1. Sammendrag
- 1.1 Innledning
- 1.2 Telenettenes oppbygging og forholdet til sikkerhet og beredskap
- 1.3 Risiko og trusselbilde for norske telenett
- 1.4 Telepolitikk og teleberedskap
- 1.5 Organisering av arbeidet med telesikkerhet og -beredskap
- 1.6 Prioritet i telenettene
- 1.7 Samlokalisering i fjellanlegg
- 1.8 Redundans i telenettene
- 1.9 Kommunikasjon for prioriterte brukere i Totalforsvaret
- 1.10 Andre telesikkerhets- og teleberedskapstiltak
- 1.11 Sårbarhet i Internett
- 1.12 Administrative og økonomiske konsekvenser
Telekommunikasjon er et område som mange andre samfunnsfunksjoner er avhengig av. Sårbarhetsreduserende tiltak innenfor denne sektoren vil derfor få betydning for en rekke andre funksjoner og således komme samfunnet som helhet til gode. Robuste telekommunikasjoner vil ha avgjørende betydning for beskyttelse av samfunnet ved at sentrale funksjoner i den normale samfunnsvirksomhet i fred og krig kan opprettholdes. For å sikre samfunnet tilgang til robuste telekommunikasjoner må staten påse at det implementeres sikkerhets- og beredskapstiltak i de offentlige telenett. Samferdselsdepartementet skisserer i meldingen en strategi for telesikkerhet og -beredskap tilpasset en telesektor i fri konkurranse.
Det moderne samfunnet omtales ofte som informasjonssamfunnet. Et grunnleggende kjennetegn som særpreger informasjonssamfunnet er evnen til å formidle store mengder informasjon hurtig, over store avstander og til lav pris. Tilgangen til opplysninger, fakta og vurderinger er enorm, og mulighetene for å informere eller rådføre seg med andre blir både flere og enklere.
Utviklingen av informasjonssamfunnet hadde ikke vært mulig uten utviklingen innen og utbredelsen av informasjonsteknologi og telekommunikasjon. Rimelig informasjonsteknologi og telekommunikasjonsteknologi gjør det lønnsomt for markedet å bygge opp nye typer tjenester basert på denne teknologien.
Parallelt med utviklingen innen informasjons- og kommunikasjonsteknologi (IKT) ser vi en økende globalisering innen mange samfunnsområder. Utviklingen innen telekommunikasjon gir oss verdensomspennende nett for telekommunikasjon over nasjonale grenser, og gir dermed nye muligheter for alternativ organisering, lokalisering og styring av virksomheter.
Vi ser en økende gjensidig avhengighet mellom ulike samfunnsområder. Alvorlige forstyrrelser på et område kan få store ringvirkninger for andre funksjoner. I denne sammenheng kan det være interessant å skille mellom:
– funksjoner som svært mange andre funksjoner er avhengig av, og
– funksjoner som selv er avhengig av svært mange andre funksjoner.
Ut fra en slik vurdering vil en kunne finne de funksjonene som er mest viktig for øvrig samfunnsvirksomhet. En vil også se hvilke funksjoner som er sårbare hvis annen samfunnsvirksomhet svikter. En slik vurdering gjenspeiles i figur 1.1 i meldingen.
Det er spesielt de tre funksjonene kraftforsyning, telekommunikasjon og ledelse/informasjon som skiller seg ut som vesentlige for all samfunnsvirksomhet. Svikt innen en av disse funksjonene vil kunne medføre svikt i mange andre samfunnsfunksjoner, og de kan således betraktes som bærebjelker som må være intakte for at samfunnet skal fungere. De sterke gjensidige avhengighetene i samfunnet er forhold som bidrar sterkt til det moderne samfunnets sårbarhet, og dette vil sannsynligvis forsterkes de kommende år.
Samtidig med samfunnets økende avhengighet av telesektoren, har telesektoren i løpet av få år gjennomgått store endringer. Utviklingen har gått fra et statlig Televerk med enerett til et konkurransemarked med mange aktører, en utvikling en også finner i de fleste andre land i den vestlige verden. En rask teknologisk utvikling har gitt sterk vekst i teletjenestenes funksjonalitet og kapasitet. Internett har vært viktig i denne utviklingen. Utviklingen har videre ført til en globalisering både med hensyn til eierstrukturer innen telebransjen og i telenettenes utbredelse. Etter murens fall står vi nå også overfor et helt nytt og annerledes trusselbilde enn tidligere der høyteknologiske trusler blir stadig viktigere.
Samlet sett fører denne utviklingen til et mye mer komplekst og uoversiktlig bilde enn tidligere, som setter helt nye krav til myndighetenes rolle. Økt avhengighet av telekommunikasjon, mange nye aktører og rask teknologisk utvikling gjør det nødvendig for myndighetene å ta i bruk andre virkemidler enn tidligere for å oppnå et sikkert samfunn.
Økt avhengighet og konsekvensene av svikt understreker viktigheten av å iverksette forebyggende tiltak innenfor telesikkerhet og teleberedskap, noe som har blitt demonstrert ved flere anledninger i de siste par år.
Telenettenes oppbygging og forhold til sikkerhet og beredskap er omtalt i kap. 2 i meldingen.
Grunnleggende elementer i telenettene er aksessnett, transportnett, tjenestenett, drifts- og støttesystemer og brukerutstyr.
I tillegg til nettinfrastrukturen består telenettene også av ulike typer IKT-baserte produksjonssystemer. Disse sørger for at nettet til enhver tid leverer teletjenester til brukeren på en mest mulig kostnadseffektiv måte.
Telesikkerhet som begrep omfatter:
– Tilgjengelighet - at systemet er sikret mot avbrudd i sin forventede funksjon og at systemet har tilgang til nødvendig datainnhold.
– Integritet - at systemet er sikret mot manipulering med systemets funksjon og datainnhold.
