20130101

Det er noe som skurrer i Cyberspace

Da julefreden var i ferd med å senke seg publiserte Bjarte Malmedal en vurdering av den ferske nasjonale strategien for informasjonssikkerhet. Vurderingen fra Malmedal burde fått medienorge til å reagere, den setter tastaturet rett i der strategien virker ullen. Før du leser videre ber jeg deg lese min disclaimer ti høyre. Det følgende er mine meninger, jeg uttaler meg med andre ord som fagmann, ikke som representant for min arbeidsgiver.

Jens Christian Vogt spurte i november 2010, etter angrepet på Nobelinstituttets hjemmesider; "Trenger vi NSM/NorCERT?". Ett år etter skrev Hans-Inge Langø om samme sak i Aftenposten under tittelen "Angrepet som ble glemt". I desember 2012 kom altså Nasjonal strategi for informasjonssikkerhet. Vi var mange som ventet, svært mange ble skuffet og Malamedal peker i sin vurdering av strategien på kjernen av manglene. Min påstand er: Det Vogt og Langø har påpekt vil ikke bli bedre ved hjelp av den ferske strategien.
Det tyder på at viljen til å endre og se femover, tenke langsiktig, og ta inn over seg at fremtiden er digital, ikke er tilstede hos de fire departementene som har gitt oss strategien. Kanskje det er nettopp det som gjør strategien så ullen - det at fire departement står bak - alle skulle ha sitt?

Malmedal påpeker helt riktig det kjente faktum sikkerhetsutfordringene i cyberspace utfordrer sektor- og ansvarsprinsippene, og at strategien ikke viser noen reell vilje til å gjøre noe med dette.

På side 21 i strategien står følgende: "Norwegian Computer Emergency Respons Team (NorCERT) i Nasjonal sikkerhetsmyndighet har (min utheving) ved hjelp av Varslingssystem for digital infrastruktur (VDI) og nasjonalt samarbeid, evne til å forebygge, oppdage og analysere data knyttet til alvorlige hendelser på internett." Dette virker betryggende; NorCERT har. Jeg går ut fra at det politiske Norge er informert om, og kjent med, hva NorCERT har evne til å forebygge, oppdage og analysere. 
For å fjerne enhver tvil; Norge trenger et sterkt nasjonalt CERT.

Den ene løsningen

Det er altså Justis- og Beredskapsdepartementet som nå skal ha ansvar for informasjonssikkerhet i sivil sektor. Da spør jeg: Hvorfor skal da NSM forsatt tillhøre Forsvarsssektoren?
Hva mener man i strategien med «sivil sektor», er det privat sektor? I så fall betyr det at offentlig sektor ikke ligger under Justis- og Beredskapsdepartementets ansvar for informasjonssikkerhet?

En løsning kunne vært å overføre NSM med NorCERT til Justis- og Beredskapsdepartementet og la Cyberforsvaret ta seg av Forsvaret samt støtte sivil sektor i henhold til Bistandsinstruksen

Men; NSM er lovforvalter og direktorat. Skal en lovforvalter og direktorat som skal drive inspeksjoner og kontroll også drive operativ virksomhet? Inkludert NorCERT teller jeg meg frem til at NSM driver en håndfull typer operativ virksomhet. Jeg har ved en rekke anledninger spurt meg selv om ikke dette er uryddig sett opp mot lovforvalter- og inspektørrollen.  
Kan det være at jeg har rett, men at ingen vil påtale dette forholdet hvor et tilsyn også har et operativt ansvar? I så fall, hvorfor er det slik?

Den andre løsningen

Så til den andre løsningen: La NSM som rent direktorat legges under Justis- og Beredskapdepartementet og gi NorCERT-funksjonen til Cyberforsvaret.
Dette ville gitt Norge et sterkt nasjonalt CERT tilknyttet et miljø med mandat, kapasitet og kapabiltitet innen Cyber Network Defence (CND). Jeg hører argumentene om at Forsvaret ikke skal brukes mot sivile, at det som skjer i cyberdomain "bare" er kriminalitet og at det er en sak for politiet. Jeg tror behovet for mandat, kapasitet og kapabilitet er det essensielle. Sektorbegrepet og landegrenser eksisterer ikke i cyberdomain. Vi vet ikke om en cyberhendelse er en hendelse som er kriminell eller et angrep på nasjonen før etter vi har kontroll på hendelsen. Det er heller ikke negativt for et nasjonalt CERT å ligge tett på en av de beste utdanningsinstitusjoner på fagfeltet, Forsvarets Ingeniørhøgskole. Jeg tror heller ikke det er vanskelig å finne en god løsning i grensesnittet med Politiet og PST.

Et nasjonalt CERT kan ikke være basert på dugnad og frivillighet eller finansiert ved at noen betaler for å være med, slik som i dagens VDI. Myndighetene må peke på hva og hvem som er samfunnskritiske og som skal være med i Norges nasjonale CERT. Myndighetene må tillate at andre som ikke er samfunnskritiske kan få være med i Norges nasjonale CERT under gitte kriterier, men med samme ansvar og rettigheter so de med pålegg.

Et nasjonalt CERT kan ikke ha rollen som IT-sikkerhetsavdeling for "kunder". Det virker også merkelig at et nasjonalt CERT skal drive security awareness på geerell basis, vi har jo NORSIS.

Jeg finner det sannsynlig at styringsprinsippene for vårt eksisterende nasjonale CERT er gale. En rendyrking av et sterkt nasjonalt CERT lagt til Cyberforsvaret ville gjøre styringsprinsipper entydige og trolig fjerne skurringen i Cyberspace.

Til slutt, som jeg har skrevet om før, deling av informasjon og kompetanse er vesentlig og tidskritisk i cyberdomain.

Et nasjonalt CERT må være pådriver for prinsippet "Obligation to share" og dette prinsippet må alle som er del av, eller tilknyttet, CERT-et akseptere.