Anders B. Werp (H) [12:09:54]: I et moderne samfunn er vi avhengige av tillit til telekommunikasjonssystemene og leverandørene av disse. Samfunnskritiske funksjoner, næringslivet og privatlivet berøres nesten kontinuerlig av disse systemene. Samtidig vet vi at disse digitale systemene er under konstant angrep fra hackere, kriminelle og ulik spionvirksomhet.

Alle brukere og eiere av digitale informasjonssystemer har et selvstendig ansvar for å ivareta sikkerheten og integriteten på sine pc-er, sin mobiltelefon eller sitt nettbrett. Men forsvaret mot disse digitale angrepene blir vanskelig og kanskje umulig dersom vi ikke kan stole på kjernen, selve infrastrukturen, som binder disse komplekse teknologisystemene sammen. Blir sikkerheten kompromittert her, hjelper det ikke om den enkelte pc eller nettbrett har verdens beste sikkerhetsprogrammer, eller at brukeren følger alle sikkerhetsregler. Derfor er sikkerhet i kritisk, digital infrastruktur svært viktig. Dette har blitt tydeligere og tydeligere de siste årene. Derfor mener Høyre at kontrollen av sikkerheten her er et myndighetsansvar.

Denne interpellasjonen dreier seg om hvorvidt regjeringen i tilstrekkelig grad ivaretar dette ansvaret. Høyre mener regjeringen ikke gjør det.

For noen måneder siden anbefalte en enstemmig etterretningskomité i Representantenes hus i USA å utelukke kinesiske telekomselskaper fra å levere komponenter til landets infrastruktur.

Australia har nylig ekskludert det kinesiske selskapet Huawei fra å konkurrere om visse kontrakter vedrørende utbyggingen av deres nasjonale bredbåndsnettverk.

Storbritannia har implementert kostbare sikkerhetsprosedyrer for de delene av deres infrastruktur som bygger på utstyr fra Huawei.

Tysklands nasjonale forsknings- og utdanningsnettverk har utelukket Huawei fra å delta i konkurransen om å oppgradere deres nettverk.

Hvorfor går flere og flere land til det skrittet å utelukke kinesiske telekomselskaper fra sin kritiske infrastruktur?

Kinesisk lovgivning gir kinesiske myndigheter svært kraftige og inngripende fullmakter til overstyring av og innsikt i landets telekomselskaper. Dette er særlig knyttet til to forhold. For det første skal alle selskaper i Kina ha en komité oppnevnt av kommunistpartiet, hvis oppgave er å ivareta såkalte nødvendige forhold for aktiviteter i regi av kommunistpartiet. For det andre kan kinesiske myndigheter kreve ubegrenset inspeksjon og utlevering av informasjon og utstyr fra selskaper, organisasjoner og enkeltpersoner.

Kina er verdens største diktatur og en kommunistisk ettpartistat. Kinesiske myndigheter står helt fritt til å bruke virkemidler slik de selv bestemmer, ut fra de nevnte lovparagrafene, et trusselbilde og en behovsanalyse som kommunistpartiet selv definerer. Det som er definert av partiet, blir ikke overprøvd av en kritisk presse, en folkevalgt forsamling eller et uavhengig rettsvesen. Derfor er de to nevnte virkemidlene viktige og bekymringsfulle. Dette skiller kinesisk telekomindustri fra konkurrerende selskaper med opprinnelse i demokratiske land.

Men det er ikke de kinesiske selskapene som er hovedsaken i denne interpellasjonen, heller ikke de kinesiske myndigheters muligheter og virkemidler til å overstyre selskapene og til å hente ut samfunnskritisk informasjon om andre lands informasjonssystemer – selv om dette er grunnen til at stadig flere land stiller grunnleggende spørsmål ved om kinesiske selskaper bør levere komponenter til kritisk infrastruktur eller andre samfunnskritiske systemer. Hovedsaken i denne interpellasjonen er fraværet av sikkerhetsfokus i regjeringen når det gjelder utøvende informasjonssikkerhet.

Sentrale deler av det norske mobilnettet er levert av det kinesiske telekomselskapet Huawei. Både Telenor og NetCom bruker denne leverandøren i kjernen av sine mobilnett. Mobilnettet er en del av vår kritiske infrastruktur.

De samme kritiske spørsmålene som stilles i mange andre land, ble ikke stilt av den norske regjeringen ved etableringen av ny teknologi i vårt mobilnett. De samme kritiske spørsmålene er fortsatt ikke stilt av regjeringen. Dette føyer seg inn i et mønster hvor regjeringen mangler fokus og helhetlig tilnærming til informasjonssikkerhet. For eksempel er Nasjonal strategi for informasjonssikkerhet datert helt tilbake til 2003. Nasjonale retningslinjer for informasjonssikkerhet gikk ut i 2010. Ansvaret for informasjonssikkerheten i Norge er fordelt på hele elleve departementer.

Høyre mener også det er alvorlig at regjeringen ikke har foretatt en gjennomgang av om sikkerhetsloven er godt nok tilpasset dagens sikkerhetsmessige utfordringer og den teknologiske utviklingen.

