Det er en fare for at vi planlegger for beskyttelse mot gårsdagens terrorangrep (22.juli), og ikke morgendagens kyberkrig.
Det er nå fire år siden det sist kjente «hacker»-angrepet på offentlige institusjoner og som ga angriperne tilgang til omfattende materiale, blant annet sensitiv børsinformasjon og budsjetthemmeligheter. Angrepet ble hemmeligholdt frem til 2010 da det ble kjent gjennom Riksrevisjonen rapport. Håndteringen av saken gjennom FAD var ikke betryggende, se Datasikkerhet og annen usikkerhet.
Dette er nok bare toppen av et isfjell; DnB meldte senest denne helgen at de var utsatt for omfattende dataangrep.
Da er det interessant å lese en avsløring som Bloomberg Businessweek kom med i sommer, om et ti dager langt datainnbrudd mot de sentrale IT-systemene til EUs ministerråd i juli i fjor, se henholdsvis Hackers Linked To China’s Army Seen From EU To D.C. og China's Comment Group Hacks Europe—and the World.
Europa er som kjent i en økonomisk krise. Euroen er under press som følge av den svært vanskelige situasjon som både gresk og spansk økonomi er i – og som kan få ringvirkninger på andre lands økonomier. Kriseplaner og -tiltak har nå skjedd nærmest ukentlig i lang tid, med blant annet overføring av store verdier. Mye står på spill. Samtalene på toppnivå i EU skjer selvsagt strengt hemmelig da lekkasjer kan påvirke børsene, og hele verdensøkonomien.
Overraskelsen var derfor stor da det ble avslørt at «en ukjent aktør» hadde vært til stede på de fleste ministerrådsmøtene i juli i fjor. EUs mest vitale datamaskiner var infiltrert, og e-postkassene til sentrale aktører var lest, inkludert president Herman Van Rompuy som har ansvaret for å gjennomføre tiltakene overfor Hellas.
Angrepet var sporet til en kinesisk hackerorganisasjon kjent som «Comment Group», og som skal ha klar tilknytning til kinesiske myndigheter. Navnet har de fått fordi de bruker en skjult HTML-kode som kalles «comments».
Amerikanske etterretningskilder er – i følge Bloomberg Businessweek – sjokkert over det omfanget Comment Groups infiltrering har, ikke bare i den omtalte episoden i EU i fjor sommer, men over flere år. De skal ha gjennomført over 1000 slike operasjoner de siste fire årene. Presidentkampanjene til Obama og McCain er blant ofrene. En atomkraftreaktor i USA skal også være angrepet.
Etter all sannsynlighet er det kinesiske myndigheter som står bak. Deres interesser er av økonomisk karakter, særlig knyttet til oljeutvinning. De skal angivelig ha gått inn i store oljeselskapers nettverk og kopiert seismiske kart som viser potensielle oljereservoarer.
I juli 2000 avleverte Sårbarhetsutvalget under ledelse av Kåre Willoch sin innstilling. Den hadde et bredt perspektiv fra fysisk sikring av samfunnsinstitusjoner til dataangrep på samfunnets infrastruktur. Forslaget var å etablere et departement som hadde ansvaret for all sikkerhet og alle typer sikkerhet. Dette for å unngå ansvarspulverisering.
Dette ble ikke gjennomført. Men etter 22. juli har Justisdepartementet får et utvidet ansvarsområde, ved at det også har ansvaret for beredskapen. I juni i år la departementet frem en Stortingsmelding om samfunnssikkerhet hvor det blant annet heter: «Ifølge Etterretningstjenestens åpne vurdering – Fokus 2012 – er den mest omfattende trusselen mot norske interesser i fredstid tyveri av kommersielle data og intellektuell eiendom. I samme forbindelse kan en aktør plante såkalte bakdører som kan anvendes senere i en krise eller konflikt for å forstyrre eller ødelegge systemer og prosesser.»
Det er altså en erkjennelse av at et dataangrep er en realistisk risikofaktor også for Norge.
Men Justis- og Beredskapsdepartementets rolle skal være av koordinerende karakter. Det er det enkelte departement som har en sentral rolle for sikkerheten på «sitt» område. Det betyr at Departementets servicesenter (DSS) har det faglige og rådgivende ansvaret overfor alle departementer om datasikkerhet. Deres håndtering av dataangrepet i 2008 – hvor de ikke en gang fortalte øvrige departementer at et slikt angrep hadde funnet sted – var ikke betryggende.
Det er også viktig å notere seg at NSM (Nasjonal Sikkerhets Myndighet) i forbindelse med dataangrepet i 2008 hevdet at ledelse i offentlig sektor manglet grunnleggende kunnskap om datasikkerhet (se Manglende datasikkerhet i det offentlige).
Et digitalt angrep framstår som mer sannsynlig enn et nytt fysisk angrep. Justis- og beredskapsdepartementet har kun et koordinerende ansvar i forhold til denne type terror, og man kan ikke ha tillit til at Fornyingsdepartementet gjennom DSS skal kunne håndtere digital terror mot staten.
Vi står derfor igjen med et pulverisert ansvar, manglende kompetanse og re-aktiv planlegging overfor den største terrortrusselen Norge står overfor i dag.
