Av kapittel 9 i meldinga går det fram
at alle har ei rolle i å vareta IKT-tryggleiken i samfunnet.
Kompleksiteten i dagens IKT-system og nettverk aukar,
både i det private næringsliv og i offentleg forvaltning.
Når i tillegg samfunns- og verksemdskritiske system blir
kopla mot Internett står vi overfor store tryggleiksutfordringar.
Arbeidet med IKT-tryggleik omfattar i denne samanheng vern og utvikling
av informasjonssystem og nettverk slik at dei blir robuste og sikre.
I tillegg handlar det om å innføre nye tenkje-
og handlemåtar ved bruk av informasjonssystem og nettverk
og ved utveksling av informasjon. Berre ei tilnærming som
tek tilbørleg omsyn til interessene til alle aktørane
og til arten av system, nettverk og tilknytte tenester, kan sørgje
for effektiv IKT-tryggleik.
Problemstillingar ein arbeider med på dette
området, i tillegg til dei generelle personvernutfordringane,
er pornografi, valdeleg innhald, mobbing mv. Eit særskilt fokus
er retta mot å verne barn og unge mot ulovleg og skadeleg
innhald på nett. Tryggleik på nett er nært knytt
til digital kompetanse.
Omgrepet IKT-tryggleik byggjer på desse
tre basiseigenskapane:
– Integritet
- at systemet er sikra mot manipulering med systemets funksjon og
informasjon.
– Tilgjengelegheit - at systemet
er sikra mot avbrot i den forventa funksjonen og at systemet har
tilgang til nødvendig datainnhald.
– Konfidensialitet - at systemets
funksjon og datainnhald er sikra mot innsyn.
IKT-tryggleiken er eit naturleg deltema i den
samla IKT-politikken. Dette kapitlet, og spesielt avsnitt 9.4, utgjer
dessutan Regjeringas svar på den utgreiinga Stortinget
har bedt om den 2. mars 2006, under behandling av Riksrevisjonens
undersøking om å sikre IT-infrastruktur, jf. Dokument
nr. 3:4 (2005-2006) og Innst. S. nr. 85 (2005-2006).
Regjeringas overordna mål er at den
generelle IKT-tryggleiken i samfunnet skal vere god. Samfunnskritisk IKT-infrastruktur
skal vere robust og sikker i forhold til dei truslar den blir utsett
for. Dei kritiske informasjonssystema skal vere sikra slik at skadeverknadene
ved tryggingsbrot ikkje er større enn det ein kan definere som
akseptabel risiko.
Det generelle medvitet om risikoar knytte til
informasjonssystem og nettverk, om politikk, rutinar, tiltak og
prosedyrar for å ta hand om desse risikoane, og om behovet
for at dei blir sette i verk, skal aukast. Tidlegare har IKT-tryggleik
vore ei oppgåve for spesialistar. Dette er grunnleggjande
endra. No har alle ei rolle i å få til IKT-tryggleik
i praksis: offentleg sektor, private bedrifter, og dei individuelle
brukarane både på jobben og i fritida.
Riksrevisjonens undersøking av myndigheitenes arbeid
med å sikre IKT-infrastruktur (Dokument nr. 3:4 (2005-2006))
konkluder med at IKT-tryggleiksarbeidet i Noreg er prega av mange
aktørar og uklare ansvarsforhold og at få planlagde
tiltak i Nasjonal strategi for informasjonstryggleik er gjennomførte.
Riksrevisjonen meiner at det offentleges vern mot IKT-angrep no bør
få høgaste prioritet, og at departementa må leggje meir
vekt på ei koordinert, heilskapleg styring og oppfølging
av arbeidet med IKT-tryggleik.
Rapporten er behandla av Stortingets kontroll-
og konstitusjonskomité, og komiteen leverte si innstilling 7. februar
2006. Stortinget behandla innstillinga frå kontroll- og
konstitusjonskomiteen (Innst. S. nr. 85 (2005-2006) 2. mars
2006. Komiteen har i sine merknader konstatert at det framleis manglar
grunnleggjande avklaringar når det gjeld ansvarsfordelinga
for koordinering og tverrgåande tilsynsoppgåver
innan IKT-tryggleik.
Regjeringa har gjennomgått ansvarsforholda
rundt IKT-tryggleiken.
På same måte som for anna
arbeid med tryggleik og beredskap, tek alt IKT-tryggleiksarbeidet
utgangspunkt i tre berande prinsipp:
– Ansvarsprinsippet:
Den som har eit ansvar i ein normal situasjon, har også ansvar
ved ekstraordinære hendingar.
– Likskapsprinsippet: Den organisasjon
ein har til dagleg, skal vere mest mogleg lik den ein har under kriser.
– Nærleiksprinsippet:
Kriser skal handterast på lågast mogleg nivå.
Primæransvaret for sikring av informasjonssystem og
nettverk ligg hos eigar eller operatør, dernest har kvart
fagdepartement eit overordna sektoransvar. Fornyings- og administrasjonsdepartementets
samordningsansvar for IKT-tryggleik skal berre gjelde førebyggjande,
tverrsektorielt arbeid. I tråd med dette har Regjeringa
i budsjettframlegget for 2007 føreslått å overføre
budsjettansvaret for NorCERT (Norwegian Computer Emergency Response
Team) frå FAD til Forsvarsdepartementet. FAD har ansvaret
for Norsk Senter for Informasjonssikring, NORSIS, som arbeider førebyggjande.
