Digitale trusler krever mer enn dugnadsinnsats

Basestasjon på et hytteområde i fjellheimen.

Norges nasjonale evne til å håndtere hendelser i cyberspace er fragmentert og mangler helhetlig situasjonsforståelse. Verdens mest digitale land trenger et styrket sivil-militært samarbeid innenfor totalforsvarskonseptet, og en ny offentlig-privat samarbeidsmodell for sikkerhet.

Samhandling mellom norske sikkerhetsmyndigheter, Forsvaret, Politiet og andre naturlige samarbeidspartnere i sivil sektor er avgjørende for å oppnå robust sikkerhet og beredskap i Norge. I hele krisespekteret, fra normalsituasjon til en alvorlig hendelse treffer samfunnskritiske funksjoner, er det avgjørende at ressursene finner hverandre så raskt som mulig.

Nye trusler krever nye samarbeidsmodeller

En endret sikkerhetspolitisk situasjon, kombinert med hybride trusler, aktualiserer sivilt–militært samarbeid i det digitale rommet. Forsvarssektoren og sivil sektor benytter i økende grad felles IKT-infrastruktur, og tjenester kjøpes av kommersielle aktører. Når digitale sårbarheter blir felles, er et godt samarbeid mellom sivile og militære myndigheter helt avgjørende.

Et godt nasjonalt sikkerhetsarbeid må formaliseres for å kunne gi effekt. I dag er samarbeidet fragmentert og mer dugnadsorientert enn forpliktende. I et land som Norge hvor alle kjenner alle fungerer det kanskje greit så lenge konsekvensene av hendelser er små. Vår påstand er at den dagen det store angrepet inntreffer, skal det langt mer til enn en god dugnadsånd for å hindre at liv og helse unødig settes på spill.

«Et godt samarbeid mellom sivile og militære myndigheter er avgjørende.»

Telenor Norge må være i frontlinjen for utvikling av egen evne til å beskytte landets største digitale infrastruktur. Samtidig er det områder og situasjoner hvor vi er avhengig av andre aktører for å kunne håndtere hendelsen med minst mulig konsekvens for samfunnet. Vi har som resultat av denne erkjennelsen tatt flere initiativer inn mot myndighetene for å sikre at vi har etablert formelle grensesnitt når vi er i situasjoner hvor vi trenger det.

Samarbeid med Cyberforsvaret

Både Telenor Norge og Cyberforsvaret er ansvarlig for å drifte og beskytte nasjonal kritisk infrastruktur som skal fungere i fred, krise og krig. Etter seks års samarbeid om informasjons- og kompetansedeling har partene nå inngått en ny samarbeidsavtale. I praksis vil det si at Telenor Norge og Cyberforsvaret blant annet skal:

  • Samarbeide ved hendelses- og krisehåndtering
  • Ha liaisoner hos hverandre
  • Dialog om teknologi og prosesser
  • Gjennomføre årlige beredskapsøvelser
  • Varsle hverandre om relevante hendelser i egen informasjonsinfrastruktur
  • Utveksle ugradert informasjon om trusler, sårbarheter, potensielle risikoer, angrepsmetoder og skadevare

Samarbeid med NSM

Samarbeidsprosjektet mellom Telenor Norge og NSM skal etablere tjenester, kommunikasjonskanaler og samhandlingsløsninger for effektivt operativt samarbeid mellom Telenor Norge og NSM på området cybersikkerhet. For å legge til rette for at aktører med ansvar og eierskap i nasjonal funksjon og kritisk infrastruktur kan bidra til forbedret nasjonalt risikobilde og operative situasjonsbilde. Dette innebærer blant annet:

  • Felles analysemøter for utveksling av dagsaktuell og konkret informasjon og erfaring
  • Etablering av tjenester, løsninger og kommunikasjonskanaler hos begge parter for effektiv samhandling og samarbeid mellom operative funksjoner, herunder deling av trussel- og etterretningsinformasjon
  • Etablering av felles rutiner og prosesser for håndtering og koordinering av hendelser
  • Telenor Norge blir en del av nasjonalt cybersikkerhetssenter

Telenor Norge må beskytte sin infrastruktur gjennom å forebygge hendelser og angrep fra statlige aktører så vel som kriminelle ved å bygge inn robusthet. Det krever trusselforståelse, og den forståelsen er det viktig at myndighetene bidrar med. Det er kun de, som i gitte situasjoner kan støtte oss og gjøre prioriteringer på vegne av Norge. Det er bare vi som kan normalisere en hendelse i vår infrastruktur. Dette er grunnen til at vi ønsker å si fra hva vi trenger på myndighetssiden, samtidig som vi ikke fraskriver oss ansvaret for det vi selv må gjøre for å beskytte virksomheten vår. Vi opplever imidlertid at det er en viss avstand mellom hva vi ser på som utfordringer og hva myndighetene og politikerne opplever som utfordringer. Eller kanskje også opplever at de kan si seg enig i.

