikker som følger OECDs prinsipper. Liberalisering av streng kontroll med tilgang til, og bruk av krypto, har preget utviklingen på området de siste årene. Norge har hele tiden fulgt med i denne utviklingen. De fleste av OECDs prinsipper ble gjennomført i praksis. Tiden er nå derfor inne til å legge frem en helhetlig norsk kryptopolitikk, som trekker opp linjene for hvordan krypteringsteknologi kan bli utnyttet for å nå målene i enorge - og særlig målsettingen om økt tillit til den nye teknologien, slik at den er sikker og tilgjengelig for alle, uansett kompetansenivå. Dette dokumentet er et tiltak på vei mot dette målet. Oslo, august 2001 Grete Knudsen, >)B Rana epotbiblioteket Nærings- og handelsminister 1

1. Bakgrunn Samfunnets økte bruk og avhengighet av informasjons- og kommunikasjonsteknologi (IKT) fører til at informasjonssystemer i stadig større grad blir sårbare for uønskede eller utilsiktede hendelser, herunder anslag fra kriminelle. Slike hendelser kan føre til kompromittering av konfidensialitet, integritet eller autentisitet av informasjon og/eller forretningsmessige transaksjoner, med vidtrekkende konsekvenser. Økt utbredelse og bruk av Internett og mobiltelefoni øker utfordringene med å opprettholde tilfredsstillende sikkerhet ved elektronisk informasjonsutveksling, -lagring og -bruk. Bruk av krypteringsteknologi kan gi forvaltningen, næringslivet og individer en mulighet for å beskytte sine legitime interesser samtidig som man utnytter potensialet i IKT til fulle. Bruk av krypteringsteknologi vil også styrke tilliten til elektronisk samhandling i sin alminnelighet, og spesielt elektronisk handel. Konkret kan krypteringsteknologi bidra til å sikre: Personvern og ytringsfrihet, transaksjonstrygghet, bedrifters interesse i økt inntjening og konkurranseevne, inklusive utvikling av en nasjonal kryptoindustri, vitale nasjonale sikkerhetsinteresser, herunder rikets sikkerhet og geopolitisk suverenitet, effektiv, elektronisk forvaltning, reduksjon av sårbarhet for ytre angrep, økt tillit til datamaskinbaserte systemer. Utbredt anvendelse av krypteringsteknologi fører med seg noen konsekvenser, som også kan gi negative innvirkninger på visse områder. De kriminelles tilgang til krypteringsteknologi kan gjøre det vanskelig for politimyndigheter å etterforske og påtale lovbrudd. Tilgangen til slik teknologi i terroristmiljøer kan bidra til økt fare for at terrorhandlinger kan planlegges og utføres uten at myndigheter har muligheter til å forebygge eller forhindre slike angrep. Bruk av krypteringsteknologi for konfidensialitetssikring kan også medføre at informasjon kan gå tapt, ved at for eksempel nøkkelen er mistet. Samtidig legger internasjonale overenskomster, avtaler og reguleringer rammebetingelser for produksjon, bruk og eksport av krypteringsteknologi i Norge. Likeledes vil andre lands holdninger til krypteringsteknologi skape en ramme for dette som man må forholde seg til. Flere av disse forholdene trekker i ulike retninger og tilsier at det er behov for å formulere en overordnet, nasjonal kryptopolitikk. Dette dokumentet inneholder en slik politikk. 2

