Presidenten: Etter ønske fra justiskomiteen vil presidenten forslå at taletiden begrenses til 5 minutter til hver gruppe og 5 minutter til medlem av regjeringen.

Videre vil presidenten foreslå at det blir gitt anledning til tre replikker med svar etter innlegg fra medlem av regjeringen, innenfor den fordelte taletiden.

Videre blir det foreslått at de som måtte tegne seg på talerlisten ut over den fordelte taletiden, får en taletid på inntil 3 minutter.

– Det anses vedtatt.

Åse Michaelsen (FrP) [14:55:15]: (ordfører for saken): Representantforslaget, Dokument 8:147 S for 2011–2012, omhandler cybersikkerhet og ikke minst hvordan Norge, som et teknologisk høyt utviklet land, står lagelig til for hogg, i denne nye – jeg vil nesten kalle det – tidsalderen.

Vi hadde en debatt om kritisk infrastruktur i forrige uke, da mange av de viktige momentene ble debattert av mange av justiskomiteens representanter. Komiteen besluttet også å ha høring på representantforslaget, siden vi mente at dette området er så viktig, og ikke minst framtidsrettet, at både kunnskap om og forståelse av kompleksiteten faktisk er alfa og omega for å lykkes. Men komiteen har ikke klart å bli enig om forslaget, der en ber regjeringen framlegge for Stortinget en nasjonal strategi for styrket informasjons- og cybersikkerhet. Kun partiene Høyre og Fremskrittspartiet støtter dette. Regjeringspartiene mener at en slik strategi er i ferd med å bli utredet og vil komme på nyåret. Tja, jeg er nok litt i tvil om dette, ikke minst fordi tidsaspektet her er veldig viktig. Det som gikk bra i dag, kan faktisk være en katastrofe i morgen.

Kunnskapen på cyberområdet må i langt større grad heves for at Norge skal være forberedt på å møte alle utfordringene vi allerede ser. Er vi så forberedt? Fremskrittspartiet mener nei – absolutt ikke.

Sikkerhetstilstanden svekkes fordi risikoen øker, uten at vi følger etter med tiltak. Norge ligger faktisk på europatoppen i antall angrep av virus rettet mot nettbanker. Hvem av oss som sitter i salen her nå, har ikke fått suspekte mailer linket til nettbanken vår? Det sier litt om omfanget.

Næringslivets Sikkerhetsråd viser til at anslagsvis 34 000 såkalte hendelser finner sted hvert år. På bare fire år har NSM – Nasjonal sikkerhetsmyndighet – avdeling NorCERT, tredoblet antallet saker som man vurderer som spesielt alvorlige. Disse har i all hovedsak vært målrettede dataspionasjeangrep mot norske industriselskap som utvikler og produserer avansert teknologi. Bare 1 pst. av disse hendelsene blir rapportert til politiet. Har politiet kunnskap? Tja, men hvem skal man da rapportere til, når noe slikt skjer?

Det er urovekkende at tallene viser en skremmende utvikling der sikkerhetsbevisstheten synker i norske virksomheter, parallelt med at trusselen øker. Norske virksomheter, særlig lederne, mangler kunnskap om informasjonssikkerhet og har ikke oversikt over trusler og hendelser.

Cyberspace har gjort definisjonen av kritisk infrastruktur og trusselbildet langt bredere. Derfor må det på plass informasjonsdeling i et offentlig–privat samarbeid. Deling av informasjon er nøkkelen til suksess, derfor mener Fremskrittspartiet at vi allerede nå kan igangsette ulike incitamenter for å styrke dette samarbeidet. Dette har blitt gjort i Storbritannia, med stort hell.

Men det er ikke bare kunnskap om trusler og sårbarhet dette gjelder. Felles situasjonsforståelse er vel så viktig. Her må vi i langt større grad utvikle råd og retningslinjer samt styrke hendelseshåndteringen. Ja, hvordan skal vi få til det? Jo, vi må tenke helhetlig når det gjelder kunnskapsbygging og kompetanse, og vi må jobbe bredt på flere områder. Vi må tidlig inn blant barn og unge for å gi dem lærdom om datasikkerhet som kunnskapsbygging innen ny teknologi, og gjerne også som en del av undervisningen på skolen.

