"Krig og fred smelter sammen"
Espen Barth Eide om norsk IT-sikkerhet: – Vi er truet konstant, dag og natt
Både Arbeiderpartiet, Høyre og næringslivet er enige i at internett-truslene har blitt fryktelig kompliserte. At korona tar såpass mye plass gjør det ikke enklere.
I DEBATT: Espen Barth Eide (Ap), Hanne Tangen Nilsen (Telenor) og Hårek Elvenes (H).
Leif Martin Kirknes
leif.kirknes@lomedia.no
Problemer kommer sjeldent alene, påpeker Odin Johannessen, direktør i Næringslivets Sikkerhetsråd, og viser til at verden har flere problemer enn bare Covid 19. Slik som handelskrisen mellom USA og Kina, olje- og finanskrise, populistiske regimer som vokser fram – og på toppen av det hele er det klimaet også stadig i trøbbel.
– I en globalisert verden er det mange som kan se sitt snitt til å utnytte at fokuset i samfunnet utelukkende er rettet mot korona, sier han.
I den sammenheng er Norge som en fristende honningkrukke, mener han. Vi må beskytte oss digitalt, og han er derfor glad for den nye ekom-loven som ble vedtatt like før sommeren. Andre tiltak han mener monner, er kontinuerlig læring og samarbeid. Samarbeidet må bli bedre over alt i samfunnet.
– Sårbarhetene våre ligger i dødvinkelen, sier Johannessen, som for øvrig tok over som sjef i NSR på slutten av fjoråret etter å ha jobbet i Forsvaret siden 1981, sist som Sjef Hæren.
(Fortsetter under bildet)
Odin Johannessen, Næringslivets Sikkerhetsråd
Leif Martin Kirknes
Totalforsvar 2.0
Ap-politiker Espen Barth Eide, som er første nestleder i miljø- og energikomiteen, hekter seg på resonnementet om at verden er kompleks også foruten korona, og at mye har forandret seg.
– Hovedarenaen for konflikten mellom Kina og USA er nå 5G og Tiktok! Det er geopolitiske spenninger på helt nye arenaer som i stor grad handler om ikke-statlige aktører, sier han.
Selv kunne han gjerne ønsket seg et «Totalforsvar 2.0»: en oppdatert utgave av et konsept som hadde særlig storhetstid under den kalde krigen om hvordan sivilsamfunnet kunne støtte militæret i en krise, men som dabbet av etter hvert som den kalde krigen gikk over.
Årsaken til at Eide vil ha på plass «totalforsvar 2.0» er nettopp at tidene har endret seg. Hvor enn mye han skulle ønske det, finnes det ikke lenger forskjell mellom krig og fred og også privat, militært og offentlig smelter smamen, mener Eide.
– Vi er truet konstant, dag og natt. En bakgrunnsstøy av inntrengingsforsøk og annet. Skillet mellom krig/fred og militært/privat/offentlig funker ikke lenger, sier Eide.
På bedringens vei
Høyre-politiker Hårek Elvenes, som også sitter i utenriks og forsvarskomiteen på Stortinget, mener regjeringen har gjort mye bra for IT-sikkerhet i sine år, deriblant har de tørket støv av totalforsvars-begrepet via et program etablert i 2016, et arbeid som snart sluttføres. Fremover skal regjeringen legge fram en samfunnssikkerhetsmelding i høst, og også der kan IT-sikkerhet ha en plass.
Når det gjelder tilgang på IT-sikkerhetskompetanse erkjenner Elvenes at det til tross for økt satsing innenfor IT-utdanning er mangel på tilgang på kompetanse.
– Vi har sviktet litt i marsjen med rekruttering av folk til dette området, også innenfor akademia og forskning, men vi er på bedringens vei, sier han.
Frykter manipulering
Samtidig peker han på at man innenfor et såpass bredt felt er nødt til å spesifisere hva slags kompetanse man er ute etter. IT-sikkerhetskompetanse kan strekke seg fra overordnet samfunnsnivå og helt ned i konkrete programmeringsspråk.
Elvenes vil gjerne ha mer forskning.
– Jeg vil at vi skal gå dypere inn og forske på noen områder. Et område jeg vil trekke fram er vår sårbarhet knyttet til påvirkningsaksjoner. Et åpent, tillitsbasert samfunn er veldig sårbart for krisene som kan oppstå i grenseland mellom krig og fred. Her trengs mer forskning, sier han, og minner om at Krim-halvøya ble annektert uten at et eneste skudd ble løsnet.
– Dette er dypt alvorlig for demokratiet, og man må få mer kunnskap om det, for ellers kan man bli tatt med buksa nede, og da kan det være for seint, sier han.
(Fortsetter under bildet)
Hårek Elvenes (H)
Leif Martin Kirknes
– Naive på internett
Der er Eide fra Ap hjertens enig.
– At vi i så stor grad har gått fra redaktørstyre media til sosiale medier har gjort det lettere å manipulere demokratiet. Vi vet en del driver med det for å skape kaos og polarisering, sier han, og legger spøkefullt til at politikerne riktignok er ganske gode på det av seg selv.
– Det er mye innen IT-sikkerhet som ikke har å gjøre med inntrengingsforsøk, men hvordan man forholder seg til en høyt digitalisert virkelighet. Alt som er online er sårbart. Det kan håndteres, og reduseres, men blir ikke null, mener Eide.
Han trekker det fram som generelt positivt at vi er et land med høy tillit. Blant annet sparer selskaper store summer på advokatutgifter ved å akseptere et håndtrykk som en avtale.
