Magma topp logo Til forsiden Econa

Katarina de Brisis er seniorrådgiver i Nærings og handelsdepartementet, der hun for tiden er prosjektleder for utviklingen av en nasjonal strategi for informasjonssikkerhet. Hun er utdannet siv.ing. i databehandling (1981). Hun har arbeidet som IT-konsulent og IT-forsker og med strategiutviking, analyse og utredningsarbeid innen IT-politikk.

Nasjonal strategi for informasjonssikkerhet

Utarbeidelsen av en nasjonal strategi for informasjonssikkerhet er en videreføring av arbeidet som ble påbegynt i tidligere utredninger om IT-sikkerhet og IT-sårbarhet i samfunnet. Arbeidet med strategien er forankret i stortingsmelding nr. 17 (2001--2002) om samfunnssikkerhet, som er en oppfølging av Willoch-utvalgets anbefalinger. 1 Videre er arbeidet en del av realiseringen av mål i den nasjonale IT-politikken slik den kommer til uttrykk i dokumentet «eNorge 2005». 2

Justisdepartementet, Forsvarsdepartementet og Nærings- og handelsdepartementet tok initiativ til utviklingen av ennasjonal strategi for informasjonssikkerhet i desember 2001.

Arbeidet ble organisert i et prosjekt som ledes av Nærings- og handelsdepartementet. Prosjektet styres av en styringsgruppe ledet av Justisdepartementet. I løpet av 2002 har prosjektet utviklet et grunnlagsdokument for strategien. Dokumentet har vært på en omfattende offentlig høring. I skrivende stund utvikles nå det endelige strategidokumentet, som skal inneholde nasjonale prioriteringer og anbefalinger for de nærmeste to--tre årene.

De myndigheter som direkte deltar i utviklingen av strategien gjennom styringsgruppen, er Justisdepartementet, Finansdepartementet, Arbeids- og administrasjonsdepartementet, Forsvarsdepartementet, Helsedepartementet, Sosial- og helsedirektoratet, Nærings- og handelsdepartementet, Olje- og energidepartementet, Norges vassdrags- og energidirektorat, Sosialdepartementet, Samferdselsdepartementet og Statsministerens kontor.

Som en del av arbeidet med å utforme strategier og tiltak er det i løpet av prosjektperioden gjennomført møter med de nedenfor opplistede myndigheter og aktører og noen «tunge brukere» innenfor IT-sikkerhet i Norge. Formålet med møtene var å få en bedre forståelse av tilstanden for informasjonssikkerhet i dag, utviklingstrekk en ser fremover, og ikke minst de utfordringene en ser for seg i tiden som kommer. Pågående tiltak ble også kartlagt.

  • Nasjonal sikkerhetsmyndighet, tidligere Forsvarets overkommando / Sikkerhetsstaben (FO/S)
  • Direktoratet for sivil beredskap (DSB), som nå vil inngå i et nytt Direktorat for beredskap og samfunnssikkerhet (DBS)
  • Politiets sikkerhetstjeneste (PST) og Forsvarets overkommando/Etterretningsstaben (FO/E)
  • Økokrim
  • Datatilsynet (DT)
  • Kredittilsynet (KT)
  • Post- og teletilsynet (PT)
  • Norges Bank
  • Næringslivets Hovedorganisasjon (NHO) og Næringslivets sikkerhetsorganisasjon (NSO)
  • Finansnæringens Hovedorganisasjon (FNH), Sparebankforeningen og Bankenes standardiseringskontor (BSK)
  • Kommunenes Sentralforbund (KS)
  • Skattedirektoratet (SKD)
  • Rikstrygdeverket (RTV)
  • Trondheim kommune

Listen illustrerer samtidig mangfoldet av ulike aktører som har en «aksje» i håndteringen av informasjonssikkerhet på nasjonalt nivå. Dette mangfoldet har for strategiarbeidet vært en utfordring i seg selv.

INTERNASJONALT PERSPEKTIV

Flere andre land har også tatt initiativ til å utvikle en nasjonal strategi for sikker utvikling og bruk av IT. I Storbritannia ble i mars 2002 dokumentet «Protecting the Digital Society. A Manifesto for the UK» lagt frem. I USA arbeider myndighetene med et tilsvarende dokument, og i september 2002 ble dokumentet «The National Strategy to Secure Cyberspace» sendt ut på høring. I Danmark arbeidet Ministeriet for Videnskab, Teknologi og Udvikling høsten 2002 med et dokument om IT-sikkerhet og tiltak på dette området.