Videre må vi finne de såkalt kloke hodene som må rekrutteres inn – ikke bare i det private, men ikke minst i det offentlige. Da må det kanskje en del gulrøtter på plass for å sikre seg at disse kan jobbe til beste for hele samfunnet.

Det er mangel på bestillerkompetanse i næringslivet, noe som gjør det ekstra vanskelig å få på plass samhandling og koordinering mellom det offentlige og det private.

Fremskrittspartiet mener at Norge kan bli verdensledende i cybersikkerhet. Vi har høy teknologisk kunnskap, og vi kan snu oss fort. Hvor fort, gjenstår å se.

Når regjeringspartiene nå ikke ser ut til å stemme for noen av forslagene, vil jeg si at tid er det vi har minst av.

Jeg tar med det opp forslagene vi er alene om, og det vi er sammen med Høyre om.

Presidenten: Representanten Åse Michaelsen har tatt opp de forslagene hun refererte til.

Jan Bøhler (A) [15:00:45]: Dette forslaget tar opp et svært viktig tema. Jeg er enig i den beskrivelsen saksordføreren gir av situasjonen med hensyn til alvoret og hvilken trussel dette nye området, cyberkriminalitet, utgjør for samfunnet vårt. Jeg tror tilnærmingen til dette er felles i partiene på Stortinget, slik at det kanskje blir litt unødvendig å sette inn en veldig sterk kritikk mot regjeringspartiene når vi – sånn som jeg forstår det – har fått opplyst at det kommer en strategi nå før jul. Det er vel da ingen grunn til å vedta at man skal be regjeringen fremme en strategi. Det vil statsråden komme nærmere inn på senere i dag.

I hvert fall er det riktig, som det også framgår av budsjettet som vi har behandlet tidligere i dag, at det er en alvorlig situasjon. Man sier at antallet angrep er tredoblet siden 2007, at denne situasjonen utgjør en betydelig utfordring med hensyn til vitale nasjonale sikkerhetsinteresser og samfunnets trygghet, at vi ser målrettede profesjonelle angrep som bare utvikler seg når det gjelder hvor avanserte de er, og at vi har store oppgaver å ta tak i.

Derfor har vi i det budsjettet vi diskuterte tidligere i dag, lagt inn 32 mill. kr til NorCERT, som gir dem nye muligheter til å ha en skikkelig, døgnkontinuerlig drift og til å foreta en bedre analyse av det enkelte angrep. Dermed blir de bedre i stand til å forebygge nye angrep og til å oppklare sammen med politiet og sette i gang etterforskning av angrep som har skjedd.

Det er helt riktig at oppklaringsprosenten på dette området er veldig lav, og det er behov for en stor opptrapping av kapasiteten. Det som også er klart, er at etter at denne strategien er lagt fram, vil den konkretiseres videre i en handlingsplan som er under arbeid. Der vil man gå nærmere inn på hvilke tiltak som trengs for å bygge opp innsatsen og kapasiteten. Det har skjedd forbedringer på den måten at Kripos har fått ressurser til dette. De har satt i gang med en oppbygging for å forbedre evnen til å etterforske og ta tak i disse angrepene – i år. Kripos har fått ny kapasitet. Det er varslet at man skal bygge opp en egen IKT-avdeling i departementet med de ekstra midlene til Justisdepartementet som vi har diskutert tidligere i dag. Politidirektoratet har nå også startet en egen avdeling på dette området. Vi er nødt til å bygge opp kapasiteten over hele linjen – i hele politiet og på andre sektorer. Vi er også nødt til å se disse truslene som en del av hverdagskriminaliteten, som en del av det folk utsettes for – høyt og lavt – landet rundt, ikke bare bedrifter, men også enkeltpersoner. Det betyr at det enkelte politidistrikt og politiet lokalt også må forbedre evnen til å ta tak i disse sakene og vise at de har evne til å oppklare også denne nye formen for hverdagskriminalitet, som jeg vil kalle det.

