NOU 2015: 13 Beskytte enkeltmennesker og samfunn i en digitalisert verden 30. november 2015
Utvalgsmedlemmer Olav Lysne (leder) Janne Hagen Fredrik Manne Sofie Nystrøm Åke Holmgren Kristine Beitland Einar Lunde Eva Jarbekk Kristian Gjøsteen Sekretariat: Roger Kolbotn (sekretariatsleder) Ingunn Moholt, Lene Bogen Kaland, André Nordbø, Ragnhild Castberg, Håkon Hermansson
Mandat (utdrag) Etablert ved kongelig resolusjon 20. juni 2014 Utvalget skal beskrive de digitale sårbarheter som Norge står overfor i dag og i nærmeste fremtid vurdere hvilke konsekvenser denne sårbarheten kan få for enkeltmennesker, næringsliv og samfunnssikkerheten beskrive hvordan relevante allierte og andre sammenlignbare land arbeider med å redusere denne sårbarheten beskrive de sentrale folkerettslige rammer for grenseoverskridende informasjonsinnhenting vurdere de digitale sikkerhetsutfordringene ved IKT-kriminalitet, spionasje, sabotasje og terror beskrive behovet for å kunne avdekke, håndtere og etterforske digitale angrep. utrede administrative, økonomiske og andre vesentlige konsekvenser av anbefalingene Avgi rapport 30. november 2015
Trender som påvirker sårbarhetsbildet Digitaliseringen av samfunnet Økt regnekraft, store data og stordataanalyse Tingenes Internett Automatisering av hverdagen og arbeidslivet Skytjenester Sosiale medier
5
6
Mobil betaling - et tenkt eksempel Betalingsapp for mobil Mobiltelefon Mobil tjenesteleverandør Regional nettleverandør Kjernenettleverandør Regional nettleverandør Bankserver Regional nettleverandør Kjernenettleverandør Regional nettleverandør Bankserver
Mobil betaling - et tenkt eksempel Betalingsapp for mobil Mobiltelefon Mobil tjenesteleverandør Regional nettleverandør Kjernenettleverandør Regional nettleverandør Bankserver > Verdikjede for autentisering Regional nettleverandør Kjernenettleverandør Regional nettleverandør Bankserver > Verdikjede for autentisering
Mobil betaling - et tenkt eksempel Betalingsapp for mobil Mobiltelefon Mobil tjenesteleverandør -> Drift outsourcet? Regional nettleverandør-> Drift outsourcet? Kjernenettleverandør Regional nettleverandør-> Drift outsourcet? Bankserver > Verdikjede for autentisering Bankserver Outsourcet? Regional nettleverandør-> Drift outsourcet? Kjernenettleverandør Regional nettleverandør-> Drift outsourcet? Bankserver -> Verdikjede for autentisering Bankserver Outsourcet?
Kjernenett Mobil tjenesteleverandør Regional nettleverandør Kjernenettleverandør Regional nettleverandør Bankserver Regional nettleverandør Mobiltelefon Bank...
Kjennetegn digitale verdikjeder Feil propagerer momentant og noen ganger på uforutsigbare måter Tjenestene som inngår i verdikjedene spenner gjerne over flere sektorer, og de er underlagt forskjellige lovverk og tilsynsregimer For dem som utvikler en tjeneste på toppen av slike verdikjeder er det svært utfordrende å skaffe seg oversikt over hvilke sårbarheter tjenesten er eksponert for lenger nede i verdikjeden Enkelte tjenester befinner seg i bunnen av svært mange slike verdikjeder
Ingen sektor kan kontrollere sin egen digitale sårbarhet alene alle arver sårbarheter fra andre sektorer Få land kan kontrollere sin egen digitale sårbarhet alene de aller fleste arver sårbarheter fra andre land
Styrke Justis- og beredskapsdepartementets tverrsektorielle virkemidler på IKTsikkerhetsområdet Tydeliggjøring av rolle og ansvarsområde, utvikling av virkemidler knyttet til rapportering og styring og en oppbygging av personalmessig kapasitet.
Alle de viktige samfunnsfunksjonene legges i EKOM-kurven Finansielle tjenester Energiforsyning Vannforsyning Transport Satellittbaserte tjenester Olje og gass Styring og kriseledelse Helse og omsorg Avdekke og håndtere digitale angrep Registre og lagret informasjon (felleskomponenter)
Det bør etableres tiltak som reduserer kritikaliteten av kjernenettet Det finnes to «halvmodne» alternative nett: Broadnet som dekker omlag halvparten basert pa det gamle BaneTele, og Altibox-konsortiet som dekker nesten hele landet.
Personvern er under teknologisk press
Personvern Hva vil være mulig om 20 år? Hva vil være kompromitterende om 20 år? Er det mulig å tillate, og deretter forby innsamling, lagring og sammenstilling av store datamengder? Burde vi legge oss på en linje som er robust ved et regimeskifte? Nedkjølingseffekten hvor kraftig er den?
Sikre balansen mellom personvern og et sikrere samfunn gjennom utredninger og offentlig debatt Gjelder blant annet E-tjenestens behov for digital grenseovervåking, samt PSTs behov for å registrere, lagre og analysere ytringer på sosiale medier.
Bruk av kryptografi bør ikke reguleres Regulering vil svekke sikkerheten i svært mange systemer, uten at det i vesentlig grad vil hindre uærlige aktørers bruk av kryptografi.
Etablere et helhetlig rammeverk for digital hendelseshåndtering For å bedre samkjøre innsatsen mellom relevante aktører innen hendelseshåndtering og straffeforfølging.
Styrke politiets evne til å bekjempe IKT-kriminalitet Utvalget observerer at det blant virksomheter og hos enkeltindivider er lave forventninger til hvilken bistand politiet kan gi når man blir utsatt for IKTkriminalitet.
Tydeliggjøre et myndighetsansvar for norsk romvirksomhet De fleste samfunnsområder er gjennom digitale verdikjeder mer eller mindre avhengige av digitale satellittbaserte tjenester som posisjon, navigasjon, presis tidsangivelse, kommunikasjon og jordobservasjon. Myndighetsansvaret omhandler å øke bevisstheten rundt samfunnsområdenes sårbarheter, identifisere avhengigheter, stille krav til og føre tilsyn med romvirksomheten.
Styrke IKTsikkerhetskompetansen i flere sektortilsyn På kort sikt vil det være viktig med felles ressurser, for eksempel fra Nasjonal sikkerhetsmyndighet. På lengre sikt tilsier teknologiutviklingen at sektorer og virksomheter må etablere egen IKTsikkerhetskompetanse.
Etablere en overordnet nasjonal kompetansestrategi innen IKTsikkerhet Strategien må omfavne alle nivåer, fra grunnskoleutdanning til doktorgradsnivå. Den bør videre inneholde en plan for oppbygging og vedlikehold av forskningskapasitet.