«Det betyr at Norge må gå foran andre, og da må vi tørre å tenke nytt og gjøre endringer for å bli robuste nok.»

Myndighetene ser mye til andre lands utvikling i cyberdomenet, og det er bra, men samtidig må vi ta inn over oss at vi er et av verdens mest digitaliserte land. Det betyr at Norge må gå foran andre, og da må vi tørre å tenke nytt og gjøre endringer for å bli robuste nok.

Vi mener at de største utfordringene for håndtering av nasjonale IKT-hendelser i Norge er:

  • Det er ingen kommandostruktur i sivil sektor som har situasjonsforståelse 24/7, slik Forsvarets operative hovedkvarter har på militær side.
  • Hendelser i cyberspace håndteres ikke etter de samme retningslinjer som hendelser i «den virkelige verden» og politiet har ennå ikke nødvendig kompetanse, kapasitet og kapabilitet til å ta den naturlige rollen med å bekjempe kriminalitet i cyberspace.
  • En stor andel av landets virksomheter har ikke forstått fullt ut hvilken kompetanse og kapabilitet de selv må ha for å forebygge kriminalitet og håndtere IKT-hendelser.
  • Myndighetene blander begrepene hendelseshåndtering og respons med koordinering av informasjon i forbindelse med hendelser.

Det har blitt en sannhet at NSM/NorCERT har oversikt over og håndterer hendelser i kritisk infrastruktur og på og via internett i Norge, men de har kun den innsikten de får gjennom de virksomheter de har avtale med. Det har også oppstått uklarheter i kjølvannet av opprettelsen av de sektorvise responsmiljøene. De sektorvise responsmiljøene håndterer ikke hendelser i virksomheter som rammes, men bistår og deler informasjon, og har i varierende grad oversikt over hendelser i egen sektor.

De har liten responsevne, selv om enkelte har deteksjonsevne og analysekapasitet. Et resultat av denne uklarheten er at virksomheter ikke forstår hva de trenger å utvikle av egenevne for å avdekke og håndtere hendelser. Om det skjer en hendelse, så er de heller ikke i stand til å ta imot støtte fra sikkerhetsleverandører eller myndighetene.

Masteklatrer på innsiden av en mast. Bildet er tatt nedenfra.

Færre må samordnes ikke flere

Vi mener at den nasjonale operative evnen ikke er tilpasset behovet. I Norge sprer vi kompetanse og aktiviteter på for mange og det resulterer i lav bemanningskvalitet og ansvarsfølelse. Å konsentrere innsatsen på færre miljøer vil skape høyere kompetansenivå hvor det også vil være attraktivt å jobbe. Vi mener det også må være operative ressurser på departementsnivå som forstår det som går på tvers, som monitorerer og håndterer, øver og trener hyppigere.

Myndighetene må tydeliggjøre forskjellen på kriminalitetsforebygging og IKT-sikkerhet generelt. Det må skapes et klart skille på hvem som håndterer hva for å sikre at vi bruker ressursene til Norge beste. Rollene til NSR, NORSIS og NSM for forebygging sett opp mot det som er PSTs oppgaver og Politiets oppgaver når det gjelder nasjonale sikkerhetstruende hendelser, kriminalitetsbekjempelse, krisehåndtering og etterforskning må tydeliggjøres. Rollen til de sektorvise responsmiljøene må klargjøres med hensyn på hva de kan bidra med og kanskje også skifte navn for å bedre reflektere primærhensikten som er varsling og informasjonsdeling.

Kriminalitet eller statlig angrep?

Når et cyberangrep skjer er det ofte vanskelig å definere om angrepet er å betrakte som kriminell aktivitet under politiets ansvar, eller andre ondsinnede hendelser, som for eksempel kan være rettet mot Norge som nasjon. Vi er derfor av den oppfatning at Politiet må fortsette oppbygning av det nasjonale cyber crime center NC3 med en helhetlig tilnærming, der blant annet Sikkerhetstjenesten (PST), Forsvaret og Etterretningstjenesten, herunder også med nødvendige tekniske kapabiliteter, arbeider sammen med Politiet for å skape en felles situasjons- og konsekvensforståelse.

