Direktlänk till inlägg 17 mars 2024
https://nsm.no/aktuelt/risiko-2024-nasjonal-sikkerhet-er-et-felles-ansvar
Risiko 2024: Nasjonal sikkerhet er et felles ansvar
Norsk næringsliv spiller nå en større rolle for nasjonal sikkerhet. Slik verden er nå må norske virksomheter tenke sikkerhet i alt de gjør, fra ansettelser og anskaffelser til eierskifte, oppfordrer NSM i årets risikovurdering.
Når truslene endrer seg, må vår forståelse av hvilke verdier som er viktige for oss og hvordan de skal beskyttes også gjøre det.
- Vi ser nå at bedrifter og personer som tidligere sjeldent har vært involvert i arbeidet med nasjonal sikkerhet blir sentrale, forteller NSM-direktør Lars Christian Aamodt, og nevner blant annet virksomheter innenfor petroleum- og kraftsektoren, elektronisk kommunikasjon og marinteknologi, datasenterbransjen, og forskning og utdanning.
Utviklingen viser at mindre bedrifter og virksomheter som er leverandører til større virksomheter blir mål. Spionasje, cyberoperasjoner, sikkerhetstruende oppkjøp, rekruttering av innsidere og påvirkningsoperasjoner er noen av virkemidlene som benyttes mot norske virksomheter, og som må forhindres, avdekkes og håndteres.
- Vi må forebygge før krisene oppstår. Vi bør bruke tiden fremover til å forberede oss enda bedre. Vi må være i stand til å takle det som måtte komme. Det krever bevissthet, prioritering av ressurser og fokus, understreker Aamodt.
Konsentrasjonsrisiko
Den samlede, nasjonale avhengigheten til land som utgjør en sikkerhetstrussel mot Norge, er en betydelig sårbarhet for nasjonale sikkerhetsinteresser. Norges avhengighetsforhold til Kina er en sårbarhet som kan utnyttes av kinesiske styresmakter, advarer NSM.
Både utenlandske oppkjøp og investeringer i norske selskap må i større grad ses i sammenheng med nasjonal sikkerhet. Det finnes en rekke eksempler på kinesiske oppkjøp og investeringer i utenlandske selskaper med kompetanse og teknologi som er av relevans for Kinas forsvarsmodernisering.
- Vi må ha større fokus på sikkerhetstruende økonomisk virkemiddelbruk. I noen tilfeller er det enklere å kjøpe seg inn i norske virksomheter fremfor å bryte seg inn, sier Aamodt.
Innsidere
Cybersikkerheten i Norge er inne i en god utvikling. Det gjelder særlig i de største virksomhetene. Systematisk og forebyggende sikkerhetsarbeid lønner seg, men ikke la dette bli en sovepute, oppfordrer Aamodt.
- Når en dør lukkes, forsøker trusselaktører å finne en annen. Verdien av en innsider øker. Det ble avslørt en rekke innsidere i flere vestlige land i 2022 og 2023. Det vil være naivt å tro at det ikke finnes innsidere i betrodde stillinger også her i Norge, sier Aamodt.
Den årlige risikovurderingen «Risiko» fra NSM skal gi norske virksomheter bedre forutsetninger til å se eget sikkerhetsarbeid i en større sammenheng. For 2024 anbefaler NSM norske virksomheter blant annet å beskytte seg bedre digitalt, og å tenke sikkerhet i ansettelser, anskaffelser og ved eierskapsskifter. I Risiko 2024 deler NSM konkrete råd og tiltak.
Last ned rapporten: Risiko 2024
https://nsm.no/aktuelt/sikkerhetskonferansen-2024
Bedre situasjonsforståelse, ny kunnskap og erfaringsutveksling er tre stikkord når NSMs årlige konferanse går av stabelen i Oslo 13. og 14. mars.
Etterretningstjenesten trekker frem at Norge står overfor et mer alvorlig trusselbilde enn på flere tiår. Scenarioer som for få år siden virket utenkelige, er i dag realistiske. NSM har tidligere understreket at det er viktig at alle er sikkerhetsbevisste på trusler knyttet til dagens sikkerhetspolitiske utfordringer.
- Den enkelte virksomhet og privat næringsliv har fått større betydning for nasjonal sikkerhet enn tidligere. Derfor er jeg veldig glad for at både Posten Bring og DSS deltar på konferansen, og deler egne erfaringer fra to alvorlige sikkerhetshendelser foregående år. Det bidrar til et oppdatert situasjonsbilde, som er nødvendig for å forebygge nye hendelser, sier NSMs direktør Lars Christian Aamodt.
