38risikoanalyse, sikkerhet, håndtering og kontinuerlig evaluering. Disse prinsippene følges oppblant annet <strong>av</strong> nasjonale planverk for sikkerhet i informasjonssystem 57 . Det opereres også meden ”sjekkliste” for små og mellomstore bedrifter for å se til at de oppfyller disse retningslinjene.Organiseringen <strong>av</strong> <strong>IKT</strong> som sikkerhetselement er i Frankrike fordelt mellom StatsministerensKontor (SMK) og departementene, da i hovedsak Innenriksdepartementet. Hovedaktørenunderlagt SMK er Avdelingen for sikkerhet i informasjonssystemer (”Direction centrale de lasécurité des systèmes d'information”, DCSSI), under Generalsekretariat for nasjonal beskyttelse(”Sécretariat Générale de la défense nationale”, SGDN).Figur 6.2 Håndtering <strong>av</strong> <strong>IKT</strong>-krise i Frankrike6.2.1 Før krisen: varslingDet er ikke mange eksempler på samarbeid mellom offentlig og privat sektor innen <strong>IKT</strong>, verkennår det gjelder varsling eller felles standard på planverk. Siden 2003 er det organisert et antallarbeidsmøter der man har forsøkt etablere ”best practice” på enkelte områder innen IT sikkerhet,så som kryptering, autentisering og produktkvalifisering 58 .På bedriftsnivå og i offentlig sektor er det i hovedsak de ulike CERT-ene som kan varsle om etcyberangrep. Disse samler informasjon fra for eksempel Microsoft og Symantec ogvidereformidler til bedrifter og offentlig sektor. CERT for offentlig administrasjon er samordnet57 ADELE (2004) ”Plan de renforcement de la sécurité” , samt DCSSI (2004) ”Guide pour l’élaboration d’unepolitique de sécurité.58 ENISA oversikt: www.enisa.eu.int/country_pages/
39i CERTA (”Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaquesinformatiques”), lansert under DCSSI i 1999, etter utarbeidelse og forslag <strong>av</strong> en tverrsektoriellkomité. CERTA overvåker nett og sårbar infrastruktur, og både varsler og assisterer vedbehov 59 . CERTA ser seg selv som et ”tillitsorgan” både for offentlig administrasjon og andreadministrative organiseringer, og selv om den er opprettet for å varsle og bistå offentlig etater,kommer varslene ut til befolkningen ”bare noen dager etter” 60 . Det finnes også en egen CERT 61for industri- og servicenæringene, en kommersiell CERT 62 samt en CERT forbeholdt brukerne<strong>av</strong> telekommunikasjonsnettverket Renater 63 .På nasjonalt plan vil man benytte seg <strong>av</strong> terrorvarsel via Vigipirate-planen 64 <strong>av</strong> 2004 når maninnser at det er et koordinert angrep.6.2.2 Under krisen: koordinering og operasjonelt ansvarKoordineringsansvarKoordinering <strong>av</strong> en <strong>IKT</strong>-krise vil <strong>av</strong>henge <strong>av</strong> krisens omfang. Dersom krisen er <strong>av</strong> sværtalvorlig grad vil den håndteres <strong>av</strong> Generalsekretariatet for Nasjonal Beskyttelse, underStatsministerens Kontor, og det operasjonelle koordineringsansvar vil ligge hos et spesialsenterunder sekretariatet kalt COSSI (”Centre Opérationnel de la Sécurité des Systèmesd'Information”), et tverrsektorielt operativt sekretariat. COSSI vurderer og koordinererarbeidsgrupper og tilknyttede organ som arbeider med ulike viktige samfunnsfunksjoner, så sominnenriks- og forsvarsrelaterte emner. COSSI har gjennomført to øvelser for å testeorganiseringen i 2003.Dersom krisen er <strong>av</strong> et noe mer begrenset omfang vil det være InnenriksdepartementetsHovedkontor for bekjempelse <strong>av</strong> <strong>IKT</strong>-kriminalitet (”Office Central de Lutte contre laCriminalité liée aux Technologies de l'Information et de la Communication”, OCLCTIC) somfår koordineringsansvaret. En ”Brigade” for bekjempelse <strong>av</strong> informasjonskriminalitet bleopprettet allerede i 1994, og ble beriket med OCLCTIC i 2000. Hovedkontoret er bådeoperasjonelt og strategisk i arbeidet med å gi teknisk assistanse samt opplæring <strong>av</strong> offentligansatte.Operasjonelt ansvarI hovedsak er det operatørene som må ta ansvar for den operasjonelle fasen. Dersom en <strong>kriser</strong>ammer Frankrike og man vurderer terrorrisiko mot ”rødt” og ”purpurfarget” i henhold tilVigipirate-planen, vil det få konsekvenser for det operasjonelle ansvar. I henhold til ”Plan for59 Det skal bemerkes at CERTA assisterer privat sektor kun i den grad det er aktører som representerersamfunnskritiske funksjoner. Ref Elektronisk kommunikasjon med funksjonær i SGDN, 1.09.05.60 DCSSI (2004), ”Mise en oeuvre en France des lignes directrices de l'OCDE” , side 2.61 CERT-IST, opprettet i 1999 <strong>av</strong> fire store bedrifter; Alcatel, CNES, ELF og France Télécom. Det er per i dag kunFrance Télécom, Sanofi Synthelabo og Alcatel-gruppen som har adgang til alle tjenester, mens andre medlemmerfår adgang til utvalgte deler., www.cert-ist.com/francais/presentation/presentation2_fr.htm62 LEXSI, “Laboratoire d’Expertise en Sécurité Informatique”, http://www.lexsi.fr/63 CERT-RENATER, www.renater.fr/Securite/CERT_Renater.htm64 ”Vigipirate” gir de nasjonale mål på trusselnivået fra gul til oransje, deretter rød og purpur; http://www.premierministre.gouv.fr/information/fiches_52/plan_vigipirate_50932.html