HÃ¥ndtering av IKT-kriser - Forsvarets forskningsinstitutt

More documents

Recommendations

Info

44Det kan oppfattes som et problem i dag at ”man mener og tror det er slik eller slik”,og at ingen kan si noe sikkert om hva som egentlig skjer på ulike tidspunkt. Igjen kandette skyldes at det finnes liten praktisk erfaring med å håndtere større IKT-hendelser.Diskusjonen om ansvarsplassering ender ofte opp i hvorvidt det ville vært på plassmed et eget ”superdepartement” for sikkerhet. Flere mener dette er nødvendig for å fåklarhet i ansvarsforhold på øverste hold og mellom sektorer:”[…] vil gjøre sektorjobben lettere, fordi noen på høyere nivå kan tenkestrategisk og legge føringer. De på sektornivå kan konsentrere seg om detaljerog om å utføre det de skal. I dag er det sånn at myndighetene ”rir på hver vårsektor”. Med et superdepartement vil man kunne koordinere mellom sektorer.Det er viktig at hver enkelt sektor ansvarliggjør bransjen og det enkelteselskap; det er disse som sitter på mest kompetanse om systemene.”En interessant observasjon i forhold til hvorvidt Regjeringens kriseråd vil tre sammeneller ikke er at man på lavere administrative nivå tror og forventer at Regjeringenskriseråd vil opprettes. Når man imidlertid spør på departementsnivå, er de mer usikreog mener det vil avhenge av flere faktorer. Man har enda ikke testet ut Regjeringenskriseråd i nasjonale kriser, som kan gjøre at dette er vanskelig å uttale seg helt sikkertom.Det viser seg at det ikke bare er i Norge man er i gang med omfattende analyser ogundersøkelser i forbindelse med ansvar og IKT. Intervju og rapporter fra Frankrike ogItalia viser at de er i gang med en storstilt omstilling, noe som gir seg utslag i ettilsvarende uklart bilde av hvordan organiseringen vil komme til å se ut på sikt.Sommeren 2005 opprettes det i Italia en egen enhet for beskyttelse av kritiskinfrastruktur (inklusiv IKT) under politiet og innenriksdepartementet, man forsøkeromorganisere nasjonal beredskap for å være forberedt på en IKT-krise, og manetablerer en nasjonal CERT.I Italia kan utformingen av et CNIPIC-senter for beskyttelse av kritisk infrastruktur,underlagt Innenriksdepartementet (se kap. 6.1) gjøre det nødvendig med en nyavklaring av roller. Innenriksdepartementets senter oppfattes som en ”utfordrer” tilStatsministerens Kontor, Avdelingen for Sivil Beskyttelse, spesielt fordi sistnevnteogså er i ferd med å omorganisere seg for bedre å håndtere en IKT-krise. En”maktkamp” mellom disse to nivåene i ansvarsfordelingen er i stor grad forårsaket avIKT-sektorens tekniske og tverrsektorielle karakter, og en løsning på dette i Italia vilkunne gi nyttige erfaringer også for Norge.Omorganiseringen av det italienske sivile beskyttelsesapparatet baseres på erfaringenefra strømbruddet som rammet Italia via Sveits i 2003, som har gjort dem meroppmerksomme på gjensidige avhengigheter og behovet for å være beredt på
45dominoeffekter av en IKT-krise. Der man i Norge først nå er i ferd med å oppretteRegjeringens kriseråd, har dette vært praksis i Italia i en årrekke - mest fordi det harvært flere tilfeller av nasjonale (natur) kriser. I Norge vil krisehåndteringen tas håndom av det departement som ”eier” krisen, eventuelt av Justisdepartementet dersomingen andre kan utpekes. I Italia er det Innenriksdepartementet som har ansvar ved ennasjonal krise, og ansvaret overføres til høyere hold (Avdeling for Sivil Beskyttelse) idet øyeblikk krisen medfører fare for liv og helse.Etableringen av en nasjonal CERT i Norge stiller seg på linje med utviklingen i Italia,selv om oppgavene til de to er noe forskjellige. Både i Frankrike og i Italia er dennasjonale CERTs oppgaver både varsling og respons, mens den i Norge per i dag eren responsenhet, der varsling overlates til et eget organ. I Frankrike har man hatt ennasjonal CERT i flere år, men der er hovedutfordringen at den ikke varsler privatsektor. Erfaringene