Stortinget - Møte onsdag den 7. mai 2014 kl. 10
President: Olemic Thommessen
Spørsmål 12
Torgeir Knag Fylkesnes (SV) [12:41:36]: «Nylig avdekket Synacktiv et alvorlig sikkerhetshull i en Sercomm-modul som brukes i helt vanlige routere som Cisco, Linksys, Netgear osv. som du får på Elkjøp. ID-tyveri og spionasje er noen av farene. Hullet kan ikke repareres «utenfra», men må gjøres av folk selv. De fleste som har disse routerne er ofte ikke klar over hullet eller/og har ikke teknisk innsikt til å oppdage eller å tette det. De fleste tror nok at de er trygge bak brannmuren.
Hva gjør regjeringen for å sikre forbrukere mot dette sikkerhetshullet?»
Statsråd Anders Anundsen [12:42:22]: Jeg vil takke representanten for et godt og viktig spørsmål, og jeg skal svare så godt jeg kan, hadde jeg nær sagt, men det blir på et litt overordnet nivå, ikke konkret inn i det sikkerhetshullet som representanten peker på, rett og slett fordi problemstillingen også er mye bredere.
Justis- og beredskapsdepartementet har samordningsansvaret for IKT-sikkerhet på sivil side. Nasjonal sikkerhetsmyndighet er det nasjonale fagmiljøet for IKT-sikkerhet og rapporterer til Justisdepartementet i sivile saker. NSM og Norsk senter for informasjonssikring, også kalt NorSIS, bidrar sammen til at det formidles informasjon av betydning for ulike målgrupper, dette for å bidra til at virksomheter og borgere kan beskyttes mot IKT-sårbarheter og trusler. NSM og NorSIS samarbeider tett med hverandre og opp mot Justis- og beredskapsdepartementet.
Som representanten riktig påpeker, ble Sercomm-sårbarheten avdekket tidligere i år. NSM opplyser i så henseende at varsel kort tid etterpå ble sendt ut fra de berørte leverandørene med retningslinjer om hvordan sårbarheten skulle lukkes. Dette var en sårbarhet som berørte fire internasjonale leverandører av nettverksutstyr, og det viste seg at det samlede antall komponenter, eller routere på Internett som var berørt, var ca. 6 000.
Dette er i seg selv en sårbarhet med meget begrenset omfang. Men spørsmålet representanten adresserer, reiser altså en del viktige generelle problemstillinger. Den omtalte Sercomm-sårbarheten er bare en av flere tusen sårbarheter som blir avdekket hvert eneste år, og som krever at sluttbrukeren og eiere av den berørte hardwaren eller programvaren selv gjennomfører oppdateringer.
I dag er det det nasjonale senteret for hendelseshåndtering, NorCERT, hos Nasjonal sikkerhetsmyndighet – med sin 24/7-bemanning – som overvåker, registrerer og varsler om denne typen hendelser fortløpende. Hver gang en sårbarhet blir kjent, blir et varsel umiddelbart sendt ut til viktige offentlige og private aktører.
Justisdepartementet er i tett dialog med NSM om hvordan håndteringen av denne typen hendelser kan forbedres ytterligere gjennom bl.a. et tettere offentlig-privat samarbeid. Hovedmålsettingen er at man gjennom et tett offentlig-privat samarbeid skal sikre at man raskt får kartlagt omfanget av sårbarheter i norsk infrastruktur, slik at varsel når ut til de berørte aktørene raskest mulig med konkrete råd om hvordan sårbarheten skal lukkes. NSM er gitt en koordinerende rolle i dette arbeidet.
I tillegg gjør NorSIS et betydelig arbeid for både å informere brukere og gi leverandører innspill på at de må jobbe enda bedre med sikkerheten før de lanserer produkter og tjenester. En viktig aktivitet for å nå ut til flest mulig folk er gjennomføring av Nasjonal Sikkerhetsmåned, som har vært gjennomført årlig siden 2011, i oktober. NorSIS har hatt ansvaret for å gjennomføre og koordinere denne sikkerhetsmåneden. I denne måneden hvert år kraftsamler sentrale miljøer seg og deltar i en felles dugnad for å formidle budskap om hvordan man kan sikre seg bedre i den digitale hverdagen. Justis- og beredskapsdepartementet har gjennom tilsagnsbrevet til NorSIS satt Nasjonal Sikkerhetsmåned inn som en prioritert oppgave.
Torgeir Knag Fylkesnes (SV) [12:45:32]: Eg takkar for svaret.
Eg er også glad for at ministeren ser at dette, sjølv om det er eit veldig konkret spørsmål, eigentleg er ein inngang til ein veldig omfattande og generell diskusjon som handlar om rikets sikkerheit på eit område som veldig ofte har vore oversett av politikarane, antakeleg av same grunn, at ein ikkje har den tekniske innsikta – ein trur dette er eit IT-avdelingsspørsmål.
