IKT NORGE: Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet

Takk for anledningen til å gi IKT Norges synspunkter.

Trusselen fra cyberkriminelle har vokst sterkt de siste 12 månedene. Samtidig har Norge blitt den viktigste gassleverandøren til et Europa i krig.  Samlet har dette gjort Norge til et av de mest utsatte landene i Europa. Både for cyberkriminalitet, påvirkningsoperasjoner og for konkrete sabotasjeaksjoner. 

Så er spørsmålet: 

  • Har det norske samfunnet nå en ny, felles, situasjonsforståelse og kunnskap om hva som kreves av hver enkelt?
  • Har Norges samlede innsats økt i samme tempo som truslene mot Norge?
  • Har Norge gjort ekstraordinære tiltak - ekstraordinære endringer - ekstraordinære bevilgninger - for å møte denne nye og alvorlige situasjonen?
  • Eller fortsetter vi som før - med kun små justeringer?
  • Og med å diskutere nye Stortingsmeldinger som slår fast det vi allerede vet, og hvor de viktigste tiltakene er å sette ned utvalg som skal utrede mer? 

Det er positivt med en Stortingsmelding i den akutte situasjonen vi er i, men vi mener den ikke i stor nok grad tar inn over seg behovet for en mer helhetlig tenkning. Vi synes heller ikke den er tydelig nok på hva som konkret må gjøres, og hva de beste virkemidlene er.  

Vi er i en alvorlig og ekstraordinære situasjon. Riksrevisjonen har i flere ulike rapporter varslet om kritikkverdige forhold knyttet til digital sikkerhet og motstandskraft. Vi må gjøre mer, innsatsen må koordineres bedre, samarbeidet mellom privat og offentlig sektor må styrkes, og ansvaret må bli tydeligere. Både på lang, mellomlang og kort sikt. Lite av disse utfordringene svarer Stortingsmeldingen på.

Team Warholm har mottoet: Godt gjort er bedre enn godt sagt. 

I Norges arbeid med cybersikkerhet generelt, og også i denne Stortingsmeldingen spesielt - er mye godt sagt  - men for lite godt gjort. Jeg har lyst til å legge til: Det er typiske norsk å være god … på situasjonsbeskrivelse.

Jeg vil peke på seks områder vi konkret mener må styrkes:

1. Kompetanse

Kompetansekrisen i Norge innen teknologi er akutt og voksende, spesielt innen datasikkerhet. Dette er avgjørende for Norges evne til “digital motstandskraft for å ivareta nasjonal sikkerhet”.

I meldingen skriver regjeringen at kunnskap og kompetanse er avgjørende for kollektiv motstandskraft.

Dessverre har ikke Regjeringen vist vilje til å prioritere dette:

  • Norge trenge flere med IKT utdanning - men Regjeringen har varslet kutt i antall studieplasser innen IKT
  • Regjeringen konkluderer i meldingen at det er kritisk at 60% av dr.grad studenter innen cybersikkerhet kommer fra utlandet. Men i steden for tiltak nå, vil de sette ned et utvalg som skal vurdere om man skal gjøre noe. Vi mener man ikke trenger et utvalg for å konkludere med at det er viktig med sikkerhetsklarerte personer med høyeste grad innen cybersikkerhet i fremtiden.
  • Vi mener i tillegg vi må se på kompetansen i de nordiske landene samlet, og åpne for felles sikkerhetsklarering på tvers i Norden. Det vil skape et større marked, og gjøre at felles kritisk kompetanse kan utvikles og utnyttes bedre.
  • Vi må også stille krav om cyberkompetanse.  Alle ledere i stat og kommune må f.eks. pålegges å ta NSMs grunnkurs i cybersikkerhet som et minimum.

2. Teknologi

Justisdepartementet skriver i punkt 4.5 at det er viktig å vurdere hvilke teknologier som er av betydning for nasjonal sikkerhet. Eksempler som nevnes er kvanteteknologi, kunstig intelligens, og datavitenskap

IKT NORGE er helt enige i beskrivelsen, men regjeringen har ikke fulgt dette opp med handling:

  • Norge fikk sin første AI strategien for 3 år siden - men ingenting har skjedd etter dette.
  • Norge er eneste landet i Norden som ikke har en egen kvantedata-strategi.
  • I tillegg kommer det tilbakevendende punktet om kompetanse, spesielt innen teknologi  og behovet for utdanning av flere med realfag

Det foregår et teknologisk kappløp mellom demokratiske og autoritære allianser. Konsekvensene av å ikke ha et teknologisk forsprang vil direkte true våre verdier og vår nasjonale sikkerhet. Det er derfor avgjørende at teknologisk innovasjon prioriteres høyere fremover.