Kina blir tema i flere paneler. Selv om Russland utgjør den største etterretningstrusselen mot Norge i 2024, vurderes trusselen fra Kina som betydelig og skjerpet, ifølge PST. Basert på årets trusselvurderinger, vurderer NSM at det totale kinesiske fotavtrykket i Norge utgjør en betydelig risiko for nasjonal sikkerhet.
- Norges avhengighetsforhold til Kina er en sårbarhet som kan utnyttes av kinesiske styresmakter. Anskaffelser må sees i sammenheng med konsentrasjonsrisiko, og sikkerhetstruende økonomisk virkemiddelbruk må forhindres, oppfordrer Aamodt.
2024 er et supervalg år globalt. I løpet av året skal over 60 land og EU, som til sammen representerer nærmere halvparten av verdens befolkning, holde valg. Sju av verdens ti største land skal velge nye ledere. Påvirkning og desinformasjon er en stor trussel mot demokratier.
- Påvirkning er så mye mer enn falske nyheter. Det kan være enkelthendelser eller aksjoner, flyktningstrømmer, økonomiske virkemidler, sabotasje, og det kan være sann informasjon brukt som et virkemiddel for å skape polarisering, forteller Aamodt.
Hvorfor kan Norge være interessant for trusselaktører? Stemmer det at vi liten grad har opplevd påvirkning i Norge? Kan det være at vi ikke har sett ting i rette lys?
- Dette er spørsmål vi vil forsøke å svare på. Norge er god til å håndtere hendelser, men det er ikke nødvendigvis nok i denne sammenhengen. Vi må forstå hendelsene som oppstår – for å kunne forebygge, begrense eller forhindre påvirkningsforsøk mot befolkningen så vel som myndighetene. Derfor har NSM foreslått at det nasjonale samvirket mot påvirkningsoperasjoner må koordineres av én enhet, avslutter Aamodt.
Alt om årets konferanse: nsm.no/sikkerhetskonferansen
https://www.personvernbloggen.no/2024/02/01/personverndagen-2024-oppsummert-kunstig-intelligens-moter-personvern/
Nylig gikk den 12. markeringen av den internasjonale personverndagen av stabelen i regi av Teknologirådet og Datatilsynet. Etter både fysisk og digitalt oppmøte å dømme, er årets tema brennhett.
2023 har vært et sammenhengende gjennombrudd for generativ kunstig intelligens, og «KI-generert» er årets nyord. Verktøyene er både artige og nyttige, men utfordrer også personvernet. Vi markerte dagen med et arrangement om tematikken, og løfter her frem noen høydepunkter fra dagen.
Med Open AI ble generativ KI allemannseie og representerer denne generasjonens viktigste teknologigjennombrudd. Mange mener at hemmeligheten bak suksessen ligger i at modellen oppleves menneskelig når du bruker den. Det ligger dessuten stor variasjon av muligheter i store språkmodeller, fra å lage chatbots og programmeringskode til å skape kunst og oversette tekster, for å nevne noe.
Denne kraftige teknologien har også noen skyggesider knyttet til de enorme datamengdene modellen er trent på, slik som manglende åpenhet og potensial for misbruk av ondsinnede aktører. Som konsekvens krevde 1000 eksperter et midlertidig forbud, og idet italienske datatilsynet påla OpenAI om å stanse all behandling av data fra italienske brukere, kunne direktør i Datatilsynet, Line Coll, fortelle.
Av andre saker med stor betydning i 2023 trakk Line frem følgende:
Direktør i Teknologirådet, Tore Tennøe, gikk gjennom noen trender og forsøkte å se inn i personvernets umiddelbare fremtid. Det knyttes blant annet stor interesse til bruken av ansiktsgjenkjenningsteknologi i tiden fremover, som for eksempel under OL i Paris. Skal man kunne gjenkjenne ansikter, eller bare posisjoner og mistenkelige objekter? Diskusjonen aktualiserer etterretningsbehov mot retten til privatliv.
AI Act er nylig vedtatt, og blir et avgjørende rammeverk for utviklingen av KI fremover, også med hensyn til bruken av biometri, som i ansikts- og følelsesgjenkjenningsteknologi.