Krypto er et forkortet begrep for kryptografi, eller lære om metoder for å skjule innhold i en skriftlig meddelelse. Kryptering er den handlingen som fører til at et innhold blir forvrengt slik at det ikke er mulig å forstå dets mening uten å ha tilgangen til en nøkkel - som kan gi det opprinnelige innholdet tilbake. Ved hjelp av nøkkelen kan innholdet dekrypteres. Kryptografiske metoder kan også benyttes til å beskytte et innhold mot uautorisert endring og spore opprinnelsen av det. Kryptering har vært benyttet i mer enn tusen år med stadig mer avanserte matematiske beregningsmetoder som er blitt tatt i bruk for å hindre at uvedkommende brøt koden. Moderne kryptografi benytter avanserte matematiske funksjoner for å forvrenge innhold i dokumenter og meldinger. Moderne kryptografi er avhengig av datamaskiner for å fungere. Det finnes to hovedkategorier av kryptografi: symmetrisk og asymmetrisk. Symmetrisk krypto betegner en prosess der både kryptering og dekryptering av en meddelelse foregår ved bruk av samme nøkkel. I forbindelse med datakommunikasjon innebærer et symmetrisk kryptosystem at avsenderen og mottakeren av meddelelsen deler en felles (men ellers hemmelig) nøkkel. Asymmetrisk krypto innebærer derimot anvendelse av forskjellige (dog matematisk relaterte) nøkler til kryptering og dekryptering. Hver bruker av systemet får tildelt et nøkkelpar der den ene nøkkelen er privat og hemmelig, mens den andre er offentlig tilgjengelig. Den hemmelige nøkkelen benyttes til dekryptering av data, den offentlige nøkkelen brukes til kryptering. Asymmetrisk kryptografi ligger til grunn for digitale signaturer. En elektronisk melding kan "signeres" ved bruk av avsenderens private/hemmelige nøkkel. Verifisering av signaturen kan skje ved at mottakeren benytter den offentlige nøkkelen som tilhører avsenderen. Krypteringsteknologi kan benyttes for å sikre følgende aspekter ved elektronisk informasjonsutveksling og/eller elektroniske transaksjoner: at informasjon (i klartekst) ikke blir tilgjengelig for personer/organisasjoner som mangler autorisasjon for å få se den (konfidensialitet) at informasjon ikke kan endres på uautorisert vis uten at det kan oppdages (integritet), at identiteten til avsenderen kan slås fast med gitt sikkerhet (autentisitet), at den som sender informasjon ikke skal kunne benekte at handlingen fant sted eller at informasjonen var sendt fra ham (ikke-benekting). 3

2. Kryptopolitikken Politikken baserer seg på OECDs retningslinjer for kryptopolitikk, publisert i 1997. Anvendelse av krypteringsteknologi Det grunnleggende spørsmålet her er hvilken grunnholdning man skal innta i forhold til kryptografi i sin alminnelighet. Dette inkluderer spørsmålet om hvilken holdning som bør inntas i forhold til bruk av s.k. sterk kryptering. Med "sterk" kryptering menes bl.a. at det benyttes en nøkkellengde og en matematisk funksjon med styrke som er slik at krypteringen ikke kan brytes, selv med omfattende ressursinnsats. Oppfatninger om hvilke løsninger som er "sterke" vil endre seg i takt med den teknologiske utvikling. Ut fra behov for å skape tillit og trygget rundt elektronisk samhandling anbefales det at man inntar en positiv holdning til utstrakt bruk av krypto i hele samfunnet. Dette omfatter også sterk krypto. Myndigheter bør endog legge til rette for å oppmuntre, opplyse og veilede næringslivet, forvaltningen og alminnelig publikum for å stimulere til (fornuftig) bruk av kryptering. Der kryptering brukes for elektronisk signatur vil bruken av kryptering bli underlagt lov om elektronisk signatur og forvaltningsloven med forskrifter. Myndighetene bør legge til rette for et velfungerende og godt utviklet nasjonalt marked for kryptoprodukter og -tjenester, slik at brukere skal kunne velge blant flere konkurransedyktige tilbud. Elektronisk handel ogforretningsdrift I forbindelse med utbredelse av elektronisk handel er bruk av kryptografi spesielt viktig. Men det er særlig anvendelse av asymmetrisk krypto til autentiserings-, integritetssikrings- og ikke-benektingsformål som vil ha betydning her. Sikring av konfidensialitet er også et relevant behov ifm elektroniske handelstransaksjoner, og da særlig i tilknytting til betaling. Mange betrakter utbredelsen av gode sikkerhetsløsninger som en forutsetning for at omfattende og alminnelig bruk av elektronisk handel. Myndigheter bør stille seg positivt til, og legge til rette for, omfattende bruk av krypteringsteknologi ifm elektronisk handel og -forretningsdrift. Lov om elektronisk signatur legger allerede til rette for slik bruk og forslagene fremmet i NOU 2001:10 "Uten penn og blekk" tar sikte på å bidra til dette. Offentlig sektor Økt utbredelse av effektiv, elektronisk samhandling med det offentlige forutsetter at brukerne har tillit til de løsninger de blir stilt overfor. I mange sammenhenger vil det kreve tiltak for å sikre konfidensialitet ved overføring og behandling av informasjon. Det kan gjelde forretningshemmeligheter eller være behov for å sikre enkeltindividers personvern, eksempelvis innen helsesektoren som har store mengder sensitive 4

