mandag 6. februar 2017

DGF eller VDI, er det egentlig spørsmålet?

Etter at Lysne II-utvalget la frem sin anbefaling om et Digitalt Grenseforsvar (DGF) har debatten ikke latt vente på seg. Heldigvis.

Et stort antall etater, virksomheter og privatpersoner har gitt sitt høringssvar, disse kan du lese her: https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/

Jeg har selv fått bidratt til høringssvaret fra NorSIS, og skal ikke kommentere hverken det eller andre høringssvar direkte. Men; I debatten som har fulgt har det kommet frem noen påstander og synspunkter som jeg vil kommentere. Som privatperson selvsagt.

"DGF skal ikke stanse noen digitale angrep, så det blir feil å kalle det et forsvar. Grenseovervåking er et mer korrekt begrep".

Jeg leser mye mer inn i utvalgets rapport enn tekniske sensorer. Poenget er vel at nasjonen trenger et digitalt forsvar mot fremmed etterretning. Radarkjeden som overvåker luftrommet vårt forhindrer selvsagt ingen fiendtlige fly å fly inn i vårt luftrom. Det er imidlertid en helt nødvendig del av vårt "grenseforsvar". En mer nyttig diskusjon ville være hvilken informasjon sikkerhetsmyndighetene skal få tilgang til, og hvilke kapasiteter Norge skal ha for å "forsvare" seg i det digitale rom.

"Det er ingen grenser i det digitale rom, bare ulike nettverk som er koblet sammen". 

På et tidspunkt passerer kabelen vår landegrense. Etter mitt syn er det vesentlig, for våre beredskapssystemer (Forsvarets beredskapssystem og Sivilt beredskapssystem) muliggjør visse pålegg og "tvangsmidler" i krise og krig. Disse gjelder naturlig nok bare for infrastruktur i Norge. I fredstid kan politiet gjennomføre etterforskning i infrastruktur i Norge. Jeg tror derfor at de digitale gensene er ganske overlappende med de digitale. Med ett viktig unntak. Kritiske samfunnsfunksjoner kan være avhengig av infrastruktur utenfor Norge.

"VDI er et digitalt grenseforsvar nok, vi trenger ikke det Lysne-II foreslår".

Helt uenig, av flere grunner. Men først; vi vet ikke i detalj hvilken teknologi eller teknisk tilnærming et DGF kan ha. Å sammenligne det med VDI som er en helt konkret teknisk løsning, blir derfor vanskelig. I tillegg er mange detaljer om VDI's oppbygging sikkerhetsgradert informasjon, slik at vi heller ikke kan diskutere detaljene omkring det.

En vesentlig ulikhet mellom VDI og DGF er imidlertid de strategiske tilnærmingene. VDI er et "verdiorientert" sensorsystem som plasseres tett mot virksomheten som skal beskyttes. Dette gir mening når du har god kontroll på hva som er viktig å passe på. DGF er på sin side et "trusselorientert" sensorsystem, som plasseres der du tror at angriperen vil passere. Dette gir mening når du har god kontroll på hvor trusselen er, men ikke er helt sikker på hva han kan finne på å angripe.

Lysne I-utvalget ga oss en god beskrivelse av vårt digitaliserte samfunn, preget av kompleksitet og lange digitale verdikjeder. Med andre ord, viktige samfunnsfunksjoner er bygget opp av mange deler som er spredt geografisk og over ulike sektorer og virksomheter.  Det er lett å se at en verdiorientert tilnærming til overvåking blir svært vanskelig å realisere i praksis. Trolig umulig.

Den eneste fornuftige tilnærmingen er derfor trusselorientert, og selv om et sensorsystem langs grensen ikke vil fange opp ALLE trusler, så er det likevel det beste valget av de to.


Ingen kommentarer:

Legg inn en kommentar