Berit Brørby (A) [10:25:36]: (ordfører for saken): Det er svært positivt at Riksrevisjonen har undersøkt myndighetenes arbeid med å sikre IT-infrastruktur, både i forhold til å bedre IT-sikkerheten og i forhold til tiltak for å bedre telesikkerheten.

Formålet med undersøkelsen har vært å vurdere dette arbeidet opp mot Stortingets vedtak og forutsetninger. Organiseringen av arbeidet, plan og gjennomføringsprosessene og de tiltak som er iverksatt, er vurdert.

Vi har alle daglig fordeler av de enorme tekniske framskritt knyttet til datateknikk og elektronikk som har funnet sted i løpet av de siste 50 årene. Den teknologiske utviklingen har gitt oss et helt nytt materielt grunnlag for tilværelsen. Men det er et paradoks at ved å ta i bruk de mulighetene den teknologiske utvikling gir, utvikles samfunns- og leveforhold som er langt mer sårbare enn før. Dette er fordi bruk av høyteknologi er avhengig av mange ulike faktorer, og konsekvensene kan bli svært vidtrekkende om noen ikke fungerer. Mulighet for sabotasje, internasjonal kriminalitet, spionasje eller brudd i telesamband, elektrisitetsforsyning eller betalingssystemer viser til fulle hvor sårbart samfunnet vårt er blitt.

Det er bred enighet om at IT-sikkerhet skal være et virksomhetsansvar. Dette ble slått fast under Stortingets behandling av St.meld. nr. 17 for 2001-2002 om samfunnssikkerhet og er blitt fulgt opp gjennom organiseringen av arbeidet. Det er bra. Men når det gjelder ansvarsfordelingen for koordinering og tverrgående tilsynsoppgaver innen IT-sikkerhet, mangler fortsatt grunnleggende avklaringer. Hva ligger det f.eks. i at Justisdepartementet skal ha ansvaret for kritisk infrastruktur, og hvilket ansvar mener departementet det vil ha i en krisesituasjon? Det er ikke beroligende når Justisdepartementet opplyser at det ikke er en klar, entydig og tverrsektoriell oversikt over hva som er samfunnskritisk IT-infrastruktur. Og selv om det ifølge undersøkelsen er satt i gang noe arbeid for å definere hva som er samfunnskritisk infrastruktur, synes det så langt ikke å ha fått tilstrekkelig prioritet.

Det kan ikke være tvil om at det er nødvendig å ha klare prosedyrer dersom det skulle oppstå en krisesituasjon. Da må aktørenes roller være helt krystallklare. Med det som bakteppe er det urovekkende når Riksrevisjonen også avdekker uklarhet når det gjelder forståelsen av ansvaret for IT-sikkerhetsarbeidet, mellom Samferdselsdepartementet og Moderniseringsdepartementet, nå Fornyingsdepartementet. Dette er en uklarhet Regjeringen er nødt til å ta tak i. Jeg har merket meg at Moderniseringsdepartementet, nå Fornyingsdepartementet, har nedsatt en arbeidsgruppe for å avklare de ulike departementenes rolle, og det er bra.

Jeg synes også det er alvorlig når Riksrevisjonen viser at Varslingssystem for digital infrastruktur og Senter for informasjonssikring, som skal fange opp informasjon om trusler og sårbarhet i IT-infrastrukturen, ikke har nådd vesentlige mål for virksomheten. Forsvarsdepartementets så vel som Moderniseringsdepartementets – altså nå Fornyingsdepartementets – kommentarer til Riksrevisjonen styrker dette inntrykket. Jeg forutsetter at alle implisert prioriterer arbeidet med å avklare ansvar og sikre en organisering som ivaretar de oppgaver som skal utføres.

Jeg finner også grunn til å uttrykke forbauselse over at departementene fram til mai 2005 ikke hadde tatt kontakt med de utvalgte bransjeorganisasjonene som i henhold til Nasjonal strategi for informasjonssikkerhet er gitt et medansvar for å ivareta viktige funksjoner. Det har hele tiden vært en forutsetning, og jeg kan ikke se at det er gitt noen god begrunnelse for manglende samarbeid.

