Nederland har revidert sin cyberstrategi, og denne er på mange måter alt det vår nasjonale strategi for informasjonssikkerhet ikke er. Den favner mer helhetlig enn vår strategi, er ikke utydelig pga eksisterende strukturer og omfatter både privat næringsliv, sivile myndigheter og militær sektor.
Det er verdt å merke seg at den på en ganske god måte forsøker å balansere hensynet til både sikkerhet og personvern.
Les hele strategien her:
New cyber security strategy strengthens cooperation between government and businesses
torsdag 28. november 2013
onsdag 27. november 2013
FFI Forum - Cybermakt
Jeg prøver å holde tungen rett i munnen når jeg skriver denne bloggen fordi jeg ikke er ansatt i Cyberforsvaret til å uttale meg på vegne av organinasjonen. Noen ganger kan det være vanskelig å trekke en klar grense for når jeg uttaler meg som fagperson, og når jeg taler arbeidsgivers sak. Dette er en av de gangene.
Cyberforsvaret har bestillt "Cybermakt-studien" fra FFI, og jeg var sendt til FFI Forum 26 november for å gi Cyberforsvarets kommentarer til FFIs presentasjon av studien. Interessen for FFI Forum var stor denne gangen, med ca 120 påmeldte. I salen var også media, men jeg har ikke sett saken gjengitt i avisene.
FFI har lagt ut en sak om presentasjonen her:
Hva cybermakt kan bety
Den første Cybermakt-rapporten er gradert, så jeg vil ikke gå inn i detaljene i denne. Det vi fikk presentert fra FFI var en slags oppsummering av hvilke egenskaper cyberdomenet har, og hva dette betyr for militær maktanvendelse i dette domenet. Cyberforsvaret har støttet inneholdet i rapporten, og mener at det er svært viktig med en grundig forskningbase for doktrineutvikling og utvikling av militære kapabiliteter.
Som jeg sa under FFI Forum så tror vi at utviklingen i både cyberdomenet og måten vi tenker rundt militærmakt i domenet vil endre seg. Trolig mer enn vi er i stand til å forutse nå. Det er vanlig å sammenligne cyberdomenets rolle nå, med slik luftdomenets rolle var for 100 år siden. Den gang var det ingen som kunne forutse hvordan luftmakt anno 2013 ville fortone seg. Det er ikke urimelig å mene at f.eks. politiske eller teknologiske endringer kan få betydning for bruk av militærmakt i dette domenet.
Jeg har lyst til å kommentere noen påstander fra presentasjonen. Under overskriften "Hva er Forsvarets rolle?" ble det hevdet at Forsvaret i liten grad kunne rykke ut for å overta drifts-oppgavene til aktørene som eier og drifter nasjonal kritisk infrastruktur. Dette er selvfølgelig helt riktig, og det er heller ingen som har påstått av Forsvaret kan eller vil gjøre det. I andre land vurderer man "cyber-reservister", personell som i en nasjonal krisesituasjon underlegges militær ledelse, men som fortsetter i den jobben de har. f.eks. som driftsansvarlig eller sikkerhetsekspert i en eier av kritisk infrastruktur. Anders Werp fra Høyre nevnte dette som en mulighet også her, uten at det er tatt noen beslutning på dette.
FFI satte det på spissen og mente at vi ikke kan sammenligne den bistand som Forsvaret gir på andre områder, med den bistand som Forsvaret kan gi i cyber-kriser. "Et helikopter er et helikopter, og flyr personell eller materiell fra A til B. Cyberkapabiliteter er mer spesialiserte". Om analogien er god eller ikke kan sikkert diskuteres, alle helikoptere kan ikke nødvendigvis brukes til alle formål. Og slik er det jo med cyberkapabiliteter også. Forsvarets kapabiliteter er dimensjonert og tilpasset Forsvarets behov, og de skal primært brukes til å beskytte Forsvarets egne datanettverk og informasjonssystemer mot cyberangrep (vi kaller det helst cyberhendelser.. et angrep er noe langt mer alvorlig i vår terminologi).
Men; I en nasjonal krise er det mulig for sivile myndigheter å bruke disse kapabilitetene. Kapabilitetene er mobile, og kan brukes over hele landet. Det er åpenbart både tekniske og andre begrensninger for når og hvor de kan settes inn, men det vil i så fall være en vurdering i den situasjonen man er i.
