20131116

Cyberforsvaret - den digitale kystvakten?

Cyberforsvaret har kapasitet og kapabilitet, mobile enheter, og er sterkt knyttet til Forsvarets Ingeniørhøgskole og Forsvarets Forskningsinstitutt. Hvorfor skal ikke en slik kapasitet være Norges digitale kystvakt? Jeg tror kraftsamling er smart, Jeg tror ikke det er mulig å beskytte Norge og norske interesser i cyberdomenet ved å tenke tradisjonelt. I et domene der vi og de med onde hensikter bruker samme teknologi og kompetanse må vi tenke smart.

Før du leser videre ber jeg deg lese min disclaimer ti høyre. Dette er mine meninger, jeg uttaler meg med andre ord som fagmann, ikke som representant for min arbeidsgiver.


Avhengighet og tidspress
Det kan virke som om det for hendelser i cyberspace er behov for bedre rolleforståelse i Norge. Det er ikke mye tvil om hva hva 110, 112, 113, Sivilforsvaret og Forsvaret har ansvar for i den analoge verden, men i cyberspace er det høyst sannsynlig annerledes fordi alle sektorer benytter samme teknologi og avhengighetene er større.
 

Ved et analogt angrep på et objekt, eller i en situasjon der et analogt objekt skal passes på,  har Politiet og Forsvaret langt bedre kapasitet og kapabilitet til objektsikringen enn objekteieren har. I cyberspace har objekteier sannsynlig en mer sentral rolle enn i den tradisjonelle nasjonale krisehåndteringen, rett og slett fordi objekteier kan sin infrastruktur og teknologi bedre enn både Politiet og Forsvaret. Behovet for koordinering på tvers av sektorer blir dermed annerledes i cyberspace; en angriper benytter målets leverandører som bærer i et angrep, behovet for deling av informasjon uten tap av innhold og uten tap av tid er essensielt i cyberspace, det er ikke  tid til en times politisk vurdering av hvorvidt man skal la Forsvaret bistå Politiet.

I The Untouchables sier Jim Malone «…..the first rule of law enforcement: make sure when your shift is over you go home alive…» I denne sammenheng betyr «go home alive when the shift is over» at systemer er oppe, tilgjengelige og trygge nok til enhver tid, 24 timer i døgnet, 365 dager i året, «the shift» er aldri over! 


Behovet for trusselforståelse
Dette betyr igjen at etterretning og trusselforståelse er essensielt. Dessverre er trusselen fra trusselforståelsen høy - ekstremt høy, kanskje også det et utslag av norsk naivitet. Førsteamanuensis i etterretningsteori ved Forsvarets etterreningshøgskole, Kjetil A. Hatlebrekke, skiver glimrende om fenomentet her i Vanetenkning en sikkerhetsrisiko: «Den største trusselen mot god tenkning om beredskap er troen på at fortiden gjentar seg. En annen utfordring er at trusler ofte er kamuflert i løgn. Det er disse to forholdene som gjør trusler så utfordrende å forstå, erkjenne og sette ord på.»
 

I Norge er det politiet som bedriver politiarbeid! Forsvaret skal ikke brukes mot borgerne, vi skal ikke ha noe Menstad-slag! Nei forresten, vent litt; følgende er hentet fra forsvaret.no, tekstene er noe forkortet, men ikke omskrevet.

Kystvakten er Norges voktere på havet.
Kystvakten ivaretar et bredt spekter av nasjonale oppgaver. Utfordringene på kysten og i våre havområder er sammensatte, og løsningene ligger ofte innenfor flere myndigheters ansvarsområder.
Kystvaktens mest sentrale oppgaver er fiskerioppsyn, miljøvern, søk og redning og tolloppsyn.
Kystvaktloven gir Kystvakten hjemmel til å utøve kontroll for en rekke statlige etater, og samarbeider blant annet med politiet og Tollvesenet, Kystverket og Sjøfartsdirektoratet. Fellesnevneren for de fleste av Kystvaktens oppdrag er å bidrar til å trygge miljøet i en sårbar sone.
Kystvakten har en viktig rolle i den nasjonale miljøberedskapen langs kysten og på havet. Kystvakten gir også en viktig støtte til norsk forskning.

