I dette kapitlet gis en redegjørelse
for status i Regjeringens arbeid med å styrke IT-sikkerheten
i samfunnet. Informasjonssikkerhet omfatter tiltak for å beskytte informasjon
som behandles av et informasjonssystem mot brudd på konfidensialitet,
integritet og tilgjengelighet, for å beskytte systemet
i seg selv og for å beskytte nett der informasjonen uveksles.
IT-sikkerhetsarbeidet tar utgangspunkt i Nasjonal strategi
for informasjonssikkerhet, som ble lagt frem av Nærings-
og handelsdepartementet, Justisdepartementet og Forsvarsdepartementet
i juni 2003. Strategien skal legge forholdene til rette for at samfunnets
behov for god informasjonssikkerhet blir ivaretatt. Regjeringens
arbeid knyttet til telesikkerhet og teleberedskap inngår
som en del av Nasjonal strategi for informasjonssikkerhet, og tar
utgangspunkt i St.meld. nr. 47 (2000-2001) om telesikkerhet og -beredskap
i et telemarked med fri konkurranse, jf. Innst. S. nr. 329 (2000-2001).
Samfunnskritiske funksjoner er avhengige av
informasjons- og kommunikasjonsteknologi. Mangelfull informasjonssikkerhet
kan derfor få store konsekvenser for enkeltpersoners liv
og helse, bedrifters økonomi og offentlige etaters forvaltningsfunksjoner.
Også brudd i alminnelige IT-systemer i næringslivet
eller forvaltningen kan ha betydelige konsekvenser for produktivitet,
konkurranseevne og servicenivå, med mulige økonomiske
tap som følge.
Ansvaret for IT-sikkerheten er et virksomhetsansvar. Det
enkelte fagdepartement er ansvarlig for at dette ivaretas innenfor
sine underlagte virksomheter. Samtidig skal fagdepartementet påse
at aktuelt regelverk etterleves av alle målgrupper innenfor
sektoren, enten dette er offentlige eller private virksomheter.
Eksempler på slike regelverk er sikkerhetsloven av 20.
mars 1998 nr. 10 som gir regler for forebyggende sikkerhetstjeneste,
og personopplysningsloven av 14. april 2000 nr. 31 som gir regler
for beskyttelse av personopplysninger.
Nærings- og handelsdepartementet er
iht. kgl. res. 17. desember 1997 tildelt ansvaret for å koordinere arbeidet
med IT-sikkerhet. Videre skal Nærings- og handelsdepartementet
identifisere og følge opp sektorovergripende spørsmål,
samt initiere og koordinere tiltak av tverrsektoriell karakter.
Nærings- og handelsdepartementet har også et ansvar
for å utarbeide oversikter og strategier for utvikling
av den overordnede politikken på fagområdet. Som
ledd i rollen som koordineringsdepartement leder departementet det
nyopprettede Koordineringsutvalget for informasjonssikkerhet (KIS).
Som fagdepartement arbeider Nærings- og handelsdepartementet
for at IT-sikkerhet skal bli en sterkere integrert del av nærings-
og handelspolitikken, samt at IT-sikkerhet i sterkere grad blir inkludert
på forskningssiden.
Justisdepartementet er i henhold til Kronprinsregentens
resolusjon 4. juli 2003 om fordeling av ansvar for forebyggende
sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet, gitt et overordnet
faglig ansvar for forebyggende sikkerhetstjeneste i sivil sektor,
herunder NSMs oppgaver knyttet til informasjonssikkerhet. Forsvarsdepartementet
har et tilsvarende ansvar i militær sektor.
Samferdselsdepartementet har sektoransvaret
for telesikkerhet og -beredskap og er regelverksforvalter av lov
4. juli 2003 nr. 83 om elektronisk kommunikasjon. Samferdselsdepartementets
ansvar dekker alle tilbydere av elektroniske kommunikasjonsnett
og -tjenester.
Nærings- og handelsdepartementet har
et generelt, koordinerende ansvar for informasjonssikkerhetsarbeidet.
