Nasjonal IKT-sikkerhet for svak

Svikt i IKT-systemer kan ramme både kraftforsyning og annen infrastruktur i samfunnet. Det er behov for nytenking rundt det offentliges rolle i det nasjonale IKT-sikkerhetsarbeidet, mener forskere. 

Foto: Bjarne Røsjø, BR Media
Foto: Bjarne Røsjø, BR Media

BAS5 – Critical Information Infrastructure Protection

Doktorgradsstipendiat:
Janne Hagen: Forsker ved FFI, stipendiat ved Universitetet i Oslos Institutt for informatikk og Norwegian Information Security laboratory (NISLAB) ved Høgskolen på Gjøvik

Viktige publiseringer:

  • H. Fridheim, J. Hagen, «Beskyttelse av samfunnet 5: Sårbarhet i kritiske IKT-systemer – sluttrapport», FFI/RAPPORT–2007/01204, 2007
  • Senter for risikostyring og samfunnssikkerhet (SEROS ), «Utvikling av metodikk for risikoanalyse av samfunnskritisk IKT», SEROS–Rapport nr 91892, 2007.
  • S . Henriksen, K. Sørli, L.Bogen, «Metode for identifisering og rangering av kritiske samfunnsfunksjoner», FFI/RAPPORT–2007/00784, 2007

 

 – Utgangspunktet for BAS5-prosjektet var at IKT er blitt veldig viktig for vårt moderne samfunn, og vi vet at en svikt i sentrale systemer vil skape enorme problemer. Hva skal vi gjøre for å unngå at IKT-problemer fører til at strømmen går, trafikken stanser eller at penger ikke blir utbetalt?

- Vi har ikke noe godt svar på disse problemene i dag. Sikkerhetstenkningen bør inn i en kontinuerlig prosess på nasjonalt plan, sier forsker Håvard Fridheim ved Forsvarets forskningsinstitutt  (FFI).

FFI startet sitt første prosjekt i serien «Beskyttelse av samfunnet» (BAS) i 1994, og publiserte blant annet en rapport om IKT i 1999 med konkrete forslag til nasjonale tiltak og strategier. ‘

– På den tiden hadde verken mobiltelefoni eller internettbruk tatt helt av, det var fortsatt slik at nesten alle brukte bare fasttelefon. I dag går utviklingen enda fortere enn for ti år siden, og hvis vi lagde en tiltaksliste nå ville den fort bli utdatert, påpeker Fridheim.

Et mer generelt nivå

I BAS5-prosjektet (2004–2007) har forskerne derfor løftet problemstillingene opp på et mer generelt nivå. Prosjektmedarbeiderne har utviklet en metodikk og en prosess for identifisering og prioritering av kritiske samfunnsfunksjoner og IKT-systemer.

Det er også utviklet en prosess for risikoanalyser av samfunnskritisk IKT, i form av et rammeverk som understøtter valg av analysemetoder og en veileder for støtte til personer som skal gjennomføre risikoanalyser.

Doktorgradsstipendiaten Janne Hagen er dessuten i ferd med å vurdere metodikker for effektivitetsvurderinger av tiltak som kan redusere sårbarheter i IKT-systemer.

BAS5 har vært et samarbeidsprosjekt mellom flere forskningsinstitusjoner samt myndigheter og offentlige og private virksomheter, og for eksempel Kredittilsynet har allerede tatt inn informasjon fra prosjektet i sine veiledere.

Den viktigste anbefalingen

– Den viktigste anbefalingen fra FFI i forlengelsen av BAS5 er at det bør etableres nødvendige rammebetingelser for at det kan gjennomføres kontinuerlige og metodisk baserte arbeidsprosesser innen arbeidet med nasjonal IKT-sikkerhet, sier Fridheim.

Forsker Håvard Fridheim,(FFI)
Forsker Håvard Fridheim,(FFI)

 Han påpeker at det blant annet er vanskelig å se en helt klar målsetting med sikkerhetsarbeidet i Norge i dag.

– Dette er en stor og tung problemstilling som blant annet henger sammen med at Norge har et sterkt sektorprinsipp i forvaltningen. Det ene departementet har ansvaret hvis det skjer noe innen kraftforsyningen, et annet departement har ansvaret hvis det skjer noe i teletjenestene, og så videre.

- Midt oppe i dette har vi IKT som griper inn i alle sektorer, og man har ikke gitt noe fullgodt svar på hvordan IKT-sikkerhet på tvers skal ivaretas. Dette er for øvrig ikke noe særnorsk fenomen, forklarer Fridheim.

Tidligere statsminister og fylkesmann Kåre Willoch har foreslått at det bør etableres et slags sikkerhetsdepartement som kan koordinere det nasjonale krise- og beredskapsarbeidet, og det synes Fridheim er en interessant tanke.

– Men forslaget innebærer også en del utfordringer. Hvor skulle man for eksempel sette grensen for et slikt departement? Det ville jo få et veldig stort nedslagsfelt hvis det skulle gå inn i alle sektorer, innvender han.

FFI-rapporten peker derfor på et stort behov for nytenking.

– Det offentlige hadde tidligere en sterk rolle i den nasjonale infrastrukturen, ikke minst fordi man eide store deler av den. Men i dag har det skjedd en deregulering som har medført at det isteden er private aktører som eier samfunnsviktig infrastruktur.

- Dessuten er jo de norske myndighetenes mulighet til å regulere for eksempel internett på globalt nivå ganske begrenset, for å si det mildt. Derfor er det nødvendig med en debatt om hva man ønsker å oppnå, mener Fridheim.

Mer informasjon:

Forskningsrådets program: IKT sikkerhet og sårbarhet (IKTSOS)  

Forsvarets forskningsinstitutt (FFI) 

Powered by Labrador CMS