Svenn Dybvik

Mange norske virksomheter velger å kjøpe skytjenester fra store kommersielle, multinasjonale selskaper. Dette bidrar som oftest til å øke sikkerheten for virksomhetene siden de kan utfase utdaterte IT-løsninger, og få tilgang til sikker infrastruktur og profesjonelle sikkerhetsmiljøer. Samtidig er regjeringen opptatt av den samlede nasjonale avhengigheten til utenlandske skyleverandører, og hva konsekvensene av avhengigheten kan være ved potensielle kriser og konflikter. For noen virksomheter bør derfor bruk av skytjenester vurderes opp mot behovet for nasjonal kontroll og nasjonal beredskap.

Stadig flere virksomheter velger allmenne skytjenester for å imøtekomme behovet for nye og forbedrede IT-løsninger. For flere statlige virksomheter er det imidlertid en utfordring at det ikke finnes tilgang på funksjonelle og kostnadseffektive skytjenester med tilstrekkelig grad av nasjonal kontroll. Det kan føre til økt risiko dersom man likevel velger slike løsninger. Alternativet er at virksomhetene må velge lokale løsninger, noe som kan føre til høyere kostnader og begrenset tilgang til nye teknologiske verktøy. Problemet forventes å øke i tiden som kommer.

Regjeringen vil vurdere etablering av en nasjonal skytjeneste for å sikre økt nasjonal kontroll over kritisk IKT-infrastruktur og å beskytte viktig informasjon.

NSM fikk i november 2021 i oppdrag å utrede behovet for en slik skytjeneste. Flere sentrale aktører er involvert i arbeidet. Utredningsarbeidet er omfattende, komplekst og tar opp flere prinsipielle og tverrsektorielle problemstillinger, blant annet teknologiske, sikkerhetsrelaterte, organisatoriske, juridiske og økonomiske. Alternativene som vurderes skal ta utgangspunkt i nasjonal behandling og lagring av data. Sikkerhetsutfordringer som kan oppstå om en leverandør er underlagt utenlandske staters jurisdiksjon inngår i vurderingen. Det samme gjelder eiermodell, eksempelvis om den nasjonale skytjenesten skal eies og driftes av staten selv, men der kompetanse og innovasjonskraft fra det private benyttes. Utredningen skal leveres innen utgangen av 2022, slik at kvalitetssikring kan gjennomføres innen sommeren 2023.

https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/sky-tjenesteutsetting-og-sikkerhet/

Sky, tjenesteutsetting og sikkerhet

Erfaringer fra NSMs operative virksomhet og andre statlige tilsynsorganer viser at det er lav bevissthet rundt krav til og oppfølging av informasjonssikkerhet ved tjenesteutsetting av IKT-tjenester som skytjenester.

NSM er bekymret for at bl.a samfunnskritiske IKT-tjenester tjenesteutsettes uten tilstrekkelige risikovurderinger og sikringstiltak, og at tjenester driftes fra utlandet eller flyttes til utlandet uten tilstrekkelige sikkerhetsfaglige vurderinger.

Anbefalingene under kan hjelpe din virksomheter med hensyn til vurderinger rundt tjenesteutsetting av IKT-tjenester, inkludert bruk av skytjenester samt arkitekturmessige valg.

https://nsm.no/regelverk-og-hjelp/rapporter/konseptvalgutredning-for-nasjonal-skytjeneste

https://nsm.no/aktuelt/ma-ha-kontroll-pa-datasentre

https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/sikkerhetsfaglige-anbefalinger-ved-tjenesteutsetting/introduksjon/

https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/grunnprinsipper-for-ikt-sikkerhet-2-0/beskytte-og-opprettholde/ivareta-sikkerhet-i-anskaffelses-og-utviklingsprosesser/

https://nsm.no/hold-deg-oppdatert/meninger/datasenter-mellom-to-stoler

https://nsm.no/regelverk-og-hjelp/rapporter/nasjonal-kontroll-av-ikt-tjenester

https://nsm.no/regelverk-og-hjelp/rad-og-anbefalinger/ofte-stilte-sporsmal-om-sky-og-tjenesteutsetting/sky-tjenesteutsetting-og-sikkerhet/

https://nsm.no/aktuelt/statens-muligheter-for-it-modernisering-og-digital-transformasjon-1

https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/landvurdering-ved-tjenesteutsetting-av-ikt-tjenester

https://nsm.no/hold-deg-oppdatert/meninger/samfunnskritisk-ikt-bor-leveres-fra-datasenter-i-norge

Konseptvalgutredning for nasjonal skytjeneste

https://nsm.no/regelverk-og-hjelp/rapporter/konseptvalgutredning-for-nasjonal-skytjeneste

NSM mener Norge trenger en nasjonal skytjeneste.

For enkelte datatyper og IKT-systemer er det sårbart å være avhengig av utenlandske skytjenester. Dette kan være personopplysninger, helsedata, finansielle data, IT-systemer til operasjonssentraler, eiendomsregister, valgsystemer og informasjon om infrastruktur- og transportsystemer i Norge.

Manglende kontroll over viktige data og systemer kan svekke statens evne til å levere sentrale offentlige tjenester, og må derfor beskyttes bedre, fastslår NSM i utredningen. I ytterste konsekvens kan manglende kontroll over IKT-systemer svekke Norges suverenitet, territorielle integritet og demokratiske styreform.

Kompleks utredning

På oppdrag fra Justis- og beredskapsdepartementet (JD) NSM har gjennomført en konseptvalgutredning for nasjonal skytjeneste for ugradert, skjermingsverdig informasjon og andre beskyttelsesverdige data. NSM har utredet flere ulike konsepter i tråd med statens prosjektmodell.

Alternativene spenner fra lovregulering, kommersielle løsninger med utvidet statlig kontroll, rene statseide løsninger og en kombinasjon av disse.

En omfattende behov- og interessentanalyse i statsforvaltningen viser at de ulike alternativene i ulik grad tilfredsstiller virksomhetenes behov. NSM har samtidig sett til nasjonale løsninger i land det er naturlig å sammenligne seg med.

NSMs anbefaling til Justis- og beredskapsdepartementet:

Å samle, tydeliggjøre og eventuelt styrke dagens krav ved bruk av skytjenester. Å etablere eller styrke en statlig tilsynsmyndighet og rådgivningstjeneste.
Å etablere nasjonale skytjenester, som kombinerer en statlig eid og driftet skyløsning på norsk jord underlagt norsk jurisdiksjon, og en skyløsning levert av et fåtall kommersielle virksomheter som skal eie, levere, videreutvikle og drifte disse tjenestene.

Anbefalingen av en kombinert løsning gir et høyere nivå av nasjonal kontroll og høyere funksjonalitet enn et rent statlig eller kommersielt konsept alene.

Last ned dokumentene fra utredningen:

Enkelte deler i dokumentene er underlagt taushetsplikt eller kan påvirke statens forhandlingsposisjon og er følgelig sladdet med hjemmel i offentlighetsloven §13 jf. forvaltningsloven §13 og offentlighetsloven §23.

Konseptvalgutredning

Nasjonal sikkerhetsmyndighet (NSM) har gjennomført en konseptvalgutredning (KVU) for etablering av en nasjonal skytjeneste for behandling av ugradert, skjermingsverdig informasjon (jf. sikkerhetsloven) og andre beskyttelsesverdige data på oppdrag fra Justis- og beredskapsdepartementet (JD).
Ugradert, skjermingsverdig informasjon og informasjonssystemer er informasjon som må være tilgjengelig og korrekt, men samtidig må oppfylle sikkerhetslovens krav til sikring, selv om det ikke vil skade nasjonale sikkerhetsinteresser om innholdet blir kjent.
Utredningen ble gjennomført i perioden februar 2022 til januar 2023. Fra februar til august 2023 har utredningsdokumentene vært gjenstand for ekstern kvalitetssikring (KS1).
NSM har gjennomført en omfattende behov- og interessentanalyse i arbeidet. Det bygger på informasjon fra blant andre statlige virksomheter, leverandørindustri og andre land. Alle konseptene som er utredet har vært gjenstand for økonomiske kalkyler, samfunnsøkonomiske analyser og sikkerhetsmessige vurderinger.
Statens prosjektmodell blir benyttet når store statlige investeringsprosjekter skal utredes. I konseptvalgutredningen beskrives problemet tiltaket skal løse, hvilke fremtidige behov samfunnet vil ha og angi hvilke mål som skal oppnås med å gjennomføre tiltak. Ulike løsninger og tiltak som er konseptuelt forskjellig fra hverandre skal vurderes og sammenlignes gjennom en samfunnsøkonomisk analyse. Det skal anbefales hvilket tiltak som bør gjennomføres og hva som er viktige forutsetninger i den videre planleggingen for å lykkes. Utredningen gjennomgås av uavhengige eksperter, den eksterne kvalitetssikringen (KS1), før konseptvalg kan fattes i regjeringen. Les mer om statens prosjektmodell på regjeringen.no.

https://lod.lovdata.no/journal/2022/3/m-370/Bruk_av_skytjenester_–_Hvilke_spørsmål_bør_virksomhetene_stille_seg_selv?