Internasjonale organisasjoner som OECD og Den europeiske union har også satt IT-sikkerhet på sin agenda. Begge peker på behovet for å treffe tiltak på området og for å utarbeide nasjonale strategier eller retningslinjer for IT-sikkerhet.

OECDs råd vedtok 25. juli 2002 «OECD Guidelines for the Security of Information Systems and Networks. Towards a culture of security». Disse retningslinjene er en revisjon av tidligere vedtatte retningslinjer fra 1992. OECD-retningslinjer er forsøkt gjenspeilt i strategien og vil således utgjøre den nasjonale oppfølgingen av retningslinjene i Norge.

EU-kommisjonen utarbeidet et forslag til en europeisk strategi 3 og Ministerrådet for telekommunikasjoner i EU vedtok 28. januar 2002 en resolusjon om en felles strategi og særlige foranstaltninger som det anbefales at medlemslandene iverksetter innenfor nettverks- og IT-sikkerhet. Denne resolusjonen følges nå opp i Kommisjonen med blant annet et forslag til etablering av et europeisk IT-sikkerhetsorgan. Det er ennå uavklart hvilken form dette organet vil få. På et nytt møte i Ministerrådet 6. desember 2002 vedtok EU-landene en resolusjon om den europeiske tilnærmingen til en kultur for informasjonssikkerhet. Resolusjonen slår blant annet fast at EU-landene skal opprette en felles Cyber Security Task Force, trolig med tilknytning til EU-kommisjonen.

MÅLSETTINGER

Formålet med å utvikle en nasjonal strategi for informasjonssikkerhet har vært som følger:

  • Å fremskaffe en helhetlig nasjonal tilnærming til arbeidet med informasjonssikkerhet
  • Å etablere et helhetlig grunnlag for politiske beslutninger og prioriteringer
  • Å synliggjøre behovet for koordinering av ulike aspekter ved informasjonssikkerhet og gjennom dette bidra til at
  • sårbarheten i teknologisk infrastruktur blir redusert
  • det legges til rette for trygg elektronisk forretningsdrift og sikres pålitelige elektroniske tjenester fra det offentlige

Dette kommer til uttrykk i følgende fire overordnede mål for informasjonssikkerhet i det norske samfunnet:

  • Samfunnskritisk infrastruktur for elektronisk informasjonsutveksling skal være robust og sikker i forhold til de trusler den utsettes for. Kritiske informasjonssystemer skal være sikret, slik at skadevirkningene ved sikkerhetsbrudd ikke er større enn det som kan defineres som akseptabel risiko.
  • Det skal bygges en sikkerhetskultur rundt bruk og utvikling av informasjonssystemer og elektronisk informasjonsutveksling i Norge. IT-sikkerhet skal være en sentral faktor ved forbrukernes og norske virksomheters bruk av IT.
  • Norge skal ha en allment tilgjengelig samfunnsinfrastruktur for elektronisk signatur, autentisering av kommunikasjonspartnere og sikker overføring av sensitiv informasjon.
  • Regelverk som berører informasjonssikkerhet, skal håndheves og videreutvikles på en samordnet og for brukerne enkel og oversiktlig måte, slik at gjennomføringen av nødvendige tiltak skjer på en mest mulig effektiv, og samtidig forsvarlig, måte.

Strategien er ment å bidra til å øke bevisstheten og kompetansen om informasjonssikkerhet i samfunnet, slik at det i Norge skal kunne utvikles en kultur for sikkerhet ved bruk av informasjonsteknologi som bidrar til økt bruk av nettbaserte tjenester. Dette skal i sin tur føre til en effektivisering av verdiskapingen i samfunnet og på denne måten styrke Norges konkurranseevne. Videre vil det bidra til kvalitativt bedre tjenester fra offentlig sektor og dermed gjøre det mulig å omprioritere ressurser, slik at det nåværende velferdsnivået i samfunnet kan opprettholdes og styrkes.

UTVIKLINGSTREKK SOM ER LAGT TIL GRUNN

Elektroniske kommunikasjonsnettverk og -tjenester har inntatt en sentral plass i informasjonsutvekslingen og er blitt et viktig hjelpemiddel for å få utført mange daglige arbeidsrutiner og -prosesser både for det offentlige, næringslivet, organisasjoner og privatpersoner. Avhengigheten av informasjonsteknologi og elektronisk kommunikasjon er slik sett gjennomgripende i samfunnet. Nettverkene er knyttet sammen på tvers av landegrensene og er enten åpne for alle (Internett) eller avgrenset til bestemte brukergrupper (private tjenestenett).