Dette ansvaret omfatter både sikring av selve informasjonsutvekslingen
og sikring av den informasjonen som utveksles. Samferdselsdepartementet
og Post- og teletilsynet setter krav til, og fører tilsyn
med sikkerhet og beredskap hos tilbydere av elektroniske kommunikasjonsnett
og -tjenester, med hjemmel i lov om elektronisk kommunikasjon. I
kraft av sitt sektoransvar for telesikkerhet og -beredskap kan således Samferdselsdepartementet
gi pålegg til alle tilbydere om dette, inkludert til selskap
der Nærings- og handelsdepartementet forvalter statens
eierinteresser. Totalforsvarets råd for sikring av tele-
og informasjonssystemer (TRSTI) skal gi råd til Samferdselsdepartementet
i sikkerhets- og beredskapsspørsmål på teleområdet.
Utarbeidelsen av en nasjonal strategi for informasjonssikkerhet
er en oppfølging av St.meld. nr.17 (2001-2002) Samfunnssikkerhet
og Regjeringens IT-politiske plandokumentet om eNorge. Regjeringen
etablererer fire overordnede mål for informasjonssikkerhet,
gitt i meldingens kapittel 8.1.1
I Nasjonal strategi for informasjonssikkerhet
er det redegjort for ansvarsforholdene innen informasjonssikkerhetsarbeidet.
I denne meldingen gis en redegjørelse for ansvarsforholdene
mellom enkelte sentrale aktører på området.
Senter for informasjonssikring (SIS) ble i april
2002 etablert som et treårig forsøkprosjekt på initiativ
fra Nærings- og handelsdepartementet. SIS er en selvstendig
enhet (lagt til SINTEF i Trondheim) og skal i samarbeid med private
og offentlige brukere fremskaffe et helhetlig bilde av truslene
mot norske IT-systemer samt formidle informasjon, kompetanse og kunnskap
om trusler og mottiltak til virksomheter innen deres ovennevnte
ansvarsområde og allmennheten. En beslutning om den videre
innretting av SIS vil bli tatt innen utgangen av 2004.
Nasjonal sikkerhetsmyndighet (NSM) er tillagt
ansvaret for Varslingssystem for digital infrastruktur (VDI). VDI
består av både offentlige etater og private bedrifter
med ansvar for samfunnskritiske funksjoner, og skal identifisere
og varsle angrep.
Systemet analyserer forsøk på angrep
på de datanettverk som deltakerne har i bruk, og som er
knyttet opp mot Internett. Deltakerne blir varslet hvis det oppdages alvorlige
angrep som kan slå ut den digitale kritiske infrastrukturen.
Foruten varslingen skal VDI til enhver tid ha et oppdatert situasjonsbilde,
gjennomføre trendanalyser og kartlegge gjennomførte
angrep (hacking, ormer, tjenestenekt). VDI skal understøtte
sikkerhetsarbeidet hos deltakerne, rapportere, utvikle et bredt kontaktnett
nasjonalt og internasjonalt og være en nasjonal ressurs
innen datanettverkssikkerhet. Det er etablert et samarbeid mellom
VDI og Senter for informasjonssikring (SIS).
Nasjonal sikkerhetsmyndighet er tillagt sertifiseringsmyndigheten
for IT-sikkerhet i produkter og systemer (SERTIT). SERTIT
er en sertifiseringsordning for sikkerhet i IT-produkter og systemer,
for eksempel en brannmur eller et operativsystem. SERTIT er basert
på "Common Criteria" og tilhørende metodikk, som
er en internasjonal standard for produkter og systemer. Formålet
med sertifiseringen er å ha tillit til at sikkerhetsmekanismene
er implementert riktig i forhold til spesifikasjonene, slik at man
kan avdekke eventuelle skjulte feil eller mangler.
Post og teletilsynet skal bistå Samferdselsdepartementet
i planlegging og iverksetting av regulatoriske og operative
tiltak innen området telesikkerhet og -beredskap.
Post- og teletilsynet har med hjemmel i lov om elektronisk kommunikasjon
fått et ansvar for å sette krav til sikkerhet
og beredskap hos tilbydere av elektroniske kommunikasjonsnett og
-tjenester, og for å føre tilsyn med at pålagte
tiltak blir iverksatt. Tilsynet har også et ansvar for å følge
utviklingen på Internett, herunder de utfordringene uønsket
e-post og virus skaper.
