Stortinget - Møte tirsdag den 10. april 2018

Dato: 10.04.2018
President: Tone Wilhelmsen Trøen
Dokumenter: (Innst. 187 S (2017–2018), jf. Meld. St. 38 (2016–2017))

Innhold

Sak nr. 2 [11:12:06]

Innstilling fra justiskomiteen om IKT-sikkerhet. Et felles ansvar (Innst. 187 S (2017–2018), jf. Meld. St. 38 (2016–2017))

Talere

Presidenten: Etter ønske fra justiskomiteen vil presidenten foreslå at taletiden blir begrenset til 5 minutter til hver partigruppe og 5 minutter til medlem av regjeringen. Videre vil presidenten foreslå at det – innenfor den fordelte taletid – blir gitt anledning til fem replikker med svar etter innlegg fra medlem av regjeringen, og at de som måtte tegne seg på talerlisten utover den fordelte taletid, får en taletid på inntil 3 minutter.

– Det anses vedtatt.

Lene Vågslid (A) [] (komiteens leiar og ordførar for saka): I dag behandlar me den fyrste stortingsmeldinga om IKT-tryggleik, og dette er ei viktig melding. Me ligg langt framme i Noreg med digitale løysingar, og det gjev landet vårt og innbyggjarane våre nye og raske moglegheiter for tenester, samtidig som det òg gjer landet vårt meir sårbart. Det er positivt at det blir lagt fram ei melding som samlar kunnskapen som ligg føre på dette feltet. Og eg vil takke komiteen for eit godt samarbeid med saka.

IKT-tryggleik på eit overordna plan handlar om å beskytte den enkelte borgar og nasjonen som heilskap mot digitale sårbarheiter og angrep. I tillegg er god datatryggleik og godt personvern essensielt for at befolkninga skal ha tillit til IKT-systema.

Trusselvurderinga viser at framande statar er villige til å bruke verkemiddel for å få tilgang til sensitiv og skjermingsverdig informasjon og påverke politiske, økonomiske og forvaltningsmessige avgjerder. Det er store økonomiske tap knytte til IKT-kriminalitet, og i tillegg skjer det ei rekkje gonger at IKT-system sviktar på grunn av menneskelege feil, programvarefeil, utstyrsfeil, naturhendingar eller ein kombinasjon av desse, som er godt beskrive i denne meldinga.

Noreg er eit av dei mest digitaliserte landa i verda, og det er avgjerande, etter komiteens syn, at samfunnet får tilgang til kunnskap og ei større bevisstgjering om sårbarheiter i det digitale rommet. Komiteen støttar derfor regjeringa sitt arbeid med å leggje til rette for eit styrkt samarbeid på tvers av private og offentlege verksemder, mellom sivile og militære verksemder, på tvers av landegrenser, for å avdekkje og redusere digital sårbarheit i samfunnet.

Under høyringa til saka fekk justiskomiteen mange veldig gode innspel. Fleire aktørar var tydelege på at dei meinte at dette var ei god melding, men at ho ikkje var konkret nok. Fleire av dei som var på høyring, peikte på at analysane gjort av Lysne 1-utvalet ikkje var vidareførde i tilstrekkeleg nok grad. Og fleirtalet i komiteen, som består av Arbeidarpartiet, Senterpartiet og SV, har teke til seg mange av desse innspela og fremjar derfor òg veldig mange forslag til saka i dag.

Ein svakheit eg vil trekkje fram, er at meldinga ikkje anerkjenner at både enkeltindivid og små verksemder kan ha avgrensa kapasitet til å sikre seg mot truslar på det digitale feltet. Fleirtalet i komiteen er derfor kritiske til at det ikkje er føreslått tiltak for å redusere denne sårbarheita. Kunnskap om IKT-tryggleik er avgjerande for bevisstgjering og førebygging, og denne kunnskapen er av stor betyding for å kunne fremje ein kultur for sikker åtferd.

Me meiner at staten bør årleg ta ansvar for at viktig styringsinformasjon blir innhenta, og føreslår det. Me støttar òg Abelia sitt innspel om at Stortinget bør drøfte behovet for ein folkeopplysningskampanje som har som målsetting å gjere IKT-tryggleikskulturen i Noreg betre.

Eg og fleirtalet i komiteen er bekymra for mangelen på IKT-kompetanse. Det same gav ei rekkje av aktørane i høyringa uttrykk for. Nå har eg ikkje tid til å gjere greie for alt, ein kan jo sjå det i merknadene, men eit par av forslaga som me fremjar i dag, handlar bl.a. om at IKT-tryggleik må prioriterast i neste langtidsplan for forsking og høgare utdanning, og at alle elevar gjennom grunnskulen får erfaring med programmering, og at dette arbeidet startar allereie på barneskulen.

Det har ei stund vore mykje merksemd knytt til mangelen på kandidatar som kan tryggleiksklarerast og utdannast til kryptologar. Det er ei krise under oppsegling innanfor kryptografi, som òg kom tydeleg til uttrykk under høyringa til denne meldinga. Fleirtalet i komiteen, som fortsatt er Arbeidarpartiet, Senterpartiet og SV, meiner ein treng konkrete tiltak for å auke rekrutteringa av ph.d.-kandidatar som kan tryggleiksklarerast.

Det er noko ueinigheit i komiteen om både omfanget av og bruken av tenesteutsetjing, eller «outsourcing» på godt norsk. Eg vil vise til merknadene til Arbeiderpartiet både i denne saka og i sikkerheitslova, Prop. 153 L for 2017–2018, der me tydeleg slår fast at informasjon knytt til nasjonale tryggleiksinteresser må påleggjast å bli både drifta og lagra i Noreg.

Så er det ein inkurie i innstillinga: Arbeidarpartiet skal òg stå inne i det forslaget frå Senterpartiet som omtalar òg lagring når det gjeld nasjonale tryggleiksinteresser, og kjem til å stemme for det under voteringa i dag.

Presidenten: Kanskje representanten vil ta opp forslagene?

Lene Vågslid (A) []: Det vil representanten.

Presidenten: Da har representanten Lene Vågslid tatt opp de forslagene hun refererte til.