Det betyr at i politiutdanningen må kampen mot IKT-kriminalitet, cyberkriminalitet, bli viktig. Det betyr at politiet i distriktene må ha kapasitet til ransakelser knyttet til denne typen kriminalitet, for det krever en helt annen kompetanse når man skal ransake beslag, f.eks. i datamaskiner. Den kompetansen ligger i dag først og fremst på Kripos.

Det er en stor oppgave å ruste samfunnet til denne kampen mot cyberkriminaliteten. Det er mange deler det må tas tak i. Blant annet når det gjelder å kunne iretteføre saker, har vi på Stortinget tidligere diskutert datalagingsdirektivet. Der vil nettopp det å kunne lagre dette slik at man kan ta tak i det, etterforske det og få fram informasjon når man får rettskjennelse, det å kunne gå til IKT-selskapene og finne spor som i hvert fall går seks måneder tilbake, være en viktig del av hele offensiven når det gjelder å ta tak i cyberkriminaliteten og etterforske den, iretteføre den og unngå at vi i den grad som i dag er utsatt for disse angrepene.

Anders B. Werp (H) [15:06:04]: Dette representantforslaget fra Høyre har følgende enkle spørsmål som utgangspunkt, nemlig spørsmålet om Norge har en god nok sikkerhet og beredskap på cyberområdet eller når det gjelder informasjonssikkerhet. Høyres svar er at vi mener nei, vi har ikke god nok beredskap.

La meg ta noen eksempler. Nasjonal strategi for informasjonssikkerhet ble formulert i 2003, for snart ti år siden. Mye har skjedd på denne tiden.

For det andre gikk de nasjonale retningslinjene for informasjonssikkerhet ut i 2010, for snart tre år siden. Vi har altså ingen gjeldende retningslinjer for informasjonssikkerhet på nasjonalt nivå.

Ikke nok med det – ansvaret for informasjons- og cybersikkerheten i Norge er fordelt på elleve departementer. Vi er i en situasjon i dag der vi ikke lenge snakker om hvorvidt Norge blir utsatt for et dataangrep. Vi snakker om når Norge kan bli utsatt for et dataangrep. Da må hovedspørsmålet være: Hvem eier den krisen? Da kan ikke svaret være at det er fordelt på elleve departementer, og at det skal håndteres i henhold til en retningslinje som gikk ut for snart tre år siden, i henhold til en strategi som ble formulert for snart ti år siden.

Vi opplever et angreps- og trusselbilde som utvikler seg nesten logaritmisk. Det øker dramatisk for hver dag som går. Denne situasjonen kan vi ikke forholde oss til ved bare å se bakover.

Høyre registrerer – med all respekt for herværende statsråd og hennes departement – at det er FAD som er satt til å håndtere denne saken. Vi stiller oss undrende også til det. Vi hadde en sak oppe til behandling i Stortinget for en uke siden om data- og informasjonssikkerheten i den kritiske infrastrukturen. I løpet av behandlingen av den saken var den innom tre departementer, ikke ett av dem var FAD. Det var Justisdepartementet, det var Forsvarsdepartementet, og det var Samferdselsdepartementet. I denne saken, med så å si samme tema, er det altså FAD som møter i Stortinget for å håndtere og besvare saken. Det i seg selv viser manglene på sammenheng og at det er et åpenbart behov for å koordinere innsatsen og ikke minst tydeliggjøre ansvaret. Det er Høyres inngang i denne saken. Vår inngang er at vi trenger en strategi, håndtert av ett departement som har ansvaret. Vi snakker altså ikke om hvorvidt Norge blir utsatt for et angrep, vi snakker om når nasjonen blir utsatt for et angrep, enten på en bank, på en offentlig institusjon, på vannforsyning eller på strømforsyning. Det er mange angrepspunkter som er sårbare.

