Skip to content

OMS har avlyst alle arrangement frem til sommerferien. Generalforsamling vil bli gjennomført på www.oslomilsamfund.no

Direktør Kjetil Nilsen i NSM – Nasjonal Sikkerhetsmyndighet taler i Oslo Militære Samfund (OMS). Foto: OMS.

Mandag 27. mars 2017, gjestet direktør for Nasjonal Sikkerhetsmyndighet, Kjetil Nilsen, Oslo Militære Samfund hvor han avholdt foredraget «Risiko og sårbarheter i en ny tid». NSM avholder samme uke sin velkjente Sikkerhetskonferansen, og foredraget kom dagen før åpning av konferansen.

Se presentasjonen som ble vist her og les manus her.

 

Må sammenholdes mot fremføring

Oslo Militære Samfund 27. mars 2017

Risiko og sårbarheter i en ny tid

Kjetil Nilsen
Direktør Nasjonal Sikkerhetsmyndighet

INNLEDNING

Kjære alle sammen,

Først vil jeg takke for invitasjonen. Det er en stor ære å komme hit for å snakke om et tema som ligger meg nær, nemlig risiko og sårbarheter i en ny tid.

I løpet av de siste månedene har flere fra denne talerstol, på en god måte beskrevet utviklingen i den sikkerhetspolitiske situasjonen og redegjort for et krevende trusselbilde og hvilke utfordringer forsvaret står overfor i årene som kommer. I dag er det ikke truslene fra andre som er hovedtema, men sårbarheter av betydning for samfunnet, og hva vi kan gjøre for å redusere dem.

I mitt innlegg kommer jeg til å reflektere rundt hvordan risikobildet utvikler seg, og hva vi kan gjøre med sårbarhetene innenfor IKT-sikkerhet og objektsikkerhet, samt litt om menneskenes rolle i dette. Her vil jeg særlig komme inn på

  •   Styring av sikkerhetsarbeidet
  •   At grunnsikringen må bli bedre
  •   At vi har for mange IKT-driftsmiljøer i det offentlige
  •   At evnen til å oppdage cyberhendelser må bedres
  •   Vi trenger mer kompetanseSamfunnet er i endring og jeg vil innledningsvis nevne noen internasjonale trender 1

Må sammenholdes mot fremføring

som vi må ta høyde for når vi innretter oss for å møte fremtidige sikkerhetsutfordringer.

Digitalisering og globalisering skaper økt kompleksitet. Informasjonstilgangen er overveldende. Den digitale utviklingen skaper store avhengigheter på tvers av virksomheter og landegrenser. Store menneskemengder forflytter seg, og det oppstår humanitære utfordringer. Det er klare tendenser til økt polarisering og tilliten til de styrende synes å være svekket. Populisme synes å være i fremmarsj. En ny situasjon har oppstått i Europa etter Brexit, og valget i USA har skapt usikkerhet. Vi og flere land i Europa skal gå til valg senere i år. Alt dette gir en uoversiktlig og krevende situasjon. Likevel tror jeg at rekkevidden av den teknologiske utviklingen som skjer rundt oss og konsekvensene som følger av den som vi har dårligst forutsetning for å forstå. Utviklingen skaper nye måter å kommunisere på, og mennesket innretter seg raskt. Alt rundt oss kommer innen kort tid til å inneholde en datamaskin, en sensor som kommuniserer med andre. Arbeidslivet endres når automatiseringen slår til for fullt. Nasjoner og virksomheter som ikke henger med i utviklingen vil bli akterutseilt. De lange planprosessene er en utfordring. Teknologiutviklingen kommer ikke til å vente på dem.

Som en følge av disse trendene er det blitt vanskeligere å sammenfatte og etablere et risiko- og sårbarhetsbilde, og det utløser behov for nye sikkerhetstiltak.

Norge er et av verdens tryggeste land, og voldsnivået er lavt. Landets økende velstand og utviklingen av velferdsstaten har ført til at Norge ofte rangerer høyt på oversikter over de beste land å bo i. Befolkningen har høy tillit til myndighetene, men det er samtidig en forventning om at myndigheter og viktige samfunnsaktører sikrer at samfunnsfunksjonene våre fungerer.

Med dette som bakteppe vil jeg nå gå inn i det risikobildet vi ser for 2017.

 

Et motstandsdyktig samfunn med god beredskap mot hendelser, skapes blant annet gjennom et godt forebyggende sikkerhetsarbeid. Forebyggende sikkerhet handler om å etablere god grunnsikring i form av informasjon, objekter og viktige samfunnsfunksjoner, både nå og i fremtiden. Det er grunnsikringen som må ta støyten dersom vi ikke får noe forvarsel eller om vi står overfor en ny type angrep som vi ikke har planlagt for.

Både offentlig forvaltning og private virksomheter har verdier som må beskyttes mot spionasje, sabotasje, terrorisme og andre sikkerhetstruende hendelser. God styring av sikkerhet er det viktigste virkemiddelet og en nødvendig forutsetning for å identifisere og iverksette effektive, helhetlige sikringstiltak.

Mangelfull planlegging og styring av sikkerhetsarbeidet er fortsatt en utfordring. Dette er alvorlig.

Den overveiende delen av avvik som er avdekket gjennom NSMs tilsyn, burde virksomhetene selv ha avdekket gjennom interne sikkerhetsrevisjoner. Uten at sikkerhetsrevisjoner er gjennomført, blir også grunnlaget for ledelsens evaluering svakt, noe som igjen kan føre til feil prioriteringer av korrigerende tiltak for å redusere risikoen mot virksomhetens verdier.

NSM utfører hvert år tilsyn med både private og statlige virksomheter. Det vi ofte ser, er at mange store foretak og forvaltningsinstitusjoner sliter med å implementere de fire store hovedtiltakene innen sikkerhetsstyring, som er

verdivurdering, risikoanalyser, internrevisjon og ledelsesevaluering.

Det finnes ofte sikkerhetsfaglig kompetanse i virksomhetene, men den blir ikke alltid systematisk utnyttet. Det finnes også tegn som tyder på at underordnede etater i en del tilfeller ikke får tilstrekkelige styringssignaler om og oppfølging av sitt arbeid med forebyggende sikkerhet fra overordnet departement, som har et særlig ansvar for sikkerheten i egen sektor.

Vi anbefaler at virksomhetene etablerer et system for kontinuerlig styring og forbedring av sikkerhetsarbeidet. Dette vil bidra til å gjøre virksomhetenes sikkerhetsarbeid mer systematisk og lettere å følge opp.

Vi anbefaler også at overordnede virksomheter styrer og følger opp underordnede på sikkerhet.

Det må være kultur for å melde fra om avvik og hendelser. Den som rapporterer, bør ikke utsettes for negative konsekvenser, men heller oppmuntres til å rapportere. Luftfartsindustrien er et eksempel på en sektor hvor dette lenge har vært etablert.

Nesten 30 prosent av befolkningen, er bekymret eller svært bekymret for at cyberangrep skal slå ut viktige styringssystemer viser DSBs store befolkningsundersøkelse som ble lagt frem nylig. På dette området ser vi privatpersoner som er redd for å bli hacket, virksomheter som er redde for økonomisk tap, og det er en mulighet for at sentral infrastruktur kan bli satt ut av spill. Cyberangrep har beveget seg fra hacking på gutterommet, via kriminelle handlinger, til å bli et angrepsverktøy for en nasjonalstat.

PST og E-tjenesten har tidligere i vinter trukket frem Russland og Kina som de mest aktive etterretningsaktørene i Norge. Vi i NSM ser at statlige aktører forsøker å etablere et fotfeste i norske virksomheters digitale infrastruktur.

Nasjonal sikkerhetsmyndighet NorCERT driver et nasjonalt sensornettverk for å avdekke digitale angrep (VDI). Våre sensorer er utplassert i kritisk infrastruktur og i virksomheter som har kritiske samfunnsfunksjoner eller driver med høyteknologi. Når alvorlige angrep avdekkes, koordinerer vi og bistår i håndteringen av disse. Gjennom vårt sensorsystem har vi i løpet av det siste året sett cyberangrep rettet mot offentlig forvaltning og næringsliv. Det dreier seg om fremmed etterretningsvirksomhet og avanserte datanettverksoperasjoner.