Frida Melvær (H) []: Eg vil gje mykje ros til den systematiske og heilskaplege tilnærminga regjeringa syner i IKT-sikkerheitsmeldinga. Dei teknologiske framstega er utan tvil viktige reiskapar for vår samla verdiskaping og vekst og ikkje minst for beredskapen i landet vårt. Det gjer kvardagen vår enklare og tryggare, men det er òg slik at dei teknologiske framstega gjer oss sårbare og utfordrar oss som enkeltmenneske og som samfunn.

Digitalt sårbarheitsutval, Lysne-utvalet, avdekte i arbeidet sitt sårbarheit på ei rekkje område som det er viktig å ta på alvor. Ulike erfaringar har synt oss at risikobildet har endra seg på mange område dei seinare åra. Det er grunnleggjande viktig at verksemder og privatpersonar har tillit til at system og nettverk fungerer slik det skal, ikkje minst at personvernet til den enkelte vert teke i vare.

Den raske digitaliseringa har ført til eit større behov for å tilpasse og tydeleggjere reguleringar og lovverk. Den nyleg vedtekne sikkerheitslova tek opp i seg og har vorte meir tilpassa dei nye utfordringane. Tydlege krav til kva som skal leggjast til grunn ved sikkerheitsgraderte anskaffingar er m.a. nedfelt i lova. For verksemder som forvaltar kritisk infrastruktur, men som fell utanfor sikkerheitslova, vil IKT-sikkerheitsutvalet vurdere om det er behov for ytterlegare reguleringar utover det som alt finst av IKT-sikkerheitsregelverk.

Det kan vere krevjande for verksemder å innrette seg etter omfanget av alle anbefalingar og krav på dette området. Regjeringa vil gjennom den komande handlingsplanen til ein nasjonal strategi for IKT-sikkerheit leggje til rette for at verksemder på ein enkel måte kan vurdere og prioritere tiltak innanfor IKT-sikkeheit ut frå verksemda sin storleik og modningsnivå.

Regjeringa set i verk fleire viktige tiltak for å kunne avdekkje og handtere digitale angrep. Dette arbeidet er avhengig av eit godt samspel mellom myndigheiter, sektormiljø og offentlege og private verksemder. Samvirket mellom aktørane er styrkt gjennom etableringa av eit nasjonalt rammeverk. Ei utgreiing av korleis eit digitalt grenseforsvar kan etablerast og lovregulerast er under arbeid. Eit felles cyberkoordineringssenter vart etablert i mars 2017 for å auke nasjonen si evne til å motstå alvorlege digitale angrep. Etableringa av eit nasjonalt cyber crime-senter ved Kripos, for å ruste politiet til å handtere kriminalitet på og mot nettet, er i gang.

Politiet generelt har fått styrkt kapasitet og kompetanse, fått moderniserte og oppgraderte politimetodar og er no meir til stades for å fange opp og avdekkje kriminelle handlingar i det digitale rommet.

Det er ei prioritert sak å byggje opp kompetanse innanfor IKT generelt og IKT-sikkerheit spesielt. I påvente av kompetansestrategien for IKT-sikkerheit, som er under arbeid, har regjeringa alt sett i verk ei rekkje viktige tiltak.

Opposisjonen etterlyser auka rekruttering av ph.d.-kandidatar som kan sikkerheitsklarerast. Då må dei kanskje òg ta med seg at ein fyrst må opparbeide eit godt rekrutteringsgrunnlag gjennom eit større tilfang av potensielle kandidatar. Regjeringa har auka det årlege opptaket til IKT-utdanningar med 1 250 studieplassar på bachelor- og masternivå. Det vert gjort ein viktig jobb i universitets- og høgskulemiljøa for å rekruttere studentar til desse plassane, noko som vi ser resultat av.

I 2018 har regjeringa øyremerkt 22 rekrutteringsstillingar til IKT med vekt på IKT-tryggleik. Og sidan 2015 er det løyvd meir enn 350 mill. kr til satsinga Eit trygt informasjonssamfunn i regi av IKTPLUSS ved Noregs forskingsråd. Dette vil bidra til fleire kandidatar på ph.d.-nivå og meir forsking m.a. innanfor kryptologi. Òg i grunnskulen og i vidaregåande opplæring vert læreplanane i desse dagar gjennomgåtte for å tilpasse dei til framtida.

Eg vil til slutt formidle på vegner av Høgre og Framstegspartiet at vi ikkje støttar dei forslaga som ligg føre frå komiteen. Ikkje fordi vi er usamde i alt som er fremja, men fordi vi ser på forslaga som å slå inn opne dører. Det meste av det som er føreslått, er alt sett i verk eller er under utgreiing – eller ein vil detaljstyre, noko vi ikkje har ein tradisjon for.

Himanshu Gulati (FrP) []: Jeg vil gjerne begynne med å si at det er veldig hyggelig å være tilbake i Stortinget etter tre måneders permisjon for å delta på sjefskurs i Forsvaret. Det er også noe jeg kan anbefale alle mine medrepresentanter på det sterkeste å gjøre.

Jeg vil også gjerne gratulere vår nye justisminister, Tor Mikkel Vara, som er til stede her i dag.

Det er en viktig melding vi behandler i dag. Når vi snakker om truslene innenfor IKT og cyberdomenet, snakker vi ikke om framtiden, vi snakker om nåtiden. Sannheten er at nesten enhver skrekkscenariomulighet som kan beskrives, ikke er noe som er framtidens utfordring, men noe vi er utsatt for allerede i dag, dog kanskje i mindre omfang enn vi kan forvente å se i framtiden. Dette har vi blitt skrekkelig påmint også i vårt eget lille land den siste tiden. Helse Sør-Øst-saken er ett eksempel, der PST offentlig har sagt at de har mistanke om at andre land eller statlige aktører kan stå bak. Vi så i fjor et svært angrep på mange bedrifter, som fikk sine filer kidnappet av såkalt ransomware og måtte betale løsepenger for å få tilgang til dem igjen. Vi har også sett hvordan dataangrep fysisk kan ødelegge harde installasjoner av diverse typer. Det mest ekstreme – men på ingen måte utenkelige – er å bruke dataangrep til å kontrollere ting som ender med at liv kan gå tapt.

Jeg vil også nevne at NATO nylig har slått fast at et cyberangrep kan utløse en artikkel 5-situasjon, nemlig at et cyberangrep på en av våre allierte kan regnes som et angrep på hele alliansen.

