Forsvarslinjer er en arena for offentlig ordskifte: Om totalberedskap og trygghet – og om Forsvarets framtid. Hovedspørsmålet fram til våren 2016 er hvilket militært forsvar Norge trenger – og Forsvarets rolle i samfunnet. 
 
 

Cybersikkerhet: Er det noe å bry seg om, da?

IKT er en kritisk samfunnsfunksjon, et fundament for samfunnssikkerhet. De alle fleste sider ved et moderne samfunn er avhengig av informasjon og informasjonsteknologi. Virksomheter er helt avhengig av datasystemer til en rekke funksjoner. Distribusjon av mat, vann og kraft er avhengig av IKT i hele prosessen; det samme er transport, helsevesen og finanstjenester.

Moderne forsvarsorganisasjoner bruker våpen som er kontrollert av datamaskiner, og enda viktigere: militære avdelinger og hovedkvarter koordinerer og leder alle operasjoner gjennom kommunikasjonsnettverk og datasystemer som gjør det mulig å dele et felles situasjonsbilde. Logistikk er også helt avhengig av IKT-systemer for å styre og optimalisere leveranser.

Avhengighet – cybersikkerhet
Avhengigheten av IKT øker betydningen av cybersikkerhet, ikke minst fordi cyberrommet er sårbart for aktiviteten til hackere, kriminelle og terrorister – og statlige aktører. Gjennom cyberrommet kan disse stjele penger, intellektuell eiendom eller gradert informasjon; de kan manipulere informasjon, skade viktige data, ødelegge eller forstyrre kontrollen med produksjonssystemer, eller de kan nekte tilgang til digitale tjenester.

Cybersikkerhet dreier seg derfor om teknologi, prosesser og retningslinjer som skal hjelpe til med – i beste fall – å forhindre, men kanskje mer realistisk, å redusere de negative konsekvenser av uønskede hendelser i cyberrommet. Hendelser som kan inntreffe som følge av operasjoner mot vår kritiske informasjonsinfrastruktur – planlagt og utført av noen som vil oss vondt.

En rekke hendelser, som terroraksjonen 22. juli 2011, ulike cyberhendelser og avanserte forsøk på cyberspionasje rettet mot næringsvirksomhet og statlige organer har forsterket vår bekymring for sårbarheten til IKT-en vi alle er helt avhengig av.

Beslutningstakere uttrykker stadig sterkere bekymring for at ondsinnede aktører med store finansielle og personellmessige ressurser vil identifisere og utnytte sårbarheter i vår kritiske informasjonsinfrastruktur – for å kunne påføre samfunnet vårt skade i en krisesituasjon. Regjeringens oppnevning av et digitalt sårbarhetsutvalg våren 2014 er et forsøk på å komme i forkant av denne utviklingen.

Cybersikkerhet – utfordringer
Utfordringer forbundet med cybersikkerhet skyldes særlig tre forhold: tilstedeværelsen av ondsinnede krefter på nettet, samfunnets fullstendige avhengighet av IKT for de viktigste samfunnsfunksjonene, og den uunngåelige sårbarheten i IT-systemer som igjen kan utnyttes av de som vil oppnå noe ved å ødelegge eller skade oss gjennom cyber.

På tross av dette ser det ut som om at vi alle fortsatt forventer at IKT-en og datasystemene våre skal gjøre det de skal gjøre – når vi vil at de skal gjøre det, og ikke gjøre det vi ikke vil de skal gjøre. Å møte og oppfylle en slik forventning er hva cybersikkerhet egentlig dreier seg om.

Med dette som bakteppe er det nærliggende å se på cybersikkerhet som en kontinuerlig og evigvarende kamp, hvor vi ikke vil kunne komme opp med en endelig løsning på problemet.

Jeg ser også på sikkerhetsutfordringene i cyber som et resultat av IT-systemenes kompleksitet, sett i forhold til vår egen høyst varierende evne til å vurdere og beslutte hvilke handlinger vi skal iverksette, sett i et cybersikkerhetsperspektiv. Cybertrusselen endrer seg nærmest kontinuerlig og våre motstandere tar i bruk stadig nye dataverktøy og teknikker for å kunne kompromittere og trenge gjennom våre ”brannmurer”. Etter hvert som digitaliseringen skrider fram og samfunnet vårt blir stadig mer nettverksbasert, forsterkes kriminelle og uvedkommende sitt ønske om å kunne skaffe seg adgang til våre systemer.

Ut fra dette er det naturlig å slutte at arbeidet med cybersikkerhet må være en kontinuerlig prosess i alle organisasjoner og virksomheter og ikke noe som gjøres en gang og så glemmes.

Løsning? Håndtering!
Det aktuelle spørsmålet for beslutningstakere er ikke hvordan problemene kan løses, heller hvordan de kan gjøres håndterbare. Samfunnsutfordringer som krig, terrorisme, kriminalitet, sult og narkotikamisbruk vil neppe bli ”løst” eller slettet fra den politiske agenda en gang for alle. Viktigheten og oppmerksomheten rundt disse problemene vil øke og minske avhengig av omstendighetene rundt dem, og jeg tror ikke det er mange som forventer at slike problemer vil bli løst på en måte som gjør at de aldri vil dukke opp igjen. Det samme er nok tilfelle når det gjelder cybersikkerhet.