Politiets datakrimsenter ble etablert i 2002
og offisielt åpnet i mai 2003. Senteret er foreløpig
organisert under ØKOKRIM og er den sentrale enhet i politiet
for etterforskning og påtale av datakriminalitet. Politiets datakrimsenter
skal bistå nasjonale og utenlandske politi- og påtalemyndigheter,
bidra til å heve kompetanse i politi- og påtalemyndighet,
drive opplysningsvirksomhet, drive kriminaletterretning og utarbeide trusselvurderinger
og være rådgivende organ for sentrale myndigheter.
Datakrimsenteret vil fra 1. januar 2005 inngå i et nytt
særorgan i politiet, Den nasjonale enhet for bekjempelse
av organisert kriminalitet og annen alvorlig kriminialitet.
Det eksisterer ingen koordinerende enhet for håndtering
av koordinerte IT-angrep på samfunnskritiske funksjoner
i Norge. Flere instanser har påpekt et behov for en slik
enhet for å sikre effektiv håndtering av en krise
der flere samfunnskritiske funksjoner blir angrepet samtidig. Etableringen
av en slik enhet vil kunne knytte norske myndigheter til et internasjonalt miljø under
oppbygging.
Direktoratet for samfunnssikkerhet og beredskap
og Nasjonal sikkerhetsmyndighet har i samarbeid igangsatt arbeidet
knyttet til et tidsavgrenset forskningsprosjekt knyttet til sikkerhet
og sårbarhet i nasjonalt viktige IKT-systemer. Forskningsprosjektet
er en forlengelse av forskningsserien Beskyttelse av samfunnet (BAS) ved
Forsvarets forskningsinstitutt (FFI).
St.meld. nr. 47 (2000-2001) om telesikkerhet og
-beredskap i et telemarked med fri konkurranse, jf. Innst. S. nr.
329 (2000-2001), varsler flere tiltak som skal øke sikkerheten
og beredskapen i telenettene. En ny prioriteringsordning i telenettene
til erstatning for ordningen med viktig prioritert telefon (VPT)
som ble nedlagt fra årsskiftet 2000/2001, er et
av tiltakene som vurderes av Samferdselsdepartementet. Et pilotprosjekt
skal settes i gang i løpet av 2004.
Liberaliseringen og teknologiutviklingen i telesektoren
skaper behov for nytt regelverk. I lov 4. juli 2003 nr. 83 om elektronisk
kommunikasjon settes det krav til tilbydere av elektroniske kommunikasjonsnett
og -tjenester om sikkerhet og beredskap.
Nærings- og handelsdepartementet samarbeider
med Arbeids- og administrasjonsdepartementet og med private markedsaktører
for å etablere en samfunnsinfrastruktur for elektronisk
signatur. Det legges til grunn at en slik infrastruktur må utvikles
i samarbeid mellom offentlig og privat sektor. Post- og teletilsynet
er tilsynsorgan for utstedere av kvalifiserte sertifikater etter
lov 15. juni 2001 nr. 81 om elektronisk signatur, forvaltet av Nærings-
og handelsdepartementet.
Nasjonal sikkerhetsmyndighet har operativ rolle
når det gjelder bruk av digitale sertifikater og PKI i
graderte IT-systemer. Retningslinjer er gitt i NSMs veiledning for
bruk av digitale sertifikater og PKI. Det ble utarbeidet en revidert
versjon av veiledningen våren 2004.
Arbeids- og administrasjonsdepartementet forvalter forskriftene
til personopplysningsloven og forskriften om elektronisk kommunikasjon
med og i forvaltningen. AADs ansvarsområde er også knyttet
til tverrgående spørsmål vedrørende
IT i offentlig sektor. AAD vil gi anbefalinger om egnede sikkerhetsnivåer ved
bruk av PKI i offentlig forvaltning. Slike anbefalinger vil ha betydning
for kostnadsomfang og kvalitet ved valg av teknologi og sikkerhetssystemer.
Det er behov for sterk kryptering i mange sammenhenger
innenfor elektronisk kommunikasjon. Bruk og utvikling av kryptoprodukter
bør baseres på internasjonale standarder så langt
det er mulig. Et kompetent fagmiljø på myndighetssiden
og tett samarbeid med norsk krypteringsindustri er sentralt for å utvikle
gode kryptoprodukter. Rammer for bruk og utvikling av kryptoprodukter
er gitt i Norsk kryptopolitikk, utgitt av Nærings- og handelsdepartementet
i 2001.