En oppskrift på cyber-lapskaus?

Cyberkriminaliteten rammer! Kriminelle vil stjele data og svindle bedrifter. Fremmede makter vil ha tilgang på statshemmeligheter og påvirke valgresultater.

Politiet er i ferd med å opprette sitt NC3, sitt nasjonale cybersenter. Fram mot 2022 skal det gradvis bygges opp fra 80 til 200 ansatte. 

Men politiet er ikke alene. De siste årene har sentre i ulike former poppet opp som paddehadder i ulike sektorer. Her er en liten liste med noen eksempler:

• Politiets Nasjonale Cybersenter (NC3). Senteret skal huse ekspertise og bidra til å bygge opp politiets kompetanse på kompleks kriminalitet på og mot nettet.
• Felles cyberkoordineringssenter (FCKS) ble annonsert våren 2017 og er et samarbeid mellom Politiets sikkerhetstjeneste, Nasjonal sikkerhetsmyndighet, Kripos og E-tjenesten. Det er plassert hos Nasjonal sikkerhetsmyndighet, som igjen er underlagt Forsvarsdepartementet.
• Nasjonal sikkerhetsmyndighet har også NorCERT (Norwegian Computer Emergency Response Team), som er «Norges nasjonale cybersenter». NSM skriver at NorCERT håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon.
• Cybersikkerhetssenteret i Forsvaret er en del av Cyberforsvaret og konsentrerer seg først og fremst å overvåke Forsvarets IKT-løsninger og stoppe cyberangrep mot Forsvaret selv.
• NorSIS, Norsk senter for informasjonssikkerhet, er en del av regjeringens helhetlige satsing på informasjonssikkerhet i Norge, skriver de selv, og de skal favne både offentlig og privat sektor. NorSIS er et sivilt senter drevet av forskningsinstitusjoner, men finansieres delvis av Justis- og beredskapsdepartementet.

Nasjonal sikkerhetsmyndighet (som allerede eier NorCERT og huser FCKS) annonserte i midten av august at de attpåtil vil opprette et cybersikkerhetssenter. Senteret skal være «et nasjonalt kontaktpunkt og «nav» for cybersikkerhet», og kommer i tillegg til NorCERT, som allerede drives av NSM i dag. Mer om dette litt seinere.

I lista over aktører på cyberdomenet kan vi også legge til flere sektorvise såkalte CERTer (computer emergency response team). FinansCERT, KraftCERT, HelseCERT, EkomCERT – alle eksempler på sektorvise team som overvåker infrastrukturen på sine områder. Et JustisCERT er nå også på vei til å etableres i Politidirektoratet og Politiets IKT-tjenester, noe som koster justssektoren 3,9 millioner kroner ifølge forslaget for statsbudsjett for 2019.

Lista begynner altså å bli lang. Litt seinere skal vi prøve å plassere navnene på noen av ballene i bildet på toppen. Men først skal vi høre litt om hva noen ulike aktører i privat sektor og politiet mener om arbeidet mot cyberkriminalitet.

Lista over navn på cyberaktører er kanskje ikke bare lang, den er kanskje også stykkevis og delt, for å bruke Telenors beskrivelse av tilstanden på Norges arbeid mot cyberkriminalitet. De mener arbeidet er sektorbasert. Problemet er bare det at når kriminalitet fra og mot datamaskiner beskrives, er det det faktum at cyberangrep ofte rammer på tvers av sektorer og tradisjonelle skillelinjer som trekkes fram. Dermed utkrystalliserer noen spørsmål seg:

• Er det virkelig hensiktsmessig at de ulike sektorene alle har sine ulike team, eller er det behov for å samle innsatsen i større og mer sektorovergripende miljøer?
• Tradisjonelt er det politiets oppgave å reagere på kriminalitet. Hva med i den digitale sfæren?

Telenor etterlyser opprydning

Landets aller største aktør i den digitale verden, Telenor, har den siste tiden tatt opp disse problemstillingene. Som eier av infrastrukturen norsk nett er bygget på og som leverandør av nettjenester til både statlige og private virksomheter samt privatpersoner, overvåker Telenor situasjonen nøye.

I sommer ga Telenor Norge ut rapporten Digital sikkerhet. Der skriver Telenor at de ser en avstand mellom hva selskapet ser på som utfordringer og hva myndighetene ser på som utfordringer. 