La meg utdype: På spørsmål fra Høyre framgår det nemlig at Forsvarsdepartementet, som forvalter sikkerhetsloven, overhodet ikke har foretatt en sikkerhetsvurdering ved etableringen av den nye teknologien i mobilnettet. Svaret fra statsråden er:

«Konkrete anskaffelser til mobilnettet, og sikkerhets- og risikovurderinger fra nasjonale sikkerhetsmyndigheter i denne sammenheng, ligger derfor utenfor mitt ansvarsområde.»

Forsvarsministeren henviser til Justis- og beredskapsdepartementet, men forsikrer:

«Sikkerhet og risiko knyttet til samfunnets bruk av informasjons- og kommunikasjonsteknologi er noe norske myndigheter tar meget alvorlig.»

Høyre stilte derfor det samme spørsmålet til Justis- og beredskapsdepartementet. Vi observerte undrende at spørsmålet ble sendt videre fra Justisdepartementet til Samferdselsdepartementet. Undringen og bekymringen økte kraftig da vi leste svaret derfra. Samferdselsdepartementet har nemlig heller ikke på noe punkt vurdert om bruk av kinesisk teknologi i mobilnettet var problematisk når det gjelder lov om elektronisk kommunikasjon, den såkalte ekomloven. Det henvises tvert imot til tilbydernes ansvar i dette spørsmålet. Men også denne statsråden forsikrer:

«Sikkerhet i nett og tjenester er noe som norske myndigheter tar svært alvorlig.»

Disse forsikringene fra regjeringen tror ikke lenger Høyre noe på. Fagre ord gir ikke trygghet og robusthet i vår kritiske infrastruktur. Det er kun handling og aktiv oppfølging som gjør det. Regjeringen har verken utvist handling eller oppfølging.

La meg utdype og klargjøre ytterligere: Stortingets kontroll- og konstitusjonskomité sendte nylig et brev med flere kritiske spørsmål om samme sak til Justis- og beredskapsdepartementet. Svaret forelå 13. november. Her framkommer det at Nasjonal sikkerhetsmyndighet, NSM, allerede i 2010 vurderte om sikkerhetsloven og ekomloven hadde mekanismer til å redusere risiko, som beskrevet. NSMs konklusjon var at det forelå en risiko, men at ingen av regelverkene var anvendelige.

Så skriver justisministeren i det nevnte brevet fra november, nesten tre år etterpå:

«Dette er en problemstilling jeg vil se nærmere på.»

Ingenting ble gjort av regjeringen for å redusere risikoen. Ingenting er gjort av regjeringen for å risikere risikoen.

Jeg kan allerede høre svaret fra regjeringen i denne debatten og i andre innlegg i denne debatten: Vi har jo økt bevilgningene. Ja, på noen områder og med Høyres fulle støtte. Og det er mange medarbeidere i systemet som gjør en fremragende og dedikert innsats, men bevilgninger alene bedrer ikke informasjonssikkerheten når de ikke følges opp av handlinger fra regjeringen – slik eksemplene med Huawei og regjeringens manglende oppfølging av NSMs vurdering av sikkerhetsloven og ekomloven dessverre viser.

Fortsatt er Nasjonal strategi for informasjonssikkerhet formulert helt tilbake i 2003, nasjonale retningslinjer for informasjonssikkerhet gikk ut i 2010, og ansvaret er fordelt på elleve departementer.

Det er på denne bakgrunn Høyre stiller følgende spørsmål: Hvordan vurderer statsråden dette fraværet av sikkerhetsmessig myndighetskontroll av kritisk infrastruktur?

Statsråd Grete Faremo [12:20:51]: Det pågår for tiden en gjennomgang av sikkerhetsloven. Ett av temaene i denne gjennomgangen er hvordan vi kan sikre kritisk infrastruktur, bl.a. i lys av utfordringene ny teknologi gir. Sikkerhetsloven trådte i kraft 1. juli 2001, og det har, som alle kan se, vært en betydelig utvikling både i teknologien og i markedene siden loven trådte i kraft. Dette tilsier en lovrevisjon. Spørsmålet om hvorvidt en bestemt leverandør kan representere en risiko overfor en bestemt sektor eller bransje, må vurderes. Jeg mener dessuten at den generelle problemstillingen vi må adressere, er hvilke mekanismer vi må ha for å sikre kritisk infrastruktur og de komponenter som leveres, uansett leverandørerer.

Påstanden fra representanten om at norske myndigheter ikke har vurdert Huaweis leveranser i henhold til sikkerhetslov eller ekomlov, medfører ikke riktighet. Nasjonal sikkerhetsmyndighet og Politiets sikkerhetstjeneste hadde en dialog med Telenor i desember 2009. Det ble i den forbindelse uttrykt bekymring knyttet til ulike aspekter ved sikkerheten i mobilnettverket. Videre ble det formidlet at Telenor har en selvstendig plikt til å gjøre nødvendige vurderinger knyttet til avtaleinngåelse med utenlandske leverandører av varer og tjenester til sin kritiske infrastruktur. Det ble også gitt generell informasjon om forebyggende sikkerhet. I 2009 vurderte NSM imidlertid gjeldende regelverk slik at Telenors anskaffelse av infrastruktur ikke var sikkerhetsgradert.

