Cybertrusselen må frontes i fellesskap – med sterkt samvirke
”Vi må samvirke på tvers av sektorer for å håndtere truslene i cyberdomenet. Det må utvikles samvirke – og det må øves samvirke.” Det mener en veteran fra datasikkerhet i Forsvaret, Roger Johnsen; nå nytiltrådt direktør for NorSIS. ”Vi må forstå den enorme samfunnsmessige verdien digitalisering har – og vi må evne å forsvare denne verdien.
Derfor må vi også etablere arenaer for samordning og samvirke.”
Dag Leraand (tekst)
Sårbarheten er stor og truslene tallrike. Og, som våre sikkerhetstjenester så sterkt understreker: Truslene må tas på det største alvor. Dét gjør også NorSIS-sjef Roger Johnsen, som samtidig legger til grunn at de ikke må overskygge det helt vesentlige, nemlig den store verdien av digitalisering og de mange mulighetene den gir. Spørsmålet blir derfor: Hvordan kan vi best håndtere den sårbarhet – den risiko – digitalisering skaper? Hvordan kan vi forsvare oss, og ta vare på samfunnets verdier?
Roger Johnsen tiltrådte 1. januar som direktør for Norsk senter for informasjonssikring (NorSIS) på Gjøvik – et uavhengig organ som skal bidra til økt bevissthet om trusler som følge av digitaliseringen, og som gir råd om hvordan de kan håndteres. Han kom da fra Forsvarets operative hovedkvarter, etter bl.a. å ha hatt ansvaret for utvikling av Forsvares cyberforsvarskapasitet fra 2001, vært den første sjef for Forsvarets senter for beskyttelse av kritisk infrastruktur fra 2005, og tjenestegjort som sjef for Forsvarets ingeniørhøgskole fra 2009. Få har dermed større operativ erfaring fra forsvar mot cybertrusler enn den nye NorSIS-sjefen, som fra en høyst relevant militær bakgrunn har gått inn i en sentral sivil forsvarslinje.
Operativ evne er en rød tråd i dette intervjuet – og ligger bak Johnsens tenking og tilnærming.
NorSIS-sjef: Roger Johnsen
OFFENSIV BEREDSKAP
Selvsagt har det norske samfunn beredskap, med etablerte strukturer og aktive tiltak, mot uønsket aktivitet i cyberdomenet, enten det er økonomisk kriminalitet, ulike former for spionasje eller direkte angrep mot kritisk infrastruktur – så vel som sentrale offentlige institusjoner, inklusive Forsvaret og Politiet. Det er – og må være – mange aktører, som hver fra sin kant, på hver sin arena gjør en løpende innsats. Det er også samarbeid, men er det godt nok samvirke?
Og kan vi få til et reelt godt samvirke mellom mange aktører uten felles utdanning, trening og, helt kritisk: øving? For en tidligere offiser med bred operativ erfaring, inklusive tjeneste i Afghanistan, ville det være utenkelig å svare annet enn ’nei!’. Dét er da også svaret til Roger Johnsen – som tenker i disse baner:
”Et umiddelbart mål må være å etablere arenaer for samordnet trening og øving, og å skape felles øvingsfelt hvor deltakere fra ulike aktører kan delta. Utdanning og trening er nødvendig, realistisk øving er helt kritisk.”
Krisehåndtering betyr stress. For å mestre stress må det samvirkes: Flere aktører må som oftest jobbe sammen, med avtalte roller og avklarte prosedyrer. Skal samvirket virke, må aktørene øve – under mest mulig realistiske forhold. Under stress. Det har Forsvaret årelang erfaring med. En del større virksomheter likeså. Men hvor mye samordnet trening og øving er det?
Én slik eksersis var øvelse CyberDawn i 2013, hvor både private og offentlige aktører deltok. Var den initiert av Justisdepartementet? Nei. Av Post- og teletilsynet? Nei. Av DSB? Nei. Av NSM? Nei. Av Telenor. Et selskap som leverer kritisk infrastruktur, og som så nødvendigheten av samordning. ”Vi har gjennom øvelsen fått understreket viktigheten av å koordinere nasjonens samlede kapasitet ved kritiske hendelser i cyberdomenet, på tvers av sektorer, privat og offentlig virksomhet og myndighetsaktører,” uttalte Telenor-direktør Berit Svendsen etter øvelsen, og la til: ”Hendelser i cyberdomenet kan være kritisk for det norske samfunnet, og kan ikke håndteres av noen aktører alene.”
