Årsrapport for 2014: Vi må redusere sårbarhetene

Publisert: 21.04.2015 | Sist endret: 26.04.2015

Regjeringens satsing på forebyggende sikkerhet og IKT-sikkerhet gir resultater. Svaret på økte trusler mot Norge er å redusere sårbarheter og styrke grunnsikringen. Men hele samfunnet må bidra, skriver direktør Kjetil Nilsen i NSMs årsrapport for 2014.

Du kan lese hele årsrapporten her

Vi lever i urolige tider. Den sikkerhetspolitiske situasjonen endret seg vesentlig i 2014, med krisen i Ukraina, utviklingen i Midtøsten og Nord-Afrika, og forhøyet terrortrussel mot Norge. Etterretningstrusselen er på et vedvarende høyt nivå. Samtidig øker samfunnets avhengighet av informasjons- og kommunikasjonsteknologi. Nye tjenester og muligheter dukker opp, og forandrer næringslivet, det offentlige, og vanlige folks liv. Smarttelefonen er uunnværlig. Virksomheter og infrastruktur blir knyttet sammen på en helt annen måte enn før. Samfunnet blir dermed også mer sårbart.

Store tap

Det er mange som er ute etter de store verdiene vi har her i landet. I fjor håndterte vi i Nasjonal sikkerhetsmyndighet 88 alvorlige dataangrep. Nesten alle disse handlet om forsøk på spionasje mot norsk næringsliv og offentlige interesser. Noen ønsker å få tak i informasjon som de kan utnytte politisk eller økonomisk. Det kan være teknologisk informasjon, industrihemmeligheter, eller opplysninger av strategisk verdi. I august i fjor varslet vi om det største dataangrepet vi har sett så langt. En serie eposter med virus ble sendt til en rekke virksomheter i olje- og energisektoren. Hendelsene i august 2014 er et konkret eksempel på at vi i Norge står overfor reelle trusler også mot kritisk infrastruktur.

Tapene kan være store. Rundt 19 milliarder norske kroner går årlig tapt for den norske økonomien, i følge tall fra Center for Strategic Studies og sikkerhetsselskapet McAfee. Dersom andre land får innsyn i politiske vurderinger, militære forhold, og annen informasjon som kan påvirke Norges sikkerhet eller våre vitale nasjonale sikkerhetsinteresser, vil det medføre store tap.

Det er i dette landskapet vi i Nasjonal sikkerhetsmyndighet skal løse våre oppgaver. Jobben med å sikre verdier må gjøres av hver enkelt virksomhet og deres ansatte. Vi i NSM skal sikre samfunnsverdier, og redusere sårbarheter. Vi skal forebygge mot spionasje, sabotasje, terror og andre villede hendelser. Vi skal ivareta rollen som det sentrale direktorat for beskyttelse av informasjon og infrastruktur av betydning for samfunnskritiske og andre viktige samfunnsfunksjoner. Vi skal styrke IKT-sikkerheten i hele samfunnet.

Bedre resultater

I tråd med de økte sikkerhetsutfordringene har regjeringen satset på forebyggende sikkerhet og IKT-sikkerhet. NSM er styrket med over 30 prosent de siste årene. Vi har vokst med over 70 årsverk.

Satsingen gir resultater. For å ta noen eksempler: NSM har gjennomført flere tilsyn for å sørge for at sikkerhetsgradert informasjon og skjermingsverdige objekter blir godt nok sikret.  Vi følger opp tilsynsobjektene langt tettere enn tidligere. Vi har økt kapasiteten og etablert døgnbemanning i NSM NorCERT, som er vårt operasjonssenter for varsling og håndtering av dataangrep. Det har gjort oss i stand til å varsle og håndtere flere dataangrep mot Norge. Vi har fortsatt styrkingen av arbeidet med å sikre bygg og installasjoner mot sabotasje og terror.  I tillegg har NSM i samarbeid med Forsvaret åpnet et nytt kurssenter for forebyggende sikkerhet i Sandvika. NSM har siden oppstarten av kurssenteret kurset hundrevis av personer i forebyggende sikkerhet.  Denne veksten skal komme samfunnet til gode.

Styringen av Nasjonal sikkerhetsmyndighet er knyttet opp i langtidsplanen for forsvarssektoren, som går over fireårsperioder. Inneværende periode går frem til 2017. NSM arbeider for å nå alle målene i iverksettingsbrevet for langtidsplanen innen utgangen av perioden. På flere områder er vi godt på vei. Vi kan rapportere om god måloppnåelse både på områder som økonomistyring, tilsyn, styrking av arbeidet med objektsikkerhet, og råd og veiledning. Flere igangsatte prosesser vil gi effekt fremover i perioden. Det gjelder blant annet forbedring av tilsynsmetodikken, en prosess med ny metodikk for sikkerhetsgodkjenninger av datasystemer, etableringen av en ny seksjon som teknologisk rådgivning, og en ny intern strategi for håndtering av dataangrep.