Det økende antallet IT-relaterte sikkerhetsbrudd og hendelser som har oppstått de senere årene, kan henføres til mangler og svakheter i informasjonssystemene og den teknologiske infrastrukturen som næringslivet, forvaltningen og folk flest benytter. Videre er menneskelig svikt en årsak til at vi i stadig større grad blir sårbare for utilsiktede og tilsiktede hendelser, herunder anslag fra kriminelle eller andre «ondsinnede» aktører (hackere, crackere, vandaler og terrorister). Denne utviklingen, og den gjensidige avhengigheten av at infrastrukturen og teknologien fungerer, gjør at nasjoner, virksomheter og privatpersoner må ta informasjonssikkerheten mer på alvor.

Risikoer relatert til informasjonsbehandling har vokst og til dels endret karakter. Stadig kraftigere datamaskiner, konvergerende teknologier og en omfattende bruk av Internett har erstattet gårsdagens atskilte løsninger i lukkede nett. Private virksomheter, offentlig forvaltning og enkeltindivider benytter i økende grad åpne nett.

Datakriminalitet er tegn på en uheldig samfunnsutvikling, og det er denne typen økonomisk kriminalitet som anses som det største problemet fremover.

Dersom en i enda større grad skal greie å realisere teknologiens potensial innenfor forretnings- og forvaltningsutvikling, må informasjonssikkerheten ivaretas på en forsvarlig og hensiktsmessig måte. Den må bli en integrert del av alle utviklingsprosesser der målet er å etablere nye systemer, løsninger og nettjenester, som er av kritisk betydning for en privat eller offentlig virksomhet.

BEGREPSBRUK

Informasjon er et aktivum som kan ha stor verdi for en virksomhet eller et individ. Informasjon og informasjonssystemer (dvs. systemer der informasjonen produseres, lagres og behandles) kan utsettes for trusler og anslag og må derfor beskyttes forsvarlig. Beskyttelse av informasjon innebærer

  • sikring av informasjonens tilgjengelighet (dvs. at den er tilgjengelig for rett person til rett tid og på rett form)
  • sikring av informasjonens integritet (dvs. at informasjonen er korrekt og ikke forfalsket/ødelagt)
  • sikring av informasjonens konfidensialitet (dvs. at informasjonen som skal beskyttes mot innsyn fra uvedkommende, virkelig er sikret mot denne risikoen)

Ut fra dette kan informasjonssikkerhet defineres som tiltak for beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for den informasjonen som behandles av et informasjonssystem, og beskyttelse av systemet i seg selv.

Informasjon produseres, lagres og behandles i dag i overveldende grad ved hjelp av IT-systemer, selv om vi fremdeles bruker papir for å tilegne oss den (lese).

Det settet av tiltak og virkemidler som benyttes for å beskytte informasjon som produseres, lagres og behandles i IT-systemer, kaller vi for IT-sikkerhet. I den nasjonale strategien vil begrepetIT-sikkerhet benyttes synonymt medinformasjonssikkerhet.

I mange sammenhenger benyttes også begrepetIT-sårbarhet. IT-sårbarhet er en egenskap ved IT-systemer og andre former for IT-bruk som gjør dem utsatte (følsomme) for ødeleggelse eller udyktiggjøring av en trussel (som for eksempel en hacker, en terrorist, en uoppdaget konstruksjonsfeil eller feilaktig bruk).

NASJONALE UTFORDRINGER PÅ OMRÅDET

Strategien forsøker å besvare en rekke utfordringer som er blitt identifisert gjennom prosjektarbeidet. De viktigste utfordringene for det norske samfunn og norske virksomheter kan sammenfattes som følger:

  • Det må iverksettes tiltak for at kritisk IT-infrastruktur i samfunnet til enhver tid er sikret på en forsvarlig og kostnadseffektiv måte.
  • Ledere må innta en bevisst holdning til organisering og ansvar for IT-sikkerhet i virksomhetene, både offentlige og private.
  • Kompetansen innenfor IT-sikkerhet må bedres, blant annet gjennom et styrket utdanningstilbud og mer forskning.
  • Det må sørges for et hensiktsmessig og moderne regelverk på området samt tilstrekkelig myndighetskoordinering når det gjelder utøvelse av regelverket og videreutvikling av dette.
  • Det må arbeides for å bedre sikkerhetsegenskaper i informasjonssystemer.
  • Det må settes fokus på sikkerhetsklassifisering og -gradering av informasjon og informasjonssystemer, herunder hva som er kritisk infrastruktur, og hvorfor.
  • Det må arbeides for at risiko- og sårbarhetsvurderinger skal bli en del av etablerte prosedyrer for informasjonssikkerhet i enhver virksomhet.
  • Det må arbeides for økt innsats på fysisk sikkerhet rundt IT-systemer, sikring av manuelle rutiner og prosedyrer, god personellsikkerhet og passende kontrollsystemer, inklusive loggføring og revisjonsrutiner.
  • Norge trenger tiltak for utbredelse av infrastruktur for sikker informasjonsutveksling (en samfunnsinfrastruktur for PKI).
  • Det må iverksettes tiltak for å få til en utbredelse av sikkerhetskultur i informasjonsutveksling og bruk av Internett, der ISP-enes 4, virksomhetenes og husholdningenes rolle og ansvar kommer i fokus.
  • Norge trenger videreutvikling og styrking av en nasjonal industri innenfor IT-sikkerhet.
  • Det trengs bevisstgjøring og kompetanseøkning i IT-industrien generelt for å bedre sikkerhetsfunksjonaliteten i programvare, IT-systemer og IT-baserte tjenester.

