SIKKERHET

Å skjerme informasjon om kritisk infrastruktur er ikke i strid med demokratiske verdier

Ingunn Åsgard Bendiksen og Stian Ervik i KPMG Norway mener målkonflikten mellom ønsket om åpenhet og behovet for å beskytte informasjon om kritisk infrastruktur, nå har kommet tydelig til syne.

Kronikkforfatterne: Ingunn Åsgard Bendiksen og Stian Ervik. Begge har tittelen direktør for sikkerhet og beredskap i KPMG Norway.
Kronikkforfatterne: Ingunn Åsgard Bendiksen og Stian Ervik. Begge har tittelen direktør for sikkerhet og beredskap i KPMG Norway. Foto: KPMG Norway
Av Ingunn Åsgard Bendiksen og Stian Ervik, begge i KPMG Norway
19. okt. 2022 - 14:00

På grunn av den siste tidens sikkerhetspolitiske utvikling har søkelyset blitt satt på hvordan informasjon om kritisk infrastruktur blir beskyttet. Nylig skrev DN om at norske stortingspolitikere etterlyser nye regler for håndtering av kraftsensitiv informasjon. Kritisk infrastruktur støtter opp om samfunnets kritiske funksjoner og omfatter blant annet kraftforsyning, ekom-infrastruktur, infrastruktur for gass/petroleum, jernbane og vannforsyning. En del informasjon om kritisk infrastruktur er taushetsbelagt, men mye er ikke det. 

Internett har gjort at åpen informasjon om kritisk infrastruktur lett kan deles med omverden. Bokstavelig talt. Gjennom nettsider og kartløsninger gir selskaper og myndigheter ulike typer informasjon om kritisk infrastruktur, for eksempel type anlegg, detaljert plassering, størrelse, viktighet, farlige egenskaper og skadepotensial. Internett gjør at denne informasjonen kan hentes inn fra hvor som helst i verden og sammenstilles til ønsket formål. Og det blir gjort. Kartlegging av kritiske infrastruktur har med internett blitt mye enklere enn tidligere tiders tidkrevende puslespill. Det er særlig informasjon om kabler, rør og ledninger i bakken/sjøen, som er attraktiv, ettersom Google Earth her ikke er til like stor hjelp.

Hensikten med å dele informasjonen er god. Infrastrukturprosjekter har ofte betydelige nabo- og miljøvirkninger og kan ha stor oppmerksomhet i media og allmennheten. Målet er for eksempel å informere omverden, sikre åpne og smidige konsesjons-, plan- og byggeprosesser, unngå personulykker, unngå skader på nedgravd infrastruktur og sikre gode innkjøpsprosesser.

Dessuten er åpenhet om myndighetsprosesser en demokratisk verdi i Norge. Gjennom innsyn skal myndighetenes virksomhet kunne kontrolleres av omverden. Etter offentleglova skal taushetsbelagte opplysninger unntas, men generelt er terskelen høy for å unnta opplysninger fra innsyn, og den overordnede føringen er meroffentlighet. 

Samtidig er det ikke noe krav om at den som ber om innsyn skal identifisere seg – hvem som helst kan be om innsyn i all dokumentasjon. Myndighetene vet ofte ikke – og skal heller ikke – vite hvem som spør, hvor i verden vedkommende befinner seg og hva informasjonen skal brukes til. Det eneste kravet er hvilken e-postadresse informasjonen skal sendes til. 

Joachim Stenhjem i Sopra Steria slår et slag for IEC 62443 i denne kronikken. Det er et rammeverk som tilbyr retningslinjer og beste praksis for å beskytte kritiske industrisystemer mot cybertrusler og -angrep.
Les også

Milliontap bør være et varsel til alle som jobber med IT og OT

Nå når vår digitaliserte verden har gått inn i en ny sikkerhetspolitisk tid, kommer målkonflikten mellom ønsket om åpenhet og behovet for å beskytte informasjon om kritisk infrastruktur, tydelig til syne. Informasjon som er lagt ut på internett eller delt på annet vis, kan aldri trekkes tilbake. Vi må erkjenne at mye informasjon om kritisk infrastruktur i Norge er kjent av miljøer vi helst skulle sett ikke hadde den, og det uten at disse har gjort noe ulovlig. 

Vi mener det i lys av dagens situasjon bør gjøres tiltak etter to spor.

For det første bør det gjøres grep for å sikre at viktig informasjon om kritisk infrastruktur i framtiden ikke blir like lett tilgjengelig for alle og enhver. Dette kan gjøres uten å komme i konflikt med demokratiske verdier.

For det andre må selskaper og myndigheter opptre som om nøkkelinformasjon om kritisk infrastruktur allerede er på feil hender. De viktigste anleggene og systemene må sikres. Forebyggende sikkerhetstiltak innenfor personellsikkerhet, fysisk sikkerhet og digital sikkerhet, redundans og god beredskap for gjenoppretting, er effektivt. Med det kan man unngå at informasjon på feil hender får gjort skade på kritisk infrastruktur.

Asbjørn Finstad, avdelingsdirektør for strategisk IKT og digitalisering i KS.
Les også

Rapport: De fleste kommuner vet ikke hvor sårbare de er

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.