I 2010 vurderte NSM hvorvidt sikkerhetsloven og lov om elektronisk kommunikasjon generelt hadde mekanismer for å redusere risikoen. Det ble innhentet vurderinger også fra Post- og teletilsynet i denne prosessen. NSM konkluderte da med at det forelå en risiko, men, som interpellanten også refererte til, at gjeldende regelverk ikke var direkte anvendelig i den konkrete situasjonen.

I 2010 hadde PST også et møte med Netcom, der etterretningstrusselen knyttet til utenlandske leveranser til norsk kritisk infrastruktur ble lagt fram. Denne problemstillingen er fortsatt sentral i gjennomgangen som nå gjøres av sikkerhetsloven. Jeg har også på nytt bedt NSM og Post- og teletilsynet foreta en vurdering av hvilket handlingsrom dagens regelverk gir til å redusere risiko innenfor rammen av gjeldende ekomlov og sikkerhetsloven. Eventuelle tiltak vil kunne ha tekniske og økonomiske implikasjoner som må konsekvensutredes før iverksettelse.

Jeg vil også vise til at det nå pågår en nasjonal prosess hvor hvert enkelt departement skal utpeke skjermingsverdige objekter innen sitt myndighetsområde. Det skal skje innen 1. januar 2013. I prosessen skal også disse objektenes avhengighetsforhold til andre objekter kartlegges. Kartleggingen skal identifisere understøttende tjenester og komponenter man er avhengig av for at objektet skal fungere.

Skjermingsverdige objekter er ifølge sikkerhetsloven «eiendom som må beskyttes mot sikkerhetstruende virksomhet av hensyn til rikets eller alliertes sikkerhet eller andre vitale nasjonale sikkerhetsinteresser». Slike objekter kan være bygningsmasse og fysiske gjenstander så vel som komponenter i teknisk infrastruktur. Når objektene er utpekt, skal objekteier sikre disse med tiltak som tilsvarer objektenes sikkerhetsmessige verdi. Objekteier skal også etablere tiltak for å motvirke etterretningstrusselen. Et slikt tiltak er å etablere nødvendige barrierer. Slike barrierer kan være av fysisk, elektronisk eller administrativ art. Om en leverandør ikke lenger har nødvendig tillit og dermed kan utgjøre en sårbarhet for objektet, må objekteier iverksette tiltak for å redusere risikoen. Et velfungerende objektsikkerhetsregime vil gi et vesentlig bidrag til sikkerheten i vår infrastruktur.

Risiko og sikkerhet knyttet til samfunnets bruk av informasjons- og kommunikasjonsteknologi tar norske myndigheter meget alvorlig. Dette er også tidligere kommunisert av mine kolleger forsvarsministeren og samferdselsministeren. Alle samfunnssektorer er avhengige av denne felles infrastrukturen, og dette skaper en samfunnsmessig sårbarhet som vi må følge nøye. I tillegg er infrastrukturen gjenstand for en rivende teknisk utvikling. Nye bruksmønstre skapes hurtig. Det gjør ikke utfordringen mindre.

Vi må bruke de muligheter som dagens regelverk gir, og vi må også vurdere behovet for å endre regelverket for å tilpasse oss framtidens risikobilde. Flere av de problemstillingene som i det siste er reist rundt beskyttelsen av kritisk infrastruktur, dreier seg ikke utelukkende om teleinfrastrukturen. Problemstillingene er sektorovergripende.

Justis- og beredskapsdepartementet har deltatt i det arbeidet Forsvarsdepartementet nå leder med gjennomgang av sikkerhetsloven. Formålet med denne loven er som kjent å motvirke spionasje, sabotasje og terrorhandlinger. Det vil være naturlig at de sektorovergripende nasjonale behovene finner sin løsning der – robuste løsninger som også virker forebyggende. Dette er et arbeid jeg vil følge tett framover.

Avslutningsvis vil jeg framheve at det er viktig at alle må erkjenne sitt ansvar for god sikkerhet, også næringslivet selv. God sikkerhet begynner med den enkelte. Sviktende sikkerhet i kritisk infrastruktur rammer ikke bare samfunnet, det rammer i særlig grad også virksomhetene selv, både i funksjonsdyktighet og i omdømme. Et nært samarbeid mellom myndigheter og næringsliv på dette området er viktig. Jeg viser også her til at samferdselsministeren tidligere har uttalt at hun har lagt til grunn at hun har tillit til at Telenor gjør sine sikkerhetsvurderinger og også sørger for en tilfredsstillende sikkerhet i sitt nett.

Som jeg sa innledningsvis, er jeg ikke bare opptatt av hvorvidt en bestemt leverandør kan representere en risiko overfor en bestemt sektor eller bransje. Jeg mener den generelle problemstillingen vi må adressere, er hvilke generelle mekanismer vi skal ha for å sikre at alle leverandører til kritisk infrastruktur og de komponenter de leverer, faktisk er til å stole på. Dette er en problemstilling jeg samarbeider med samferdselsministeren og forsvarsministeren om, og som jeg vil følge tett i tiden som kommer.

