Sikkerhetsfaglig råd - tiltak

Publisert: 10.09.2015

Nedenfor presenteres NSMs anbefalte tiltak fra Sikkerhetsfaglig råd i kortform. For en utdypende forklaring av tiltakene, og bakgrunn, se den fullstendige utgaven av Sikkerhetsfaglig råd, tilgjengelig på NSMs nettsider, nsm.stat.no.

Organisering, ledelse og koordinering

1. Kgl.res. 22. mars 2013 bør operasjonaliseres for å tydeliggjøre og gi et konkret innhold til samordnings- og koordineringsrollen Justis- og beredskapsdepartementet har. Dersom resolusjonen ikke gir muligheter til hensiktsmessig operasjonalisering, anbefales det at resolusjonen endres. 

2. Ansvar og oppgaver mellom NSM og DIFI bør tydeliggjøres på grunnlag av klargjøringen mellom Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet.

3. Justis- og beredskapsdepartementet bør tilføres ytterligere ressurser og kompetanse for å styrke rollen som ansvarlig for forebyggende sikkerhet i sivile sektorer, herunder IKT-sikkerhet.

4. Dersom ansvarsforholdene mellom sentrale departementer og Statsministerens kontor oppleves som utydelige, bør de tydeliggjøres og kommuniseres på en måte som gir bred forståelse i samfunnet.

5. Justis- og beredskapsdepartementet bør ytterligere styrke arbeidet med styring og kontroll av det forebyggende sikkerhetsarbeidet i offentlig forvaltning. Styrkingen skjer ved at Justis- og beredskapsdepartementet i kraft av sin koordinerings- og samordningsrolle beslutter at forebyggende sikkerhet skal inngå som en del av den formelle styringen i hver sektor.

6. Justis- og beredskapsdepartementet bør gi oppdrag til alle departementene om årlig å evaluere og rapportere sikkerhetstilstanden i eget departement og i sine sektorer til Justis- og beredskapsdepartementet. Rapporteringen bør inkludere private virksomheter som har samfunnsviktige funksjoner. Oppdraget bør synliggjøres i lederkontrakter, i tildelingsbrev og i etatsstyringsmøter. Dialog om virksomhetenes sikkerhetstilstand anbefales i tillegg å være tema i minst ett av etatsstyringsmøtene gjennom året.

7. Kommunal- og moderniseringsdepartementet bør ta inn krav til IKT-sikkerhetskompetanse i sin felles lederplattform i staten for å utvikle offentlige medarbeidere og ledere.

8. NSM går i dialog med Næringslivets sikkerhetsråd (NSR) med sikte på å etablere en frivillig ordning i næringslivet for årlig rapportering til NSR om sikkerhetstilstanden i virksomhetene, som kan oppsummeres og stilles til rådighet for NSM og andre, for å ivareta offentlige og private interesser.

9. Forsvarsdepartementet bør ta initiativet til at NSM samlokaliseres så raskt som mulig. Prosessen med å vurdere løsninger for samlokalisering av NSM bør starte snarest. Det vises til tiltak 43 nedenfor om samlokalisering med ulike samarbeidspartnere i et nasjonalt cybersikkerhetssenter i NSMs lokaler.

10. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør klargjøre hvilke private aktører som har en rolle i krise- og beredskapssituasjoner. Aktørene må bli satt i stand til, og ha nødvendig kompetanse til, å motta nødvendig sikkerhetsgradert informasjon. En nødvendig forutsetning for dette er at aktørene blir omfattet av sikkerhetsloven.

11. Det må etableres en enhetlig og sikker kommunikasjonsinfrastruktur som understøtter effektiv og rask informasjonsdeling og koordinerte beslutningsprosesser. Det vises også til tiltak under kapitlet om IKT-sikkerhet.

12. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør gi NSM i oppdrag å gjennomføre årlige nasjonale øvelser i IKT-sikkerhet og hendelseshåndtering, på samme måte som NATOs øvelse CMX gjennomføres innen NATO-strukturen.

IKT-sikkerhet

13. Innholdet i NIS-direktivet bør implementeres.

14. Med utgangspunkt i Instruks for Sjef NSM gitt av Forsvarsdepartementet i samråd med Justis- og beredskapsdepartementet, og NSMs rolle i det nye nasjonale beredskapssystemet, bør det fastsettes en Kgl.res. for å gi NSM et tydelig tverrsektorielt mandat og styrke rollen som den nasjonale myndigheten for IKT-sikkerhet også utover sikkerhetsloven, og være strategisk IKT-sikkerhetsrådgiver i hele krisespennet. En Kgl.res. vil også tydeliggjøre og gjøre offentlig kjent Sjef NSM sin rolle som nasjonal og tverrsektoriell koordinator for håndtering av IKT-sikkerhetshendelser.

