20130101

Det er noe som skurrer i Cyberspace

Da julefreden var i ferd med å senke seg publiserte Bjarte Malmedal en vurdering av den ferske nasjonale strategien for informasjonssikkerhet. Vurderingen fra Malmedal burde fått medienorge til å reagere, den setter tastaturet rett i der strategien virker ullen. Før du leser videre ber jeg deg lese min disclaimer ti høyre. Det følgende er mine meninger, jeg uttaler meg med andre ord som fagmann, ikke som representant for min arbeidsgiver.

Jens Christian Vogt spurte i november 2010, etter angrepet på Nobelinstituttets hjemmesider; "Trenger vi NSM/NorCERT?". Ett år etter skrev Hans-Inge Langø om samme sak i Aftenposten under tittelen "Angrepet som ble glemt". I desember 2012 kom altså Nasjonal strategi for informasjonssikkerhet. Vi var mange som ventet, svært mange ble skuffet og Malamedal peker i sin vurdering av strategien på kjernen av manglene. Min påstand er: Det Vogt og Langø har påpekt vil ikke bli bedre ved hjelp av den ferske strategien.
Det tyder på at viljen til å endre og se femover, tenke langsiktig, og ta inn over seg at fremtiden er digital, ikke er tilstede hos de fire departementene som har gitt oss strategien. Kanskje det er nettopp det som gjør strategien så ullen - det at fire departement står bak - alle skulle ha sitt?

Malmedal påpeker helt riktig det kjente faktum sikkerhetsutfordringene i cyberspace utfordrer sektor- og ansvarsprinsippene, og at strategien ikke viser noen reell vilje til å gjøre noe med dette.

På side 21 i strategien står følgende: "Norwegian Computer Emergency Respons Team (NorCERT) i Nasjonal sikkerhetsmyndighet har (min utheving) ved hjelp av Varslingssystem for digital infrastruktur (VDI) og nasjonalt samarbeid, evne til å forebygge, oppdage og analysere data knyttet til alvorlige hendelser på internett." Dette virker betryggende; NorCERT har. Jeg går ut fra at det politiske Norge er informert om, og kjent med, hva NorCERT har evne til å forebygge, oppdage og analysere. 
For å fjerne enhver tvil; Norge trenger et sterkt nasjonalt CERT.

Den ene løsningen

Det er altså Justis- og Beredskapsdepartementet som nå skal ha ansvar for informasjonssikkerhet i sivil sektor. Da spør jeg: Hvorfor skal da NSM forsatt tillhøre Forsvarsssektoren?
Hva mener man i strategien med «sivil sektor», er det privat sektor? I så fall betyr det at offentlig sektor ikke ligger under Justis- og Beredskapsdepartementets ansvar for informasjonssikkerhet?

En løsning kunne vært å overføre NSM med NorCERT til Justis- og Beredskapsdepartementet og la Cyberforsvaret ta seg av Forsvaret samt støtte sivil sektor i henhold til Bistandsinstruksen

Men; NSM er lovforvalter og direktorat. Skal en lovforvalter og direktorat som skal drive inspeksjoner og kontroll også drive operativ virksomhet? Inkludert NorCERT teller jeg meg frem til at NSM driver en håndfull typer operativ virksomhet. Jeg har ved en rekke anledninger spurt meg selv om ikke dette er uryddig sett opp mot lovforvalter- og inspektørrollen.  
Kan det være at jeg har rett, men at ingen vil påtale dette forholdet hvor et tilsyn også har et operativt ansvar? I så fall, hvorfor er det slik?

Den andre løsningen

Så til den andre løsningen: La NSM som rent direktorat legges under Justis- og Beredskapdepartementet og gi NorCERT-funksjonen til Cyberforsvaret.
Dette ville gitt Norge et sterkt nasjonalt CERT tilknyttet et miljø med mandat, kapasitet og kapabiltitet innen Cyber Network Defence (CND). Jeg hører argumentene om at Forsvaret ikke skal brukes mot sivile, at det som skjer i cyberdomain "bare" er kriminalitet og at det er en sak for politiet. Jeg tror behovet for mandat, kapasitet og kapabilitet er det essensielle. Sektorbegrepet og landegrenser eksisterer ikke i cyberdomain. Vi vet ikke om en cyberhendelse er en hendelse som er kriminell eller et angrep på nasjonen før etter vi har kontroll på hendelsen. Det er heller ikke negativt for et nasjonalt CERT å ligge tett på en av de beste utdanningsinstitusjoner på fagfeltet, Forsvarets Ingeniørhøgskole. Jeg tror heller ikke det er vanskelig å finne en god løsning i grensesnittet med Politiet og PST.

Et nasjonalt CERT kan ikke være basert på dugnad og frivillighet eller finansiert ved at noen betaler for å være med, slik som i dagens VDI. Myndighetene må peke på hva og hvem som er samfunnskritiske og som skal være med i Norges nasjonale CERT. Myndighetene må tillate at andre som ikke er samfunnskritiske kan få være med i Norges nasjonale CERT under gitte kriterier, men med samme ansvar og rettigheter so de med pålegg.