Sikkerheitshol som dette kan vi finne ikkje berre hos privatpersonar. Vi kan finne det i bedrifter, som da kan vere utgangspunkt for industrispionasje, vi kan finne det på Nav-kontor, hos politiet, på sjukehus osv. Vi har ingen oversikt per i dag over desse sikkerheitshola, og vi har heller ingen konkrete tiltak for å følgje opp slik at desse hola blir tetta, eller at folk får beskjed om at dei må tette dei, eventuelt kjøpe seg ny router for å unngå dette. Til saman representerer dette, trur eg, ein av dei nye store truslane for samfunnet vårt. Spørsmålet mitt til oppfølging er rett og slett: Kjem ministeren til konkret å gå inn i dette og få opp farten, slik at vi kan få ei ordning på dette?
Statsråd Anders Anundsen [12:46:39]: Jeg er i grunnen veldig glad for det spørsmålet, for det indikerer at den forrige regjeringen ikke fikk opp farten! Men jeg kan forsikre representanten om at vi jobber veldig hardt med dette, ikke minst fordi Justis- og beredskapsdepartementet har det koordinerende ansvaret for IKT-sikkerhet. Vi legger nå en strategi for hvordan dette skal følges opp gjennom de ulike departementene. Det er hvert enkelt departement som har sektoransvar – etter sektoransvarsprinsippet – for IKT-sikkerheten i sin sektor, men det er vår jobb å se på de utfordringene – og de er mange – som går på tvers av de ulike sektorene.
Jeg deler i veldig stor grad virkelighetsbeskrivelsen til representanten. Jeg er enig i at dette er en kjempestor utfordring, og jeg tror det har vært en undervurdert utfordring, hvor mange nok har tenkt på at dette er IT-avdelingens problem. Men det er det ikke, det er et stort samfunnsproblem. Utfordringen med å få oversikt over sårbarheter er at de ofte ikke er så åpenbare at de er lett å få oversikt over. Det er sårbarheter som ofte dukker opp underveis, eller på en eller annen måte som man på en måte ikke har strukturert opp – det kan være gjennom angrep eller andre ting. Derfor er det viktig at vi har en helhetlig tilnærming til hele denne problemstillingen.
Torgeir Knag Fylkesnes (SV) [12:47:49]: Eg trur ein skal vere litt audmjuk i møtet med ein trussel som er relativt ny, og ikkje berre vekkje til live historia og seie at ein ikkje fekk til ting før ein sjølv kom på banen. Ministeren viser også at han heller ikkje har vore så opptatt av og klar over desse problemstillingane.
Når det er sagt, er dette eit område der eg trur det er akutt behov for politisk leiing. Dette er ikkje så vanskeleg å avdekkje, allereie kjende feil og sikkerheitshol kan ein avdekkje. Ministeren var sjølv inne på offentleg-privat samarbeid. Ei moglegheit er at ein gjer avtaler med Telenor, NextGenTel osv. om å sjekke det som er på deira system, om den typen sikkerheitshol er der. Så kan informasjonen bli send tilbake til NSM, som kan gi beskjed til bedrifter eller privatpersonar, osv. Moglegheitene er der, spørsmålet er om ein har ein minister som er villig til å setje seg inn i det og ta tak i problemstillinga. Eg ønskjer eigentleg eit enda litt meir konkret viljesvar frå ministeren enn det han har kome med så langt.
Statsråd Anders Anundsen [12:48:50]: Da kunne svaret ha vært ja, hvis det hadde vært konkret nok. Jeg er veldig opptatt av denne problemstillingen. Jeg sa heller ikke at den forrige regjeringen ikke gjorde noe. Den gjorde et viktig grep, nemlig å koordinere IKT-sikkerhetsansvaret i et departement. Det er et viktig tiltak. Problemstillingen jeg adresserte, er vel at materialiseringen av hvordan dette skulle gjøres, har et potensial. Det potensialet holder jeg nå på å utnytte for å finne ut hvordan vi best mulig skal sikre hele samfunnsstrukturen vår mot den typen IKT-angrep. Jeg er helt enig – dette er noe som utvikler seg ekstremt fort, det er nesten vanskelig å henge med i svingene for de fleste av oss vanlige mennesker. Men fra mitt ståsted er det helt avgjørende at vi har systemer på plass som skal håndtere de truslene som dukker opp løpende. Der har vi et relativt godt system på plass i dag, men det er absolutt et forbedringspotensial, som vi nå jobber for å få utnyttet bedre i Justis- og beredskapsdepartementet.