8. Informasjonssikkerhet
I dette kapitlet gis en redegjørelse for status i Regjeringens arbeid med å styrke IT-sikkerheten i samfunnet. Informasjonssikkerhet omfatter tiltak for å beskytte informasjon som behandles av et informasjonssystem mot brudd på konfidensialitet, integritet og tilgjengelighet, for å beskytte systemet i seg selv og for å beskytte nett der informasjonen uveksles.
IT-sikkerhetsarbeidet tar utgangspunkt i Nasjonal strategi for informasjonssikkerhet, som ble lagt frem av Nærings- og handelsdepartementet, Justisdepartementet og Forsvarsdepartementet i juni 2003. Strategien skal legge forholdene til rette for at samfunnets behov for god informasjonssikkerhet blir ivaretatt. Regjeringens arbeid knyttet til telesikkerhet og teleberedskap inngår som en del av Nasjonal strategi for informasjonssikkerhet, og tar utgangspunkt i St.meld. nr. 47 (2000-2001) om telesikkerhet og -beredskap i et telemarked med fri konkurranse, jf. Innst. S. nr. 329 (2000-2001).
Samfunnskritiske funksjoner er avhengige av informasjons- og kommunikasjonsteknologi. Mangelfull informasjonssikkerhet kan derfor få store konsekvenser for enkeltpersoners liv og helse, bedrifters økonomi og offentlige etaters forvaltningsfunksjoner. Også brudd i alminnelige IT-systemer i næringslivet eller forvaltningen kan ha betydelige konsekvenser for produktivitet, konkurranseevne og servicenivå, med mulige økonomiske tap som følge.
Ansvaret for IT-sikkerheten er et virksomhetsansvar. Det enkelte fagdepartement er ansvarlig for at dette ivaretas innenfor sine underlagte virksomheter. Samtidig skal fagdepartementet påse at aktuelt regelverk etterleves av alle målgrupper innenfor sektoren, enten dette er offentlige eller private virksomheter. Eksempler på slike regelverk er sikkerhetsloven av 20. mars 1998 nr. 10 som gir regler for forebyggende sikkerhetstjeneste, og personopplysningsloven av 14. april 2000 nr. 31 som gir regler for beskyttelse av personopplysninger.
Nærings- og handelsdepartementet er iht. kgl. res. 17. desember 1997 tildelt ansvaret for å koordinere arbeidet med IT-sikkerhet. Videre skal Nærings- og handelsdepartementet identifisere og følge opp sektorovergripende spørsmål, samt initiere og koordinere tiltak av tverrsektoriell karakter. Nærings- og handelsdepartementet har også et ansvar for å utarbeide oversikter og strategier for utvikling av den overordnede politikken på fagområdet. Som ledd i rollen som koordineringsdepartement leder departementet det nyopprettede Koordineringsutvalget for informasjonssikkerhet (KIS). Som fagdepartement arbeider Nærings- og handelsdepartementet for at IT-sikkerhet skal bli en sterkere integrert del av nærings- og handelspolitikken, samt at IT-sikkerhet i sterkere grad blir inkludert på forskningssiden.
Justisdepartementet er i henhold til Kronprinsregentens resolusjon 4. juli 2003 om fordeling av ansvar for forebyggende sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet, gitt et overordnet faglig ansvar for forebyggende sikkerhetstjeneste i sivil sektor, herunder NSMs oppgaver knyttet til informasjonssikkerhet. Forsvarsdepartementet har et tilsvarende ansvar i militær sektor.
Samferdselsdepartementet har sektoransvaret for telesikkerhet og -beredskap og er regelverksforvalter av lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon. Samferdselsdepartementets ansvar dekker alle tilbydere av elektroniske kommunikasjonsnett og -tjenester.