Politiet er eneste myndighet som kan gå inn i sakene med tvangsmidler, det er derfor viktig at politiet ikke bare samler informasjon og etterretning, men også konkret aksjonerer mot grupperinger og kriminalitet. Bekjempelsen må legges bredt opp og ikke fokusere ensidig på alvorlige enkeltsaker, og må evne å ta tak i massekriminalitet som rammer mange privatpersoner og bedrifter.

Det er viktig at man ikke undergraver prinsippet om at politiet og forsvaret beskytter borgerne og staten. I cyberspace må imidlertid vi som virksomheter understøtte den myndighetsledede kriminalitets- og hendelseshåndteringen i større grad enn i det fysiske rom. Dette forutsetter at det er formelle avklaringer på plass for hvordan samhandling skal foregå.

Politiet må få tilgang til informasjon og ressurser for å kunne aksjonere, etterforske og pågripe. Ekomvirksomheter, og andre samfunnskritiske funksjoner, må støtte NC3 med informasjon og kompetanse om cyberdomenet slik at de politifaglige beslutningene tas på best mulig grunnlag.
graf som viser hvem norske ledere vil kontakte om virksomhet utsettes for digitale angrep. 41 % politiet, 29 % sin nettleverendør (GET, Telenor etc)
Graf som viser at nordmenne har tillit til norske myndigheters beredskapsarbeid (i noen grad 51 %) mot større cyberangrep

Ingen vil bli koordinert

Sektorvis håndtering er ikke koordinert fordi det er ingen som har mandat til å ta ledelsen eller ansvar. Vi mener at én offentlig myndighetsaktør må ha totalansvar for sivile sikkerhetshendelser.

Aktøren må ha kompetanse til å identifisere, analysere og håndtere trusselaktørers forsøk på påvirkning av Norge og norske interesser, samt evne til å lede håndtering av hendelser.

Sektorprinsippet må ikke være et hinder for effektiv styring og ledelse.

Digitale trusler krever mer enn dugnadsinnsats. Vi foreslår derfor at Norge etablerer et døgnbemannet nasjonalt situasjonsrom hvor man bygger situasjonsbildet, tester hypoteser og tar beslutninger. I det nasjonale situasjonssenteret skal man forstå og se sammenhenger i det som skjer, i kontekst av geopolitikk, hendelser på tvers av kritiske samfunnsfunksjoner og sektorer. Situasjonsrommet må organiseres slik at det har løpende oppdatert situasjons- og konsekvensbilde på tvers av alle vesentlige samfunnsfunksjoner, slik som blålysetatene, NC3, POD, meteorologi, hydrologi, Forsvaret, DSB, telekomoperatører, Veitrafikksentral, Avinor, Kystverket, NSB/BaneNOR, helsevesenet og Norges bank.

Samlet må disse kunne gi et øyeblikksbilde av hva det er av samfunnsviktige funksjoner som ikke virker eller er påvirket i Norge nå. Deltagelsen må være skalerbart opp og ned; lite nok til å være under kontroll – men stort nok til å virke.

Situasjonsrommet må ledes av noen med fullmakt til å ta tverrsektorielle beslutninger, og som kan peke på hvem som skal håndtere hendelsen. Situasjonsrommet må rapportere administrativ status til Statsministerens kontor og samtidig kunne rapportere operativ status til statsministeren når dette er påkrevet.

«Uansett hvilke nasjonale tiltak som iverksettes vil Telenor Norge fortsette og formalisere beredskapssamarbeid med relevante virksomheter i andre sektorer. Det er et arbeid vi gjerne ser at myndighetene engasjerer seg mer i.»

I situasjonsrommet må det være evne til å ta beslutninger og gjøre prioriteringer for å håndtere hendelsene med minst mulig konsekvens for samfunnet og borgerne. Dette vil være en investering i nasjonal beredskap og kunnskap på tvers av sektorer.

Dette vil skape en tverrsektoriell forståelse vi ikke har i dag, og over tid et mer robust samfunn fordi vi bedre ser helheten i hvordan Norge henger sammen fysisk, logisk og verdikjedemessig. Kunnskap blir en spinoff-effekt, og staten får ett felles situasjonsrom som kan effektivisere dagens beslutningsstrukturer.

Uansett hvilke nasjonale tiltak som iverksettes vil Telenor Norge fortsette å formalisere beredskaps-samarbeid med relevante virksomheter i andre sektorer.

Det er et arbeid vi gjerne ser at myndighetene engasjerer seg mer i.