Stortingets Justiskomite Stortinget 0026 Oslo Oslo, 10.januar,2018 Høringsinnspill fra Abelia: Meld. St. 38 IKT-sikkerhet - et felles ansvar Abelia er NHOs landsforening for kunnskaps- og teknologibedrifter, og organiserer mer enn 2.100 virksomheter med over 49.000 årsverk. Vår visjon er "Drivkraft for kunnskapssamfunnet". Abelia viser til anmodning om høring til komiteen, og vedlegger her vårt skriftlige innspill. Innledning Digitalisering gir oss en mer effektiv offentlig sektor, et mer konkurransedyktig næringsliv, høyere produktivitet og en raskere omstillingsdyktig befolkning. Men digitalisering gjør oss også mer sårbare. Det er derfor positivt at Regjeringen i juni fjor la fram den første stortingsmeldingen som utelukkende omhandler IKT-sikkerhet; Meld.St.38 "IKT-sikkerhet - et felles ansvar". På et overordnet plan handler IKT-sikkerhet om å kunne beskytte den enkelte borger og nasjonen som helhet mot digitale sårbarheter og angrep. Abelia har gjennom flere år påpekt at både myndigheter og privat næringsliv må ta det digitale trusselbildet innover seg i større grad. Det er derfor prisverdig at både regjering og storting de senere årene har satt langt sterkere fokus på IKT-sikkerhet. Det har blant annet kommet flere rapporter som omhandler IKT-sikkerhet for eksempel NOU 2015:13 "Digital sårbarhet sikkert samfunn" også omtalt som Lysneutvalget, og Meld.St 10 (2016-2017) "Risiko i et trygt samfunn". IKT-sikkerhetsmessig var 2017 et ekstraordinært år. Vi hadde angrep som Wannacry med et historisk skadeomfang. Løsepengevirus og epost som angrepsmetode har ifølge NSM hatt et økende omfang 1 og stadig mer komplekse verdikjeder kan gjøre det mer utfordrende for virksomheter å ha nødvendig kontroll over sikkerheten. Året ble avsluttet med et sjeldent varsko fra norske sikkerhets- og etterretningstjenester der disse ga utrykk for at mangelen på kryptologer gjør det vanskelig å ivareta nasjonens statshemmeligheter. 2 Abelia mener Meld. St. 38 "IKT-Sikkerhet et felles ansvar" gir en god oversikt over dagens situasjonsbilde og hvilke tiltak som planlegges eller er satt i verk. Abelia slutter seg til store deler av stortingsmeldingen om IKT-sikkerhet og vil i dette høringsinnspillet belyse områder som bør forsterkes ytterligere eller som ikke er berørt. Disse utdypes under. Kortfattet ber Abelia Stortinget om at: IKT-sikkerhet blir obligatorisk fag på bachelorstudier for IKT Kapasiteten på masterutdanning innen IKT-sikkerhet økes 1 https://www.nsm.stat.no/globalassets/helhetlig_ikt-risikobilde_2017_orig_low.pdf 2 https://www.dn.no/magasinet/2017/12/01/1603/teknologi/norge-kan-snart-ikke-vokte-statshemmeligheterlenger
Det etableres en langsiktig plan for å bygge opp og vedlikeholde forskningskapasitet Det opprettes 1000 studieplasser for IKT i året over en fire års periode, en del av disse plassene bør øremerkes IKT-sikkerhet. Etablere en ordning med KompetanseFunn etter modell av SkatteFunn for å insentivere bedrifter til å investere i kompetanse hos allerede ansatte, deriblant i IKT-sikkerhet Behovet for en folkeopplysningskampanje som har som målsetting å bedre IKTsikkerhetskulturen i Norge drøftes. Det etableres et nasjonalt cybersikkerhetssenter under politiet som gir politiet ansvaret, verktøyene og ressursene for å arbeide mot kriminalitet i cyberspace på samme måte som det håndterer kriminalitet i den fysiske verden Det opprettes et felles nasjonalt situasjonsrom for angrep på nasjonal kritisk infrastruktur slik at angrep kan håndteres samlet og ut fra en felles situasjonsforståelse. Kompetansemangel er en sikkerhetstrussel Lysneutvalget påpekte i sin rapport at mangel på sikkerhetskompetanse har vært tatt opp av en rekke utvalg tidligere, inkludert Sårbarhetsutvalget i 2000. Abelia har tidligere omtalt kompetansemangelen innen IKT generelt og IKT-sikkerhet spesielt, som en varslet krise 3 Dersom vi ønsker å redusere den digitale sårbarheten i Norge er det svært viktig å begynne med et omfattende kompetanseløft. Vi trenger IKT-sikkerhetskompetanse i absolutt hele læringsløpet. Abelia stiller seg bak forslagene til tiltak i stortingsmeldingen og ser særlig fram til den varslede kompetansestrategien for IKT-sikkerhet som også skal vektlegge behovet for forskning. Flere av de foreslåtte tiltakene i Lysneutvalgets rapport burde imidlertid vært tatt med i stortingsmeldingen, deriblant forslagene om å gjøre IKT-sikkerhet til obligatorisk fag på bachelorstudier for IKT, øke kapasiteten på