Håndbok i verdivurdering av informasjon

Spørsmål 1: Omhandler opplysningen et forhold av betydning for nasjonale sikkerhetsinteresser?
Den som verdivurderer starter vurderingen med å ta stilling til hvorvidt opplysningen omhandler et forhold som er relatert til eller er av betydning for nasjonale sikkerhetsinteresser. Det at informasjonen kan relateres til forhold av betydning for nasjonale sikkerhetsinteresser, er en forutsetning for å sikkerhetsgradere informasjon. Disse interessene er definert i SL § 1-5, som

• landets suverenitet,

• territorielle integritet og

• demokratiske styreform, og overordnede sikkerhetspolitiske interesser knyttet til

• øverste statsorganers virksomhet, sikkerhet og handlefrihet, forsvar, sikkerhet og beredskap,
• forholdet til andre stater og internasjonale organisasjoner,
• økonomisk stabilitet og handlefrihet, og
• samfunnets grunnleggende funksjonalitet og befolkningens grunnleggende sikkerhet.

Forhold av betydning for nasjonale sikkerhetsinteresser kan eksempelvis være Norges strategiske interesser i nordområdene, systemer for kommunikasjon mellom totalforsvarsaktører, og sikkerheten i valgprosesser og beskyttelse mot valgpåvirkning.

Den som verdivurderer må deretter danne seg et bilde av i hvilken grad gjeldende opplysninger er av betydning for nasjonale sikkerhetsinteresser. Formålet er å danne grunnlag for å vurdere skadepotensialet senere i prosessen. Et eksempel på argumentasjonsrekkefølge kan være

«Kommunikasjon mellom totalforsvarsaktørene er avgjørende for totalforsvarets funksjonsevne, og totalforsvaret er sentralt i ivaretakelsen av nasjonale sikkerhetsinteresser. Dermed vil systemer for kommunikasjon mellom aktørene være et forhold av stor betydning for de nasjonale sikkerhetsinteressene».

I noen tilfeller kan andre vurderinger knyttet til identifiserte grunnleggende nasjonale funksjoner (GNF), virksomheter av betydning for GNF, osv. være til hjelp i vurderingen av i hvilken grad gjeldende opplysninger er av betydning for nasjonale sikkerhetsinteresser.

Mer informasjon om nasjonale sikkerhetsinteresser og grunnleggende nasjonale funksjoner er beskrevet i NSMs veileder i departementenes identifisering av grunnleggende nasjonale funksjoner.

Spørsmål 2: Vurder kategoriene av informasjon som kan få skadefølger. Er opplysningen i en eller flere av disse?
Etter å ha slått fast at opplysningen omhandler forhold av betydning for nasjonale sikkerhetsinteresser, vil neste steg være å vurdere selve innholdet i opplysningen opp mot en rekke kategorier av informasjon som kan ha et skadepotensiale² . Disse kategoriene har egenskaper som kan utnyttes til å forberede og gjennomføre sikkerhetstruende virksomhet, samt påvirke følgene av sikkerhetstruende virksomhet³. Opplysninger kan også anses å høre til flere kategorier i kombinasjon. Eksempelvis kan opplysninger anses å omhandle både kapasiteter og sårbarhetsvurderinger, eller utvikling og spesifikasjoner.

^{2 Skadevurderinger, sårbarhetsvurderinger, konsekvensvurderinger, trusselvurderinger, etterretning, sivilt- og militært beredskapsplanverk, opplysninger om spesifikasjoner, kapasiteter og kapabiliteter, opplysninger om kryptomateriell, opplysninger om Norges diplomati, opplysninger som omhandler vitenskap og teknologi, opplysninger om sikkerhetstiltak, opplysninger om hendelser i fortid (f.eks. rapporter om sikkerhetsbrudd eller gjennomførte øvelser), opplysninger om hendelser i fremtid (f.eks. scenarioer, besøk eller utvikling), opplysninger om militære og sivile operasjoner og EOS-tjenestenes kilder og metoder.}

