Jeg får vel begynne med en disclaimer. Denne vurderingen av den nasjonale strategien for informasjonssikkerhet er min, ikke Forsvarets eller Cyberforsvarets. Jeg uttaler meg med andre ord som fagmann, ikke representant for
min arbeidsgiver.
http://www.regjeringen.no/upload/FAD/Vedlegg/IKT-politikk/Nasjonal_strategi_infosikkerhet.pdf
Det var på høy tid at vi fikk en nasjonal strategi. Man husker kanskje strategiforslaget som Nasjonal sikkerhetsmyndighet la frem i 2010, og som ble lagt bort etter høringsrunden. Den gang skrev jeg høringsbrevet fra Forsvarets Sikkerhetsavdeling(1), og sammen med en rekke andre høringsinstanser, var vi kritiske til forslaget.
Strategien som nå er gitt ut er koordinert mellom Justis- og beredskapsdepartementet, Forsvarsdepartementet, Samferdselsdepartementet og Fornyings-, administrasjons- og kirkedepartementet. Såvidt jeg vet er det sistnevnte departement som har ført det i pennen.
Vi har altså fått en strategi, men er det en god strategi? Fokuserer den på de riktige områdene, og har den tilstrekkelige ambisjoner og tydelige målbilder slik at vi faktisk kan få en positiv utvikling?
Innledningen er for alle praktiske formål gjentagelser og stadfesting av et etablert syn på dagens situasjon. Det vises til vår avhengighet til IKT, og jeg savner nok et kikk i krystallkulen. Ja, vi er alle enige om at vi er avhengige av IKT. Men hva om fem år? Ti? Femten? En strategi bør etter mitt syn se lengre frem, så få det heller være at tiltaksplanen har en kortere horisont. Som et minimum kunne man ha sett til regjeringens ambisjoner om digitalisering av kommunikasjon mellom innbyggerne, næringslivet og det offentlige(2).
Sikkerhetsutfordringene og trendene dekker et bredt område, og jeg synes at de områdene som er valgt ut er helt ok. Noe er kanskje overlappende som «Nye tjenesteplattformer og uoversiktelighet» og «Økt kompleksitet». Personlig savner jeg at strategien her tar opp behovet for fremskaffe og dele informasjon om trusselaktørene (etterretninger). Det er en trend blant sikkerhetsselskaper at slik informasjon tilbys, og det burde være et nasjonalt strategisk anliggende å legge bedre til rette for deling av slik informasjon.
Når det gjelder kapitelet om ansvarsdeling, er det som forventet. Det er kjent at sikkerhetsutfordringene i cyberspace utfordrer sektor- og ansvarsprinsippene, men jeg har ikke fanget opp noen reell vilje til å gjøre noe med dette. Jeg tror det er klokt å legge det overordnede ansvaret hos Justis- og beredskapsdepartementet (JD), fordi vi tross alt snakker om handlinger som trolig er kriminelle. Det er vanskelig for meg å se for meg håndtering av cyberhendelser, uten at det i stor grad involverer politiet. Det som imidlertid blir noe uklart er hvilken rolle NSM/NorCERT skal ha. De har per i dag en faglinje til JD, men det er Forsvarsdepartementet som har etatsstyringen. Strategien og tiltaksplanen bør være svært tydelig på hvilken organisering vi skal ha, slik at denne støtter opp under den faktiske ansvarsfordelingen. Å gi overordnede oppgaver til en virksomhet som ikke er gitt det overordnede ansvaret eller som har reell myndighet til å gripe inn virker ufornuftig.
Jeg savner også at strategien beskriver Forsvarets rolle og ansvar ved cyberhendelser som er så alvorlige at de kan true statssikkerheten. Eller som i det minste er i den øvre delen av krisespennet. Årets Crisis Management Exercise og Cyber Coalition øvelser i NATO viste med all tydelighet behovet for deployerbare og stridende cyberenheter. Disse er det bare Forsvaret som har.
Om de overordnede mål og strategiske prioriteringer:
1 Ivareta informasjonssikkerheten på en mer helhetlig og systematisk måte
Virker fornuftig. En må ha et styringssystem for informasjonssikkerhet. Det er imidlertid helt vesentlig at man velger riktig metode for risikovurderingene. Les hva jeg har skrevet om det tidligere: (3) og (4).