– Konfidensialitet - at systemets funksjon og datainnhold er sikret mot innsyn.
For å oppnå nødvendig robusthet og sikkerhet i tele- og IT-systemene, må det iverksettes effektive tiltak for å forebygge, begrense eller håndtere kriser og andre uønskede hendelser så vel i fredstid som i en beredskaps- eller krisesituasjon. Det må med andre ord etableres både planer og gjennomføres faktiske tiltak som er gode nok til å kunne møte forhold som innebærer ekstraordinær risiko, for eksempel påkjenninger i forbindelse med sikkerhetspolitiske kriser og krig. Det er slike tiltak som inkluderes i begrepet teleberedskap.
Samferdselsdepartementet har i meldingen valgt å avgrense sikkerhet til å omfatte brukers tilgjengelighet til informasjon gjennom telenettene, og i mindre grad andre former for sikring av brukers informasjon. En sentral årsak til dette er at tjenestetilgjengelighet i all hovedsak ligger i den enkelte teleoperatørs disposisjoner. Når det gjelder integritets- og konfidensialitetsbeskyttelse, har brukeren selv god mulighet til å forestå dette blant annet gjennom tilgang til stadig flere produkter på området.
Det vurderes likevel som viktig at telemyndigheten i samarbeid med andre aktuelle myndigheter også følger opp med tiltak rettet mot økt integritet og konfidensialitet i telenettene. Utarbeidelse av veiledere for informasjonssikkerhet for brukere av teletjenester er ett eksempel på en slik oppfølging.
Eksempler på generelle samfunnskonsekvenser som følge av svikt i telekommunikasjon kan være tilhørende svikt i:
– informasjon til befolkningen
– alarm- og nødtelefoner
– elektronisk betalingsformidling
– oversikt over vare- og drivstoffbeholdninger
– sentraliserte funksjoner, f.eks. innen kraftbransjen
– offentlige funksjoner, f.eks. innen utbetalinger, helsetjenester
– trafikkavvikling innen samferdselssektoren
Hendelser som forårsaker svikt i telekommunikasjon kan ha utspring i mange ulike årsaker. En skiller gjerne mellom villede og ikke-villede hendelser. Ikke-villede hendelser kan være tekniske feil eller ødeleggelser som følge av naturgitte fenomener som storm, flom og lynnedslag etc. Også menneskelig svikt og feiloperasjoner inngår i denne kategorien. Slike hendelser vil skje, men må minimeres både i antall og konsekvens.
Villede hendelser er hendelser som har sin årsak i menneskers bevisste handlinger for å skade eller forårsake problemer på annen måte. Motivet og kapasiteten til de som står bak vil være forskjellig, og vil kunne befinne seg i et spenn fra rene barnestreker til velstrukturerte og omfattende angrep fra høyt kompetente individer.
Grovt sett vil trusselen mot telenettene innbefatte følgende fem hovedkategorier av anslag og virkemidler:
– Anslag med fysiske virkemidler mot infrastruktur
– Anslag med elektroniske virkemidler mot infrastruktur
– Manipulasjon med informasjonssystemer innen telefunksjonen
– Overbelastning av telenettene
– Sosiale trusler mot beslutningstakere i driftsfunksjonen i telenettene
I en normalsituasjon er det mest sannsynlig at virkemidlene vil kunne forekomme enkeltvis eller i enkle kombinasjoner. I mer omfattende situasjoner vil trusselbildet være mer komplekst og kunne omfatte en rekke ulike virkemidler i kombinasjon.
Sannsynligheten for alvorlig og langvarig svikt i teletjenester vurderes ut fra dagens trusselbilde til å være liten overfor fysiske angrep. Logiske angrep ved forsøk på inntrenging i telenettenes IT-systemer anses i dag som en større reell trussel. Konsekvensene som følge av slike angrep kan raskt bli alvorlige for større eller mindre deler av samfunnet. Dersom sikkerhetspolitiske kriser eller økt terror etc. inntreffer, øker imidlertid den menneskeskapte fysiske trusselen mot teletjenestene, og dermed også sannsynligheten for omfattende, alvorlig og langvarig svikt. Konsekvensene for Totalforsvarets og samfunnets støtte til det militære forsvaret kan i så fall være svært alvorlige.
Hovedmålene for telepolitikken i Norge er å sikre at alle husstander og bedrifter over hele landet får tilgang til grunnleggende teletjenester av høy kvalitet og til lavest mulige priser, samt å legge til rette for størst mulig verdiskapning og effektiv bruk av ressurser som nyttes til utbygging og tjenesteyting innenfor sektoren.
Fra 1. januar 1998 ble de siste eneretter i telesektoren avviklet, og det ble etablert alminnelig konkurranse innenfor alle deler av telemarkedet i Norge. Den markedsmessige og tekniske utviklingen på teleområdet medfører at den samfunnsmessige styringen av sektoren baseres på regulatoriske virkemidler. Gjeldende regulatorisk rammeverk er utformet bl.a. med sikte på å få i stand overgangen fra monopolsituasjonen til en konkurransesituasjon. Regelverket fokuserer på å etablere et konkurranseutsatt marked der nye aktører gis innpass.
Europakommisjonen fremmet 12. juli 2000 utkast til nytt rammeverk på området for elektronisk kommunikasjon. Forslagene er nå til behandling i Det europeiske råd og Europaparlamentet, og forventes å tre i kraft i 2002/2003.
Reguleringsforslagene fra Europakommisjonens side omhandler i liten grad sikkerhet og beredskap, selv om det legges opp til god funksjonalitet og at det skal sikres et høyt nivå for vern av brukerne. I tillegg presiseres det i direktivutkastet om tillatelser at rettsakten ikke er til hinder for at statene sikrer allmenne interesser som er anerkjent i traktaten, herunder beredskaps- og sikkerhetshensyn.