2024 markerer antakeligvis begynnelsen på slutten på den opprinnelige overvåkingsteknologien – informasjonskapselen. Google vil kutte det ut i sin nettleser Chrome i løpet av 2024.
Nysgjerrig på å se dypere inn i spåkula? Se opptaket! (link nederst i dette blogginnlegget).
I utviklingen av Open AI ble det brukt enorme mengder data fra en stor variasjon av kilder. Selskapet er sparsomme med å fortelle hvor de har hentet data fra. Tore viste imidlertid en analyse av et snapshot som viste kilder som sosiale medier, nettsider, elektroniske bøker, et valgregister og personlige blogger. Både Google og Open AI har fått søksmål mot seg grunnet denne typen praksis.
Det sentrale i en personvernsammenheng er at man må ha et lovlig behandlingsgrunnlag for å kunne behandle personopplysninger. Vi diskuterte behandlingsgrunnlaget «berettiget interesse», og i hvilken grad dette kan brukes til å innhente data. Det er flere saker knyttet til dette i Europa nå.
Behandlingsgrunnlag er altså nøkkelen, også til andre modeller innen ulike domener som for eksempel finans, utdanning og helse. Dataene får stadig nye formål, og utfordrer eksempelvis både pasientenes og de ansattes rett til personvern. Her er det noen utfordringer. Skal man spørre om samtykke igjen? Hva gjør man med de som sier nei? Bør man heller anonymisere eller bruke syntetiske data?
Eivind Arntsen er advokat og leder av Juridisk ABC, en tjeneste basert på generativ KI som skal gjøre det enklere for arbeidsgivere å manøvrere riktig innenfor arbeidsrett. De ønsker å tilpasse tjenesten med å gi den tilgang til dommer og lovtekst, noe som utgjør deres primære utfordring. Juridisk ABC er for øvrig ett av fire prosjekter i Datatilsynets regulatoriske sandkasse våren 2024.
Umair M. Imam er sjef for data og KI i Ruter, og har erfaring med å bruke KI i et titalls prosjekter i Ruter. De bruker for eksempel generativ KI for å analysere klager. Brukere deler ofte data om seg selv i disse klagene, noe Ruter løser ved hjelp av en algoritme som «gjemmer» persondataene.
Julie Lødrup er førstesekretær i LO, og benyttet anledningen til å løfte frem prinsippet om arbeidstakeres rett til medbestemmelse. Den fungerer stort sett godt på alle felt i det norske arbeidslivet, unntatt ett: digitalisering. Hun mener dette skyldes at både arbeidsgivere og arbeidstakere anser teknologi generelt, og kanskje KI spesielt, som noe vanskelig og som kun angår teknologene. De som skal bruke teknologien bør involveres. Hun fremhevet også utfordringen med at teknologien som anskaffes ofte er laget i land med andre arbeidsmodeller som ikke er like opptatt av arbeideres rettigheter. Om programvaren har funksjonalitet som gjør det mulig å overvåke de ansatte, kan det være lett for arbeidsgiver å la seg friste.
På fjorårets personverndag ble en nasjonal personvernpolitikk diskutert, og i år fulgte vi opp med siste status i politikken. I løpet av sommeren 2024 skal en ny digitaliseringsstrategi og en ny personvernstrategi være ferdig, og de to skal henge tett sammen, fortalte statssekretær Gunn Karin Gjul (Ap). For å unngå at denne politikken ender opp med kun strategier og lite handling, ønsker Grunde Almeland (V) en mer demokratisk forankret stortingsmelding på temaet.
En annen stor sak er KI-forordningen (AI Act), som vil treffe stortinget gjennom lovgivning. Gjul orienterte om at dette er EØS-relevant, og at myndighetene er i gang med dette arbeidet allerede. Det er ikke bestemt hvordan dette skal organiseres, og Digitaliserings- og forvaltningsdepartementet har gitt DFØ i oppdrag å utrede mulige organisatoriske systemer som algoritmetilsyn, overordnet tilsyn og rapporteringsordninger.
Avslutningsvis spurte Tore, på vegne av en venn, om det er greit å ha en KI-kjæreste. Panelet var enige om at det måtte være opp til den enkelte, men med ett premiss: at leverandøren av KI-kjæresten opererer innenfor loven. Og det skal vi hjelpe dem med, rundet Line av med.
