Telenor Norge mener: Cyberspace kan ikke forsvares sektorvis

Illustrasjonsbilde. Bildet viser en hvite linjer på en blå flate som kan illustrere teknologi.

I juni 2017 kom stortingsmelding nr. 38 om IKT-sikkerhet som bærer tittelen «Et felles ansvar». Det er et godt prinsipp, men skal vi ta et felles ansvar må vi ha ett nasjonalt situasjonsrom for å skape felles situasjonsforståelse og en samlet evne til å håndtere hendelser. Vi kan ikke forsvare cyberspace sektorvis. Ei heller kan det gjøres uten private aktører.

I Telenor Norges undersøkelse svarer hele 70 prosent at de i stor grad (23 prosent) eller i noen grad (47 prosent) er redd for et cyberangrep skal lykkes i å slå ut vårt lands viktigste funksjoner. Samtidig svarer over halvparten at de har tillit til at norske myndigheter gjør hva de kan for å ruste samfunnet for den digitale trusselen.

Dette er tall som er illustrerende for situasjonen vi er i. Vi står ovenfor trusselaktører som kan skape store konsekvenser i samfunnet. Dette har blitt demonstrert blant annet gjennom påvirkningsoperasjoner som preget det amerikanske presidentvalget og cyberangrepene som har tatt ut deler av strømnettet i Ukraina.

Regjeringen har definert IKT-sikkerhet til å være et virksomhetsansvar. Det vil si at vi som selskap selv er ansvarlig for å foreta risikovurderinger og innføre tiltak. I tillegg har Justis- og beredskapsdepartementet et samordningsansvar for sivil sektor. Samordning og koordinering er to ord som går igjen i alle utredninger, men vi mener det mangler tydelig vilje til å peke ut hvem som har totalansvar for IKT-sikkerhet. Ingen myndighetsaktør leder håndteringen av hendelser i cyberspace i dag, det er kun koordinering og deling av informasjon som er formålet for hendelseshåndtering i cyberspace. Et lederdepartement må lede. Vi forstår at dette er krevende diskusjoner, men her trengs politisk vilje til å endre.

Må dele mer

Det er ikke deling av informasjon om sårbarheter hos for eksempel Microsoft og Adobe som skaper en koordinert evne til samhandling. Det er forståelsen av trusselaktørenes intensjon, kapasitet og kapabilitet som må deles mellom de som faktisk kan håndtere en avansert cyberoperasjon. Leverandører av samfunnskritisk infrastruktur må settes i stand til å forstå trusselaktørene slik at vi kan finne dem, og håndtere dem ut ifra én felles forståelse av mulige konsekvenser dette kan ha for samfunnet.

I en situasjon der Norge utsettes for cyberoperasjoner der det skapes ustabilitet eller kritisk informasjon kommer på avveie, er det myndighetenes oppgave å sikre prioritering av samfunnskritiske og nasjonale funksjoner. Hvis Norge utsettes for påvirkningsoperasjoner der nasjonal infrastruktur misbrukes for å påvirke demokratiske prosesser, er myndighetenes rolle å sikre sann og riktig informasjon.

Vi mener at dette først vil være mulig når vi har ett nasjonalt situasjonsrom. Vårt nasjonale CERT har ikke dette mandatet. Det er vesentlig for vår nasjonale beredskap at det nasjonale CERT-et har forståelsen av trafikken på internett i Norge. Det er ikke tilfelle i dag, da kun noen prosent er synlig gjennom VDI-sensorene til NorCERT.

Må behandles likt

Hendelser i cyberspace må håndteres etter de samme retningslinjer som hendelser i «den virkelige verden», men vi har ingen politimester i cyberspace. Hvis noen fysisk bryter seg inn i Telenor Norges lokaler eller fysisk truer vår virksomhet eller ansatte så er vi ikke i tvil om at Politiet, de andre nødetatene, kanskje i de mest ekstreme situasjoner støttet av Forsvaret, ville håndtere hendelsen.

Når Norge blir utsatt for en avansert cyberoperasjon via vår infrastruktur, så finnes ingen cyberberedskapstropp, det er kun Telenor Norge som reelt sett kan håndtere og normalisere situasjonen. Vi kjenner vår infrastruktur, og det er vi som må gjøre det som skal til for å normalisere situasjonen.