Sikkerhet og beredskap i elektroniske nettverk står på dagsorden i EU. Det europeiske råd vil sammen med Europakommisjonen utarbeide en samlet sikkerhetsstrategi for elektroniske nett. Det antas at det i første omgang er aktuelt å lage en handlingsplan, og at det på sikt eventuelt kan være aktuelt å opprette et europeisk organ som styrer sikkerhetsarbeidet innen sektoren.
For å få operatørene til å investere i tiltak rettet mot telesikkerhet og teleberedskap kan det være nødvendig med regulatoriske virkemidler gjennom lov, forskrifter eller enkeltvedtak. Någjeldende telelov inneholder bestemmelser som på visse vilkår gir telemyndigheten kompetanse til å gi pålegg og fastsette forskrifter om sikringstiltak i telenett og teletjenester.
Telenor har i sin konsesjon krav om leveranse av spesielle samfunnspålagte oppgaver (SSO) som bl.a. omfatter ytelser til Totalforsvaret. Merkostnader forbundet med disse oppgavene er fra og med 1998 blitt dekket gjennom offentlig kjøp av tjenester over statsbudsjettet. Utførelse av spesielle samfunnsoppgaver er pålagt Telenor i kraft av selskapets ledende posisjon på det norske telemarkedet. Prinsipielt, og i henhold til gjeldende telelov med forskrifter, er det ingen hindring for at også andre aktører kan pålegges å utføre spesielle samfunnspålagte oppgaver. I et etablert og velfungerende marked kan det dessuten være hensiktsmessig og effektivitetsfremmende å la flere aktører konkurrere om samfunnsoppgavene.
En forutsetning for å innføre konkurranse om disse oppgavene vil imidlertid være at flere aktører har opparbeidet betryggende evne til å ivareta oppgavene på en tilfredsstillende og kontinuerlig måte i hele eller deler av landet.
Liberaliseringen av telesektoren har ført til flere tilbydere med egen infrastruktur. Det må sikres at konkurransens negative sider for telesikkerhet og teleberedskap blir håndtert så godt som mulig, og at de positive sidene blir tatt vare på.
Svikt i telekommunikasjon kan få meget alvorlige konsekvenser for samfunnet så vel i fredstid som i krise- og beredskapssituasjoner. Økt avhengighet av telekommunikasjon og konsekvensene av svikt understreker viktigheten av å iverksette effektive, forebyggende tiltak.
I et telemarked der flere operatører etter hvert begynner å få en relativt betydelig posisjon, enkelte også med egen infrastruktur, er det ikke tilstrekkelig at kun én operatør er pålagt å levere teleberedskapstjenester. I 1999 hadde Tele2 og Enitel til sammen en markedsandel på over 10 pst. for offentlig telefontjeneste. Vi kan dermed regne med at en del viktige brukere i Totalforsvaret har fasttelefonabonnement hos andre tilbydere enn Telenor, uten at det foreligger spesielle beredskapsforpliktelser.
Et nytt konsept for teleberedskap vil innebære at flere operatører i tillegg til Telenor pålegges slike beredskapsforpliktelser. Teleloven gir rettsgrunnlag om sikring av telenett også for andre tilbydere.
Bruken av mobiltelefoner har økt kraftig de senere år, med den konsekvens at samfunnet i større grad er avhengig av mobiltelefon som kommunikasjonsmiddel. Også innenfor Totalforsvaret blir deler av kommunikasjonsbehovet dekket gjennom bruk av mobiltelefon, og det er derfor viktig at mobiltelefon kan brukes også i ulike krisesituasjoner. Det nye konseptet vil også omfatte tiltak rettet mot mobiltelefoni.
Ved utformingen av den nye strategien for telesikkerhet og teleberedskap har Samferdselsdepartementet tatt utgangspunkt i anbefalingene fra Forsvarets forskningsinstitutt (FFI) i prosjektet Beskyttelse av samfunnet 2 (BAS2) om sårbarhetsreduserende tiltak innen telekommunikasjon og det frittstående TIFKOM-prosjektet. (TIFKOM=Teleberedskap i fritt konkurransemarked.) Samferdselsdepartementet har fått nærmere utredet og kvalitetssikret de mest sentrale forslagene i TIFKOM-rapporten. TIFKOM-prosjektets sluttrapport har også vært sendt på bred høring, bl.a. til de øvrige departementene og en rekke aktører i telesektoren. Det er enighet blant høringsinstansene om at rapporten bør få en rask oppfølging. Sårbarhetsutvalget støtter i all hovedsak TIFKOM-prosjektets forslag.
I den nye strategien for telesikkerhet og -beredskap vil det inngå en rekke fysiske og teletekniske tiltak, i tillegg til administrative og organisatoriske tiltak.
Uansett hvilket nivå som velges for sikkerhet og beredskap i telenettene så vil myndighetene måtte tillegges omfattende oppgaver på området. I regjeringens fornyelsesprogram for offentlig sektor er det uttrykt en klar målsetting om å begrense/redusere antallet tilsynsenheter i statsforvaltningen. På teleområdet finnes det gjennom Post- og teletilsynet allerede et spesialisert tilsynsorgan som naturlig også bør få ansvaret for telesikkerhet og -beredskap.
På denne bakgrunn har Samferdselsdepartementet besluttet å delegere et særskilt myndighetsansvar for telesikkerhet og -beredskap til Post- og teletilsynet med følgende ansvarsområder:
– Sette krav til telesikkerhet og teleberedskap, og vurdere investeringer i tiltak for å øke robustheten i telenettene, f.eks. investeringer for å øke omrutingsmulighetene i telenettene, etablering av sikrede samlokaliseringssentra som flere operatører gis tilgang til, samt investeringer for å styrke telenettenes reparasjonsbehov og rehabiliteringsevne.