Cyberangrepene øker i antall. I 2016 registrerte NSM nok en økning i antall hendelser fra året før. Samtidig antar vi at det er store mørketall når det gjelder det årlige totale antall cyberhendelser i Norge. Mange virksomheter avdekker og håndterer slike hendelser selv, uten at dette rapporteres til NSM eller til andre myndigheter. I tillegg antas det å være mange hendelser som av tekniske eller kapasitetsmessige årsaker ikke blir oppdaget.

I løpet av 2016 var det særlig to trender i risikobildet for IKT-hendelser som bekymrer oss. Den ene er at de mest alvorlige og ressurskrevende sakene fra avanserte trusselaktører øker i omfang. Den andre er at nettopp disse aktørene har begynt å angripe mindre norske virksomheter med sårbare IKT-systemer for å utnytte de kompromitterte nettverkene videre som infrastruktur i angrep mot andre, tilsynelatende mer attraktive mål.

Den dominerende angrepsmetoden for målrettede angrep er infiserte vedlegg i e- poster sendt til utvalgte personer. Trusselaktørens intensjon er å få mottakeren til å klikke på vedlegget. Angrepet er skreddersydd til offeret, med innhold det er lett å la seg lure av. Eksempelvis kan e-posten se ut som om den kommer fra en kollega. Angrep mot norske myndigheter og teknologivirksomheter er typisk i denne kategorien.

Angrep med formål å innhente informasjon er det normale. Det er heldigvis slik at Norge ennå ikke har opplevd cyberangrep i betydningen fullskala operasjoner mot oss med formål å gjøre effektfull skade. Flere land har opplevd reelle cyberangrep. Vi husker alle angrepet mot et kraftanlegg i Ukraina med påfølgende bortfall av strøm for mange hundretusener før jul i 2015. Både Estland i 2007 og Georgia i 2008 har opplevd cyberangrep. Felles for angrepene er at de har vært knyttet til en tilspisset politisk situasjon. NSM vurderer at risikoen for angrep med stort skadepotensiale vil være høyest i tilknytning til en konkret sikkerhetspolitisk situasjon.

Det store volumet av IKT-hendelser i Norge er imidlertid kriminalitet med økonomisk vinning som formål. To eksempler på dette er tjenestenektangrep og løsepengevirus med kryptolåsing av systemer. Slike angrep kan forårsake stor skade for kritisk infrastruktur og samfunnsviktige funksjoner. Løsepengevirus vil kunne sette ut hele virksomheter i dager eller uker. Dersom omfanget blir stort nok, vil det kunne få store konsekvenser ikke bare for enkeltmennesker og virksomheter, men for hele samfunnet. Heldigvis er det fortsatt slik at den norske delen av internett er relativt rent i forhold til mange andre land.

Vi vurderer at økning i alvorlige cyberangrep, kompromittering av nettverk i mindre virksomheter, bruk av cyberangrep og stjålet informasjon til påvirkning og et stort volum økonomisk motiverte hendelser er trender som vil fortsette i 2017 og videre fremover.

En stor utfordring er at det foreligger mange sårbarheter en trusselaktører kan utnytte. Ikke bare tekniske.

For det første dreier det seg om den økte kompleksiteten i IKT-strukturen vår. Samfunnet vårt består av det Lysne-utvalget kalte lange uoversiktlige verdikjeder, der mange store og små virksomheter er koblet sammen gjennom ulike digitale produkter og tjenester. Det skaper avhengigheter og innebærer at vi arver andre virksomheters sårbarheter. For virksomhetene som er avhengig av digitale tjenester, er det derfor vanskelig å ha tilstrekkelig innsikt i, og kontroll over egne sårbarheter. Dette øker samfunnets totale sårbarhet. Det seneste uttrykket for denne sammenhengen ble kjent da en eller flere underleverandører til Nødnett fikk bistand fra indiske selskaper, en sak hvor etterforskning fra politiet og tilsyn fra NSM og Nkom fremdeles pågår.

De lange verdikjedene stiller store krav til kompetanse hos dem som bestiller og følger opp leveranser. Det er ikke alle virksomheter som har slik kompetanse.

Den andre utfordringen som jeg vil trekke frem er fragmentering. Både når det gjelder tekniske løsninger og når det gjelder struktur og organisering av IT- tjenester. Dette er egentlig to sider av samme sak.

I offentlig forvaltning ser vi en stor svakhet i at IKT-løsningene er fragmenterte og at ansvaret er fordelt på mange aktører. Fragmenterte driftsmiljøer skaper kompleksitet og unødige variasjoner på nettverk og systemer. Det skaper utfordringer funksjonelt for å få de ulike programmene til å snakke sammen, og sikkerhetsmessig fordi det er mange løsninger som skal forvaltes og oppdateres. Dette resulterer i flere sårbarheter og mulige angrepsflater.

IKT Norge gjennomførte for noen år siden en undersøkelse som viste at det fantes ca. 600 forskjellige IKT-driftsmiljøer i offentlig sektor. Nesten alle etater har sitt eget. Jeg, som direktoratsleder, står nesten fritt til å velge hvordan jeg vil organisere mitt IKT-driftsmiljø, og hva slags løsninger jeg velger å satse på. Jeg kan ha et eget driftsmiljø eller sette ut driften, og jeg kan inngå leverandøravtaler med nesten hvem som helst. De færreste etater eller direktorater har kompetanse til å gjøre slike valg. Å beholde autonomien og «sjølråderetten» har vært viktigere enn sikker og effektiv drift på IKT-siden. En slik holdning koster oss dyrt som samfunn, og vi har ikke råd til å holde på slik i lengden. Over tid svekker en slik tilnærming både sikkerheten i datasystemene, og mulighetene for å dra full nytte av den nyeste teknologien. Små driftsmiljøer har rett og slett ikke ressurser til å henge med på utviklingen.

Felles IKT-løsninger og infrastruktur er viktig for sikker samhandling både innen sektorer og mellom sektorer. Ved en samfunnsmessig eller sikkerhetspolitisk krise må IKT-systemene være tilgjengelige og virke som de skal.

NSM mener det er behov for færre IKT-miljøer i offentlig sektor. Vår vurdering er at dette vil gi stordriftsfordeler med mer robuste kompetansemiljøer og kostnadseffektive løsninger, både funksjonelt, driftsmessig og sikkerhetsmessig.

Større IKT-miljøer har lettere for å tiltrekke seg og bygge opp sikkerhetsfaglig kompetanse og annen spesialkompetanse.

Vi mener også at det er behov for en felles robust IKT-infrastruktur i statsforvaltningen. Flere land har satt i gang tiltak for å innfri kravene om en mer effektiv statsadministrasjon og for å øke digitaliseringen. Et av hovedtiltakene er å etablere en robust felles infrastruktur tilrettelagt for samhandling og kobling av data.

Jeg har nå fokusert på offentlig sektor, men prinsippene er relevante for private virksomheter også.

Selv om vi rydder og strukturer oss på en god måte vil det være teknologiske sårbarheter vi må håndtere. Det er den tredje utfordringen jeg vil trekke frem. Det er mange teknologiske sårbarheter. En trusselaktør vil benytte seg av kjente sårbarheter, fordi de gir maksimal gevinst med minimal risiko for å bli oppdaget. I klartekst betyr det at kjente metoder er veien inn i en virksomhets datasystem. Trusselaktøren går inn der gjerdet er lavest, for eksempel ved å få noen til å klikke på en lenke i en epost.

Den gode nyheten er at det er mulig å beskytte seg mot de fleste kjente sårbarheter hvis man følger våre og andres tilsvarende grunnleggende råd. Vi har utarbeidet 4 helt grunnleggende råd, og 10 råd for sikring av egne nettverk. Opp mot 90% av angrepene kan forebygges gjennom å følge disse rådene.

