Om Willoch og Skogsholm og Sobig.F

Samferdselsministerens spam-initiativ er smått tenkt, og strider mot grunnprinsippene i Willoch-utvalgets sårbarhetsutredning.

Samferdselsminister Torild Skogsholms initiativ til spam-dugnad er typisk norsk: Smått tenkt, kortsiktig handlet, og i troen på at verdensproblemene lar seg løse ved en nasjonal dugnadsinnsats.

Jeg satt forleden og snakket med tidligere statsminister Kåre Willoch over en kopp kaffe. Temaet var samfunnets sårbarhet og sikkerhet. Foranledningen var den skjebne som Sårbarhetsutvalgets rapport fra 1999 under ledelse av Kåre Willoch, hadde fått.

Samtalen fant sted ved en tilfeldighet – som kan synes som en tanke – i en ramme som gir grunnlag for refleksjoner: På den ene side angrepene fra Sobig.F-viruset, Skogsholms dugnadsinitiativ for å få bort spam, og at en fjerdedel av USA – verdens mest teknologiavanserte samfunn – uken før ble totalt lammet fordi strømforsyningen forsvant. På den annen side de refleksjonene og argumentene som Kåre Willoch trakk opp i vår samtale. De sto – for å si det litt forsiktig – noe i kontrast til Skogsholms nasjonale dugnadstanke, og de store utfordringene som verdenssamfunnet står overfor som følge av stadig større avhengighet av teknologi.

For å ta Skogsholms spam-initiativ først. Spam er irriterende, og de seneste dagenes spamming og virusangrep fra Sobig.F ekstra irriterende. Det har også klare samfunnsøkonomiske følger i form av at trafikken på ”nettet” blir så stor at viktige og mindre viktige meldinger ikke kommer frem. I tillegg har psykologer regnet ut hva dette koster samfunnet i form av økt stressfaktor....

Synd. Men hvor var dugnadsforslaget da de fleste av oss ble rammet av at deler av bankfilial-nettet her i landet var ute av drift i flere dager på grunn av en datafeil for et par år siden? Stresset og de samfunnsøkonomiske konsekvensene av at vi ikke fikk betalt regninger eller at handelen stoppet opp fordi ingen kunne betale for varene, var nok minst like store som spam-angrepene i dag.

Og hvor var dugnadsforslaget da noen ved et uhell kappet av en av Telenors telekabler i Kristiansand for ett år siden, og Sørlandet ikke hadde telefonforbindelse i lang tid? De som jobbet med saken var sjokkert over hvor lett det var å lamme et større lokalsamfunn. Eller hvor var dugnadsinitiativet da regnvannet lammet mobiltrafikken for NetCom-abonnentene i sommer?

Her er vi ved en av sakens kjerner slik Willoch ser det: Det viktige er ikke at det foregår spam-angrep. Det viktige er hvem som forårsaker dette. Det er – som alle sikkerhetseksperter er enige om – ”guttunger mellom 14 og 20 år”. Det skal med andre ord liten kompetanse og små ressurser til for å få dette til. Da kommer naturlig nok spørsmålet slik Willoch stilte det under vår samtale: Hva kan organiserte grupper og/eller stater med en helt annen tilgang til penger, teknologi og ressurser kunne gjøre

Så vidt vites har ingen terroristorganisasjon eller stat brukt ”teknologivåpenet” til å lamme eller knuse en stat ennå. Men det er bare et tidsspørsmål om når de vil gjøre det, da det tydeligvis er lettere å produsere elektroniske virus enn kjemiske bakterier (også kalt masseødeleggelsesvåpen), sier Willoch. Når vil palestinerne rekruttere ” datahackere” og ikke selvmordsbombere for å lamme det israelske samfunn?

Spørsmålet er hvordan samfunn og nasjoner skal beskytte seg mot dette. Willoch stiller spørsmålet: Hvordan bør verdens mest teknologiavanserte samfunn – det amerikanske – møte trusselen mot sin egen sikkerhet mest mulig effektivt? Ved å bruke milliarder av dollars på å gå til krig mot Irak fordi de angivelig har kjemiske og bakteriologiske våpen, eller ved å bruke en brøkdel av de pengene til å bygge et nytt og mer moderne el-forsyningsnett til erstatning for det foreldede forsyningsnettet? Willoch spør, og kaller tiltakene som amerikanerne har satt i gang som et eksempel på asymmetrisk anvendelse av samfunnets ressurser. Det skal visstnok bety at en bruker ressurser galt...

Essensen i Sårbarhetsutredningen som Willoch hadde ansvaret for i 1999, (og som senere er lagt på hyllen, skuffen, i den elektroniske papirkurven, eller hvor samferdselsminister Torild Skogsholm og den øvrige del av regjeringen pleier å legge slike saker), er denne: Etabler et samlet ansvar for alt som har med sårbarhet og sikkerhet å gjøre – ikke bare teknologisikkerhet – i ett departement med en klar samlet strategi, politisk tyngde og faglig (teknologisk) ekspertise.Dette gjør nå f.eks. Sverige selv om det der legges til Forsvarsdepartementet, noe Willoch ikke liker fordi det kan føre til en prioritering av forsvarssikkerhet på bekostning av sivil sikkerhet.

