44Det kan oppfattes som et problem i dag at ”man mener og tror det er slik eller slik”,og at ingen kan si noe sikkert om hva som egentlig skjer på ulike tidspunkt. Igjen kandette skyldes at det finnes liten praktisk erfaring med å håndtere større <strong>IKT</strong>-hendelser.Diskusjonen om ansvarsplassering ender ofte opp i hvorvidt det ville vært på plassmed et eget ”superdepartement” for sikkerhet. Flere mener dette er nødvendig for å fåklarhet i ansvarsforhold på øverste hold og mellom sektorer:”[…] vil gjøre sektorjobben lettere, fordi noen på høyere nivå kan tenkestrategisk og legge føringer. De på sektornivå kan konsentrere seg om detaljerog om å utføre det de skal. I dag er det sånn at myndighetene ”rir på hver vårsektor”. Med et superdepartement vil man kunne koordinere mellom sektorer.Det er viktig at hver enkelt sektor ansvarliggjør bransjen og det enkelteselskap; det er disse som sitter på mest kompetanse om systemene.”En interessant observasjon i forhold til hvorvidt Regjeringens <strong>kriser</strong>åd vil tre sammeneller ikke er at man på l<strong>av</strong>ere administrative nivå tror og forventer at Regjeringens<strong>kriser</strong>åd vil opprettes. Når man imidlertid spør på departementsnivå, er de mer usikreog mener det vil <strong>av</strong>henge <strong>av</strong> flere faktorer. Man har enda ikke testet ut Regjeringens<strong>kriser</strong>åd i nasjonale <strong>kriser</strong>, som kan gjøre at dette er vanskelig å uttale seg helt sikkertom.Det viser seg at det ikke bare er i Norge man er i gang med omfattende analyser ogundersøkelser i forbindelse med ansvar og <strong>IKT</strong>. Intervju og rapporter fra Frankrike ogItalia viser at de er i gang med en storstilt omstilling, noe som gir seg utslag i ettilsvarende uklart bilde <strong>av</strong> hvordan organiseringen vil komme til å se ut på sikt.Sommeren 2005 opprettes det i Italia en egen enhet for beskyttelse <strong>av</strong> kritiskinfrastruktur (inklusiv <strong>IKT</strong>) under politiet og innenriksdepartementet, man forsøkeromorganisere nasjonal beredskap for å være forberedt på en <strong>IKT</strong>-krise, og manetablerer en nasjonal CERT.I Italia kan utformingen <strong>av</strong> et CNIPIC-senter for beskyttelse <strong>av</strong> kritisk infrastruktur,underlagt Innenriksdepartementet (se kap. 6.1) gjøre det nødvendig med en ny<strong>av</strong>klaring <strong>av</strong> roller. Innenriksdepartementets senter oppfattes som en ”utfordrer” tilStatsministerens Kontor, Avdelingen for Sivil Beskyttelse, spesielt fordi sistnevnteogså er i ferd med å omorganisere seg for bedre å håndtere en <strong>IKT</strong>-krise. En”maktkamp” mellom disse to nivåene i ansvarsfordelingen er i stor grad forårsaket <strong>av</strong><strong>IKT</strong>-sektorens tekniske og tverrsektorielle karakter, og en løsning på dette i Italia vilkunne gi nyttige erfaringer også for Norge.Omorganiseringen <strong>av</strong> det italienske sivile beskyttelsesapparatet baseres på erfaringenefra strømbruddet som rammet Italia via Sveits i 2003, som har gjort dem meroppmerksomme på gjensidige <strong>av</strong>hengigheter og behovet for å være beredt på
45dominoeffekter <strong>av</strong> en <strong>IKT</strong>-krise. Der man i Norge først nå er i ferd med å oppretteRegjeringens <strong>kriser</strong>åd, har dette vært praksis i Italia i en årrekke - mest fordi det harvært flere tilfeller <strong>av</strong> nasjonale (natur) <strong>kriser</strong>. I Norge vil krisehåndteringen tas håndom <strong>av</strong> det departement som ”eier” krisen, eventuelt <strong>av</strong> Justisdepartementet dersomingen andre kan utpekes. I Italia er det Innenriksdepartementet som har ansvar ved ennasjonal krise, og ansvaret overføres til høyere hold (Avdeling for Sivil Beskyttelse) idet øyeblikk krisen medfører fare for liv og helse.Etableringen <strong>av</strong> en nasjonal CERT i Norge stiller seg på linje med utviklingen i Italia,selv om oppg<strong>av</strong>ene til de to er noe forskjellige. Både i Frankrike og i Italia er dennasjonale CERTs oppg<strong>av</strong>er både