– Føre tilsyn med at pålagte tiltak blir iverksatt.
– Bevisstgjøring, kompetanseheving og veiledning overfor operatører, brukere og andre aktører (kurs, seminarer, bedriftsbesøk, etablering av kompetansefora etc.).
– Arrangere samøvelser og utvikle samarbeid mellom teleoperatørene.
Det vil være naturlig og ønskelig å integrere sikkerhets- og beredskapsarbeidet i den øvrige forvaltningen av telesektoren. Ved å legge også myndighetsansvaret for telesikkerhet og -beredskap til Post- og teletilsynet får teleoperatørene ett felles kontaktpunkt mot myndighetene. I Post- og teletilsynet vil det dessuten være god tilgang på relevant fagkompetanse. Dette er for øvrig i tråd med tilbakemeldingene fra høringen av TIFKOM-prosjektets sluttrapport.
Arbeidet med telesikkerhet og -beredskap må innplasseres i eksisterende organisasjon slik at det ikke oppstår noe motsetningsforhold/habilitetsproblematikk i forhold til andre arbeidsoppgaver.
Samferdselsdepartementet regner med at man for å få et kompetent sikkerhets- og beredskapsmiljø i Post- og teletilsynet bør ha en bemanning på minimum 4-7 personer. Bemanningsstørrelsen må tilpasses ambisjonsnivået for funksjonen, og departementet mener det bør være en gradvis og forsiktig oppbygging av dette feltet. Dessuten må det foretas en nøye avveining mellom den kompetanse tilsynet selv må ha og den kompetanse man kan kjøpe utenfra i tilknytning til de enkelte prosjekter. Beregninger viser at det vil koste i størrelsesorden 5-10 mill. kroner å utføre de nye oppgavene i Post- og teletilsynet det første året med en bemanning på 4 personer. Av dette er 3,2 mill. kroner rene etableringskostnader.
Post- og teletilsynet vil måtte forholde seg til en rekke andre organisasjoner og enheter som har oppgaver relatert til sikkerhet og beredskap. Totalforsvarets råd for sikring av tele- og informasjonssystemer (TRSTI) ble opprettet 1. mars 1998. TRSTI skal i henhold til sitt mandat gi råd til Samferdselsdepartementet i sikkerhets- og beredskapsspørsmål på teleområdet. Departementet mener at TRSTI i fremtiden også bør bli en viktig medspiller for Post- og teletilsynet.
Ansvarsfordelingen mellom Post- og teletilsynet og det myndighetsorgan som etter den nye sikkerhetsloven skal utøve oppgaven som Nasjonal sikkerhetsmyndighet (NSM) er vurdert i samråd med Forsvarsdepartementet. NSM har koordinerings- og kontrollansvaret, i praksis fagmyndighetsansvaret, for alle forebyggende sikkerhetstiltak. Post- og teletilsynet bør kontrollere at de prosedyremessige eller tekniske sikkerhetstiltak som foreskrives i sikkerhetslov med forskrifter, ses i sammenheng med de sikkerhetsmessige krav som det ellers vil være aktuelt å stille for telesektoren.
Sårbarhetsutvalget har i sin utredning bl.a. foreslått at det bør etableres et Senter for informasjonssikring som bør ha som oppgave å koordinere deler av innsatsen for å styrke IKT-sikkerheten og bidra til en mer robust IKT-infrastruktur. Senter for informasjonssikring vil primært være et samarbeidsforum for private og offentlige interessenter, og skal ha som hovedoppgave å varsle deltakerne om trusler og sårbarhet mot IT-systemer. Senteret skal ikke ha myndighetsoppgaver.
Ettersom Post- og teletilsynet og Senter for informasjonssikring vil ha ulike, men beslektede ansvarsområder, mener Samferdselsdepartementet at tilsynet og senteret vil være komplementære og ikke konkurrerende enheter. Nærings- og handelsdepartementet har våren 2001 etablert et forprosjekt med deltakelse fra flere departementer som bl.a. skal avklare forhold omkring formålet med et slik senter, arbeidsoppgaver, organisering, lokalisering/tilknytning samt økonomiske og administrative konsekvenser. Det legges opp til at regjeringen vil komme tilbake til dette.
Kapasiteten i telenettene er dimensjonert med mindre sambandsressurser tilgjengelig enn det som må til for at alle skal kunne benytte disse samtidig. En slik samtidig bruk er normalt heller ikke nødvendig ut fra et bruksmønster som fordeler seg over hele døgnet. Ved alvorlige hendelser, som større ulykker i et område, er det derimot sannsynlig at behovet for bruk av tjenestenettene vil øke sterkt i visse perioder. Dette kan medføre at ikke alle som ønsker det får tilgang til å bruke telenettene. Et felles behov for de prioriterte brukerne i Totalforsvaret, herunder nødetatene, er å bli sikret fremkommelighet i telenettene også i situasjoner der nettene blir overbelastet og ikke kan håndtere trafikkavvikling. For å sikre prioriterte brukere i Totalforsvaret tilgang til nettene også i kritiske situasjoner der mange ønsker å benytte telefon, må det implementeres spesielle prioriteringsmekanismer i telenettene.
Post- og teletilsynet vil få ansvar for å påse at en rekke ulike tiltak for å øke sikkerheten og beredskapen i telenettene blir iverksatt. Det må raskt innføres en ny prioritetsordning i telenettene til erstatning for ordningen med viktig prioritert telefon (VPT) som ble nedlagt fra årsskiftet 2000/2001.
En ny prioritetsordning må omfatte alle tilbydere av offentlig telefontjeneste både i faste nett og mobilnettene, og skal sikre at forhåndsdefinerte viktige abonnenter får prioritet i situasjoner der nettene eller deler av nettene er overbelastet.
En ny prioritetsordning må bl.a. gi øyeblikkelig prioritet til nødnumre fra mobiltelefoner.
