onsdag 27. november 2013

FFI Forum - Cybermakt

Jeg prøver å holde tungen rett i munnen når jeg skriver denne bloggen fordi jeg ikke er ansatt i Cyberforsvaret til å uttale meg på vegne av organinasjonen. Noen ganger kan det være vanskelig å trekke en klar grense for når jeg uttaler meg som fagperson, og når jeg taler arbeidsgivers sak. Dette er en av de gangene.

Cyberforsvaret har bestillt "Cybermakt-studien" fra FFI, og jeg var sendt til FFI Forum 26 november for å gi Cyberforsvarets kommentarer til FFIs presentasjon av studien. Interessen for FFI Forum var stor denne gangen, med ca 120 påmeldte. I salen var også media, men jeg har ikke sett saken gjengitt i avisene.

(Foto: FFI)

FFI har lagt ut en sak om presentasjonen her:

Hva cybermakt kan bety

Den første Cybermakt-rapporten er gradert, så jeg vil ikke gå inn i detaljene i denne. Det vi fikk presentert fra FFI var en slags oppsummering av hvilke egenskaper cyberdomenet har, og hva dette betyr for militær maktanvendelse i dette domenet. Cyberforsvaret har støttet inneholdet i rapporten, og mener at det er svært viktig med en grundig forskningbase for doktrineutvikling og utvikling av militære kapabiliteter.
Som jeg sa under FFI Forum så tror vi at utviklingen i både cyberdomenet og måten vi tenker rundt militærmakt i domenet vil endre seg. Trolig mer enn vi er i stand til å forutse nå. Det er vanlig å sammenligne cyberdomenets rolle nå, med slik luftdomenets rolle var for 100 år siden. Den gang var det ingen som kunne forutse hvordan luftmakt anno 2013 ville fortone seg. Det er ikke urimelig å mene at f.eks. politiske eller teknologiske endringer kan få betydning for bruk av militærmakt i dette domenet.

Jeg har lyst til å kommentere noen påstander fra presentasjonen. Under overskriften "Hva er Forsvarets rolle?" ble det hevdet at Forsvaret i liten grad kunne rykke ut for å overta drifts-oppgavene til aktørene som eier og drifter nasjonal kritisk infrastruktur. Dette er selvfølgelig helt riktig, og det er heller ingen som har påstått av Forsvaret kan eller vil gjøre det. I andre land vurderer man "cyber-reservister", personell som i en nasjonal krisesituasjon underlegges militær ledelse, men  som fortsetter i den jobben de har. f.eks. som driftsansvarlig eller sikkerhetsekspert i en eier av kritisk infrastruktur. Anders Werp fra Høyre nevnte dette som en mulighet også her, uten at det er tatt noen beslutning på dette.

FFI satte det på spissen og mente at vi ikke kan sammenligne den bistand som Forsvaret gir på andre områder, med den bistand som Forsvaret kan gi i cyber-kriser. "Et helikopter er et helikopter, og flyr personell eller materiell fra A til B. Cyberkapabiliteter er mer spesialiserte". Om analogien er god eller ikke kan sikkert diskuteres, alle helikoptere kan ikke nødvendigvis brukes til alle formål. Og slik er det jo med cyberkapabiliteter også. Forsvarets kapabiliteter er dimensjonert og tilpasset Forsvarets behov, og de skal primært brukes til å beskytte Forsvarets egne datanettverk og informasjonssystemer mot cyberangrep (vi kaller det helst cyberhendelser.. et angrep er noe langt mer alvorlig i vår terminologi).

Men; I en nasjonal krise er det mulig for sivile myndigheter å bruke disse kapabilitetene. Kapabilitetene er mobile, og kan brukes over hele landet. Det er åpenbart både tekniske og andre begrensninger for når og hvor de kan settes inn, men det vil i så fall være en vurdering i den situasjonen man er i.