Garnisonen i Sør-Varanger
Grensevakten har som hovedoppgave å bevokte den 196 kilometer lange grensen mot Russland. Oppdraget innebærer å observere, overvåke, innhente og rapportere informasjon.
Hans Majestet Kongens Garde
Hans Majestet Kongens Garde er Kongehusets vakt- og sikringsavdeling. HMKG er spesialister på væpnet vakthold, og er en del av hovedstadsforsvaret. Garden står for vaktholdet ved de kongelige residenser.
Luftforsvaret
Luftforsvaret forsvarer norsk territorium ved kontinuerlig overvåkning og suverenitetshevdelse av luftrommet.

Den digitale kystvakten
Briter og amerikanere bruker begrepet «policing» om «det å utføre politiarbeid», når jeg leser teksten på forsvaret.no så femstår det tydelig at Forsvaret utfører policing i og for Norge: Kystvakten gjør det, Grensevakten gjør det, HMKG gjør det og Luftforsvaret gjør det. Kystvakten er kanskje det beste eksempelet: Nasjonen Norge vet at det pågår rovfiske, tyvfiske, brudd på fiskekvoter, maskevidder og mer til - jeg kan ikke mye om havfiske, men såpass vet jeg.
Man har altså gitt oppgaven med policing langs kysten til Forsvaret v/Sjøforsvaret v/Kystvakten. Kystvakten bedriver altså - blant annet - policing i nasjonen Norges interesse.

Nasjonen Norge vet at det pågår ulovlig aktivitet i cyberdomenet - der driver fremmed etterretning, organisert kriminalitet, kontraktører som leverer til de to førstnevnte, hacktivister og enkeltkriminelle alt fra spionasje, industrisionasje, hvitvasking, tyveri, lammelse av lovlig aktivitet og snoking i folks privatliv. De som gjør dette befinner seg over hele kloden og de langt fleste som bedriver slikt aktivitet befinner seg utenfor Norge.
Siden det er slik, og siden vi har en kapasitet med kapabilitet; Cyberforsvaret, hvorfor kan ikke da Cyberforsvaret bedrive policing i cyberspace for beskytte nasjonen slik Kystvakten gjør langs kysten? 
Cyberforsvaret kunne drive cyberoppsyn og cybervern og utøve kontroll for en rekke statlige etater og tilsyn slik som Finanstilsynet, Post- og Teletilsynet og KRIPOS , på denne måten kunne Cyberforsvaret bidra til å trygge cybermiljøet - for Norge og også bidra helt  selvfølgelig til norsk forskning og utdanning - enda mer enn i dag.

Jeg kan ikke fri meg fra tanken om at dette ville vært en god form for kraftsamling, kanskje Statssekretæren ved SMK kan være «jordmor»?

20130319

De mest ettertraktede munkene - fra Lutvann og Jørstadmoen

Da Dagens Næringsliv lørdag 2. mars skrev om "Munkene på Lutvann" fikk vi ikke bare lese om en av nasjonens viktigste militære tjenester, Norge fikk også nyheten om at Etterretningstjenesten (E) har søkt om akkreditering av Forsvarets skole i etterretnings- og sikkerhetstjeneste (FSES) som statlig høyskole, blant annet for at FSES skal kunne tilby bachelorutdanning i etterretning. 


Prosjektleder i søknadsprosessen, Jens Christian Vogt, skrev noen dager senere bloggposten "Munkene på Lutvann, cybertrusler og politipatruljer - Høyskolenes rolle i utviklingen av norsk samfunnsikkerhet" der han innleder med å spørre:
"Forstår storsamfunnet, og spesielt embedsverk og politikere, hvilken rolle Politihøyskolen, Forsvarets Ingeniørhøyskole og - forutsatt akkreditering - Forsvarets skole i etterretnings- og sikkerhetstjeneste vil spille i beskyttelsen av det som er verdt å forsvare?"
Det er et viktig ord i Vogts spøsmål; "storsamfunnet". Jeg tror Forsvaret, representert ved E, har tatt en av de viktigste plassene på kommandobroen i et samfunnssikkerhetsperspektiv ved å gå til det skritt å ville etablere det nye studiet og forskningssenteret Senter for etterretningsstudier (SES). Dette er svært positivt da det vil skape ny kunnskap.
Jeg leser en bekrymring i Vogts spørsmål, en bekymring jeg deler. Jeg er redd embedsverk og politikere vil bruke tid, for mye tid, på å forstå hvor viktig den nye utdannelsen er og hva den kan gi tilbake til samfunnet og det som er verd å forsvare. Jeg frykter også motstand fra krefter i Politiet ovenfor E, vi har sett tilstekkelig maktkamp også etter at terroren traff til at jeg mener frykten er berettiget. 