Anders B. Werp (H) [12:28:00]: Det denne interpellasjonen dreier seg aller minst om, er enkeltleverandører. Det denne saken dreier seg om, er de bakenforliggende strukturene bak disse nevnte leverandørene og den risikoen det innebærer for norsk kritisk infrastruktur. Men først og fremst handler denne interpellasjonen om det politiske ansvaret og den politiske oppfølgingen av det vi i Høyre mener er det manglende politiske initiativ.

Det har kommet kritiske synspunkter underveis fra flere underliggende etater. Det har kommet advarsler. Det redegjør statsråden tydelig for. Men da er oppfølgingsspørsmålet: Hvorfor har ikke regjeringen gjort noen ting med det? Jeg bygger det spørsmålet og den påstanden på de skriftlige svarene Høyres gruppe har fått fra både forsvarsministeren og samferdselsministeren. Vi har også sendt spørsmål til justisministeren, men de er blitt videresendt derfra, så vi får først svaret her i salen i dag.

Vårt engasjement i denne debatten dreier seg også om den vandringen denne saken har måttet foreta mellom flere departementer: Forsvarsdepartementet, Justisdepartementet, Samferdselsdepartementet – FAD er også et aktivt departement, som i hvert fall har et ansvar innenfor dette feltet – pluss flere. Det i seg selv understreker jo at risikofaktoren ikke blir håndtert godt nok – når vi ser det fraværet av initiativ som kommer fra regjeringen.

Jeg vil takke for svaret fra statsråden og avslutningsvis komme med et nytt spørsmål. I det nevnte brevet fra statsråden til kontroll- og konstitusjonskomiteen framgår det at det er påvist at NSM i 2010 beskrev en risikosituasjon knyttet til temaet vi diskuterer i dag. Herværende statsråd var den gang statsråd i Forsvarsdepartementet. Nå er det justisministeren som sitter her, og mitt spørsmål er da: Hvorfor har det tatt nesten tre år uten at det har skjedd noen ting – så vidt jeg kan forstå – med den bekymringsmeldingen fra verken politisk ledelse, politisk nivå eller regjeringen som sådan i det konkrete tilfellet som beskrives i det nevnte brevet?

Statsråd Grete Faremo [12:31:07]: Jeg vil ta avstand fra påstanden om at det ikke er gjort noe, og viser igjen til hvordan sektoransvarlige og Samferdselsdepartementet – i samarbeid med Telenor – har adressert disse spørsmålene. Justisdepartementet har i sin pådriverrolle også ønsket – og det redegjorde jeg for – at vi tar et initiativ nok en gang og avdekker om det er muligheter i dagens regelverk som ikke er utprøvd, for å sikre at vi gjør det vi kan for å minimalisere risiko og eventuelt også utløse konkrete tiltak, om det skulle vise seg å være behov for det. Det er riktig – som interpellanten påpekte – at lovansvaret for sikkerhetsloven ligger i Forsvarsdepartementet, og at FAD har et eget samordningsansvar når det gjelder forebyggende IKT-sikkerhet.

Interpellanten har etter min oppfatning tatt opp en meget viktig sak og illustrerer hvor krevende det er å sikre god oppfølging av kritisk infrastruktur i en samfunnsmodell som vår. Dette er noe av bakgrunnen for at regjeringen har jobbet med å revidere de nasjonale retningslinjene på dette området. Ny nasjonal strategi kommer etter planen før årsskiftet, og vi går også inn i om det må gjøres justeringer i grenseoppgangen mellom de ulike departementene. Dette er sentrale spørsmål for å sikre at vi også håndterer denne type sikkerhetsspørsmål som gjelder vår telekom-infrastruktur, på en god måte. Det vil selvsagt også være riktig å adressere andre sikkerhetsutfordringer som ikke er knyttet til dette, på en god måte.

Jan Bøhler (A) [12:33:43]: Det er en viktig og interessant debatt interpellanten har dratt opp. Selve eksempelet har versert i media en to–tre års tid, men jeg tror det er viktig å diskutere det mer som en prinsipiell sak, og mindre som en sak knyttet til et bestemt selskap. Det viktige er det prinsipielle, om vi har en god nok sikkerhetsmessig myndighetskontroll av kritisk infrastruktur når den skal bygges ut. Det er åpenbart at det er avgjørende med tanke på fare for cyberangrep, sabotasje, kriminalitet i nettsystemene, overvåking osv. Det er bra at statsrådene varsler at de nå gjennomgår sikkerhetsloven, og at det vil komme nye retningslinjer før jul.

Det er et veldig viktig prinsipielt spørsmål om vi skal være så avhengige av – i dette tilfellet – Telenors selvstendige plikt til å gjøre risikovurderinger som er gode nok når det gjelder kritisk infrastruktur, eller om vi må etablere en enda bedre kvalitetssikring av det arbeidet, og at myndighetene da må få en sterkere rolle, representert ved bl.a. NSM og PST. Det er urovekkende når det – som det er vist til her – ble slått fast av NSM i 2010 at gjeldende regelverk ikke var godt nok anvendelig i dette tilfellet.