15. Forsvarsdepartementet bør styrke NSM for å kunne etablere en ordning med attachéer i ett eller flere land for å styrke evnen til kunnskapsinnhenting internasjonalt om IKT-sikkerhet generelt, og konkrete handlingsplaner og tiltak spesielt.

16. Forsvarsdepartementet bør styrke NSM for å videreutvikle eksisterende og etablere nye samarbeidsarenaer i en formalisert og helhetlig struktur på strategisk og operativt nivå.

17. Forsvarsdepartementet bør styrke NSM, og gi NSM i oppdrag å lede et tverrsektorielt råd på strategisk nivå som gir anbefalinger til Justis- og beredskapsdepartementet, Forsvarsdepartementet og andre sentrale departementer og virksomheter om IKT-sikkerhet.

18. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør utarbeide en ny nasjonal strategi for informasjonssikkerhet. Strategien må være basert på et oppdatert IKT-risikobilde. Mål og prioriteringer må tydeliggjøres i større grad enn i dag. Det er viktig at roller og ansvar beskrives tydelig, og at tiltakene dekker både forebygging, evne til hendelseshåndtering og koordinering.

19. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør utarbeide en ny overordnet handlingsplan tilknyttet strategien. Denne bør følges opp og revideres jevnlig. I handlingsplanen bør ansvars- og samarbeidsforhold og prosesser knyttet til dette konkretiseres ytterligere. En nasjonal øvingsplan for IKT-sikkerhet og samhandling mellom aktørene bør inngå.

20. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør vurdere å ta initiativ til at det utvikles en nasjonal sikkerhetsstrategi.

21. Justis- og beredskapsdepartementet bør gi NSM i oppdrag å utvikle et nasjonalt rammeverk innenfor IKT-sikkerhet.

22. Sikkerhetsutvalget bør følge opp og konkretisere skisse til lovforslag om sikring av sensitiv informasjon og informasjonsinfrastruktur, som er til behandling i Justis- og beredskapsdepartementet.

23. Justis- og beredskapsdepartementet bør vurdere å stille krav til rapportering av alvorlige IKT-hendelser til NSM, for å sikre god nasjonal oversikt.

24. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør ta et initiativ til at forsvarssektoren gis i oppdrag å være den nasjonale leverandøren for å utvikle og forvalte løsninger for høygraderte IKT-behov i det offentlige, inkludert mobile løsninger. Hvordan dette innrettes bør utredes nærmere.

25. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør ta initiativ til å utrede løsninger for færre IKT-miljøer (utviklings- og forvaltningsorganisasjoner) i offentlig sektor.

26. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør ta initiativ til å utrede en løsning hvor ett enkelt IKT-miljø (utviklings- og forvaltningsorganisasjon) gis ansvaret for IKT-løsninger i sentralforvaltningen/departementsfellesskapet.

27. IKT-sikkerhet bør erstattes av cybersikkerhet som begrep i politiske og strategiske dokumenter. Dette kan implementeres gjennom revisjon av nasjonal strategi for informasjonssikkerhet.

28. Justis- og beredskapsdepartementet bør lede utviklingen og etableringen av SON.

29. SON bør utvides til å omfatte flere offentlige aktører og til også å omfatte offentlig forvaltning utenfor Oslo. Dette bør utredes.

30. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør ta initiativ til at det etableres felles IKT-systemer som håndterer sensitiv og BEGRENSET informasjon i ett.

31. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør ta initiativ til at det etableres nye mobile løsninger for sensitiv og BEGRENSET informasjon.

32. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør gi NSM i oppdrag å utrede sikkerhetsbehov og sikkerhetsmessige løsninger for nasjonale skytjenester for sensitiv og sikkerhetsgradert informasjon.

33. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør ta initiativ til at det stilles krav til bruk av godkjente krypteringsløsninger for beskyttelse av sensitiv informasjon. NSM bør gis et slikt oppdrag.

34. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør gi NSM i oppdrag å utvikle krav til programvarebaserte krypteringsløsninger som kan godkjennes for beskyttelse av både sensitiv og BEGRENSET informasjon.

35. Alle statlige og kommunale nettsteder bør innføre krypteringsløsninger for bedre sikring av offentlige nettsteder. Dette vil øke sikkerheten i all kommunikasjon mellom innbyggerne og offentlige nettsteder.

36. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør videreutvikle en nasjonal kryptopolitikk for å sikre nødvendig nasjonal kryptokompetanse og utvikling av kryptoutstyr for høygradert informasjon. En revisjon og videreutvikling av dagens kryptopolitikk er nødvendig for å stimulere til innovasjon og produktutvikling.

