Datasikkerhet og annen usikkerhet

Hackerangrepet på Regjeringens datanett er ingen skandale. Det er derimot håndteringen av den.

Vi kunne i denne uken lese følgende malende beskrivelse i Aftensposten: «Det er helg, og alt er stille i regjeringskontorene i Akersgata. Men i et datarom i kontorene til Stoltenberg-regjeringen står en dataserver og jobber på spreng. I løpet av helgen sendes det ut store mengder data fra Regjeringens ugraderte datanettverk. Ingen vet hvem som har hentet ut dataene, eller hva slags data det dreier seg om.»

Det som skal ha skjedd var at Regjeringens datanett Depnett/U i 2008 – for 2 år siden, men først kjent nå gjennom Riksrevisjonens rapport – ble utsatt for et omfattende hackerangrep på som ga angriperne tilgang til omfattende materiale, blant annet sensitiv børsinformasjon og budsjetthemmeligheter.

Departementets servicesenter (DSS) – som er underlagt Fornyingsdepartementet – forsøkte å rette på problemet så godt som mulig, samtidig som departementets politiske ledelse valgte ikke å informere berørte parter om hendelsen, med den begrunnelse at ytterlige spredning av informasjon om dette til respektive departementer vil øke risikoen for nye angrep. Eller som det så kryptisk (!) heter «av skjermingshensyn og sårbarhetseksponering». Av pressemeldinger om saken kan det tyde på at DSS ønsket at informasjon om dette skulle gis berørte departementer, men at politisk ledelse, statsråd Heidi Grande Røys, valgte ikke å følge rådet.

Dette er nå blitt kalt en skandale. Men skandalen har nok andre elementer i seg enn det som har kommet frem til nå i debatten.

For det første dreier dette seg «kun» om et angrep som ga hackerne tilgang til sensitive, offentlige dokumenter. Ingen må tro at dette er det ultimate trusselbilde nasjonen Norge står overfor. Allerede i 2001 sa Sårbarhetsutvalget at faren for et terrorangrep over Internett som ville lamme infrastrukturen, var større enn noensinne. Og det er ikke mer enn et par uker siden vi leste om «ormen» Stuxnet som angrep og lammet store deler av de kjernefysiske produksjonsanleggene i Iran. Ormens kompleksitet og angrepets karakter viste med all ønskelig tydelighet at dette ikke var forårsaket av hackere i tradisjonell forstand, men av organisasjoner med betydelig finansiell styrke og kompetanse. Mao. sannsynligvis en stat, og da er Israel og/eller USA de man i det tilfelle tenker først på.

For det andre er datasikkerhet å sammenligne med doping. Det er en kontinuerlig utvikling, hvor dopingjegerne hele tiden ligger på etterskudd i forhold til doperne og den teknologiske utvikling. Datasikkerhet vil hele tiden bevege seg i et område av kontinuerlig usikkerhet. Dette er et viktig poeng da en ofte ser i debatten, ikke minst i den aktuelle saken, at nå har vi løst problemet. Men et data-angrep (cyberwar) kjennetegnes av at en ikke hvem som angriper hvem, om angrepet har vært vellykket eller ikke, og om det har vært et angrep i det hele tatt? Den teknologiske utvikling skaper kontinuerlig usikkerhet. Datasikkerhet er kunsten å forutse det uforutsette.

Nettopp av disse to grunnene - trusselbildet i dag er mye større enn det angrepet som skjedde for 2 år siden, og trusselbildet vil være i kontinuerlig utvikling – at den virkelige skandalen i denne saken har skjedd: Berørte parter ble ikke informert.

Tenk deg at et tilsvarende angrep hadde skjedd overfor Statoil, ble oppdaget av den sentrale IKT-avdelingen og rettet av dem. Ville de da ikke ha informert berørte avdelinger og konsernledelsen? Noe annet hadde vært helt utenkelig. Da hadde konsernledelsen fått anledning til å stille kritiske spørsmål: Fint at dere har rettet opp dette, men hva med nye og ukjente trusler? Hvor forberedt er vi på dem?

Det som er statsråd Heide Grande Røys unnlatelsesynd i denne saken er å bryte med et grunnleggende prinsipp i datasikkerhet fremhevet av Sårbarhetsutredningen i sin tid, nemlig unngå pulverisering av ansvar, involver berørte parter slik at man sammen kan arbeide for beredskap for neste og alvorligere angrep.

Aftenpostens kommentarer Håvard Narum har foreslått en løsning på dette, nemlig at fornyingsminister Rigmor Aasrud heretter skal møte i Regjeringens Sikkerhetsutvalg; se Aftenposten. Det vil neppe hjelpe.

Det kan derfor være grunn til å børste støv av tidligere statsminister Kåre Willochs ide – fremsatt i det Sårbarhetsutvalget som han ledet og som fremla sin rapport i 2001. Der sier Utvalget: «Sårbarhetsutvalget fastslår at sannsynligheten for at Norge blir rammet av terrorhandlinger er mer til stede enn noen gang. Utvalget konkluderer med at samordning og ansvarsdeling må bli langt bedre enn i dag. Derfor er et eget departement nødvendig, for å gi beredskapsarbeidet nødvendige ressurser og politisk tyngde. … I tillegg anbefaler utvalget å opprette et uavhengig tilsynsorgan som passer på at myndighetenes sikkerhetskrav til enhver tid blir oppfylt, samt et kompetansesenter/kunnskapsbank etter sveitsisk og amerikansk mønster.»

Hovedproblemstillingen var fragmentering med derav ansvarsfraskrivelse. Forslaget var å etablere et felles «Trygghetsdepartement». Men resultatet ble etableringen av et direktorat NSM (Nasjonal Sikkerhets Myndighet) i 2003 rapporterende til Forsvarsdepartementet (men til Justisdepartementet for det sivile område). I 2008 (samme år som Regjeringskvartalets datanett ble angrepet) gikk NSM ut og hevdet at ledelse i offentlig sektor manglet grunnleggende kunnskap om datasikkerhet (se Manglende datasikkerhet i det offentlige).

Kåre Willoch er i dag mildt sagt ikke imponert over det myndighetene har fått til. I et interessant og innsiktsfullt intervju med Aktuell Sikkerhet i 2008 sier han at pulveriseringen av ansvar er større nå enn i 2001. «Det er på det organisatoriske planet det svikter mest», sier vår tidligere statsminister.

Det synes derfor som om det ikke bare er usikkerhet om datasikkerhet som preger offentlige ledere, men også usikkerhet om hvordan en skal håndtere angrep på datasikkerheten fra den statsråden som hadde ansvaret i 2008. Angrepet på Datanett/U i 2008 og statsrådens behandling av dette, bør åpne for en mer fremtidsrettet debatt om organisering og behandling av sårbarheten i samfunnets infrastruktur, slik man har gjort i USA og Storbritannia. Angrepet i 2008 var ikke det første og blir ikke det siste; mer alvorlige angrep kommer i fremtiden. For «det er sannsynlig at noe usannsynlig vil skje», som Kåre Willoch, leder av Sårbarhetsutvalget, uttrykte det i Tidskrift for den norske legeforening allerede i 2001.

Har du noe på hjertet?

Skriv et innlegg (husk bilde!) og send til redaksjon@digi.no. Se digi.no åpner debattspalte.

Til toppen