^{3 Dette utelukker likevel ikke at informasjon som faller utenfor disse kategoriene likevel kan sikkerhetsgraderes, om den som verdivurderer kan beskrive et skadepotensial for nasjonale sikkerhetsinteresser.}

Skadevurderinger: Kategorien omfatter vurderinger av potensielle skadefølger ved sikkerhetstruende virksomhet om slik virksomhet skulle finne sted. Om slike skadevurderinger omhandler potensielt skjermingsverdige objekter eller infrastruktur etter SL § 7-1, pålegger VF § 57 virksomhetene å gradere vurderingene som BEGRENSET eller høyere. Tilsvarende skal opplysningen om klassifiseringsnivå og grunnlaget for klassifisering av skjermingsverdige objekter og infrastruktur være sikkerhetsgradert BEGRENSET eller høyere. En oversikt over samtlige eller et større antall klassifiserte objekter eller infrastrukturer skal sikkerhetsgraderes KONFIDENSIELT eller høyere. I vurderingen av hva som kan anses som «et større antall» bør virksomheten legge vekt på forholdet mellom objektene og infrastrukturene i oversikten. Er det snakk om en oversikt over alle skjermingsverdige objekter og infrastrukturer som understøtter én og samme GNF? En slik oversikt vil kunne ha et større skadepotensial enn en oversikt med objekter og infrastruktur som understøtter ulike GNF eller på annen måte ikke er i samme verdikjede.

Sårbarhetsvurderinger: Kategorien omfatter vurderinger av evne til å motstå sikkerhetstruende virksomhet eller å opprette ny stabil tilstand dersom en verdi er utsatt for sikkerhetstruende virksomhet. Opplysninger som inngår i en sårbarhetsvurdering kan omhandle svake ledd i motstandsevnen som gjør prosesser eller elementer sårbare for svikt. Det kan også omhandle hvor ofte svikt i motstandsevnen oppstår, og effekten ved svikt. Sentrale momenter i vurderingen av hvorvidt innholdet i sårbarhetsvurderinger har et skadepotensial er om opplysningene om svikt eller svake ledd kan utnyttes av en trusselaktør, og om disse opplysningene kan beskyttes mot utnyttelse.

Konsekvensvurderinger: Kategorien omfatter vurderinger av skadefølgene for nasjonale sikkerhetsinteresser dersom sikkerhetstruende virksomhet har inntruffet. Sentrale momenter i vurderingen av hvorvidt innholdet i konsekvensvurderinger har et skadepotensial vil være om opplysningene kan bekrefte for en motstander hvilken effekt og måloppnåelse sikkerhetstruende virksomhet har hatt.

Trusselvurderinger: Kategorien omfatter opplysninger som beskriver virksomhetens trusselbilde. Kategorien omfatter også vurderinger av trusselaktørers vilje til å utføre en handling, aktørens hensikt ved å utføre handlingen (intensjon), samt vurderinger av trusselaktørers tilgjengelige ressurser, kunnskap og ferdighet, som forutsetninger for å utføre en handling (kapasitet).

Etterretning: Kategorien omfatter produkter av innsamling, evaluering, analyse, integrering og tolkning av tilgjengelig informasjon som omhandler andre aktørers intensjoner, kapasiteter og mål. Kategorien omfatter både produktet i seg selv, og hvordan produktet er produsert.

Sivilt- og militært beredskapsplanverk: Kategorien omfatter beskrivelser av sivil og militær samhandling, prosesser, tiltak og handlingsmåter i håndteringen av uønskede hendelser. Eksempelvis tiltak i Beredskapssystem for Forsvaret (BFF) og Sivilt Beredskapssystem (SBS), opplysninger om oppgavefordeling, beslutningsmyndighet, mobiliseringstider, og ordregang.

