Kronikk publisert i fredagens utgave av Dagens Næringsliv, skrevet av Nils Kalstad Svendsen.
Lekkasjen fra Edward Snowden har igjen rettet offentlighetens søkelys mot nasjonalstaters ønske om å overvåke egne og andre lands innbyggere. Særlig i Norge hvor vi som Voltaires Candide tenker at mennesket lever ‹‹i den beste av alle mulige verdener›› vekker slike avsløringer oppsikt.
Informasjon er makt, og i det moderne samfunnet er det viktig å skaffe seg et
informasjonsmessig overtak enten du vil være konge i vennegjengen, vinner på børsen eller styre en nasjon. Den moderne nordmann går gjennom hverdagen med små og store bærbare enheter som kopler ham eller henne til Internett. Formålet med oppkoplingen er gjerne å benytte tjenester som enten gir kunnskap eller muliggjør deling av kunnskap, meninger eller annen informasjon. Tjenestene er tilgjengelige til en liten finansiell kostnad, mange er til og med gratis. Den virkelige prisen på tjenestene kan måles i form av informasjon. Enten vi spiller, er på sosiale media eller redigerer dokumenter i en skytjeneste gir vi frivillig fra oss alt fra lokasjonsdata til kontaktlister.
På sin reise gjennom Europa og Sør-Amerika møtte Candide på mord, inkvisisjon, kannibalisme, syfilis og jordskjelv. Gjennom vår daglige vandring i cyberdomenet møter vi på individer, aktivister, kriminelle, terrorister, ikke statlige aktører og statlige aktører som ønsker å ramme oss, våre arbeidsgivere eller vår nasjon. Men i motsetning til Candide legger vi ikke merke til dette, – ikke med en gang. Hvordan kan vi legge merke til at den dynamiske reklamen på nettsteder laster ned skadelig programvare som langsomt tapper enhetene våre for informasjon? Hvordan kan vi merke at den bærbare maskinen videresender alle e-postene våre til konkurrenten? Hvordan merke vi at deler av regnekraften på serveren vår brukes til å sette opp et angrep mot samfunnskritiske infrastruktur?
Informasjonssikkerhetsansvarlige i moderne virksomheter jobber i dag under antakelsen at virksomheten er under angrep og at systemene er infiltrert. For å kunne operere under disse forholdene benyttes systemmonitorering (overvåkning) for å skille normale (vennlige) fra unormale (fiendtlige) handlinger. Systemansvarlige ønsker å ha like god kontroll på virksomhetens ansatte som fremmede, da granskning av hendelser viser at gjerningsmannen i rundt halvparten av tilfellene finnes blant egne ansatte.
På nasjonalstatlig nivå vet vi at etterretningsaktivitet innenfor Norges grenser i dag er høyere enn den noen gang tidligere. Trusselen, som gjerne kalles ‹‹advanced persisting threat›› (APT), retter seg mot høyteknologiselskaper, samfunnskritisk infrastruktur og Norge som nasjonalstat. Bak APT står formodentlig statlige og ikke-statlige organisasjoner som har tid og resurser til å gjennomføre komplekse og målrettede operasjoner som involverer alt fra enkeltindivider til private og statlige virksomheter.
Dagens trusselbilde gjør det nødvendig for de som skal sikre Norske interesser å operere ut fra samme antagelse som informasjonssikkerhetsansvarlige i moderne virksomheter gjør, – vi er under angrep. Teknologisk er det helt uproblematisk å drive storskala overvåkning av Norges befolkning og vi kan anta at såkalte bakdører er bakt inn i alt fra operativsystemer og programvare til nettverkskomponenter og basestasjoner. Utfordringen er at antagelsen om at vi er under angrep er fundamentalt forskjellig fra befolkningens generelle oppfatning av trusselbildet. Uten åpenhet om hendelser som inntreffer, samarbeid på tvers av sektorer og systematiske programmer for opplæring, utdanning og forskning på informasjonssikkerhet vil det i overskuelig framtid være et stort gap mellom de tiltak som organisasjonene som beskytter Norges interesser finner nødvendig og de tiltak som Norges befolkning finner akseptable. For å stå sterkere sammen som nasjon må vi i tillegg til å utvikle kunnskap og teknologi også gjøre som Candide, rette oppmerksomheten innover og ”dyrke vår egen hage” i form av etiske, juridiske og verdibaserte debatter om Norges plass i cyberdomenet.
Nils Kalstad Svendsen leder Norsk informasjonssikkerhetslaboratorium ved Høgskolen i Gjøvik.