▼

Bruk av skytjenester

– Hvilke spørsmål bør virksomhetene stille seg selv?

Bruk av skytjenester utløser en rekke personvernrettslige plikter. Det er virksomheten som tar i bruk skytjenestene som er behandlingsansvarlig, og som har hovedansvaret for å etterleve personvernregelverket.

https://www.datatilsynet.no/personvern-pa-ulike-omrader/internett-og-apper/skytjenester/

Skytjenester

Skytjenester (cloud computing) er en samlebetegnelse på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett.

Serverparkene kjennetegnes ved at de er laget for dynamisk skalering. Det betyr at datakraft kan tilpasses kapasitetsbehov, og kunden kan betale for det den faktisk bruker.

Mange eksterne serverparker står utenfor Norges grenser. En stor utfordring for virksomhetene som bruker slike tjenester er å sørge for at avtalen med skytjeneste-leverandøren er i samsvar med norsk lovgivning.

Ulike former for skytjenester

Det er vanlig å dele skytjenester opp i tjenestemodeller. De tre vanligste er:

Programvare som tjeneste (software as a service - SaaS), som er en modell for leveranse over et nettverk hvor kunden benytter leverandørens applikasjon(er) på en nettsky-infrastruktur. Kunden har i utgangspunktet ikke kontroll over verken applikasjoner, nettverk, servere, operativsystemer eller lagringsmuligheter.
Plattform som tjeneste (platform as a service - PaaS), hvor kunden innfører applikasjoner utviklet/kjøpt av kunden i leverandørens nettsky-infrastruktur gjennom å benytte programmeringsspråk og verktøy støttet av leverandøren. Kunden har kontroll over egne applikasjoner, men har ikke kontroll over nettverk, servere, operativsystemer eller lagringsmuligheter.
Infrastruktur som tjeneste (infrastructure as a service - IaaS), som gjelder levering av datainfrastruktur som en tjeneste over et nettverk. Kunden har kontroll over relevante applikasjoner, servere, operativsystemer og lagringsmuligheter, samt i noen tilfeller visse elementer i nettverket (for eksempel på brannmursiden).

Skytjenester kan i tillegg deles inn i leveransemodeller som:

Allmenn tilgjengelig sky (public cloud), hvor skytjenestene gjøres tilgjengelige av leverandøren for alle kunder.
Privat tilgjengelig sky (private cloud), hvor skytjenestene gjøres tilgjengelige kun for devirksomheter som skytjenestene skal gjelde for. Her vil miljøet/miljøene som skytjenesten leveres fra, typisk dedikeres til den enkelte kunde eller en definert kundegruppe. Dette opplegget åpner for større grad av spesifikke kundetilpasninger enn tilfellet er med modellen for offentlig tilgjengelig sky.
Hybridsky (hybrid cloud), som kan være en blanding av modellene over.

Når virksomheten benytter skytjenester er det viktig at den kjenner pliktene sine og det for eksempel gjøres risikovurderinger og at personvernkonsekvensene vurderes.

Andre lands nasjonale skytjenester

Flere av våre nærmeste naboland har aktiviteter knyttet til nasjonale skytjenester. Sverige har foreløpig ikke etablert en statlig tjeneste, men utført flere utredninger og avklaringer. Danmark har etablert en «GovCloud» som driftes av Statens It og som gir mulighet for å plassere applikasjoner i en offentlig eid og driftet skytjeneste. Tyskland har etablert «Die Bundescloud» som er en lukket skytjeneste som utvikles, eies og driftes av staten. Storbritannia har sin «G-cloud» som bidrar til å gjøre anskaffelser enklere med standardiserte rammeavtaler og godkjenning av leverandører.

https://nsm.no/aktuelt/nsm-bekymret-for-nasjonal-avhengighet-av-utenlandske-skytjenester

NSM bekymret for nasjonal avhengighet av utenlandske skytjenester

1. skytjenester og tjenesteutsetting.

2. digitale hendelser som rammer norske virksomheter og metodene som brukes mot oss

3. status for nasjonale digitale tiltak videre sikkerhetsarbeid

1. Skytjenester og tjenesteutsetting

Fordelene med skytjenester er større enn ulempene - for de aller fleste.

NSM er positive til at virksomheter bruker skytjenester dersom det gjøres gode og riktige vurderinger. Virksomhetene har selv ansvaret for sikring av egne verdier, og god sikkerhetsstyring blir dermed viktig. Økt bruk av skytjenester gir nye sårbarheter og økt risiko utover virksomhetens eget domene. Allerede i dag bærer utenlandske skytjenesteleverandører viktige norske samfunnsfunksjoner.

NSM er bekymret for den samlede nasjonale avhengigheten av utenlandske skytjenesteleverandører og hva denne avhengigheten kan medføre ved potensielle kriser og konflikter. For noen virksomheter bør bruk av skytjenester derfor vurderes opp mot behovet for nasjonal kontroll og nasjonal beredskap.

Skytjenester vil være vesentlig for realisering av fremtidens teknologi og vil utgjøre sentrale byggeklosser for morgendagens digitaliserte samfunn. I arbeidet med vår samlede nasjonale beredskap må bruken av sky tas hensyn til.

https://www.næringslivnorge.no/digitalisering/dette-er-du-nodt-til-a-tenke-pa-for-du-tar-i-bruk-en-skylosning/

CLOUD COMPUTING

Dette er du nødt til å tenke på før du tar i bruk en skyløsning

Cloud computing, eller skytjenester, har i mange år ikke bare vært et buzzword, men en realitet både i offentlig og privat sektor. Kostnadene ved å ha en lokal IT-avdeling er for de fleste større enn det man må betale for å sette ut IT-leveransen til en profesjonell IT-leverandør som bruker skyløsninger.

Bedrifter har i mange år satt ut IT-tjenester til eksterne, og internett var tidlig brukt som basis for infrastruktur. Men med dagens antall av leverandører, underleverandører, nett-topologier, ulike behov for integrasjoner, med mer, gjør bildet mye mer komplekst. Selv om prosessen for å sette ut IT for en virksomhet ikke er så forskjellig fra tidligere, har en virksomhet i dag mange flere parametre å forholde seg til enn før.

Kjenn din virksomhet

Det kan virke som en selvfølge, men det aller viktigste er å kjenne sin virksomhet så godt at man vet hva som skal beskyttes. For å kunne omsette kjennskapen til krav som skal formidles til en leverandør, kreves en systematisk tilnærming. Dette er en viktig aktivitet, ettersom virksomheten fortsatt selv vil være den som er ansvarlig for IT-systemer, administrative eller produksjons-prosesser, ledelse som må selv stå til rette for både interne og eksterne prosesser.

For å kjenne sin virksomhet er det spesielt to aktiviteter som må gjennomføres:

1. Verdivurdering: Denne aktiviteten vil kartlegge de verdier virksomheten er avhengige av for å nå sine mål.

2. Risikovurdering: Denne aktiviteten er som regel todelt med risikovurdering knyttet til virksomheten slik det foreligger før en tar i bruk en skyløsning og hva det vil medføre å ta i bruk en skyløsning.

