Totalforsvaret er viktig, men må også inkludere de øvrige aktørene i sivilsamfunnet. Vi må ikke tro at en sterk statsmakt bestående av justis- og forsvarssektoren vil håndtere alle våre sikkerhetsutfordringer, alene. Spesielt er dette tilfellet i det grenseløse cyberdomenet.

Av: Simen Bakke, senior informasjonssikkerhetsrådgiver og fagprofil i UTSYN

Øystein Blymke skriver i Politiforum om viktigheten av Totalforsvaret, samt samarbeid mellom justis- og forsvarssektoren. Blymke har flere gode poenger i sin kronikk, og i særdeleshet at digitale hendelser og cyberangrep ikke alltid kan håndteres av én enkelt aktør alene. Det må samarbeid til for at vi skal lykkes i å avdekke, avverge og håndtere digitale hendelser. Spesielt når det kommer til avanserte digitale operasjoner begått av organiserte kriminelle eller fremmede stater, rettet mot sivilsamfunnet, staten eller andre aktører i samfunnet.

Samtidig fremstår det for meg ved lesning av Blymkes kronikk, en sterk tro på statsmakten og i særdeleshet de polisiære og militære ressursenes innvirkning på operasjoner som foregår i det digitale domenet. Blant annet fremstilles virkemiddelet for masseinnsamling av grensekryssende data, såkalt “tilrettelagt innhenting” (tidligere kalt Digitalt Grenseforsvar), som en nødvendighet for at staten skal være i stand til å sørge for digital sikkerhet. Det er lett å la seg friste av en sterk statsmakt med tilgang på inngripende virkemidler, men så enkelt er det imidlertid ikke å beskytte verken staten eller andre aktører i cyberdomenet.

Regjeringen stanset innføringen av tilrettelagt innhenting i vinter etter at EU-domstolen påpekte at generell og udifferensiert masseinnsamling av grensekryssende data i bulk, bryter med EUs kommunikasjonsdirektiv. Innhentingen må ifølge EU-domstolen være målrettet for ikke å være i strid med grunnleggende menneskerettigheter. Den europeiske menneskerettighetsdomstolen (EMD) kom i sommer med to avgjørelser, hvor både den svenske og den britiske innhentingen fikk kritikk for sine versjoner av “Digitalt Grenseforsvar”. Tiltaket handler ikke bare om digitalt forsvar av staten, men også om dens mulighet til å avlese datatrafikk for etterretningsformål. Etter EUs og EMDs domsavsigelser pågår det debatter i flere europeiske stater om hvordan innhentingen skal foregå, slik at den er i tråd med menneskerettighetene. Dette betyr likevel ikke at vi er uten tiltak i dag, da Nasjonal sikkerhetsmyndighet (NSM) drifter varslingssystem for digital infrastruktur (VDI). Dette innebærer aktiv og målrettet overvåkning i flere hundre av samfunnets mest kritiske IKT-systemer.

Parallelt med denne utviklingen har vi i verden, Norge, og spesielt i USA det siste året, sett flere eksempler på avanserte nettverksoperasjoner, cyberspionasje, løsepengevirus, og utnyttelse av nulldagssårbarheter. Leverandørkjedeangrepet mot programvareprodusenten Solarwinds rammet blant annet Oljefondet, SAS og et tosifret antall kraftselskaper i Norge. E-post serverne til Stortinget har på under et halvt år blitt rammet av datainnbrudd to ganger. Ved den første hendelsen, høsten 2020, manglet Stortinget grunnleggende sikringstiltak. Den siste hendelsen, våren 2021, ble muliggjort ved utnyttelse av nulldagssårbarheter i Microsoft Exchange, Stortingets e-post servere. Risikoen for slike hendelser kan ofte reduseres ved implementering av tiltak i Stortingets egne IKT-systemer.

USA, staten som innehar sikkerhets- og etterretningskapabiliterer i en klasse uten sidestykke, er de som har blitt hardest rammet av Solarwinds og Microsoft Exchange sårbarhetene. Pentagon, Department of Homeland Security og flere andre statlige organer ble rammet av cyberspionasjen som knyttes til russiske og kinesiske etterretningsaktører. I etterkant av Solarwinds hendelsen har det amerikanske Senatet involvert seg tungt i oppfølgingen. CISA (den amerikanske utgaven av NSM), FBI, NSA og flere private aktører som Microsoft, Solarwinds og FireEye, har måttet forklare seg om hvorfor de ikke evnet å beskytte den amerikanske staten mot cyberspionasjen. Dette til tross for at de allerede innehar kapasitetene som Blymke etterlyser.

Og det er her jeg kommer til poenget:

Beskyttelse mot cyberoperasjoner og digitale trusler ligger ikke bare hos den sterke statsmakt. Politiet, PST, NSM, Forsvaret og Etterretningstjenesten er viktige og nødvendige bidragsytere, helt klart. Likevel er det viktig å forstå at beskyttelse mot cyberoperasjoner primært utføres hos den aktøren som eier, drifter og forvalter maskin- og programvaren som IT-tjenestene leveres fra. Dette gjøres ved å sikre IT-systemene, redusere sårbarheter, og implementere deteksjonskapabiliteter – altså lokal og målrettet overvåkning av nettverkene.

Det grunnleggende arbeidet for å forebygge cyberhendelser og -angrep utføres med andre ord i store deler av sivilsamfunnet blant de mange private og offentlige aktørene som kontinuerlig arbeider for å sikre vårt digitale samfunn. Dette kommer i tillegg til diplomatisk arbeid for å forhindre sikkerhetspolitisk spenning og eskalering av konflikter, herunder også cyberkonflikter mellom stater. I mange tilfeller er det allerede for sent når politiet eller PST kobles på for å ettergå datainnbrudd, spionasje eller løsepengevirus. Dette er hendelser som ofte kan avverges dersom man hadde hatt større fokus på forebyggende IT-sikkerhet.

Totalforsvaret er viktig, men må også inkludere de øvrige aktørene i sivilsamfunnet. Vi må ikke tro at en sterk statsmakt bestående av justis- og forsvarssektoren vil håndtere alle våre sikkerhetsutfordringer, alene. Spesielt er dette tilfellet i det grenseløse cyberdomenet, hvor det i mange tilfeller er umulig å håndheve våre rettsregler eller å straffeforfølge lovbryterne. Skal vi forhindre hendelsene i å oppstå, trenger vi mer og bedre samarbeid som også involverer alle de sivile, offentlige og private aktørene, samt fagkompetansen som befinner seg i akademia. Staten med justis- og forsvarssektoren må være pådrivere for utviklingen slik at vi får et robust Totalforsvar bestående av og for hele Norge. Dette har amerikanerne tatt innover seg etter cyberhendelsene det siste året. Det bør vi også gjøre her hjemme.

 

Kronikken ble først publisert i fagbladet Politiforum.