Direktør Kjetil Nilsen i NSM – Nasjonal Sikkerhetsmyndighet taler i Oslo Militære Samfund. Foto: OMS.

Den dårlige nyheten er at det er svært vanskelig å beskytte seg mot de mest avanserte angrepene. Imidlertid, dersom rådene følges, så tvinger vi angriperen til å anvende mer avanserte metoder. Da engasjerer vi motstanderen, og det er ikke sikkert han er villig til å bruke mer kostbare virkemidler. Et IT-våpen blir kjent når det er avfyrt.

Vi i NSM gjennomfører inntrengningstesting i norske systemer. Da er det vi som er trusselaktøren. Som regel klarer vi å bryte oss inn nesten hver gang med enkle metoder som kunne ha vært stanset dersom våre råd hadde blitt fulgt. Heldigvis ser vi at virksomhetene har blitt bedre til å erkjenne at tekniske sårbarheter finnes, og de er blitt bedre til å lukke dem.

For å møte de tekniske sårbarhetene har vi publisert flere råd om sikring av både graderte og ugraderte systemer. Dette vil vi fortsette med. Hensikten er å medvirke til at virksomhetene etablerer en god «grunnsikring» i sine IT-systemer. Vi er i ferd med å utvikle det vi kaller «Grunnprinsipper for IKT-sikkerhet». Grunnprinsippene vil legge til rette for gjenbruk i og på tvers av ulike sektorer og bygger på etablerte internasjonale standarder. Prinsippene skal gjøre det enklere å oppfylle krav i ulike regelverk og på den måten legge til rette for felles tekniske løsninger.

I 2017 vil vi prioritere det vi mener er viktigst for å gi beslutningstakere i offentlige og private virksomheter en overordnet tiltakspakke for sikring av egne informasjonssystemer. Den første tiltakspakken vil omfatte tjenesteutsetting, drift og forvaltning, aksesskontroll, kommunikasjonssikkerhet, herding, logging og hendelseshåndtering. Sikringstiltakene skal endres i takt med den teknologiske utviklingen og samtidig støtte opp under digitaliseringen i samfunnet.

Vi kan gi råd og anbefalinger, men vi er helt avhengig av at den enkelte virksomhet implementerer disse i sine systemer.

Det fjerde og siste området jeg vil trekke frem er behovet for å kunne detektere og håndtere alvorlige cyberhendelser. Evnen til å oppdage alvorlige cyberhendelser må styrkes, både på nasjonalt plan, gjennom sektorvise responsmiljøer og i virksomhetene selv. Nasjonalt må vårt sensornettverk styrkes for å gi et tilstrekkelig situasjonsbilde av den nasjonale IKT-sikkerhetstilstanden i kritisk infrastruktur og kritiske samfunnsfunksjoner.

En styrking av deteksjons- og håndteringsevnen, krever både teknologi- investeringer og retningslinjer for hendelseshåndtering. Derfor jobber vi for tiden intensivt med å utvikle et nasjonalt operativt «rammeverk for digital hendelseshåndtering». Rammeverket skal styrke Norges evne til å håndtere cyberhendelser som rammer offentlige og private virksomheter i og på tvers av sektorer. Rammeverket beskriver hva som skal gjøres slik at alle relevante aktører effektivt kan utøve sitt ansvar i en koordinert nasjonal respons.

Rammeverk for digital hendelseshåndtering vektlegger tiltak fra forberedelse og planlegging, deteksjon og respons, vurdering, rapportering og utarbeidelse av læringspunkter. Rammeverket ble første gang prøvet ut i den store nasjonale IKT- øvelsen som ble gjennomført i november 2016. Vi noterte oss en hel rekke med nyttige erfaringer som vi nå tar med i arbeidet med å ferdigstille rammeverket.

Nå har jeg snakket mye om IKT- sikkerhet. Et annet område som er viktig i det forbyggende sikkerhetsarbeidet, er fysisk sikring og objektsikkerhet.

Som dere sikkert kjenner til, var det høring i Kontroll- og konstitusjonskomiteen om arbeidet med objektsikkerhet i forsvars- og justissektoren og sikring av objekter med sikringsstyrker for en uke siden. Bakgrunnen for høringen var en revisjonsrapport fra Riksrevisjonen. Høringen fikk i alle fall frem kompleksiteten innenfor dette feltet. Det er derfor viktig å forstå at arbeidet med sikring av skjermingsverdige objekter etter sikkerhetsloven er et kontinuerlig arbeid, som til enhver tid må ta utgangspunkt i utviklingen i trusselsituasjonen og samfunnsutviklingen for øvrig.

Som jeg nevnte tidligere, er den sikkerhetspolitiske situasjonen blitt slik at sikkerhetstruende hendelser som terrorisme, sabotasje og spionasje ofte skjer uten forvarsel. Derfor må samfunnet ha en viss grunnleggende motstandskraft. Dette kaller vi for grunnsikring. Grunnsikring skal alltid være tilstede. Sikringsstyrker fra forsvaret eller politiet er et påbygningstiltak som kommer i tillegg til grunnsikringen. Om en hendelse plutselig skjer, er det grunnsikringen som er vår beskyttelse og som må fungere.

Vår aktivitet konsentrerer seg om sikring av objekter som er viktige for rikets sikkerhet og andre vitale nasjonale sikkerhetsinteresser. Etter sikkerhetsloven omtales disse som «skjermingsverdige objekter.» Det kan være viktig infrastruktur, lagringsløsninger i datahaller eller andre funksjoner som rikets sikkerhet og selvstendighet er avhengig av.

Det er virksomhetene som eier, eller rår over, skjermingsverdige objekter, som har plikter i henhold til objektsikkerhetsregelverket. Et sentralt element er å bidra til å finne ut hva virksomheten skal sikre. Her er verdivurdering nøkkelen. I en verdivurdering kartlegger virksomheten sine verdier og rangerer disse etter viktighet. Dette er en forutsetning for utforming av effektive sikringstiltak og for riktig prioritering av begrensede sikringsressurser.

I fjor gjennomførte vi mange tilsyn, hvor vi avdekket store mangler når det gjelder fysisk sikring av objekter. Flere virksomheter som forvalter skjermingsverdige objekter etter sikkerhetsloven har ikke gjort ordentlige vurderinger av hvilken risiko de faktisk står overfor. De har ikke planer for å øke sikkerheten når risikoen øker. Bare unntaksvis har de kartlagt hvem de er avhengig av i egen sektor og på tvers av sektorer. Alle disse funnene påvirker sikkerhetstilstanden i negativ retning. Dette er bekymringsfullt.

Dette betyr ikke at det ikke er etablert noen grunnsikring ved de skjermingsverdige objektene. Noen av dem ligger for eksempel dypt inne i fjellanlegg. I løpet av de siste årene har mange tiltak blitt iverksatt. Det det betyr er at det fremdeles er mangler. Vi er ikke i mål. At trusselbildet er i forandring og teknologien endrer seg viser en dynamikk som tilsier at også sikringstiltakene vil måtte endre seg. Det er et kontinuerlig arbeid, men målsetningen må være at vi skal bli bedre hele tiden.

Siden tidlig i fjor høst, har et gammelt fenomen i ny drakt dukket opp i samfunnsutviklingen. Det har fått mye omtale ikke minst i media og handler om påvirkningsoperasjoner.

Direktør Kjetil Nilsen i NSM – Nasjonal Sikkerhetsmyndighet taler i Oslo Militære Samfund. Foto: OMS.

Jeg noterte meg Morten Haga Lunde sin vurdering av effekten av den russiske ambassadens påvirkningsforsøk mot norsk opinion, som han snakket om fra denne talerstol for noen uker siden. Han var trygg på at norske borgere var i stand til å gjøre egne vurderinger, eller å skille «snørr og barter» som han sa, og at pressemeldingen fra den russiske ambassaden tidligere i vinter om den norske holdningen til russiske myndigheter nok ikke fikk den effekten russerne kanskje hadde håpet. Denne vurderingen deler jeg.