masterutdanning innen IKT-sikkerhet og etablere en langsiktig plan for å bygge opp og vedlikeholde forskningskapasitet på området. Den manglende IKT-kompetansen generelt og IT-sikkerhetskompetansen spesielt, svekker justissektoren, den svekker den almene tilliten til vår rettsoppfatning og den gjør oss som nasjon mer sårbare. Abelia ser at fokuset på ikt-sikkerhet fra både regjering og storting har tiltatt de par siste årene. Det er blant annet kommet flere studieplasser for IKT-sikkerhet på CCIS på Gjøvik, flere IKT-studieplasser generelt og flere rekrutteringsstillinger. Dette er svært positivt, men er etter Abelias mening ikke nok. I stortingsmeldingen omtales en undersøkelse fra NIFU skrevet på oppdrag for Justis- og beredskapsdepartementet. Her framskrives tilbuds- og etterspørselssiden til år 2030 med en mangel på vel 4.000 personer med IKT-sikkerhetskompetanse. Abelia mener det bør opprettes 1000 studieplasser for IKT i året over en fire års periode og at en del av disse plassene bør øremerkes IKTsikkerhet for å i større grad etterkomme etterspørselen etter kompetanse i markedet. Kompetanseheving av allerede ansatte Det siste året har det vært flere saker hvor uvedkommende har hatt tilgang til sensitive data om nordmenn og norske selskaper gjennom IKT-kontrakter hos blant annet Helse Sør-Øst og Direktoratet for nødkommunikasjon. Det er alvorlig hvis det på bakgrunn av disse sakene utvikler seg en ubegrunnet frykt for å kjøpe tjenester fra det private markedet eller tjenesteutsetting i offentlig sektor generelt. Mangel på kunnskap om IKT-sikkerhet kan medføre at beslutningstakere vegrer seg 3 https://www.abelia.no/bransjer/ikt/sikkerhet/nyheter/en-tikkende-ikt-bombe/ 2
for å ta i bruk nettsky, frykter samarbeid med internasjonale selskaper, eller utsetter innovative løsninger fordi "noe uforutsett kan skje". En slik frykt vil hemme og forsinke den digitaliserings- og effektiviseringstakten det er behov for i offentlig sektor. Løsningen på utfordringen med utkontraktering av IKT-prosjekter er ikke å stille krav til at selskaper og ansatte skal være norske, holde utenlandske aktører ute og drive all utvikling i offentlig regi. Svaret må være å sørge for at prosjektene blir sikrere. Det skjer blant annet når det offentlige opptrer som gode bestillere og gjør nødvendige risikoanalyser hvilket krever kompetanse utover dagens nivå. Abelia merker seg at hovedtrekkene i ehelsedirektoratets rapport om tjenesteutsetting er i tråd med disse synspunktene. 4 Utfordringene rundt tjenesteutsetting viser at det eksisterer et behov for å heve IKTsikkerhetskompetansen hos allerede ansatte. Abelia støtter oppfordringen i Stortingsmeldingen (Kap 8.5) om at arbeidsgivere i både privat og offentlig sektor må prioritere etter- og videreutdanning av medarbeidere for å heve IKT-sikkerhetskompetanse. I privat sektor mener vi at en ordning med KompetanseFunn etter modell av SkatteFunn vil være en god insentivordning for å motivere bedrifter til å satse på nødvending kompetanseheving blant annet innen IKT-sikkerhet. Generell kompetanse Mange hendelser og angrep kunne vært forhindret ved at hver enkelt av oss oppdaterer de ulike enhetene våre og er flinkere til å lage og skjule passord. Når dette gjøres i for liten grad, kan det skyldes at vi ikke forstår at handlingene til hvert enkelt individ kan beskytte oss kollektivt. Mørketallsundersøkelsen viser at manglende sikkerhetsbevissthet og kompetanse var medvirkende årsak til at 47 prosent av virksomhetenes mest alvorlige hendelser oppsto. 5 De fleste av oss har forstått gevinsten av vaksineprogrammer, men vi er fortsatt et stykke unna samme bevissthet rundt IKT-sikkerhet. Abelia har derfor tatt til orde for en folkeopplysningskampanje som har som målsetting å bedre IKT-sikkerhetskulturen generelt i Norge. Bevissthet rundt sisteledds-sikkerhet I kapitel 6 drøftes virksomhetenes egenevne til informasjonssikring. Et tema som burde løftes ytterligere frem i den sammenheng er kompetanse og bevissthet rundt sisteledds-sikkerhet. Informasjonssikring i alle ledd er nødvendig. Lav bestillerkompetanse når for eksempel avhending av databærende aktiva skal tjenesteutsettes medfører en stor risiko for at informasjon kommer på avveie. Sikkerhetsloven m/forskrifter sier noe om krav til behandling og sikker sletting av informasjon, men dette gjelder gradert informasjon. Når det gjelder virksomheter som ikke er underlagt Sikkerhetsloven, er kompetansen og forståelsen høyst