37. Det bør initieres et prosjekt for å få frem en ny generasjon av kryptoløsninger innen 2020.

38. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør styrke og videreutvikle NSM som nasjonal sertifikatutsteder for sikker identifikasjon av individer og deres bruk av IKT-tjenester i samfunnet. NSM kan i en slik rolle kvalifisere kommersielle leverandører gjennom å utstede et sikkert sertifikat for deres leveranse av tiltrodde tjenester.

39. Eiere av kritisk infrastruktur og systemer som behandler sensitiv informasjon bør jevnlig gjennomføre inntrengningstesting av sine IKT-systemer som et sårbarhetsreduserende tiltak.

40. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør ta initiativ til at det stilles krav til inntrengingstesting av IKT-systemer som behandler sensitiv informasjon. Hvordan dette kan innrettes bør utredes nærmere, herunder innretningen av en permanent akkrediteringsordning. Departementene bør gi NSM et slikt utredningsoppdrag.

41. Sikkerhetsutvalget bør vurdere å gi NSM utvidet hjemmel til inntrengingstesting etter sikkerhetsloven til å omfatte også nasjonal kritisk IKT-infrastruktur, og oppdraget bør utvides til å omfatte testing av logiske, tekniske, administrative, menneskelige og fysiske sårbarheter, da disse er vevet tett sammen. NSM bør gis hjemmel til å gjennomføre inntrengningstesting uten forutgående samtykke fra virksomheten.

42. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør styrke den nasjonale CERT-funksjonen, NSM NorCERT, for ytterligere å kunne bedre evnen til bearbeiding og analyse av hendelsesdata, styrke samarbeidet med næringslivet, få økt evne til bistand til håndtering av IKT-hendelser, samt kontinuerlig videreutvikle av metoder og verktøy.

43. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør legge til rette for samarbeid mellom de sektorvise koordineringsmiljøene og andre ved å gi NSM oppdrag om å etablere et nasjonalt cybersikkerhetssenter hos NSM. Senteret omhandles også under anbefaling om samlokalisering av NSM.

44. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør gi NSM i oppdrag å utvikle en portal på internett som sørger for effektiv og rask informasjonsdeling under hendelser mellom ulike responsmiljøer, andre offentlige myndigheter, i næringslivet, og mellom myndigheter og næringslivet.

45. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør tildele NSM ressurser for å styrke og videreutvikle VDI-løsningen til et robust sensornettverk for å sikre en best mulig nasjonal deteksjonsevne.

46. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør ta initiativ til at deltakelse i VDI-samarbeidet fullfinansieres av staten. Deltakelse bør gjøres obligatorisk for virksomheter med samfunnsviktig IKT-infrastruktur og samfunnsviktige funksjoner, etter en risikovurdering. En slik deltakelse må hjemles i lov.

47. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør oppfordre til at sektorene etablerer, videreutvikler og styrker responsmiljøene i sektorene.

48. Justis- og beredskapsdepartementet og Forsvarsdepartementet bør gi NSM i oppdrag å koordinere nasjonalt og til sektorene samt bidra til kompetanseoverføring til disse miljøene.

49. Justis- og beredskapsdepartementet bør ta initiativ til at ulike tilsyn, herunder i sektorene, sørger for at det blir ført tilsyn med tekniske IKT-sikkerhetstiltak på eget ansvarsområde.

50. Justis- og beredskapsdepartementet bør tildele NSM ressurser for å øke kapasiteten til å føre tilsyn med tekniske IKT-sikkerhetstiltak. Herunder å etablere en evne for å kunne gi støtte til tilsyn til andre tilsyn for å kunne realisere tiltak 49 på en kosteffektiv måte.

Tiltak innen personellsikkerhet

51. Forsvarsdepartementet bør legge til rette for at klareringsmyndighetsstrukturen endres i tråd med foreslått endring i sikkerhetsloven som er til behandling.

52. Forsvarsdepartementet bør legge til rette for at NSMs fag- og tilsynsmyndighet innen personellsikkerhet styrkes. Styrkingen muliggjøres ved at ressursene i NSM som frigjøres etter endret klareringsmyndighetsstruktur innrettes mot oppgaver innen fag- og tilsynsmyndighet.

53. Forsvarsdepartementet bør fremme et forslag til lovfesting av at NSM som hovedregel kan kreve automatisert innhenting fra kilderegistre, herunder regelmessig kildekontroll i klareringens gyldighetstid.

54. Forsvarsdepartementet bør styrke NSMs evne til å effektivisere klareringsprosessen i form av et materiellprosjekt finansiert av Forsvarsdepartementet. Prosjektet bør blant annet omfatte elektronisk og automatisert kildeinnhenting og vurdering, innføring av nye kilder, videreutvikling av funksjonaliteten i saksbehandlerverktøyet og overgang til elektroniske varsler og bevis om klarering.