Når det er sagt, så må vi huske på at den digitale arenaen er stedet hvor norsk naivitet og tradisjonell tillit til myndigheter og politiske organisasjoner møter harde realiteter fra andre samfunn. NSM har derfor gitt bistand til partiorganisasjonene for å styrke deres informasjonssikkerhet foran Stortingsvalget. Hovedfokus for rådgivningen er å øke sikkerhetsbevisstheten, i tillegg til å gi anbefalinger om tekniske tiltak for å bedre sikkerheten i organisasjonene.

Politiske påvirkningsoperasjoner, blant annet gjennom digital påvirkning, misbruker og angriper sentrale verdier i demokratiske samfunn. Disse sentrale verdiene er blant annet fri og åpen meningsdannelse og en fri og uavhengig presse. Disse verdiene kan misbrukes til å spre desinformasjon, løgn og undergraving. Når usannheter spres med stor kraft og i stort omfang, må det brukes mye energi og ressurser på å imøtegå dette.

I et samfunn med stor grad av ytringsfrihet kan slike virkemidler være vanskelige å identifisere når de skjuler seg i annen informasjon. Når det til stadighet spres drypp av undergravende informasjon, vil det være utfordrende å vite hva som bare er ufarlige enkeltutspill og hva som er del av en større, koordinert operasjon. Det kan være vanskelig å vite om det finnes en større hensikt bak og hva som er beste handlemåte for å beskytte seg. Situasjonen er derfor det som i andre sammenhenger kalles asymmetrisk, det vil si at spillereglene er ulike for den som angriper og den som angripes.

Siste linje mot spredning av falsk og stjålet informasjon i mediene er journalister og redaksjoner. Det er gledelig at VG, Dagbladet og NRK nå har gått sammen og etablert redaksjonen Faktisk, som skal faktasjekke påstander.

Myndighetsorganer, politiske partier, medier og andre virksomheter med høy grad av tillit i samfunnet bør forsterke sikkerheten i og kontrollen med egne kommunikasjonskanaler, som nettsider, e-post og kontoer på sosiale medier.

I EU er det opprettet en «task force» – en arbeidsgruppe – for å kontre desinformasjon. Initiativet skal samtidig øke EUs kapasitet til å forutsi, håndtere og svare på desinformasjon fra eksterne aktører. Vi har ikke noe tilsvarende i Norge, men kanskje vi bør vurdere noe slikt nasjonalt?

Borgere med høy kompetanse og evne til å reflektere er kanskje vårt beste forsvar mot påvirkningsoperasjoner. Borgere som tenker seg om og ikke klikker ukritisk på lenker i e-poster bidrar også til bedre cybersikkerhet. Som samfunn trenger vi kompetanse i bred forstand. Alt fra hvordan vi får inn forståelse for de digitale mulighetene og utfordringene gjennom undervisning i skolen, til hvordan vi lærer den oppvoksende generasjonen til å vurdere den enorme mengden informasjon de har tilgang til på internett med en sunn skepsis og en viss kritisk sans. Alt man leser på nettet er jo ikke sant. Her har både skolen og foreldre en viktig rolle.

I dette bildet må vårt beste vern som samfunn være å sørge for å ha grunnleggende og god kompetanse til å gjøre de rette vurderingene. Nøkkelen her er et effektivt og godt utviklet skolesystem, hvor vanlige mennesker lærer nok til at de kan gjøre riktige vurderinger.

Mennesker kan være vårt beste forsvar, men mennesker kan også utgjøre et svakt punkt. Innsidere med legitim tilgang har ikke bare tilgang til virksomhet, systemer, informasjon eller prosesser, men kan også kjenne til svakhetene ved tiltak og prosedyrer som skal sikre virksomhetens verdier. Siden en innsider kjenner virksomhetens svakheter, som kan skadepotensialet være stort. Bevisstgjøring og holdningsskapende arbeid er sentrale mottiltak, sammen med konkrete tiltak som god logging i datasystemene og skjerpet årvåkenhet. Dessverre ser vi regelmessig at sensitiv og gradert informasjon lekker fra norske virksomheter. Det er et problem som virksomhetene må følge opp.

NSM jobber forebyggende med å skape motstandsdyktighet. Samtidig jobber vi operativt med å håndtere hendelser døgnet rundt. Vi er avhengig av et velfungerende samarbeid både nasjonalt og internasjonalt. Vi er avhengig av å ha god oversikt over situasjonsbildet i og mellom sektorer. Dette gir oss en nødvendig grunnmur som sikkerhetsarbeidet kan hvile på.

Mine hovedpoeng har vært følgende:

  •   Styringen av sikkerhetsarbeidet må bli bedre
  •   Grunnsikringen må styrkes
  •   Det er for mange IKT-forvaltnings- og driftsmiljøer i det offentlige
  •   Det er for mange og uensartede tekniske løsninger i virksomhetene
  •   Evnen til å oppdage cyberhendelser må bedres
  •   Det er behov for bedre kompetanseJeg kommer ikke unna budskapet om at det til syvende og sist er virksomhetene selv, offentlige og private, som har primæransvaret for å beskytte egne verdier. Om grunnsikringen er på plass, vil forutsetningene være bedre om vi må høyne beredskap og anvende statens maktapparat. Politi og forsvar.

Innledningsvis sa jeg at sikkerhet er til for å beskytte verdier. Vi er avhengig av sikkerhet for at befolkningen skal ha tillit til nye tjenester. Storbritannia er ett av de landene som ser på digital sikkerhet som et satsningsområde. Ikke bare for å beskytte sine interesser, men også i troen på at satsning på sikkerhet vil være lønnsomt for samfunnet og gi forretningsmessige fordeler. Sikkerhet er således ikke bare et spørsmål om å hindre at noe negativt skjer. Sikkerhet er like mye å bidra til at noe positivt kan skje. En utgift til inntekts ervervelse.

Takk for oppmerksomheten!

Foto: Oslo Militære Samfund

Roar Thon gjestet Oslo Militære Samfund den 18. oktober 2016. Thon er fagdirektør sikkerhetskultur ved NSM Nasjonal Sikkerhetsmyndighet. Foredraget hadde tittelen: Informasjonssikkerhet – Mer enn bare teknologi.

Norske interesser utsettes daglig for digitale angrep fra fremmede stater, kriminelle og andre som forsøker å nå sine mål med teknologiske hjelpemidler. Likevel er arbeidet med å sikre våre verdier ikke bare et teknologisk spørsmål.
Ledelse, organisasjonskultur og den enkelte medarbeiders adferd, er viktige faktorer som i stor grad påvirker vår evne til å sikre oss. Foredraget gir – i tillegg til en beskrivelse av sikkerhetstilstanden i samfunnet – et innblikk inn i de organisatoriske og menneskelige forhold som påvirker informasjonssikkerheten.

Om foredragsholderen:
Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet (NSM), hvor han har arbeidet siden 2003. Thon er tidligere yrkesoffiser i Hæren, og han har også tjenesteerfaring i fra politiet. Han ble i 2012 tildelt ITAKT prisen* for sitt arbeid og sin evne til å forklare behovet for sikkerhet. Han er en mye etterspurt foredragsholder om mennesker, teknologi og sikkerhet.

Foredrag i Oslo Militære Samfund
mandag 7. desember 2009

Ved

Kommandør Geir Gade
Sjef Forsvarets sikkerhetstjeneste (FOST)

Innledning

Kommandør Geir Gade Sjef Forsvarets sikkerhetstjeneste (FOST). Foto: Stig Morten Karlsen, OMS

Jeg er glad for at OMS velger å sette den militære sikkerhetstjenesten på programmet i årets siste foredrag. Temaet er utvilsomt aktuelt. Vi som jobber med dette faget er glade for å forklare nærmere hva sikkerhetstjeneste er og hvorfor dette er viktig i militær virksomhet. Jeg vil i også forklare hva nettverksovervåkning er, og dessuten kort si litt om den situasjonen vår tjeneste nå står midt oppe i.