fra Frankrike, og i mindre grad Italia, tilsier at man forsøker åoppnå en tillit mellom sektorene, men bedriftenes konkurransehensyn motarbeider etslikt initiativ. Det kan synes som om dette er en utfordring i flere europeiske land, ogblant annet har man i Nederland etterlyst en lovhjemmel som kan gjøre detobligatorisk for konkurrerende selskap til å samarbeide dersom en krise oppstår, noesom anses som nødvendig for å opprettholde tjenesteleveransen til den rammedeaktøren 83 . I så måte kan man si at situasjonen i Norge, der samarbeid og tillit mellomoffentlige og private aktører er utbredt, er spesiell 84 .At man i EU er opptatt av IKT og kritisk infrastruktur kommer også frem iutviklingen på mellomstatlig nivå, med opprettelsen av et byrå for nettverks- oginformasjonssikkerhet, der også Norge er representert. Det som er hovedutfordringenfor arbeidet på Europeisk nivå er at det er nasjonale interesser og sårbarhetsaspektermed i betraktningen, noe som kan hemme samarbeidet. I tillegg kan det være uliktfokus i de forskjellige landene, slik at det som regnes som kritisk i ett land ikkenødvendigvis er det samme i et annet. Der man i Norge fremdeles vurderer om manskal se på IKT som et eget område, eller om det er en sektorovergripende utfordring,utviser man for eksempel i Italia og Frankrike en mer pragmatisk holdning. Dersomman har et cyberangrep mot en (hvilken som helst) sektor vil det væreInnenriksdepartementet som får det koordinerende hovedansvaret, så fremt det ikke erfare for liv og helse.7.2 Hvilke virkemidler har myndighetene i en krisesituasjon?Under de innledende intervjuene i Norge ble det sagt at myndighetenes rolle består i ålage et veldekkende konkret regelverk, føre tilsyn med at det etterfølges, ta strategiskebeslutninger og bevilge penger. Det mest virkningsfulle virkemiddelet kommer inn i83 Ref. Intervju med funksjonær i nederlandsk offentlig sektor, august 2005.84 Samarbeid mellom private og offentlige aktører er spesielt synlig blant annet hos VDI sinemedlemmer, der sikkerhetsinformasjon (alt fra trusselbilde ned til enkelthendelser) er tilgjengeligmedlemmene i mellom.
Page 8 and 9: 6.2.1 Før krisen: varsling 386.2.2
Page 10 and 11: 8raskt har blitt tatt kontakt mello
Page 12 and 13: (bedriftsnivå) får f. eks. betydn
Page 14 and 15: og security-hendelser, ettersom det
Page 16 and 17: 14for omfattende koordinering. Det
Page 18 and 19: 16som gradvis involverer flere akt
Page 20 and 21: 18mange brukere har mistet tilgang
Page 22 and 23: 20Selv om dette i utgangspunktet st
Page 24 and 25: 22Figur 5.2 - Hendelsesforløp scen
Page 26 and 27: eksempelvis har ulike tilsynsmyndig
Page 28 and 29: 265.3 Scenario 3 - Sikkerhetspoliti
Page 30 and 31: 28Et spørsmål er hvilken rolle Mo
Page 32 and 33: 30flere aktører vil bli involvert
Page 34 and 35: overvåker trafikk på Internett og
Page 36 and 37: 34helse. Det kan diskuteres hvorvid
Page 38 and 39: 36Senteret vil få et nedslagsfelt
Page 40 and 41: 38risikoanalyse, sikkerhet, håndte
Page 42 and 43: 40styrking av beredskapssikkerhet i
Page 44 and 45: 42kriterier: nedslagsfelt (geografi
Page 48 and 49: 46forkant av en krise, ved å styrk
Page 50 and 51: 48operativt nivå ser det ut til at
Page 52 and 53: 508.1 Forbedringsmuligheter i Norge
Page 54 and 55: 52infrastruktur (selv om disse ikke
Page 56 and 57: 54A.2 IKT-organisering i andre land
Page 58 and 59: 56SMK Avdeling for Innovasjon og Te
Page 60 and 61: 58Siden 1992 har sivilt beredskap v
Page 62 and 63: 60elektrisitetssektoren, bank, post
Page 64: 62Statsministerens Kontor 154 , Gen
Page 67 and 68: 65Arbeidsgruppe forBeskyttelse avKr
Page 69 and 70: 67A.3.3 IKT-aktører EUENISAAndrea
Page 71 and 72: 69Hagen, J. og Fridheim, H. (2005),
Page 73 and 74: 71Dr. Caroselli (Politiets Post og

HÃ¥ndtering av IKT-kriser - Forsvarets forskningsinstitutt

Create successful ePaper yourself

Delete template?

Save as template?