Rapporter
Cybersikkerhet
Norge er et av de mest digitaliserte landene i verden. Individer, virksomheter, staten og samfunnet er avhengige av velfungerende digitale løsninger. Samfunnets tillit hviler på at digital infrastruktur fungerer. Fra digitale hjelpemidler i hjemmet, forsyninger i butikkene, transaksjoner i bankene, produksjon i virksomheter, nyhetsformidling fra mediene og tjenester i helsevesenet til myndighetenes styringsevne, kritisk infrastruktur i samfunnet og Forsvarets evne til å beskytte land og folk – uten velfungerende digitale løsninger stopper produktiviteten i Norge.
Det globale cyberdomenet eies og opereres av kommersielle selskaper, offentlige virksomheter, organisasjoner, individer – og av kriminelle og andre trusselaktører. Store deler av digital infrastruktur eies av private aktører. Særlig skytjenestemarkedet er dominert av noen få kommersielle leverandører, der de fem største står for over 80 prosent av IaaS-markedet (Infrastructure as a Service). Cybersikkerhet handler i stor grad om samarbeid og samvirke mellom offentlige og private aktører, og med allierte, NATO og EU.
Virksomheter og individer er kontinuerlig utsatt for ondsinnede cyberoperasjoner. Et bredt spekter av trusselaktører utnytter ulike menneskelige, teknologiske og organisatoriske sårbarheter med mål om å ramme digitale verdiers konfidensialitet, integritet og tilgjengelighet.
Sikkerhetsutfordringer
Statlig IT-utvikling ivaretar verken koordinering eller behov for samvirke i tilstrekkelig grad
Teknologier som virtuell virkelighet, skytjenester, lokale datasentre (edge computing) og nye 5G-relaterte tjenester gir muligheter for økt robusthet og lokal autonomi, økt mobilitet, større gjenbruk av applikasjoner og tjenester, og bedre samvirke mellom etater.
Totalforsvaret har behov for moderne IT-plattformer med digitale tjenester som fungerer godt i hele krisespekteret. Sammen skal plattformene bidra til at Norge har nødvendig datakraft for grunnleggende nasjonale funksjoner og andre viktige samfunnsfunksjoner når krisen inntreffer.
IT-utviklingen i de ulike etatene og sektorene er ikke i tilstrekkelig grad styrt etter felles prinsipper. Dette fører til at etater som har behov for digitalt samvirke og kommunikasjon, bygger egne løsninger som i for liten grad snakker sammen og ivaretar samvirkebehov.
Den nasjonale deteksjonsevnen i cyberdomenet er utilstrekkelig
Trusselaktivitet mot virksomheter er kryptert og blander seg inn i den normale trafikken. Data blir dessuten i økende grad behandlet på mobile enheter. Utvikling og investering i nye deteksjonssystemer er påkrevd for å avdekke trusselaktivitet. EOS-tjenestene mangler det nødvendige hjemmelsgrunnlaget for å utnytte muligheter stordataanalyser og kunstig intelligens gir. Sammenlignet med trusselaktørene kommer norske myndigheter til å henge etter i teknologiutnyttelsen uten deteksjonssystemer og hjemmelsgrunnlag på plass. Videre blir det utfordrende å avdekke fremtidige sikkerhetstruende cyberoperasjoner. Den nasjonale evnen til å avdekke trusler i cyberdomenet er ikke god nok.
Håndteringsevnen ved store cyberhendelser er utilstrekkelig
Ved store og alvorlige cyberhendelser kan det oppstå ressursknapphet i sentrale koordineringsledd. Dette kan inntreffe i alle faser i krisespekteret, som samtidighetsproblematikk med hendelser i flere sektorer og ved omfattende vedvarende hendelser. Det er avgjørende for å opprettholde grunnleggende nasjonale funksjoner at den nasjonale responsfunksjonen for håndtering av alvorlige cyberoperasjoner trekker veksler på alle nasjonale ressurser for håndtering av hendelser.
Ugradert informasjon med betydning for nasjonal sikkerhet mangler beskyttelse
Offentlige myndigheter forvalter sensitiv og kritisk informasjon og informasjonssystemer som ikke er tilstrekkelig beskyttet. Denne informasjonen er ugradert, men har betydning for nasjonal sikkerhet. Utilstrekkelig beskyttelse gjør systemene særskilt sårbare for trusselaktører som stadig forsøker å bryte seg inn på jakt etter sensitiv informasjon.