Det farlige E-ordet

Kan noen gjøre noe for å understøtte verdien av det kommende studiet ved FSES? 
Definitivt. 
Rett nok er etterretning myteomspunnet og mystifisert takket være medias retorikk og ordbruk omkring tjenester som arbeider med slikt, men like mye på grunn av politikere som helst ikke vil si E-ordet fordi det visstnok er ekkelt.

FSES bør få medspillere og støttespillere i storsamfunnet. Virksomheter, både offentlige og private, trenger å forstå og bruke etterretning i egen virksomhet. Jeg hevder, basert på egen erfaring, at å bruke etterretningsmetodikk for å forstå trusselaktører og deres intensjon, kapasitet og kapabilitet gir virksomheter forbedret beslutningsstøtte. 

Ja, jeg hører fy-ordene hagle! Nei, jeg sier ikke at virksomheter skal bedrive ulovlig virksomhet. Jeg sier: Det er mer enn nok informasjon tilgjengelig i det åpne offentlige rom til at man kan lære og forstå noe om trusselbildet, altså om trusselaktørene, deres kapasitet, kapabilitet og deres ønskede sluttsituasjon. Men; man må forstå hvordan slik informasjon kan gjøres nyttig for operasjonen, altså for virksomheten.

De mest ettertraktede

Min påstand er at Sjef FSES sammen med Sjef Cyberforsvaret, Generalmajor Roar Sundseth kommer til å utdanne nasjonens mest ettertraktede ledere og fagfolk. Dette må norsk næringsliv og norsk offentlig sektor forstå.
Baksiden av medaljen for Sjef FSES og for Sjef Cyberforsvaret tror jeg er at deres bachelor-studenter vil bli svært ettertraktet i det sivile samfunn. Det vil få mye å si for den totale samfunnssikkerhet å få slike nyutdannede ut i virksomheter i samfunnet etter endt plikttjeneste. 
Jeg håper Nasjonalt organ for kvalitet i utdanningen (NOKUT) godkjenner FSES som statlig høgskole snarest.
Avslutningsvis skriver Vogt: "Samfunnsikkerheten skapes blant annet av mennesker i politiet og i Forsvaret. Disse utdannes ved tre av landets viktigste høyskoler for samfunnssikkerhet; Politihøyskolen, Forsvarets ingeniørhøyskole og, hvis akkrediteringen går i orden, ved Forsvaret skole i etterretnings- og sikkerhetstjeneste."

Jeg er glad Vogt skriver "blant annet", det er en rekke samfunnskritiske virksomheter i Norge. Disse er verd å forsvare, men de må ha kunnskap og kapabilitet innen cyberspace og innen etterretning for å ta kloke og gode beslutninger i sin og i nasjonens interesse.

20130101

Det er noe som skurrer i Cyberspace

Da julefreden var i ferd med å senke seg publiserte Bjarte Malmedal en vurdering av den ferske nasjonale strategien for informasjonssikkerhet. Vurderingen fra Malmedal burde fått medienorge til å reagere, den setter tastaturet rett i der strategien virker ullen. Før du leser videre ber jeg deg lese min disclaimer ti høyre. Det følgende er mine meninger, jeg uttaler meg med andre ord som fagmann, ikke som representant for min arbeidsgiver.

Jens Christian Vogt spurte i november 2010, etter angrepet på Nobelinstituttets hjemmesider; "Trenger vi NSM/NorCERT?". Ett år etter skrev Hans-Inge Langø om samme sak i Aftenposten under tittelen "Angrepet som ble glemt". I desember 2012 kom altså Nasjonal strategi for informasjonssikkerhet. Vi var mange som ventet, svært mange ble skuffet og Malamedal peker i sin vurdering av strategien på kjernen av manglene. Min påstand er: Det Vogt og Langø har påpekt vil ikke bli bedre ved hjelp av den ferske strategien.
Det tyder på at viljen til å endre og se femover, tenke langsiktig, og ta inn over seg at fremtiden er digital, ikke er tilstede hos de fire departementene som har gitt oss strategien. Kanskje det er nettopp det som gjør strategien så ullen - det at fire departement står bak - alle skulle ha sitt?