Prioritetsordningen må være tilpasset den internasjonale teleunions (ITUs) anbefaling om prioritet i telenettene på tvers av landegrensene.
En ny prioritetsordning vil for øvrig måtte baseres på nærmere definerte krav utarbeidet av Post- og teletilsynet.
Samferdselsdepartementets vurderinger og konklusjoner
Samferdselsdepartementet vil arbeide for at det blir implementert en funksjon for prioritert tjenesteaksess både i faste nett og mobilnettene, for å sikre at forhåndsdefinerte viktige abonnenter får prioritet i situasjoner der nettene eller deler av nettene er overbelastet. En ny prioritetsordning vil bli implementert basert på krav utarbeidet av Post- og teletilsynet.
Krav til en ny prioritetsordning som skal gjelde for alle tilbydere av offentlig telefontjeneste både i faste nett og mobilnettene vil bl.a. være:
– Det må være en sanntidsprioritetsordning.
– Øyeblikkelig prioritet til nødnumre fra mobiltelefoner inkluderes, dvs. en oppringing til et nødnummer kan avbryte allerede pågående samtaler.
– Nasjonal roaming i GSM-nettene innføres for prioriterte brukere i Totalforsvaret. (Nasjonal roaming innebærer at en mobiloperatør med eget nett får anledning til å bruke nettet til en annen nasjonal mobiloperatør for sine kunder.)
– Prioritetsordningen tilpasses ITUs IEPS-anbefaling. Det betyr at den reduserte løsningen for prioritet i mobilnettene ikke kan innføres. Post- og teletilsynet bør sammen med mobiloperatørene ta initiativ overfor denne leverandøren for å søke å få levert prioritet i henhold til GSM-standarden. Dersom dette ikke lar seg gjøre kan det i første omgang bli aktuelt å innføre en todelt prioritetsfunksjon for GSM, ved at den gjeldende GSM-standarden innføres der det er mulig, mens det i de øvrige delene av nettene innføres en redusert prioritetsfunksjon.
– Telenor innarbeider prioritert tjenesteaksess i samtrafikkavtalene med andre nettoperatører og tjenesteleverandører, slik at øvrige aktører som tilbyr offentlig telefontjeneste blir integrert i et nytt prioritetssystem.
– Post- og teletilsynet tar initiativ overfor de operatørene som skal bygge ut tredje generasjons mobilnett (UMTS) slik at det i disse nettene på et tidlig tidspunkt kan legges til rette for implementering av en prioritetsordning som muliggjør ende-til-ende-prioritet i henhold til IEPS-anbefalingene.
Når det gjelder prioritetsordninger i telenettene, er det i dag sterkt fokus på prioritet for talekommunikasjon. I tiden fremover vil imidlertid behovet for prioritet av datakommunikasjon øke slik at viktig informasjon får høyere prioritet enn f.eks. spill. Dette er en problemstilling Post- og teletilsynet vil måtte arbeide videre med.
Telenettene består av en del vitalt utstyr som er avgjørende for at telenettene skal fungere tilfredsstillende. Dette er utstyr av høy verdi og som det er vanskelig å gjenanskaffe ved ødeleggelse. Dersom slikt utstyr blir ødelagt, vil funksjonaliteten i telenettene bli degradert, og i verste fall vil telekommunikasjonen falle ut.
I et kommersielt telemarked er det viktig å sikre viktige installasjoner (sentraler og knutepunkter) til alle tjenesteleverandører av betydning.
TIFKOM-prosjektet tilrår at vitalt telekommunikasjonsutstyr bør plasseres i fjellanlegg med god beskyttelse mot fysiske trusler som f.eks. bombing og elektromagnetisk stråling. Dette er utstyr av høy verdi eller utstyr som det tar lang tid å gjenanskaffe ved ødeleggelse og som er viktig for at telenettene skal fungere.
TIFKOM-prosjektet foreslår videre at fjellanlegg som Telenor i dag eier bør benyttes til dette formålet ved at de oppgraderes til sikrede samlokaliseringssentra hvor også andre teleoperatører kan plassere vitalt telekommunikasjonsutstyr. Det er foreslått samlokalisering i til sammen 15 fjellanlegg, der 10 overtas fra Telenor i tillegg til at det bygges 5 nye anlegg. Forslaget har en kostnadsramme på 1,9 mrd. kroner.
Samlokalisering i fjellanlegg er et tiltak som skal beskytte vitale installasjoner i telenettene mot fysiske trusler slik som f.eks. bombing og elektromagnetisk stråling. Med den sikkerhetspolitiske situasjon vi har i Norge i dag er det ikke den fysiske trusselen mot telenettene som er mest fremtredende, derimot står telenettene overfor en stadig økende logisk trussel, dvs. trusler mot informasjonssystemene i telenettene. Samlokalisering vil ikke beskytte telenettene mot logiske trusler i nevneverdig grad, og det kan derfor stilles spørsmål om hvor mye ressurser det er riktig å bruke på beskyttelse mot fysiske trusler.
Ettersom det utstyret som plasseres i fjellanlegg er av vital betydning for telenettenes funksjonalitet og er vanskelig å gjenanskaffe på kort varsel, kan vi ikke se bort fra behovet for denne type fysiske sikringstiltak. Samferdselsdepartementet mener imidlertid at det omfanget av samlokalisering i fjellanlegg som TIFKOM-prosjektet skisserer er for omfattende og for ressurskrevende i forhold til den nytten en kan forvente å få ut av et slikt tiltak. Departementet mener dessuten det vil bli særdeles vanskelig å få operatørene til frivillig å flytte eksisterende utstyr inn i fjellanlegg, samtidig som det vil bli meget kostbart for staten eventuelt å skulle dekke alle de kostnader som påløper ved en mulig flytting fra dagens lokaliteter og inn i fjellanlegg.