Cyberoperasjoner har økende fysiske slagkraft
Stadig flere fysiske prosesser blir koblet til internett, inkludert industrielle systemer. Trusler og sårbarheter i cyberdomenet får dermed fysiske konsekvenser. Oppkoblingen av industrielle kontrollsystemer til internett gjør operasjonell teknologi (OT) som styrer og overvåker fysiske prosesser utsatt for ondsinnede cyberoperasjoner. Dette kan dreie seg om skadevare skreddersydd for industrielle kontrollsystemer eller IT-skadevare som også har en ødeleggende effekt på slike systemer.
Mange virksomheter er fortsatt avhengige av eldre, teknologiske løsninger med lang levetid. Denne lar seg ikke oppdatere på samme måte som ny informasjonsteknologi. Det er en risiko for at denne teknologien arves i overgangen til grønn teknologi, for eksempel i styringssystemer innen havvind.
Nye kontrollsystemer kan styres gjennom skytjenester fra underleverandører. Det øker sårbarhetsflatene i allerede komplekse og uoversiktlige verdikjeder. Denne økende avhengigheten mellom kontrollsystemer og informasjonsteknologi medfører sikkerhetsutfordringer for fysiske prosesser og produksjon i virksomheter.
Trusselaktører benytter næraksessoperasjoner for å få tilgang til digitale verdier
På grunn av robuste sikkerhetsløsninger og forbedret digital sikkerhet er trusselaktører i mange sammenhenger avhengig av nærhet til en fysisk IKT-infrastruktur for nå sine mål. Næraksessoperasjoner blir brukt for å få tilgang til verdiene. For eksempel utnytter trusselaktører tilgang til virksomheters interne trådløse nettverk eller iverksetter tekniske operasjoner rettet mot sårbare komponenter i det elektroniske utstyret. Dette kan også gjøres ved bruk av innsidere i kombinasjon med tradisjonelle nettverksoperasjoner.
Anbefalinger
Et nasjonalt digitalt målbilde må realiseres gjennom en langtidsplan
Et overordnet digitalt målbilde er avgjørende for en sikker digital transformasjon i hele samfunnet. Målbildet bør realiseres gjennom en langtidsplan for digital infrastruktur. Langsiktig og forutsigbar finansiering er en forutsetning for å realisere et slikt målbilde. Digital transformasjon er nødvendig for å heve det norske samfunnets digitale motstandskraft til et langt høyere nivå frem mot 2030.
Hele det norske samfunnet må prioritere cybersikkerhet. Offentlig-privat samarbeid må styrkes for å etablere en sikker digital infrastruktur. Systematisk cybersikkerhetsarbeid må prioriteres og tildeles ressurser i hele samfunnet.
Regjeringen bør etablere insentivordninger som sørger for at virksomheter og kommuner velger løsninger som er i tråd med det digitale målbildet. Videre må staten bruke egen innkjøpsmakt og kompetanse for å inngå rammeavtaler for digitale løsninger, inkludert sikkerhetsløsninger, slik at mindre virksomheter lettere kan bidra til å realisere det nasjonale digitale målbildet.
Målbildet legger premissene for hvordan digitale systemer og tjenester skal ivaretas gjennom krisespekteret og ved alvorlige hendelser. Målbildet bør inneholde de viktigste arkitekturprinsippene for en felles digital grunnmur, i tråd med tidligere anbefalinger fra NSM.
Den nasjonale deteksjonsevnen i cyberdomenet må styrkes
Økt deteksjonsevne styrker nasjonens evne til å avdekke, forhindre og håndtere sikkerhetstruende cyberoperasjoner. Dette innebærer:
- en betydelig videreutvikling av sensorkapasiteten, blant annet forskning på og utvikling av ny teknologi
- å styrke og videreutvikle evnen til å avdekke og analysere trusselaktivitet på mobile enheter
- juridiske rammer som sikrer deling av relevante metadata fra blant annet datasentre og skytjenesteleverandører
- kapasiteter og metoder som i større grad evner å utlede og analysere store datamengder
- å styrke og videreutvikle operative kapabiliteter som sårbarhetsskanning og inntrengingstesting
- forskning på og tiltak mot innvirkning fra fremvoksende teknologier på deteksjonsevnen
Enhetlig regelverk for digital sikkerhet må sikres
Den rettslige reguleringen av digital sikkerhet er i rask utvikling i EU. Norske myndigheter bør sikre enhetlig utvikling av nytt regelverk og i den sammenhengen vurdere en egen lov om digital sikkerhet. Det er særlig viktig med en felles tilnærming til hvilke virksomheter, systemer og verdier som skal være omfattet av reguleringene. Norge bør også ta en aktiv rolle for å påvirke utviklingen av europeisk regelverk på feltet.