2 Styrke IKT-infrastrukturen
En fare her er at man går i retning av «sikkerhetsgodkjenning» av systemene. Dette vil føre til kraftig økte kostnader, økt tidsbruk i utviklings- og implementeringsfasen som igjen fører til at teknologien i større grad er utdatert når den tas i bruk. Glemte jeg å nevne at systemene heller ikke blir så sikre at cyberangrep blir umulig? Man viser til behovet for redundans, noe jeg heller ikke tror blir mulig fordi kostnadene vil øke. FFI forsker på Resilience, altså motstandsdyktighet, og det er et konsept som jeg tror har mer for seg enn å forsøke å kontruere «sikre» IKT-løsninger. Spesielt om en kombinerer dette med å konstruere forsvarbare IKT-løsninger. Se gjerne mitt whitepaper om arkitekturprinsipper for en forsvarbar infrastruktur her: (5)
3 Sørge for en felles tilnærming til informasjonssikkerhet i statsforvaltningen
Virker fornuftig, men delvis overlappende med første satsningsområde. Igjen er det fokus på å styrke beskyttelsen for IKT-løsningene, og lite om fokus på å fjerne trusselen.
4 Sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser
Det største mangelen her er at strategien ikke har som en helt tydelig prioritering at informasjon om truslene, som virksomhetene kunne ha brukt til å beskytte seg selv, skal deles i mye større grad enn det som er tilfellet i dag. Offentlige myndigheter, primært NorCERT men også sektor-CERTene, burde vært pålagt å dele denne informasjonen med både privat næringsliv og øvrige offentlige etater. Vi burde her ha sett til USA som har en slikt lovforslag nå.
Jeg synes forøvrig at punktet er utydelig når det gjelder håndteringsansvar for alvorlige dataangrep, og kriminalitet på internett. Er det virksomheten selv? NorCERT? Politiet? Forsvaret er heller ikke nevnt her, bortsett fra som en sektor på linje med alle andre sektorer.
5 Sikre samfunnets evne til å forebygge, avdekke og etterforske datakriminalitet
Dette glir sammen med forrige satsningsområde, og det er etter min mening ufornuftig å dele dette i to punkter. En kan bli fristet til å tro at det er gjort for å tekkes eksisterende organisering mer enn en oppdeling basert på reelle forskjeller.
6 Kontinuerlig innsats for bevisstgjøring og kompetanseheving
Virker fornuftig, om enn noe tamt i sin beskrivelse.
7 Høy kvalitet på nasjonal forskning og utvikling innenfor informasjons- og kommunikasjonssikkerhet
Dette er et viktig punkt, og det er synd at en legger seg på et så lavt ambisjonsnivå. Beskrivelsen bruker for mange dempere i språket (bør i stedet for skal). Forskning og utvikling er naturligvis aktiviteter som ser langt frem, og strategien burde etter mitt syn ha lagt til grunn noen ordentlig «hårete» ambisjoner. Hvor skal Norge vært best?
Avslutningsvis: Det er ingen overraskelse at ansvaret for gjennomføring legges til det enkelte departement og virksomhet. Heller ikke at tiltakene skal finansieres innen rammen av de økonomiske tildelingene.
Hovedinntrykket er at det er bra at vi har fått en strategi, men at den egentlig ikke er tydelig nok, eller går langt nok, i målbeskrivelsen. Sånn sett får jeg et inntrykk av at det mest handler om å konsolidere eksisterende strukturer, og at det sånn sett blir spiselig for de fleste. At vi kanskje ikke klarer å ta et sjumilssteg får så være, i det minste sitter alle stille i båten :)
(1) http://www.regjeringen.no/pages/2534053/Cybersikkerhet_svar-med-merknader_Forsvarets-sikkerhetstjeneste.pdf
(2) http://www.aftenposten.no/nyheter/Dropper-papirbrev_-alt-skal-bli-digitalt-6802539.html
(3) https://plus.google.com/111681706588280002123/posts/jSGMB4rAanh
(4) https://plus.google.com/111681706588280002123/posts/VnYBr5u2cvd
(5) https://plus.google.com/111681706588280002123/posts/bzdgbHsS8rN
Ingen kommentarer:
Legg inn en kommentar