Malmedal påpeker helt riktig det kjente faktum sikkerhetsutfordringene i cyberspace utfordrer sektor- og ansvarsprinsippene, og at strategien ikke viser noen reell vilje til å gjøre noe med dette.

På side 21 i strategien står følgende: "Norwegian Computer Emergency Respons Team (NorCERT) i Nasjonal sikkerhetsmyndighet har (min utheving) ved hjelp av Varslingssystem for digital infrastruktur (VDI) og nasjonalt samarbeid, evne til å forebygge, oppdage og analysere data knyttet til alvorlige hendelser på internett." Dette virker betryggende; NorCERT har. Jeg går ut fra at det politiske Norge er informert om, og kjent med, hva NorCERT har evne til å forebygge, oppdage og analysere. 
For å fjerne enhver tvil; Norge trenger et sterkt nasjonalt CERT.

Den ene løsningen

Det er altså Justis- og Beredskapsdepartementet som nå skal ha ansvar for informasjonssikkerhet i sivil sektor. Da spør jeg: Hvorfor skal da NSM forsatt tillhøre Forsvarsssektoren?
Hva mener man i strategien med «sivil sektor», er det privat sektor? I så fall betyr det at offentlig sektor ikke ligger under Justis- og Beredskapsdepartementets ansvar for informasjonssikkerhet?

En løsning kunne vært å overføre NSM med NorCERT til Justis- og Beredskapsdepartementet og la Cyberforsvaret ta seg av Forsvaret samt støtte sivil sektor i henhold til Bistandsinstruksen

Men; NSM er lovforvalter og direktorat. Skal en lovforvalter og direktorat som skal drive inspeksjoner og kontroll også drive operativ virksomhet? Inkludert NorCERT teller jeg meg frem til at NSM driver en håndfull typer operativ virksomhet. Jeg har ved en rekke anledninger spurt meg selv om ikke dette er uryddig sett opp mot lovforvalter- og inspektørrollen.  
Kan det være at jeg har rett, men at ingen vil påtale dette forholdet hvor et tilsyn også har et operativt ansvar? I så fall, hvorfor er det slik?

Den andre løsningen

Så til den andre løsningen: La NSM som rent direktorat legges under Justis- og Beredskapdepartementet og gi NorCERT-funksjonen til Cyberforsvaret.
Dette ville gitt Norge et sterkt nasjonalt CERT tilknyttet et miljø med mandat, kapasitet og kapabiltitet innen Cyber Network Defence (CND). Jeg hører argumentene om at Forsvaret ikke skal brukes mot sivile, at det som skjer i cyberdomain "bare" er kriminalitet og at det er en sak for politiet. Jeg tror behovet for mandat, kapasitet og kapabilitet er det essensielle. Sektorbegrepet og landegrenser eksisterer ikke i cyberdomain. Vi vet ikke om en cyberhendelse er en hendelse som er kriminell eller et angrep på nasjonen før etter vi har kontroll på hendelsen. Det er heller ikke negativt for et nasjonalt CERT å ligge tett på en av de beste utdanningsinstitusjoner på fagfeltet, Forsvarets Ingeniørhøgskole. Jeg tror heller ikke det er vanskelig å finne en god løsning i grensesnittet med Politiet og PST.

Et nasjonalt CERT kan ikke være basert på dugnad og frivillighet eller finansiert ved at noen betaler for å være med, slik som i dagens VDI. Myndighetene må peke på hva og hvem som er samfunnskritiske og som skal være med i Norges nasjonale CERT. Myndighetene må tillate at andre som ikke er samfunnskritiske kan få være med i Norges nasjonale CERT under gitte kriterier, men med samme ansvar og rettigheter so de med pålegg.

Et nasjonalt CERT kan ikke ha rollen som IT-sikkerhetsavdeling for "kunder". Det virker også merkelig at et nasjonalt CERT skal drive security awareness på geerell basis, vi har jo NORSIS.

Jeg finner det sannsynlig at styringsprinsippene for vårt eksisterende nasjonale CERT er gale. En rendyrking av et sterkt nasjonalt CERT lagt til Cyberforsvaret ville gjøre styringsprinsipper entydige og trolig fjerne skurringen i Cyberspace.

Til slutt, som jeg har skrevet om før, deling av informasjon og kompetanse er vesentlig og tidskritisk i cyberdomain.

Et nasjonalt CERT må være pådriver for prinsippet "Obligation to share" og dette prinsippet må alle som er del av, eller tilknyttet, CERT-et akseptere.