personopplysninger. Kryptopolitikken må ikke bryte med de alminnelige regler for administrativ saksbehandling som følger av forvaltningsloven. Kryptopolitikken skal legge til rette for at målsettinger for reglene for administrativ saksbehandling kan oppnås ved overgangen til elektronisk saksbehandling. Kryptopolitikken for offentlig sektor bør være slik at dens implementering innebærer minst mulig ekstra arbeid for næringslivet og offentlig ansatte. Arbeidet med bruk av krypteringsteknologi i offentlig sektor, bør bl. a. legge til grunn lov om elektronisk signatur samt den politikk for bruk av digitale signaturer i elektronisk samhandling i og med forvaltningen som er under utforming på grunnlag av forslag fremmet i NOU 2001:10 "Uten penn og blekk". Digital signatur bør innføres samordnet i forvaltningen. For å forsyne publikum med digitale signaturer bør felles, sentrale avtaler vurderes mellom det offentlige og markedsaktører som tilbyr digital signatur til publikum. Det offentlige bør samle seg om felles sikkerhetsnivåer og kravspesifikasjoner for bruk av asymmetrisk kryptografi for hele offentlig sektor. Det bør eksistere en permanent samordningsfunksjon for policy rundt bruk av asymmetrisk kryptering i forvaltningen. Det bør utvikles en ny forskrift til forvaltningsloven som skal regulere elektronisk kommunikasjon i og med forvaltningen, herunder bruk av asymmetrisk kryptering. Det offentlige skal samordne sine kryptoanvendelser for ikke å påføre næringslivet og publikum unødige kostnader. Kriminalitetsbekjempelse Ved kryptobruk oppstår spenningen i hovedsak mellom enkeltindividers personvern og offentlige organers interesser i å få tilgang til innhold i kommunikasjon og transaksjoner som mistenkes for å være en del av, eller ledd i, en kriminell handling. En sentral problemstilling som en nasjonal kryptopolitikk må ta stilling til, gjelder hvorvidt enkeltindivider og bedrifter skal kunne sikre deres kommunikasjon/informasjon mot innsyn fra uvedkommende på bekostning av offentlige organers behov for tilgang til den samme kommunikasjon/informasjon. Særlig i forbindelse med etterforskning av alvorlig kriminalitet kan det være behov for slik tilgang på følgende områder: tilgang til innholdet i lagret, elektronisk informasjon som beslaglegges mulighet for avlytting av kryptert kommunikasjon - mulighet for oppsporing av ukjent gjerningsmann gjennom tilgang til nettadresser. En slik tilgang kan oppnåes bl. a. ved at myndigheter krever obligatorisk deponering av krypteringsnøkler som benyttes til konfidensialitetssikring og ved at myndigheter kan skaffe seg tilgang til kryptoproduktenes indre funksjonalitet på en slik måte at krypteringen kan brytes selv om man ikke besitter nøkkelen som ble brukt. 5