Det er også bra at det er en nasjonal prosess i gang – som skal gå fram til 1. januar 2013 – med å utpeke skjermingsverdige objekter, hvor også teknisk infrastruktur inngår. Hvis det er slik at leverandører til teknisk infrastruktur skaper sårbarhet, skal det settes inn nye tiltak. Det vil også gjelde Telenor. Det blir viktig å følge med på hva den prosessen bringer av resultater. Det å skape gode nok kontrollmekanismer må være uavhengig av selskap og hvor i verden selskapene er etablert. Jeg tror det er et tankekors at hvis noen skulle ønske å etablere spionasje, sabotasje eller overvåking når det gjelder norsk infrastruktur, er det ikke sikkert at de ville utsette seg for den oppmerksomheten, kontrollen og fokuset det medfører å bruke f.eks. kinesisk teknologi og kinesiske selskaper. Det er avgjørende at vi greier å følge like godt med uavhengig av hvilke selskaper og hvilke land de som måtte ha slike intensjoner, velger å basere seg på. Det kan åpenbart også skje fra land hvor man vekker mindre oppmerksomhet.

Jeg tror hovedpoenget i denne debatten må være hvordan vi kan få gode nok tiltak for myndighetskontroll med infrastrukturen vår, lære av diskusjonen om dette eksempelet og lære oss å bygge god nok kompetanse og få gode nok redskaper slik at vi kan følge godt nok med og gjøre en reell kontroll. Slik sett synes jeg denne interpellasjonen er nyttig når det gjelder å forbedre oss og sørge for at det er framdrift i tiltakene.

Åse Michaelsen (FrP) [12:37:27]: Det er en liten fornøyelse å høre representanten Werp plukke regjeringens argumenter fra hverandre – det er godt jobba.

I sak nr. 5 på sakskartet i dag ser vi at også Europa har fokus på nettopp kritisk infrastruktur og hvor viktig dette er. Neste uke skal vi ha en større debatt som har med cybersikkerhet å gjøre. Alt i alt er dette et saksfelt og et område vi er nødt til å løfte i mye større grad her i Norge. Derfor er denne interpellasjonen veldig, veldig viktig.

Representanten Werp setter fokus på et område som det – mildt sagt – ikke er for mye kunnskap om der ute. Vi må faktisk kunne forvente at beslutningstakerne har den nødvendige forståelsen og kunnskapen til å fatte de rette vedtakene. Når Telenor nå velger Huawei – eller «husjameg», som noen sa – som leverandør av sentrale komponenter til mobilnettet uten at det er foretatt kontroll med leveransen med tanke på sikkerhetslov eller risikoanalyse, slik andre land har gjort, vil jeg kanskje påstå at vi er naive. Jeg har registrert at statsråden selv bestrider dette, og at det har blitt foretatt.

Det er vanskelig å forstå at ikke Norge – med et innbyggertall på fem millioner – skal være i stand til å ha god nok oversikt over sin kritiske infrastruktur og dens sårbarhet. Mangelen på interesse, kunnskap og vilje til omstilling på dette området er noen av faktorene for dette. Jeg tror at noe så banalt som alder hos beslutningstakere spiller en rolle. Våre barn og unge, som har vokst opp i et cybersamfunn, kan kuppe nesten hvem som helst over 50 år. Hvem vet ikke om tenåringen i kjellerstua som hacker seg inn på ulike saker?

Dette var kanskje et lite sidespor – tilbake til Huawei. Det er altså et selskap som har blitt utestengt i en rekke land, herunder Tyskland, USA, Canada, Australia osv., osv.

Og det kan da ikke være uten grunn? Kan Telenor, og sånn sett regjeringen, ha sett på avtalen som et ledd i en tilnærming til Kina, i forhold til fredsprisutdelingen som har ført til permafrost mellom våre to land? Eller kan Telenor, og sånn sett regjeringen, ha kommet til en konklusjon om at Huawei ikke utgjør en sikkerhetsrisiko for vår kritiske infrastruktur ved å ha sjekket dette opp mot vår sikkerhetslov – altså en helt annen konklusjon enn andre land har kommet til?

Dette er et saksfelt som er i stadig endring. Det går fortere og fortere – loven vi har i dag, er gammel i morgen – så hvis vi skal klare å henge med i svingene, må vi vise handlekraft. Det er en helt tydelig ansvarsfraskrivelse, og ikke minst en ansvarspulverisering, når jeg nå hører at så mange departementer – som representanten Werp her viser til – har en finger med i spillet. Derfor må vi alle, og ikke minst regjeringen, se helheten for snarest å kunne levere på dette området.

Ingjerd Schou (H) [12:41:27]: Jeg vil først begynne med å gi ros til interpellanten for å sette beredskap innenfor dette området på dagsordenen.

I denne debatten etterlyses regjeringens tilstedeværelse med hensyn til overordnet sikkerhetskontroll. Det er denne statsråden, som er i salen i dag, som er regjeringens overordnede når det gjelder beredskap, og som har det koordinerende ansvaret. Det vi fra Høyre etterlyser, er nettopp denne sikkerhetskontrollen på myndighetsnivå – ikke på operatørnivå, og ikke på det enkelte menneskes nivå.