 

Jeg vil innledningsvis presisere at jeg gir uttrykk for mine egne faglige synspunkter. (Helt uavhengig av hva forsvarsledelsen eller andre måtte mene om de samme forhold.)

 

Det er 7. desember i dag og årsdagen for det japanske angrepet på den amerikanske stillehavsflåtens base på Pearl Harbour. Angrepet kom totalt overraskende på amerikanerne. Manglende beredskap på Hawaii bidro til at amerikanerne som en konsekvens var nær ved å tape sin evne til å hevde amerikanske interesser i Stillehavsområdet. Tyskerne hadde på samme måte tatt herredømme i store deler av Europa. Angrepet på Norge viser hvordan en trusselaktør med bruk av relativt beskjedne ressurser gjennom gode etterretninger om motparten og god sikkerhet rundt sine egne operasjonsplaner i løpet av svært kort tid kan sette en annen nasjon helt ut av spill. USA og Norge og en rekke andre land betalte en høy pris for manglende militære forberedelser.

 

Mange vil vite og noen få fremdeles huske at det i Norge etter krigen var stor enighet om at man aldri skulle tillate seg å komme i en situasjon hvor landet kunne bli utsatt for en tilsvarende hendelse igjen. Vi ser allikevel gang på gang at ”lessons identified” ikke nødvendigvis blir ”lessons learned”.

 

Sikkerhetstjeneste i Forsvaret

Det hevdes ofte at det var mye lettere å drive forsvar under den kalde krigen fordi trusselen over en svært lang periode var både åpenbar og nokså forutsigbar. Arbeidet med forebyggende sikkerhet var intet unntak.

 

I Vesten eksisterte det en betydelig frykt for Warsawapaktens militærmakt og vilje til å benytte denne. Etterretningstrusselen fra Sovjetunionen og alliansepartnerne i ”Østblokken” var godt dokumentert blant annet gjennom en rekke større spionasjesaker både i Norge og hos våre allierte. Denne settingen bidro i betydelig grad til å motivere for en god sikkerhet. Forsvaret hadde derfor et høyt fokus på sikkerhet, og forebyggende sikkerhet ble vektlagt og var en gjennomgående og grunnleggende del av tjenesten. Man hadde også inntrykk av at folk flest utenfor forsvaret hadde stor forståelse for at forsvaret drev slik virksomhet.

 

Det høye sikkerhetsfokuset forsvant imidlertid så å si ut med badevannet i forbindelse med Warsawapaktens avvikling og avslutningen av den kalde krigen. Russland opplevde et politisk og militært sammenbrudd og ble derfor ikke lenger oppfattet som en like potent trussel. I sammenheng med oppløsningen av Warzawapakten vokste det fram en sterk tro i Vesten om at den nye verdensordenen ville fremme samarbeid og åpenhet mellom stater, heller enn mellomstatlig rivalisering og militær opprustning.

 

Det er med sikkerhetstjeneste som med gudstro og forsikring, man verdsetter ikke betydningen av å ha forholdene i orden før ulykken rammer.

 

Avslutningen av den kalde krigen førte til store endringer i Forsvaret. Fokuset på, og kunnskapen om militær sikkerhetstjeneste ble utsatt for en betydelig forvitring. Da det tidligere FO/S ble nedlagt 1. januar 2003 ble Forsvarets sikkerhetsavdeling (FSA) etablert som et lite stabselement på 13 stillinger i Forsvarets Overkommando. FSA skulle ivareta Forsvarssjefens behov og ansvar for en tilstrekkelig militær sikkerhetstjeneste.

 

Det tok ikke lang tid før man ble klar over at det sto dårlig til med sikkerhetsforvaltningen i Forsvaret. Eksempelvis fantes det bare 15 heltidsstillinger med ansvar for sikkerhetstjeneste. Allerede fra tidlig i 2003 erfarte vi en rekke alvorlige sikkerhetstruende hendelser. Dette bidro til stor medieoppmerksomhet med et etterfølgende fokus på sikkerhetstjeneste. Dere husker sikkert medieoverskrifter relatert til manglende kontroll på et betydelig volum graderte dokumenter i forbindelse med flyttingen fra ”Huseby”. Vi hadde tilsvarende saker i Brussel, i Stavanger og i Bodø. I forbindelse med en alvorlig kriminalsak fant politiet flere hundre graderte dokumenter hjemme hos en offiser. Mangelfull vakt og sikring av Forsvarets baser førte til ”Jørstadmoen-saken”, ”Flekkerøya-saken” og ”HV03-saken” hvor militære våpen kom på avveie.

 

I tillegg til dette var det jevnlig oppslag i mediene med utgangspunkt i lekket gradert informasjon som følge av at ansatte var uenige i omstillingstiltak.

 

FNs og NATOs operasjoner på Balkan hadde også vist hvordan de stridende partene i disse konfliktene klarte å skaffe seg viktige etterretninger om de fredsbevarende styrkenes engasjementsregler og hvilken informasjon de hadde om de stridende partene. Dette bidro sannsynligvis til å forlenge krigshandlingene. Dårlig operasjonssikkerhet bidro, også til at fremtredende krigsforbrytere fra disse konfliktene fremdeles er på frifot, med det dette innebærer for normalisering og forsoning mellom de tidligere stridende partene.

 

Manglende fokus på sikkerhet og svak sikkerhetsorganisasjon i Forsvaret førte til at general Frisvold i løpet av 2003 bestemte seg for at den militære sikkerhetstjenesten skulle styrkes. Forsvarets sikkerhetsavdeling ble derfor omgjort til en selvstendig driftsenhet utenfor Forsvarsstaben i den nye ledelsesstrukturen. En rekke sikkerhetsfunksjoner ble i tiden deretter sentralisert og lagt inn under FSA. FSJ utarbeidet en egen detaljert instruks for sjef FSA. Det viste seg raskt at Sikkerhetsloven av 20. mars 1998 ikke var tilstrekkelig for å ivareta de militære sikkerhetsbehovene. FSJ etablerte derfor et eget Direktiv for den militære sikkerhetstjenesten. I dette direktivet slås det fast at sikkerhetstjeneste er en del av den operative virksomheten. Det var en uttalt ambisjon fra ledelsen i Forsvaret at direktivet skulle bidra til økt fokus på sikkerhetstjeneste og etablere klare ansvarslinjer innenfor sikkerhetsforvaltningen. Direktivet slår fast at et tilstrekkelig sikkerhetsnivå er en forutsetning for gjennomføring av all virksomhet i Forsvaret. ”En målrettet sikkerhetstjeneste som understøtter operasjoner, skal støtte Forsvarets operative behov i fred, krise, væpnet konflikt og krig – både nasjonalt og internasjonalt”.

 

Det utøvende ansvaret for den forebyggende sikkerhetstjenesten delegeres fra FSJ til sjef FSA. Sjef FSA får også rollen som sikkerhetsleder i Forsvaret. Det slås fast at sikkerhetstjenesten skal være dimensjonert for å løse FSJs sikkerhetsbehov.

Utfordringer

Med utgangspunkt i det som i 2005 fremsto som en klar instruks og en klar ordre og som bidro til at sikkerhetstjenesten fikk en tydelig og uttalt ledelsesforankring, burde alt ligget vel til rette for en effektiv opprydning. Det viste seg imidlertid raskt at det for det første var en betydelig motstand hos Nasjonal Sikkerhetsmyndighet (NSM) mot etableringen av en styrket sentral militær sikkerhetstjeneste.