Telenor lister opp:

• Det er ingen struktur i sivil sektor som har situasjonsforståelse 24/7. Mens Forsvaret for eksempel overvåker situasjonen på Forsvarets systemer og ulike organer har et overblikk på sin sektor, er det ingen som følger med døgnet rundt på i det sivile samfunnet.
• Hendelsene i cyberspace håndteres ulikt den vanlige verden. Politiet har ikke kapasiteten og kompetansen til å bekjempe kriminalitet her, slik de gjør ellers i samfunnet.
• Myndighetene blander respons mot cyberhendelser med koordinering og informasjon om hendelsene.

De sektorvise responsmiljøene som tilsynelatende skal respondere på cyberhendelser, driver i hovedsak informasjonsvirksomhet, og de har i tillegg bare i varierende grad oversikt over sine sektorer, hevder Telenor.

«I Norge sprer vi kompetanse og aktiviteter på for mange og det resulterer i lav bemanningskapasitet og ansvarsfølelse», skriver selskapet i rapporten.

– Vi er en stor bedrift som tar ansvar for oss selv, men vi ser at myndighetene kanskje ikke har sett nok på hvem som skal ha hvilket ansvar eller hvor bedrifter og personer som utsettes for cyberkriminalitet skal henvende seg, utdyper Hanne Tangen Nilsen, sikkerhetsdirektør i Telenor Norge, overfor Politiforum.

Telenor etterlyser operative ressurser på departementsnivå, som overvåker, håndterer og øver på cyberangrep, og ønsker en rolleavklaring mellom Næringslivets sikkerhetsråd, NORSIS, NSM, PST og Politiet – alle sammen aktører når det kommer til forebygging og håndtering av hendelser.

– Nå er bekjempelsen av cyberkriminalitet sektorbasert, men er dette det mest hensiktsmessige, spør Nilsen.

– Vet ikke hvor de skal henvende seg

Jack Fischer Eriksen er direktør i Næringslivets sikkerhetsråd. Han sier seg enig i Telenors diagnose.

– Arbeidet mot cyberkriminalitet er delvis oppstykket og fragmentert. Mange virksomheter vet ikke hvor de skal henvende seg ved ulike cyberhendelser. Man kan tenke det ville være naturlig å gå til politiet, men der mangler man mottaksapparat for anmeldelser i det digitale rom.

Han peker på at det trolig er store mørketall når det kommer til cyberkriminalitet. Næringslivets sikkerhetsråds mørketallsundersøkelse fra i fjor viste at bare åtte prosent av de som opplever cyberkriminalitet, anmelder forholdet. Dette tallet skal ikke være mye høyere i 2018.

– Har du et ran i den fysiske verden, så ringer du 112. Hvor ringer du hvis du blir ranet i den digitale verden? Får du hjelp hvis du ringer politiet da, spør Fischer.

Han mener at de ulike sektorbaserte responsmiljøene ikke klarer å svare på behovene til norske bedrifter flest.

– Næringslivet er også oppstykket, og de fleste bedrifter er ikke så store og tilhører ikke noen sektor som har et eget responsteam. Når politiet mangler mottaksapparat, CERTene ikke dekker behovet og NSM kun dekker større, kritisk infrastruktur, så får vi alt for få rapporter om hendelser. Mørketallene er svært store.

Hvem skal løse kriminaliteten?

I tillegg til de mange statlige organene, er private virksomheter involvert i responsen på cyberangrep. For eksempel gjennom cyberforsikringer, som forsikringsselskapene de siste par årene har tilbudt bedrifter. Gjennom forsikringene settes bedrifter i kontakt med IT-giganter som IBM og Atea, som skal gi råd og svare på dataangrep mot selskapene.

Med mange og nye aktører, både i offentlig og privat sektor, som skal svare på cyberangrepene, samt et politi som foreløpig henger etter, kan man kanskje undres om hvem som faktisk skal settes til å løse kriminaliteten. Telenor er på sin side opptatt av at politiet skal løse kriminaliteten i det digitale rom, i likhet med kriminaliteten som foregår i det fysiske rom.

«Det er viktig at man ikke undergraver prinsippet om at politiet og forsvaret beskytter borgerne og staten», skriver Telenor.

– Politiet er det naturlige startpunktet for en kriminell handling, sier sikkerhetsdirektør Nilsen.

Hun får støtte av Kripos-sjef Ketil Haukaas.

– Jeg ønsker ingen fragmentering av politirollen, og spørsmålet er hvor sært vi egentlig bør gjøre cyberkriminalitet. Jeg tror ikke vi skal gjøre det så sært, fordi det som ikke er lov i den analoge virkeligheten, er heller ikke lov i det digitale rom. Den teknologiske utviklingen vil også gjøre at skillet mellom analog og digital verden blir vanskeligere. Til nå mener jeg politiets rolle når det kommer til cyberhendelser har vært underkommunisert, sier Haukaas.