Regjeringen har virkemidler, men det kan lett se ut som om man har abdisert fra å bruke disse. Jeg hører i statsrådens redegjørelse at PST og NSM, Nasjonal sikkerhetsmyndighet, har snakket med henholdsvis NetCom og Telenor, men det er ikke den etterlysningen som vi har. Vi etterlyser det ansvaret som regjeringen har på overordnet nivå, for å ha en beredskapsvurdering innenfor dette området.

I dette eksemplet er det en tett kobling mellom Huawei og kinesiske myndigheter, og i min praktiske hverdag kan det altså bety at kinesiske myndigheter kan kikke i min e-post. De kan gjøre det. Jeg vet ikke om de gjør det, men de kan gjøre det – de kan kikke i min e-post både hjemme og på Stortinget. Kina kan kikke oss i kortene. Andre steder kan det være andre land. Og min utfordring til statsråden, og til regjeringen, er hvilke krav regjeringen har stilt til sikkerhet. Jeg forventer også at regjeringen gjør en sikkerhetsmessig vurdering, og ikke overlater til Telenor i en ti års kontrakt å håndtere dette. Andre land gjør nettopp slike sikkerhetsmessige vurderinger på egen kjøl.

I 2010, da statsråden var forsvarsminister, vurderte Nasjonal sikkerhetsmyndighet hvorvidt sikkerhetsloven og lov om elektronisk kommunikasjon hadde mekanismer for å redusere risiko, som vi har omtalt her i dag. Nasjonal sikkerhetsmyndighet sa da at det forelå en risiko, men ingen av regelverkene var anvendelige. Da sa herværende statsråd at hun ville se nærmere på dette ved en gjennomgang av sikkerhetsloven. Så spørsmålet nå er: Hva har skjedd, og hva konkret skjer? Når vil regjeringen legge fram regelverk som faktisk dekker de behovene som Norge har, og som er anvendelige?

Jeg lyttet også med interesse til representanten Bøhlers innlegg, som jeg synes på en prinsipiell og prisverdig måte tok opp nettopp de problemstillingene som vi etterlyser. Representanten sa at det kan hende at myndighetene skal «få en sterkere rolle». Til det er å si at jeg savner at myndighetene tar den rollen – ikke disse underliggende organene, som PST eller Nasjonal sikkerhetsmyndighet. Jeg savner at regjeringen på egen kjøl tar den rollen – med det sikkerhetsansvaret de har, og med det beredskapsansvaret som er koordinert til justisministeren, som er det prinsipielle utgangspunktet for handling.

Når det gjelder det Åse Michaelsen sa i sitt innlegg om at kunnskapen om cyberspace og Internett og den teknologiske utviklingen sikkert er knyttet til alder, så tror jeg det er helt riktig – både når det gjelder forståelsen, kunnskapen og det å være operativ og anvende nye teknologier. Men jeg forventer at regjeringen på dette området opererer tidløst, med det ansvar som regjeringen har for å hensynta nasjonens sikkerhet i et område som er til de grader under utvikling, og ikke skyver ansvaret over på verken operatører eller på det enkelte mennesket.

Trine Skei Grande (V) [12:45:59]: Først vil jeg takke representanten Werp for en god interpellasjon og en god gjennomgang, en god gjennomgang av de undringene som også Venstre har hatt etter at vi stilte spørsmål i kontrollkomiteen, og undringen over en del av formuleringene i det svaret.

Fra Venstres synspunkt er det to spørsmålsstillinger her. Det er både en spørsmålstilling knyttet til rikets sikkerhet – hvor sikre er vi på at grunnleggende infrastruktur styres og er sikker for den norske staten? Det andre aspektet handler om borgernes sikkerhet, retten til vårt personvern, retten til at den som eventuelt skal kikke oss i kortene, skal være norske myndigheter, basert på norske lover, vedtatt av norske folkevalgte organ og ikke andre regimers regelverk – i hvert fall ikke når vi ser at de som toger inn, er verdens største diktatur.

Det som undrer meg litt, spesielt ut fra de svarene som kontrollkomiteen fikk på Venstres spørsmål, er hvorfor Norge tror at vi sitter med informasjon som er mye edlere og mye bedre enn land som – det må jeg innrømme at jeg tror – har større etterretningsorgan enn Norge. Jeg tror at Storbritannia – dette er bare en antakelse – har en litt større etterretningsorganisasjon enn Norge. Jeg tror at disse landene vi her snakker om – USA, Canada, England – har systemer som gjør at de godt kan sjekke ut om dette påvirker et rikes sikkerhet, og det fører til at de har gjennomført handlinger, mens Norge er opptatt av å vurdere alle ting ut fra vårt regelverk, sjøl om man innrømmer at regelverket er mangelfullt. Jeg syns kanskje vi kan lære av noen av de store demokratiene som har laget regelverk på dette området, og ikke tro at alle diktaturene er snille fordi vårt regelverk kommer til kort. Jeg er også spørrende til hvorvidt NSM sitter med nok ressurser til å foreta slike typer kontroller som vi snakker om her.