Det gjøres mye bra arbeid rundt omkring i de ulike departementene og i de ulike etatene, la det være krystallklart. Men når Høyre fremmer dette forslaget, er det fordi vi på den måten ønsker å invitere Stortinget til en felles politisk dugnad om å møte denne samfunnsutfordringen. Når vi sier at Stortinget ber regjeringen om å utarbeide en strategi, er det en utstrakt hånd for at vi kan få et felles eierskap til denne viktige saken her i Stortinget og ikke bare i forvaltningen. Det samme gjelder ansvarsfordelingen – at denne diskusjonen og dette vedtaket fattes i Stortinget, for at også Stortinget skal ha et medeierskap og et medansvar for prosessen og resultatet.

Så er det med stor skuffelse vi leser regjeringsfraksjonens forslag til vedtak i saken – at dette skal foregå i regjeringen, og at det er regjeringen som skal definere dette og håndtere dette uten Stortingets medvirkning. Det tror Høyre svekker saken. Det tror Høyre kommer til å svekke beredskapen og hvordan vi møter utfordringene framover.

Det blir spennende å høre statsrådens svar, så jeg stopper der.

Statsråd Rigmor Aasrud [15:11:20]: Jeg er enig med forslagsstillerne i at det er viktig med målrettet og forsterket innsats for å bedre informasjons- og cybersikkerheten. Jeg er derfor glad for å kunne meddele Stortinget at bare små detaljer gjenstår før en ny strategi for informasjonssikkerhet er klar. Den gir retning og lister opp hvilke prioriteringer som skal ligge til grunn for myndighetenes informasjonssikkerhetsarbeid.

Strategien dekker hele spekteret av problemstillinger, fra grunnleggende IKT-sikkerhet til beskyttelse av de mest samfunnskritiske informasjonssystemene. Gjennom strategi for informasjonssikkerhet ønsker regjeringen at sikkerhetstilstanden i Norge når det gjelder IKT, skal preges av at

• alle aktører er kjent med risikobildet og sikrer sine systemer og nettet i henhold til dette

• myndighetene legger aktivt til rette for at den nasjonale IKT-infrastrukturen er godt sikret, gjennom rett organisering, tilstrekkelig ressursbruk, gode rammevilkår og effektive tiltak

• private og offentlige virksomheter bygger sikkerhet og robusthet inn i sin informasjonsinfrastruktur for å sikre egen virksomhet og for å beskytte sine kunder og brukere

• den enkelte tar et selvstendig initiativ for å beskytte sin identitet, sitt personvern og sine egne økonomiske verdier på nettet.

For å oppnå dette har regjeringen fastsatt fire overordnede mål for arbeidet med informasjonssikkerhet:

• styrket samordning og felles situasjonsforståelse

• robust og sikker IKT-infrastruktur i samfunnet

• sterk evne til å håndtere uønskede IKT-hendelser

• høy kompetanse og sikkerhetsbevissthet.

Disse overordnede målene er likeverdige. De må følges opp samtidig for å oppnå den tilstanden av sikkerhet som regjeringen ønsker i sin visjon for sikkerhetsarbeidet.

Regjeringen har sju strategiske prioriteringer i arbeidet:

• å ivareta informasjonssikkerheten på en mer helhetlig og systematisk måte

• å styrke IKT-infrastrukturen

• å sørge for en felles tilnærming til informasjonssikkerhet i statsforvaltningen

• å sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser

• å sikre samfunnets evne til å forebygge, avdekke og etterforske datakriminalitet

• å sikre kontinuerlig innsats for bevisstgjøring og kompetanseheving

• å sikre høy kvalitet på nasjonal forskning og utvikling innenfor informasjons- og kommunikasjonssikkerhet.

Strategien angir noen hovedsatsingsområder som bygger opp under disse prioriteringene.

