Uten totalberedskap har vi ikke et forsvar
Det er krig i Europa. Krigen i Ukraina snur opp ned på det virkelighetsbildet mange har hatt, og utfordrer våre demokratiske verdier.
Krigen i Europa vil kreve mye av oss i årene som kommer. Pandemien viste oss med all tydelighet avhengigheten av god digital infrastruktur. Klimaendringene gir ekstremvær som slår ut sårbar infrastruktur. Det ikke er en selvfølge at vi alltid har tilgang til det vi har tatt for gitt Krigen i Ukraina skaper utrygghet og viser viktigheten av fungerende infrastruktur for kommunikasjon i og utenfor landet, og for å holde både totalforsvaret og moralen oppe.
Forberede oss for det som kan komme
Pandemien, i samvirke med en rekke andre omstendigheter, har synliggjort svært sårbare globale leveranse- og forsyningskjeder for kritiske komponenter til IKT-hardware. I krise/krig må leveransesituasjonen forventes å bli enda mer utfordret. Så å si alle samfunnsfunksjoner er gjennomgående avhengig av fungerende IKT. Manglende tilgang på komponenter vil ikke bare true vedlikehold, kapasitetsøkninger og endringer over tid, men vil også kunne gjøre det svært utfordrende å gjenopprette IKT-avhengige funksjoner etter logiske og fysiske angrep eller følgeskade. I forbindelse med krigen i Ukraina er dette ytterligere belyst; både gjennom fysisk skade og logiske angrep (skadevare) som setter maskinvare ut av spill.
«Grunnleggende nasjonale funksjoner (GNF) er «tjenester, produksjon og andre former for virksomhet som er av en slik betydning at et helt eller delvis bortfall av funksjonen vil få konsekvenser for statens evne til å ivareta nasjonale sikkerhetsinteresser», jf sikkerhetsloven § 1-5, nr 2».
Oversikt over innmeldte grunnleggende nasjonale funksjoner - Nasjonal sikkerhetsmyndighet (nsm.no)
«Liste over virksomheter med kritisk samfunnsfunksjon og nøkkelpersonell tydeliggjør hvilke typer virksomheter og personellgrupper som er sentrale for å opprettholde driften av kritiske samfunnsfunksjoner».
Liste over kritiske samfunnsfunksjoner – regjeringen.no
Det bør vurderes om det skal opprettes nasjonale beredskapslagre for standard / «Commercial Off-the-Shelf» IKT-komponenter. Prioriterte produktkategorier og produkter vil trenge en nærmere analyse, men både grunnleggende nettverksutstyr, servere og sluttbrukerutstyr vil være relevant. Beredskapslagrene kan fungere som nasjonal buffer, med kontinuerlig gjennomstrømning. Ordningen må være forpliktende for «medlemsvirksomhetene» for å sikre at produktkategoriene ikke holdes på lager i lang tid og blir utdatert. Virksomhetene vi snakker om her er primært offentlige og private eiere av kritisk infrastruktur som understøtter sentrale samfunnsfunksjoner.
All produksjon av elektronisk kommunikasjon er fullstendig avhengig av kraft. Derfor er det kritisk viktig med en robust kraftinfrastruktur i hele landet slik at strømbrudd i størst mulig grad unngås. Ved betydelig og/eller langvarig strømutfall er det viktig med forpliktende, formalisert og forberedt samarbeid for å sikre reetablering av kraft i prioritert rekkefølge. Det er positivt at Kommunal- og distriktsdepartementet har gitt Nasjonal kommunikasjonsmyndighet i oppdrag å etablere et samarbeid om beredskap mellom ekomsektoren og kraftsektoren i samråd med NVE, nettselskapene og ekomtilbyderne. Det er imidlertid behov for ytterligere særskilt utredning av tiltak for å sikre kraftforsyning i hele konfliktspennet, herunder å vurdere felles planer for kraft- og drivstoff-forsyning på tvers av kraft og ekom. Det er et potensiale for samarbeid på tvers av sektorer der myndighetene tar en rolle for å drive frem samarbeid rundt felles løsninger som er effektivt for alle parter.
I takt med digitaliseringen i både private og offentlige virksomheter blir det en stadig økende avhengighet til IKT som understøtter funksjoner med betydning for samfunnssikkerhet og beredskap.
I takt med digitaliseringen i både private og offentlige virksomheter blir det en stadig økende avhengighet til IKT som understøtter funksjoner med betydning for samfunnssikkerhet og beredskap. Én del av dette bildet er en økende bruk av, avhengighet av, og avhengighet til sikkerheten i, skytjenester. Skytjenestene kan være i form av infrastruktur som tjeneste , plattform som tjeneste og programvare som tjeneste . Stadig flere virksomheter gjør seg i økende grad avhengig av sky-infrastrukturer og -tjenester plassert i, operert fra og/eller avhengig av andre tekniske ressurser i utlandet. Gjennom sine anskaffelser har offentlig sektor stor markedsmakt. Det kan være gode grunner for at det etableres og opereres skytjenester i Norge gjennom krav om fysisk og nasjonal autonomi.