Så er det da slik at man sitter som statsråd, man oppdager at sikkerheten blir utfordret, man tester sikkerheten opp mot norsk regelverk, man konstaterer at regelverket er feil, og da begynner man å utrede. Hadde jeg vært statsråd da, hadde jeg kanskje prøvd å få til en dialog med de partene som det var snakk om, og forsikret meg om at det er mange som jobber med dette i Telenor. Jeg lurer på om kanskje statsråden kan svare på hvor mange ansatte det er i Telenor som jobber med akkurat denne delen? Jeg tror ikke det er veldig mange, jeg tror ikke det er en stor enhet hos Telenor som jobber med denne typen sikkerhet. Det kan vi kanskje heller ikke forvente av kommersielle aktører i et marked når vi ikke klarer å lage regelverk som danner rammen rundt det.

Så min oppfordring til statsråden er å lære av de landene som vi liker å sammenligne oss med, som har ressurser til å finne ut hvilke utfordringer dette har både for hver enkelt borgers personvern og for et rikes sikkerhet, og så eventuelt se på om det er ting man kan gjøre i dialog med bedriftene som opererer i markedet, før man får et regelverk på plass.

Lars Myraune (H) [12:50:01]: Representanten Anders B. Werp fokuserer med denne interpellasjonen på en svært viktig del av infrastrukturen i et moderne samfunn. Vi opplever i dag at kommunikasjon utgjør en stadig viktigere del av hverdagen vår. Det gjelder kommunikasjon mellom enkeltindivider, og det gjelder mellom bedrifter og etater – kort sagt: hele samfunnet. Vi er blitt mer og mer avhengig.

Vi opplever også at denne nye kommunikasjonen går over det mobile nettverket. Det som før gikk på en kobberledning, går i all hovedsak nå over fiber eller det mobile nettverket, og enda mer blir det når det 4G-nettverket som Telenor og NetCom holder på med, blir utbygd. Det er derfor viktigere enn noen gang at det nettet er så sikkert som mulig. Det gjelder med hensyn til avlytting, men også med hensyn til manipulasjon. Vi må simpelthen ha tillit til dette nettverket. Den utbyggingen blir utført av Huawei, som det har vært snakk om tidligere i dag, som er et kinesisk selskap. Det er ingen tvil om at det er et kompetent selskap. Det er et av verdens største på telekommunikasjonssiden, og det er konkurransedyktig. Anders B. Werp og jeg var på besøk hos selskapet på Fornebu for noe tid siden, og vi fikk et svært godt inntrykk av selskapet, både når det gjelder deres kompetanse og deres evne til å se utbyggingen her i Norge i lys av vårt land.

Imidlertid har det i den senere tid vært fokusert på det faktum at kinesiske myndigheter har omfattende fullmakter til å overstyre, og tilnærmet ubegrenset mulighet til å hente ut informasjon fra telekomselskaper. Det er det som bekymrer oss. Vi vet at kinesiske myndigheter har millimeterkontroll med informasjonsflyt i eget land. Vi vet også, som det har vært referert til tidligere i dag, at både USA, Australia, Canada og Tyskland har sagt nei til at dette selskapet skal få lov til å operere og bygge ut kritisk kommunikasjonsnettverk i landene deres.

Det som bekymrer oss aller mest her, er at vi synes norske myndigheter ikke – og jeg hører hva statsråden sier – har fokusert nok på den kritiske infrastrukturen. Vi vet at PST påpekte at informasjonssikkerhet har lav prioritet i mange norske statlige og private institusjoner. Det synes vi er beklagelig, for dette blir det enda mer fokusert på i et moderne samfunn.

Vi vet at samferdselsministeren sa at hun har tillit til at tilbyderne gjør de nødvendige risiko- og sårbarhetsanalyser ved valg av leverandør. Ja, kanskje snakker vi om en annen type sårbarhetsrisiko i dette tilfellet, for vi snakker ikke om en vanlig risiko knyttet til et produkt. Vi snakker om risikoen for at en annen stats politiske myndigheter kan gjøre inngripen, og det er det vi føler ubehag ved. Vi vet at Storbritannia har innført kostbar analysesoftware som skal forhindre at dette kan gjøres. Med den erfaringen fra programmeringstjenester som jeg hadde over noen år, vet jeg godt at det skal bare noen få linjer i et «statement» i en programvare til for at man enten kan «blanke» ut nettet fullstendig, eller at du kan hente ut informasjon knyttet til enkeltpersoner eller til etater.

Problemstillingen er sektorovergripende, som statsråden sier. Ja, i høyeste grad – dette er en del av cybersikkerheten. Statsråden sier også at hun vil følge nøye med i tiden framover. Det setter vi veldig stor pris på, for det blir viktig. Men hva er gjort for å minimalisere risikoen i dette tilfellet? Det har vi ikke egentlig fått noe svar på. Grenseoppgangen mellom de ulike departementene har statsråden tatt opp. Ja, det er også viktig, men vi føler at det må være en statlig etat, et departement som har ansvaret for å sørge for at dette kommer på plass. Representanten Jan Bøhler sier at dette ikke er knyttet opp mot et spesifikt selskap, men mot noe generelt. Ja, det er generelt også, men i dette tilfellet er det ganske så spesielt.