Haukaas erkjenner at politiet ikke har hatt nok kapasitet og kompetanse på cyberkriminalitet til nå, men er opptatt av at den fysiske og analoge verden slik vi kjenner den, også må legges til grunn når vi spør oss hvordan man skal håndtere cyberkriminalitet.

Kripos-sjefen tror ikke Norge nødvendigvis har for mange miljøer når det kommer til å svare på cyberangrep, men tror grensene mellom dem med fordel kan avklares nøyere.

– Innen cyberkriminalitet er det vanskelig å sette naturlige grenser. Geografiske skiller, slik vi skiller ansvaret innen mye annen kriminalitet, har for eksempel lite for seg. I forsøket på å finne avgrensninger, har man videre forsøkt å stille seg spørsmål om hvem som står bak og hvilke motiver disse har, og deretter fordele oppgavene. Men hvem dette er, er jo noe en etterforskning skal avdekke, sier Haukaas.

Han nevner blant Kripos' ansvar for å forhindre radikalisering på nett og PST sitt ansvar for å forhindre terror, som et eksempel på at grensene er flytende. Nøkkelen, mener han i likhet med mange andre, er økt samhandling.

– Felles cyberkoordineringssenter (FCKS) har vært et godt tiltak og et senter der etatene sammen kan fordele oppgavene i sanntid.

– Er det uklart hvem som skal etterforske og gripe inn i cyberhendelser i dag?

– Det bør ikke være uklart hvem som skal etterforske. Politiet skal ha det monopolet. Ser vi på Sverige der tollvesenet kan etterforske noe kriminalitet, eller til andre land med flere nivåer av politi som driver egen etterforskning, ser vi at det blir koordinasjonsproblemer, slår Haukaas fast.

Vi setter navn på ballene

For å klare å følge med, må vi stoppe opp og oppsummere litt. Vi har jo nevnt en hel del navn på ulike sentre og etater. Og la oss gjøre det ved å sette navn på noen av ballene:

Som du ser, jobber både PST og Kripos under Justisdepartementet sammen med E-tjenesten og Nasjonal sikkerhetsmyndighet under Forsvarsdepartementet, i det som heter Felles cyberkoordineringssenter (FCKS). FCKS er ment å være et sted der politi og forsvar kan danne seg et oversiktsbilde av trusselbildet og koordinere oppgaver seg i mellom.

Men hva med de rosa ballene?

I dette «cyberkartet» utgjør de rosa ballene resten av samfunnet, og både privat og offentlig sektor. Og her kan altså både politiets NC3, og det som heter Nasjonalt cybersikkerhetssenter i Nasjonal sikkerhetsmyndighet spille en viktig rolle. Disse er ringet ut under.

Nytt cybersenter med uklart innhold

Det er ikke bare du og jeg og bedrifter som rammes, som kan ende med å klø seg litt i hodet over hvem som har ansvar for hva, når det kommer til cyberkriminalitet. Under en debatt på Arendalsuka i august, presenterte Nasjonal sikkerhetsmyndighet (NSM), som ligger under Forsvarsdepartementet, at de skal opprette det omtalte nasjonalt cybersikkerhetssenter (ringet ut i rødt over). Men opprettelsen av nasjonalt cybersikkerhetssenter fikk under lanseringsdebatten også de andre paneldeltakere til å løfte på skuldrene – og til å trekke litt på smilebåndet.

Mens politiet skal få sitt nasjonale cyberkrimsenter, har nemlig NSM fra før sitt NorCERT, som omtaler seg som Norges nasjonale cybersenter og skal håndtere alvorlige dataangrep mot kritisk infrastruktur i Norge. Nå skal NorCERT inngå i i det nye nasjonale cybersikkerhetssenteret. Her ble det mange cybersentre!

Først: Hva er egentlig nasjonal sikkerhetsmyndigets mandat når det skjer en cyberhendelse?

I høst har forskrifter til ny sikkerhetslov vært på høring. Der heter det følgende:

«Nasjonal sikkerhetsmyndighet skal drive en nasjonal responsfunksjon for alvorlige digitale angrep og et nasjonalt varslingssystem for digital infrastruktur. Den nasjonale responsfunksjonen og varslingssystemet for digital infrastruktur skal innhente, analysere og dele informasjon om digitale angrep».

En responsfunksjon høres umiddelbart ut som en slags digital utrykning, for å stoppe og drive etterretning på cyberhendelser. Hva denne responsfunksjonen egentlig innebærer, er usikkert, blant annet for Kripos og Telenor.