Den nye nasjonale strategien for informasjonssikkerhet blir presentert av justisministeren og meg før jul. Som en naturlig del av arbeidet med strategien har vi også vurdert ansvarsdelingen mellom departementene knyttet til forebyggende IKT-sikkerhet.

Regjeringen er opptatt av å sikre en optimal organisering av arbeidet med samfunnssikkerhet og beredskap. Derfor har regjeringen bestemt at samvirkeprinsippet skal bygges inn som et bærende element, på linje med allerede eksisterende prinsipper om ansvar, nærhet og likhet.

Samvirkeprinsippet stiller krav til at myndighet, virksomhet eller etat har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering.

Det enkelte fagdepartement har et overordnet ansvar for å ivareta sikkerheten i sin sektors IKT-infrastruktur. De skal sørge for at det forebyggende arbeidet med IKT-sikkerheten i sektoren er tilfredsstillende.

Det er regjeringens vurdering av hovedkonklusjonene fra ansvarsgjennomgangen fra 2006 bør stå fast. Dette gjelder spesielt vektleggingen av sektorenes ansvar, Samferdselsdepartementets ansvar for ekomnett og -tjenester, herunder Internett, og Forsvarsdepartementets ansvar for militær sektor.

Samtidig har regjeringen bestemt at samordningsansvaret for forebyggende IKT-sikkerhet skal overføres fra Fornyings-, administrasjons- og kirkedepartementet til Justis- og beredskapsdepartementet. Ved å samle mer av ansvaret i Justis- og beredskapsdepartementet vil faren for dobbeltarbeid og uklare roller bli redusert.

Mitt departement skal fortsatt ha et samordningsansvar for informasjonssikkerhet i statsforvaltningen. Samtidig har vi styrket og tydeliggjort mitt departements rolle når det gjelder IKT-sikkerhet i staten.

Justis- og beredskapsdepartementet og Fornyings-, administrasjons- og kirkedepartementet vil komme med en utdypning av ansvarsfordelingen i en kongelig resolusjon.

Vi får nå på plass en nasjonal strategi for informasjonssikkerhet, og vi er i ferd med å sluttføre den oppfølgende handlingsplanen. Jeg kan derfor forsikre representanten fra Høyre om at regjeringen har både vilje og gjennomføringsevne på dette viktige feltet.

Presidenten: Det blir replikkordskifte.

Åse Michaelsen (FrP) [15:16:32]: Ja, tid er en viktig faktor – den aller viktigste faktoren her. Vi har jo også diskutert tidligere – som sagt i forrige uke – dette med aldersaspektet. Da er vi inne på etter- og videreutdanning av mange ledere og beslutningstagere som sitter rundt om både i det private, i det offentlige, i statsforvaltningen osv.

Når denne strategien nå om kort tid blir lagt fram, er jeg jo litt interessert i å høre: Hvilke tiltak blir da foreslått når det gjelder sikkerhet og bruk av dataverktøy osv. av representantene her på huset? Ligger det inne noen føringer i forhold til representantene her på Stortinget? Jeg vil jo si at vi er som åpne bøker, de fleste av oss.

Statsråd Rigmor Aasrud [15:17:29]: Jeg er enig med representanten i at det er viktig at vi har god kompetanse når det gjelder IKT generelt, og særlig IKT-sikkerhet. Derfor skal jeg nå legge fram en stortingsmelding om veldig kort tid der IKT-kompetanse og digital kompetanse blir sentralt.

Så har vi mange utdanningsinstitusjoner i Norge som er gode på IKT, og også gode på IKT-sikkerhet. Blant annet er Høgskolen i Gjøvik, som er omtalt i flere stortingsmeldinger, god på dette.

Så har ikke vi noen ambisjoner om å gjennomføre noen egne opplæringsprogrammer for representantene her på huset. Jeg mener det må være et ansvar for enhver arbeidsgiver å sørge for at deres medarbeidere har den nødvendige kompetansen. Men jeg tror det er viktig at flere arbeidsgivere har fokus nettopp på det med kompetanse, og at man sørger for at man har forståelse for det. Fortsatt er det jo sånn at noen av de største sikkerhetstruslene i Norge er bruken, som vi som enkeltmennesker har – med minnepinner og e-poster som kommer og åpnes.