Kompetanse på fysisk sikring av samfunnskritiske bygg og arealer (fortifikatoriske tiltak) er lite tilgjengelig. Etablering av nasjonalt kompetansesenter for sikring av bygg hos Forsvarsbygg er en viktig kraftsamling av nasjonal kompetanse på dette området. Dette senteret bør gjøres bedre tilgjengelig for offentlige og private virksomheter underlagt sikkerhetsloven. Senteret må styrkes på kapasitet og kompetanse, herunder kompetanse på fortifikatorisk sikring og kapasitet til å understøtte aktuelle virksomheter.
Være forberedt til å håndtere
Arbeidet med samfunnssikkerhet og beredskap i Norge er basert på prinsippene om ansvar, likhet, nærhet og samvirke. Prinsippene er gode, men de må følge samfunns- og teknologiutviklingen, Det må etter Telenors vurdering legges bedre til rette for tverrsektorielt samvirke og ledelse på strategisk nivå. Vi mener hovedutfordringen er knyttet til at samvirke, styring og samarbeid ikke er godt nok definert og formalisert. Herunder at sikkerhetsloven ikke er fullt ut iverksatt i alle sektorer. Det gjør blant annet at vi ikke har oversikt over alle kritiske virksomheter som har avhengigheter til Telenor.
Innenfor rammer og hensyn som beskrevet over, mener vi at Norge står dårlig rustet for løpende oversikt over det nasjonale cyber- og fysiske hybrid-situasjonsbildet, der de samlede observasjoner må settes i en helhetlig sammenheng. God felles situasjonsforståelse, ikke bare informasjonsdeling, vil sette oss bedre i stand til å forstå hendelser i sammenheng og kontekst – herunder også oppfange helheten i hybride operasjoner i en eskalerende konflikt. Vi ser initiativer til slikt nasjonalt situasjonsrom i enkelte naboland, og mener Norge bør vurdere et mandat for det samme.
I en eskalerende krise eller omfattende angrep på grunnleggende nasjonale funksjoner, er det behov for styrket nasjonal styring av hendelseshåndtering. Nasjonalt Cyber Security Center (NCSC) understøtter i dag informasjons- og kunnskapsdeling, rådgir virksomheter i forhold til hendelseshåndtering, og bistår direkte i enkelte tilfeller. Denne kapasiteten dekker imidlertid ikke behovet for tverrsektoriell nasjonal respons. Beslutninger knyttet til styring av hendelseshåndtering i nasjonal skala må baseres på multi-domene og multidisiplinær situasjonsforståelse og et slikt mandat må tillegges det nasjonale situasjonsrommet .
Det er vesentlig at et slikt «nasjonalt operasjonsrom» gis rammer og mandat som hindrer utglidning mellom de bidragende parters formål, hjemler og lovlige virkemidler.
Sivilt-militært–offentlig-privat samarbeid
Telenor opplever å være en anerkjent Totalforsvaraktør. Likevel er ikke selskapet en fullverdig del av Totalforsvaret, og blir kun invitert inn ved særskilte anledninger. Etter Telenors syn må også private organisasjoner mer systematisk trekkes med i sentrale organ for koordinering av Totalforsvaret.
I den siste beskrivelsen av Totalforsvaret fremgår det lite informasjon om private og andre virksomheters bidrag innenfor rammen av Totalforsvarskonseptet. Ut over omtalen av Fylkesberedskapsrådene (FBR), hvor Telenor deltar på invitasjon, er beskrivelsen av strategisk samarbeid med private aktører begrenset. Listen over kritiske samfunnsfunksjoner gir noe mer informasjon, men myndighetene har trolig et betydelig potensial for å klargjøre rammer, roller og forventninger til samfunnskritiske virksomheter i privat sektor. Det er ikke i departementer eller direktorater at Grunnleggende nasjonale funksjoner blir rammet, det er i virksomhetene; offentlige og private, sivile og militære.
Telenor ønsker IKT-øvelser på tvers av sektorer hvor vi får testet samvirke, samhandling og styring som kan ha relevans for å kunne håndtere faktiske hendelser.