KRAFTFULL ARENA
Det er initiativer på gang, forteller Roger Johnsen, særlig knyttet til CCIS – Center for Cyber and Information Security – ved Høgskolen på Gjøvik. Denne er nå er vedtatt slått sammen med NTNU i Trondheim, til et kraftfullt teknologimiljø. CCIS er et forsknings- og utdanningssenter med høy internasjonal standard, og en rekke nasjonale aktører på laget, inklusive PST, NSM, NorSIS og Forsvaret – og flere større bedrifter.
“CCIS er et sterkt kompetansemiljø, og et naturlig nav for større samarbeid mellom ulike aktører på dette feltet – fra militær og sivil, offentlig og privat sektor,” framholder Johnsen. Fra Forsvaret er han godt vant med integrerte kompetansemiljøer, hvor det drives utdanning, trening og øving, men også forskning og utvikling – inklusive doktrine- og systemutvikling – innenfor ett, bredt fagmiljø. Det samme trengs innen cyberfeltet, skal nasjonen stå godt nok rustet i samtid og framtid, mener NorSIS-direktøren.
”Vi må venne oss til at det er og vil være cybertrusler. Vi kan ikke låse oss inne, vi må lære oss å leve med dem – å håndtere trusselbildet. Det forutsetter et større, bredere samarbeid på tvers av sektorer, og på både strategisk og taktisk nivå.”
En del av samarbeidet må rettes mot å identifisere felles målsettinger og utforme felles prosesser, mener Roger Johnsen. ”Og det er svært viktig å samles, for å gjennomgå felles utfordringer og evaluere gjennomførte tiltak – igjen og igjen, også for at personer og organisasjoner skal bli kjent med hverandre.” Vi har et sektorisert samfunn, og (over-) styring vil ofte ikke fungere, mener han; derfor er samarbeid best. ”Men vi må bli mye flinkere til å samarbeide! Samarbeide – og samvirke.”
Et spørsmål er da hvem som har et tydelig oppdrag, og tar et ansvar – for å sørge for at samarbeid og samvirke skjer. Justis- og beredskapsdepartementet, som regjeringens beredskaps- og sikkerhetsdepartementet, har et overordnet ansvar, også for koordinering. Tilknyttet dette, men forvaltningsmessig underlagt Forsvarsdepartementet, har Nasjonal sikkerhetsmyndighet (NSM) en klar rolle som overordnet og sektorovergripende ansvarlig på utøvende nivå. Det skjer bl.a. gjennom NorCERT: Norges nasjonale senter for håndtering av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon.
Forsvaret har et sterkt fagmiljø og et samordnet system på dette feltet, noe Roger Johnsen selv har vært med på å bygge opp over mange år. Forsvaret har nå Cyberforsvaret (CYFOR) nærmest som en egen forsvarsgren, men med primæroppgave å sikre militære systemer og strukturer, i liten grad å støtte sivilsamfunnet. ”Forsvaret har – også på dette området – betydelig erfaring med trening og øving, og med å sette oppdraget i fokus. Situasjonsforståelse, og forståelse for oppdraget, er helt avgjørende,” understreker Johnsen, og mener sivile aktører har mye erfaring å hente fra Forsvaret – og at Forsvaret på sin side har mye å tilføre sivilsamfunnet.
TRE TRENDER
Den nye NorSIS-direktøren ser tre trender i det digitale trusselbildet. Tre forskjellige forhold som har dét til felles at moderne teknologi og globale nettverk gjør kontakt og kommunikasjon mye mer effektivt enn noen gang:
Det første forhold Johnsen peker på er at kriminaliteten blir mer usynlig; den flyttes over til det digitale rom – og det blir mer datakriminalitet. Det andre er at ekstreme krefter bruker internett mer som et verktøy for å nå sine mål; de retter også i stadig større omfang data-angrep mot mindre virksomheter. Det tredje forholdet er at fremmede makter trapper opp cyber-etterretningen mot Norge – mot offentlige instanser så vel som private bedrifter.
”Det siste ble jo sterkt understreket i PSTs siste trusselvurdering,” påpeker Johnsen, som også minner om Aftenpostens avsløringer i fjor, om utplassering av såkalte falske basestasjoner – for ulovlig avlytting – i Oslo sentrum. PST pekte spesifikt på Kina og Russland som særlig aktive innenfor elektronisk etterretning i Norge, og både statlige organer og private selskaper, som i disse landene er tett knyttet til staten, må formodes å drive denne type virksomhet.