På bakgrunn av ovenstående anbefaler Samferdselsdepartementet at det for eksisterende utstyr og installasjoner som ikke allerede er lokalisert i fjell, ikke stilles krav om at teleoperatører som leverer teletjenester til Totalforsvaret skal sikre vitalt telekommunikasjonsutstyr i fjellanlegg. Post- og teletilsynet bør imidlertid få i oppgave å legge til rette for at det for fremtidige installasjoner skal finnes en mulighet for samlokalisering i fjellanlegg for de operatører som leverer tjenester til Totalforsvaret.
Post- og teletilsynet bør bl.a. gjennomføre en nærmere kartlegging av hvilke fjellanlegg som er mest aktuelle som samlokaliseringssentra, samt hvilke investeringer som er nødvendige for å klargjøre anlegg for samlokalisering. Post- og teletilsynets arbeid på dette området bør skje i nært samarbeid med de operatører som er aktuelle for samlokalisering. Før etablering av et tilbud om samlokalisering i Telenors fjellanlegg må Post- og teletilsynet i samarbeid med Telenor og øvrige operatører komme frem til hvilken modell for samlokalisering som er å foretrekke. Det omfanget som velges for samlokalisering må ta utgangspunkt i en vurdering av de andre operatørenes alternative sikkerhetsløsninger til samlokalisering i fjellanlegg.
Post- og teletilsynet bør for øvrig være spesielt oppmerksom når det gjelder introduksjon av nye teletjenester slik at det tidligst mulig kan legges til rette for fornuftig samlokalisering. Ved at staten legger til rette for samlokalisering i fjell, sikres det at samlokalisering i telenettene skjer i lokaliteter med tilstrekkelig sikkerhet.
Med redundans menes omrutingsalternativer eller reserveløsninger i den enkelte operatørs nett eller mellom ulike operatørers nett.
Transportnett og aksessnett bygges som regel med kritisk vurdering av kostnader forbundet med anlegg og drift. Driftssikkerhet og sikring mot skader i normale og unormale situasjoner kan bli lavt prioritert når konkurranse i markedet er en rammebetingelse og kundene i liten grad er villige til å betale for økt sikkerhet.
Post- og teletilsynet bør derfor følge opp utviklingen i utbygging av teleinfrastrukturen. Gjennom pålegg med hjemmel i regelverk kan Post- og teletilsynet bidra til samarbeid om tiltak for økt redundans i telenettene.
Samferdselsdepartementet mener det vil bli spesielt viktig å få til et samarbeid mellom operatører med landsdekkende transportnett, med tanke på etablering av flere sammenkoblingspunkter mellom disse nettene. Et slikt samarbeid behøver ikke koste mer for tjenesteleverandører. Følgende oppgaver er aktuelle for et tilsynsorgan innen telesikkerhet og -beredskap:
– oppfølging av utbyggingen av transportnett, med sikte på å øke sikkerheten gjennom at ulike operatørers transportnett kan gi reservekapasitet for hverandre.
– oppfølging av utbyggingen av aksessnett, slik at viktige brukere i størst mulig grad kan nytte flere alternativer for tilkobling til tjenesteleverandør, og at kapasitet i en operatørs aksessnett kan være reserve for andre tjenesteleverandører.
– vurdering av muligheter for å etablere løsninger for sammenkobling av telenett, slik at mulighetene for omkobling av trafikk fra et nett til et annet sikres. Dette kan spesielt være av betydning i faser med utbygging og oppgradering av nett, hvor ringstruktur i operatørens eget nett i en periode ikke er tilgjengelig.
Dersom redundansen i telenettene er god gjennom transportnett bygd med ringstruktur samtidig som det finnes flere sammenkoblingspunkter mellom de ulike nettene, utnytter man mangfoldet i markedet til å redusere sårbarheten i telenettene totalt sett. Med dagens trusselbilde mener departementet det er forsvarlig å prioritere tiltak for å øke redundansen fremfor å benytte ressursene på samlokalisering i fjellanlegg. I motsetning til fjellanlegg som hovedsakelig er ment for beskyttelse i forbindelse med sikkerhetspolitiske kriser og krig, vil økt redundans være av betydning over hele utfordringsspekteret fra normalsituasjon til krig. Dette ble ikke minst demonstrert under uhellet i Kristiansand i 2000, der forberedte sammenkoblingspunkter mellom telenett kunne medført at graveskaden hadde fått mindre konsekvenser for samfunnet.
Enkelte brukergrupper vil ha behov for telekommunikasjonsløsninger med ekstra robusthet i forhold til det som er tilgjengelig i de allmenne telenett. Dette har ført til at f.eks. Forsvaret har bygget ut et eget nett, Forsvarets Digitale Nett (FDN), og nødetatene politi, brann og helse vurderer utbygging av et felles mobilt radionett.
Et nytt nett for nødetatene er tenkt basert på TETRA-standarden (TErrestrial Trunked RAdio).
Investeringskostnaden for et landsdekkende nødnett, inkludert utbygging i tunneler, er foreløpig estimert til 5,3 mrd. kroner. Kostnadselementer som brukerutstyr, drift i investeringsfasen og merverdiavgift er tatt med i totalbeløpet.
TIFKOM-prosjektet anser at det eksisterer et stort behov for statlig koordinering og tilrettelegging av telekommunikasjonsløsninger for de brukergruppene som har behov for ekstra sikkerhet og robuste teletjenester. Ved slik koordinering vil en kunne oppnå betydelige synergieffekter.
Det er viktig å få en felles, kostnadseffektiv utnyttelse av sivile og militære sambandsressurser.
TIFKOM-prosjektet har pekt på at dersom et eventuelt nytt felles radiosamband for nødetatene så langt som mulig baseres på Forsvarets digitale nett (FDN), som suppleres med sikkerhetsmessig tilfredsstillende kommunikasjonsresurser fra de allmenne nett, kan denne kombinasjonen samlet danne et godt fundament for å sikre prioriterte brukere i Totalforsvaret tilgang til ekstra robuste mobilkommunikasjonsløsninger.