Samhandling mellom norske sikkerhetsmyndigheter, Forsvaret, Politiet og andre naturlige samarbeidspartnere i sivil sektor er avgjørende for å oppnå robust sikkerhet og beredskap i Norge. Et godt nasjonalt sikkerhetsarbeid må etter Telenors syn formaliseres for å kunne gi effekt. Samarbeidet er i dag fragmentert og mer dugnadsorientert enn forpliktende. Vår påstand er at den dagen det store angrepet inntreffer, skal det langt mer til enn en god dugnadsånd for å hindre at liv og helse unødig settes på spill. Private virksomheter innen strøm, mat, og ekom er betydningsfulle aktører for opprettholdelse av samfunnssikkerhet og i ytterste konsekvens statssikkerhet fordi de eier kritisk infrastruktur. Virksomheter med samfunnskritisk funksjon må derfor innpasses bedre i Totalforsvaret for å gi innsikt og kompetanse om hvordan virksomheten fungerer for å kunne være bedre forberedt på å virke i krise og krig.
Telenor Norge har formalisert samarbeidsavtale med Cyberforsvaret fordi Telenor Norge og Cyberforsvaret er ansvarlig for å drifte og beskytte nasjonal kritisk infrastruktur som skal fungere i fred, krise og krig. I praksis vil det si at Telenor Norge og Cyberforsvaret blant annet skal samarbeide ved hendelses- og krisehåndtering og ha liaisoner hos hverandre. Telenor har hatt øvelser med Forsvaret for sikring av skjermingsverdige fysiske objekter. Vi ønsker at Forsvaret øver mer på sivile objekter som skal sikres i krise og krig.
Samarbeid og øvelse må til
Telenor avholder en årlig øvelse i digital hendelseshåndtering hvor flere representanter for myndighetene er blitt invitert til å delta. Ved siste gjennomføring deltok bl.a. representanter for Cyberforsvaret, NCSC og Nasjonalt cyberkrimsenter (NC3), i tillegg til viktige samarbeidspartnere og kunder. Under øvelsen settes det opp en bedriftsliknende infrastruktur som kompromitteres av et såkalt «Red team», hvorpå de øvende har som rolle å undersøke hendelsen og gjøre mitigerende tiltak. De øvende deles inn i blandede lag på tvers av virksomheter. Telenors hensikt med øvelsen er å øve evnen til å utlede situasjonsforståelse når en eller flere hendelser pågår.
Et mer formalisert samarbeid med offentlige og private aktører som eier og forvalter samfunnskritisk infrastruktur, ogdeling av informasjon om nye angrepsformer og trusselaktører vil øke evnen og sannsynligheten for å avdekke angrep på tvers av sektorer eller bransjer, før skade har skjedd eller med vesentlig redusert skade. Dette bør ikke være til hinder for etablering og deling innenfor andre samhandlingsstrukturer. Både innenfor offentlig-privat og privat-privat samhandling, bør dannelse av delingsnettverk stimuleres. Slike kompetanse- og informasjonsutvekslingsnettverk kan ofte ta form av et «Information Sharing and Analysis Centre» (ISAC). EU-prosjektet «Empowering EU-ISACs» er et eksempel på et slikt stimuli fra EU-kommisjonens side.
Det foregår i dag betydelig deling på taktisk og operativt nivå mellom cybersecurity-fagmiljøer i offentlig og privat sektor. Det er viktig at grep for formalisering av samarbeid ikke virker negativt inn på disse relasjonene og denne informasjonsflyten. Det er samtidig også viktig at denne formen for informasjonsdeling og samhandling ikke overskrider partenes formål og hjemler, og rammene som er lagt for respektive parts behandling og bruk av informasjon.
Telenor ønsker IKT-øvelser på tvers av sektorer hvor vi får testet samvirke, samhandling og styring som kan ha relevans for å kunne håndtere faktiske hendelser. Samfunnet må også kunne øve på å miste tilgang til ekomtjenester. For beredskapsarbeid og øvelser er hovedkonklusjonen i NOU 2012:14 fortsatt relevant knyttet til «viktigheten av risikoforståelse, og at man arbeider med en risikobasert tilnærming». Risikoforståelsen bestemmer om man øver, hva man øver på, og hva man lærer av øvelser. Godt forberedte øvelser, kan fungere som en dynamisk form for tilsyn. Etter øvelsen har aktørene praktiske erfaringer som gir en dypere innsikt i utfordringer og endringsbehov.
Innen totalberedskap og totalforsvar må beredskapssamarbeidet i Norden utforskes, både med tanke på ressurser, sikkerhetsklarering og kompetanse.