varsling og respons, mens den i Norge per i dag eren responsenhet, der varsling overlates til et eget organ. I Frankrike har man hatt ennasjonal CERT i flere år, men der er hovedutfordringen at den ikke varsler privatsektor. Erfaringene fra Frankrike, og i mindre grad Italia, tilsier at man forsøker åoppnå en tillit mellom sektorene, men bedriftenes konkurransehensyn motarbeider etslikt initiativ. Det kan synes som om dette er en utfordring i flere europeiske land, ogblant annet har man i Nederland etterlyst en lovhjemmel som kan gjøre detobligatorisk for konkurrerende selskap til å samarbeide dersom en krise oppstår, noesom anses som nødvendig for å opprettholde tjenesteleveransen til den rammedeaktøren 83 . I så måte kan man si at situasjonen i Norge, der samarbeid og tillit mellomoffentlige og private aktører er utbredt, er spesiell 84 .At man i EU er opptatt <strong>av</strong> <strong>IKT</strong> og kritisk infrastruktur kommer også frem iutviklingen på mellomstatlig nivå, med opprettelsen <strong>av</strong> et byrå for nettverks- oginformasjonssikkerhet, der også Norge er representert. Det som er hovedutfordringenfor arbeidet på Europeisk nivå er at det er nasjonale interesser og sårbarhetsaspektermed i betraktningen, noe som kan hemme samarbeidet. I tillegg kan det være uliktfokus i de forskjellige landene, slik at det som regnes som kritisk i ett land ikkenødvendigvis er det samme i et annet. Der man i Norge fremdeles vurderer om manskal se på <strong>IKT</strong> som et eget område, eller om det er en sektorovergripende utfordring,utviser man for eksempel i Italia og Frankrike en mer pragmatisk holdning. Dersomman har et cyberangrep mot en (hvilken som helst) sektor vil det væreInnenriksdepartementet som får det koordinerende hovedansvaret, så fremt det ikke erfare for liv og helse.7.2 Hvilke virkemidler har myndighetene i en krisesituasjon?Under de innledende intervjuene i Norge ble det sagt at myndighetenes rolle består i ålage et veldekkende konkret regelverk, føre tilsyn med at det etterfølges, ta strategiskebeslutninger og bevilge penger. Det mest virkningsfulle virkemiddelet kommer inn i83 Ref. Intervju med funksjonær i nederlandsk offentlig sektor, august 2005.84 Samarbeid mellom private og offentlige aktører er spesielt synlig blant annet hos VDI sinemedlemmer, der sikkerhetsinformasjon (alt fra trusselbilde ned til enkelthendelser) er tilgjengeligmedlemmene i mellom.
- Page 8 and 9: 6.2.1 Før krisen: varsling 386.2.2
- Page 10 and 11: 8raskt har blitt tatt kontakt mello
- Page 12 and 13: (bedriftsnivå) får f. eks. betydn
- Page 14 and 15: og security-hendelser, ettersom det
- Page 16 and 17: 14for omfattende koordinering. Det
- Page 18 and 19: 16som gradvis involverer flere akt
- Page 20 and 21: 18mange brukere har mistet tilgang
- Page 22 and 23: 20Selv om dette i utgangspunktet st
- Page 24 and 25: 22Figur 5.2 - Hendelsesforløp scen
- Page 26 and 27: eksempelvis har ulike tilsynsmyndig
- Page 28 and 29: 265.3 Scenario 3 - Sikkerhetspoliti
- Page 30 and 31: 28Et spørsmål er hvilken rolle Mo
- Page 32 and 33: 30flere aktører vil bli involvert
- Page 34 and 35: overvåker trafikk på Internett og
- Page 36 and 37: 34helse. Det kan diskuteres hvorvid
- Page 38 and 39: 36Senteret vil få et nedslagsfelt
- Page 40 and 41: 38risikoanalyse, sikkerhet, håndte
- Page 42 and 43: 40styrking av beredskapssikkerhet i
- Page 44 and 45: 42kriterier: nedslagsfelt (geografi
- Page 48 and 49: 46forkant av en krise, ved å styrk
- Page 50 and 51: 48operativt nivå ser det ut til at
- Page 52 and 53: 508.1 Forbedringsmuligheter i Norge
- Page 54 and 55: 52infrastruktur (selv om disse ikke
- Page 56 and 57: 54A.2 IKT-organisering i andre land
- Page 58 and 59: 56SMK Avdeling for Innovasjon og Te
- Page 60 and 61: 58Siden 1992 har sivilt beredskap v
- Page 62 and 63: 60elektrisitetssektoren, bank, post
- Page 64: 62Statsministerens Kontor 154 , Gen
- Page 67 and 68: 65Arbeidsgruppe forBeskyttelse avKr
- Page 69 and 70: 67A.3.3 IKT-aktører EUENISAAndrea
- Page 71 and 72: 69Hagen, J. og Fridheim, H. (2005),
- Page 73 and 74: 71Dr. Caroselli (Politiets Post og