Såvidt jeg vet er det kun Forsvaret som har slike kapabiliteter i Norge. Vi vet at andre nasjoner ikke har slike kapabiliteter, og NATO har først nylig etablert en tilsvarende evne. Men fungerer det? Her er noen av de erfaringene jeg har gjort meg gjennom de siste ti årene:
NSM har i sin blogg fokusert på begrensningene for slike kapabiliteter, og det synes jeg er synd ettersom de som koordineringsansvarlig for alvorlige cyberangrep burde ha satt seg mer inn i hvilke muligheter Forsvarets kapabiliteter kan gi. Jeg synes også det er litt rart, siden NSM også har vært med Forsvaret på øvelser både nasjonalt og i NATO, og selv observert disse i bruk.
NSM sitt blogginnlegg er her:
Lite sannsynlig med cyberkrig og -terror
I forkant av konferansen ble jeg bedt om å svare på noen spørsmål som kunne komme opp i paneldebatten. Disse ble ikke tatt opp spesifikt, men jeg deler dem gjerne her:
Cyberforsvaret har bestillt "Cybermakt-studien" fra FFI, og jeg var sendt til FFI Forum 26 november for å gi Cyberforsvarets kommentarer til FFIs presentasjon av studien. Interessen for FFI Forum var stor denne gangen, med ca 120 påmeldte. I salen var også media, men jeg har ikke sett saken gjengitt i avisene.
(Foto: FFI)
FFI har lagt ut en sak om presentasjonen her:
Hva cybermakt kan bety
Den første Cybermakt-rapporten er gradert, så jeg vil ikke gå inn i detaljene i denne. Det vi fikk presentert fra FFI var en slags oppsummering av hvilke egenskaper cyberdomenet har, og hva dette betyr for militær maktanvendelse i dette domenet. Cyberforsvaret har støttet inneholdet i rapporten, og mener at det er svært viktig med en grundig forskningbase for doktrineutvikling og utvikling av militære kapabiliteter.
Som jeg sa under FFI Forum så tror vi at utviklingen i både cyberdomenet og måten vi tenker rundt militærmakt i domenet vil endre seg. Trolig mer enn vi er i stand til å forutse nå. Det er vanlig å sammenligne cyberdomenets rolle nå, med slik luftdomenets rolle var for 100 år siden. Den gang var det ingen som kunne forutse hvordan luftmakt anno 2013 ville fortone seg. Det er ikke urimelig å mene at f.eks. politiske eller teknologiske endringer kan få betydning for bruk av militærmakt i dette domenet.
Jeg har lyst til å kommentere noen påstander fra presentasjonen. Under overskriften "Hva er Forsvarets rolle?" ble det hevdet at Forsvaret i liten grad kunne rykke ut for å overta drifts-oppgavene til aktørene som eier og drifter nasjonal kritisk infrastruktur. Dette er selvfølgelig helt riktig, og det er heller ingen som har påstått av Forsvaret kan eller vil gjøre det. I andre land vurderer man "cyber-reservister", personell som i en nasjonal krisesituasjon underlegges militær ledelse, men som fortsetter i den jobben de har. f.eks. som driftsansvarlig eller sikkerhetsekspert i en eier av kritisk infrastruktur. Anders Werp fra Høyre nevnte dette som en mulighet også her, uten at det er tatt noen beslutning på dette.
FFI satte det på spissen og mente at vi ikke kan sammenligne den bistand som Forsvaret gir på andre områder, med den bistand som Forsvaret kan gi i cyber-kriser. "Et helikopter er et helikopter, og flyr personell eller materiell fra A til B. Cyberkapabiliteter er mer spesialiserte". Om analogien er god eller ikke kan sikkert diskuteres, alle helikoptere kan ikke nødvendigvis brukes til alle formål. Og slik er det jo med cyberkapabiliteter også. Forsvarets kapabiliteter er dimensjonert og tilpasset Forsvarets behov, og de skal primært brukes til å beskytte Forsvarets egne datanettverk og informasjonssystemer mot cyberangrep (vi kaller det helst cyberhendelser.. et angrep er noe langt mer alvorlig i vår terminologi).
Men; I en nasjonal krise er det mulig for sivile myndigheter å bruke disse kapabilitetene. Kapabilitetene er mobile, og kan brukes over hele landet. Det er åpenbart både tekniske og andre begrensninger for når og hvor de kan settes inn, men det vil i så fall være en vurdering i den situasjonen man er i.
