De siste årenes hendelser og trusselvurderinger av det digitale samfunnet v2.0, tegner et dystert bilde. Personopplysninger på avveie, digital spionasje, illegitim demokratisk påvirkning, storstilt økonomisk kriminalitet og sabotasje av kritisk infrastruktur. Trusselaktørene i det digitale domenet er mangfoldige, og vårt digitale samfunn er sårbart. Spørsmålet mitt er om det finnes andre tilnærminger til sikkerhet og sikring av vår felles digitale infrastruktur, enn dagens?

Sikkerhet i det analoge samfunnet v1.0 har i lang tid vært forbundet med militære og polisiære styrker, nødetater, målrettet overvåkning, grensekontroll, fysisk sikring av verdier og andre proaktive (forebyggende) og reaktive (hendelseshåndterende) tiltak. Felles for de analoge sikkerhet-, beredskaps- og sikringstiltakene er at de har hatt en desentralisert tilnærming. De har vært spredt rundt hos de mange virksomhetene som har forvaltet verdiene. Enten det har vært penger i banker og butikker, personopplysninger hos politi og øvrig offentlig forvaltning, eller fysiske verdigjenstander hos andre.

Beredskaps- og sikringstiltakene har vært plassert lokalt, fysisk nært de verdiene som tiltakene har hatt til hensikt å beskytte. I beredskapsdimensjonen har nødetatene rykket ut i lokale patruljer, for å håndtere akutte hendelser i eget nærmiljø.

En ny nærhet

Nærheten har endret seg vesentlig med innføringen av det digitale samfunnet. Digitaliseringen har flyttet både private og offentlige verdier, enten dette er informasjon eller penger, over på den digitale infrastrukturen. Utviklingen har ført til to sentrale utfordringer.

For det første har antallet trusselaktører som potensielt kan få tilgang til verdiene, blitt mangedoblet. Fra å primært være et anliggende for et fåtall lokale og nasjonale forbrytere, er tyverier, bedragerier, spionasje og sabotasje i det digitale rom en storstilt internasjonal virksomhet. Nasjonalstater står også bak aktiviteten. Avanserte hackerverktøy er tilgjengelig for gratis nedlastning, for hvem som helst.

For det andre vokser antallet sårbarheter som genereres i komplekse digitale verdikjeder i takt med den økende digitaliseringen. Dette fører til at privatpersoner, næringsliv og offentlige virksomheter blir mer eksponert for trusselaktørene som nevnt ovenfor. Funksjoner tilknyttet samfunnskritiske virksomheter rammes også av denne formen for aktivitet.

Datainnbruddet mot Helse-Sør Øst i 2018, hvor ukjente trusselaktører urettmessig fikk tilgang til sensitive personopplysninger om over 2,8 millioner nordmenn, og det nylig begåtte datainnbruddet mot e-postkontoene til våre fremste folkevalgte på Stortinget, er to konkrete hendelser i nyere tid.

Den digitale utviklingen har ført til at prinsippene vi følger i det analoge samfunnet, viser seg å være mindre egnet for forebygging og håndtering av hendelser i det digitale domenet. Alle de private og offentlige bidragsyterne har i det analoge samfunnet fulgt de tre prinsippene ansvar, nærhet og likhet, og etter erfaringene fra 22. juli 2011, også samvirke. Dette har ført til forutsigbarhet for vår analoge, nasjonale beredskap. Med det digitale trusselbildet utfordres vi imidlertid på helt nye måter. Vi bør derfor benytte anledningen til å reflektere over om de analoge prinsippene utformet for vårt samfunn v1.0 er like relevante også for sikkerheten til vårt digitale samfunn v2.0.

Jeg mener de ikke er det. I det minste må vår forståelse for prinsippene tilpasses virkeligheten i vårt høyt digitaliserte samfunn. For det første fører dagens sektor- og ansvarsprinsipp til at hver enkelt virksomhet selv står ansvarlig for å etablere egne IKT-systemer og for å sikre sin digitale infrastruktur. Dette fører til at virksomhetene står alene, hver for seg, selv om behovene til flere aktører kan være tilnærmet identiske.

Når flere bedrifter i det private næringsliv fungerer som underleverandører til offentlig sektor, også til kritiske samfunnsfunksjoner, så øker sårbarhetene i den digitale verdikjeden. Dette gjør også offentlig sektor mer utsatt for digitale angrep.

Et kompetanseunderskudd

Samtidig vet vi at vi har et kompetanseunderskudd i Norge innen både IKT og sikkerhet, og spesielt de to i kombinasjon: IKT-sikkerhet. Dermed må private og offentlige aktører konkurrere seg imellom om de få kloke hodene. Hver enkelt sektor med sine underliggende etater trenger høyt kompetente enheter innenfor IKT og sikkerhet, både på strategisk og operativt nivå.

Ulikt det analoge samfunnet, egner de digitale løsningene seg i større grad for både sentralisering og automatisering. Hovedårsaken er at det digitale samfunnet ikke forholder seg til geografiske begrensninger. Tiden det tar å forflytte data over fiber på tvers av kontinenter, måles i millisekunder. For mennesker, brevpost, fly, biler og båter, måler vi vanligvis tiden i timer. Nærhetsprinsippet i det digitale rom kan derfor ikke forstås som fysisk nærhet, men som evnen til å forstå sikringsbehovene, til å detektere unormal aktivitet og angrep, og til å forstå hva som foregår i bedriftens IKT-systemer. Slik at risiko kan reduseres og konsekvenser kan håndteres.

Samtidig vet vi at mange av de sentraliserte løsningene, hva gjelder deteksjonskapabiliteter i det digitale domenet, har bedre informasjonstilfang enn de desentraliserte. Muligheten til å fange opp informasjon om trusler og sårbarheter, og til å omsette dette til proaktive sikringstiltak, øker. Derfor har vi i Norge etablert NC3 (Cyber Crime Center), NCSC (Cyber Security Center) og flere sektorvise CERT-er (Computer Emergency Response Teams) de senere årene. Dette har ført til at den reaktive (hendelseshåndterende) dimensjonen er styrket, den er gradvis sentralisert, og samvirkeprinsippet er på den måten formalisert gjennom konkrete operasjonelle enheter. Selv om utviklingen er positiv i den reaktive, hendelseshåndterende dimensjonen, er ikke dette tilstrekkelig for vår fremtidige digitale sikkerhet. Politiet møter allerede utfordringen i dag ved etterforskning av avanserte dataangrep og -innbrudd. I enkelte tilfeller viser lovbruddene seg også vanskelig å ettergå. Avanserte trusselaktører kan stå bak, og de vet hvordan de skal skjule sine spor. Derfor er det kritisk viktig at vi fremover også bruker tiden på å styrke den proaktive forebyggende IKT-sikkerhetsdimensjonen i vårt høyt digitaliserte samfunn, for å redusere risiko.

Vi flytter mange av verdiene våre til det digitale domenet. Sikkerheten kommer imidlertid alltid haltende etter. Det er kun ved å styrke det forebyggende IKT-sikkerhetsarbeidet vi kan forhindre hendelsene i å oppstå, og arbeidet bør gjøres mer i nasjonalt fellesskap sammenliknet med i dag. Det kan imidlertid kreve at vi tar et lite oppgjør med dagens fragmenterende prinsipper.