Forsvarets alarmsentral under oppstartsmarkering av Cyberforsvaret i 2012. (Foto: \----\)

KOMMENTAR: DATAANGREP

«Bør innføre minimumskrav for å inngå i CERT»

KOMMENTAR: Godkjenningsordning er godt tiltak, men det må også settes krav, mener NorSIS.

Seniorrådgiver i NorSIS, Bjarte Malmedal, mener det bør stilles spesifikke krav til de som skal håndtere dataangrep. Bilde: NorSIS
Nasjonal sikkerhetsmyndighet forteller at de nå vil etablere en godkjenningsordning for leverandører som tilbyr tjenester innen håndtering av dataangrep. Behovet for dette kommer blant annet av at NSM selv ikke har mulighet til å bistå private virksomheter når de blir utsatt for dataangrep.

Norsk senter for informasjonssikring (NorSIS) mener det er flere grunner til at en slik godkjenningsordning er et svært positivt tiltak.

En viktig forutsetning for at samfunnet skal være motstandsdyktig mot digitale trusler, er at virksomheter og enkeltpersoner settes i stand til å beskytte seg selv. Som NSM selv skriver, kan myndighetene ikke passe på alle hele tiden.

Tjenester må kjøpes

Å heve den nasjonale evnen til å sikre seg bedre i det digitale rom er en kompleks og omfattende oppgave. Mer kunnskap om trusler og hvordan en skal beskytte seg, bedre og enklere tekniske løsninger og en bedre evne til å etterforske datakriminalitet er en del av dette bildet. Å ha evne til å oppdage og håndtere hendelser er nå en helt nødvendig del av den helhetlige digitale beskyttelsen, men i næringslivet vil en stå over for følgende spørsmål: Skal vi ha denne evnen selv, eller skal vi kjøpe den fra en leverandør?

For de aller fleste virksomheter i både offentlig og privat sektor, vil det ikke være mulig å opprette og opprettholde en egen håndteringsevne. Å kjøpe en slik tjeneste er derfor den eneste aktuelle muligheten. Utfordringen til nå har vært at det ikke finnes noen fastsatte krev til hvilke tjenester en slik leverandør skal levere, og hvilke krav en skal stille til kvaliteten til tjenestene.

En godkjenningsordning kan bidra til å rydde opp i dette. Etterprøvbare krav til leverandører av hendelsehåndtering er et viktig virkemiddel for å sikre kvalitet på tjenestene og etterlevelsen av individuelle rettigheter.

En annen side ved en slik godkjenningsordning er at den vil stimulere til et økt offentlig-privat samarbeid. NSM bidrar med sin fagkunnskap til å løfte kvaliteten på tjenestene til sivile tilbydere, og offentlige virksomheter kan med større grad av trygghet velge å sette ut håndtering av dataangrep til private virksomheter. I tillegg til at dette er god næringspolitikk, vil det på sikt føre til at større deler av næringslivet utvikler kunnskap om slik håndtering. Betydning av dette i et samfunn som digitaliseres i den takten vi ser nå, kan nesten ikke overvurderes.

Bør ha obligatoriske krav

Ordningen er tilsynelatende frivillig for leverandører som tilbyr tjenester innen håndtering av dataangrep. NorSIS mener imidlertid at det er nødvendig å se på om det skal fremsettes visse obligatoriske krav til de håndteringsenhetene som inngår i den såkalte «CERT-strukturen» (Computer emergency response team, – red.anm) som er knyttet til NSM/NorCERT. Dersom en slik struktur skal være et effektivt nettverk av håndteringsenheter, må en kunne forvente et visst nivå på de funksjonene som enhetene skal utføre. Dette kan for eksempel være bemanning, beredskapsevne, øvingsnivå og spesifikke funksjoner som tekniske sensorer, evne til å utføre analyse av ondsinnet kode osv.

Dagens situasjon er at ulike sektorer og virksomheter har valgt forskjellig størrelse og organisering for sine håndteringsenheter. Noen enheter består av et fåtall personer, og har fokus på videreformidling av informasjon fra organisasjonen de tilhører. Andre enheter har nok personell til å ha døgnbemanning, de har egne overvåkingssystemer og har evne til å opprettholde kompetanse innen svært krevende fagområder.

Økende kyberkriminalitet

En hendelse spenner ofte over flere sektorer og virksomheter, og det er nødvendig å påse at håndteringen er koordinert og at det gjennomføres enhetlig over alt. Dette innebærer at det må fastsettes et sett med minimumskrav til hvilke funksjoner slike enheter må ha for å kunne samvirke i en CERT-struktur.

Slike krav bør fastsettes av offentlige myndigheter, private aktører og akademia i fellesskap og gjerne forvaltes av NSM. NorSIS ser store fordeler ved at det etableres et eget offentlig privat styre for å fastsette kravene og å sikre at både myndighetenes, næringslivets og befolkningens interesser ivaretas.

Når håndteringsenhetene fyller de fastsatte kravene, bør det være et godt grunnlag for mer åpenhet omkring trusler og hendelser. NorSIS mener at åpenhet og samarbeid er nødvendige forutsetninger for å kunne håndtere en økende kyberkriminalitet.

Til toppen