CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL? Annette Tjaberg Assisterende direktør Nasjonal sikkerhetsmyndighet Oslo 14. november 2017 SLIDE 1
IKT-RISIKOBILDET SLIDE 2
DET DIGITALE ROM Fra frittstående maskiner og nettverk til lange kompliserte verdikjeder med gjensidige avhengigheter Nettverksenheter Kommunikasjonsinfrastruktur Lagringsmedier Data Norge er et av verdens mest digitaliserte land utviklingen i risiko- og sårbarhetsbildet kommet lengst her vanskeligere å se til hva de andre gjør, de andre ser ofte til Norge Internett har lagt til rette for verdiskaping, effektivisering, kunnskapsheving og økt kulturell utfoldelse Representerer samtidig en samfunnsmessig risiko fordi det kan utsettes for angrep
4 DIGITALE SÅRBARHETER ER NASJONALE SÅRBARHETER
ETTERRETNINGSTJENESTEN I 2017 «Truslane i det digitale rommet mot politiske, militære og økonomiske mål i Noreg er aukande. Vi kan forvente omfattande etterretningsoperasjonar mot Noreg i året som kjem.»
SITUASJONEN ANTALL ANGREP ØKER ALVORLIGE ANGREP BLIR MER KOMPLEKSE ANGRIPERE FINNER SVAKESTE LEDD I EN KJEDE
ALT KAN KJØPES PÅ INTERNETT
LOV OM NASJONAL SIKKERHET
DAGENS SIKKERHETSLOV Dagens «Lov om forebyggende sikkerhet», 1998/2001 Kodifisering og en viss modernisering av eldre instrukser og direktiver Detaljerte krav til sikring av informasjon og fysiske objekter Virkeområde: «Rikets sikkerhet og vitale nasjonale sikkerhetsinteresser» Fokus: hemmelighold (konfidensialitet) Situasjonsbildet innenfor sikkerhetsområdet er markant endret siden 2001 Utviklingen knytter statssikkerhet tett sammen med samfunnssikkerhet Krever en helt annen tilnærming til lovreguleringen av det nasjonale sikkerhetsarbeidet SLIDE 9
NY LOV OM NASJONAL SIKKERHET (1) Forslag til ny lov om nasjonal sikkerhet lagt frem for Stortinget i juni 2017 Legges opp til en dynamisk og fleksibel rammelov Skal bidra til å styrke samhandlingen mellom myndigheter og virksomheter Skal sikre at tiltak gjennomføres i samsvar med grunnleggende rettsprinsipper, demokratiske verdier og godt personvern Nasjonal sikkerhetsmyndighet skal ha det sektorovergripende ansvaret for å følge opp at forebyggende sikkerhetsarbeid i virksomhetene skjer i samsvar med loven. Skal tre i kraft 1. januar 2019 SLIDE 10
NY LOV OM NASJONAL SIKKERHET (2) Utvidet virkeområde «grunnleggende nasjonale funksjoner» Funksjonelle krav «forsvarlig sikkerhetsnivå» som rettslig standard Beskyttelse av informasjonssystemer sikkerhetsgraderte og andre viktige systemer Beskyttelse av systemer objekter og infrastruktur Personellsikkerhet i et mangfoldig samfunn sikre lojalitet og ivareta personvern Eierskapskontroll en nødbrems for å sikre nasjonal kontroll med strategisk viktige selskaper SLIDE 11
BALANSEN MELLOM LOVKRAV OG GODE ANBEFALINGER Lovkrav er hensiktsmessig der man skal sikre informasjon og infrastruktur som angår statssikkerheten Ut over dette bør sikringstiltakene ta utgangspunkt i best practice og anerkjente industristandarder I bunnen: gode verdi- og risikovurderinger du må vitre hva du har og hva du skal beskytte
ANBEFALINGER OG RAMMEVERK FOR IKT-SIKKERHET NSM har utarbeidet to dokumenter med anbefalinger innenfor IKT-sikkerhet: NSMs grunnprinsipper for IKT-sikkerhet ISO/IEC 27002:2017 Legges til grunn for arbeidet med forskrifter og veiledninger til sikkerhetsloven Anbefales brukt av andre regelverksforvaltere og av eiere av IKT-systemer Versjon 1.0 tatt frem i dialog med myndigheter og viktige systemeiere Utgitt i september 2017 Rammeverk for digital hendelseshåndtering Forventninger og oppgaver for virksomheter, sektorer og nasjonalt nivå under cyberhendelser Versjon 1.0 forventes utgitt av JD om kort tid SLIDE 13
GRUNNPRINSIPPER FOR IKT-SIKKERHET SLIDE 14
RAMMEVERK FOR DIGITAL HENDELSESHÅNDTERING Målrettet utnyttelse av samfunnets samlede ressurser i håndteringen av alvorlige cyberhendelser Se cyberhendelser i sammenheng med andre hendelser (hybride trusler) Forventninger til virksomheter, sektorer og nasjonalt nivå Deteksjon, varsling, analyse og rapportering Nødvendig informasjonsflyt SLIDE 15
HVA SKJER VIDERE? Oppfølgingen av Meld. St. 38 (2016 2017) om IKTsikkerhet: Nytt IKT-sikkerhetsutvalg: Utvalget skal vurdere hvorvidt det eksisterende regelverket på IKT-sikkerhetsområdet er godt nok, og om dette ivaretar de nye digitale samfunnsutfordringene. Utvalget skal også vurdere organisatoriske spørsmål og andre virkemidler enn de rent rettslige for å styrke IKT-sikkerheten. Utvalget skal eventuelt også foreslå konkrete rettslige og organisatoriske endringer på IKT-sikkerhetsområdet. En ny IKT-sikkerhetslov skal supplere Lov om nasjonal sikkerhet Nasjonal strategi for IKT-sikkerhet Skal revideres Forbedring av kvaliteten på IKT-tilsyn NSM etablerer en felles arena for informasjonsutveksling og kompetanseoverføring om IKT-tilsyn NSM skal vurdere etablering av en sentral kapasitet som kan benyttes av myndighetene ifm. IKT-tilsyn SLIDE 16
NSM Takk for oppmerksomheten! SLIDE 17