Beskyttelse mot cyberangrep

– Når det gjelder beskyttelse mot cyberangrep er det andre tiltak enn masseinnsamling av metadata som kan bidra til at vi som samfunn lykkes, skriver Simen Bakke i denne kronikken.

Av: Simen Bakke, Sikkerhetsrådgiver

PST og Etterretningstjenesten har nylig publisert sine trusselvurderinger for 2020. I begge vurderingene trekkes cyberangrep frem som alvorlige og samfunnsskadelige trusler mot det norske samfunnet. Samtidig vet vi at Regjeringen nå arbeider med forslag til ny lov for etterretningstjenesten. Lovforslaget vil innebære et konsept som bidrar til masseinnsamling av metadata, ved såkalt tilrettelagt innhenting (tidligere omtalt som digitalt grenseforsvar). Selv om tilrettelagt innhenting kan være nødvendig for at våre etteretningstjenester skal kunne utføre sitt samfunnsoppdrag optimalt i det digitale rom, må vi ikke la oss forlede til å tro at dette primært vil bidra til å beskytte oss og våre IKT-systemer mot cyberangrep. For det vil det ikke gjøre.

Tilrettelagt innhenting er primært et tiltak som er egnet for å innhente informasjon om trusselaktører. Enten de som ønsker å ramme våre IKT-systemer med cyberangrep, eller de som planlegger andre former for angrep. Eksempelvis terror, spionasje eller sabotasje. Dette kan foregå både i den fysiske og i den digitale verden. Angrepsplaner i den fysiske verden, avdekkes ofte i den digitale verden fordi trusselaktørene kommuniserer ved hjelp av internett.

Ifølge PST har 45 % av terrorangrepene (91) som har blitt avverget i Vesten i perioden 2012-2019, skjedd som følge av at planene har blitt avdekket via internett. Tjenestenes behov for tilgang til informasjon for å avdekke, avverge og ettergå angrep, kan derfor ikke underdrives. Informasjon om trusselaktører er deres viktigste arbeidsredskap, men innsamlingsmetodene har samtidig noen negative sideeffekter for befolkningen i en demokratisk rettsstat som har krav på frihet, fravær av overvåkning og et sterkt personvern.

Når det gjelder beskyttelse mot cyberangrep, slik som både PST og Etterretningstjenesten påpeker viktigheten av i sine trusselvurderinger, er det imidlertid andre tiltak enn masseinnsamling av metadata som kan bidra til at vi som samfunn lykkes. Og det er her vi må føre en ærlig og redelig debatt. Slik at vi ikke risikerer å gjøre oss en bjørnetjeneste, ved å tro at ny lov om etterretningstjenesten og tilrettelagt innhenting vil løse alle våre cyberutfordringer.

Ulike lovverk har ulike formål. Den nye sikkerhetsloven som trådte i kraft 01.01.2019, er et lovverk som har til hensikt å sørge for at myndigheter og næringsliv beskytter grunnleggende nasjonale funksjoner som den norske befolkningen er avhengig av. Sikring av strømforsyning, tele- og IKT-systemer, nødetatenes kommunikasjonssystemer og bankenes betalingssystemer, blant annet. Disse IKT-funksjonene sikres i stor grad på samme måte, enten man representerer privatperson, stat eller næringsliv.

Nasjonal sikkerhetsmyndighet (NSM) som er fagmyndighet innen fagområdet forebyggende sikkerhet, har utgitt grunnprinsipper for IKT-sikkerhet. I grunnprinsippene beskrives oppdatering av programvare, kontroll med leverandører, kryptering av data og beskyttelse av passord, blant de mange anbefalte tiltakene. Dette er informasjonssikkerhetstiltak som hindrer en trusselaktør i å få innpass i våre datasystemer. Samtidig som behovet for slike tiltak i et høy-digitalisert samfunn som Norge er stort, ser vi likevel ofte at IKT-sikkerhet er et underprioritert område. Dette er også et stort tankekors for sikkerhetsmiljøene som er satt til å beskytte nasjonen, herunder også for NSM, PST og Etterretningstjenesten.

Når vi fremover skal diskutere behovet for nye virkemidler som kan beskytte oss i den digitale verden, må vi skille snørr fra bart. Ulike lover har ulike formål. Formålene til de teknologisk og juridisk kompliserte lovverkene, som det tidligere EUs datalagringsdirektiv og tilrettelagt innhenting (og digitalt grenseforsvar), misforstås ofte av lekfolk. Dette var også tilfellet blant flere av stortingsrepresentantene da datalagringsdirektivet ble behandlet i Stortinget i 2011.

Regjeringen vil snart legge frem et nytt forslag til lov om etterretningstjenesten og tilrettelagt innhenting, etter at det opprinnelige forslaget fra 2018 måtte bearbeides. Blant annet som følge av kritikk i høringsrunden. Denne debatten er derfor særdeles aktuell på nåværende tidspunkt.

For at debatten skal bli så opplysende og presis som mulig, slik at lovforslagene vi eventuelt vedtar faktisk bidrar til å beskytte samfunnet vårt, er det særdeles viktig at aktørene som deltar er presise og ryddige i sin argumentasjon. Dette gjelder både de som har egeninteresser av å få innført inngripende virkemidler, og de som er i posisjon til å påvirke folkemeningen.

Kronikken ble først publisert på digi.no, 19. februar 2020.