Åse Michaelsen (FrP) [15:18:37]: I representantforslaget ligger det et forslag fra Fremskrittspartiet og Høyre som går i mye større grad på å vurdere bruken av datasikkerhet i skolen, slik at en får en bevisstgjøring av barn og unge når det gjelder databruk. Det gjelder både med hensyn til det kriminelle og den biten som er innenfor området for justis, hvordan en både kan beskytte seg og være i forkant av hvordan en bruker dataverktøyet i det daglige.

Ser statsråden at dette også er viktig å få inn for å ha en form for tidlig innsats overfor våre barn og unge, slik at en forholder seg til dette på rett måte?

Statsråd Rigmor Aasrud [15:19:30]: Kunnskap om digitale verktøy er jo en av de grunnleggende ferdighetene som elever i grunnskolen skal gjennomgå. Det er viktig at man har gode utdanningsmuligheter og kunnskapsmuligheter i skolen for at man skal få kunnskap om det.

Så viser det seg vel dessverre at noe av det som er utfordringen nå, ikke nødvendigvis er de yngste. Vi har jo tjenesten slettmeg.no, som mitt departement har hatt ansvaret for. Det er dessverre sånn at det er vi godt voksne som kanskje er minst bevisst når det gjelder å bruke en del digitale verktøy, og som sånn sett skaper utfordringer. Så det er et pågående prosjekt å sørge for at vi alle har den nødvendige kompetansen.

Jeg mener at i virksomheter er det et lederansvar å sørge for både å ha nødvendig kunnskap selv som leder og også å sørge for at det blir gjennomført prosjekter i organisasjonen som bygger opp om sikkerhet. Der finnes det gode prosjekter, bl.a. hadde NorSIS et prosjekt i forbindelse med sikkerhetsmåneden.

Anders B. Werp (H) [15:20:46]: Det er selvfølgelig bra at regjeringen jobber med en strategi for informasjonssikkerhet. Vi fant det første sporet av at man har startet det arbeidet, i en artikkel 2. oktober i år. Det vi også vet, er at det gjennom flere år har vært et pågående arbeid med å oppdatere de i mitt innlegg nevnte nasjonale retningslinjer for informasjonssikkerhet.

Mitt første spørsmål er: Er det en sammenheng i det arbeidet som så langt har vært gjennomført med disse retningslinjene, som overføres til arbeidet med strategi – altså at strategien er basert på grunnlagsarbeidet i retningslinjene?

Det andre spørsmålet er: Hvilke tanker har statsråden om involvering av Stortinget i å forankre den kommende strategien?

Statsråd Rigmor Aasrud [15:21:51]: På det første spørsmålet som representanten Werp stiller, er svaret ja. Vi tar med oss de erfaringene vi har gjort. Det er også slik at regjeringen ikke har sittet stille. Vi har for det første prolongert den strategien som vi hadde, det har vært retningslinjer som har vært gyldig gjennom hele perioden. Så har vi tatt grep, vi har styrket NorCERT, vi har etablert et cyberforsvar – en egen enhet innenfor Forsvaret som er et viktig element i dette. IKT-sikkerhet er en viktig del av stortingsmeldingen om samfunnssikkerhet som ble lagt fram. Vi legger nå fram den nye strategien, og vi har bevilget nye penger til dette.

En av grunnene til at vi ikke har lagt fram strategien enda, er at vi hadde denne saken, og jeg så fram til å få mange gode innspill fra Stortinget. Ellers mener jeg at det er regjeringens ansvar å legge fram den strategien, og jeg er glad for at det er satt på dagsordenen her i dag, og håper at mange kommer med gode innspill i debatten.

Presidenten: Replikkordskiftet er omme. Flere har ikke bedt om ordet til sak nr. 8.