 

NSM var grunnleggende uenige i at FSJ var virksomhetsleder i Forsvaret. Ansvarslinjene i sikkerhetsloven klargjør at det er virksomhetens leder som er ansvarlig overfor tilsynsmyndigheten (NSM) for at pålegg i sikkerhetsloven er oppfylt. NSM mente at sjefer på et mye lavere nivå i Forsvaret skulle regnes som virksomhetsledere i lovens forstand, og de fikk delvis støtte av Forsvarsdepartementet i dette. Dette bidro til at det var svært utfordrende å ivareta rollen som sikkerhetsleder i Forsvaret på en effektiv måte. For det andre etablerte enkelte avdelinger med utgangspunkt i NSMs definisjon av virksomhetslederbegrepet svært tette bånd til tilsynsmyndigheten.
Eksempler på denne type forhold finner vi særlig innenfor fagområdet informasjonssikkerhet. Både FLO/IKT og sambandsavdelingen ved fellesoperativt hovedkvarter hadde hatt et vel etablert samarbeid med spesialister i det gamle FO/S. Det ble derfor slik at man i begge disse fagmiljøene videreførte dette som et samarbeid med de samme

spesialistene som nå jobbet i NSM. Utfordringen for FSA var at det ikke ble gitt innsyn i hva som foregikk innenfor det samarbeidet som var mellom disse avdelingene og NSM. Dette har vært situasjonen helt frem til i dag til tross for at FSJs sikkerhetsdirektiv slo fast at FSA skulle koordinere dette arbeidet mot NSM. Dette har selvsagt bidratt til at det har vært tyngre å drive FSA og bidratt til å undergrave tjenestens rolle og myndighet.

 

I løpet av 2006 gjennomførte FSA en kontroll med et stort antall avdelinger i Forsvaret for å få et bilde av sikkerhetstilstanden. Resultatet var nokså nedslående; bare ca 10% av de kontrollerte avdelingene tilfredsstilte lovens minimumskrav til tross for FSJs uttalte behov for sikkerhet ut over de lovpålagte kravene.

 

Mange avdelinger hadde en svak sikkerhetsorganisasjon og det var gjennomgående mangel på kompetanse. Konsekvensen av dette var at mange sjefer ikke hadde tilstrekkelig oversikt over sin egen situasjon på det sikkerhetsfaglige område. Det ble derfor gitt en rekke sentrale pålegg om å få orden på sikkerhetstjenesten ute ved avdelinger og gi faget en mer sentral plass ved Forsvarets skoler.

Risikobildet i Forsvaret

Sikkerhetsrisiko er en funksjon av verdi, trussel og sårbarhet. Det nye norske innsatsforsvaret kan på mange måter beskrives som en nodestruktur som er teknologiavhengig og lite redundant. Det bidrar til at enkeltelementer blir mye viktigere enn tidligere. Konsekvensen av at et enkeltelement ødelegges eller får redusert funksjonalitet kan derfor bli svært alvorlige. Vi har med andre ord fått flere egg i færre kurver. Det etableres gjensidige avhengigheter mellom enkeltelementer som er helt avgjørende for å oppnå full militær effekt. Disse enkeltelementene må derfor verdivurderes i lys av disse gjensidige avhengighetene og deretter sikres tilstrekkelig.

 

En god forståelse av sikkerhetstruslene er avgjørende for å skape aksept for en effektiv og kompetent sikkerhetstjeneste. Et lands evne og vilje til å forsvare eller ivareta sine nasjonale interesser har opp gjennom historien vært gjenstand for oppmerksomhet fra andre lands etterretningstjenester. Som nevnt tidligere tok man det nærmest for gitt at denne situasjonen endret seg etter avslutningen av den kalde krigen. Det fremgår imidlertid fra ugraderte kilder at etterretningstrusselen mot Norge og NATO minst er på nivå med det den var da den kalde krigen var på sitt kaldeste.

 

Det er i denne sammenhengen viktig å ha i mente at etterretning og sikkerhet er to sider av samme sak. Den enes dårlige sikkerhet bidrar til den andres gode etterretninger. Potensielle trusselaktører vil alltid forsøke å finne våre sikkerhetsmessige svakheter og benytte dette til å tilegne seg informasjon som kan få negative konsekvenser for vårt Forsvars operative evne og for rikets sikkerhet.

 

Det er imidlertid ikke bare trusler fra fremmed etterretning som truer Forsvaret og Forsvarets operasjoner, men også terroranslag. Trusselbildet er blitt mer hybrid. Vi ser ganske ofte at trusselaktører fra fremmede etterretningstjenester, terrororganisasjoner og kriminelle organisasjoner innenfor et gitt geografisk område samarbeider for å oppnå størst mulig effekt. Vi har sett nokså klare tilfeller av dette hos trusselaktører på Balkan og i Afghanistan. Dette er særlig tilfelle innenfor det nye området for militære operasjoner som mange allerede kjenner som cyberspace.

 

FD uttalte allerede i St.prp. 45 (2000-2001) at informasjonsrevolusjonen er i ferd med å forandre rammebetingelsene for krig og konflikt. Angrep på sivile og militære informasjonssystemer må antas å ville utgjøre et sentralt element i framtidens konflikter.

 

Ett slikt eksempel var det som skjedde i april 2007;svært nær Norges grenser. En ganske liten krig helt uten blod og bomber. Likevel var den lille, ublodige krigen skremmende interessant. Den var nemlig historiens første nettkrig. Konflikten begynte med at man i Estland fjernet en bronsestatue av en sovjetisk soldat fra Tallinn i det som i ettertid kan sies å ha vært et lite gjennomtenkt oppgjør med fortiden. Statuen var reist til minne om soldater fra den Røde Armé som falt i kampen mot nazismen. Estlands betydelige russiske minoritet likte dårlig at minnesmerket ble fjernet. Det samme gjorde Russlands myndigheter, som reagerte med kraftige protester og krav om boikott av det vesle nabolandet. Ganske snart begynte angrepene.

 

Anslagene mot landets elektroniske infrastruktur var kraftige, og de varte i uker. Myndighetenes nettsider ble angrepet, og banker og aviser ble satt ut av drift i en lengre periode. Flere av angrepene kunne spores til servere eid av den russiske stat, men mange av angrepene kom fra andre deler av verden. Noe ble sikkert gjennomført av russiske privatpersoner. Så hvem var egentlig angriperne i denne krigen? Hvem kunne man forsvare seg mot? Og hvordan? Det finnes en rekke andre tilsvarende eksempler som er like kjente, men som det ikke er plass til å omtale. Dette er utfordringer som vi møter daglig innenfor utøvelse av det som vi betegner som Computer network Defence (CND).

I forbindelse med at det nylig var skifte av sjef for Politiets sikkerhetstjeneste uttalte den påtroppende sjefen at Forsvarets operasjoner ute bidrar til økt risiko hjemme. Selv om etterretningstruslene vanligvis oppfattes å komme hovedsakelig fra det som på fagspråket kalles for HUMINT og SIGINT, er det også slik at det som skrives i åpne medier finner veien til trusselaktører i fjerne områder der norske militære styrker er deployert. Vi så nylig at pressen tok konsekvensen av dette i forbindelse med en kidnappingssak i Afghanistan. I forbindelse med introduksjonen av nye IVECO-stridskjøretøyer for styrkene i Afghanistan ble disse kjøretøyenes svake sider i detalj omtalt i pressen. Det samme var tilfelle med vår nye fregatt som nå er satt inn i operasjoner mot piratvirksomheten utenfor Somalia. Dette bidrar til å undergrave militær effekt og utsette personellet for en høyere risiko.

 

Noe av det mest alvorlige kan være en illojal medarbeider som kommer i forbindelse med en trusselaktør. Det er mange forhold i vår moderne livsførsel som kan føre til at vi kan bli satt under press til å være illojale mot våre egne. Det er også en trend i samfunnet at brudd på taushetserklæring og sikkerhetsbestemmelser ikke ses på med samme alvorlighet som tidligere. Dette bidrar til å senke terskelen for å være illojal mot arbeidsgiver. Det er dessverre også slik at dersom det ikke er etablert tilstrekkelige kontrollmekanismer så vil det nærmest være rasjonelt for noen å begå sikkerhetsbrudd.

