Forsvarsdepartementets forslag til ny lov om Etterretningstjenesten har vært ute på høring. Tilbakemeldingene har vært mange, og stort sett negative.
Selv om de fleste høringssvarene erkjenner at det er behov for å ta cybertruslene mot Norge på alvor, er det lite gehør for at Etterretningstjenesten skal få lov til å «masseovervåke» datatrafikken som passerer landegrensene. Problemet er at svært mye av vanlige nordmenns aktivitet på nett vil passere landegrensene, og vil dermed bli fanget opp av Etterretningstjenestens sensorer. Dette skrev også NorSIS om i vårt høringssvar.
Det vi derimot ikke har sett noe av i debatten så langt, er alternativer til hvordan vi effektivt skal beskytte oss mot de truslene som Etterretningstjenesten (ETJ) og Politiets sikkerhetstjeneste (PST) advarer mot.
Når man planlegger for overvåking av aktivitet i datanettverk, kan man velge en trusselorientert eller verdiorientert tilnærming. Med en trusselorientert tilnærming er fokuset på aktørene som kan tenkes å gjennomføre cyberoperasjoner mot Norge. Man vet kanskje hvem noen av dem er, men man vet neppe hvor og når de har tenkt å slå til. Derfor gir det mening å plassere sensorene ytterst i nettverket, eller ved landegrensene i dette tilfellet. Det nye lovforslaget beskriver en trusselorientert tilnærming, fordi dette er i tråd med ETJ oppgaver.
En verdiorientert tilnærming medfører at sensorene i stedet plasseres nær de tjenestene og systemene man ønsker å beskytte. Fokuset er ikke like stort på trusselen, men snarere på verdiene man ønsker å beskytte. Dette er et alternativ til den tilnærmingen som lovforslaget beskriver, og det er spesielt to ting som er viktige å få med seg.
Det første er at den nye sikkerhetsloven som tredde i kraft 1. januar 2019 nå definerer skjermingsverdige infrastrukturer. Dette er infrastruktur hvor det kan skade grunnleggende nasjonale funksjoner om de får redusert funksjonalitet eller blir utsatt for skadeverk, ødeleggelse eller rettsstridig overtakelse. De ulike departementene skal innenfor sitt ansvarsområde utpeke, klassifisere og holde oversikt over disse.
Det andre er at tiltaksoversikten til den nye nasjonale strategien for digital sikkerhet, som ble lansert 30. januar 2019, viser at Regjeringen har gitt en ekstrabevilgning på en halv milliard til Nasjonal Sikkerhetsmyndighet (NSM). Pengene skal brukes til utvikling av ny sensorteknologi i Varslingssystem for digital infrastruktur (VDI).
Verdiorientert tilnærming
I følge både PST og ETJ er de digitale truslene mot Norge alvorlige. Dersom konklusjonen i lovarbeidet som nå er på høring er at man ikke skal innføre et «digitalt grenseforsvar», må vi se på hvilke alternativer en har for å ivareta nasjonens digitale sikkerhet. Et alternativ er å heller velge en verdiorientert tilnærming, og å bruke det moderniserte VDI-systemet til å beskytte våre nasjonale digitale verdier.
Dette reiser på sin side noen spørsmål som må belyses nærmere.
- Hva er formålet med et slikt sensorsystem? Skal det brukes til å forebygge og etterforske datakriminalitet? Skal det i noen tilfeller også kunne forhindre og stanse pågående angrep? Eller er det en tjeneste som myndighetene yter til norske virksomheter, der en får varsler om mulige sikkerhetshendelser som en må håndtere selv? Er det rettslige grunnlaget for en slik tjeneste godt nok?
- Hvilke egenskaper skal slike sensorer ha? Hvilken informasjon skal samles inn og hvordan skal denne informasjonen behandles?
- Hvor skal sensorene plasseres? Skal alle de skjermingsverdige infrastrukturene som departementene har utpekt motta en slik sensor fra myndighetene? Skal man kunne takke nei til en sensor fra myndighetene?
- I hvilken grad vil vanlige nordmenns aktivitet på nett fanges opp av et modernisert VDI, dersom disse plasseres bredt i samfunnet?
Når formålet er tydelig beskrevet, vil en trolig også se hvilken del av myndighetsapparatet som bør ha et slikt sensornettverk. En mulighet er at det forblir en tjeneste det nye nasjonale cybersikkerhetssenteret (NSM), mens en annen mulighet er at det blir en tjeneste i det nasjonale cyber crime-senter (Politiet). En tredje mulighet er at PST overtar tjenesten.
NorSIS’ målgrupper er små- og mellomstore virksomheter, og den enkelte innbygger. Dersom ETJ ikke får sitt digitale grenseforsvar, mener vi at myndighetene likevel har et ansvar for å sørge for at norske virksomheter og personer er trygge på nett. Da er det naturlig å se nærmere på hvordan et modernisert VDI kan bidra til dette.