Resultatet av disse to aktivitetene og eksisterende sikkerhetspolicyer/sikkerhetsrutiner vil danne en kravliste for sikkerhet til skyleverandøren.

Krav-dokumentet

Skal du bruke en skyløsning som en del av produksjonen i din virksomhet, er det viktig at kravsettet som utarbeides for skyløsningen dekker helheten i en slik anskaffelse. Alt fra hvordan sikkerhet skal ivaretas når skyløsningen skal integreres i virksomheten og de eksisterende IT-systemer som fortsatt skal benyttes, via sikkerhet i forvaltning og oppfølging av leveranser, til hvordan tilbakeføring av data og funksjoner skal gjøres sikkerhetsmessig forsvarlig for virksomheten ved opphør av tjenesten.

For å kunne ha en god oppfølging av sikkerheten i skytjenesten er det nødvendig at virksomheten selv har et system for oppfølging. Med en strukturert tilnærming til oppfølging av sikkerhetskravene er man et godt stykke på vei. Det er viktig gjennom kravstillingen å sikre seg at leverandøren har et styringssystem for sikkerhet, og at virksomheten får nødvendig innsyn i dette til å kunne ivareta kontrollen av leveransen, samt at leverandøren står for avviks- og sikkerhetsrapportering til virksomheten.

En må kreve av leverandøren å få en oversikt over hvem som kommer i befatning med virksomhetens informasjon, hvor informasjonen lagres og hvordan den skilles fra andre virksomheters informasjon. Krav til kryptering for overføring og lagring, samt nødvendig detaljering av tilgangsstyring er en selvfølge i kravdokumentet. Det er viktig å sikre seg at leverandøren har nødvendig sikkerhetsmessig overvåking for leveransen, rutiner for varsling, og at hendelseshåndtering er koordinert din virksomhet. Krav i forbindelse med terminering må omhandle eierskap til informasjon, prosess for tilbakeføring av informasjon og sikker sletting hos leverandøren. En eventuell databehandleravtale skal inneholde hvordan sikkerheten ivaretas.

Sikkerhetskompetanse

For å være i stand til å vurdere risiko på en god måte, og kunne utforme gode sikkerhetskrav, vil det være nødvendig at virksomheten har egen sikkerhetskompetanse, eller leier inn en tredjepart. Da vil man utfylle den øvrige kompetansen som er nødvendig ved inngåelse av en kontrakt med en skytjenester.

https://www.regjeringen.no/no/dokumenter/meld.-st.-9-20222023/id2950130/?ch=4

▲

Meld. St. 9 (2022–2023) {kapittel 4}

Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet— Så åpent som mulig, så sikkert som nødvendig

Nasjonal kontroll over verdier av betydning for nasjonal sikkerhet

https://www.regjeringen.no/no/dokumenter/meld.-st.-9-20222023/id2950130/?ch=3

▲

Meld. St. 9 (2022–2023) {kapittel 3}

Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet— Så åpent som mulig, så sikkert som nødvendig

Virkemidler for å styrke nasjonal kontroll og bygge digital motstandskraft

https://www.regjeringen.no/no/aktuelt/regjeringen-vil-styrke-nasjonal-kontroll-i-ny-stortingsmelding/id2950574/

Regjeringen vil styrke nasjonal kontroll i ny stortingsmelding

"Regjeringen vil styrke nasjonal kontroll og digital motstandskraft og legger frem en ny melding for Stortinget. De siste årene har trusselaktører tatt i bruk stadig nye virkemidler for å ramme Norge. Sammensatte trusler er komplekse og berører alle samfunnsområder.

– Regjeringen mener vi må sikre oss bedre mot sammensatte trusler som sikkerhetstruende økonomisk aktivitet, skadelig skjult eierskap, digitale angrep, påvirkningsoperasjoner eller forstyrrelser i energiforsyningen. Vi trenger kraftfulle tiltak for å ivareta nasjonal sikkerhet,"

https://www.regjeringen.no/no/tema/samfunnssikkerhet-og-beredskap/innsikt/hovedprinsipper-i-beredskapsarbeidet/id2339996/

Hovedprinsipper i beredskapsarbeidet

Om regjeringens og departementenes beredskapsarbeid og krisehåndtering.

Hovedprinsipper

Beredskapsarbeidet bygger på fire grunnleggende prinsipper:

1. Ansvarsprinsippet

Den organisasjon som har ansvar for et fagområde i en normalsituasjon, også har ansvaret for nødvendige beredskapsforberedelser og for å håndtere ekstraordinære hendelser på området. Ansvarlig instans må ta stilling til hva som er akseptabel risiko.

2. Likhetsprinsippet

Den organisasjon man opererer med under kriser, skal i utgangspunktet være mest mulig lik den organisasjon man har til daglig.

3. Nærhetsprinsippet

Kriser skal organisatorisk håndteres på lavest mulig nivå.

4. Samvirkeprinsippet

Myndigheter, virksomheter og etater har et selvstendig ansvar for å sikre et best mulig samvirke med relevante aktører og virksomheter i arbeidet med forebygging, beredskap og krisehåndtering.

Justis- og beredskapsdepartementet

Justis- og beredskapsdepartementet skal være fast lederdepartement i sivile nasjonale kriser, dersom Kriserådet ikke bestemmer noe annet.

Justis- og beredskapsdepartementet har i tillegg samordningsansvar for samfunnets sivile sikkerhet og ansvar for tilsynsarbeid gjennom Direktoratet for samfunnssikkerhet og beredskap, Nasjonal sikkerhetsmyndighet og hovedredningssentralene

Den sentrale krisehåndteringen

Regjeringen

Regjeringen har det øverste ansvaret for beredskapen i Norge, herunder det overordnede politiske ansvaret for styring og håndtering av kriser.

Kriserådet

Det øverste administrative koordineringsorganet på departementsnivå. Ivaretar og sikrer strategisk koordinering, blant annet mellom berørte departementer.

Rådet har seks faste medlemmer: regjeringsråden ved Statsministerens kontor samt departementsrådene i Justis- og beredskapsdepartementet, Helse- og omsorgsdepartementet, Forsvarsdepartementet, Kommunal-og moderniseringsdepartementet og Utenriksdepartementet. Rådet kan utvides ved behov.

Lederdepartementet

Lederdepartementet har ansvaret for å koordinere håndteringen av krisen på departementsnivå. Justis- og beredskapsdepartementet skal være fast lederdepartement i sivile nasjonale kriser, dersom Kriserådet ikke bestemmer noe annet. Lederdepartementet rapporterer og fremskaffer beslutningsgrunnlag til Kriserådet og Regjeringen. Utpeking av lederdepartement medfører ikke endringer i konstitusjonelle ansvarsforhold, og alle departement beholder ansvar og beslutningsmyndighet for sine respektive saksområder.

Krisestøtteenheten

Er permanent sekretariat for Kriserådet og skal støtte lederdepartementene. I en krise bidrar Krisestøtteenheten med kompetanse i form av rådgivning og faglig bistand til lederdepartementets arbeid med samordning og helhetlig sentral krisehåndtering. Krisestøtteenheten bemanner sivilt situasjonssenter som understøtter Justis- og beredskapsdepartementets samordningsrolle med døgnkontinuerlig beredskap og er fast kontaktpunkt for informasjon til og fra departementet ved ekstraordinære hendelser og kriser.

Les mer

Justis- og beredskapsdepartementet

Tema

Samfunnssikkerhet og beredskap

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 17 december 2023 17:12

NATO

https://www.sto.nato.int/Pages/default.aspx

"assessment of Science & Technology (S&T) trends and their potential impact on NATO military operations"

https://www.nato.int/nato_static_fl2014/assets/pdf/2023/3/pdf/stt23-vol1.pdf

https://www.nato.int/nato_static_fl2014/assets/pdf/2023/3/pdf/stt23-vol2.pdf

Emerging and disruptive technologies

https://www.nato.int/cps/en/natohq/topics_184303.htm

"The strategic context"

"Emerging and disruptive technologies are increasingly touching all aspects of life – from electronics like phones and computers, to everyday activities like shopping for food in the grocery store and managing money in the bank. These technologies are also having a profound impact on security. Innovative technologies are providing new opportunities for NATO militaries, helping them become more effective, resilient, cost-efficient and sustainable. These technologies, however, also represent new threats from state and non-state actors, both militarily and to civilian society.