 

I tillegg til militære problemstillinger som omfatter både Norge og NATO så må vi forvente at det foregår en nokså omfattende industrispionasje rettet mot teknologi og industriell metode og mot Norge i rollen som strategisk råvareleverandør. For å si det litt lettvint så har det aldri vært enklere å stjele informasjon enn det er nå. Samfunnet har gjort seg helt avhengig av informasjonsteknologi. Denne teknologien er svært vanskelig å sikre mot eksterne trusselaktører, men det er praktisk talt umulig å beskytte seg, dersom illojale medarbeidere samarbeider med disse trusselaktørene. En slik trussel blir derfor svært farlig for både sivile og militære strukturer som må beskytte sin konkurranseevne. Sikkerhetstiltak skal nemlig bidra til å beskytte det komparative fortrinnet.

 

I Forsvaret har vi lagt til grunn at vi med en relativ liten struktur kan få en relativ høy militær effekt ved å benytte høyteknologi og etablere et informasjonsovertak. Dersom trusselaktører kjenner til vår teknologi uten at vi selv er klar over det, så kan dette ha konsekvenser for vår operative evne. Det samme gjelder et antatt informasjonsfortrinn. En underdimensjonert eller dårlig ivaretatt militær sikkerhetstjeneste kan derfor føre til tap av operativ effekt og utsette soldater for høyere risiko.

 

Behovet for en effektiv sikkerhetstjeneste i Forsvaret

Forsvarets rolle mot ytre trusler som truer landets sikkerhet og selvstendighet er fundamental. Tapt operativ evne (forsvarsevnen) vil i prinsippet innebære svekket statssikkerhet. I dette perspektivet kan derfor ikke Forsvaret uten videre sammenlignes med andre statsetater, spesielt ikke hva angår sikkerhetsbehov.

 

Forsvarets operative evne vil alltid være avhengig av en rekke kritiske funksjoner. Det er viktig å identifisere de kritiske funksjonene fordi beskyttelsen av dem er den militære sikkerhetstjenestens hovedfokus. De kritiske funksjonene er igjen avhengige av en rekke verdier, forutsetninger og krav, eksempelvis spesialpersonell, informasjon, materiell, infrastruktur og spesielle objekter. Utfordringen er å avdekke sikkerhetsmessige svakheter eller sårbarheter og se disse i sammenheng med det aktuelle trusselbildet. På denne måten kan Forsvaret tilpasse og iverksette forebyggende sikkerhetstiltak. Fremtidig operativ evne er avhengig av at egne sårbarheter blir identifisert og tatt hensyn til, før en motstander evner å utnytte dem til sin fordel.

 

Den fortsatte omstillingen av Forsvaret har ytterligere forsterket behovet for en effektiv sikkerhetstjeneste gjennom økt sentralisering og ved at redundante organisasjonsledd fjernes (dvs enda flere egg i enda færre kurver enn tidligere).

 

Det er uansett ikke mulig å fjerne all risiko gjennom tekniske sikkerhetstiltak. Forsvaret har en relativ høy ambisjon om å etablere et Nettverksbasert Forsvar allerede i 2012. Dette innebærer at man må innrette sikkerhetstiltakene på en annen måte enn tidligere. Forebyggende sikkerhetstiltak må i fremtiden innrettes mot å etablere forsvarbare fysiske, logiske og organisatoriske strukturer. Med forsvarbare mener jeg proaktive tiltak som begrenser en motstanders offensive handlingsrom og samtidig forsterker vår evne til å avsløre og bekjempe fiendtlige operasjoner før det er for sent. Slike forsvarbare strukturer forutsetter en helhetlig, kompetent og gjennomgripende sikkerhetsprosess hvor risikobildet blir kartlagt og håndtert. Dette kan bidra til å gi FSJ et større handlingsrom og en bedre beskyttelse av den operative evnen. Sikkerhetstjenesten i Forsvaret må derfor operasjonaliseres i takt med fremtidens krav til militære operasjoner. Det er vår erfaring i FOST at en sentralisering av viktige sikkerhetsfunksjoner bidrar til å synliggjøre risikobildet og sikkerhetsutfordringene i et mer helhetlig perspektiv.

 

Mye av det jeg har berørt så langt i dette foredraget kunne hver for seg vært tema for et eget foredrag. Jeg har beskrevet det på denne måten fordi jeg mener at det bidrar til å belyse et nokså omfattende behov for sikkerhetstjeneste i Forsvaret. Behovet er dessverre og merkelig nok – vil vi si – ikke blitt omtalt i andre dokumenter enn i FSJs Direktiv for den militære sikkerhetstjenesten. Vi jobbet iherdig for å få beskrevet behovet for sikkerhetstjeneste i Forsvarsstudien 2007. Dessverre nådde vi heller ikke her frem med våre innspill med unntak av forslaget om skifte av navn fra sikkerhetsavdeling til sikkerhetstjeneste. Dette bidrar til at man nå snakker om å redusere antall ansatte i FOST uten at det foreligger gode militærfaglige begrunnelser.

FSA og senere FOST er heller ikke i særlig grad viet oppmerksomhet i meldinger eller proposisjoner fra Forsvarsdepartementet. Dette kan ha gitt næring til at pressefolk og andre utenfor Forsvaret oppfatter og omtaler virksomheten som ”en fjerde hemmelig tjeneste som har vokst frem i det stille”. I forbindelse med medietrykket som vi har hatt etter en rapport avgitt av EOS-utvalget samt anmeldelse av FOST fra FD med påfølgende etterforskningen fra KRIPOS, har forsvarsledelsen etter mitt syn ikke redegjort tydelig nok for selve behovet for en militær sikkerhetstjeneste.

 

Med dette beveger jeg meg over på temaet nettverksovervåkning. Vår håndtering av dette oppdraget førte til at FOST nok en gang kom i medias søkelys den 10. juni i år.

 

FOST-saken

Tidlig om morgenen denne dagen mottar jeg en oppringning fra FSJs forværelse om straks å møte på FSJs kontor. Jeg har på det tidspunkt ikke den ringeste anelse om hva som er under oppseiling. En knapp halvtime etterpå mottar jeg en kort orientering fra FSJ om at FOSTs virksomhet på Jørstadmoen er mistenkt for å ha gjennomført ulovlig overvåkning av e-posttrafikken til statsministerens kontor og til slottet. Jeg får vite at KRIPOS er på vei for å gjennomføre en ransaking ved avdelingen. Det første tilfellet av ulovlig overvåkning skulle ha skjedd allerede i løpet av sommeren 2008 og det seneste tidlig på våren 2009.

 

Som sjef FOST var jeg på dette tidspunktet ikke kjent med at brukere utenfor Forsvaret benyttet seg av Forsvarets internettportal. Dette var avtaler som var inngått mellom FLO/IKT og disse brukerne uten at vi var orientert om dette.

 

Selv om FOSTs aktivitet ved det som betegnede heter Forsvarets senter for beskyttelse av kritisk infrastruktur på Jørstadmoen er teknisk komplisert, har jeg som sjef allikevel hatt en god forståelse av aktiviteten og hvordan prosesser og oppgaver er organisert. Jeg ga derfor i en umiddelbar kommentar til FSJ uttrykk for at vi i den sikkerhetsmessige overvåkningen av Forsvarets internettlinjer ikke leser innhold, men kun observerer såkalte metadata. Det vil si at FOST ikke ”overvåker” brukerne av Forsvarets informasjonssystemer. Jeg kommer tilbake til hva dette innebærer.

 

Det veldig positive fra mitt perspektiv er at FSJ og sjef FST med det samme ga uttrykk for at de hadde full tillit til FOSTs ansatte inntil det motsatte var bevist. Dette ble også tydelig kommunisert utad.

 

Jeg skal ikke kommentere innholdet i selve etterforskningssaken, men for å gi forsamlingen et innblikk i bakgrunnen til denne såkalte FOST-saken, vil jeg nevne noen vesentlige faktorer som kan bidra til å forklare hva nettverksovervåkning er og hvorfor vi legger vekt på å gjøre dette.

