Vil ha uavhengig sikkerhetssenter for IT-beskyttelse

Det er antydet at SIS bør organiseres som en stiftelse.

Forslaget om å etablere SIS, er presentert i to utredninger. Kåre Willoch ledet Justisdepartementets generelle sårbarhetsutredning som ble presentert i begynnelsen av juli.

I oktober leverte Nærings- og handelsdepartementet sin mer spesialiserte utredning om Samfunnets sårbarhet som følge av avhengighet til IT. Begge er tilgjengelige på Regjeringens nettsted ODIN.

- Utredningene ble gjennomført parallelt, med utstrakt kontakt mellom departementene, sier avdelingsdirektør Eivind Jahren i Næringsdepartementet til digitoday.no.

- SIS er opprinnelig vårt forslag. I høst har vi samlet inn materiale fra etatene og utdypet strategi og tiltak i rapporten som vi la fram i oktober.

Presentasjonen av SIS i Næringsdepartementets utredning er den mest detaljerte. Her tegnes et uavhengig og frittstående senter der offentlige institusjoner og private bedrifter og organisasjoner er "deltakere" eller "medlemmer" som alle parter har så stor tillit til at de frivillig forteller om hva de har opplevd av datasnoking, inntrengingsforsøk, virusangrep, datahærverk, tjenestenektangrep og andre former for IT-basert kriminalitet eller IT-angrep. Den innsamlede kunnskapen om dette skal komme fellesskapet til gode gjennom løpende trusselanalyser og kortsiktig og langsiktig varsling.

Det foreslås opprettet et eget Meldings- og håndteringssenter for sikkerhetsbrudd (MHS) innen SIS som kan koordinere kriserespons fra forvaltningen, forsvaret, operatører av infrastruktur og næringslivet. Dette begrunnes slik:

"Selv store organisasjoner med tung anvendelse av IKT-systemer opplever i dag at de er isolert og uten et egnet kontaktnett når det oppstår angrep eller større svikt i IKT-systemer. Mangel på krisehåndteringskompetanse fører ofte til lite effektiv situasjonshåndtering. Ofte vil eneste mulighet være å kontakte selskaper som kun har rene kommersielle interesser. Dette er blant annet en erfaring fra senere tids virus-angrep, gjennom 'I Love You'-viruset og etterfølgende varianter."

Følgelig skal MHS "bidra til at sikkerhetsbrudd håndteres effektivt på tvers av sektorer og organisatoriske skiller. Dette dreier seg om både kortsiktig og mer langsiktig bistand til den enkelte brukeren som er rammet."

Det foreslås videre at SIS knyttes til spesielle organer innen Forsvaret, og to egne nye enheter med ansvar for henholdsvis infrastruktur, altså tele- og datalinjene, og IKT i det offentlige.

Det er med andre ord snakk om en uavhengig og frittstående delvis privatfinansiert stiftelse med vidtrekkende oppgaver innen forsvaret av sentrale samfunnsfunksjoner. I internasjonal sammenheng synes modellen å være unik.

- I Sverige er det gjennomført tilsvarende utredninger av sårbarhet som følge av IKT, sier Jahren. - Der har man landet på en helt annen modell enn det vi foreslår. Der skal det opprettes et senter for offentlig sektor, og dette senteret skal ha ansvar for hele samfunnet.

Jahren mener at tilliten til SIS vil være avgjørende.

- Tillit er et veldig sensitivt punkt. I andre land, også USA, er private bedrifter tilbakeholdne med å melde inn [om IKT-kriminalitet] til føderale instanser. Vi vet ikke i det store og hele hvordan næringslivet [i Norge] ser på dette. Det vi vet, gjennom Næringslivets sikkerhetsorganisasjon, er at det er store mørketall og underrapportering, og at bedriftene ikke vil ut med informasjon om sikkerhetsbrudd. Dette er et viktig punkt. Hva som skal til for å skape tillit til at informasjonen må flyte, er noe vi må snakke med næringslivet om.

Noe av svaret vil foreligge når høringsfristen for Willoch-utvalget utløper mandag 11. desember. Jahren er spent på reaksjonene.

- Vi har sendt brev til NHO, Næringslivets sikkerhetsorganisasjon og til fem store bedrifter, der vi ber dem uttale seg om SIS, enten som høringsuttalelse til Willoch-utvalget innen 11. desember, eller tilbake til oss innen tidlig i januar. Dersom det er delte meninger om verdien av å etablere SIS slik sentret er skissert, må vi gå noen ekstra runder mot næringslivet. Hvis ikke vil vi allerede i januar kunne arbeide videre med å konkretisere selve modellen, blant annet finansiering og organisasjonsform.