FORESLÅTTE TILTAK

Utfordringene samfunnet står overfor på dette området, tilsier at en sentral og overordnet samarbeidsarena vil bidra til at de ansvarlige myndigheter og virksomheter møter utfordringene på en enhetlig og ressurseffektiv måte. I grunnlagsdokumentet for strategien foreslås det derfor å etablere et permanent koordineringsråd for IT-sikkerhet. Et slikt råd bør være bredt sammensatt av departementer og tilsynsmyndigheter som har en rolle på området, samt eventuelle andre aktører. Gjennom økt dialog og erfaringsutveksling antas det at rådet vil kunne bidra til en mer koordinert og styrt utvikling av IT-sikkerhetsarbeidet på alle nivåer i samfunnet, samtidig som virksomheter som skal iverksette tiltak på området, blir møtt av en mer enhetlig kontaktflate fra myndighetenes side.

For å sikre kritiske infrastrukturer og informasjonssystemer fremmes det forslag som skal bidra til å oppnå sikkerhet og robusthet i tele- og datanett, styrke tilgjengelighets- og integritetssikring i et samfunnsperspektiv, utarbeide generelle normer for IT-sikkerhet i offentlig sektor, styrke beredskapsarbeidet og styrke Norges deltakelse i internasjonalt samarbeid om IT-sikkerhet.

Det foreslås at sikkerheten i kritiske systemer innenfor offentlige og private virksomheter ivaretas blant annet gjennom klargjøring av behov, klassifisering av informasjon og systemer, veiledning for hvordan IT-sikkerhet skal implementeres, og bruk av evaluerings- og sertifiseringsordninger. Det foreslås videre at virksomhetene bør sørge for at det jevnlig gjøres risikovurderinger, at det etableres tilfredsstillende kontroll- og sikkerhetssystemer, og at IT-sikkerhetsarbeidet revideres med jevne mellomrom. Det tas til ordet for at virksomhetene bør sikre den nødvendige fysiske og driftstekniske sikkerhet og etablere gode rutiner og prosedyrer for styring og kontroll av kritiske systemer og infrastrukturer.

For å nå målet om etablering av en sikkerhetskultur i forhold til bruk av IT fremmes det blant annet forslag om satsning på undervisningstilbudet fra barneskole til universitetsnivå, styrket forskning og utvikling innenfor IT-sikkerhet, tilpasning og utvikling av regelverk i tråd med den teknologiske utviklingen og generell tilrettelegging av forhold og fremming av en sikkerhetskultur i samfunnet.

For å nå målet om etablering av en samfunnsinfrastruktur for elektronisk signatur mv. foreslås det satsing på utbredelse av PKI-teknologi (Public Key Infrastructure). Det fremmes forslag basert på et strategidokument som er utarbeidet av Nasjonalt PKI-Forum. Infrastrukturen må utvikles i samarbeid mellom offentlig og privat sektor.

Gjennomføringen av de forslag som fremmes, vil i siste instans avhenge av de ansvarlige myndigheters og virksomheters vurderinger og prioriteringer. I denne sammenheng advares det mot en utvikling der IT-sikkerhet blir nedprioritert i forhold til andre aspekter ved IT-bruk og -utvikling. Erfaringene har vist at omfattende svikt i IT-sikkerhet kan få alvorlige konsekvenser, både for liv, helse og materielle verdier, men også for virksomheters konkurranseevne og sånn sett hele verdiskapingen i samfunnet.

  • 1: Jf. NOU 2000:24,Et sårbart samfunn.
  • 2: Se http://www.enorge.org.
  • 3: KOM 2001:298,Nett og informasjonssikkerhet: Forslag til en europeisk strategi.
  • 4: ISP = Internet Service Provider (Internett-leverandør).

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS