Regjeringen har altså sendt ut på høring endringer til sikkerhetsloven (Lov om forebyggende sikkerhetstjeneste). Høringsfristen er satt til 20. august 2015.
Til min store glede ser jeg at den skal inneholde bestemmelser om sikkerhetsmessig overvåking. Enhver virksomhet som vil beskytte seg mot digitale trusler må ha en eller annen form for overvåking. Det er kun slik at vi kan oppdage om de forebyggende tiltakene virker, og om noen har klart å komme seg forbi sikkerhetstiltakene.
Begreper
Det hele begynner litt dårlig idet de blander sammen "trussel" og "våpen". Dette er ikke så vanskelig. En trussel er den person/gruppe/stat som vil deg vondt. Ondsinnet kode er et "våpen", eller "verktøy" om du vil, som de bruker for å oppnå det de vil. Det er forferdelig mye rot med begrepsbruken innenfor dette, så slike tabber bør man ikke gjøre.
Lovhjemmel
Jeg synes at tanken om å lage en lovhjemmel for sikkerhetsmessig overvåking av IKT-systemer er god, men jeg synes det er en dårlig idé at det skal skje i sikkerhetsloven. Sikkerhetsloven omfatter selvfølgelig ikke alle IKT-systemer i norske virksomheter, så en kan jo havne i en situasjon hvor en (liten) andel av en virksomhet sine systemer har en slik lovhjemmel, mens de andre ikke har det. Det kan fort skape en situasjon som gjør det vanskelig for en virksomhet å gjøre dette riktig, dersom et dataangrep spenner flere ulike systemer. For Forsvaret, som jeg kjenner godt, vil det være en utfordring.
Jeg synes det er interessant å se at de mener at arbeidsgivers kontrolltiltak er en tilstrekkelig lovhjemmel (så lenge det skjer i overenskomst med arbeidsmiljøloven og personopplysningsloven). Andre jurister har nemlig hevdet at arbeidsgivers rett til å kontrollere virksomheten IKKE er en lovhjemmel slik høringsforslaget sier. Det er derimot en sedvanerett. For å skaffe seg nødvendig lovhjemmel har disse andre juristene derfor vurdert at det må inngås en avtale mellom eier av datasystemet og den som bruker det. Med andre ord: Et informert samtykke.
Hvem som har rett vet jeg ikke. Jeg er ikke jurist. Om det er tilstrekkelig med arbeidsgivers rett til å kontrollere sin virksomhet, så blir det i så fall mye enklere for virksomhetene å drive med sikkerhetsmessig overvåking.
Sikkerhetsovervåking og automatiserte prosesser
Men så rakner det litt. Departementet utdyper hva de mener om sikkerhetsmessig overvåking, og skriver
Departementet presiserer at slik overvåking ikke må utføres av personell. Det bør tilstrebes at overvåkingen skjer ved hjelp av automatiserte prosesser.
Stopp litt og tenk gjennom hvordan sikkerhetsmessig overvåking faktisk skjer.
En har store mengder logg-data fra en enheter og systemer, en har systemer som er laget for overvåkingsformål, og en har analytikere med kunnskap og en verktøykasse.
Når en hendelse "overvåkes" så begynner det gjerne med at en analytiker ser noe og tenker "hmmmm". Så henter han data fra en rekke logg-kilder. Der finner han noe som gjør at han starter en pakkedump av en spesiell type nettverkstrafikk. Analysene av datatrafikken gjør at han henter noen filer fra en klient. Malware analyse gjør at han endrer på pakke-dump filteret for trusselen er ute etter noen helt spesielle filer. Han sjekker flere logger. Reverse-engineerer mer ondsinnet kode. Scanner for sårbarheter i nettet sitt, lager en kode-snutt som ser etter en spesiell fil i nettverkstrafikk og på serverne.
Dette er et tenkt, men helt realistisk, eksempel. Det som er felles for enhver analyse av sikkerhetshendelser er å finne ut fakta om hva som har skjedd. Skadene skal begrenses, og en vil jo gjerne unngå at dette skjer igjen. Noen ganger har en ansatt brutt betingelsene for bruken av systemet, og han kan være en del av årsaksbildet. Kanskje det må opplæringstiltak til, eller kanskje en disiplinæroppfølging. Dersom det er en kriminell handling utført av noen utenfor virksomheten, bør saken anmeldes til politiet. Alt dette krever at vi vet hva som faktisk har skjedd, og at vi har et informasjonsgrunnlag som er godt nok til å ta beslutninger på.
Ingen automatiserte prosesser er gode nok!!
Det er en alvorlig svakhet, og en betydelig fare for den enkeltes rettssikkerhet dersom det ikke er mennesker som samler inn og vurderer informasjonen. En automatisert prosess ser som regel kun en liten del av et hendelsesforløp, og jeg kan lett se for meg at en kan trekke feile slutninger på bakgrunn av det. Konsekvensene er at vi ikke egentlig vet hva som har skjedd, eller hvorfor, og at vi ikke klarer å begrense skadene eller forhindre at det skjer igjen. Enda verre er det at de automatiserte prosessene kan komme til å kaste mistanke mot personer som faktisk ikke har gjort noe galt.
For å sikre den best mulige håndtering av sikkerhetshendelsen, og for å ivareta den enkeltes rettssikkerhet best mulig, bør loven faktisk kreve at overvåking skal skje av personell. Det bør videre stilles krav til kompetanse for personellet og til måten de skal utføre overvåkingen. Departementet beskriver noen slike krav, og det er bra. Hvis de endrer §13a første ledd, og kutter ut "fortrinnsvis ved bruk av automatisert systemovervåking", så blir det mye bedre.
Avanserte utholdende trusler?
APT, Advanced Persistant Threats (APT) er et begrep som har vært brukt av sikkerhetsindustrien de senere år. Det har blitt en slags fellesbetegnelse på "kriminelle og nasjoner som har noe å fare med", eller trusler som gjennomfører "målrettede angrep". For en nasjons kritiske infrastruktur (som Sikkerhetsloven primært er til for) så er vel alle relevante trusler både avanserte og utholdende. En annen nasjons etterretningstjeneste eller militære styrker vil jo alltid være slik. Det er et unødvendig og forvirrende begrep fordi det finnes så mange ulike forklaringer på hva "APT" er.
Her er departementets forslag til ny tekst:
§ 13 a. Sikkerhetsmessig overvåking av godkjente informasjonssystemer
Den enkelte virksomhet skal kontinuerlig overvåke godkjente informasjonssystem for sikkerhetstruende hendelser, fortrinnsvis ved bruk av automatisert systemovervåking. Sikkerhetsrelevante hendelser skal registreres.
Når informasjon utveksles mellom systemer, på tvers av autorisasjonsskiller, eller til bærbare lagringsmedier, skal informasjonen som utveksles registreres og lagres.
Der flere virksomheter er tilknyttet samme informasjonssystem, kan en virksomhet etter avtale med de andre virksomhetene forestå overvåking og registrering i henhold til første og andre ledd på vegne av den ansvarlige virksomhet.
Med mindre annet er bestemt, skal informasjon registrert etter første ledd lagres i fem år.
Informasjon som nevnt i første og andre ledd skal kun benyttes til formål om å håndtere sikkerhetstruende hendelser.
Den enkelte virksomhet skal påse at autoriserte brukere av informasjonssystemer som overvåkes i henhold til denne bestemmelse får informasjon om formålet med behandlingen, om de tiltak som er iverksatt, om informasjonen vil bli utlevert, og eventuelt hvem som er mottaker.
Kongen kan gi nærmere bestemmelser om sikkerhetsmessig overvåking av informasjonssystemer, herunder om hvilke typer data som kan eller skal registreres og lagres, lagringstid for registrerte data, hvem som skal kunne gis tilgang til de lagrede data og hvordan tilgang skal gis.
Les også hva tidligere sjef Cyberforsvaret, Roar Sundseth, skriver om høringsforslaget:
http://www.watchcom.no/index.php?v=21b2
Les også hva tidligere sjef Cyberforsvaret, Roar Sundseth, skriver om høringsforslaget:
http://www.watchcom.no/index.php?v=21b2
Ingen kommentarer:
Legg inn en kommentar