Nærings- og handelsdepartementet har et generelt, koordinerende ansvar for informasjonssikkerhetsarbeidet. Dette ansvaret omfatter både sikring av selve informasjonsutvekslingen og sikring av den informasjonen som utveksles. Samferdselsdepartementet og Post- og teletilsynet setter krav til, og fører tilsyn med sikkerhet og beredskap hos tilbydere av elektroniske kommunikasjonsnett og -tjenester, med hjemmel i lov om elektronisk kommunikasjon. I kraft av sitt sektoransvar for telesikkerhet og -beredskap kan således Samferdselsdepartementet gi pålegg til alle tilbydere om dette, inkludert til selskap der Nærings- og handelsdepartementet forvalter statens eierinteresser. Totalforsvarets råd for sikring av tele- og informasjonssystemer (TRSTI) skal gi råd til Samferdselsdepartementet i sikkerhets- og beredskapsspørsmål på teleområdet.
Utarbeidelsen av en nasjonal strategi for informasjonssikkerhet er en oppfølging av St.meld. nr.17 (2001-2002) Samfunnssikkerhet og Regjeringens IT-politiske plandokumentet om eNorge. Regjeringen etablererer fire overordnede mål for informasjonssikkerhet, gitt i meldingens kapittel 8.1.1
I Nasjonal strategi for informasjonssikkerhet er det redegjort for ansvarsforholdene innen informasjonssikkerhetsarbeidet. I denne meldingen gis en redegjørelse for ansvarsforholdene mellom enkelte sentrale aktører på området.
Senter for informasjonssikring (SIS) ble i april 2002 etablert som et treårig forsøkprosjekt på initiativ fra Nærings- og handelsdepartementet. SIS er en selvstendig enhet (lagt til SINTEF i Trondheim) og skal i samarbeid med private og offentlige brukere fremskaffe et helhetlig bilde av truslene mot norske IT-systemer samt formidle informasjon, kompetanse og kunnskap om trusler og mottiltak til virksomheter innen deres ovennevnte ansvarsområde og allmennheten. En beslutning om den videre innretting av SIS vil bli tatt innen utgangen av 2004.
Nasjonal sikkerhetsmyndighet (NSM) er tillagt ansvaret for Varslingssystem for digital infrastruktur (VDI). VDI består av både offentlige etater og private bedrifter med ansvar for samfunnskritiske funksjoner, og skal identifisere og varsle angrep.
Systemet analyserer forsøk på angrep på de datanettverk som deltakerne har i bruk, og som er knyttet opp mot Internett. Deltakerne blir varslet hvis det oppdages alvorlige angrep som kan slå ut den digitale kritiske infrastrukturen. Foruten varslingen skal VDI til enhver tid ha et oppdatert situasjonsbilde, gjennomføre trendanalyser og kartlegge gjennomførte angrep (hacking, ormer, tjenestenekt). VDI skal understøtte sikkerhetsarbeidet hos deltakerne, rapportere, utvikle et bredt kontaktnett nasjonalt og internasjonalt og være en nasjonal ressurs innen datanettverkssikkerhet. Det er etablert et samarbeid mellom VDI og Senter for informasjonssikring (SIS).
Nasjonal sikkerhetsmyndighet er tillagt sertifiseringsmyndigheten for IT-sikkerhet i produkter og systemer (SERTIT). SERTIT er en sertifiseringsordning for sikkerhet i IT-produkter og systemer, for eksempel en brannmur eller et operativsystem. SERTIT er basert på "Common Criteria" og tilhørende metodikk, som er en internasjonal standard for produkter og systemer. Formålet med sertifiseringen er å ha tillit til at sikkerhetsmekanismene er implementert riktig i forhold til spesifikasjonene, slik at man kan avdekke eventuelle skjulte feil eller mangler.
Post og teletilsynet skal bistå Samferdselsdepartementet i planlegging og iverksetting av regulatoriske og operative tiltak innen området telesikkerhet og -beredskap. Post- og teletilsynet har med hjemmel i lov om elektronisk kommunikasjon fått et ansvar for å sette krav til sikkerhet og beredskap hos tilbydere av elektroniske kommunikasjonsnett og -tjenester, og for å føre tilsyn med at pålagte tiltak blir iverksatt. Tilsynet har også et ansvar for å følge utviklingen på Internett, herunder de utfordringene uønsket e-post og virus skaper.