NATO’s 2022 Strategic Concept,"

Artificial intelligence and human-autonomy teaming in military operations

https://www.ffi.no/publikasjoner/arkiv/trusting-machine-intelligence-artificial-intelligence-and-human-autonomy-teaming-in-military-operations

https://ffi-publikasjoner.archive.knowledgearc.net/bitstream/handle/20.500.12242/3231/2193366.pdf

Conceptualise Foreign Information Manipulation

https://www.ffi.no/publikasjoner/arkiv/the-space-of-influence-developing-a-new-method-to-conceptualise-foreign-information-manipulation-and-interference-on-social-media

https://ffi-publikasjoner.archive.knowledgearc.net/bitstream/handle/20.500.12242/3189/2149121.pdf

Morfologiske analyser

https://www.ffi.no/sok?tags=Morfologisk%20analyse

Informasjonsintegrasjon for et moderne forsvar

https://www.ffi.no/publikasjoner/arkiv/stordata-og-avansert-analyse-sluttrapport-for-ffi-prosjekt-informasjonsintegrasjon-for-et-moderne-forsvar

https://ffi-publikasjoner.archive.knowledgearc.net/bitstream/handle/20.500.12242/2959/21-02647.pdf

Totalberedskapskommisjonen

https://www.regjeringen.no/no/dokumenter/horing-nou-202317-na-er-det-alvor-totalberedskapskommisjonen/id2985496/?expand=horingssvar

NOU 2023:17

Rustet for en usikker fremtid

https://www.regjeringen.no/contentassets/4b9ba57bebae44d2bebfc845ff6cd5f5/no/pdfs/nou202320230017000dddpdfs.pdf

https://www.regjeringen.no/no/dokumenter/horing-nou-202317-na-er-det-alvor-totalberedskapskommisjonen/id2985496/?showSvar=true&term=&page=1&isFilterOpen=true

Styringsdokumenter for Forsvaret

(utvalgte)

https://www.ffi.no/om-ffi/styringsdokumenter/Tildelingsbrev%202023%20for%20Forsvarets%20forskningsinstitutt.PDF

Instruks virksomhetsstyring forsvarssektoren

https://www.regjeringen.no/no/dokumenter/oppdatert-instruks-for-okonomi--og-virksomhetsstyring-i-forsvarssektoren/id2537099/

"Forsvarets planmessighet 2021-2024"

https://www.regjeringen.no/no/tema/forsvar/ltp/LTP/id2611090/

NATO Allies and Partners take part in world’s largest cyber defence exercise

https://www.nato.int/cps/en/natohq/news_214144.htm

NATO Cyber defenca / försvarsmakten aktuellt

https://www.nato.int/cps/en/natohq/topics_78170.htm
https://www.forsvarsmakten.se/sv/aktuellt/2023/04/forsvarsmaktens-lag-vann-varldens-storsta-cybersakerhetsovning/

"resilience of critical infrastructure"

https://www.nato.int/cps/en/natohq/news_216631.htm?selectedLocale=en

https://www.nato.int/cps/en/natohq/topics_132722.htm

https://www.nato.int/cps/en/natohq/topics_80906.htm

▲

Electromagnetic warfare

Military operations conducted in all environments use the electromagnetic spectrum to create effects that support military objectives. As a part of the battlespace, NATO forces conduct Electromagnetic Operations (EMO) in the Electromagnetic Environment (EME). EMO involves activities that exploit the EME to enable or enhance NATO operations and hinder the potential adversary's ability to do the same. As the combat arm of EMO, Electromagnetic Warfare (EW) activities provide military action that exploits electromagnetic energy to provide situational awareness and create offensive and defensive effects.

From attacks on radar systems, to jamming of communications and navigation systems, to electronic masking, probing, reconnaissance and intelligence gathering, EW can be applied in all operational domains – air, land, maritime, space and cyber. It is therefore vital that NATO remains ready and able to counter any potential adversary’s use of EW.
EW should not be confused with cyber warfare and capabilities. Broadly speaking, cyber operations use various hacking techniques to infiltrate and disrupt a target’s computer systems, in order to obtain intelligence or degrade the target’s capabilities. EW uses directed energy to cut off access to the electromagnetic spectrum, blocking signals between technologies and rendering them inoperable. Of course, by interfering with computer infrastructure, EW can affect operations in the cyber domain.
The NATO Electromagnetic Warfare Policy and NATO Electromagnetic Spectrum (EMS) Strategy govern the Alliance’s use, development, testing and training of EW capabilities and tactics.
NATO conducts exercises where Allies test out advanced EW techniques against simulated threats using state-of-the-art electronic defences. Observations and lessons learned from these exercises help identify gaps and shape recommendations to prepare NATO for future developments in electromagnetic warfare.
Electromagnetic warfare was previously referred to as ‘electronic warfare’ by NATO, and the two terms are often used interchangeably. ‘Electromagnetic warfare’ is now preferred, to emphasise the importance of the electromagnetic spectrum in EW.

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 10 december 2023 10:12

Riksrevisjonen

Undersøkelse av Forsvarets informasjonssystemer til bruk i operasjoner.

Les hele artikkelen

▼

https://www.riksrevisjonen.no/rapporter-mappe/no-2022-2023/undersokelse-av-forsvarets-informasjonssystemer-informasjonssystemer-til-bruk-i-operasjoner/

Forsvarets Cybersikkerhet

"Bare toppen av isfjellet."

Les hele artikkelen

▼

https://www.dagsavisen.no/nyheter/innenriks/2022/10/04/ikt-norge-om-kritikk-mot-forsvaret-bare-toppen-av-isfjellet/

"Sammen for en trygg hverdag"

Statsråd Emilie Enger Mehl åpnet mandag 3. oktober nasjonal sikkerhetsmåned 2022 – en årlig nasjonal dugnad for å øke den digitale sikkerhetsbevisstheten i Norge.

Les hele artikkelen

▼

https://www.regjeringen.no/no/aktuelt/nasjonal-sikkerhetsmaned-er-i-gang/id2930570/

https://www.riksrevisjonen.no/rapporter-mappe/no-2022-2023/undersokelse-av-forsvarets-informasjonssystemer-informasjonssystemer-til-bruk-i-operasjoner/

Undersøkelse av Forsvarets informasjonssystemer til bruk i operasjoner

Kort fortalt
Effektive og sikre informasjonssystemer er avgjørende for Forsvarets operative evne. Informasjon skal deles og kommandoer gis raskt. Sikkerhetstrusler skal oppdages og stanses.
Riksrevisjonen har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner.
Dette er en av de mest alvorlige rapportene Riksrevisjonen har lagt frem. Begrunnelsen er at svakhetene kan få store konsekvenser for rikets sikkerhet
Selve rapporten er gradert etter reglene i sikkerhetsloven, men vi har utarbeidet en ugradert oppsummering.
Vi har hovedsakelig undersøkt perioden fra 2017 til 2020, altså forrige langtidsplan for forsvarssektoren.

Kritikknivå: Svært alvorlig

Det er svært alvorlig at det er mangler ved informasjonssystemene Forsvaret bruker i operasjoner, både når det gjelder samvirke og sikkerhet. Dette kan få store konsekvenser.

Kritikknivå: Alvorlig
Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset i situasjoner med et økt trusselnivå.
Forsvaret bruker informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav.

Kritikknivå: Sterkt kritikkverdig
Forsvaret har ikke god nok oversikt over og kunnskap om informasjonssystemene.
Forsvaret mangler et solid system for sikkerhetsstyring.
Forsvaret har i liten grad begrenset antall informasjonssystemer.
Forsvarsdepartementet, Forsvarsmateriell og Forsvaret møter ikke forventningene Stortinget stilte til IKT-portefølje, styring og organisering i forrige langtidsplan.

https://kommunikasjon.ntb.no/pressemelding/riksrevisor-en-av-de-mest-alvorlige-rapportene-vi-har-lagt-frem?publisherId=17846918&releaseId=17942333&lang=no

Riksrevisor: En av de mest alvorlige rapportene vi har lagt frem

Riksrevisjonen har funnet mangler i informasjonssystemene Forsvaret bruker i operasjoner. Det er sårbarheter i sikkerheten, og systemene fungerer for dårlig sammen. Dette er svært alvorlig.