 

Trusselnivået på internett er som nevnt ansett å være både høyt og komplekst. Risikoen for at Forsvarets internetteksponerte tjenester kan bli utsatt for målrettede eller mer tilfeldige angrep er derfor stor. For å sikre Forsvarets internett-tilknyttede systemer er det implementert brannmurer, antivirusløsninger og andre statiske tiltak for å begrense de tjenester som eksponeres mot internett. Det dynamiske trusselbildet vi i dag står overfor på internett, og det faktum at det daglig oppdages nye sårbarheter i operativsystemer og applikasjoner, gjør det nødvendig for Forsvaret å iverksette tiltak for å redusere den restrisiko man står igjen med etter at statiske sikkerhetstiltak er iverksatt. Sikkerhetsmessig overvåking av Forsvarets internettforbindelser er et slikt tiltak.

 

Gjennom FSJs Direktiv for sikkerhetstjenesten i Forsvaret er jeg gitt både oppdrag og myndighet til å iverksette nettverksovervåking og kartlegge omstendighetene rundt sikkerhetstruende hendelser i Forsvarets informasjonssystemer. Videre har FD i iverksettingsbrev til Forsvaret for både for 2008 og 2009 gitt oppdrag til Forsvarets sikkerhetstjeneste om å gjennomføre sikkerhetsmessig overvåking av Forsvarets informasjonssystemer. Det er disse dokumentene som har vært mitt hjemmelsgrunnlag for å utføre sikkerhetsmessig overvåking av Forsvarets informasjonssystemer.

 

Sikringen av Forsvarets internettaktivitet kom i gang tidlig i 2006 som et samarbeid mellom FLO/IKT og FSA.

FOST registrerer trafikk-metadata, som innebærer å registrere data om hvilke IP-adresser på innsiden av Forsvarets internettforbindelser som kommuniserer med IP-adresser på internett. Hvem som ligger bak IP-adressene på Forsvarets internettportal er det ikke FOST som har oversikt over, men FLO/IKT. Det registreres ikke innhold i kommunikasjonen.

 

Kort tid etter etableringen av nettverksovervåkningen i april 2006, ble det i et brev til FLO/IKT og Forsvarsstaben fra FSA sin side gjort rede for bakgrunnen for denne sikkerhetsmessige overvåkningen og hva den innebærer både i forhold til systemeier, som er FLO/IKT, og for brukerne. FLO/IKT ble i dette skrivet utrykkelig pålagt å orientere alle brukerne av Forsvarets internettportal om dette nye sikkerhetsregimet.

 

Vi har ved avdelingen på Jørstadmoen hele tiden hatt et høyt fokus på personvern og etterrettelighet. Dette er nedfelt i gode ledelsesforankrede rutinebeskrivelser, og all aktivitet blir løpende loggført. Derfor har FOST vært i svært god stand til å belyse overfor KRIPOS hva som har foregått i de sakene vi er anmeldt for.

 

Medietrykket som fulgte og den langtrukne etterforskningen fra KRIPOS har vært en kraftig belastning for de ansatte i FOST og i særlig grad de som driver med nettverksovervåkningen på Jørstadmoen. Som arbeidsgiver føler jeg derfor et stort ansvar overfor mine medarbeidere i forhold til å få forklart hva nettverksovervåkning dreier seg om og på den måten bidra til at media og folk flest får korrekt informasjon om dette. Da saken verserte i pressen fikk jeg og mine ansatte munnkurv. Mediene hadde allikevel rikelig tilgang på detaljert informasjon som fra vårt perspektiv var tendensiøs og spekulativ. Vi sitter med et klart inntrykk av at mange av disse opplysningene som har kommet ut i media bare har vært kjent av folk på innsiden. Det er derfor grunn til å anta at dette kan ha vært gjort for å sette FOST i et dårlig lys.

 

Det som har vært særlig vanskelig å forstå i denne saken er at det fra politisk ledelse i FD har vært uttalt at de allerede tidlig på høsten 2008 mottok varsel om en mulig ”ukultur” i FOST uten at det ble iverksatt effektive tiltak for å bringe fakta på det rene i forhold til dette. Dette fremgår av Statsrådens brev til Stortinget. Dersom det virkelig var en slik ”cowboykultur” i FOST burde, etter mitt skjønn, departementet bidratt til at det ble gjennomført kontroll eller tilsyn hos oss for å avdekke dette. Jeg legger til at jeg aldri har blitt orientert om slik varsling om mulig ukultur i den virksomhet jeg leder. Verken jeg eller mine ledere har dermed hatt noen mulighet til å iverksette tiltak for å komme en påstått ukultur til livs.

 

Det hører med til historien at FD nylig har gjennomført en grundig inspeksjon av virksomheten vår på Jørstadmoen og i den sammenheng ikke funnet noe kritikkverdig.

 

For FOST har saken fått den dramatiske konsekvens at det i forslag til ny instruks forslås å overføre ansvaret for nettverksovervåkningen til andre aktører i Forsvaret. Begrunnelsen for dette synes å ligge i en sammenlikning med sivile aktører. Vi mener at det ikke er grunnlag for en slik sammenlikning og for oss vil dette i betydelig grad bidra til et redusert kompetansemiljø og en svekket tilgang til informasjon om sikkerhetstruende aktivitet mot Forsvarets IKT-virksomhet.

 

Dersom det ender med at KRIPOS konkluderer med at vi ikke har bedrevet det vi er anmeldt for – jeg sier det slik fordi jeg så langt ikke har fått innsyn i anmeldelsen, så gjenstår bare kritikken fra EOS – utvalgets rapport av 17. juni. Vi er slett ikke enige i konklusjonene i denne rapporten. Den er fremdeles høyt gradert, men vi har i et eget skriv til utvalget anbefalt at den avgraderes. En avgradering vil bidra til at det blir mulig å gå inn i disse problemstillingene. Dette blir vesentlig dersom det er dette som skal legges til grunn for en betydelig vingestekking av tjenesten.  

 

Forsvarets senter for beskyttelse av kritisk infrastruktur har i lang tid vært viet betydelig oppmerksomhet for sitt meget høye profesjonelle nivå både fra utenlandske allierte og fra våre egne. Det har vært en rekke VIP-besøk på Jørstadmoen både fra forsvarsledelsen, politisk ledelse i FD og andre medlemmer av regjeringen. Mange har gitt uttrykk for forbauselse over det bildet som vi har kunnet vise frem og nesten uten unntak forlatt avdelingen med ordene ”keep up the good work”.

 

Det er viktig for meg å si at jeg er stolt av det arbeidet mine ansatte gjør og den profesjonelle holdningen de representerer. Jeg er også stolt av den måten de har båret den tunge børen det er å ha vært under etterforskning for å ha forbrutt seg mot norsk lov. Et stort antall har møtt frem her i kveld både for å gi meg litt moralsk støtte, men ikke minst for å vise at de ikke har noe verken å skjemmes over eller gjemme seg for.

 

Dermed vil jeg avslutningsvis si at som sjef opplever jeg at både sikkerhetsfaget og den enkelte medarbeiders motivasjon har fått seg et kraftig skudd for baugen som et resultat av denne saken.

 

Etter angrepet på Pearl Harbour viste amerikanerne en ekstrem besluttsomhet og vilje til innsats. Det varte ikke lenge før de hadde tatt igjen det tapte og mer til. Når det gjelder vår situasjon skorter det heller ikke på viljen, men vi er på nåværende tidspunkt i liten grad gitt mulighet til å påvirke vår egen situasjon og er derfor avhengige av at den sunne fornuft får råde i forhold til hvordan vår fremtidige virksomhet skal organiseres og reguleres.

 

Det er uansett et udiskutabelt militært behov for å være profesjonell på dette området. Konsekvensen av det motsatte illustreres godt gjennom det gamle ordtaket ”ei lita tue kan velte et stort lass”. Det passer også godt i denne sal å avslutte med et sitat fra Jens Christian Hauge som lyder som følger: ”Det var først da vi tok sikkerheten på alvor at hjemmefrontens operasjoner fikk effekt.”

 

Jeg ønsker dere alle et riktig hyggelig julegilde her i kveld og alt godt for den kommende høytiden.

Tusen takk for oppmerksomheten.