Det store problemet er at vi velger å gjøre ting annerledes når det handler om cyberspace. Politiet og Forsvaret utgjør statens to maktmonopoler for håndtering av ondsinnede handlinger og denne inndeling må derfor også gjelde for cyberspace. Telenor Norge mener at politiet bør bli gitt ansvaret, verktøyene og ressursene som skal til for å arbeide mot kriminalitet i cyberspace fra a til å, på samme måte som de håndterer kriminalitet i den fysiske verden. Det betyr å gi politiet et helhetlig ansvar for alt fra forebygging, håndtering og etterforskning av cyberkriminalitet. I flere år har behovet for et «nasjonalt cyber crime center» i politiet – et såkalt NC3 – vært etterspurt. Det har ikke blitt realisert ennå.

FCKS - Norges nye Felles Cyberkoordineringssenter skal koordinere de hemmelige tjenestenes innsats på cyberområdet. Det er positivt at de hemmelige tjenester skal koordinere sin innsats, men det er fortsatt infrastruktureierne og virksomhetene som må håndtere hendelser og redusere konsekvenser. Norge må ha en arena der informasjon blir delt og hendelser koordinert og ledet. Vi opplever at det fortsatt er et stykke igjen.

cyberspace-graf-600x400

Nå må vi kraftsamle

Alle skal koordinere – ingen vil koordineres – nå må vi kraftsamle og bygge robusthet inn i den nasjonale hendelseshåndteringen. I 2016 kom det første rammeverket for digital hendelseshåndtering, hvor ingen privat eier av samfunnskritisk infrastruktur er tegnet inn. Offentlig-privat samarbeid beskrives som viktig i samfunnssikkerhetsmeldingen, men det gjenspeiles ikke i rammeverket. Selve håndteringen kan ikke utføres av det offentlige alene, det erkjenner jo også myndighetene selv, så hvorfor holdes de private aktørene utenfor?

I et land med 5 millioner mennesker har vi fått et stort antall sektorvise responsmiljøer som ikke har egen evne til å håndtere hendelser, men kun informere om at noe har skjedd og formidle dette mellom ulike aktører eller innad i en sektor.

Den operative effekten er lite synlig.

I enhver beredskapsorganisasjon står betydningen av å trene, utdanne og øve svært sentralt. Dette gjelder både militære, sivile, private og offentlige organisasjoner. Når NATO øver i Norge neste år er det den største øvelsen på flere tiår. Eiere av samfunnskritisk infrastruktur og andre samfunnskritiske aktører må få delta i slike øvelser. De operative beredskapskapasiteter som finnes i myndighetsapparatet må kunne understøtte håndteringen av cyberoperasjoner mot nasjonal infrastruktur. Dette må være forankret politisk. Når nasjonen skal beskyttes må det sivile samfunnet støtte Forsvaret; Totalforsvaret må fungere for at Forsvaret kan forsvare Norge. Vi må legge til rette for dette i fredstid for å sikre at det også virker når den nasjonale krisen kommer. Det betyr at private aktører må være en integrert del av Totalforsvaret.

Det har ikke gått galt – ennå

Cyberspace er ikke et mål i seg selv for en angriper, det er et middel for å oppnå en intensjon. Ukraina har de tre siste årene vært utsatt for en serie avanserte angrep fra Russland. Ukraina har blitt omtalt med ett russisk ord polygon; øvings- og treningsområde.

Professor Thomas Rid ved War Studies department ved King’s College i London sier dette om Russlands operasjoner i Ukraina: «De tester ut hvor den røde linjen går, og hva de kan slippe unna med.» Et russisk ordtak går slik: «Stikk med bajonetter. Når du treffer noe mykt, fortsett. Når du treffer stål, trekk deg ut.» Vi aner ikke hvor eller hvem som er målet neste gang.

Norge er et langt mer digitalisert land enn Ukraina, og vi har ikke opplevd et alvorlig cyberangrep ennå – som vi er klar over. Når et angrep treffer samfunnskritiske funksjoner er vi i tvil om ressursene faktisk vil finne hverandre.