Et nasjonalt CERT kan ikke ha rollen som IT-sikkerhetsavdeling for "kunder". Det virker også merkelig at et nasjonalt CERT skal drive security awareness på geerell basis, vi har jo NORSIS.

Jeg finner det sannsynlig at styringsprinsippene for vårt eksisterende nasjonale CERT er gale. En rendyrking av et sterkt nasjonalt CERT lagt til Cyberforsvaret ville gjøre styringsprinsipper entydige og trolig fjerne skurringen i Cyberspace.

Til slutt, som jeg har skrevet om før, deling av informasjon og kompetanse er vesentlig og tidskritisk i cyberdomain.

Et nasjonalt CERT må være pådriver for prinsippet "Obligation to share" og dette prinsippet må alle som er del av, eller tilknyttet, CERT-et akseptere.

1 kommentar:

  1. Britt Ingunn Maurstad28. jan. 2013, 00:31:00

    For det første, jeg heller sterkt til din løsning nummer to. For en ikke-fagperson på området, høres det fornuftig ut å samle dette under ett departement, og da er justis og beredskap det eneste fornuftige.
    Men: du etterlyser reaksjoner fra media-Norge. Og sannsynligvis andre også.
    Problemet slik jeg ser det, er at dette er et tema de færreste kan noe om. Og derfor vil være forsiktige med å mene noe om. Jeg kan også svært lite om dette, men velger likevel å mene noe. Så får jeg heller ta sjansen på å bli "arrestert" i etterkant.
    Når de som styrer dette landet ikke ønsker, kan eller kanskje aller helst, vil ta dette inn over seg og organisere et cyberforsvar slik at det faktisk fungerer, må dette bunne i mangel på flere ting. Interesse og kunnskap er to stikkord her. Trusler og angrep fra dem man ikke kan se, ta og føle på, ser ut til å bli for vanskelig for enkelte. Du nevner dessuten viljen til å ta inn over seg at fremtiden er digital, ikke eksisterer hos de fire departement som har utformet denne nasjonale strategien for informasjonssikkerhet. Er du egentlig overrasket over det? Se hvem som styrer disse departementene. Se på hvor villige de er til å ta inn over seg at det ikke bare er turbankledte skjeggete menn som utgjør en trussel mot samfunnet. Ergo mangler både interesse og kunnskap om temaet. Det er alvorlig. For det er ikke til å komme fra at det blir flere og flere digitale angrep på viktige institusjoner i samfunnet vårt. Den norske regjeringen er et supperåd der alle skylder på alle – og aller helst sparker nedover når noe går galt. Se bare på det som har foregått etter 22. juli 2011 og spesielt etter at Gjørv-kommisjonen la frem rapporten sin. Kollektivt har alle med ansvar etter beste evne forsøkt å legge "skylda" på systemet, de underordnede, fotsoldatene… Men dette var liksom så såre enkelt, det var noe å ta og føle på, noe konkret. Ergo kan man mene noe om det og man kan legge skylda på noen. Det som har med cyberspace å gjøre, ser ut til å være noe aldeles ukjent for disse menneskene. Fordi man ikke kan ta og føle på det blir det noe abstrakt, noe rart og ukjent. Og så tenker man at vi har jo brannmurer og passordbeskyttelse. Ingen kan "ta" oss da. Så feil kan de ta, og det har vist seg gang på gang, både her i Norge og i andre land.
    Du nevner "obligation to share". Vel – for våre myndigheter er det ikke noe som heter det. "Obligation to cover up" er vel mer dekkende. Vi ser det på alle nivåer, gang på gang. At når noe går galt så skal man dekke over, holde tilbake informasjon. For journalister er dette et sabla problem som er både vanskelig å forholde seg til og ikke minst, nesten umulig å komme rundt. Men når du etterlyser media i denne saken, kan det være at også vi "bladfyker" mangler kunnskap på området. Og uten kunnskap, blir det vanskelig å belyse en sak på en skikkelig måte. Å dele informasjon er essensielt, enten det dreier seg om å dele informasjon med overordnede, allmenheten eller pressen. Om man ikke deler informasjon, så vil informasjonen nesten garantert ikke tilflyte allmenheten, ei heller vil media kunne sette søkelys på temaet og dermed vil myndighetene kunne gjøre (eller ikke gjøre) med saken akkurat som de selv vil, uten at noen reagerer. Det er alvorlig. Det kan i ytterste konsekvens være fatalt. De rødgrønne har åpenbart ingen interesse av å ta denne problematikken på alvor, og vi får da endelig håpe på at ingen deler av vårt samfunn blir rammet av cybercrime før valget. Så får vi håpe på at en ny regjering vier dette større interesse til høsten.

    SvarSlett