– Men når du tar den tilliten ut i det digitale cyberrommet så er det ikke like smart. Vi er nok altfor tillitsfulle der.
Tverrsektorielt organ
Telenor lanserte sin årlige sikkerhetsrapport denne uka, og i den tok selskapet til orde for både utenfor-boksen-tenkende utredning om IT-sikkerhet i tillegg til et eget tverrsektorielt organ som kan drive med hypoteseutvikling og konsekvensvurdering på nasjonalt nivå og som kan ta høyde for det utenkelige.
Med særlig hybride trusler på agendaen, det vil kort og grovt forenklet si angrep som samtidig kan skje både fysisk, digitalt og i form av manipulasjon a lá det Elvenes og Eide prater om.
– Hybride operasjoner er vanskelig å avdekke. Det handler også om kompetanse. Derfor ønsker vi oss en toppnode der man kan samle kunnskap og kompetanse, sier sikkerhetssjef i Telenor Norge, Hanne Tangen Nilsen.
Les også: Telenors sikkerhetsdirektør Hanne Tangen Nilsen ønsker seg flokkimmunitet mot digitale trusler
Må få oversikt
Elvenes vil ikke avvise en tanke om et eget overoperasjonsrom i Norge, men mener vi først må få oversikt over operasjonsrommene vi allerede har og få disse til å snakke sammen.
– Skal man etablere et nytt situasjonssenter må man tenke på ansvarsforhold og om hvordan de skal jobbe sammen, sier han, og legger til at det i dagens sektorprinsipp er justisdepartementet som sitter med tverrsektorielt koordineringsansvar.
– Om akkurat det fungerer eller ikke skal jeg ha usagt, men ideen om et tverrsektorielt situasjonssenter utfordrer sektorprinsippet i staten. Og sektorprinsippet har noe godt med seg, sier Elvenes, og nevner blant annet konkret fordeling av ansvar.
Men han er åpen for en eventuell grundig utredning om hvor hensiktsmessig og fleksibelt det offentlige apparatet er organisert.
Strategisk
Eide erkjenner at sektorprinsipper kommer til kort i møte med hybride trusler.
– Da angripes veldig mange sektorer samtidig og det vil være vanskelig å oppfatte at summen at dette er en sum og ikke bare et enkelt-uhell etter det andre, sier han.
Fra før har regjeringen et kriseråd. Det første som skjer i en krise er at det avklares hvem som har lederansvar og «eier krisen». Men at kriserådet skal samles forutsetter at krisen har oppstått.
Men Eide ser at Norge mangler et nasjonalt sikkerhetsråd på høyt nok politisk nivå, en struktur som også tenker på slikt under normaltilstand. Strategisk, ikke taktisk og operativt.
– Dette er ikke kritikk av noen bestemt regjering, men på et kollektivt nivå, der vi sammen må gjøre det bedre, sier han.
(Fortsetter under bildet)
Espen Barth Eide (Ap)
Leif Martin Kirknes
Krig/fred hele tiden
Eide er bombesikker på at enhver fremtidig konflikt vil begynne som en cyberkonflikt, og mener ingen angrepsaktører er så dumme at de ikke vil forsøke å destabilisere informasjonstilgang, strømtilgang og IT-systemer.
Det skumleste er ikke om systemene lammes, mener Eide. Det er nesten verre om systemet virker, men informasjonen i systemer er feil, mener han.
– I cyberverdenen oppdager du det kanskje ikke før du har vært angrepet. I motsetning til normale krigs-/freds-tilstander, der du normalt har fred, men såframt etterretningstjenesten har gjort en god jobb i alle fall har en pekepinn på at det kommer et angrep, sier han.
Kanskje har du vært angrepet over tid. Kanskje er det satt ut «sleeping cells».
– Det er ingen hemmelighet at norske vannverk har funnet agenter som er satt ut fordi en fremmed aktør kanskje vil bruke dem om noen år. Da har angrepet allerede skjedd, men vil utløses på et senere tidspunkt. Er vi forberedt på det? Overhodet ikke!, sier Eide.
Kunnskapsdeling
Direktør Idar Kreutzer i Finans Norge anser finansnæringen som et attraktivt angrepsmål. Ikke bare på grunn av at bransjen handler om penger, men også fordi en effektiv måte å destabilisere et moderne samfunn på er å ta kontroll over eller destabilisere betalingsstrømmen.
Han poengterer at den svarte økonomien er på størrelse med oljenæringen. Men et fortrinn den ikke-kriminelle økonomien har, er samarbeid og informasjonsdeling. Vi må «henge sammen eller bli hengt», mener Kreutzer, som låner dét sitatet fra Jan P. Syse.
– «The bad guys» har tilgang på samme type kompetanse og samme type teknologi som oss. Det vi har som ikke de har muligheten til, er å samarbeide og dele informasjon så vi kan bli flinkere og forsøke å ligge et hestehode foran, sier han, men legger til at han skulle ønske at flere andre bransjer ble litt rausere på delinga.
Blant annet ser de angrep der det brukes maskinlæring og kunstig intelligens. Kreutzer ser at ikke enhver liten bank og bedrift kan ha kompetanse på dette, og det er nettopp derfor samarbeid må til. Videre mener han sikkerhetsøvelser som også involverer digitale angrep er et gode.
Kreutzer, Johannessen, Elvenes og Eide deltok alle på en debatt i forbindelse med lanseringen av Telenors sikkerhetsrapport.
Idar Kreutzer, Finans Norge
Leif Martin Kirknes