De interesser som ønskes beskyttet ved å bruke krypteringsteknologi er bl. a. forankret i personvern-reguleringen, alminnelig taushetsplikt og beskyttelse av sensitiv informasjon innenfor det offentlige, forbrukervern av privatpersoners interesser og næringslivets legitime behov for å beskytte sine forretningsinteresser. Tilbydere av tilgang til offentlig telenett og offentlige teletjenester er allerede i dag pålagt å tilpasse sine systemer for lovlig kommunikasjonskontroll. Det er flere grunner, blant dem personlig integritet og privatlivets fred, som tilsier at kryptopolitikken bør ta avstand fra obligatorisk nøkkeldeponering når nøkkelen innehas av privatpersoner og skal brukes til rent personlige formål. Dette vil være i tråd med bl a dansk, svensk og til en viss grad britisk kryptopolitikk. Avstand bør også tas fra obligatorisk deponering av nøkler som kun brukes til autentiserings /signeringsformål, uavhengig hvem de brukes av. Det er derimot gode grunner for å anbefale lokal, obligatorisk deponering av krypteringsnøkler som innehas av ansatte i en organisasjon og som skal brukes i forbindelse med organisasjonens virksomhet. Dette av hensyn til muligheten for at kryptert informasjon som er av verdi for virksomheten kan gå tapt ved tap av slik nøkkel. Det er særlig offentlig sektor samt næringsliv som satser på e-handel og -forretningsdrift som er relevante målgrupper her. Tilbydere av offentlige teletjenester og andre tjenesteleverandører1 skal kunne pålegges å skaffe myndighetene adgang til klartekst, dersom de er i besittelse av selve teksten, eller nøklene som kan frembringe den. Myndigheter skal ikke kreve obligatorisk deponering av kryptonøkler som er brukt til konfidensialitetssikring til rent personlige formål av privatpersoner. Krypteringsnøkler brukt til signering og / eller autentiseringsformål skal aldri deponeres. Det anbefales at arbeidsgivere sørger for lokal deponering av krypteringsnøkler til konfidensialitetssikring som brukes i et ansettelsesforhold. Internasjonalisering, eksportkontroll og nasjonal kryptoindustri I lys av globaliseringsprosesser er det lite meningsfylt å fokusere kun på nasjonale forhold. Effektive løsninger på kryptospørsmål må i stadig større grad etableres på det internasjonale planet. Kryptopolitikken bør fordre og legge til rette for teknisk samvirke av kryptosystemer på globalt (ikke kun europeisk) nivå. En utfordring her er å sikre at fremveksten av regionale standardiseringsinitiativer ikke bremser oppnåelsen av målet om økt globalt interoperabilitet. Bruken av krypto bør derfor baseres på internasjonale, anerkjente standarder så langt det er mulig. I mangel på markedsstøtte for formelle (de juris) internasjonale standarder bør en satse på (de facto) markedsstandarder og praktiske løsninger som understøtter samvirke av standardprodukter fra ulike leverandører. Som f.eks. Internett-aksess-leverandører. 6

Kryptopolitikken bør understøtte liberalisering av regler om eksportkontroll. Eksisterende regler nedfelt i lov om eksportkontroll bør anvendes med henblikk på at eksport av sterke kryptoprodukter for sivil bruk kan finne sted forholdsvis enkelt. Utøvelsen av eksportkontrollen bør foregå i en åpen dialog med alle berørte parter i det norske samfunnet. Dette innbefatter også formidling av norske synspunkter videre inn i Wassenaarsamarbeidet for bedre å ivareta næringslivets interesser. Import og omsetning av kryptoprodukter på det norske markedet bør forbli fri. Kryptopolitikken bør bidra til en sterkere vekst av norsk kryptoindustri og dermed norsk IKT-industri generelt. Norsk kryptoindustri er i dag liten, men har et stort utviklingspotensial både nasjonalt og internasjonalt, særlig når det gjelder utvikling av nisjeprodukter. Det er blitt påpekt at samspillet mellom staten og norsk kryptoindustri hittil har vært relativt passivt, med unntak av forsvaret og utenrikstjenesten, med det resultat at en tilfredsstillende utvikling av norske kryptoprodukter for det brede markedet er uteblitt. Det anbefales en fornyelse av samspillet mellom norsk kryptoindustri og staten for å stimulere fremveksten av en konkurransedyktig norsk kryptoindustri. Videre utvikling og andre utfordringer rvryptopolitikken bør skille mellom kryptobruk i forsvarssektor og i sivil sektor. Behovene for sikring av konfidensialitet i de to sektorene er ulike, og de operer under ulike rammebetingelser. Dette tilsier at praktisering av kryptopolitikken for den sivile sektor bør kunne ta andre hensyn enn praktisering av politikken for forsvarssektoren. Forsvaret har spesielle sikringsbehov knyttet til operative systemer. Politikken for disse griper inn i den sivile sektor der den er en del av totalforsvaret og ivaretar beredskapsfunksjoner, eller der det er behov for å ivareta rikets sikkerhet eller vitale nasjonale interesser. Selv om praktiseringen av politikkene kan være ulik, vil begge sektorene kunne benytte seg av massemarkedsprodukter innen krypto. Sikkerhetsloven trer i kraft sommeren 2001. Forskriftene til loven regulerer bruk av krypto for forsvaret og den sivile del av samfunnet som har behov for å sende informasjon gradert etter sikkerhetsloven eller beskytte objekter. Sikkerhetsloven stiller krav til sikkerhetsgodkjenning gjennom sertifisering av kryptosystemer. Den nye standard kryptoalgoritmen AES (Advanced Encryption Standard) vil bli godkjent for konfidensialitetssikring av informasjon gradert BEGRENSET. Med forventningen om at AES blir adoptert av kryptoindustrien internasjonalt, ligger det til rette for at kryptoutstyr for beskyttelse av BEGRENSET informasjon også kan ha sivile anvendelser, forutsatt at slike kryptoprodukter er konkurransedyktige på pris og funksjonalitet. 7