─ Rapporten om Forsvarets informasjonssystemer er en av de mest alvorlige Riksrevisjonen noen gang har lagt frem, sier riksrevisor Karl Eirik Schjøtt-Pedersen.

Forsvarets operative evne avhenger av muligheten til å samhandle i operasjoner, både mellom ulike deler av Forsvaret og med Nato og allierte. Riksrevisjonen har undersøkt informasjonssystemene Forsvaret bruker for kommunikasjon og informasjonsutveksling i operasjoner. Militærfaglig kalles dette kommando- og kontrollinformasjonssystemer. Informasjon skal deles og kommandoer gis raskt. Forsvaret må derfor sørge for at systemene er effektive. Sikkerhetstrusler mot informasjonssystemene, som sabotasje, terror og spionasje, må også oppdages og stanses raskt.

─ Det er svært alvorlig at det er mangler ved informasjonssystemene Forsvaret bruker i operasjoner. Forsvaret har kjent til dette i mange år og ikke evnet å gjøre det som trengs, sier Schjøtt-Pedersen.

─ I en rekke undersøkelser, blant annet om objektsikring og kjøp av nye helikoptre, har Riksrevisjonen avdekket alvorlige svakheter i Forsvaret. Hvordan er det mulig at de som har ansvar for å sikre Norges suverenitet og selvstendighet har havnet i denne situasjonen? spør Schjøtt-Pedersen.

Riksrevisjonen har undersøkt perioden 2017 til 2020, som sammenfaller med forrige langtidsplan for forsvarssektoren. Selve rapporten er gradert etter sikkerhetsloven, men vi offentliggjør i dag en ugradert oppsummering.

Les den ugraderte oppsummeringen.

(PDF, 0,37 MB)Last ned ugradert oppsummering (pdf)

"Vi kommer til å følge opp denne undersøkelsen allerede om ett til to år for å se om situasjonen har blitt bedre. Årsaken til det er at funnene er så alvorlige. Normalt følger vi opp etter tre år, men her er det helt avgjørende at Forsvarsdepartementet tar tak raskt."

Sårbarheter i sikkerheten kan få store konsekvenser

Riksrevisjonens undersøkelse viser at sårbarheter i Forsvarets informasjonssystemer gir risiko for svekket operativ evne. Det betyr at det kan bli vanskeligere for Forsvaret å håndtere angrep mot norske mål. Riksrevisjonen kritiserer dette, men innholdet i kritikken er gradert.

Ellers mener Riksrevisjonen det er alvorlig at

Forsvarets evne til å oppdage og håndtere digitale angrep er begrenset i situasjoner med et økt trusselnivå
Forsvaret bruker informasjonssystemer som ikke tilfredsstiller sikkerhetslovens krav om å beskytte informasjon som skal skjermes
I tillegg mener vi det er sterkt kritikkverdig at Forsvaret

ikke har god nok oversikt over og kunnskap om informasjonssystemene
ikke har et mer solid system for sikkerhetsstyring
─ Svakhetene som Riksrevisjonen avdekker kan få store konsekvenser, både i fred, krise og krig. Vi snakker om grunnleggende sikkerhet i en stadig mer digital verden. Forsvaret må sikre informasjonssystemene sine og det må skje raskt, sier Schjøtt-Pedersen.

Digital sikkerhet er svært viktig og digitale angrep har i økende grad blitt en del av militære operasjoner. De kan få like alvorlige konsekvenser som et tradisjonelt angrep. Derfor er det avgjørende at Forsvaret sikrer informasjonssystemene de bruker i operasjoner.

Informasjonssystemene fungerer ikke godt nok sammen
Undersøkelsen viser også at Forsvarets informasjonssystemer ikke fungerer godt nok sammen. Det gir risiko for redusert effektivitet og kan få betydning i en situasjon der konfliktnivået øker og tid er avgjørende. Riksrevisjonen kritiserer dette, men innholdet i denne kritikken er også gradert.

Forsvaret har svært mange informasjonssystemer med ulike tekniske løsninger. Dette gjør det vanskelig å dele informasjon effektivt mellom systemene. I tillegg er det ressurskrevende.

Forsvaret har lenge hatt et mål om å redusere antallet systemer, men har i liten grad klart å begrense antallet. Det mener Riksrevisjonen er sterkt kritikkverdig.

For at Forsvarets informasjonssystemer skal fungere effektivt i operasjoner må informasjon kunne deles enkelt og sikkert mellom ulike systemer. Riksrevisjonens undersøkelse viser at det ikke er tilfelle.

Gradert rapport, ugradert oppsummering
Rapporten om Forsvarets informasjonssystemer er gradert på nivået «KONFIDENSIELT» etter reglene i sikkerhetsloven. Det betyr at den ikke er offentlig av hensyn til rikets sikkerhet.

─ Riksrevisjonen strekker seg langt for å sikre åpenhet om våre undersøkelser. Samtidig må vi følge sikkerhetsloven. Jeg vil understreke at det vi legger frem i dag gir et relativt fullstendig bilde av saken, selv om vi ikke kan gå ut med alle detaljer. Når Riksrevisjonen finner så alvorlige feil i statsforvaltningen er det svært viktig at innbyggerne får vite om det. Det er ikke mange andre som kan gi offentligheten denne typen informasjon om Forsvaret, understreker Schjøtt-Pedersen.

Den graderte rapporten er levert til Stortinget. I tillegg offentliggjør vi en oppsummering av rapporten - en ugradert versjon av Dokument 3:3 (2022─2023). Den er utarbeidet i god dialog med Forsvarsdepartementet, som er informasjonseier. Graderte opplysninger er fjernet og en del informasjon er skrevet om slik at informasjonen kan offentliggjøres. Dette gjelder også deler av Riksrevisjonens kritikk.

https://www.dagsavisen.no/nyheter/innenriks/2022/10/04/ikt-norge-om-kritikk-mot-forsvaret-bare-toppen-av-isfjellet/

IKT-Norge om kritikk mot Forsvaret: Bare toppen av isfjellet

Riksrevisjonen kritikk av Forsvarets cybersikkerhet er svært alvorlig, men enda mer alvorlig er at dette bare er toppen av isfjellet, uttaler IKT-Norge.

– Manglende kompetanse, situasjonsforståelse, sikkerhetskultur og vilje til cybersikkerhet ser ut til å gjelde store deler av det norske samfunnet, skriver bransjeorganisasjonen i en pressemelding.

– IKT-Norge har det siste året kommet med kraftige advarsler. Vi har pekt på en rekke tilfeller som hver for seg er svært alvorlige, men som sammen utgjør en uholdbar situasjon for Norge, heter det videre.

Selve rapporten fra Riksrevisjonen er hemmelighetstemplet, men ifølge en ugradert oppsummering kommer det fram at svakheter som er avdekket, etter riksrevisjonens syn kan få store konsekvenser for rikets sikkerhet.

Funnene til Riksrevisjonen er svært alvorlige, sier leder Torbjørn Bongo i Norges offisers- og spesialistforbund til VG.

– Svært mange ansatte i Forsvaret er glad for at Riksrevisjonen nå setter et kritisk søkelys på Forsvarets IKT-systemer. Mange har sagt tydelig ifra internt. Men dette er et så sensitivt område for Forsvaret og for rikets sikkerhet at det har vært for krevende for mange å varsle, sier Bongo.

Han mener Forsvarets IKT-systemer levd på sikkerhetsmyndighetenes nåde i lengre tid. Overfor VG bekreftes dette bildet av både Nasjonal sikkerhetsmyndighet og forsvarsledelsen.

https://www.regjeringen.no/no/aktuelt/nasjonal-sikkerhetsmaned-er-i-gang/id2930570/

(fra oktober 2022)

Statsråd Emilie Enger Mehl åpnet mandag 3. oktober nasjonal sikkerhetsmåned 2022 – en årlig nasjonal dugnad for å øke den digitale sikkerhetsbevisstheten i Norge.