Såvidt jeg vet er det kun Forsvaret som har slike kapabiliteter i Norge. Vi vet at andre nasjoner ikke har slike kapabiliteter, og NATO har først nylig etablert en tilsvarende evne. Men fungerer det? Her er noen av de erfaringene jeg har gjort meg gjennom de siste ti årene:
- De har vært brukt med stor suksess i Forsvarets egne nettverk i både inn og utland
- De har vært brukt med stor suksess i sivile aktørers nettverk under øvelser
- Konseptet med mobile kapasiteter ble f.eks. brukt under øvelse Locked Shields 2012, hvor cyber defence laget som vant satte inn medbrakt utstyr som satte dem i stand til å håndtere situasjonen. Dette var utstyr som ble satt inn i et nettverk som var ukjent for dem inntil like før øvelsen startet.
- Det krever mye øving og trening for å mestre dette, og trolig også for å forstå muligheter, begrensninger og betydningen av å være i stand til å gjøre dette.
I tillegg til slike cyber defence kapabiliteter, har Forsvaret også (selvfølgelig) kapabiliteter for å etablere, forlenge, forsterke og endre "cyberspace" iht. våre operative behov.
NSM har i sin blogg fokusert på begrensningene for slike kapabiliteter, og det synes jeg er synd ettersom de som koordineringsansvarlig for alvorlige cyberangrep burde ha satt seg mer inn i hvilke muligheter Forsvarets kapabiliteter kan gi. Jeg synes også det er litt rart, siden NSM også har vært med Forsvaret på øvelser både nasjonalt og i NATO, og selv observert disse i bruk.
NSM sitt blogginnlegg er her:
Lite sannsynlig med cyberkrig og -terror
I forkant av konferansen ble jeg bedt om å svare på noen spørsmål som kunne komme opp i paneldebatten. Disse ble ikke tatt opp spesifikt, men jeg deler dem gjerne her:
Hva er den største utfordringen i cyberdomenet?
Håndteringsevnen for alvorlige og sektorovergripende hendelser. Det er uavklarte spørsmål i grensegangen mellom håndtering av samfunnssikkerhet og statssikkerhet. Hvor alvorlig skal en hendelse være for at Forsvaret skal overta håndteringen, eller støtte sivil sektor i håndteringen? Vi mangler en nasjonal strategi som adresserer dette.
Sektorprinsippet vs prinsippet om samhandling. Her har vi ikke kommet spesielt langt.
Hvordan kan og bør Forsvaret bistå cybersikkerheten i det sivile samfunnet under kriser?
Forsvaret har kapabiliteter som kan settes inn for å støtte sivile myndigheter under kriser. Forutsetter da at det er snakk om normal bistand. Dette kan være cyber defence kapabiliteter hvor vi kan deployere personell og utstyr som kan bistå i håndtering av slike hendelser, eller det kan være andre mobile ressurser som kan brukes til å etablere, tilpasse og utvide cyberdomenet i en slik situasjon.
For statssikkerhetstruende hendelser, må Forsvaret være i stand til å overta ledelsen av håndteringen av slike cyberkriser.
Kan Norge alene løse kompetansemangelen rundt cybersikkerhet?
Vi ser en satsning på forskning innen dette feltet, der flere av de store aktørene for eksempel støtter forskningssenteret på Gjøvik. NORSIS har i mange år gjort en god jobb med å heve den generelle forståelsen, og det er flere utdanningsløp spesifikt for informasjonssikkerhet. I Forsvaret har sin Forsvarets ingeniørhøgskole, som utdanner ingeniører og ledere i hele bredden av defensive cyberoperasjoner. Personell som er utdannet ved FIH er svært ettertraktet i sivil sektor, og styrker en rekke leverandører av sikkerhetstjenester og "CERT-funksjoner" i en rekke virksomheter.
En kan nok hevde at vi ikke utdanner tilstrekkelig til å møte behovene, men en kan samtidig spørre om vi er organisert på den mest hensiktsmessige måten. Å etablere en enhet som har evne til å håndtere alvorlige cyberangrep mot virksomheten er svært ressurskrevende. Dersom alle virksomheter skal ha sine egne håndteringsenheter, er vi ikke i nærheten av å utdanne nok personell av denne typen.
Avslutningsvis vil jeg si at Anders Werp nevnte at regjeringen har som intensjon å styrke justissektoren med tanke på å kunne håndtere alvorlige cyberangrep/kriminalitet. For meg virker det fornuftig, og det er i så fall en videreføring av det som ble påbegynt i den nasjonale strategien for informasjonssikkerhet som vi fikk for et år siden. Les mine kommentarer fra den gang her:
Abonner på:
Innlegg (Atom)