Opplysninger om spesifikasjoner, kapasiteter og kapabiliteter: Begrepet spesifikasjon omfatter en detaljert beskrivelse av design og materiale benyttet for å konstruere noe, men også forhold som omfatter operasjon og vedlikehold. Begrepet kapabilitet forstås som en kvalitet eller en type evne eller egenskap. For eksempel vil informasjon om våpen, sensorer, beslutningstagere, og sammenkoblingen av disse elementene, i kombinasjon med et konsept for hvordan elementene skal samvirke for å utføre oppgaver, være en kapabilitet. Begrepet kapasitet forstås som en kvantitativ egenskap som uttrykker volum eller størrelse⁴. Kategorien favner eksempelvis opplysninger om ytelsesgrenser, som fart, akselerasjon, høyde, vektbelastning, reaksjonstid, sensibilitet, rekkevidde, frekvens, varmebelastning, mv.

^{4 Forsvarets policy for konseptutvikling og eksperimentering (Concept Development and Expermenation CDE) 2004}

Opplysninger om kryptologi: Kategorien innbefatter alle forhold vedrørende kryptologi, inkludert utvikling, metoder, kapasiteter, og sårbarheter innen både kryptografi og kryptoanalyse. For kryptosystemer som skal brukes for å beskytte sikkerhetsgradert informasjon er det konkrete bestemmelser for sikkerhetsgradering av spesifikke typer informasjon. Bestemmelsen i kryptosikkerhetsforskriften § 26 sier at kryptoregnskap og beholdningsrapporter med oppgave over kryptonøkler skal graderes KONFIDENSIELT. NSM bestemmer for det enkelte tilfelle sikkerhetsgrad for informasjon om kryptonøklers gyldighetsperiode. Regnskap og rapporter sikkerhetsgraderes etter sitt innhold, likevel minst BEGRENSET. § 33 i samme forskrift sier at det ved tilintetgjøring av kryptomateriell skal utferdiges tilintetgjøringsrapport. Tilintetgjøringsrapporten skal inneholde et løpenummer, kryptomateriellets tittel, utgave, antall og registreringsnummer. Rapporter på papir skal være påført teksten «Siste post» etter siste linje. Etter tilintetgjøringen skal rapporten signeres av det personellet som har utført tilintetgjøringen og graderes KONFIDENSIELT.

Opplysninger om Norges diplomati: Kategorien omfatter opplysninger som omhandler Norges posisjoner og muligheter i forhandlinger med andre stater. Den omfatter også kommentarer og vurderinger om andre staters diplomatiske forbindelser, posisjoner og forhandlingsmuligheter.

Opplysninger som omhandler vitenskap og teknologi: Kategorien kan omfatte vitenskap og teknologi som kun Norge har, eller antas å ha, kjennskap til, har utviklet, eller på annen måte besitter. Sentrale vurderingskriterier er om opplysninger om kunnskap og teknologi, hvis de blir kjent, kan resultere i at andre nasjoner kan utvikle tilsvarende kapasiteter eller nå samme kunnskapsnivå. Videre, om slike opplysninger kan føre til at en fremmed stat øker sin innsats på feltet, med det formål å minske Norges forsprang.

Opplysninger om sikkerhetstiltak: Kategorien omfatter implementerte eller planlagte sikkerhetstiltak for å beskytte virksomhetens verdier mot sikkerhetstruende virksomhet, eksempelvis hvilke konsekvensreduserende tiltak som er implementert for å erstatte eller gjenopprette funksjonaliteten til et skjermingsverdig objekt.

Opplysninger om hendelser i fortid: Kategorien omfatter rapporter om sikkerhetsbrudd, rapporter som omhandler sikkerhetstruende virksomhet eller forsøk på sådan. Evalueringer av gjennomførte øvelser kan også ha et skadepotensial. I vurderinger av opplysninger som omhandler hendelser (eller fravær av hendelser) i fortid må virksomheten være oppmerksom på såkalte falske negativer, altså en opplysning om at en hendelse ikke har inntruffet, selv om den i realiteten har inntruffet. Eksempelvis er opplysningen «Ingen uberettigede inntrengninger i datasystemet i 2018» tilsynelatende en opplysning uten skadepotensial, og den skal dermed ikke sikkerhetsgraderes. Men i et tilfelle der en trusselaktør faktisk har gjennomført en inntrengning i det aktuelle datasystemet, så vil opplysningen avsløre at inntrengingen ikke ble oppdaget, og at virksomheten dermed har en manglende kapasitet til å oppdage den aktuelle typen inntrenginger i virksomhetens system.