Gasslekkasjene i Østersjøen og den pågående krigen i Ukraina har økt både oppmerksomheten og interessen for sikkerhet – og i vårt digitaliserte samfunn er digital sikkerhet noe som angår oss alle. Utfordringen er at mange fortsatt mangler nødvendige ferdigheter og kunnskaper for å møte trusler i det digitale rom.

– Tidligere var digital sikkerhet noe for de spesielt interesserte. Nå er det noe som angår absolutt alle. Jeg ser på årets sikkerhetsmåned, i den tiden vi er inne i, som en verdifull mulighet til å styrke det digitale forsvaret av Norge, sa justis- og beredskapsminister Emilie Enger Mehl, da hun 3. oktober åpnet Nasjonal sikkerhetsmåned 2022 sammen med NorSIS og Nasjonal sikkerhetsmyndighet.

Hun pekte på at regjeringen har bidratt til å bedre beredskapen også innenfor det digitale rom, blant gjennom å styrke Nasjonal sikkerhetsmyndighet (NSM) og PST.

Sammen for en trygg hverdag
Nasjonal sikkerhetsmåned arrangeres hvert år for å øke engasjementet, bevisstheten og kunnskapen om digital sikkerhet, både i befolkningen og i virksomheter. Det er Norsk senter for informasjonssikring (NorSIS) som koordinerer nasjonal sikkerhetsmåned i Norge på oppdrag fra Justis- og beredskapsdepartementet.

I år er temaet for nasjonal sikkerhetsmåned «Sammen for en trygg digital hverdag», med oppmerksomhet på løsepengeangrep og ulike former for sosial manipulering.

Hele denne måneden foregår det en rekke aktiviteter for å styrke den digitale sikkerhetsbevisstheten i Norge. Det arrangeres blant annet foredragsdugnad, seminarer og kampanjer i sosiale medier. Informasjon om aktiviteter under sikkerhetsmåneden – samt gode råd og veiledninger for å øke digital sikkerhet – finner du på nettstedene til NorSIS og Nasjonal sikkerhetsmyndighet.

Les mer om Nasjonal sikkerhetsmåned hos NorSIS

Cyberangrep har blitt hverdagskost

Under åpningen av sikkerhetsmåneden la Nasjonal sikkerhetsmyndighet (NSM) fram sin årlige rapport Nasjonalt digitalt risikobilde 2022.

Rapporten viser en økning i antallet registrerte angrepsforsøk mot norske virksomheter i første halvdel av 2022. Antallet angrep som har lykkes har imidlertid gått ned sammenliknet med 2021. Særlig er det teknologibedrifter, virksomheter innen forskning og utvikling og offentlige forvaltningsorganer som rammes av cyberangrep.

Ofte utnytter trusselaktørene trivielle feil og svakheter. Det er både unødvendig og kan være kostbart, og NSM ser at en rekke digitale hendelser kunne vært unngått om norske virksomheter hadde iverksatt grunnleggende sikkerhetstiltak.

Les mer og last ned rapporten hos NSM

Gjennom NSM har myndighetene utarbeidet en rekke nasjonale råd og anbefalinger for IKT-sikkerhet for virksomheter. NorSIS har i tillegg råd og veiledninger til privatpersoner.

NMSs grunnprinsipper for IKT-sikkerhet

Fakta og veiledninger om å være trygg på nett hos NorSIS

https://www.regjeringen.no/no/tema/samfunnssikkerhet-og-beredskap/id1120/

Samfunnssikkerhet og beredskap
"Forebygging er vår viktigste oppgave når det gjelder hendelser som truer sentrale samfunnsinstitusjoner, vår felles sikkerhet eller den enkeltes trygghetsfølelse. Kriser må møtes ved bruk av de samlede nasjonale ressurser, basert på klare strukturer, ansvarsforhold og kommandolinjer mellom sivile og militære aktører og tilstrekkelig kompetanse på alle nivå."

https://www.regjeringen.no/no/dokumenter/meld.-st.-22-20202021/id2841118/

Meld. St. 22 (2020–2021)
Data som ressurs — Datadrevet økonomi og innovasjon
Tilråding fra Kommunal- og moderniseringsdepartementet 26. mars 2021, godkjent i statsråd samme dag. (Regjeringen Solberg)

Dokumentet i PDF format (17,3 MB)

https://nsm.no/aktuelt/digitalt-risikobilde-2022-cyberangrep-har-blitt-hverdagskost

Den sikkerhetspolitiske situasjonen er i endring. Cyberangrep er hverdagskost. Det får konsekvenser også i Norge. Nasjonalt digitalt risikobilde 2022 viser vei videre.

Å holde tritt med det stadig skiftende risikobildet er krevende for de aller fleste norske virksomheter. Gasslekkasjen i Østersjøen har satt sikkerhet øverst på agendaen. Rapporten fra Nasjonal sikkerhetsmyndighet (NSM) gir innsikt i hvilke digitale sikkerhetstiltak virksomheter bør prioritere for å beskytte egen virksomhet og verdier.

Det haster mer enn tidligere å implementere risikoreduserende tiltak. Vi har et utfordrende risikobilde, og det skaper stor usikkerhet. I NSM ser vi at en rekke digitale hendelser kunne vært unngått om norske virksomheter hadde iverksatt grunnleggende sikkerhetstiltak.

Utsatte sektorer

I den første halvdelen av 2022 har NSM registrert en økning i antallet forsøk på kompromitteringer mot norske virksomheter. Antallet faktiske kompromitteringer, hvor trusselaktører har lyktes, er lavere enn i samme periode i 2021.

Særlig tre sektorer har vært utsatt for ulike typer cyberangrep det siste året, viser NSMs statistikk. Det er teknologibedrifter, forskning og utvikling, og offentlige forvaltningsorganer. NSM-direktør Sofie Nystrøm understreker at det er svært viktig at virksomheter i disse sektorene er særlig årvåkne. Samtidig kan vi lære av erfaringene vi har gjort oss, i arbeidet fremover hvor olje og gass, elektronisk kommunikasjon og kraftbransjen er eksempler på utsatte sektorer.

Opprettholde tillit

Bakteppet for årets rapport er et helt enn hva vi hadde for bare et år siden. Da så vi trusler mot usikre hjemmekontorløsninger og forsøk på såkalt korona-svindel og phishing. Nå ser vi forsøk på å kompromittere infrastruktur og politiske hevnaksjoner.

Før sommeren i Norge ble en rekke offentlige nettsider – som politiet, Nav og UDI – utsatt for tjenestenektangrep. Nettsidene opplevdes ustabile og trege. Vår utenriksminister ble hengt ut. Dette er angrep som har som formål å forvirre, skape usikkerhet og misnøye.

- Kritiske tjenester ble ikke rammet, men det som er veldig kritisk – og bekymringsverdig – er at det rokker ved tilliten til viktige funksjoner i samfunnet vårt. Og tilliten i det norske samfunnet er i seg selv et mål for trusselaktører. Den tilliten må vi beskytte og opprettholde, sier Sofie Nystrøm.