Såvidt jeg vet er det kun Forsvaret som har slike kapabiliteter i Norge. Vi vet at andre nasjoner ikke har slike kapabiliteter, og NATO har først nylig etablert en tilsvarende evne. Men fungerer det? Her er noen av de erfaringene jeg har gjort meg gjennom de siste ti årene:


  • De har vært brukt med stor suksess i Forsvarets egne nettverk i både inn og utland
  • De har vært brukt med stor suksess i sivile aktørers nettverk under øvelser
  • Konseptet med mobile kapasiteter ble f.eks. brukt under øvelse Locked Shields 2012, hvor cyber defence laget som vant satte inn medbrakt utstyr som satte dem i stand til å håndtere situasjonen. Dette var utstyr som ble satt inn i et nettverk som var ukjent for dem inntil like før øvelsen startet. 
  • Det krever mye øving og trening for å mestre dette, og trolig også for å forstå muligheter, begrensninger og betydningen av å være i stand til å gjøre dette.
I tillegg til slike cyber defence kapabiliteter, har Forsvaret også (selvfølgelig) kapabiliteter for å etablere, forlenge, forsterke og endre "cyberspace" iht. våre operative behov. 


NSM har i sin blogg fokusert på begrensningene for slike kapabiliteter, og det synes jeg er synd ettersom de som koordineringsansvarlig for alvorlige cyberangrep burde ha satt seg mer inn i hvilke muligheter Forsvarets kapabiliteter kan gi. Jeg synes også det er litt rart, siden NSM også har vært med Forsvaret på øvelser både nasjonalt og i NATO, og selv observert disse i bruk.

NSM sitt blogginnlegg er her:
Lite sannsynlig med cyberkrig og -terror

I forkant av konferansen ble jeg bedt om å svare på noen spørsmål som kunne komme opp i paneldebatten. Disse ble ikke tatt opp spesifikt, men jeg deler dem gjerne her:

Hva er den største utfordringen i cyberdomenet?
Håndteringsevnen for alvorlige og sektorovergripende hendelser. Det er uavklarte spørsmål i grensegangen mellom håndtering av samfunnssikkerhet og statssikkerhet. Hvor alvorlig skal en hendelse være for at Forsvaret skal overta håndteringen, eller støtte sivil sektor i håndteringen? Vi mangler en nasjonal strategi som adresserer dette.
Sektorprinsippet vs prinsippet om samhandling. Her har vi ikke kommet spesielt langt.

Hvordan kan og bør Forsvaret bistå cybersikkerheten i det sivile samfunnet under kriser? 
Forsvaret har kapabiliteter som kan settes inn for å støtte sivile myndigheter under kriser. Forutsetter da at det er snakk om normal bistand. Dette kan være cyber defence kapabiliteter hvor vi kan deployere personell og utstyr som kan bistå i håndtering av slike hendelser, eller det kan være andre mobile ressurser som kan brukes til å etablere, tilpasse og utvide cyberdomenet i en slik situasjon.
For statssikkerhetstruende hendelser, må Forsvaret være i stand til å overta ledelsen av håndteringen av slike cyberkriser.

Kan Norge alene løse kompetansemangelen rundt cybersikkerhet?
Vi ser en satsning på forskning innen dette feltet, der flere av de store aktørene for eksempel støtter forskningssenteret på Gjøvik. NORSIS har i mange år gjort en god jobb med å heve den generelle forståelsen, og det er flere utdanningsløp spesifikt for informasjonssikkerhet. I Forsvaret har sin Forsvarets ingeniørhøgskole, som utdanner ingeniører og ledere i hele bredden av defensive cyberoperasjoner. Personell som er utdannet ved FIH er svært ettertraktet i sivil sektor, og styrker en rekke leverandører av sikkerhetstjenester og "CERT-funksjoner" i en rekke virksomheter.

En kan nok hevde at vi ikke utdanner tilstrekkelig til å møte behovene, men en kan samtidig spørre om vi er organisert på den mest hensiktsmessige måten. Å etablere en enhet som har evne til å håndtere alvorlige cyberangrep mot virksomheten er svært ressurskrevende. Dersom alle virksomheter skal ha sine egne håndteringsenheter, er vi ikke i nærheten av å utdanne nok personell av denne typen.