NHOs sikkerhetsråd gjennomfører hvert år en mørketallsundersøkelse. I 2014 svarte 5 pst. av de intervjuede virksomhetene at de var hacket eller forsøkt hacket, mens det reelle tallet var over 50 pst. Ved samme undersøkelse i 2016 svarte 27 pst. av virksomhetene at de var utsatt for hacking, og at de visste at de var det. Nesten halvparten svarte at de oppdaget dette ved en tilfeldighet.

Dette er bare ett eksempel på den utfordringen vi står foran, og dens omfang. Framtidens organiserte kriminalitet, terror, utpressing og diverse andre store utfordringer for samfunnet vil trolig skje på IKT-feltet. Dette er ingen skremselspropaganda, men et forsøk på å beskrive den virkeligheten vi står og vil stå overfor. Og angrepene vil skje der beskyttelsen er svakest.

IKT-meldingen legger opp til en systematisk gjennomgang av de mange feltene som er utsatt i dette bildet. Lysne-utvalget har gjort en omfattende, prisverdig og viktig jobb for å ta tak i dette og for å forberede oss best mulig.

Jeg vil også berømme regjeringen for å framheve enkelte helt avgjørende faktorer for at vi skal lykkes med å være bedre beskyttet i framtiden. Det gjelder viktigheten av samarbeid med næringslivet og de private aktørene. Det kan ikke understrekes nok hvor viktig dette er, da mye kritisk informasjon og mange av angrepene nettopp er rettet mot næringslivet. Uten dette samarbeidet kan vi ikke lykkes.

Et annet viktig element er internasjonalt samarbeid. Vi er tross alt et lite land i en verden med store trusler, og sammen med våre venner og allierte får vi et mye riktigere og mer dekkende bilde, som gjør oss sikrere, ikke minst ved inntrengningsforsøk. Det er både naivt og urealistisk å tro at vi kan gjøre alt dette alene, og uten dette samarbeidet er vi dårligere beskyttet.

En annen ting jeg vil nevne, er viktigheten av ikke å lukke dørene og stenge oss selv inne, for den digitale hverdagen vi er en del av og nyter godt av, skyldes innovasjon og teknologiutvikling som ikke hadde vært mulig uten møter mellom selskaper på tvers av landegrensene. Dette er et fundamentalt gode, og selv om truslene blir mer kompliserte ved den digitale verdenen vi lever i, gjør samarbeid på tvers av landegrenser oss tryggere og bedre i stand til å møte disse utfordringene.

Aller sist vil jeg nevne styrking av politiet for å kunne håndtere og etterforske kriminalitet på cyberdomenet. Dagens og morgendagens kriminelle er ikke lenger først og fremst røvere som løper med ransutbyttet på gata, litt etter en gammel, nostalgisk modell fra Kardemomme by, de sitter gjerne et helt annet sted enn der ugjerningen rammer. Politireformen var et første og avgjørende steg for å gjøre politiet mer tilpasset dagens virkelighet, men vi må styrke politiets evner og kapabilitet enda mer på dette feltet.

Målet med tiltakene i denne meldingen er å redusere sårbarheten i samfunnet hva gjelder IKT, og å gjøre oss bedre i stand til å avdekke og håndtere angrep. Denne meldingen er et viktig stykke arbeid, men det er likevel bare starten på noe jeg tror vi kommer til å jobbe mye med i årene framover.

Emilie Enger Mehl (Sp) []: Det er positivt at Stortinget nå behandler den første stortingsmeldingen om IKT-sikkerhet. IKT-sikkerhet er en viktig del av vår nasjonale sikkerhet, og det er et område som kommer til å bli stadig viktigere med tiden, i takt med at samfunnet blir stadig mer digitalisert. Allerede i 2017 ble Norge kåret til verdens mest digitale land, og vi er nødt til å legge et grunnlag for at landet vårt skal ha nødvendig kompetanse og sikkerhet på dette området, både nå og i framtiden.

Den digitale utviklingen har gitt oss mange muligheter. Digitaliseringen bidrar til verdiskaping og vekst, og kan på mange måter bidra til et sikrere samfunn. Samtidig medfører digitalisering stor risiko, og det kreves aktiv politikk for å begrense denne risikoen i størst mulig grad. Det er særlig et politisk ansvar å sikre innbyggernes personopplysninger, nasjonale interesser og kritisk infrastruktur. Det er også et politisk ansvar å sørge for forebygging og god håndtering av uønskede hendelser som kan få store økonomiske og sikkerhetsmessige konsekvenser, både for personer og for samfunnet.

Selv om Senterpartiet er positive til at regjeringen har lagt fram en melding om IKT-sikkerhet, mener vi også at det er områder hvor meldingen kunne ha vært langt sterkere. Justiskomiteens flertall bestående av Senterpartiet, Arbeiderpartiet og SV har fremmet en rekke forslag som kan gjøre Stortingets behandling av IKT-sikkerhetsmeldingen mer konkret og mer forpliktende. Jeg håper at vi får flertall for flest mulig av de forslagene her i dag.

For det første er det et stort behov for IKT-sikkerhetskompetanse, og det behovet er voksende. Justiskomiteens flertall har fremmet forslag om å sikre nødvendig kompetanse om IKT-sikkerhet hos alle kandidater med IKT-utdanning. Vi har foreslått å innføre bedre etter- og videreutdanningstilbud på fagskoler, universiteter og høyskoler innen IKT- og datasikkerhet. Vi ønsker at digitalisering og IKT-sikkerhet skal prioriteres i neste langtidsplan for forskning og høyere utdanning, og at alle elever gjennom grunnskolen skal få erfaring med programmering.

I dag er det en kritisk mangel på kandidater som kan sikkerhetsklareres og utdannes til kryptologer. Det er en krise under oppseiling. Derfor vil vi styrke rekrutteringen av ph.d.-kandidater som kan sikkerhetsklareres.

Dette er alle viktige tiltak som vil legge til rette for at vi kan ha den IKT-sikkerhetskompetansen vi trenger i Norge i framtiden.

Regjeringspartiene synes å dele vårt syn på at det er nødvendig med bedre IKT-sikkerhetskompetanse i Norge. Derfor synes jeg det er veldig synd at ikke partiene vil støtte forslagene våre, som legger til rette for akkurat det. Når vi nå engang behandler en stortingsmelding om IKT-sikkerhet, ville det ha vært naturlig å få på plass forpliktende planer om å sikre nettopp framtidens IKT-kompetanse. Norge har et av de mest digitaliserte samfunnene i verden, og hvis digitalisering fremdeles skal være vår styrke og ikke vår svakhet, har vi ikke råd til å sakke akterut på IKT-sikkerhetsområdet.

