Skriftlig spørsmål fra Ulf Isak Leirstein (FrP) til justis- og beredskapsministeren

Dokument nr. 15:1102 (2016-2017)
Innlevert: 11.05.2017
Sendt: 12.05.2017
Besvart: 16.05.2017 av justis- og beredskapsminister Per-Willy Amundsen

Ulf Isak Leirstein (Uav)

Spørsmål

Ulf Isak Leirstein (FrP): Mener statsråden regjeringen nå er i ferd med å ta igjen etterslepet på ikt- sikkerhet som har bygget seg opp under tidligere regjeringer, og hva vil statsråden gjøre for å styrke dette arbeidet ytterligere?

Begrunnelse

Nettsidene til Politiets sikkerhetstjeneste (PST) har vært nede siden onsdag ettermiddag. Det dreier seg trolig om hacking, bekrefter PST overfor TV 2. Det er alltid alvorlig at norske myndigheter utsettes for digitale angrep, men det er spesielt alvorlig når hackingen rammer de hemmelige tjenester. Regjeringen har en offensiv holdning når det gjelder ikt-arbeid i justissektoren, men det er viktig at denne satsningen prioriteres og videreføres.

Per-Willy Amundsen (FrP)

Svar

Per-Willy Amundsen: Fredag 12. mai ble det kjent at løsepengeviruset blant annet kjent under navnet «WannaCry», er spredt til datamaskiner over hele verden. Det ondsinnede programmet utnytter kjente sårbarheter, krypterer filene på datamaskinen, og brukerne får ikke tilgang uten å betale løsepenger. Ifølge informasjon Nasjonal sikkerhetsmyndighet har mottatt fra samarbeidspartnere utnyttes en kjent sårbarhet i Microsoft. Dataangrepet aktualiserer viktigheten av å ha oppdatert program- og maskinvare. Å ha god IKT-sikkerhet er et ansvar som påhviler alle virksomheter.

I Meld. St. 10 (2016–2017) Risiko i et trygt samfunn, lagt frem for Stortinget i desember 2016, blir IKT-sikkerhet trukket frem som ett av regjeringens sentrale områder innenfor samfunnssikkerhet. Sentrale tiltak for å avdekke og håndtere digitale angrep er å videreutvikle varslingssystem for digital infrastruktur og etablere et nasjonalt rammeverk for digital hendelseshåndtering. For å motstå de mest alvorlige digitale angrepene er det viktig med et godt samarbeid mellom Nasjonal sikkerhetsmyndighet, Politiets sikkerhetstjeneste og Etterretningstjenesten. Felles cyberkoordineringssenter, der ressurser fra de tre tjenestene er samlokalisert, ble opprettet 31. mars 2017.

Et annet sentralt tiltak i meldingen er å vurdere etablering av et nasjonalt regelverk som gir enhetlig og tverrsektoriell regulering på IKT-sikkerhetsområdet. Arbeidet vil sees i sammenheng med EUs direktiv om tiltak for et felles sikkerhetsnivå i nettverks- og informasjonssystemer (NIS-direktivet), og vurderinger fra Sikkerhetsutvalget. Videre skal regjeringen utarbeide en ny nasjonal strategi for IKT-sikkerhet. Strategien skal angi regjeringens mål og strategiske prioriteringer innenfor IKT-sikkerhetsområdet. I tillegg skal det utarbeides en handlingsplan.

I Meld. St. 10 (2016–2017) Risiko i et trygt samfunn ble det også varslet at regjeringen vil utarbeide en stortingsmelding om oppfølging av NOU 2015:13 Digital sårbarhet – sikkert samfunn (Lysneutvalget). I den kommende stortingsmeldingen gis en oversikt over status på myndighetenes vurdering og oppfølging av anbefalinger fra utvalget. Videre gis en oversikt over prioriteringer i det videre oppfølgingsarbeidet. Regjeringen vil også vektlegge utvalgte tverrsektorielle områder av særlig betydning for nasjonal IKT-sikkerhet, blant annet tiltak for å avdekke og håndtere digitale angrep.

Alle virksomheter har ansvar for å ivareta egen IKT-sikkerhet, noe som presiseres i den kommende stortingsmeldingen om IKT-sikkerhet. Videre har hver enkelt statsråd et overordnet ansvar for å ivareta IKT-sikkerheten i egen sektor. Justis- og beredskapsdepartementet har samordningsansvaret for IKT-sikkerhet i sivil sektor, et ansvar som ble presisert i Kgl.res. av 10. mars 2017. Norge som samfunn vil ha mange utfordringer innenfor IKT-sikkerhet fremover, og det må først og fremst løses ved at alle ivaretar sitt ansvar på IKT-sikkerhetsområdet. Justis- og beredskapsdepartementet skal være en pådriver for at det skjer gjennom å utforme regjeringens politikk for IKT-sikkerhet, herunder etablere nasjonale krav og anbefalinger på IKT-sikkerhetsområdet for både offentlige og private virksomheter.

Som del av dette ansvaret, sendte Justis- og beredskapsdepartementet i januar 2016 brev til alle departementene der det ble informert om NSMs erfaringer fra tilsyn og IKT-hendelser. Hensikten var å oppfordre departementene til å følge opp NSMs anbefalte tiltak innenfor egen sektor. En av anbefalingene er å oppdatere program- og maskinvare. I den årlige sikkerhetsrapporteringen for 2016 ba Justis- og beredskapsdepartementet departementene rapportere på oppfølgingen av NSMs anbefalte tiltak. Rapporteringen viser at styringsdialogen i stor grad benyttes aktivt for å formidle NSMs anbefalte tiltak og at disse vurderes som en kritisk forutsetning i arbeidet med å få etablert en god grunnsikring. Dataangrepet «WannaCry» aktualiserer viktigheten av å ha oppdatert program- og maskinvare.

Status på hendelsen om nedetid av PSTs nettsider

Spørsmålsstilleren viser i sin begrunnelse til at PSTs nettsider på grunn av et tjenestenektangrep mot PSTs eksterne driftsleverandør var utilgjengelige for publikum i perioder fra ettermiddagen onsdag 10. mai til angrepet ble avsluttet ettermiddagen fredag 12. mai. Et tjenestenektangrep utføres ved å benytte en mengde infiserte datamaskiner verden over til å sende store trafikkmengder mot en nettjeneste, slik at denne blir utilgjengelig så lenge angrepet pågår.

PST opplyser at verken nettsidene eller PSTs interne datasystemer ble utsatt for hacking, og ingen har dermed tatt kontroll over nettsidene. PST opplyser videre at deres interne IKT-systemer ikke var påvirket av angrepet.

PST har bevisst benyttet en ekstern leverandør av driftstjenester for tjenesten PST.no, for å unngå at angrep av ulike typer skal påvirke kritiske interne IKT-systemer. Driftsleverandøren har anmeldt angrepet til Oslo politidistrikt. PST jobber sammen med leverandøren for å øke robustheten mot slike angrep.