Det er et tiltagende behov for samordning av regulering av informasjonssikkerhet på det sivile området. Forvaltningslovens taushetsbestemmelser, bestemmelser om taushetsplikt i særlovgivningen, forskrifter til lov om personopplysninger, sikkerhetsforskrifter under andre tilsynsområder samt beskyttelsesinstruksen skaper rammebetingelser for en bedrifts- eller et forvaltningsorgans virksomhet. Det er derfor viktig å se disse regelverkene i sammenheng når praktiske krav til løsninger skal settes. Kryptopolitikken bør stimulere til at norsk kryptoindustri utvikler produkter basert på internasjonale standarder som AES, slik at de kan få bred anvendelse både i Forsvaret og i sivil sektor der det er formålstjenlig. Det er et mål at norske kryptoprodukter skal være konkurransedyktige internasjonalt. Staten bør påvirke etablering av godt sikringsnivå gjennom tilretteleggelse for bruk av blant annet sertifiserte kryptoprodukter på ulike sikkerhetsnivåer. Kryptopolitikken bør stimulere til håndhevelse av regelverk for informasjonssikkerhet på det sivile området på en samordnet måte. 3. Konsekvenser Gjennomføring av denne politikken vil kunne ha følgende konsekvenser: Økt behov for styrking av kompetansen vedrørende informasjonssikkerhet generelt og krypto spesielt i offentlige etater og i næringslivet. Skjerpet veiledningsplikt fra det offentlige overfor publikum med hensyn på rasjonell og hensiktsmessig bruk av krypteringsteknologi. Styrking av politimyndighetenes muligheter til bekjempelse av datakriminalitet eller bruk av IT i vanlig kriminahtet, bl. a. gjennom Politiets Datakrimsenter. Etablering av en nasjonal koordineringsfunksjon for informasjonssikkerhet i sivil sektor. Utvikling av en nasjonal informasjonssikkerhetsstrategi der bruk av krypteringsteknologi inngår, herunder utvikling av strategi for offentlig sektor. Bedre samordning mellom offentlig sektor og næringslivet når det gjelder påvirkning av reglene for eksportkontroll av krypto. Økt behov for styrking av FoU innen områder som berører kryptoteknologi. Økonomisk-administrative konsekvenser av politikken vil omfatte kostnader knyttet til gjennomføring i forvaltningen. Disse bør tas innenfor ordinære budsjettrammer. Videre vil det vare behov for midler til sentrale tiltak knyttet til tilrettelegging, veiledning og koordinering. 8

4. Implementering Gjennomføringen av politikken bør skje i regi av de relevante sektormyndigheter, med Nærings- og handelsdepartementet som det koordinerende organ. Det er særlig justissektoren, telesektoren, forsvarssektoren og offentlig administrasjon samt helsesektoren som vil være tyngst berørt. Også finanssektoren, med sin særlige betydning for elektronisk handel, vil være en viktig samarbeidspartner. Noen av tiltakene, særlig i forbindelse med bekjempelse av kriminalitet, vil kreve et samarbeid mellom flere sektorer, f. eks. justissektoren og telesektoren. For gjennomføring av politikken vil det være hensiktsmessig med å utarbeide egne handlingsplaner i de viktigste sektorene. Samtidig vil det være hensiktsmessig at Utenriksdepartementet videreutvikler et tett samarbeid om eksportkontroll med næringslivet. 9

Depotbiblioteket i innilin in i 02sd 05 340 Utgitt av : Nærings- og handelsdepartementet Postboks 8014 Dep 0030 Oslo Flere eksemplarer kan bestilles fra Nærings- og handelsdepartementet Telefon; 22 24 03 01 Telefaks: 22 24 03 15 Dokumentet ligger på http://enorge.dep.no Publikasjonsnummer K-0647 B Print: Informasjonsforvaltning, Hurtigtrykk - 08/01-300 daffe fy//

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding