Norge er altfor naive i møte med truslene fra Russland og Kina

I dag arrangeres IKT-Norges årskonferanse hvor nettopp disse spørsmålene belyses. Vi har kalt konferansen “Kode Rød”. Det er et begrep som er kjent både fra klimakrise og global oppvarming og covid-pandemien. Vi mener at det også er på tide å varsle “kode rød” når det gjelder trusselbildet mot Norge og norsk infrastruktur.

Den siste trusselvurderingen fra PST, NSM og E-tjenesten sier rett ut at Russland og Kina systematisk – og ved bruk av digitale og hybride virkemidler – jobber for å svekke det norske demokratiet, påvirke politiske beslutninger, påvirke den norske opinionen, begrense ytringsfriheten til enkeltpersoner, svekke norske myndigheters legitimitet i befolkningen og svekke vår sivile og militære evne til å håndtere kriser.

Alt for mange grelle eksempel

I stedet for en kraftig styrking på bakgrunn av trusselvurderingene, har Norge nedprioritert cybersikkerhet, og gitt russiske og kinesiske myndigheter direkte eller indirekte tilgang til vital norsk infrastruktur.

• Russland og Kina har gjennomført vellykkede og skadelige angrep mot Stortinget – uten at det har fått konsekvenser
• Et bannlyst russisk it-selskap ble samme året invitert til å sjekke kildekoden til det norske valgsystemet av Valgdirektoratet.
• Norske sykehus og helseforetak bruker programvare som ble utdatert i 2015 og har opplevd alvorlige datainnbrudd, trolig fra statlige aktører.
• Russland gjennomfører en systematisk kartlegging av norsk infrastruktur langs kysten fra “forskningsfartøy”, “lastebåter” og “luksus yachter”. Til tross for kraftige reaksjoner fra eksperter, fortsetter Norge å sertifisere rekordmange russere slik at de kan seile langs norskekysten uten los.
• Fiberkabelen til Svalbard er kuttet. Vi vet at en russisk “tråler” kjørte 32 ganger frem og tilbake over kabelen før den røk. Allikevel er saken henlagt.
• En norsk overvåkningskabel på 4,2 km er “sporløst” borte
• Russland gjennomførte et vellykket dataangrep mot universitetet i Tromsø
• Det har det vært en rekke vellykkede angrep på flere norske kommuner, mediehus og kjøttsamvirket Nortura.

Når vi i tillegg vet at Riksrevisjonen har påpekt alvorlige mangler i cybersikkerheten i det norske strømnettet, og NVE mener kraftbransjen mangler oversikt over hvilke IKT-systemer, enheter og programvare som brukes, sier det seg selv at vi er i en alvorlig situasjon.

Dette er kun noen utvalgte hendelser, men i sum viser dette et Norge som har vært alt for naive og godtroende.

Fortsetter det slik uten at vi tar de rette grepene, kan resultatet bli svært alvorlig. Derfor er det kode rød.

Hva nå?

Vi trenger en systematisk gjennomgang av sikkerheten i norsk infrastruktur og i sentrale offentlige instanser. Det er en god start at Stortinget har vedtatt å trappe opp bevilgningene til cybersikkerhet både på nasjonalt plan og i kommunesektoren.

Stortinget bør snarest få en realistisk og helhetlig redegjørelse om status. I tillegg må vi samarbeide mer internasjonalt knyttet til datasikkerhet. Norge bør bruke sin plass i FNs sikkerhetsråd for å ta et slikt initiativ. Vi må øke kompetansen om datasikkerhet ved å etablere flere studieplasser og integrere sikkerhetsaspektet mye tyngre i all utdanning. Vi må øke samarbeidet mellom norske myndigheter og norsk sikkerhetsindustri. NSM må få tilført økte ressurser. Vi må sette krav til sikkerhet, og dermed hvem som får tilgang, i offentlige anskaffelser, og vi må innføre obligatoriske kurs i datasikkerhet for alle IT-ansvarlige i offentlig sektor. Dessuten må det bli obligatorisk å rapportere alle uønskede hendelser til NSM, og brudd på sikkerhetsregler må få konsekvenser.

Det handler ikke minst om et grunnleggende strukturelt problem knyttet til kompetanse, kultur, ansvar og mangel på konsekvens. Det å miste en kundeliste innebærer i ytterste konsekvens et varsel til Datatilsynet, mens et dataangrep møtes med skuldertrekning. En av de komparative fordelene Norge har for å løse de store oppgavene vi står overfor, er den store digitale tilliten som er i Norge. Samtidig har denne tilliten aldri tidligere vært under så omfattende og systematiske angrep. Fortsetter det slik uten at vi tar de rette grepene, kan resultatet bli svært alvorlig. Derfor er det kode rød.