Et annet tema Senterpartiet er opptatt av, er lagring og drift av data. Senterpartiet mener at man ikke skal være ukritisk til tjenesteutsetting når det gjelder sensitiv og skjermingsverdig informasjon. Vi mener at svært sensitive personopplysninger og opplysninger som berører nasjonale sikkerhetsinteresser, må lagres og driftes i Norge. Ved eventuell lagring av andre data i utlandet må det på plass klarere krav til vurdering av sårbarhet og risiko, og den vurderingen må også omfatte lovverk og sikkerhetssituasjon i landet det skal settes ut til.

I tillegg må IKT-sikkerhetsmeldingen ses i sammenheng med sikkerhetsloven. Det er nå slik at sikkerhetsloven bare dekker noen typer virksomhet, selv om det kan være like stort behov for sikkerhets- og sårbarhetsvurderinger på andre områder. Senterpartiet mener det er behov for klarere regler, klarere rammer for sikkerhets- og sårbarhetsvurderinger i virksomheter som forvalter bl.a. kritisk infrastruktur, men som faller utenfor sikkerhetslovens område.

Jeg vil ta opp forslagene nr. 6, 8 og 9 i saken.

Presidenten: Da har representanten Emilie Enger Mehl tatt opp de forslagene hun refererte til.

Petter Eide (SV) []: Som vi hører, er alle sammen fornøyd med at vi nå får en melding om IKT-sikkerhet. Det er bra. En slik sak skal ha oppmerksomhet. Men enigheten i denne sal er såpass stor, og intensjonen er såpass delt, at det er relativt liten oppmerksomhet om dette ute.

Den digitale utviklingen er et gode, men samtidig kan den også være en forbannelse. Det er kanskje vi spesielt opptatt av. Store mengder sensitive data kan samles inn og lagres, og kan lett komme på avveier og bli misbrukt til formål vi ikke liker. Senest de siste par ukene er vi blitt kjent med – og det er tilstøtende til dette vi diskuterer i dag – at personlig informasjon om over 80 millioner brukere av Facebook har kommet på avveier og blitt misbrukt til politiske formål. Derfor er det også bra og riktig at Stortinget i etterkant av behandlingen av denne meldingen får en melding om behandlingen av personvern. Disse tingene grenser noe inn mot hverandre.

Et overordnet mål for arbeidet med IKT er å sikre gode, trygge og stabile leveranser, men også å sikre at sensitiv informasjon ikke kommer på avveier. Det er to forhold jeg vil ta opp rundt dette. Det ene er behovet for å stramme inn bruken av utsetting av IKT-tjenester. Det andre er å sikre at innsamlingen av persondata gjennom Forsvaret er lovlig.

Det er noe uenighet i komiteen i debatten om graden av å sikre IKT-tjenester i Norge. Vi mener at bruk av norske leverandører gir noe bedre vern mot at informasjon skal komme på avveier. Utsetting av statlige IKT-tjenester, spesielt til utenlandske selskaper, øker risikoen for sårbarhet og at flere som ikke skulle ha fått tilgang til sensitiv informasjon, faktisk får det. Her er det mange forhold som spiller inn, både det rent avstandsmessige – det er en opplagt praktisk fordel at sensitiv informasjon om norske borgere kan forvaltes innenfor norske grenser – og også juridisk. Denne typen informasjon bør ivaretas innenfor norsk jurisdiksjon.

Det vil også lette etterforskningen hvis noe skulle gå galt. Det er nok å vise til saken i Helse Sør-Øst, om hvordan personinformasjon fra norske pasienter er kommet på avveier. Saken etterforskes nå av PST. Dette er en vanskelig etterforskning, fordi den omhandler lovverk i flere land.

Jeg vil også ta opp at vi er bekymret over persondata om norske borgere som er samlet inn gjennom E-tjenestens lyttestasjoner på Ringerike. Dette går inn i denne saken, og vi har også laget noen forslag til behandlingen av denne meldingen. NRK varslet 2. mars i år at store mengder data ble samlet inn og lagret av Forsvarets etterretningstjeneste. I forbindelse med det ble det uklart om det faktisk var lovlig. Både lederen av EOS-utvalget, Eldbjørg Løwer, og fagdirektøren i Norges nasjonale institusjon for menneskerettigheter, Anine Kierulf, reiste tvil om lovligheten av denne datainnsamlingen av personinformasjon.

I lov om etterretningstjenesten står det:

«Etterretningstjenesten skal ikke på norsk territorium overvåke eller på annen fordekt måte innhente informasjon om norske fysiske eller juridiske personer.»

Det har de altså likevel gjort.

Vi mener derfor at det er behov for en avklaring av hvorvidt E-tjenesten har hjemmel i etterretningstjenesteloven til å lagre metadata som bl.a. inneholder informasjon om norske borgere. Etterretning og overvåking i en digitalisert tidsalder må skje etter en klar lovhjemmel og på veldig strenge vilkår. Vi har derfor også bedt forsvarsministeren om å komme til Stortinget for å redegjøre for dette, og om dette faktisk er lovlig.

Vi har i forbindelse med denne saken bedt regjeringen klargjøre hvorvidt etterretningstjenesteloven § 3 gir hjemmel til å samle inn data, til å operere innenfor kommunikasjonsetterretning i Norge.

Og med det tar jeg opp SVs forslag.

Presidenten: Da har representanten Petter Eide tatt opp det forslaget han refererte til.

Kjell Ingolf Ropstad (KrF) []: Vi lever i en tid der den teknologiske utviklingen går svært raskt. Bare de ti siste årene har det vært en rivende utvikling. Norge er et av de mest digitaliserte landene i verden. Da er det helt avgjørende at vi setter i verk tiltak for å minimere sårbarheten knyttet til sikkerheten i det digitale rom. Bevisstgjøring blant enkeltindivider, kompetansehevende tiltak og krav til IKT-sikkerhet på tvers av bransjer og systemer er helt sentralt. Jeg er derfor glad for stortingsmeldinga som regjeringa nå har lagt fram, og som vi diskuterer her i dag. Meldinga tar for seg de utfordringene vi står overfor, på en god måte og danner et godt grunnlag for hvilke tiltak som må iverksettes. Jeg vil derfor starte med å gi ros til regjeringa, som har satt i gang mye godt arbeid som vil kunne bidra til å redusere den digitale sårbarheten i samfunnet.

God IKT-sikkerhet er viktig for samfunnet generelt og for den enkelte. Det er helt avgjørende at vi sikrer oss mot at informasjon kommer på avveier og at kritiske systemer faller sammen. IKT-sikkerheten må derfor styrkes både på og mellom flere plan og på ulike nivå – herunder på tvers av offentlige og private virksomheter, mellom sivile og militære virksomheter og på tvers av landegrenser. Kristelig Folkeparti støtter, i likhet med en samlet justiskomité, regjeringas arbeid for å styrke samarbeidet for å redusere digital sårbarhet i samfunnet.

Flere høringsinstanser har uttrykt behov for styrket samarbeid mellom offentlige og private virksomheter knyttet til IKT-sikkerhet. De ulike sektorene har ulik kompetanse, kunnskap og kapasitet, men har likevel mange av de ulike utfordringene og er gjensidig avhengig av at systemene fungerer på en god måte. Det er derfor positivt at regjeringa legger til rette for at man kan dra nytte av hverandres erfaringer og kompetanse ved å opprette et felles forum for offentlig-private virksomheter. Dette vil kunne bidra til å styrke arbeidet med IKT-sikkerhet i samfunnet.

Skal vi sikre oss mot trusler i det digitale rom, er det viktig at tiltakene er tilgjengelige og overkommelige for oss som enkeltindivider og for små virksomheter med begrenset kapasitet og kompetanse. Det er derfor positivt at regjeringa i den kommende handlingsplanen til Nasjonal plan for IKT-sikkerhet kommer med tiltak rettet mot små virksomheter og enkeltindivider. Dette arbeidet må følges nøye for å sikre at tiltakene oppfyller intensjonen om å minimere sårbarheten i samfunnet generelt.

Skal vi møte framtidas utfordringer – og da utfordringer som per i dag ikke er kjent – må vi styrke kompetansen innenfor IKT og spesielt innenfor IKT-sikkerhet. Kompetanse er helt avgjørende for at vi skal kunne utvikle gode systemer som minimerer sårbarheten, og for å kunne vurdere og analysere risiko og sårbarheten i det digitale rom. Jeg er glad for at regjeringa allerede har satt i verk tiltak. Det er helt avgjørende at vi innenfor dette området har kloke hoder som kan sikre oss mot ulike trusler, både når det gjelder analyse, og på systemnivå. Det må derfor komme på plass flere studie- og ph.d-plasser innenfor IKT-sikkerhet, samtidig som etter- og videreutdanningen må styrkes.

Jeg varsler at Kristelig Folkeparti kommer til å støtte forslagene til vedtak I, V, VI og XI. Grunnen til at vi ikke støtter alle, selv om vi støtter intensjonen i mange av dem, er at noen er for detaljerte, mens når det gjelder andre, vet vi at det er et godt arbeid på gang allerede.

Statsråd Tor Mikkel Vara []: Digitalisering er positivt for oss alle, enten det er som borgere, som bedrift eller Norge som nasjon. En viktig forutsetning for en vellykket digitalisering er at det må skje innenfor en ramme hvor også IKT-sikkerhet ivaretas i alle sektorer og i alle ledd. Etter at Justis- og beredskapsdepartementet overtok samordningsansvaret for IKT-sikkerhet i 2013, har det vært fokusert mye på å etablere systematisk tilnærming til området og på kunnskapsutvikling. Nettopp det å nedsette et uavhengig sårbarhetsutvalg, Lysne-utvalget, som utelukkende så på digitale sårbarheter, var et svært viktig tiltak i denne prosessen, og ikke minst satte det IKT-sikkerhet skikkelig på dagsordenen.

Stortingsmeldingen om IKT-sikkerhet er også den første stortingsmeldingen som utelukkende handler om IKT-sikkerhet. Dette i seg selv mener jeg viser at vi prioriterer dette feltet høyere enn det som har vært tidligere. Vi er mer framoverlent, og vi ønsker å løfte dette viktige området. Det er ikke uten grunn at stortingsmeldingen fikk navnet «IKT-sikkerhet – Et felles ansvar». Vi har alle en felles interesse av og ansvar for å sikre våre verdier. Utfordringen i det digitale rom er grenseoverskridende for nasjonalstater, for sektorer og for virksomheter. Utviklingen går svært fort, så selv om vi blir bedre på mye, krever det en kontinuerlig omstilling og økt oppmerksomhet. Myndighetene er derfor helt avhengig av samarbeid og partnerskap for å finne de gode løsningene. Justiskomiteen tiltrer flere vedtak for å øke kompetansen på IKT-sikkerhet. Regjeringen er også svært opptatt av kompetansegapet på områder, og at kompetansetilbudet må dekke arbeidslivets behov. Regjeringen har derfor igangsatt en rekke tiltak for å møte kompetanseutfordringen, som jeg kan komme tilbake til under debatten.

Tjenesteutsetting er et annet dagsaktuelt tema. Det er viktig å understreke at tjenesteutsetting kan gi bedre sikkerhet, mer tilgjengelighet, innovative tjenester samt lavere kostnader. Men det forutsetter at virksomhetene har tilstrekkelig kompetanse og oversikt over risikobildet for at sikkerheten ivaretas og at nødvendige tiltak iverksettes. En tjenesteutsettelse må derfor alltid vurderes på bakgrunn av en risikovurdering hvor flere hensyn tas.

Vi skal heller ikke glemme at Norge selv har grønne datasentre som et satsingsområde, noe som krever at vi tar inn over oss internetts globale og grenseløse natur. I innstillingen etterlyses det klarere regler og rammer for risiko og sårbarhetsvurderinger og nasjonale krav til slike vurderinger for virksomheter som forvalter kritisk infrastruktur. Mye kritisk infrastruktur vil bli bedre sikret gjennom ny sikkerhetslov. I tillegg jobber vi med EUs NIS-direktiv og har nedsatt et IKT-sikkerhetsutvalg som ser på behovet for ytterligere regulering.