Avslutningsvis vil jeg si at Anders Werp nevnte at regjeringen har som intensjon å styrke justissektoren med tanke på å kunne håndtere alvorlige cyberangrep/kriminalitet. For meg virker det fornuftig, og det er i så fall en videreføring av det som ble påbegynt i den nasjonale strategien for informasjonssikkerhet som vi fikk for et år siden. Les mine kommentarer fra den gang her:

5 kommentarer:

  1. Hei Bjarte, takk for denne kommentaren og innlegget! Jeg trodde jeg stort sett refererte til hva som var hovedkonklusjonene til Sverre Diesen og Ronny Windvik i dette prosjektet, som var nye for meg, men ser at du tolker det annerledes. Uansett et veldig interessant innlegg med masse info. Jeg har lenket det opp også høyere i teksten hos oss. Kjetil Berg Veire, NSM

    SvarSlett
  2. Hei Kjetil
    Det setter jeg pris på.

    SvarSlett
  3. Hei, og takk for en god blogg!

    Ja, jeg satt det nok litt på spissen under FFI-forum. Det var ikke meningen bombastisk å påstå at Forsvaret ikke har eller vil få kapasiteter til å bistå sivil kritisk infrastruktur i kriser. Blant annet peker du på en rekke gode eksempler på bidrag. Mitt poeng var at cyberkapasiteter til forskjell fra fysiske kapasiteter generelt er mindre generiske, og derfor i mye større grad må tilpasses. Utfordringen blir da å identifisere de cyberkapasitetene som kan anvendes/gjenbrukes i «sivile nett», uten at bruken i sivile nett skal være førende for hvordan Forsvaret bygger opp disse.

    Når det gjelder cyberreservister kan en modell være at nøkkelpersonell (systemadministratorer, datasikkerhetsledere, dataovervåkningspersonell og ledere) hos den som leverer kritisk infrastruktur, får tilbud om å bli innrullert i cyberreserven. Det er disse som best kjenner IKT-systemene og som på forhånd bør ha øvd/trent sammen med Forsvaret på å håndtere kriser. De vet da hvilke støtte og kompetanse Forsvaret kan bidra med, gjøre vurderinger rundt dette og samarbeide med Forsvaret om å løse cyberhendelsen. Utfordringen her blir når Forsvaret skal kobles inn. Skal det først være når alle sivile og kommersielle ressurser er oppbrukt? I cyberdomenet skjer ting svært raskt og man har kanskje ikke tid til å vente særlig lenge på støtte.

    Ronny Windvik, FFI

    SvarSlett
    Svar
    1. Jeg er enig i det du skriver. Når det gjelder det aller siste, at ting skjer svært raskt, så er jeg delt i det synet. En hendelse kan skje raskt, det er vel alle enige om. Imidlertid kan det være snakk om én hendelse i en serie av mange. Det kan være snakk om en kampanje som pågår over lang tid. Da er det ikke sikkert at håndteringen skal skje like "raskt" som det den enkelte hendelsen gjorde.

      Du nevnte jo selv at det kan være et mål i seg selv å bygge opp et narrativ, og da tenker jeg at en gjerne skal bruke den tiden som er nødvendig for å bygge opp et riktig situasjonsbilde og til å skaffe seg den informasjonen en trenger. Om det er helt sammenlignbart er jeg ikke sikker på, men politiet tenker vel ofte slik. Man følger personer eller miljøer over tid, skaffer seg oversikt, samler bevis, og slår til når "narrativet" er godt nok. Jeg mener at denne tankegangen i høyeste grad kan, og bør, overføres til cyberdomenet.

      Slett
  4. Enig, men "kan skje" raskt. Har sansen for strategisk kommunikasjon og det å bygge opp et narrativ. :-)

    SvarSlett