Naive Norge

Den seneste trusselvurderingen fra PST, NSM og E-tjenesten sier rett ut at Russland og Kina systematisk – og ved bruk av digitale og hybride virkemidler – jobber for å svekke det norske demokratiet, påvirke politiske beslutninger, påvirke den norske opinionen, begrense ytringsfriheten til enkeltpersoner, svekke norske myndigheters legitimitet i befolkningen og svekke vår sivile og militære evne til å håndtere kriser.

I stedet for en kraftig styrking på bakgrunn av trusselvurderingene, har Norge nedprioritert cybersikkerhet, og gitt russiske og kinesiske myndigheter direkte eller indirekte tilgang til vital norsk infrastruktur.

• Russland og Kina har gjennomført vellykkede og skadelige angrep mot Stortinget – uten at det har fått konsekvenser.
• Et bannlyst russisk IT-selskap ble samme år invitert til å sjekke kildekoden til det norske valgsystemet av Valgdirektoratet.
• Norske sykehus og helseforetak bruker programvare som ble utdatert i 2015 og har opplevd alvorlige datainnbrudd, trolig fra statlige aktører.
• Russland gjennomfører en systematisk kartlegging av norsk infrastruktur langs kysten fra «forskningsfartøy», «lastebåter» og «luksusyachter». Til tross for kraftige reaksjoner fra eksperter, fortsetter Norge å sertifisere rekordmange russere slik at de kan seile langs norskekysten uten los.
• Fiberkabelen til Svalbard er kuttet. Vi vet at en russisk «tråler» kjørte 32 ganger frem og tilbake over kabelen før den røk. Allikevel er saken henlagt.
• En norsk overvåkningskabel på 4,2 km er «sporløst» borte.
• Russland gjennomførte et vellykket dataangrep mot universitetet i Tromsø.
• Det har vært en rekke vellykkede angrep på flere norske kommuner, mediehus og kjøttsamvirket Nortura.

I sum viser dette et Norge som har vært altfor naivt og godtroende

Når vi i tillegg vet at Riksrevisjonen har påpekt alvorlige mangler i cybersikkerheten i det norske strømnettet, og NVE mener kraftbransjen mangler oversikt over hvilke IKT-systemer, enheter og programvare som brukes, sier det seg selv at vi er i en alvorlig situasjon.

Dette er kun noen utvalgte hendelser, men i sum viser dette et Norge som har vært altfor naivt og godtroende.

Vi trenger en systematisk gjennomgang av sikkerheten i norsk infrastruktur og i sentrale offentlige instanser. Det er en god start at Stortinget har vedtatt å trappe opp bevilgningene til cybersikkerhet både på nasjonalt plan og i kommunesektoren.

Stortinget bør snarest få en realistisk og helhetlig redegjørelse om status. I tillegg må vi samarbeide mer internasjonalt knyttet til datasikkerhet. Norge bør bruke sin plass i FNs sikkerhetsråd for å ta et slikt initiativ.

Vi må øke kompetansen om datasikkerhet ved å etablere flere studieplasser og integrere sikkerhetsaspektet mye tyngre i all utdanning. Vi må øke samarbeidet mellom norske myndigheter og norsk sikkerhetsindustri. NSM må få tilført økte ressurser.

Det handler om et grunnleggende strukturelt problem knyttet til kompetanse, kultur, ansvar og mangel på konsekvens

Vi må sette krav til sikkerhet, og dermed hvem som får tilgang, i offentlige anskaffelser, og vi må innføre obligatoriske kurs i datasikkerhet for alle IT-ansvarlige i offentlig sektor. Dessuten må det bli obligatorisk å rapportere alle uønskede hendelser til NSM, og brudd på sikkerhetsregler må få konsekvenser.

Det handler ikke minst om et grunnleggende strukturelt problem knyttet til kompetanse, kultur, ansvar og mangel på konsekvens. Det å miste en kundeliste innebærer i ytterste konsekvens et varsel til Datatilsynet, mens et dataangrep møtes med skuldertrekning. En av de komparative fordelene Norge har for å løse de store oppgavene vi står overfor, er den store digitale tilliten som er i Norge. Samtidig har denne tilliten aldri tidligere vært under så omfattende og systematiske angrep. Fortsetter det slik uten at vi tar de rette grepene, kan resultatet bli svært alvorlig.

Innlegget stod først på trykk i Finansavisen