Det er et stort behov for å utvikle politiets kapasitet og kompetanse for å forebygge og bekjempe IKT-kriminalitet. Et viktig steg har vært at Kripos har igangsatt etableringen av et nasjonalt cyberkrimsenter. Dette vil bli en viktig pilar i arbeidet for bedre etterforskning, bevissikring og metodeutvikling i norsk politi. For å legge ytterligere trykk på arbeidet med IKT-sikkerhet i Norge utarbeider vi en ny nasjonal strategi for IKT-sikkerhet med en tilhørende handlingsplan. I prosessen med strategien og handlingsplanen legger vi særlig vekt på en åpen og inkluderende prosess. Som en viktig del av dette ble det arrangert en strategikonferanse 6. mars hvor over 300 personer fra både offentlig og privat virksomhet deltok. Regjeringen mener det er viktig med en bred inkludering for å bidra til god forankring, eierskap og oppfølging av strategien og handlingsplanen, på tvers av både privat og offentlig sektor.

Jeg vil avslutte innlegget med å understreke at personvern og IKT-sikkerhet er helt nødvendige forutsetninger for en vellykket digitalisering av det norske samfunnet. Det er nødvendige forutsetninger for å bevare våre verdier, vårt demokrati og vår velferd. Det er til syvende og sist dette som er kjernen i de temaene som er adressert i stortingsmeldingen.

Presidenten: Det blir replikkordskifte.

Lene Vågslid (A) []: I dag veit me at IKT-kriminaliteten er sterkt aukande. Det er ein trussel mot folks tryggleik. Samtidig veit me at politidistrikta ikkje er godt nok rusta til å møte denne kriminaliteten per i dag, og at den krevjande ressurssituasjonen i distrikta vil gjere det krevjande å byggje gode miljø mot IKT-kriminalitet i heile landet. Derfor er mitt spørsmål til statsråden kvifor ikkje IKT-kriminalitet er ein meir sentral del av meldinga, og kva statsråden vil gjere for å setje politidistrikta i betre stand i kampen mot IKT-kriminalitet.

Statsråd Tor Mikkel Vara []: IKT-kriminalitet er et prioritert område. Det er også derfor regjeringen har tatt initiativ til at Kripos får et nasjonalt cybersenter for bekjemping av kriminalitet. Men akkurat IKT- og cyberkriminalitet er eksempler på ting som ikke passer inn i den gamle politimodellen med lensmenn og lensmannskontorer, men hvor det er viktig å ha fagmiljøer som er sterke og gode, og noen ganger også nasjonale. Det viktigste her er at vi må ta utgangspunkt i de truslene som foreligger, og hvilken kompetanse vi trenger, og så må vi sørge for å ha det. Dette er et prioritert område, men det er ikke gitt at dette skal skje på alle tjenestesteder.

Lene Vågslid (A) []: Eg takkar for svaret.

Eit anna tema me tek opp i saka, er at enkeltindivid og små verksemder har avgrensa kapasitet til å sikre seg mot truslar på det digitale feltet. Me har òg sagt i merknadene at me er kritiske til at det ikkje er føreslege konkrete tiltak for å redusere sårbarheita til denne gruppa. Dette kom òg veldig tydeleg fram under høyringa me hadde om denne saka. Så spørsmålet mitt til statsråden blir: Korleis vil statsråden sørgje for at befolkninga får tilgang til kunnskap og dermed aukar bevisstheita om sårbarheita i dei digitale romma?

Statsråd Tor Mikkel Vara []: Denne stortingsmeldingen er ett av tiltakene som starter et lengre løp for å spre, advare og lære opp om IKT-sikkerhet i befolkningen. Det skal komme flere initiativ. Det kommer konferanser, og vi planlegger en handlingsplan. Det er helt opplagt sånn at vi kan ikke gjøre alt – vi må invitere næringslivet til å være med. Men vi har en plikt til å sørge for at næringslivet er engasjert i dette spørsmålet, også de små bedriftene.

Lene Vågslid (A) []: Under justiskomiteens høyring fekk me eit konkret innspel frå Abelia, der dei ønskte at Stortinget drøfta moglegheita for ein folkeopplysningskampanje. Det er eit forslag me fremjar i dag, og som regjeringspartia ikkje støttar. Kan statsråden svare på kvifor ein ikkje kan støtte eit slikt forslag?

Statsråd Tor Mikkel Vara []: Nå får vi denne stortingsmeldingen gjennom, og det er naturlig for oss å vurdere alle mulige tiltak som skal følge den. Men det blir kanskje vel detaljstyrt, eller spesielt, å bestemme seg for spesielle typer kampanjer. Det viktigste her nå er at vi må avdekke hvor det er det gjenstår behov og mangler, og hvordan vi når det. Det kan hende det er en kampanje, men det kan også hende det er skole, det kan også hende det er den ordinære utdanningen, og det kan også hende at det er andre kurs og konferanser som er viktig. Det viktigste er å nå målet og å begynne med det før man velger virkemidlene.

Emilie Enger Mehl (Sp) []: Vi har sett eksempler på store sikkerhetsskandaler i tilknytning til tjenesteutsetting og personopplysninger. I f.eks. Helse Sør-Øst-saken fikk utenlandske IT-arbeidere, uvedkommende, tilgang til pasientdata for 2,8 millioner av våre innbyggere – og det skjedde uten at foretaket var informert.

Dette gjelder så mange av våre innbyggere, og Senterpartiet er helt tydelig på at svært sensitive personopplysninger må lagres og driftes i Norge, for folk må kunne stole på at deres opplysninger ikke kommer på avveier. Det er vårt ansvar som storting å gi føringer for det.

Dessverre er ikke regjeringen enig, og derfor er mitt spørsmål til statsråden: Hvordan vil regjeringen egentlig sikre at sensitive personopplysninger som lagres og driftes fra utlandet, ikke kommer på avveier?

Statsråd Tor Mikkel Vara []: Jeg mener det har vært flere eksempler på beslutninger om tjenesteutsetting der risikovurderingene har vært mangelfulle og burde vært bedre. Men det viktigste er at vi stiller klare krav, har klare kriterier og er gode på det.

Noe helt annet er et forslag som i prinsipp fastslår at dataene skal lagres i det landet som de kommer fra. Jeg vil minne om at det skal plasseres ut nærmere 200 datasentre innen 2020 i Europa. Norge har kastet seg på og invitert en rekke av bedriftene til å lagre i Norge. Lefdal i Sogn og Fjordane, Rennesøy i Rogaland, Vennesla, ja Svalbard, har alle sendt lokalpolitikere og satt i gang kampanjer for å få lagring til Norge. Dersom det blir et vedtak om at vi ikke skal lagre andre steder enn i Norge, må vi også ringe disse lokalpolitikerne og si at de kan stoppe kampanjen for å invitere arbeidsplasser til distriktene.

Emilie Enger Mehl (Sp) []: Det er ikke sånn at vi ikke skal lagre noe data i utlandet. Regjeringen åpner jo for lagring av data i utlandet. Det jeg spør om, er: Hvordan vil man sikre, når slik lagring skjer, at opplysninger ikke kommer på avveier?

Noe annet er at det vi snakker om nå, er at våre svært sensitive personopplysninger ikke skal til utlandet. Det betyr ikke at vi ikke kan lagre annen type data i Norge. Dette er to forskjellige saker.

Statsråd Tor Mikkel Vara []: Det er vanskelig å invitere utenlandske selskaper og utlendinger til å komme til Norge og lagre sine data, samtidig som vi har som prinsipp at våre data ikke skal lagres utenfor landet.

Jeg skjønner at det kan være et prinsipp – det er greit – men hvis det prinsippet får flertall, kan man fra Norge ikke lenger reise rundt og invitere utenlandske selskaper. Jeg vil minne om at Facebooks initiativ for å lagre data i Luleå kommune kan gi 4 500 arbeidsplasser i Nord-Sverige. Det er disse initiativene forslaget om et prinsipp som stadfester datalagring i Norge, vil kunne ødelegge.

Presidenten: Replikkordskiftet er omme.

De talere som heretter får ordet, har en taletid på inntil 3 minutter.

Lene Vågslid (A) []: Sjølv om det ikkje er slik at all kriminalitet i Noreg har flytta seg frå det fysiske rommet til det digitale, aukar det i omfang. Me ser det mot IKT-systema i seg sjølve, men me ser det òg når det gjeld seksuallovbrot, ID-tjuveri, bedragerisaker m.m. Kriminelle nettverk blir stadig meir sofistikerte i kommunikasjonen, og cyberangrep utgjer ein stadig større trussel mot både enkeltpersonar, bedrifter og staten. Det vil krevje ei styrking av politiet, totalt sett, for å møte desse endringane i kriminalitetsbiletet.

I replikkordskiftet her i stad fekk eg nesten eit inntrykk av at politidistrikta ikkje skal drive med IKT-kriminalitet. Eg trur ikkje det var det statsråden meinte, men eg kunne godt tenkje meg å utfordre statsråden litt på å utdjupe kva han meiner med det. For sjølv om me får større politidistrikt og lensmannskontorstrukturen endrar seg, vil det vere heilt avgjerande at det blir arbeidd aktivt med kriminalitet både mot nettet og på nettet, og at ein får kompetanseheving og fleire tilsette rundt om i heile landet. Så det kunne eg godt tenkje meg ei utdjuping av.

Det blir gjort veldig mykje godt arbeid i politiet. Me kjenner òg til fleire tiltak som er sette i verk, eller som i alle fall burde ha vore det. Me har fått fleire gode eksempel frå Oslo-politiet, der ein bl.a. seier at nettpatruljen som skal etablerast, vil krevje mannskap. Lagring av innhenta og beslaglagd informasjon er ei anna utfordring, då datamengda aukar og lagringskapasiteten er for liten. Både politi og sivilt mannskap med IKT-kompetanse er mangelvare over heile landet, og det kjem til å koste mykje pengar med tanke på fagutvikling, kursing og etterutdanning. Det er etter Arbeidarpartiets syn difor heilt nødvendig å gjenta det me har sagt i mange debattar det siste året, at me må få til ei reell styrking av politiet og politidistrikta. Me føreslår òg i saka at regjeringa må leggje fram ein plan som synleggjer politiets arbeid med IKT-kriminalitet og korleis dette skal finansierast.

Så meiner fleirtalet i komiteen at det er bra med ei satsing på eit eige nasjonalt senter for å førebyggje og kjempe mot IKT-kriminalitet, men me understrekar at midlane til eit slikt senter ikkje kan takast frå politidistrikta.

Magne Rommetveit hadde her teke over presidentplassen.

Emilie Enger Mehl (Sp) []: Jeg blir litt bekymret når jeg stiller spørsmål til statsråden om hvordan han vil sikre at personopplysninger som er lagret i utlandet, ikke kommer på avveier, og han vrir det over til å handle om at vi ikke får arbeidsplasser i Norge, for det er ikke saken. Saken er den at når det skal settes ut lagring og drifting av sensitive personopplysninger til utlandet, er det noe Senterpartiet i utgangspunktet er svært skeptisk til, men regjeringen går likevel inn for å gjøre det. Da mener vi at det må stilles klare krav når det skal skje. Statsråden kunne ha vært for våre forslag om å kreve klarere regler for sårbarhetsvurderinger og for risikovurderinger ved utsetting av data til utlandet.

Representanten Melvær sa i sitt innlegg at grunnen til at de ikke er med på våre forslag, er at vi slår inn åpne dører. Da stusser jeg litt over at statsråden ikke nevnte det i sitt svar til meg. Bestillerkompetanse og klare retningslinjer før man setter ut tjenester til utlandet som berører svært sensitive personopplysninger, er helt avgjørende for at folk i Norge skal kunne føle seg trygge på at deres opplysninger ikke kommer på avveier.

Det handler ikke bare om personopplysninger alene. Det handler også om infrastruktur og opplysninger som berører nasjonale sikkerhetsinteresser. I stad nevnte jeg Helse Sør-Øst-skandalen fordi personopplysninger kom på avveier, men det som også skjedde i Helse Sør-Øst-skandalen, var at utenlandske IT-arbeidere fikk tilgang til oversikt over vår infrastruktur, som igjen gir muligheter for sabotasje og sikkerhetstrusler mot norske interesser. Vi har sett det også i andre saker. Vi har sett at utenlandske IT-arbeidere har fått tilgang til deler av vårt nødnettsystem. Det er utfordringer som jeg mener at statsråden burde ta på alvor. Jeg håper han kan komme på talerstolen igjen og gi meg bedre svar på hvordan regjeringen vil sikre våre sikkerhetsinteresser.