Vi setter pris på at statsråden sier at hun vil fokusere på det i framtiden, men samtidig vil vi understreke at vi ikke er fornøyd med det fokuset som de ulike statsrådene har hatt fram til nå.

Anders B. Werp (H) [12:55:20]: Jeg takker for debatten og for innleggene. Jeg synes det har vært gode innlegg som understreker både betydningen av og alvoret i saken.

Vi snakker om et tema som er flyktig, i kraft av den teknologiske utviklingen som åpner for nye muligheter, nye anvendelser og nye svakheter så å si hver eneste dag. Vi snakker om et tema som er viktig, fordi det griper inn i folks hverdag, det griper inn i bedrifters virksomhet, og det griper inn i graden av mulighet vi har for å holde ting hemmelig, enten det er på bedriftsnivå, personlig nivå eller samfunnsnivå. Da må vi ha en offensiv regjering. Vi må ha en offensiv politikk på dette området. Det er det Høyre etterlyser, og det er det Høyre mener vi ikke har.

Jeg synes både statsråden og representanten Bøhler fra regjeringskoalisjonen og fra Arbeiderpartiet holdt gode innlegg – ingen tvil om det. Men det ligger likevel en defensiv undertone – vil jeg hevde – hos de rød-grønne partiene i dette temaet. Man er tydeligvis på defensiven, men man ønsker å komme på offensiven. Det er bra.

Neste uke har vi til behandling et representantforslag fra Høyre som går på cybersikkerhet og behovet for bedre koordinert innsats på informasjonssikkerhetsområdet. Det forslaget var fra vår side et forsøk på og et innspill og en invitasjon til Stortinget om å samles om betydningen av nettopp det temaet vi her diskuterer. Vi ønsket å strekke fram en hånd og gi alle partier en mulighet til å si at nå trenger vi en overordnet strategi, vi trenger en koordinering av ansvar på dette feltet, og vi ønsker å forankre det her i Stortinget – for at alle skal få et eierskap til det, og for at alle skal få en mulighet til å følge opp saken aktivt i fortsettelsen – for dette er et tema som ikke tar slutt.

Så ser jeg at regjeringspartiene dessverre ikke tar imot den invitasjonen. Det er mange hyggelige og fagre ord om intensjonene, men man skal gjøre ting på sin måte i apparatet, i byråkratiet og i regjeringen. Det ligger ikke noen spor her, så vidt jeg kan se, om at dette er en sak man kommer til Stortinget med. Det er en svakhet, det er defensivt, det er ikke framtidsrettet, og vi trenger en dyp, grundig og god forankring på dette temaet, for dette berører oss alle sammen, og det berører landets sikkerhet.

Statsråd Grete Faremo [12:58:23]: Jeg vil igjen benytte anledningen til å takke interpellanten for å ha tatt opp dette spørsmålet. Det er en svært viktig debatt, og jeg må innrømme at det var et tema jeg jobbet mye med da jeg selv jobbet i teknologibransjen.

Jeg har fått et klart mandat som justis- og beredskapsminister til å jobbe for å bedre beredskapen, og Justis- og beredskapsdepartementet har fått et tydeligere styrket ansvar for å samordne og være en pådriver i dette arbeidet. Siden det er stilt spørsmål ved om regjeringen derfor drar i gang nye utredninger, har jeg lyst til å si at et av svarene vi allerede har gitt for å styrke dette arbeidet, er å doble ressursene som er satt av til NorCERT. NorCERT har en helt sentral rolle i arbeidet med å hindre cyberangrep og IKT-hendelser. Budsjettene for neste år er altså vesentlig styrket. Også tilsynsrollen er viktig å understreke. NSM har en klar tilsynsrolle også på dette området.

Det er viktig å sikre god balanse mellom sikkerhet og næringsinteresser. Det er noe av bakgrunnen for at det er behov for et robust regelverk på dette området, og å understreke at også teletilbydere har et selvstendig ansvar for å foreta nødvendige risikovurderinger.

Det ble etterlyst når sikkerhetsloven vil bli revidert. Målsettingen er å kunne sende et lovforslag på høring i løpet av neste år, men, som jeg nevnte, vi har allerede iverksatt et arbeid under gjeldende lovverk for å sikre at vi håndterer risiko og sårbarhet på best mulig måte.

Det er flere som har vært innom hvilke tiltak som er gjort i de forskjellige landene. Jeg kan bare si at når det gjelder Tyskland, har de inngått kontrakter med Huawei om leveranser til sin tele- og datainfrastruktur. Det samme har Storbritannia, men vi er ikke kjent med om Huawei i disse sammenhengene har levert kjernekomponenter. Når det gjelder vårt naboland Sverige, har de tillatt bruk av Huawei-komponenter i sin tele- og datainfrastruktur.

Det som er sentralt, er å sikre mekanismer som ikke gjør det leverandøravhengig hvorvidt vi har en sikker kritisk infrastruktur eller ikke.

Marit Nybakk hadde her overtatt presidentplassen.

Presidenten: Sak nr. 7 er ferdigbehandlet.