Forsvarets tele- og datatjeneste (FTD) er i ferd med å gjennomføre et omfattende arbeid for å kartlegge hvor stor del av et eventuelt landsdekkende radionett for nødetatene som kan etableres med basis i FDN og de økonomiske betingelser knyttet til dette. Det som gjenstår og som må utredes videre når dette arbeidet er avsluttet, er hvilke betingelser Forsvaret stiller til aktuelle brukere av et nytt nødnett dersom FDN skal benyttes.
For å gjøre det enklere å samordne innsatsen fra flere aktører under kriser og ulykker, bør også prioriterte brukere i Totalforsvaret utenom nødetatene politi, helse og brann gis mulighet til være brukere av et eventuelt nytt nødnett.
Samferdselsdepartementet mener at Post- og teletilsynet og TETRA-prosjektet i fellesskap bør utrede videre forutsetninger for å inkludere prioriterte brukere i Totalforsvaret som brukere av et eventuelt nytt radionett for nødetatene, med spesifisering av krav til sikkerhet, eventuell bruk av FDN som integrert del av nettet, og økonomiske forutsetninger mv.
Eventuell utbygging av et nytt nødnett gjør imidlertid ikke at man kan se bort fra sikringstiltak i de offentlige nett.
Selv om et radionett for nødetatene tilsynelatende vil være et eget lukket telenett, vil også dette nettet være avhengig av ressurser i de offentlige nett for at det skal fungere etter hensikten.
I tillegg til forslagene om å legge et særskilt myndighetsansvar for telesikkerhet og -beredskap til Post- og teletilsynet, prioritert tjenesteaksess i fast- og mobilnett, samlokalisering i fjellanlegg, økt redundans i telenettene samt eventuell samordning av Forsvarets digitale nett (FDN) og et nytt radionett for nødetatene, er det en rekke andre tiltak som også vil bidra til god sikkerhet og beredskap i norske telenett. Dette dreier seg først og fremst om mindre omfattende administrative og organisatoriske tiltak, og ikke i så stor grad fysiske og teletekniske tiltak.
En rekke andre tiltak vil også være aktuelle for å sikre god sikkerhet og -beredskap i norske telenett. Det må investeres i transportabelt beredskapsutstyr for å styrke telekommunikasjonssektorens reparasjonsberedskap og rehabiliteringsevne. Transportabelt beredskapsutstyr skal kunne settes inn i telenettene ved trafikkbrudd eller ved fare for trafikkbrudd på steder hvor brudd vil medføre alvorlige konsekvenser for samfunnet både i fredstid og i krigstid.
Det er videre utarbeidet utkast til forskrift om sikring av telekommunikasjonsanlegg mot elektromagnetisk puls.
Det vil også bli vurdert å innføre et krav om nasjonal autonomi i telenettene. Nasjonal autonomi innebærer at det skal være mulig å kommunisere innenfor nasjonens grenser uten å være avhengig av driftsstøtte fra utlandet.
Post- og teletilsynet får i oppgave å utrede nærmere forutsetningene for og konsekvensene av å innføre et krav om nasjonal autonomi for alle samfunnsviktige teleoperatører.
I tillegg kommer en rekke administrative sikkerhets- og beredskapstiltak som f.eks. bevisstgjøring, kompetanseheving og veiledning innen telesikkerhet og -beredskap, utvikling av en klassifiseringsordning for teleinfrastrukturen, gjennomføring av sikkerhetsevaluering av teleinfrastrukturen i samarbeid med teleoperatørene, samt planlegging og gjennomføring av samøvelser for operatørene.
Samferdselsdepartementet foreslår at Post- og teletilsynet får i oppdrag å foreta en samlet sikkerhetsevaluering av offentlige telenett. En slik evaluering må gjøres i samarbeid med operatørene og kan ses i sammenheng med utforming av krav til sikringstiltak differensiert på sikringsklasser.
Post- og teletilsynet får i oppgave å planlegge og arrangere øvelser for alle aktørene i telesektoren som anses som viktige i beredskapssammenheng.
Det er også anbefalt å implementere tiltak for å bedre informasjonssikkerheten i telenettene. For å hindre at uvedkommende får tilgang til operatørenes drifts-, vedlikeholds- og støttesystemer, bør bl.a. operatørene få krav om å utarbeide en oversikt over viktige system og hvordan disse, f.eks. driftssystemet, er koblet mot det øvrige nettverket. Et annet tiltak for økt informasjonssikkerhet er bruk av betalte hackeroppdrag for å avdekke svakheter i operatørenes IT-systemer.
Samferdselsdepartementet mener "red teams" bør tas i bruk også i norske telenett for å avdekke svakheter i informasjonssystemenes sikkerhet.
Internetts teknologiske grunnlag muliggjør på en enkel måte innføring av et utall tjenester. I det tradisjonelle telenettet er det i dag ikke lagt til rette for tilsvarende muligheter. I løpet av forholdsvis kort tid har derfor Internett blitt en dominerende formidlingskanal for store deler av den digitale informasjonsoverføringen, og det er mye som tyder på at denne utviklingen vil fortsette.
Internett antas i løpet av få år å tilby mange av de samfunnskritiske tjenestene som de tradisjonelle teletjenestene i dag utfører. I hvilken grad disse tjenestene på Internett vil overta eller supplere tilsvarende tradisjonelle tjenester gjenstår å se.