Stå sammen med flere
Telenor har, i likhet med de fleste telekom-aktører, en betydelig avhengighet til utenlandske leverandører og deres fagressurser. Avhengigheten gjør seg blant annet gjeldende ved håndtering av særlig komplekse operasjonelle tekniske hendelser, som fordrer dyp produktkompetanse. Slik bistand vil i noen tilfeller kreve eksponering av mindre mengder skjermingsverdig ugradert informasjon, samt i ytterste konsekvens en tids- og omfangsbegrenset, og tungt overvåket, tilgang til skjermingsverdig infrastruktur. Vårt handlingsrom for å motta slik bistand fra utenlandske ressurser i utlandet, begrenser seg til akutte situasjoner som kan hjemles i virksomhetssikkerhetsforskriftens § 71 jf. straffeloven § 17 (nødrett). Denne avgrensningen har tidvis ført til at en operasjonelt usikker- eller ustabil situasjon får vedvare lengre enn strengt nødvendig.
Når det gjelder håndtering av cybersikkerhets-hendelser, står Telenor – relativt sett – godt rustet i forhold til mange andre. Vi har også godt samarbeid med myndigheter i Norge, som kan bistå rådgivende med relevant informasjon og analyse i forbindelse med avanserte aktører. Det er samtidig relevant å hente kapasitetsstøtte fra internasjonale leverandører ved større hendelser, og vi har noe erfaring med dette. Ofte har også slikt personell sikkerhetsklarering i et alliert hjemland, som gir grunnlag for klarering/autorisasjon til nødvendig nivå hos oss – med mindre bistanden kan hjemles som nevnt over. I en nasjonal krise-, hybrid eller krigsforberedende fase, er det imidlertid naturlig å legge til grunn at en slik situasjon vil være del av en større regional/internasjonal krise, der det vil være forhøyet omfang av alvorlige cyberangrep også mot mål i land det er naturlig å hente slik støtte fra. Tilgangen på bistand fra kvalifiserte utenlandsk cybersikkerhet-personell, er derfor usikker nettopp i situasjoner der vi har størst behov.
Telekom er en internasjonal bransje med multinasjonale leverandører som alle operatører er avhengige av. Siden Norge relativt sett er et lite land, og Telenor Norge er en liten operatør, ville vår evne til å påvirke leverandører (f.eks. størrelse og kompetanse til lokalt ansatte; valg av land for utvikling, levering og support; produktsikkerhet og funksjoner) og tiltrekke og beholde kompetente interne ressurser, bli betydelig forbedret ved å aktivt utnytte nordisk skala. Et dypere sikkerhetssamarbeid på tvers av myndighetene i de nordiske landene kan forbedre vår evne til å:
Bruke egne ansatte på tvers av de nordiske landene (dvs. evne til å sikkerhetsklarere og autorisere ressurser til å utføre arbeid på sensitive systemer og infrastruktur på tvers av landegrensene)
Bruk leverandøransatte på tvers av de nordiske landene (se 1. ovenfor)
Dele tekniske løsninger og infrastruktur på tvers av de nordiske landene (f.eks. for backup, kapasitet og robusthet).
Vi ser en økende utfordring med tilgangen på kompetanse på teknologi- og sikkerhetsfeltet, ikke minst når det gjelder tilgangen på personell med riktig sikkerhetsklarering. Etterspørselen øker raskere enn tilbudet. Vi mener et nordisk samarbeid rundt dette ville være fornuftig, det dreier seg om relativt små markeder og myndighetene har allerede en felles ambisjon om at regionen skal ligge langt fremme på å ta i bruk mulighetene i 5G. Sverige og Finland som medlemmer i NATO styrker potensialet for ytterligere nordisk samarbeid for sikre og robuste nett innen rammen av Haga-samarbeidet og NORDEFCO.
Vi må komme oss videre
For vår egen del og for de kommende generasjoners del må vi våge å utfordre den eksisterende innretningen av nasjonal krise- og konflikthåndtering slik at den blir mest mulig robust. Innen totalberedskap og totalforsvar må beredskapssamarbeidet i Norden utforskes, både med tanke på ressurser, sikkerhetsklarering og kompetanse. Motstandsdyktighet må bygges i bredde og dybde. Vi kan ikke forsvare Norge kun sektorvis.
styrke sikkerhetssamarbeidet om klarering og autorisasjon av nordiske statsborgere for enklere å kunne benytte personellressurser på tvers av grensene mellom våre nordiske naboland samt dele tekniske løsninger og infrastruktur for økt motstandsdyktighet og robusthet
at private aktører mer systematisk trekkes med i organ for koordinering av Totalforsvaret
det legges bedre til rette for tverrsektorielt samvirke og ledelse på strategisk nivå med opprettelsen av et nasjonalt situasjonsrom, øvelser på tvers av sektorer og oppdatering og forenkling av beredskapsplanverk
at det utredes å opprette nasjonale beredskapslagre for standard IKT-komponenter
at nasjonalt kompetansesenter for sikring av bygg gjøres bedre tilgjengelig for virksomheter underlagt sikkerhetsloven