Opplysninger om hendelser i fremtid: Kategorien omfatter hendelser som er planlagt eller er vurdert å kunne inntreffe i fremtiden, eksempelvis planlagte besøk. Øvelsesscenarioer kan også omfattes av denne kategorien.

Opplysninger om militære og sivile operasjoner: Kategorien omfatter opplysninger og vurderinger av planlagte eller gjennomførte operasjoner. I tillegg til militære og sivile operasjoner omfatter kategorien også sivil-militære operasjoner.

EOS-tjenestenes kilder og metoder: Kategorien omfatter opplysninger om hvordan tjenestenes produkter utarbeides og evalueres.

Spørsmål 3: Hva er opplysningens presisjonsnivå?
Presisjonsnivået i opplysningen kan i noen tilfeller være avgjørende for hvor stor skadefølgen kan bli ved tap av konfidensialitet. Som regel vil et høyere presisjonsnivå i opplysningen bety at mer kunnskap overføres til uvedkommende ved tap av konfidensialitet, og dermed kan en trusselaktørs kapasitet til å skade nasjonale sikkerhetsinteresser øke. Noen former for opplysninger med ulik grad av presisjonsnivå kan være:

• Opplysninger med tidsangivelse. Eksempelvis er «i nær fremtid» en mindre presis angivelse enn «20. mars 2020».
• Opplysninger med stedsangivelse. «Munchs gate» er en mer presis stedsangivelse enn «et sted i Oslo»
• Opplysninger om personer «Ola Normann, født i 1975» er en mer presis opplysning enn «En mann i 40-årene».

Opplysninger som sammenligner egenskaper eller tilstander ved ulike forhold kan også øke opplysningens presisjonsnivå. Slike opplysninger vil ofte bestå av gradsbøyde adjektiver. Positiver («stor», «viktig», «rask»), komparativer («viktigere», «større» «mindre», «tidligere») og superlativer («raskest», «flest», færrest») kan innebære at opplysningen får en merverdi gjennom å gradere eller rangere forhold. Særlig vil dette kunne gjelde for opplysninger i kategoriene skadevurderinger, sårbarhetsvurderinger, konsekvensvurderinger, trusselvurderinger, samt spesifikasjoner, kapasiteter og kapabiliteter. Eksempelvis vil det kunne være ulike skadepotensialer tilknyttet. Den første opplysningen kan ha et lavere skadepotensial enn de andre opplysningene i dette eksempelet:

• «Datasystemene SH39 og D-ARA understøtter virksomhetens produksjon»
• «Datasystemene SH39 og D-ARA er viktige for virksomhetens produksjon»
• «Datasystemet SH39 er viktigere enn D-ARA for virksomhetens produksjon»
• «SH39 er det viktigste datasystemet for virksomhetens produksjon»

Spørsmål 4: Øker sammenstillingen av opplysningene skadepotensialet?
Som hovedregel er det er den høyeste sikkerhetsgraden av enkeltopplysninger i en avgrenset informasjonsmengde som er førende for hvilken sikkerhetsgrad den samlede informasjonsmengden får. Sammenstilling av opplysninger kan likevel føre til at den samlede informasjonsmengden får en høyere verdi enn summen av enkeltopplysningene. Etter å ha vurdert alle opplysningene i en avgrenset informasjonsmengde opp mot de foregående spørsmålene må alle opplysningene ses i sammenheng. Det innebærer å vurdere om sammenstillingen av opplysningene gir et større skadepotensial enn det som er vurdert for de enkelte opplysninger.

• I noen tilfeller vil ikke sammenstillingen av opplysninger i en avgrenset informasjonsmengde øke informasjonsmengdens skadepotensial ut over det som er vurdert å gjelde for de enkelte opplysningene.
• I andre tilfeller kan en informasjonsmengdes skadepotensial variere i forholdsmessighet med antallet opplysninger som inngår i informasjonsmengden, og disses skadepotensial.