Videre synes tidligere uenighet rundt plasseringen av en myndighetsforankret CERT, Computer Emergency Response Team, å ha medvirket til manglende framdrift. Komiteen har imidlertid merket seg at Moderniseringsdepartementet i sitt svar til Riksrevisjonen uttaler at

«Regjeringen 29. august 2005 vedtok å etablere et permanent nasjonalt koordinerende CERT (Computer Emergency Response Team). CERT skal legges til Varslingssystem for digital infrastruktur (VDI) hos Nasjonal Sikkerhetsmyndighet (NSM), og skal ivareta varsling, rådgivning, assistanse og analyse for kritisk infrastruktur/samfunnsviktige funksjoner».

Og videre i brev av 24. oktober 2005:

«I føreliggande St.prp. nr. 1 (2005-2006) ligg det inne eit forslag om å styrke den operative IT-sikringa ved å etablera ein eigen eining – CERT (Computer Emergency Response Team), ved Nasjonal sikkerhetsmyndighet. Eininga skal handtere alvorlege dataangrep retta mot kritisk infrastruktur på nasjonalt plan. Den nasjonale CERT skal integrerast mot det eksisterande VDI (Varslingssystem for digital infrastruktur). Den nasjonale CERT/VDI vil bli pålagt å samvirke og utveksle informasjon med tilstøytande verksemder i IT-sikringsfeltet som til dømes Post- og teletilsynet, Senter for informasjonssikring (SIS) mv.»

En samlet komite understreker viktigheten av at spørsmål om ansvar og forhold til andre aktører snarest blir avklart.

Det er også alvorlig når Riksrevisjonen viser at plandokumentene for oppfølgingen av Nasjonal strategi for informasjonssikkerhet har vært utilstrekkelige, at de som har hatt ansvaret for samordning, er gitt for få virkemidler, at finansieringen av tverrsektorielle tiltak har vært undervurdert, og at regelverket ikke i tilstrekkelig grad har vært samordnet. Dette krever aktiv oppfølging fra myndighetenes side.

Riksrevisjonen retter særskilt søkelyset på telesikkerhet og -beredskap. At bare et fåtall av de vedtatte tiltak i St.meld. nr. 47 for 2000-2001 om telesikkerhet og -beredskap i et telemarked med fri konkurranse er satt ut i livet, er bekymringsfullt.

Jeg har merket meg departementenes svar, og registrerer at det er en rekke tiltak på gang. Det er positivt. Det avgjørende er imidlertid om den innsatsen som settes inn, er tilstrekkelig, om den er strukturert, og om den er helhetlig. Jeg forutsetter at både departementet og Riksrevisjonen har et fokus spesielt på dette, og forutsetter at Stortinget vil bli holdt orientert om utviklingen.

La meg avslutningsvis peke på at en samlet komite ber Regjeringen i løpet av 2006 komme tilbake med en redegjørelse til Stortinget om arbeidet med å avklare de overordnede ansvarsforholdene mellom departementene når det gjelder IT-sikkerhet. Komiteen forutsetter at redegjørelsen inneholder en vurdering av krisehåndtering, status for arbeidet med å fange opp trusler og avdekke sårbarhet. Samtidig må det stilles tilstrekkelige ressurser til rådighet slik at arbeidet med å sikre en tilfredsstillende kriseberedskap og IT-infrastruktur kan gis nødvendig prioritet.

Helt til slutt: I tillegg vil min oppfordring til de berørte statsråder være at dette arbeidet må intensiveres også på nordisk plan.

Statsråd Heidi Grande Røys [10:34:13]: Informasjonssystem og nettverk er i dag utsette for stadig fleire ulike truslar og sårbarheitsfaktorar. Dette reiser nye spørsmål omkring sikring og korleis ansvarsforholda på desse områda er organiserte. Kompleksiteten fordrar ei god, nasjonal koordinering av ressursane på området, og eg er difor glad for at Riksrevisjonen har føreteke ein forvaltningsrevisjon av dette fagområdet. Vi tek absolutt på alvor dei påpeikingane som er komne frå Riksrevisjonen, og ikkje minst den rimeleg klåre talen som komiteen har gitt i si innstilling – det vil eg iallfall forsikre om.