Johnsen peker på at industrispionasje pågår i stort omfang, og utgjør en trussel mot både store og små bedrifter, og samfunnet som sådan. Én ting er at det kan ramme – og svekke – den enkelte bedrift, bl.a. ved at forretningshemmeligheter kommer på avveie, forklarer direktøren for NorSIS – som arbeider spesifikt med å hjelpe særlig mindre bedrifter til å beskytte seg. ”Norge har verdifull kompetanse på en rekke områder, og vår strategiske geografiske beliggenhet, og vår politikk på sentrale områder, er av betydelig verdi for fremmede aktører.” Han bruker Nordområdene som eksempel: Norsk politikk her er viktig, og fremmede stater vil ha interesse av å vite hvordan Norge tenker, og ser for seg å handle i internasjonale fora, for å posisjonere seg selv. Norsk teknologi er på flere felt svært avansert, mens andre land strever med å tette gap på det teknologiske området – samtidig som konkurrerende bedrifter vil være ute etter å skaffe seg kunnskap.
I fjor var det tilløp til diskusjon om sikkerhetsaspektet da det kinesiske storselskapet Huawei ble tildelt kontrakter for utbygging av det norske telekomnettet. Både PST og NSM uttrykte bekymring over at et kinesisk selskap, med åpenbart nære bånd til kinesiske myndigheter, fikk et så sterkt inngrep med – og innsyn i – dette samfunnskritiske området. Derved, hevdet kritiske røster, kan Kina i realiteten slå ut hele Norges telenett.
Roger Johnsen vil som NorSIS-sjef ikke ha noen offentlig oppfatning om denne saken som sådan, men mener den er velegnet til å illustrere behovet for bevissthet omkring slike investeringer – og kontrakter. Han peker på at utenfor forsvarssektoren er det ikke ofte denne type sikkerhetsaspekt tillegges tilbørlig – om overhodet noen – vekt i offentlige anskaffelser. Og han minner om at USA nektet Huawei adgang til den type oppdrag selskapet fikk i Norge.
”Store selskaper har oftest gode systemer og rutiner, med dyktige folk, for å håndtere digitale trusler. Små bedrifter har det ikke,” fastslår NorSIS-direktøren, og peker på at rundt 90 % av norske virksomheter har mindre enn ti ansatte. Også små selskaper kan sitte med vital spisskompetanse av vesentlig verdi for andre, framholder han. ”Digital etterretning er, enkelt sagt, organisert tyveri av våre verdier – av framtidig verdiskaping i Norge.”
DIGITAL SAMFUNNSVERDI
For digitalisering er verdiskaping. Og det er dette som må være grunnlaget for enhver diskusjon omkring nettverkstrusler og cyberforsvar. Vi må forstå den digitale realitet i et moderne samfunn; den digitale virkelighet vi faktisk lever i. På godt og vondt. Det vonde ligger i sårbarheten som bruken – og avhengigheten – av digitale løsninger gir. Det gode, som etter Roger Johnsens oppfatning helt åpenbart veier tyngst, er digitaliseringens samfunnsverdi:
”Digitalisering skaper verdi, den skaper velferd,” fastslår NorSIS-sjefen. Han peker på rapporter fra bl.a. World Economic Forum som beregner hvilken drivkraft digitalisering er i en moderne økonomi. Kort sagt: Uten digitaliseringen stagnerer veksten. Og uten digitale løsninger stanser samfunnet.
”Norge må nyttiggjøre seg teknologien – til beste for folket,” er cyber-fagmannen Roger Johnsens grunnholdning. En nærliggende, logisk tilnærming blir da: Etter andre verdenskrig bygde vi opp et sterkt militært forsvar – mot definerte militære trusler – og støttet av et totalforsvarskonsept. I vår tid trenger vi å bygge et sterkt nasjonalt cyberforsvar – mot sammensatte digitale trusler – som en sentral del av en ny totalberedskap. For å håndtere risiko, verne om våre verdier – skape trygghet. Også i det digitale rom.
TRUSLER OG TRENDER
95 prosent av norske husstander var i 2014 på nett. Samtidig som ulike trusler tiltar i cyberdomenet – ikke minst rettet mot småbedrifter og privatpersoner. Mens bevisstheten rundt truslene, og tiltak mot dem, er så som så. ID-tyveri er én trussel mot privatsfæren; enda mer utbredt er ulike former for terrorisering og trusler, eksempelvis utlegging og spredning av private bilder, eventuelt med forsøk på utpressing.
Vår tiltagende teknologibruk etterlater også stadig flere spor – som kan misbrukes både av de som kun ønsker å angripe oss som forbrukere, og de som har med ondsinnede hensikter. Digitalisering av offentlige tjenester bidrar også til slik registrering som setter personvernet under press, og kan åpne for målrettet kriminalitet. Og mens kriminaliteten generelt er redusert, øker datakriminaliteten.
Dette er noe av essensen fra en fersk rapport fra NorSIS, ’Trusler og trender 2015’, som også peker på at cyberangrep utført av statsmakter er tiltagende, og at enkelte terrorgrupper er i ferd med å bygge opp evne til cybersabotasje.
Les rapporten her.