Politiets datakrimsenter ble etablert i 2002 og offisielt åpnet i mai 2003. Senteret er foreløpig organisert under ØKOKRIM og er den sentrale enhet i politiet for etterforskning og påtale av datakriminalitet. Politiets datakrimsenter skal bistå nasjonale og utenlandske politi- og påtalemyndigheter, bidra til å heve kompetanse i politi- og påtalemyndighet, drive opplysningsvirksomhet, drive kriminaletterretning og utarbeide trusselvurderinger og være rådgivende organ for sentrale myndigheter. Datakrimsenteret vil fra 1. januar 2005 inngå i et nytt særorgan i politiet, Den nasjonale enhet for bekjempelse av organisert kriminalitet og annen alvorlig kriminialitet.
Det eksisterer ingen koordinerende enhet for håndtering av koordinerte IT-angrep på samfunnskritiske funksjoner i Norge. Flere instanser har påpekt et behov for en slik enhet for å sikre effektiv håndtering av en krise der flere samfunnskritiske funksjoner blir angrepet samtidig. Etableringen av en slik enhet vil kunne knytte norske myndigheter til et internasjonalt miljø under oppbygging.
Direktoratet for samfunnssikkerhet og beredskap og Nasjonal sikkerhetsmyndighet har i samarbeid igangsatt arbeidet knyttet til et tidsavgrenset forskningsprosjekt knyttet til sikkerhet og sårbarhet i nasjonalt viktige IKT-systemer. Forskningsprosjektet er en forlengelse av forskningsserien Beskyttelse av samfunnet (BAS) ved Forsvarets forskningsinstitutt (FFI).
St.meld. nr. 47 (2000-2001) om telesikkerhet og -beredskap i et telemarked med fri konkurranse, jf. Innst. S. nr. 329 (2000-2001), varsler flere tiltak som skal øke sikkerheten og beredskapen i telenettene. En ny prioriteringsordning i telenettene til erstatning for ordningen med viktig prioritert telefon (VPT) som ble nedlagt fra årsskiftet 2000/2001, er et av tiltakene som vurderes av Samferdselsdepartementet. Et pilotprosjekt skal settes i gang i løpet av 2004.
Liberaliseringen og teknologiutviklingen i telesektoren skaper behov for nytt regelverk. I lov 4. juli 2003 nr. 83 om elektronisk kommunikasjon settes det krav til tilbydere av elektroniske kommunikasjonsnett og -tjenester om sikkerhet og beredskap.
Nærings- og handelsdepartementet samarbeider med Arbeids- og administrasjonsdepartementet og med private markedsaktører for å etablere en samfunnsinfrastruktur for elektronisk signatur. Det legges til grunn at en slik infrastruktur må utvikles i samarbeid mellom offentlig og privat sektor. Post- og teletilsynet er tilsynsorgan for utstedere av kvalifiserte sertifikater etter lov 15. juni 2001 nr. 81 om elektronisk signatur, forvaltet av Nærings- og handelsdepartementet.
Nasjonal sikkerhetsmyndighet har operativ rolle når det gjelder bruk av digitale sertifikater og PKI i graderte IT-systemer. Retningslinjer er gitt i NSMs veiledning for bruk av digitale sertifikater og PKI. Det ble utarbeidet en revidert versjon av veiledningen våren 2004.
Arbeids- og administrasjonsdepartementet forvalter forskriftene til personopplysningsloven og forskriften om elektronisk kommunikasjon med og i forvaltningen. AADs ansvarsområde er også knyttet til tverrgående spørsmål vedrørende IT i offentlig sektor. AAD vil gi anbefalinger om egnede sikkerhetsnivåer ved bruk av PKI i offentlig forvaltning. Slike anbefalinger vil ha betydning for kostnadsomfang og kvalitet ved valg av teknologi og sikkerhetssystemer.
Det er behov for sterk kryptering i mange sammenhenger innenfor elektronisk kommunikasjon. Bruk og utvikling av kryptoprodukter bør baseres på internasjonale standarder så langt det er mulig. Et kompetent fagmiljø på myndighetssiden og tett samarbeid med norsk krypteringsindustri er sentralt for å utvikle gode kryptoprodukter. Rammer for bruk og utvikling av kryptoprodukter er gitt i Norsk kryptopolitikk, utgitt av Nærings- og handelsdepartementet i 2001.