– For oss er det uklart hva som skal ligge i responsfunksjonen. Det er uklart hvilke myndigheter som skal følge med, sier Kripos-sjef Haukaas.

– NSM må tydeliggjøre hva de er, og kommunisere med NC3 i politiet om hvem som skal bidra hvor. De bør finne ut hvordan de kan bli en god match, slik at kriminaliteten synker. Nå sitter man litt på hver sine tuer, men vi må tenke utover dagens strukturer og sektorer, mener Hanne Tangen Nilsen, sikkerhetsdirektør i Telenor.

NSM har langt mer enn doblet antall ansatte siden opprettelsen i 2003. Ketil Haukaas oppfordrer til bevissthet rundt valgene man tar, når Norge ruster seg for cyberkriminalitet.

– Om NSM og NC3 skulle overlappe hverandre noe, så er det ikke nødvendigvis et problem. Men hvis det oppstår tilfeldigheter i hvordan vi er organisert, er det et problem. Kanskje har NSM vokst på det politiet har vært dårlige på, men derfor må man nå diskutere hvem som skal gjøre hva. At man trår litt inn på hverandres felt, er ikke så farlig. Det er verre hvis man ikke utnytter hverandres kompetanse, og vi i stedet ender opp med hvite flekker som ingen av etatene tar seg av.

Før politiet selv bygger opp sitt NC3-senter, forventer Haukaas seg en rask avklaring av de ulike myndighetenes ansvarsområder.

Jack Fischer Eriksen i Næringslivets sikkerhetsråd synes ressurser til cyberkriminalitet, og dermed et nytt cybersikkerhetssenter i NSM, i utgangspunktet er bra. 

– Men de tar som sagt utgangspunkt i kritisk infrastruktur og igjen havner vanlig næringsliv på utsiden. Derfor håper jeg politiets NC3 klarer å fange opp behovet der, sier Eriksen.

NSM: Cybersikkerhetssenter og NC3 kan komplementere hverandre

For å forstå hva NSMs nye «Nasjonalt cybersikkerhetssenter» skal være for noe, som altså kommer i tillegg til politiets «Nasjonalt cybersenter» (NC3), spør vi fungerende avdelingsdirektør for IKT-sikkerhet i Nasjonal sikkerhetsmyndighet, Bente Hoff.

– NSM driver allerede i dag NorCERT, som også kaller seg Norges nasjonale cybersenter. Hva skiller cybersikkerhetssenteret fra NorCERT?

– Nasjonalt cybersikkerhetssenter skal ha flere leveranser enn NorCERT. Det skal levere tiltak og rådgivning til offentlige og private virksomheter, deteksjon og hendelseshåndtering og et sett tekniske sikkerhetstjenester – og ikke minst sikre tettere samhandling med de ulike offentlige og private organisasjoner. Politiet er blant de som det er viktig å samarbeide godt med. Cybersikkerhetssenteret vil kunne jobbe godt med politiets NC3, sier Hoff til Politiforum.

– Hva har man manglet, som gjør at dere ser behov for et nytt senter?

– Behovet er stort spesielt innen rådgivning og tiltak som er med på å beskytte virksomheter i det digitale rom. Det er også et behov for å sitte sammen for enda tettere samhandling. I tillegg til å samle vår egen kompetanse, vil vi invitere inn sentrale samarbeidspartnere fra utenfor NSM, både fra offentlig og privat virksomhet.

Dermed later det til at også NSM ser for seg sitt senter som en samarbeidsarena, i likhet med det politiet forrige uke at også deres NC3 vil være.

– Har dere hatt dialog med politiet om NC3 når dere har bestemt utformingen av senteret?

– Vi har hatt dialog med politiet, og arbeider fortsatt med utforming av hva vi skal gjøre. Vi ser jo at oppgaven til de to sentrene begge vil være i cyberdomenet og vi vurderer det som positivt å ha samhandling med næringslivet fra begge miljøene, sier Hoff.

Hoff forteller videre at den nasjonale responsfunksjonen, som NSM er tillagt, men som Telenor og Kripos opplever som uklar, ikke er noe nytt.

– Dette har vi i NorCERT i dag, som vil inngå i det nye cybersikkerhetssenteret sammen med andre deler av vår virksomhet. Men ser vi oss opp mot Kripos, så har ikke vi noen påtalefunksjon eller etterforskning. Derfor mener vi sentrene kan komplementere hverandre. Hvis virksomheter blir hacket eller manipulert, så kan de får rådgivning hos oss og anmelde og straffeforfølge saken hos politiet, sier Hoff.