Utviklingen vil mest sannsynlig medføre at Internett får økende betydning som kommunikasjonskanal for en rekke tjenester som i gitte situasjoner vil være av avgjørende betydning for å opprettholde samfunnsviktige funksjoner. Dette tilsier at samfunnet, ut fra risiko- og sårbarhetshensyn, har et behov for å arbeide systematisk med sikte på å øke Internetts robusthet mot alvorlige tekniske feil, fysisk sabotasje og - ikke minst - logiske angrep fra stater eller organisasjoner med tilgang til etterretningsinformasjon, kunnskap og teknologi.
I fremtiden kan det følgelig bli behov for å iverksette særskilte sikringstiltak for Internett tilsvarende det man i dag gjør for øvrige deler av telesektoren. Post- og teletilsynet må derfor overvåke utviklingen i bruken av Internett og fortløpende vurdere behovet for å implementere tiltak.
Samferdselsdepartementet vil starte planleggingen av en utredning som vil ha som hensikt å skaffe bedre oversikt over Internett-markedet.
Ordinære driftsutgifter i forbindelse med Post- og teletilsynets sikkerhets- og beredskapsoppgaver vil kunne finansieres med gebyrer fra teleoperatørene på lik linje med Post- og teletilsynets øvrige virksomhet. Etableringskostnaden første år vil bli dekket over Samferdselsdepartementets beredskapskapittel i statsbudsjettet.
For de øvrige telesikkerhets- og teleberedskapstiltak vil det måtte foretas en nærmere konkret vurdering av hvilke finansielle virkemidler som er best egnet i det enkelte tilfelle. Det er viktig at det ved vurderingen sikres at finansieringen ikke gir utilsiktede konkurransevridninger eller skaper ulik belastning for noen av de berørte parter.
Finansiering av konkrete tiltak vil kunne skje gjennom gebyrer, avgifter, egenfinansiering (operatørfinansiering), kundefinansiering eller bevilgninger over statsbudsjettet.
Hvilken finansieringsmåte som passer best vil avhenge av det konkrete tiltak. Endelig valg av regulerings- og finansieringsmåte må besluttes i det enkelte tilfelle.
I tilfeller der det eventuelt kan være hensiktsmessig at tiltak finansieres med bevilgninger over statsbudsjettet, vil Samferdselsdepartementet komme konkret tilbake med bevilgningsforslag i forbindelse med de årlige budsjettforslagene.
I henhold til gjeldende forskrift om offentlig telenett og offentlig teletjeneste har teleoperatører plikt til å ha et minimumsnivå for telesikkerhet i sine nett for å garantere leveringsdyktighet og sikring av kundenes telekommunikasjon. Kostnader for å ivareta denne grunnsikkerheten vil under enhver omstendighet måtte dekkes av operatørene.
TIFKOM-prosjektet har foreslått tiltak iverksatt over en 5-årsperiode med en total ramme på 730 mill. kroner, som er foreslått dekket over statsbudsjettet. TIFKOM-prosjektets forslag medfører i tillegg kostnader for overtakelse av Telenors fjellanlegg på ca. 1,2 mrd. kroner, kostnader for flytting av teleoperatørenes utstyr til samlokaliseringssentra samt andre tiltak TIFKOM-prosjektet ikke har beregnet kostnaden for, herunder eventuell samordning mellom FDN og et eventuelt nytt felles radionett for nødetatene. Med de kostnader vi i dag har oversikt over gir TIFKOM-prosjektets forslag en samlet ramme på ca. 2 mrd. kroner over 5 år.
Samferdselsdepartementet legger opp til et vesentlig lavere kostnadsnivå enn det TIFKOM-prosjektet foreslår. Selv om det per i dag ikke foreligger nøyaktige kostnadstall har departementet foreløpige, grove anslag som gir et bilde av hvilke kostnadsstørrelser det er snakk om. Beregninger viser at det vil koste i størrelsesorden 5-10 mill. kroner å utføre de nye oppgavene i Post- og teletilsynet det første året med en bemanning på 4 personer. Av dette er 3,2 mill. kroner rene etableringskostnader. Over en 5-årsperiode er det beregnet at sikkerhets- og beredskapsarbeidet i Post- og teletilsynet vil koste til sammen 20-40 mill. kroner dersom bemanningen holdes stabil på 4 personer. De kostnadene en i dag har oversikt over viser at det minimum vil være behov for i underkant av 200 mill. kroner over en femårsperiode. Tabell 12.1 i kap. 12.3 i meldingen gir en oversikt over foreløpige kostnadsoverslag.
Det nye konseptet for telesikkerhet og teleberedskap som skisseres i meldingen vil bli en ny ordning med spesielle samfunnspålagte oppgaver (SSO) til Totalforsvaret som skal gjelde for alle samfunnsviktige teleoperatører, og ikke bare for Telenor slik tilfellet er i dag.
Før den nye SSO-ordningen etableres vil det være hensiktsmessig om staten gjør opp de forpliktelser som staten har påtatt seg gjennom gjeldende SSO-overenskomst med Telenor for 2001. Foreløpige beregninger viser at det koster ca. 80 mill. kroner som engangskostnad å innfri disse forpliktelsene. Forut for utfasing av gjeldende SSO-ordning må det gjennomføres samtaler med Telenor for å komme frem til endelig størrelse på kompensasjonen. Samferdselsdepartementet vil komme konkret tilbake til dette med forslag i den ordinære budsjettprosessen. Kostnader for utfasing kommer i tillegg til de kostnader som er skissert ovenfor.
Inntil det nye konseptet er fullt ut etablert vil det uansett være behov for å videreføre enkelte av de oppgavene Telenor har vært pålagt gjennom SSO-ordningen. Dette gjelder bl.a. administrative og organisatoriske beredskapstiltak samt investeringer i transportabelt reservemateriell som må oppgraderes i takt med utviklingen i telenettene. For 2002 er dette beregnet til å utgjøre ca. 9 mill. kroner. Samferdselsdepartementet vil også her komme tilbake med konkret forslag i den ordinære budsjettprosessen.