Eg vil gjerne få kommentere nokre av merknadene frå komiteen til enkelte av funna i Riksrevisjonen si undersøking. Statsråd Storberget skal òg kome med kommentarar i eit innlegg etterpå.

Til det som vedkjem ansvar for koordinering og tverrgåande tilsynsoppgåver, skriv komiteen følgjande:

«Når det gjelder ansvarsfordelingen for koordinering og tverrgående tilsynsoppgaver innen IT-sikkerhet, konstaterer komiteen derimot at det fortsatt mangler grunnleggende avklaringer.»

Og vidare:

«Oppsummert anser komiteen at arbeidet med å sikre IT-sikkerhet synes å lide under manglende koordinering og avklaring av funksjoner, og vil uttrykke bekymring for situasjonen.»

Mykje av det var jo saksordføraren òg inne på i sitt innlegg.

Til det er det å melde at ei avklåring av koordineringsansvaret mellom departementa no er under utgreiing i ei interdepartemental arbeidsgruppe som er leidd av mitt departement, Fornyings- og administrasjonsdepartementet. Eg skal sjølvsagt sørgje for at ansvarsspørsmåla og dei andre forholda som òg saksordføraren var inne på, vert tekne opp og lagde fram for Stortinget på ein eigna måte i løpet av 2006, slik komiteen har bedt om. Eg får resultatet frå den interdepartementale gruppa vonleg i løpet av ein månad.

Når det gjeld det som går på teletryggleik og -beredskap, er det rett at det berre er eit fåtal av tiltaka i St.meld. nr. 47 som er ferdigstilte, men svært mykje arbeid er i gang, og fleire tiltak er gjennomførte. Meldinga har eit tidsperspektiv på fem år. Fleire av tiltaka krev ytterlegare konkretisering og utgreiing før dei kan setjast i gang. Like viktig er det at teknologien og brukarmønstret har endra seg og ført til at det har vore behov for å revurdere innrettinga på enkelte tiltak, f.eks. det som har med prioritet i nett å gjere, der Post- og teletilsynet bl.a. på grunn av endring i bruksmønster har valt å jobbe for å få på plass ei teknisk løysing for prioritet i mobilnettet, og ikkje i fastnettet. Dette er jo eit område der teknologien spring fort, og det kan vere vanskeleg å henge med. Det betyr at ein må gjere endringar i sine prioriteringar undervegs som kanskje krev nye utgreiingar, men eg vil berre understreke at vi har – og vi tek – det største ansvaret for dette. Vi fokuserer på det, men det hender av og til at ein må snu papira annleis, rett og slett fordi teknologien og brukarmønstret endrar seg.

Så til komiteen sine merknader om NorCERT/VDI og NorSIS:

«Komiteen konstaterer at ingen av de to organene så langt synes å ha nådd vesentlige mål for virksomheten.»

«Komiteen imøteser avklaring både på SIS’ ansvar og oppgaver i forhold til relevante faginstanser og VDIs organisering for å sikre fastsatte mål.»

«Komiteen forutsetter at spørsmålet om plassering, ansvar og forhold til andre aktører snarest blir avklart.»

Her vil eg understreke – saksordføraren var òg på slutten av sitt innlegg inne på det – at Regjeringa og mitt departement tok to viktige grep for å styrkje IT-tryggleiken i budsjettframlegget for 2006, og Stortinget har allereie vedteke dei forslaga som låg der. Dette fekk brei omtale i budsjettproposisjonen frå – dåverande – Moderniseringsdepartementet.

Senter for informasjonssikring, NorSIS, er permanent etablert på Gjøvik, og eit nasjonalt varslings- og hjelpeorgan, NorCERT, er permanent etablert ved Nasjonal sikkerhetsmyndighet.

NorCERT er no fullt ut integrert med varslingssystem for digital infrastruktur, VDI, i Nasjonal sikkerhetsmyndighet.