Stor etterspørsel

Som du kan lese i rapporten Risiko 2015, er det store sårbarheter i det norske samfunnet. Risikoen øker for at sentrale kritiske funksjoner, samfunnsviktig infrastruktur, skjermingsverdig informasjon og mennesker blir rammet av spionasje, sabotasje, terror og andre alvorlige handlinger. Utviklingen skyldes blant annet mangelfull sikring, teknologisk utvikling, sikkerhetspolitiske endringer og nye trusler. NSM vurderer at risikoen for spionasje mot norske verdier er høy. Skadepotensialet er stort, blant annet fordi IKT-systemer i økende grad kobles sammen på tvers av sektorer. Det er satt i verk mange tiltak i 2014 for å styrke sikkerheten.  Men vi ser at disse tiltakene likevel ikke utvikles i samme takt som truslene.

 Dilemmaet vi står overfor er dette: Samtidig med at risikoen øker, øker etterspørselen etter tjenestene vi i Nasjonal sikkerhetsmyndighet leverer. Vi opplever en stor etterspørsel etter kompetanse og veiledning. Det er en krevende utfordring, og går som en rød tråd gjennom beskrivelsen av NSMs måloppnåelse. Antall dataangrep øker, og behovet for å håndtere dem blir større. Behovet for utvikling av nye sikkerhetsløsninger øker. Etterspørselen etter råd og anbefalinger øker. Forventningene til hva vi kan levere øker. Etterspørselen på samfunnsnivå, spesielt i forsvarssektoren, er sterkt økende og større enn NSMs kapasitet. Det har gitt oss noen leveranseutfordringer.

Smarte løsninger

I en slik situasjon må vi tenke smart, og finne smarte løsninger. La meg nevne noen eksempler. I fjor utviklet vi nye løsninger som kan hjelpe norske virksomheter til selv å oppdage teknologiske sårbarheter. En nyutviklet tjeneste gjør det mulig å oppdage om virksomheten din sender datatrafikk mot IP-adresser som blir brukt til dataangrep. NSMs sensornettverk (Varslingssystem for digital infrastruktur, VDI) er unikt i verden, og gjør det mulig å oppdage avanserte dataangrep mot kritisk infrastruktur. Stadig flere virksomheter knytter seg til dette nettverket for varsling. I fjor startet også for alvor oppbyggingen av sektorvise responsmiljøer for IKT-hendelser. Disse miljøene setter de ulike sektorene i stand til selv å håndtere langt flere dataangrep, i tett samhandling med oss i Nasjonal sikkerhetsmyndighet. Sist ut var etableringen av et eget miljø i kraftsektoren, Kraft-CERT. NSMs nye kurssenter gir kompetanse og setter norske virksomheter i stand til å styrke sikkerhetsarbeidet internt. En mer fleksibel tilnærming til tilsynsmetodikken gjør oss i stand til å gjennomføre langt flere tilsyn i 2015 enn årene før.

Redusere sårbarheter

Det er en sterk forventning til myndighetenes evne til å sikre virksomheter og samfunnet. Myndighetene har et stort ansvar, men kan åpenbart ikke gjøre dette alene. Det er norske virksomheter som har primæransvaret når det gjelder sin egen sikkerhet. Virksomhetene må fokusere på det de kan gjøre noe med. Svaret på flere og nye trusler, er å redusere sårbarheter. Grunnsikring er den enkeltes ansvar. Viktige tiltak på kort sikt er å profesjonalisere arbeidet med sikkerhet. Norske virksomheter må sørge for at de har god nok kompetanse, eller kjøpe seg riktig kompetanse fra profesjonelle aktører, for å sikre seg bedre.

Hva er så løsningen for et stadig mer sårbart samfunn? Det er ingen grunn til å tro at det sikkerhetspolitiske bildet, Norges strategiske posisjon i nord, eller digitaliseringen av samfunnet vil gjøre oss mindre sårbare i årene som kommer.  Vi må derfor jobbe med å redusere disse sårbarhetene på alle nivåer. Som en del av arbeidet med neste langtidsplan for forsvarssektoren er NSM for første gang bedt om å levere sikkerhetsfaglig råd til forsvarsministeren. Bakgrunnen for oppdraget er den generelle utviklingen i risikobildet over tid. Rådet skal foreligge innen 1. juli, og skal beskrive trender innenfor personell-, informasjons- og objektsikkerhet. Her skal vi komme med våre viktigste anbefalinger om risikoreduserende tiltak i neste langtidsperiode frem mot 2020. Her vil vi presentere løsninger som skal sette Norge i enda bedre stand til å stå i mot den økte risikoen.

 

Kolsås, 13. februar 2015

 

Kjetil Nilsen

Direktør