3. Autonomi

Det er hverken mulig eller ønskelig med nasjonal autonomi. Derimot er det er det ekstremt viktig med regional autonomi og allianse-autonomi. Norge må raskest mulig få på plass et omfattende og forpliktende samarbeid i Norden. IKT-Norge foreslår tre strakstiltak:

Sikkerhetsklarering: Norge må få plass en sikkerhetsklarering av personell på tvers i Norden. Dette vil styrke Norden som et sikkerhetsmessig kraftsentrum og lette tilgangen på kompetanse.

Infrastruktur: Vi må se på Norden som en enhet når det gjelder redundans av kritiske komponenter i den digitale infrastrukturen. Dette gjelder blant annet føringsveier, kontrollsenter og sikkerhetslager av komponenter.

Lagring av data: Vi må se på lagring av data i et Nordisk perspektiv. Krigen i Ukraina har lært oss mye, bl.a.at det ikke er sikkert å lagre alle data, og ha ha alle kritiske systemer, kun i sitt eget land.

4. Lover og regulering

Sikkerhetsloven må faktisk implementeres i alle sektorer. Det er nå tre år siden den trådte i kraft, men i følge Riksrevsjonens rapport har ikke Justisdepartementet god nok oversikt over statusen i de ulike sektorene, eller kontroll på når den faktisk vil være ferdig implementert. 

NIS 2 må forberedes godt og implementeringsplanen til Norge må på plass så fort som mulig. Det skaper både forutsigbarhet for berørte aktører og høynet beredskap.

5. Internasjonalt samarbeide

Norge har vært verdens beste på analog fredsarbeid i 50 år. Nå må vi ha ambisjon om å bli best på digitale fredsarbeide. Vi burde brukt plassen vår i Sikkerhetsrådet til nettopp å tatt den posisjonen. Den muligheten lot vi gå fra oss. Men ambisjonene må være at vi spiller en ledende rolle i det internasjonale samarbeidet. Norge er blant verdens mest digitale samfunn, og er dermed også blant de mest sårbare. Samtidig har vi erfaring og kompetanse vi må utnytte til å ta en ledende rolle internasjonalt.

6. Kultur og ledelse

Riksrevisjonen har de siste 18 mnd kommet med en rekke ulike rapporter som til dels er svært kritisk til digital sikkerhet i offentlig forvaltning. Det gjelder svært kritiske områder som NVEs, Politiets, Forsvarets, Utenriksdepartementets, Oljedirektoratets, Helseforetakene og nå siste regjeringens, dv.s Justisdepartementets arbeid. 

Ingenting av dette er spesielt overraskende. Den neste rapporten fra Riksrevisjonen vil høyst sannsynlig inneholde det samme – uansett hvilke sektor som blir undersøkt.

Hvorfor?

  • Vi  mangler en felles situasjonsforståelse og en sikkerhetskultur
  • Vi mangler evne og vilje til å sanksjonere. Når frister ikke nås, når aktiviteter ikke blir gjennomført, når nødvendig lederskap ikke blir utført
  • Vi mangler en tydelig ledelse og rolleavklaring som sikrer riktige beslutninger til riktig tid i en krise
  • Og vi mangler en trygghet for en effektive hendelseshåndtering og kriseledelse når de store og omfattende angrepene kommer.

Dette dreier seg ikke først og fremst om innføring av nye lover og regler - men om kunnskap, kultur - og ledelse. Vi har for mange eksempler på det motsatte. Det gjelder både Stortinget og regjering. Vi har vært, og er, grunnleggende naive i vår tilnærming til digital og hybride trusler både mot Norge som nasjon, men også mot norske institusjoner og næringsliv. 

Vi trenger mer kompetanse, bedre kultur og ledelse.

Stoltenberg sa for noen uker siden når det gjaldt dagens situasjon:

  • Krig – er for alvorlig til å overlates til generalene
  • Næringslivet – er for alvorlig til å overlates til næringslivsledere
  • Jeg vil føye til at politikk – IKKE er for alvorlig til å overlates til politikere
  • MEN: Politikk er for alvorlig – til at handling ikke følger ord eller konkret innsats. 
  • Og tiden fra ord til handling er nå mer avgjørende enn noen gang!

Takk for oppmerksomheten