På tross av dette har forbedringer av cybersikkerheten hos individer, virksomheter, organisasjoner, statlige organer, foretak – og ikke minst nasjonen selv, stor verdi i forhold til å kunne redusere tap og ødeleggelse av verdier som kan assosieres med dårlig cybersikkerhet.

Forbedring av sikkerheten krever økt fokus på to områder; mer effektiv og utstrakt bruk av det vi allerede vet om hvordan cybersikkerheten kan økes, og ikke minst: nye tiltak for å forske på og utvikle ny kunnskap og kompetanse om emnet.

Utilstrekkelig – kortsiktig
Fram til i dag vil jeg hevde at offentlig tilgjengelig informasjon om og gjennomførte tiltak for å bedre vår cybersikkerhet har vært utilstrekkelig i forhold til å motivere for økt bevissthet om og eierskap til cybersikkerhetsutfordringene som nasjonen og samfunnet vårt står ovenfor.

Alt for mange beslutningstakere har et kortsiktig perspektiv. De er opptatt av kostnadene forbundet med å forbedre egen organisasjons cybersikkerhet i dag – og gjør for lite for å ta tak i nasjonens utfordringer som helhet.

Hvis vår totale sikkerhet skal kunne forbedres på dette området, må vi få en helt annen grad av konkret samarbeid mellom offentlig og privat sektor. Vi må gå fra prat til handling. Et lyspunkt her, og et godt eksempel på offentlig/privat samhandling, er etableringen av Center for Cyber- and Information Security (CCIS) på Gjøvik. Dette er et forskningssenter finansiert av offentlige og private virksomheter i et partnerskap. Vi må få mer av dette.

Sikkerhet vs. frihet
Cybersikkerhet er viktig for nasjonen og samfunnet, men vi har også andre interesser og hensyn å ta. Derfor vil det være nødvendig å komme fram til akseptable kompromisser også gjennom de politiske beslutningsprosesser. Som nasjon ønsker vi best mulig cybersikkerhet, men vi ønsker oss også et samfunn og en privat sektor hvor innovasjonsevnen er framtredende og hvor man kan kommunisere raskt og enkelt. Og ikke minst, vi vil ha et samfunn hvor den individuelle borgers rettigheter og beskyttelse av private opplysninger blir holdt i hevd.

Videre forskning og tenking rundt cybersikkerhet vil kunne vise seg å avdekke at det ikke er så vanskelig å trekke grenser mellom hva som skal være den personlige og private sfære, og hva myndighetene skal ha innsyn i. Like fullt vil nok våre politiske ledere bli nødt til å konfrontere problemstillingen heller enn å gli unna beslutninger omkring hvor mye eller lite av vårt ”private digitale rom” vi vil være villige til å ofre på samfunnets cybersikkerhetsalter – for å oppnå en tilfredsstillende sikkerhet både for den enkelte borger og samfunnet som helhet.

Teknologi – og mye mer
Cybersikkerhet er et komplekst område hvor dyp forståelse krever kunnskap og ekspertise om IT og IKT, men også områder som psykologi, økonomi, statsvitenskap, organisasjonsteori, internasjonale relasjoner, sikkerhetspolitikk og jus. Selv om teknologi er viktig, så dreier ikke cybersikkerhet seg først og fremst om teknologi, selv om det er fort gjort å grave seg ned i teknologiske problemstillinger. Det gjør heller ikke saken enklere at kunnskap og informasjon om cybersikkerhetsmessige forhold ofte blir inndelt og behandlet etter sektorvise kriteria. Noe som gjør det vanskelig å forstå og behandle emnet i en tverrfaglig ramme.

Cybersikkerhetsutfordringen vi står ovenfor vil nok aldri bli løst en gang for alle! Løsninger på delproblemer, begrenset i omfang og varighet, er også vel så mye av ikke-teknologisk som av teknologisk natur. Derfor må også en fullstendig og gjennomgripende behandling av sikkerheten i cyber handle vel så mye om prosesser – hvordan brukerne faktisk bruker IT, og om strategi og retningslinjer: om hvordan organisasjoner som brukerne er en del av, ber om og krever av brukerne hvordan de skal nyttiggjøre seg og behandle IKT-systemene.


Om forfatteren: Generalmajor Roar Sundseth (P) (1954) var den første sjef for Cyberforsvaret (2012–13), og er nå Senior Rådgiver Strategisk Cybersikkerhet i Watchcom SG. Sundseth har en lang militær karrière med utspring i Hærens samband, og har studert ved Forsvarets Høgskole, US Army War College og NATO Defence College. bl.a. som stabssjef i 6. divisjon og nestkommanderende ved FOHK. Han har også tjenestegjort ved US Central Command i Tampa.
Se debatt
 (0 kommentarer)
 
 
Velkommen til debatt. Tenk over hvordan du vil fremstå i det offentlige rom. Vi lar deg være anonym, men husk at å bruke fullt navn gir deg mer troverdighet. Hold deg til saken og vis respekt for de andre i kommentarfeltet. Vi sletter hatske, truende eller sjikanerende innlegg.
 
Si din mening