Ansvar og oppgåver vart beskrivne i budsjettproposisjonen. Det er slik at NorCERT skal stå for varsling og assistanse ved tryggleiksbrot spesielt mot kritisk infrastruktur, mens NorSIS skal drive forebyggjande arbeid retta mot små og mellomstore verksemder i offentleg og privat sektor, inkludert kommunane.

I lag gjer NorCERT, NorSIS, Post- og teletilsynet, Kredittilsynet og andre sektoraktørar, i samarbeid med private aktørar, ein betydeleg innsats for å styrkje IT-tryggleiken i landet.

Som sagt: Vi tek på alvor det som er påpeika av Riksrevisjonen, som er forsterka og understreka av komiteen. Nokre tiltak har vi fått på plass. Vi er i gang med andre, og eg skal som sagt kome tilbake til Stortinget på eigna måte i løpet av året for å rapportere resultat når det gjeld ytterlegare forhold som er nemnde i innstillinga.

Statsråd Knut Storberget [10:39:44]: La meg også gi uttrykk for at den forvaltningsrevisjonen som her er foretatt, er absolutt nødvendig, og vi hilser den velkommen.

En betraktning innledningsvis i forhold til IT-strukturen må jo være at vi står overfor to sett av utfordringer. For det første står vi overfor en teknologiutvikling som for mange blir mer og mer komplisert, og det vil kunne ramme oss i mye større grad enn andre typer angrep mot samfunnets virksomheter. Vi er blitt mer sårbare, og vi har kanskje en følelse av – og en reell situasjon – at teknologien er rimelig utilgjengelig. Det gjør sitt til at den forvaltningsrevisjonen og de påpekinger som komiteen nå gjør seg, er særdeles viktig og skal tas på høyeste alvor. Det er det ene.

Den andre utfordringen, som for så vidt henger sammen med det første, er spørsmålet om ansvaret. Det ikke å få kartlagt hvor ansvaret ligger, at man har en uklar ansvarssituasjon, er vel en av de største utfordringene vi har i forhold til samfunnets sikkerhet og sårbarhetssituasjonen. Det at ansvaret pulveriseres på mange områder hvor vi slåss for å øke samfunnets sikkerhet, som Riksrevisjonen i realiteten peker på, og som komitelederen etter mitt skjønn gir en god beskrivelse av, er en av våre største utfordringer. Ansvaret må ikke pulveriseres.

Jeg merker meg at Riksrevisjonens undersøkelser viser at myndighetenes arbeid med IT-sikkerhet preges av mange aktører og uklare ansvarsforhold. En avklaring av departementenes koordinerings- og sektoransvar er nå, som også fornyingsministeren var inne på, under utredning i en interdepartemental arbeidsgruppe, og der deltar også Justisdepartementet aktivt. Og alle har stor interesse av at dette ansvaret avklares, ikke bare for dem som skal ha ansvar, men selvfølgelig også for dem som ikke har samme type ansvar eller samme helhetsansvar som andre aktører måtte ha. Vi har med andre ord stor interesse av å få avklart dette ansvarsforholdet for å gjøre sikkerhetsarbeidet optimalt.

Jeg vil også framheve at IT-sikkerhet spesielt, og sikring av kritisk infrastruktur generelt, først og fremst er et sektoransvar som følger ansvarsprinsippet. Dette betyr at ansvar for sikring av kritisk infrastruktur ligger hos eieren og/eller operatøren av infrastrukturen. Dette ansvaret er således ikke skilt ut som noe eget fagområde løsrevet fra det øvrige ansvaret innenfor en sektor. Derfor er det viktig, særlig for oss i Justisdepartementet, nettopp å gå aktivt inn i dette arbeidet for å få avklart spørsmålet om ansvar, slik at ikke uklarhet lammer oss unødig.

Komiteens bestilling og forutsetning om å komme tilbake til Stortinget raskt, og i løpet av 2006, er, som fornyingsministeren nå var inne på, et arbeid som vil bli gitt høy prioritet. Det vil selvfølgelig også bli etterkommet overfor Stortinget. I forhold til det ansvaret som Justisdepartementet har, vil jeg bidra til at dette viktige arbeidet gis høy prioritet.

Presidenten: Flere har ikke bedt om ordet til sak nr. 6.