Se opptak av hele arrangementet på Datatilsynets nettsider.
https://nsm.no/aktuelt/oppdatering-av-stotteverktoy-for-ikt-sikkerhet
Koblingen mellom støtteverktøyet til NSMs grunnprinsipper for IKT-sikkerhet og ISO/IEC 27002:2022 er oppdatert.
NSMs grunnprinsipper for IKT-sikkerhet gir veiledning for å beskytte informasjonssystemer, data og tjenester mot uautorisert tilgang, skade eller misbruk.
NSM samler sikkerhetstiltakene for grunnprinsippene et støtteverktøy, i form av et regneark. Støtteverktøyet inneholder blant annet prioritering av sikkerhetstiltak og kobling mot ISO/IEC 27002 på tiltaksnivå. ISO/IEC 27002 ble i 2022 oppdatert med nye tiltaksbeskrivelser sett i lys av den teknologiske utviklingen. Støtteverktøyet er nå oppdatert for å dekke de nye tiltakene i ISO/IEC 27002:2022. Den nye versjonen av støtteverktøyet er tilgjengelig på nettsidene til NSM.
Koblingen mellom NSMs grunnprinsipper for IKT-sikkerhet og ISO/IEC 27002 skal gjøre det enklere å se sammenhengen mellom de to rammeverkene. NSMs grunnprinsipper for IKT-sikkerhet brukes allerede av mange norske virksomheter. ISO/IEC 27002 er en internasjonal standard for informasjonssikkerhet som brukes av virksomheter både i Norge og i utlandet.
Støtteverktøyet kan brukes av virksomheter som ønsker å hente inspirasjon fra flere rammeverk, standarder eller beste praksis for å velge tiltak for å sikre sine IKT-systemer. Det kan også være til hjelp i forbindelse med gjennomganger og revisjoner.
Koblingen til den tidligere utgaven av ISO-standarden (ISO/IEC 27002:2013) er fortsatt tilgjengelig i støtteverktøyet i en egen fane bakerst i regnearket.
Grunnprinsippene for IKT-sikkerhet gir råd for å beskytte informasjonssystemer, data og tjenester mot uautorisert tilgang, skade eller misbruk.
Bruk grunnprinsippene til å løfte sikkerhetsnivået i din virksomhet – og den enkeltes sikkerhetskompetanse. Grunnprinsippene er relevante for alle norske virksomheter, både i offentlig og privat sektor. Virksomheter som er ansvarlige for samfunnskritiske funksjoner bør benytte prinsippene.
Grunnprinsippene består av 21 prinsipper, fordelt på fire kategorier. I web utgaven kan du enkelt velge å gå inn på de ulike prinsippene via menyen på venstre side (se kapitler øverst i mobilversjon).
NSM tilbyr en rekke ressurser som støtte i arbeidet med å iverksette grunnprinsippene for IKT-sikkerhet. Vi har samlet alle ressursene under.
Alle sikkerhetstiltakene i grunnprinsippene er samlet i et eget regneark fra NSM. Dette regnearket inneholder blant annet en prioritering av alle sikkerhetstiltak og kobling til ISO/IEC 27002 på tiltaksnivå. (Koblingen ble desember 2023 oppdatert til også å dekke ISO 27002:2022.)
Regnearket kan benyttes av virksomheter som ønsker å bruke prinsippene aktivt i eget sikkerhetsarbeid. Dere kan benytte det slik det måtte passe dere best. Det er også mulig å legge til egne tiltak.
NSM har utarbeidet en egen beskrivelse for risikovurdering av (ugraderte) IKT-systemer. Dette verktøyet kan benyttes enten det gjelder informasjonssystem (IKT), industrielle kontrollsystemer (OT) eller andre støttesystemer som inngår i porteføljen for IKT-systemer. Det er også utarbeidet et eget regneark som kan brukes som mal til å gjennomføre risikovurderinger.
NSM har samlet en rekke spørsmål til grunnprinsippene på en egen side. Se om spørsmålene du sitter med, allerede er besvart der.
Grunnprinsippene for IKT-sikkerhet ble utgitt først i august 2017 (versjon 1.0) Prinsippene videreutvikles med jevne mellomrom. Nyeste versjon er navngitt grunnprinsippene for IKT—sikkerhet 2.0 Denne versjonen kom i april 2020. Tidligere versjoner er fortsatt tilgjengelig for de virksomhetene som har innført disse.