Statsråd Tor Mikkel Vara []: Denne regjeringen mener at det skal være bedre bestillerkompetanse. Det er ingen tvil om, etter mitt syn, at dette har sviktet ved flere anledninger. Vi har ikke vært gode nok på dette. Vi må sørge for at man ved tjenesteutsetting har kompetanse og stiller de kravene som er nødvendige. Å forlange det er å slå inn åpne dører – noe helt annet er å fastsette et prinsipp om at all lagring av sensitive opplysninger skal skje i Norge.

Til et spørsmål som ble reist: Selvfølgelig skal alle politidistrikt ta dette på alvor, men det er opp til distriktene å organisere hvordan man vil få mest mulig ut av dette, for dette er på mange måter en veldig kritisk kompetanse når det gjelder den alvorlige cyberkriminaliteten.

Jeg er enig i at politiet over hele landet er nødt til å ta inn over seg den nye digitale hverdagen, og det har jeg forstått at man kommer til å gjøre. Jeg tror det blir like vanlig å få digitale politipatruljer på nettet som det er å se patruljer rundt omkring i gatene i dag. Men dette er et nybrottsarbeid, hvor man må utvikle nye metoder for å være der. Vi står overfor alvorlig kriminalitet, som vi må ha høy kunnskap om, og vi snakker om det å patruljere nettet for å fange opp ting, både gjennom forebyggende initiativ og ved å se hva som rører seg blant unge.

Lene Vågslid (A) []: Det er, som representanten Enger Mehl frå Senterpartiet nemnde, avdekt fleire alvorlege episodar knytt til informasjonstryggleik den siste tida. Både Helse Sør-Aust-saka og naudnettsaka ser ut som grelle eksempel på det. Difor er Arbeidarpartiet imot ideologisk driven outsourcing, og at ein ikkje lyttar til fagfolk i sin eigen verksemd som slår alarm, og me er for eit tydeleg regelverk. Difor står me saman med Senterpartiet og SV for at eit system som handterer data knytt til nasjonale tryggleiksinteresser, skal driftast frå Noreg, og informasjonen skal lagrast i Noreg. Me står saman for at det må vere klare krav til risiko- og sårbarheitsvurderingar ved ei eventuell lagring av data i andre land, og for at regjeringa burde ha fremja ei sak om å redusere nasjonal sårbarheit.

Sjølv om me delar bekymringa for sensitive personopplysningar på avvegar, ser ein av innstillinga i saka at Arbeidarpartiet ikkje støttar dette eine forslaget som Senterpartiet og SV står bak. Sensitive personopplysningar blir i dag forvalta av både offentlege myndigheiter, organisasjonar, næringslivet og ikkje minst innanfor forsking. Forslaget frå Senterpartiet og SV er etter vårt syn veldig vidt formulert, og konsekvensane, f.eks. når det gjeld forsking, er noko uklare. Kva for opplysningar det gjeld, og kven det vil omfatte, går ikkje fram, og på det grunnlaget er det ikkje mogleg for oss å støtte akkurat det forslaget.

Eg vil takke Kristeleg Folkeparti for at dei er med på å danne eit fleirtal bak fleire av dei gode forslaga som me har fremja i salen i dag.

Til slutt: Eg er glad for oppklaringa frå justisministeren om politidistrikta, men det er der kjernen i min kritikk ligg, at me no er i ein situasjon der politidistrikta står i ei enorm omstilling og i ei reform samtidig som handlingsrommet er svært avgrensa. Enkelte politidistrikt seier at det ikkje er noko handlingsrom.

Når det gjeld arbeidet med IKT-kompetanse, er me litt «på hæla». På dette området vil det vere behov for mange fleire debattar i denne salen, både når det gjeld politiutdanninga i framtida, og når det gjeld behovet for etterutdanning og kursing. Men det vil òg vere avgjerande at ein ute i distrikta har både kapasitet og moglegheit til å drive det viktige arbeidet innanfor dette feltet. Her kjem Arbeidarpartiet til å vere knallhard i sin kritikk heilt fram til regjeringa eventuelt legg fram eit forslag som kan stå i stil med det behovet som er der ute i politidistrikta i Noreg. På dette området føler eg dessverre at me får utfatteleg lite gehør, så dette blir ikkje siste gongen eg masar om dette frå denne talarstolen.

Himanshu Gulati (FrP) []: Det har vært mye snakk om lagring av opplysninger på en god måte og tjenesteutsetting. Jeg vil derfor presisere at det er viktig å se IKT-meldingen i sammenheng med den nylig vedtatte sikkerhetsloven, hvor det i forarbeidene er gjort grundige vurderinger av hva som skal legges til grunn ved bl.a. sikkerhetsgraderte anskaffelser. Den vedtatte loven stiller krav til sikkerhetsavtaler, leverandørklarering, varslingsplikt, sikkerhetsgraderte anskaffelser, en rekke avtaler, osv., som må være på plass for at denne typen anskaffelse skal kunne skje. Det er viktig å se dette i sammenheng med den meldingen vi nå behandler, for å forstå helheten og de kriteriene som legges til grunn for å sørge for at ting gjøres på en ordentlig og trygg måte.

Jeg nevnte også tidligere at innovasjon og teknologiutvikling ofte skjer i møtet mellom selskaper på tvers av landegrenser, og vi er avhengig av et tillitsbasert nasjonalt og internasjonalt samarbeid for å utvikle morgendagens teknologi og løsningene på de utfordringene vi har. IKT-sikkerhet er viktig uavhengig av om opplysninger lagres i Norge eller i utlandet. Ting kan også lagres på en bedre måte i utlandet. Mitt poeng er at vi må ha trygge måter å gjøre dette på, uavhengig av hvor opplysningene lagres, både av hensyn til tryggheten for våre innbyggere og for å kunne framstå som attraktive når vi ønsker å være et vertsland for datasentre og den typen virksomhet. Så det er viktig at vi har trygg IKT-lagring uavhengig av hvor det skjer. Det er også viktig at vi ikke ser oss blinde på kun IKT-meldingen, men at vi faktisk ser det i sammenheng med sikkerhetsloven og andre relevante regler som vi har vedtatt.

Presidenten: Fleire har ikkje bedt om ordet til sak nr. 2.