varierende, selv om også disse er underlagt både lovgivning som forutsetter at data er slettet, og andre behov for å ivareta egne både materielle og immaterielle verdier. Sikkerheten er aldri bedre enn det svakeste ledd. Håndtering av digitale angrep I stortingsmeldingens kapitel 20 gjennomgås Lysneutvalgets forslag til håndtering av digitale angrep. Abelia mener at flere av utvalgets forslag burde vært fulgt opp i stortingsmeldingen. For å illustrere behovet kan to undersøkelser nevnes. Den store kriminalitets- og sikkerhetsundersøkelsen i næringslivet viser i år at norske selskaper har mistillit til politiets innsats og evne til å håndtere kriminalitet 6. Hvert tiende norske selskap anmelder ikke kriminalitet fordi 69 prosent av selskapene 4 https://www.nrk.no/norge/e-helse_- det-er-fritt-frem-for-utflagging-av-it-i-helse-norge-1.13802322 5 https://www.nsr-org.no/moerketall/ 6 https://www.nsr-org.no/getfile.php/dokumenter/nsr%20publikasjoner/krisino/krisino%20rapport%202017_5_final.pdf 3
på forhånd tror sakene blir henlagt. Hvert femte selskap sier rett ut at de ikke anmelder på grunn av «manglende tillit til politiets kompetanse». Dette gjør ikke kun at kriminelle får unødvendig stort spillerom, men at politiet ikke får dannet seg et totalbilde av kriminalitetskomplekset. Selv om disse tallene gjelder kriminalitet generelt vet vi fra Mørketallsundesøkelsen i 2016 7 at bildet er nokså likt for datainnbrudd og uønskede hendelser. Over en fjerdedel av norske virksomheter opplevde uønskede sikkerhetshendelser i løpet av 2016.. Virksomhetene forteller at hendelsene fører til produktivitetstap i 4 av 10 tilfeller (i form av tapte arbeidstimer). Kun 9% av virksomhetene som utsettes for angrep tar saken videre til politiet. Det tilsier at det skjuler seg betydelige mørketall, og for kriminelle nettverk er denne typen angrep mot norske virksomheter i praksis straffefrie. Det er Abelias inntrykk at det er uklart for mange av våre medlemsbedrifter hvor de skal henvende seg, hvem som har det overordnede ansvaret og hvor de kan få hjelp ved eventuelle hendelser. Undersøkelsene nevnt over kan tolkes som et utrykk for slik usikkerhet. Lysneutvalget påpeker at ansvarsfordelingen mellom etater og departementer i offentlig sektor er omfattende og kompleks. For privat sektor fortoner det seg uoversiktlig hvem som har hvilke roller og ansvar, hva slags informasjon som kan deles, og hvilke verktøy som skal tas i bruk for utveksling av informasjon. Dette er en lite tilfredsstillende situasjon for dem som opplever at de er i en krise. Abelia støttet Lysneutvalgets mindretall som foreslo å etablere et nasjonalt cybersikkerhetssenter under politiet som et felles kontaktpunkt til hjelp ved hendelser. Abelia kan ikke se hvorfor håndteringen av angrep i det digitale rom skal følge andre rutiner for roller og ansvar enn ved angrep på fysiske verdier. Eller som Telenor sier det så treffende i sin rapport Digital Sikkerhet 2017 8 : ".politiet bør bli gitt ansvaret, verktøyene og ressursene som skal til for å arbeide mot kriminalitet i cyberspace fra a til å, på samme måte som de håndterer kriminalitet i den fysiske verden. Det betyr å gi politiet et helhetlig ansvar for alt fra forebygging, håndtering og etterforskning av cyberkriminalitet. I flere år har behovet for et «nasjonalt cyber crime center» i politiet et såkalt NC3 vært etterspurt. Det har ikke blitt realisert ennå". Angrep på nasjonal kritisk infrastruktur Telenor påpeker i sin rapport at det ved angrep på kritisk nasjonal infrastruktur er uklart hvem som har det totale overordnede ansvaret for IKT-sikkerhet. Det er ingen enkelt myndighetsaktør som har ansvaret for og leder hendelser i cyberspace i dag etter Telenors mening. Trusselaktører som ønsker å sette nasjonale samfunnsfunksjoner ut av spill angriper ikke i henhold til sektorprinsippet, da bør heller ikke vår evne til å svare kun være basert på dette prinsippet. Samfunnets avhengighet av IKT gjør det nødvendig med samarbeid på tvers av landegrenser, mellom offentlige og private aktører og mellom sivile og militære. Abelia mener i likhet med Telenor at det bør opprettes et felles nasjonalt situasjonsrom for angrep på nasjonal kritisk infrastruktur slik at angrep kan håndteres samlet og ut fra en felles situasjonsforståelse. Med vennlig hilsen, 7 https://www.nsr-org.no/getfile.php/bilder/m%c3%b8rketallsunders%c3%b8kelsen/morketallsundersokelsen_2016.pdf 8 https://www.telenor.no/om/digital-sikkerhet/ 4
5