Forsvarsdepartementet bør legge til rette for at NSMs kapasitet til å etablere og videreutvikle bilaterale kontaktnett styrkes. Vi bør få andre land til å forplikte seg til en mer effektiv prosess for å innhente opplysninger fra deres kildregistre.

55. Justis- og beredskapsdepartementet bør få utredet en ny tverrsektoriell hjemmel og ordning for bakgrunnskontroll av personell med sikte på å ivareta legitime behov som vandelsattest ikke dekker eller alene er utilstrekkelig for.

56. Sikkerhetsutvalget bør utrede virksomheters rettslige rammer og andre virkemidler for å motvirke innsidetrusselen.

57. Forsvarsdepartementet bør fremme forslag om endring av sikkerhetsloven § 20 sjette ledd, slik at NSM kan gi informasjon fra klareringssaker til PST som er relevant for at PST skal kunne ivareta sitt ansvar for å forebygge og motvirke trusler mot rikets sikkerhet eller andre grunnleggende nasjonale interesser.

58. Forsvarsdepartementet bør gi NSM i oppdrag å utrede hvordan kontrollmekanismene for identifikasjon av personell i hele personellsikkerhetskjeden kan bli sikrere.

Fysisk sikkerhet

59. Det bør sikres at objekter klassifisert etter sikkerhetsloven gis prioritet på statlige sikringsstyrker, fremfor objekter utvalgt kun etter sektorregelverk. Om nødvendig, bør dette fastsettes gjennom Kgl.res. Dette bør vurderes av Sikkerhetsutvalget.

60. Forsvarsdepartementet bør styrke NSM for å øke evnen til å gi råd og veiledning innen fysisk sikkerhet etter sikkerhetsloven.

61. Forsvarsdepartementet, Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet bør utrede hvordan roller, ansvar og evner innen fysisk sikkerhet bør være for relevante fagmiljøer på området. I denne sammenheng bør det vurderes om det bør etableres et felles rådgivingssenter for å samle og utnytte samfunnets ressurser på best mulig måte.

62. Justis- og beredskapsdepartementet bør gi NSM, Politiets sikkerhetstjeneste og Politidirektoratet i oppdrag å utarbeide et kompetanseprogram om sikkerhetsdesign for aktørene i byplanlegging og byggeprosjekter.

Samarbeid med næringslivet

63. Forsvarsdepartementet bør styrke NSM for å etablere og forvalte en ordning for akkreditering av virksomheter for utøvelse av sikkerhetstjenester.

64. Forsvarsdepartementet bør fremme et forslag om at sikkerhetsloven endres slik at Kongen kan utpeke klareringsmyndigheter og klageinstans for saker om leverandørklarering og andre myndighetsavgjørelser på området.

65. Forsvarsdepartementet og Justis- og beredskapsdepartementet bør etablere eller videreutvikle allerede eksisterende arenaer for informasjonsutveksling mellom det offentlige som kunde og leverandører.

66. Forsvarsdepartementet bør som regelverksforvalter forsterke sitt informasjonsarbeid om forskrift om sikkerhetsanskaffelser, for å bidra til hensiktsmessig bruk av det.

Kompetanse

67. Justis- og beredskapsdepartementet bør ta initiativ overfor Kunnskapsdepartementet for å vurdere hvordan det kan stimuleres til en sterkere satsning på IKT-sikkerhet som fag. Vurderingen bør blant annet se på mulighetene for etablering av egne bachelor- og mastergrader i IKT-sikkerhet, og muligheten for å gjøre IKT-sikkerhet til et obligatorisk fag eller kurs for alle som utdanner seg innenfor IT-området.

68. Forsvarsdepartementet bør legge til rette for at kapasiteten økes slik at det kan opprettes sivile plasser ved Forsvarets ingeniørhøyskole.

69. Justis- og beredskapsdepartementet bør ta initiativ overfor Kunnskapsdepartementet for å vurdere hvordan IKT-sikkerhet kan innarbeides i lærerutdanningen.

70. Forsvarsdepartementet bør styrke NSM med undervisningsressurser og nødvendig grunnfinansiering.

71. Forsvarsdepartementet bør tilføre NSM midler til utviklingen av et profesjonelt tilbud innen e-læring som gjør det mulig å skape en felles faglig plattform og skalere tilbudet slik at det kan nå langt flere med færre dager i kurssenteret.

72. Forsvarsdepartementet bør gi NSM i oppdrag å finne løsninger sammen med høgskoler og universiteter med tanke på å tilby poenggivende utdanninger, kurs eller sertifisering.