Last ned rapporten: «Nasjonalt digitalt risikobilde 2022» (PDF, 4MB)

Risikorapporter fra 2019 og tidligere

Risiko 2019 - Krafttak for et sikrere Norge (PDF, 1MB)

Risiko 2018 - Verdifulle individer, virksomheter og infrastruktur (PDF, 1020KB)

Risiko 2017 - Risiko og sårbarheter i en ny tid (PDF, 1MB)

Risiko 2015 (PDF, 1MB)

Rapport om sikkerhetstilstanden 2014 (PDF, 1MB)

Rapport om sikkerhetstilstanden 2012 (PDF, 332KB)

Rapport om sikkerhetstilstanden 2011 (PDF, 488KB)

Rapport om sikkerhetstilstanden 2010 (PDF, 348KB)

Rapport om sikkerhetstilstanden 2009 (PDF, 174KB)

Rapport om sikkerhetstilstanden 2007-08 (PDF, 112KB)

Risikovurdering 2007 (PDF, 121KB)

Risikovurdering 2006 (PDF, 106KB)

Risikovurdering 2005 (PDF, 85KB)

Risikovurdering 2004 (PDF, 160KB)

Risikovurdering 2003 (PDF, 508KB

"Må bli færre muligheter til å gjøre feil"

▼

https://nsm.no/getfile.php/133735-1592917067/NSM/Filer/Dokumenter/Veiledere/nsms-grunnprinsipper

Allmänt · ‽IT · ∴ · interrobangit · § · §IT

Dela · Kommentera

:

Kommentera

Av Svenn Dybvik - 3 december 2023 03:12

https://nsm.no/regelverk-og-hjelp/rapporter/nasjonalt-digitalt-risikobilde-2023

▲ Nasjonalt digitalt risikobilde 2023

Rapporten skal bidra til bedre digital sikkerhet i offentlige og private virksomheter gjennom eksempler og råd.

Last ned rapporten: Nasjonalt digitalt risikobilde 2023 (PDF, 11MB)
Lytt til rapporten: Podcast - Nasjonalt digitalt risikobilde 2023

Nasjonalt digitalt risikobilde 2023 tar opp problemstillinger knyttet til statssikkerhet, samfunnssikkerhet og individsikkerhet innenfor det digitale domenet.

Rapporten tar blant annet opp at:

NSM forventer at utviklingen innenfor kunstig intelligens og store språkmodeller vil føre til ytterligere profesjonalisering hos angripere.
Cyberoperasjoner kan få økt fysisk slagkraft når industrielle systemer i økende grad kobles til internett.
Økt cybersikkerhet gjør andre metoder for tilgang til informasjon mer attraktive. Innsiderisikoen kan øke ved ensidig fokus på cybersikkerhet. Det er avgjørende å tenke sikkerhet i alle domener.
Valgpåvirkning gjennom cyberoperasjoner setter demokratier under press.
Les også: Norge rammes av avanserte målrettede cyberangrep

Nasjonalt digitalt risikobilde skal motivere til bedre digital sikkerhet i offentlige og private virksomheter. NSM vil følge opp arbeidet med å styrke den digitale sikkerheten på alle nivåer i samfunnet vårt. Rapporten henvender seg til ledere og personell med sikkerhetsoppgaver i alle sektorer. Du kan også lytte til rapporten som podcast.

Ny rapport slår alarm om bølgjer av dataangrep

Ny rapport slår alarm om bølgjer av dataangrep – NRK Vestland

Nasjonalt tryggingsorgan (NSM) åtvarar om bølgjer av dataangrep i rapporten «Nasjonalt digitalt risikobilete»

I Noreg aukar talet på svindelsaker – IT-ekspert meiner vi har mykje å lære av svenskane

Meiner Noreg kan lære av Sverige for å redusere svindelforsøk – NRK Nordland

Rundt 40 millionar kroner i månaden blei tappa frå kundar sine bankkontoar.

Det blei sett på som angrep på essensiell infrastruktur og kritisk for tilliten til bankvesenet.

https://www.dn.no/teknologi/nsm/cybersikkerhet/it-sikkerhet/ny-rapport-slar-alarm-om-alvorlige-hull-i-norges-digitale-sikkerhet/2-1-1537749

Flere angrep mot forsvarssektoren

"– informasjonssystemene som understøtter grunnleggende nasjonale funksjoner (GNF), ikke er tilstrekkelig kartlagt, og ofte ikke har etablert et forsvarlig sikkerhetsnivå."

https://norsis.no/sikkerhetskultur2023/

▲ Nordmenn og digital sikkerhetskultur 2023

Disse metodene bruker svindlerne

https://www.vg.no/annonsorinnhold/altibox/sikkerhet/

Distraksjon. Blir du ofte distrahert av mye detaljert informasjon? Svindelforsøkene vil ofte ha et ekstremt fokus på detaljer, slik at du blir tvunget til å flytte fokuset vekk fra det faktum at du er i ferd med å bli lurt.
Sosial aksept. Har du ekstra respekt for autoriteter? Da er du ikke alene. Derfor vil svindlerne ofte utgi seg å være en autoritet, som for eksempel politiet, banken, skattevesenet eller ledelsen i selskapet du jobber i.
Uærlighet. Svindlerne vil gjerne forsøke å få deg til å gjøre noe litt umoralsk eller ulovlig, slik at du i etterkant skal la være å anmelde saken.
Grådighet/behov. Ønsker du gratis penger, billige produkter eller en reise til superpris? Det kommer neppe seilende tilfeldig i en e-post. Det gjør heller ikke premier i konkurranser du ikke kan huske å ha deltatt i, gylne investeringsmuligheter eller gratis kryptovaluta.
Phishing: En av de vanligste svindelmetodene går ut på å få deg til å oppgi brukernavn og passord på en falsk nettside, slik at svindlerne kan bruke denne informasjonen andre steder. Får du en e-post med en link til en side hvor du må logge inn, bør varsellampene blinke.
Tidspress. Dårlige avgjørelser blir ofte tatt dersom vi kjenner på tidspress. Har du ikke tid til å tenke deg om før en avgjørelse må tas, er det en stor sjanse for at du er i ferd med å bli svindlet.

https://norsis.no/nasjonal-sikkerhetsmaned/

▲ Hvert år i oktober markerer og koordinerer NorSIS Nasjonal Sikkerhetsmåned.

Årets tema: Sosial manipulering

Sosial manipulering er blitt en stadig mer vanlig metode for svindel, kontokapring og uautorisert tilgang til virksomheters digitale systemer, spesielt med den moderne teknologiens utvikling.

I korte trekk går «sosial manipulering» ut på å manipulere mennesker til å utføre spesifikke handlinger eller avsløre informasjon som er nyttig for angripere.

Kriminelle utnytter sosiale medier, e-post, tekstmeldinger, telefonsamtaler og andre digitale kanaler for å kontakte potensielle ofre. De later som om de representerer kjente virksomheter, offentlige aktører, banker, nettbutikker eller til og med venner og familie. De appellerer til følelser som fristelser, frykt og tillit, og håper at du handler impulsivt uten å tenke deg om.

Målet deres er å overbevise deg om at du må handle raskt eller dele sensitiv informasjon for å unngå problemer eller dra nytte av en tilsynelatende god mulighet.

Et vanlig eksempel er såkalte «phishing»-angrep via e-post eller meldinger, der svindlere sender falske meldinger som later som om de kommer fra en pålitelig kilde. De ber kanskje om at du oppdaterer kontoinformasjonen din, klikker på en skadelig lenke eller laster ned vedlegg som inneholder skadelig programvare.

Når du gir etter for disse forespørslene eller utfører handlingene de ber om, får svindlerne tilgang til dine personlige data eller stjeler pengene dine.

Både privatpersoner og virksomheter er hele tiden utsatt for dette, derfor ønsker vi med årets tema å skape mer bevissthet og kunnskap for at alle skal bli mindre sårbar for dette fenomenet.

Vi har produsert en pakke med tekster til sosiale medier, infoplakater og videoer som kan benyttes fritt.

LAST NED

Tips til virksomheter for vurdering av sosiale medie-apper

Hvilke apper kan ansatte ha på telefonen? NSM har utarbeidet tips til virksomheter som skal utarbeide rutiner for bruk av sosiale medier internt.

Sosiale medie-apper er et utbredt innslag på mobile enheter. Det kan innebære risiko for norske virksomheter. Ansatte kan ha slike apper både på private enheter og tjenesteenheter som har tilgang til virksomhetens interne digitale tjenester eller infrastruktur. NSM har derfor samlet tips og begrepsavklaringer til hjelp i virksomhetens digitale risikoarbeid.

Tipsene lister opp noen viktige kriterier for å vurdere risikoen knyttet til sosiale medie-apper og for å vurdere risikoreduserende tiltak. Dette er kun ment å supplere en ordinær risikovurdering og utgjør ikke en fullstendig beskrivelse av risikovurderingen en virksomhet bør utføre. Det betyr at blant annet vurdering av tillit til leverandører av IT-tjenester og apper, og vurdering av kryptoalgoritmer og -nøkler ikke omtales her. Noen av disse problemstillingene er omtalt i NSMs 13 råd for bedre sikkerhet på mobile enheter.