Selve sammenstillingen av opplysninger i en avgrenset informasjonsmengde kan også øke informasjonsmengdens skadepotensial. Dette ved at sammenstillingen avslører assosiasjoner eller sammenhenger som de enkelte opplysningene hver for seg ikke avslører, og der disse assosiasjonene eller sammenhengene i seg selv har et skadepotensial. Dette økte skadepotensialet kan oppstå i situasjoner der faktumet at opplysninger er relatert til hverandre, i seg selv har et skadepotensial. Det økte skadepotensialet kan også oppstå der to opplysninger satt i sammenheng avslører en implisitt opplysning med et større skadepotensial. Dette kan sammenlignes med følgende opplysninger: «Mennesker er dødelige» og «Sokrates er et menneske», hvorpå man kan resonnere seg frem til konklusjonen om at Sokrates er dødelig. Den som verdivurderer må derfor vurdere hvorvidt en sammenstilling gjør det mulig å «lese mellom linjene».

Spørsmål 5: Kan en trusselaktør, dersom denne blir kjent med informasjonen, påføre nasjonale sikkerhetsinteresser skade?
Etter å ha vurdert hva informasjonen handler om, hvilke kategorier den inngår i, hvilket presisjonsnivå den har, og hvorvidt sammenstilling øker skadepotensialet, skal den som verdivurderer ha grunnlag til å beslutte hvorvidt informasjonen skal sikkerhetsgraderes, og eventuelt på hvilket nivå. Er svaret nei på spørsmålet om en trusselaktør som er kjent med informasjonen kan påføre nasjonale sikkerhetsinteresser, skal ikke informasjonen sikkerhetsgraderes. Er svaret imidlertid ja, så må skadepotensialet vurderes opp mot formuleringene i SL § 5-3. Skadepotensial og NSMs forståelse av formuleringene tilknyttet de ulike sikkerhetsgradene er beskrevet i kap. 3 i NSMs veileder i verdivurdering av informasjon.

Til hjelp i vurderingen kan svarene i de foregående spørsmålene benyttes til å utforme en argumentasjonsrekke som underbygger følgende:
• Hvordan kan uvedkommende utnytte informasjonen?
• Kan det få skadefølger for nasjonale sikkerhetsinteresser om informasjonen blir kjent for uvedkommende? 
• I hvor stor grad kan det få skadefølger om informasjonen blir kjent for uvedkommende?

De ovennevnte vurderinger ender så med en formulering, som eksemplifisert under, som underbygger vurdering av at informasjonen må sikkerhetsgraderes.

«Informasjonen som verdivurderes omhandler beskrivelser av digitale sårbarheter i en infrastruktur som virksomheten råder over. Sårbarheten som beskrives kan utnyttes til å sette systemet ut av drift i en lengre periode. Presisjonsnivået i opplysningen kan sette en trusselaktør i stand til å effektivt gjøre dette. Den aktuelle infrastrukturen understøtter Forsvarets overvåking av norsk luftrom. Tap av konfidensialitet regnes derfor å kunne lede til svekkelse av Norges evne til suverenitetshevdelse. Opplysningen graderes derfor KONFIDENSIELT.»

Spørsmål 6: Hvor lenge har informasjonen behov for beskyttelse?
Sikkerhetsgraderingen skal ikke vare lengre enn nødvendig, jf. § 5-3.2.ledd. Den som verdivurderer må derfor vurdere hvorvidt beskyttelsesbehovet anses å opphøre på eller etter en spesifikk dato eller ved eller etter en hendelse. Om ikke den som verdivurderer kan fastsette et tidligere tidspunkt der beskyttelsesbehovet anses å opphøre er hovedregelen at sikkerhetsgraden bortfaller etter 30 år. Behov for beskyttelse som overskrider 30 år omtales på side 12 i veilederen.

Om beskyttelsessbehovet for informasjon opphører før tidspunktet for avgradering vil informasjonen være gjenstand for en omgradering. Det gjelder også for informasjon der beskyttelsesbehovet ikke opphører, men endres. Omgradering er omtalt på side 13 i veilederen.