Organiseringen er én ting. Begrunnelsen er viktigere. Det er tre prinsipper som ligger til grunn for forslaget, sier Willoch:

Det ene er politisk ansvarliggjøring. I dag er sikkerhetsspørsmål – nettopp fordi det omfatter så mange fagområder – spredd rundt på ulike organ. Ingen har dette som spesifikk oppgave og suksesskriterie knyttet til sitt ansvar og jobb. Det mest nærliggende å peke på i dag hvor Sobig.F-viruset har herjet med oss, er at det ikke finnes en felles handlingsplan for staten, og heller ikke noe nasjonalt krisesenter. Med det resultat at det enkelte departement og etat måtte klare seg selv og med den følge at store deler av statsforvaltningen stort sett var ”stengt” torsdag og fredag.

Men mangel på klar ansvarstildeling er ikke nytt, kan jeg fortelle Willoch. Vi så et typisk eksempel under Bondevik-1-regjeringens arbeid med forberedelsene til årtusenskiftet. Det ble brukt betydelig tid på å avgjøre hvilken statsråd som skulle ha ansvar for hva. Til slutt sto igjen vann. Var det energiministeren eller kommunalministeren? Det ble helseminister Dagfinn Høybråten som fikk ansvaret – rettere han tok ansvaret. Det var mange gode argumenter for å legge ansvaret både her og der. Noen måtte der og da skjære igjennom, og siden vann har med helse å gjøre, så ...

Det andre prinsippet er avveiningen mellom bedriftsøkonomisk og samfunnsøkonomisk ansvar. Det er ikke å forvente at banker, teleselskaper eller hva det måtte være av bedrifter, kan ta et samfunnsøkonomisk ansvar. Tvert om vil f. eks banker helst ikke fortelle om datainnbruddene de har nettopp av hensyn til konkurransesituasjonen og kundene. Det er naturlig og lite å gjøre noe med. Men konsekvensene av dette er at det må et overliggende organ til for å se helheten og sammenhengen mellom tiltakene og sårbarhetsrisikoen. Private aktører er imidlertid viktige bidragsytere. Willoch-utvalget foreslo derfor å etablere en Kunnskapsbank hvor bedriftene konfidensielt kan innrapportere sikkerhetsbrudd etc.

Det tredje prinsippet er armlengdes avstandsprinsippet. Ansvaret for sikkerhet ligger i el-verkene, bankene, dataselskapene, etc. Men det må finnes et organ som må kunne overprøve sikkerhetstiltakene hos den enkelte, et ”tilsyn” med makt og mulighet til å drive igjennom endringer. Og et slikt tilsyn, sier Willoch, kan ikke legges hvor som helst i landet. Det må legges der kunnskapen og kompetansen ligger. I hans forslag til Senter for informasjonssikring i Trondheim som må få utvidet oppgave, ansvar, myndighet og kompetanse. Det må rapportere til et ”sikkerhetsdepartement” med en ansvarlig sikkerhetsstatsråd som har dette som en av sine viktigste oppgaver og ansvar.

For dette er budskapet fra Willoch: Sikkerhet er ikke først og fremst et teknologisk, men et politisk spørsmål.Sikkerhet kan aldri nås 100 prosent. Sikkerhet er en balanse mellom ulike typer risikoer, og blir derfor til syvende og sist et kostnadsmessig og politisk spørsmål. Willoch-utvalget foreslo derfor at samfunnet måtte ha som mål ” å øke robusthetsnivået i IT-infrastrukturen til et nivå som gjør det helt usannsynlig at viktige samfunnsfunksjoner stanses i en normalsituasjon. I en krisesituasjon skal robustheten være tilstrekkelig til å ¨opprettholde kritiske funksjoner”.

Sannsynligheten for at noe ville skje måtte reduseres. Det sannsynlige skulle bli mest mulig usannsynlig. For å få det til må en ha beredskap og preventive tiltak.

Men for oppnå det må en tenke helhetlig og i sammenheng når det gjelder sikkerhetsspørsmål. Ikke bare for å løse et spam-problem eller et virusangrep når det først har satt inn. Dugnad for å løse enkeltproblemer duger – bokstavelig talt – ikke.

Men, spør jeg Willoch, dugnadsprinsippet på dette området har jo vært vellykket tidligere? Jeg tenker på det krafttak med politisk støtte og engasjement vi hadde i forbindelse med overgangen til år 2000.

”Ja”, sier Willoch, ”men det er én avgjørende forskjell. Vi visste i lang tid, mange år i forveien, at 2000-problemet ville komme. Vi kunne planlegge, ha møter, etc.. Et elektronisk terrorangrep derimot kommer plutselig og uventet. Det kan komme nå – i dette sekund.”Det var nettopp det som skjedde med Sobig.F i forrige uke.

Det er å håpe at Sobig.F-angrepet i det minste hadde én positiv effekt: La Skogsholms dugnadsinitiativ ned i den skuffen hvor Willochs Sårbarhetsutredning nå ligger. Og tok opp igjen tankene fra den gangen – som er mer aktuelle og relevante enn noen gang før.

    Les også:

Til toppen