For å sikre den norske informasjonsinfrastrukturen
er det nødvendig å:
– Sørgje
for god vern av informasjonsinfrastrukturen gjennom førebyggjande
tiltak. Tiltaka som blir sette i verk vil vere av teknisk så vel
som av administrativ karakter.
– Kunne svare effektivt på IKT-tryggleikshendingar gjennom
beredskapstiltak. Tiltaka som blir sette i verk vil vere av teknisk
så vel som av administrativ karakter.
– Sørgje for berekraft
i tryggleiksarbeidet gjennom bl.a. kompetanseutvikling og standardisering.
Koordineringsutvalet for førebyggjande
informasjonstryggleik (KIS) har sett i gang eit arbeid med å revidere
Nasjonal strategi for informasjonstryggleik.
Informasjonstryggleik er ei tverrsektoriell
utfordring. Regjeringa vil vise til at det er viktig å vise
fleksibilitet i utnyttinga av samfunnet sine samla ressursar på dette
området. Det må i større grad enn i dag
vere vilje til å setje inn ressursane der behovet til kvar
tid er størst, og på dei område og tiltak
som gir størst effekt for IKT-tryggleiken. For å oppnå kostnadseffektive
tiltak knytt til sikring av IKT-infrastruktur er det viktig å innrette
planlegging og finansiering fleksibelt slik at tiltaka som skal
setjast i verk i størst mogleg grad blir koordinert og
integrerte med anna planlagd utbygging av infrastruktur.
Stortinget vil bli orientert om hovudpunkta
i den reviderte informasjonstryggleiksstrategien i samband med budsjettproposisjonen
for 2008.
Komiteen er bekymret over manglende
sikkerhet knyttet til IKT og infrastruktur, og er kjent med Riksrevisjonens
rapport som har evaluert forhold knyttet til informasjonssikkerhet.
Komiteen er kjent med at Fornyings-
og administrasjonsdepartementet (FAD) 13. mars 2007 sendte ut på høring
et forslag til strategi for bruk av eID og e-signatur i offentlig
sektor. Samtidig ble det fra Justisdepartementet sendt
et forslag om nasjonalt ID-kort på høring, som
det foreslås at også utstyres med elektronisk
ID. Forslaget fra FAD innebærer at det skal utvikles
et felles rammeverk for autentisering for offentlig sektor. Dette
medfører at den enkelte innbygger kan bruke samme eID mot
alle offentlige virksomheter.
Komiteen vil trekke fram personvernutfordringer knyttet
til Internett med pornografi, voldelig innhold, mobbing, spredning
av personlig informasjon osv. Det er særlig viktig å ha
fokus på barn og unges rettigheter og krav på beskyttelse.
Trygghet på nett er nært knyttet til digital kompetanse. Komiteen støtter
Regjeringens satsing på økt IKT-kompetanse blant
barn og unge, inkludert styrking av digital dømmekraft
og nettvett.
Komiteen viser til gjennomgangen
av Riksrevisjonens undersøkelse av myndighetenes arbeid
med å sikre IKT-infrastruktur. Her konkluderes det med
at IKT-sikkerheten er preget av mange aktører og uklare ansvarsforhold
og at planlagte tiltak ikke blir gjennomført.
Komiteen er tilfreds med Regjeringens
oppfølging av Riksrevisjonens undersøkelse. Koordineringsutvalget
for forebyggende informasjonssikkerhet har satt i gang et arbeid
med å revidere Nasjonal strategi for informasjonssikkerhet.
På grunn av sterk dynamikk på området
er den gjeldende strategien utdatert når det gjelder faglig
innhold og tiltak.
Komiteen viser til at Regjeringen
i sin reviderte strategi for informasjonssikkerhet trolig vil vektlegge noen
tiltaksområder sterkere framover. Det gjelder spesielt
behovet for å verne samfunnskritisk IKT-infrastruktur, å fremme
en trygghetskultur i forhold til informasjonssystemer
og nettverk, samt styrke den norske forskningskompetansen innenfor
IKT-sikkerhet. Komiteen støtter disse vurderingene.
Komiteen ser fram til at Regjeringen
orienterer om den reviderte strategien for informasjonssikkerhet
i budsjettproposisjonen for 2008.
Komiteens medlemmer fra Fremskrittspartiet,
Høyre, Kristelig Folkeparti og Venstre ønsker årlige
tilbakemeldinger til Stortinget på statusen i arbeidet
med IKT-sikkerhet og sårbarhet. Disse medlemmer vil
understreke at mye, som med relativt beskjedne midler, kan gjøres
på den enkelte arbeidsplass og i det enkelte hjem i forhold
til IKT-sikkerhet. Disse medlemmer er derfor opptatt
av at det offentlige i samarbeid med arbeidslivets organisasjoner,
driver holdningsskapende arbeid. I sum er denne innsatsen svært
viktig.