Forsvarsdepartementet: – Bare politiet skal etterforske

Forsvarsdepartementet understreker, i likhet med NSM, at det nye nasjonale cybersikkerhetssenteret ikke skal etterforske noe som helst. Tross sin «responsfunksjon» på cyberhendelser.

– De analyserer digitale angrep og bidrar til gjenoppretting av sikker tilstand i systemene. NSM kan besitte informasjon om tekniske indikatorer etc. som kan være nyttige for politiet i forbindelse med en etterforskning. NSM kan dele slik informasjon med politiet etter samtykke fra den berørte virksomheten, forteller Ann Kristin Salbuvik, underdirektør i Forsvarsdepartementet.

– Hva mener man med at cybersikkehetssenteret i NSM skal ha en nasjonal responsfunksjon?

– Den nasjonale responsfunksjonen innhenter, analyserer og deler informasjon om digitale angrep mot kritisk infrastruktur. I tillegg har den et ansvar for å koordinere håndteringen av alvorlige digitale angrep mot kritisk infrastruktur, i samarbeid med responsmiljøer i sektorene, berørte virksomheter og andre relevante aktører, sier Salbuvik.

En av Telenors innvendinger i rapporten Digital sikkerhet 2018, var at NSM ikke har et totalbilde over cybersituasjonen i Norge. Men det vil de heller aldri ha, bekrefter NSM selv.

– Siden cyberdomenet er stort og ikke knyttet til noen bestemt sektor, hadde det ikke vært bedre med et felles nasjonalt punkt, i stedet for at dere oppretter noe nytt nå?

– Vi oppretter ikke noe helt nytt. Vi tar utgangspunkt i oppgavene og kapasiteten NSM har fra før og videreutvikler det. Det mener vi er god ressursbruk. Et eksempel er utvikling av teknisk plattform for deteksjon av cyberhendelser, som forsvarsdepartementet har bevilget store summer til og som kan brukes i både forsvarssektoren og sivil sektor, sier Hoff.

– Telenor påpeker at dere bare henter inn informasjon fra virksomheter dere har avtaler med. Gir det et godt overblikk over cybersituasjonen i Norge?

– Vi har et ansvar for samfunnskritiske funksjoner og infrastruktur, og der mener vi at vi har godt overblikk. Men cyberdomenet er stort og vi kan ikke ha ikke full oversikt. Samtidig gjør vi dette grepet for å ha enda bedre oversikt.

Politiforum har også stilt Politiets sikkerhetstjeneste (PST), som spiller en rolle på cyberfeltet når det kommer til dataangrep fra andre land, spørsmål om hvordan de vurderer tilstanden på Norges arbeid mot cyberkriminalitet. Det svarer ikke PST på, utover å skrive i en e-post at «PST er opptatt av at det etableres et adekvat myndighetsnærvær i det digitale rom». 

– Gjennom FCKS er det etablert godt samarbeid og gode relasjoner mellom PST og eierne av NC3 (Kripos) og Nasjonalt cybersikkerhetssenter (NSM). Dette samarbeidet innebærer også økt kontakt og informasjonsflyt mellom de ulike myndigheter og sivile aktører som for eksempel telekom-sektoren. Samarbeidet mellom sivile aktører og offentlige myndigheter vil ytterligere forsterkes gjennom etableringen av nasjonalt cybersikkerhetssenter (i NSM, journ.anm), ved at sivile aktører etter planen vil være representert på permanent basis, skriver kommunikasjonssjef Trond Hugubakken.

Et mylder av aktører

Denne saken har du kanskje falt av allerede, men hvis ikke, kan vi nevne at vi bare har berørt én del av de ulike responsmiljøene rundt omkring i landet. Med stadig flere dingser og systemer koblet på nettet, er stort sett hele samfunnet utsatt for cyberkriminalitet. Og jo flere som sitter på data og informasjon, jo flere aktører blir det.

For å få oversikt, ønsker Telenor seg et nasjonalt situasjonsrom.

«Situasjonsrommet må organiseres slik at det har løpende oppdatert situasjons- og konsekvensbilde på tvers av alle vesentlige samfunnsfunksjoner, slik som blålysetatene, NC3, POD, meteorologi, hydrologi, Forsvaret, DSB, telekomoperatører, Veitrafikksentral, Avinor, Kystverket, NSB/BaneNOR, helsevesenet og Norges bank», skriver de.

Og vips kunne vi koblet på en rekke andre baller på cyberkartet vårt. Men vi lar det være for nå.