Beredskapssystemer og forberedte sikkerhetstiltak må utvikles etter krisescenarioer for cyberdomenet
Alvorlige hendelser i cyberdomenet utvikler seg raskt og krever hurtig reaksjons- og håndteringsevne. Myndighetene bør derfor utvikle krisescenarioer med handlingsalternativer og forberedte tiltak klar til bruk når krisen inntreffer. Scenarioene må beskrive krisens ulike faser, roller, virkemidler og hvordan tiltakene skal tas i bruk. Scenarioer med handlingsalternativer må integreres i nasjonale beredskapssystemer.
Det bør etableres en nasjonal cyberreserve som beredskapstiltak
Det bør etableres et beredskapsplanverk og en ordning for en nasjonal cyberreserve som forsterker kapasiteten av cyberpersonell til disposisjon for nasjonal hendelseshåndtering. Regjeringen bør sette i gang denne ordningen til bruk i alle faser av krisespekteret.
Sensitive data i offentlig sektor må beskyttes
Datasentre og skytjenester for sensitiv informasjon, funksjoner og infrastruktur av betydning for nasjonale sikkerhetsinteresser bør etableres i Norge. Datakraft må sikres gjennom distribuerte skytjenester i regionale og lokale datasentre i Norge og beredskapsavtaler med nære allierte i tilfelle krise.
Norge må ha evne til å avdekke skjult, ondsinnet cyberaktivitet i virksomheters infrastruktur
En avansert trusselaktør benytter store ressurser på å unngå deteksjon for å oppnå langvarig, fordekt tilgang til norske virksomheters verdier. Myndighetene må derfor etablere en nasjonal evne som kan avdekke denne formen for aktivitet i norske systemer. Virksomheter kan anmode om at det gjennomføres undersøkelser i egne systemer. En slik evne vil supplere kapasiteter som inntrengingstesting, sårbarhetsskanning og sensorsystemer.
Den nasjonale evnen til å avdekke og håndtere næraksessoperasjoner må styrkes
Cybersikkerhetsarbeid og defensive cyberoperasjoner må i større grad ses i sammenheng med trusselaktørers metodebruk i det fysiske domenet. Dette krever økt samarbeid mellom politiet, Forsvaret, NSM og PST, lokalt og sentralt. Formålet er å styrke den samlede evnen til å avdekke og håndtere operasjoner som bruker både tekniske, fysiske og menneskelige metoder for å få tilgang til virksomheters verdier. Informasjonsutveksling på feltet må styrkes.
Det bør etableres en nasjonal sertifiseringsordning for sikker integrasjon av kontrollsystemer i kritiske samfunnsfunksjoner
Sertifiseringsordningen bør bygge på egne krav til IT-OT-integrasjon og installasjon av kontrollsystemer, og følges opp av sektortilsyn.
Offentlige og private cybersikkerhetsmiljøer bør i fellesskap utvikle kompetanse, veiledninger og løsninger som styrker sikkerheten og responsevnen i kritisk infrastruktur. Formålet er en styrket og integrert motstandsdyktighet.
Den nasjonale evnen til å etablere tillit til cybersikkerhetsnivå i våpenplattformer og andre kritiske forsvarssystemer må styrkes
Det må bygges større kapasitet og ordninger for nasjonalt å kunne teste forsvarssystemer og evaluere tilliten (Information Assurance) til sikkerhetsmekanismer i digitale systemer for å ivareta cybersikkerhet i våpensystemer og andre kritiske digitale systemer.
Figur 9: Trusselaktører kan ha ulik intensjon og kapasitet, men konsekvensene for virksomheters verdier kan være noenlune like.