Se hvilke tiltak ansatte selv kan ta i bruk: NSMs 13 råd for bedre sikkerhet på mobile enheter

Verdi- og skadevurdering

Hvilke verdier som bør beskyttes i forbindelse med bruk av tjenesteenheter, vil være forskjellig fra virksomhet til virksomhet. Det kan også variere med rolle eller stilling den enkelte medarbeider har i virksomheten.

For mobile tjenesteenheter er det flere faktorer som kan være relevante å ta med i verdi- og skadevurderingen. Listen under er en veiledende, men ikke uttømmende, stikkordsliste:

Hva slags informasjon kan bli lagret på enheten?
Hvilke deler av virksomhetens interne digitale infrastruktur kan enheten kobles opp mot?
Hvilke virksomhetsinterne tjenester og opplysninger kan enheten få tilgang til?
Hvor sensitiv virksomhetsintern informasjon kommuniseres gjennom enheten
Behandles virksomhetsintern informasjon kun i apper som er plassert i egne «kontainere»?
Har enheten mikrofon eller kamera?
Er mobilenheten underlagt flåtestyring, og hvor streng er denne?
Er det behov for å forhindre sporing av personen som bruker tjenesteenheten?

Når det gjelder apper for sosiale medier, er det viktig å vurdere mulighetene for å begrense sporing. Sporing er en betegnelse som omfatter både bruks- og kommunikasjonsmønster i det digitale domenet og muligheten til å spore den geografiske posisjonen til den fysiske enheten. Her kan det være hensiktsmessig å ta hensyn til om brukeren er trusselutsatt av andre årsaker enn arbeidsforhold, for eksempel personer som har sperret adresse i Folkeregisteret.

Vurdering av tjenester og apper i kategorien sosiale medier

Det finnes mange apper for sosiale medier, og disse tilbyr gjerne svært ulike tjenester. Et viktig felles trekk er at disse tjenestene ofte tilbys uten betalt abonnement.

Ansatte i en virksomhet kan ha tjenstlig behov for enkelte apper for sosiale medier. For å gjøre en god risikovurdering er det hensiktsmessig at virksomheten forstår app- og tjenestetilbyders forretningsmodell.

Enkelte tjenester og apper tilpasset sosiale medier kan brukes til å sette opp en lukket tjeneste for intern kommunikasjon i egen virksomhet, og dermed tilbys som en del av virksomhetens interne tjenester. Her er det viktig ikke å forveksle en åpen offentlig tjeneste med en lukket sikker tjeneste da utforming og funksjonalitet kan ha store likhetstrekk.

Om apper og digital sikkerhet generelt

Virksomheten bør alltid gjøre en risikovurdering av alle apper som skal tillates installert på tjenesteenheter.

For virksomheten er det vesentlig å vurdere

hvilke opplysninger appen kan fange opp om brukeren
om appen kan fange opp informasjon uten at brukeren har gitt et informert samtykke
om appen kan utnyttes til å kompromittere noen av virksomhetens digitale tjenester eller infrastruktur

Et tiltak for å redusere risiko er å plassere apper som behandler virksomhetsintern informasjon i egne «kontainere» (kontainerisering). Det gir hver applikasjon et eget isolert område, hvor den har alt den trenger for å kjøre samtidig som den er beskyttet fra andre applikasjoner. Det er også viktig med tiltak som bidrar til at alle medarbeidere i virksomheten er bevisst på skillet mellom privat og virksomhetsintern informasjon.

Anbefalt praksis er at digitale enheter skal oppdatere programvare automatisk slik at sårbarheter og feil som leverandøren retter, fortløpende blir oppdatert på brukernes enheter. Det medfører også at ny funksjonalitet distribueres, og at apper automatisk kan få nye egenskaper. Virksomheten må derfor gjøre en løpende risikovurdering av alle apper som oppdateres automatisk.

Det kan være stor usikkerhet knyttet til vurderingen av en enkelt app. Dette gjør at vurderingen av mulige uønskede konsekvenser må vektlegges. Muligheten for alvorlige konsekvenser er tilstrekkelig grunnlag for å følge «føre var»-prinsippet.

Noen vesentlige faktorer i vurderingen av apper

Det er viktig å merke seg at mange apper gir mulighet for å åpne vanlige nettsider. Dette gjøres ofte i appens egen nettleser, og ikke i nettleseren brukeren vanligvis benytter. Derfor må risikovurderingen av en app for sosiale medier også omfatte andre tjenester brukeren kan nå gjennom appen. Appens innebygde nettleser kan ha andre og mer alvorlige sårbarheter enn den nettleseren som er satt opp som standard for enheten.

Det er også viktig å vurdere hvilke opplysninger som overføres eller deles mellom forskjellige apper. Enkelte tilbydere av sosiale medier har bygget et økosystem av tjenester som deler informasjon om brukere og den enkelte brukers handlingsmønster knyttet til samtlige tjenester.

Denne innsamlingen av opplysninger gjør det også nødvendig å vurdere risiko dersom ansatte, fra virksomhetens enheter, logger seg inn med sin private bruker på forskjellige webtjenester. Dette gjelder også når apper for de samme tjenestene ikke er installert på virksomhetens enheter.

Om meldingsapper

Det er vesentlig at meldingsapper bruker ende-til-ende-kryptering med en tilstrekkelig sterk algoritme og nøkkellengde. Dersom tjenesten tillater at brukere unntaksvis kan sende meldinger ukryptert, må dette være tydelig markert i appens brukergrensesnitt.
Det er også nødvendig å vurdere hvordan nye brukere blir registrert i meldingstjenesten. Har tjenesten etablert gode rutiner for å håndtere tilfeller der brukere på falskt grunnlag utgir seg for å være ansatt i en virksomhet?

Instruks og opplæring for ansatte

Det er viktig at virksomheten aktivt bidrar til at de ansatte har god risikoforståelse når det gjelder oppgavene de utfører og informasjonen de håndterer i arbeid for virksomheten. God, tydelig og tidlig informasjon om dette temaet er et bidrag til at virksomheten utvikler en god sikkerhetskultur.

Virksomheten må etablere gode rutiner for hvordan brukerkontoer i sosiale medier skal håndteres når ansatte slutter. Dette gjelder både kontoer som formelt eies av virksomheten, og eventuelle rettigheter som virksomheten midlertidig har gitt en konto som tilhører de enkelte medarbeidere i virksomheten. Virksomheten bør også ha etablert klare regler for eventuell bruk av virksomhetens navn og varemerker på medarbeideres private kontoer, slik at det ikke oppstår tvil om kontoen representerer virksomheten eller en privatperson.

Mobile enheter og tjenestemobiler

Mobile enheter er mobiltelefoner, nettbrett, bærbare datamaskiner og lignende utstyr.
Betegnelsen tjenesteenhet, hvor det ofte dreier seg om tjenestetelefon, brukes når utgifter til utstyr og abonnementer er dekket for å dekke tjenstlig behov. Også utstyr som arbeidsgiver midlertidig låner ut til ansatte er tjenesteenheter.
Det er ikke noe krav om at én enkelt enhet skal dekke alle tjenstlige behov. Det kan være hensiktsmessig å skille mellom ordinære tjenesteenheter og slike tjenesteenheter som kun skal brukes til spesielle formål.

Fem effektive tiltak mot dataangrep

Her beskrives fem effektive tekniske tiltak som systemeiere bør benytte for å beskytte sine systemer mot internett-relaterte dataangrep.

De vanligste angrep utføres med ondsinnet programvare mot de ansattes datamaskiner samt ved gjetting av enkle passord. De fleste av disse angrepene er teknisk sett mulig å stoppe, selv om ansatte skulle klikke på ondsinnet programvare. NSM har i flere tiår utviklet tekniske sikkerhetstiltak for beskyttelse av IKT-systemer. Ut fra disse erfaringer ser vi at virksomheter kan stanse de fleste dataangrep med følgende tiltak:

https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/5tiltak