Lysneutvalget 2014-2015 Digitalt sårbarhetsutvalg Professor Olav Lysne Leder for Digitalt Sårbarhehtsutvalg Leder for Robuste Nett Senteret Simulasenteret 1
Lysneutvalget Nedsatt av regjeringen i juni 2014 Skal kartlegge samfunnets digitale sårbarhet Lysneutvalget skal foreslå konkrete tiltak for å styrke beredskapen og redusere den digitale sårbarheten i samfunnet Leverer sin utredning til Justis- og beredskapsdepartementet den 30. november 2015
3
4
Digitaliseringen av samfunnet (Booz & Company 2012) 6
Digitaliseringen av samfunnet (Booz & Company 2012) 7
Mobil betaling - et tenkt eksempel Betalingsapp for mobil Mobiltelefon Mobil tjenesteleverandør Regional nettleverandør Kjærnenettleverandør Regional nettleverandør Bankserver Regional nettleverandør Kjærnenettleverandør Regional nettleverandør Bankserver
Mobil betaling - et tenkt eksempel Betalingsapp for mobil Mobiltelefon Mobil tjenesteleverandør Regional nettleverandør Kjærnenettleverandør Regional nettleverandør Bankserver > Verdikjede for autentisering Regional nettleverandør Kjærnenettleverandør Regional nettleverandør Bankserver > Verdikjede for autentisering
Mobil betaling - et tenkt eksempel Betalingsapp for mobil Mobiltelefon Mobil tjenesteleverandør -> Drift outsourcet? Regional nettleverandør-> Drift outsourcet? Kjærnenettleverandør Regional nettleverandør-> Drift outsourcet? Bankserver > Verdikjede for autentisering Bankserver Outsourcet? Regional nettleverandør-> Drift outsourcet? Kjærnenettleverandør Regional nettleverandør-> Drift outsourcet? Bankserver -> Verdikjede for autentisering Bankserver Outsourcet?
Kjernenett Kjærnenettleveran dør Regional nettleverandør Mobil tjenesteleverandør Regional nettlleverandør Bankserver Regional nettleverandør Mobiltelefon Bank
Kjennetegn digitale verdikjeder Feil propagerer momentant og noen ganger på uforutsigbare måter. Tjenestene som inngår i verdikjedene spenner gjerne flere sektorer, og de er underlagt forskjellige lovverk og tilsynsregimer. For de som utvikler en tjeneste på toppen av slike verdikjeder er det svært utfordrende å skaffe seg oversikt over hvilke sårbarheter tjenesten er eksponert for lenger ned i verdikjeden. Enkelte tjenester befinner seg i bunnen av svært mange slike verdikjeder.
Ingen sektor kan kontrollere sin egen digitale sårbarhet alene alle arver sårbarheter fra andre sektorer. Få land kan kontrollere sin egen digitale sårbarhet alene de aller fleste arver sårbarheter fra andre land.
Alle de viktige samfunnsfunksjonene legges i EKOM-kurven Opprettholde finansiell stabilitet Opprettholde vannforsyning Opprettholde transportsystemer/matforsyning Opprettholde grunnleggende sikkerhet for lagret informasjon Ivareta nasjonal sikkerhet Ivareta styring og kriseledelse Opprettholde trygghet for liv og helse Opprettholde lov og orden Opprettholde grunnleggende personvern
Hva kan vi gjøre dersom vi ikke stoler 100% på de som leverer utstyret vårt?
Overordnede betraktninger Når en ukjent tredjepart er fienden, finnes det metoder som, når de er korrekt implementert, og feilfritt benyttet gjør det vanskelig og ressurskrevende å bryte seg inn i et system uten å bli oppdaget. Når utstyrsleverandøren er fienden vil ingen kjent mekanisme, selv når den er feilfritt benyttet, ha vesentlig effekt på vår evne til å motvirke og oppdage innbrudd. Leverandørheterogenitet i infrastrukturen og sterk krypering ende til ende fremstår som de eneste virkningsfulle grepene.
Sikkerhetsloven - høringsnotat Kongen i statsråd gis kompetanse til å nekte anskaffelse til norsk kritisk infrastruktur Varsling ved risiko for riktes selvstendighet og sikkerhet, og medfølgende fullmakt til Kongen i statsråd til å fatte vedtak.
Personvern er under teknologisk press
Personvern Hva vil være mulig om 20 år? Hva vil være kompromitterende om 20 år? Er det mulig tillate, og deretter forby innsamling, lagring og sammenstilling av store datamengder? Burde vi legge oss på en linje som er robust ved et regimeskifte? Nedkjølingseffekten hvor kraftig er den?
Digital grenseovervåkning/pst ønsker å bruke stordata Utvalget er av den oppfatning at inngripende metoder ikke bør innføres uten en forutgående offentlig debatt. Denne debatten bør forberedes gjennom en utredning som diskuterer forholdsmessigheten i tilleggsgevinstene i relasjon til hvor inngripende de er i forhold til personvern og menneskerettigheter
Behov for kandidater Behovet er stort Vekstplaner og behov i NSM, NKOM, FFI, PST, Difi, Kripos CERT-miljøer er under utbygging i sektorene FinansCERT, KraftCERT, HelseCERT, TeleCERT Stort udekket kompetansebehov på regionale nivåer Stor etterspørsel i privat sektor Behov for sikkerhetsklarerbart personnell Det er en stor underproduksjon av ekspertise på dette området. Hvor skal disse menneskene komme fra, og hvem skal utdanne dem? Er UoH sektoren på ballen her?
MEN KUNNE DET HA SKJEDD?
KOSTNAD
Hva skjera? Sikkerhetsloven Fase 1 fase 2 NIS direktivet Personvernsforordningen (erstatter Personvernsdirektivet).
Spørsmål?