Versjon 1.0 er fra august 2017: Grunnprinsipper for IKT-sikkerhet (v1.0) (pdf)
NSM tilbyr digitalt e-læringskurs i grunnprinsippene for IKT-sikkerhet. Kurset er tilgjengelig via NSMs kurssenter.
E-læringskurset er på til sammen tre timer, og det er mulig å pause underveis. Kurset inneholder både tekst og korte videoer. Alle som fullfører kurset, får kursbevis. Kurset er relevant for en bred målgruppe, fra ledere og sikkerhetsansvarlige til ansatte.
NSM setter pris på at andre virksomheter også har publisert støtteressurser til NSMs grunnprinsipper. NSM har dessverre ikke anledning til å gjennomgå og kvalitetssikre alle detaljer i de refererte støtteressursene. Spørsmål om innhold og bruk av det enkelte produkt kan derfor rettes direkte til utstedende virksomhet. Siste øverst:
https://nsm.no/aktuelt/ti-sarbarheter-gar-igjen-i-norske-ikt-systemer
Svake passord er og forblir norske virksomheters mest sårbare punkter. Det viser NSMs inntrengingstester over tre år.
Selv om programvare, nettverk, brukere og virksomheter blir sikrere, ser NSM de samme sårbarhetene gå igjen år etter år.
Passord som er lette å gjette, er en kritisk sårbarhet. Når passordet er kjent, kan testerne ofte operere som den ansatte. Slik skaffer de seg tilgang til andre tjenester i systemene, sikrer seg høye brukerrettigheter eller kompromitterer til og med virksomhetens domeneadministrator.
- Den digitale motstandskraften i det norske samfunnet må opp. Enkle sikkerhetstiltak kan lukke disse sårbarhetene, men det må prioriteres – også av ledelsen, sier Geir Arild Engh-Hellesvik, avdelingsdirektør, forsvar mot avanserte digitale trusler i NSM.
Samtidig som det må stilles tydeligere krav til kompetanse og teknologi i norsk forvaltning og næringsliv, jobber NSM sammen med andre land og myndigheter for å legge press på produsenter slik at sikkerhet blir innebygd – og påslått som standard.
- Leverandørene må bidra til å gjøre digital sikkerhet mindre krevende for brukere av digitale tjenester og produkter. Det er helt nødvendig for at små og mellomstore bedrifter og norske kommuner skal være i stand til å sikre egen digital infrastruktur, sier Engh-Hellesvik.
NSMs inntrengingstestere utfører tester etter anmodning fra virksomheter som er underlagt sikkerhetsloven fordi de forvalter nasjonale sikkerhetsinteresser. Praktiske undersøkelser av logiske, tekniske, menneskelige, administrative og fysiske forhold bidrar til å avsløre sårbarheter og forbedringspunkter.
https://nkom.no/aktuelt/okt-sikkerhet-for-kritisk-infrastruktur-pa-norsk-sokkel
https://www.regjeringen.no/no/dep/dfd/id810/
Digitaliserings- og forvaltningsdepartementet
Innspill til ny nasjonal digitaliseringsstrategi
Nasjonal strategi for kunstig intelligens
https://www.regjeringen.no/no/dokumenter/nasjonal-strategi-for-kunstig-intelligens/id2685594/
Her finner du lenker til norske og internasjonalse KI-miljøer og KI-ressurser.
Norske ressurser:
Internasjonale ressurser:
si vis pacem, para iustitiam
interrobangit
☼
http://interrobangit.bloggplatsen.se/presentation
http://interrobangit.bloggplatsen.se/2024/04/27/11817408/
http://interrobangit.bloggplats...
▼ http://interrobangit.bloggplatsen.se/presentation ...
Därför bör du veta vem som ligger bakom sakerna du delar https://internetkunskap.se/artiklar/kallkritik/darfor-bor-du-veta-vem-som-ligger-bakom-sakerna-du-delar/ Ditt flöde på nätet är ett virrvarr av olika avsändare och aktörer – och al...
Källkritik i Sverige Hur är svenskarnas källkritiska förmåga? Här hittar du siffror och fakta från 2024 om hur många svenskar som delar nyheter utan att ha läst dem först, när det är som svårast att vara källkritisk och om nyhetshändelser där det ...
Källkritik Internet är fyllt av information, men vad är sant och falskt? Källkritik handlar om att avgöra vad som är trovärdigt, och att kunna ifrågasätta det du läser. Lär dig också hur algoritmer bestämmer vad som ska visas i ditt flöde, och hur d...
