Mangel på åpenhet om cybertruslene skader


Er mangel på åpenhet nødvendig av sikkerhetsgrunner, eller kan det skade det vi er ment å beskytte?

 

Seniorrådgiver Bjarte Malmedal i NorSIS har skrevet en kronikk som tar opp sikkerhetsmyndighetenes tenkemåte og praksis omkring åpenhet om cybertruslene.

Bruk av IKT, den såkalte digitaliseringen, har en enorm betydning for samfunnsutviklingen og vår nasjonale verdiskaping. Det er derfor urovekkende at debattene er nærmest fraværende for et område som er så inngripende i den enkeltes liv. Et område som bør diskuteres bredt er hvordan befolkningen skal bli mer motstandsdyktige mot datakriminalitet og uønskede hendelser på nett. I kjernen av dette er spørsmålene omkring hvordan vi skal bruke den informasjonen som finnes om truslene.

Les kronikken i Dagens Næringsliv, eller les den her:

Våre hemmelige tjenester holder kortene tett til brystet når det gjelder åpenhet omkring cybertruslene. Dette er en farlig strategi, og trolig mer egnet til å sikre egne bevilgninger enn å øke samfunnets toleranse mot digitale trusler. Åpenhet må sees på som et strategisk virkemiddel for å sette fart i digitaliseringsarbeidet. En trygg digital innbygger forstår trusselen, og tilpasser selv sin atferd til situasjonen.

 

Nasjonal Sikkerhetsmyndighet (NSM), støttet av Etterretningstjenesten og Politiets sikkerhetstjeneste, forteller at de digitale truslene øker i omfang og i alvorlighetsgrad. Nasjoner som kan komme til å utgjøre en sikkerhetspolitisk utfordring for Norge, spesielt Russland og Kina, spionerer på norske myndigheter og virksomheter. De har i tillegg evne til å slå ut vår nasjonale kritiske digitale infrastruktur i en eventuell fremtidig konflikt. Politidirektoratet utfyller dette bildet i sin Datakrimstrategi, hvor datakriminalitet beskrives som et alvorlig problem for innbyggernes trygghet og for vår felles verdiskaping og velferd.

Men; bidrar beskrivelsen av trusselen faktisk til en tryggere digital hverdag for alle, eller er den mer egnet til å skape frykt i befolkningen? Skader våre sikkerhetsmyndigheter den økonomiske veksten mer enn de beskytter den?

Vår nasjonale økonomiske vekst er sterkt knyttet til digitaliseringen i næringslivet og i den offentlige forvaltningen. Tall fra World Economic Forum viser at økt digitalisering i Norge kan gi en økonomisk vekst tilsvarende 24 milliarder kroner årlig. Samtidig forteller Næringslivets sikkerhetsråd at datakriminalitet påfører oss en kostnad tilsvarende 19 milliarder årlig. Digitaliseringen har med andre ord et potensiale til å skape økonomisk vekst gjennom handel og mer effektive offentlige tjenester, men potensialet blir nærmest utradert som en følge av økt datakriminalitet. Når vi så legger til at fremmede nasjoner spionerer på norsk teknologiutvikling, det vi skal leve av i fremtiden, så tegner det et dystert bilde for fremtiden dersom intet gjøres.

Når nasjonale sikkerhetsinteresser trues legges det begrensninger på samfunnet. Åpenhet blir betraktet som en trussel mot nasjonens evne til å motstå datakriminalitet og digital spionasje. Informasjon blir hemmeligholdt, og belagt med klausuler som forhindrer at den blir delt eller publisert.

I rapporten The High and Low Politics of Trade skriver World Economic Forum om hvordan cybersikkerhet misbrukes for å beskytte nasjonale sikkerhetsinteresser. I 2012 var det diskusjoner i både Norge og USA vedrørende kjøp av utstyr til nasjonal digital infrastruktur fra det Kinesiske selskapet Huawei. Sikkerhetsmyndighetene så på et eventuelt kjøp som en fare mot rikets sikkerhet. Når cybersikkerhet fører til mindre åpenhet i global handel er ikke det bare en politikk som ikke tåler kritisk gjennomgang, det er også et brudd på handelsavtaler og det er en strategi som direkte skader økonomisk vekst og velferd.

Amerikanske Center for Strategic and International Studies skriver derimot i sin rapport Cyber Threat Information Sharing at deling av trusselinformasjon kan føre til at samfunnet øker sin robusthet mot digitale trusler. Rapporten peker på myndighetenes sentrale rolle i å dele, og å legge til rette for deling av, slik informasjon. Anonymisering av data sees på som en selvfølge for å ivareta den enkeltes personvern og rettssikkerhet.

En vanlig bekymring er at deling av slik informasjon kan avsløre bedriftssensitiv informasjon og dermed true konkurransefortrinnet. Forskere fra University of Pittsburg og University of New York viser imidlertid i sin rapport The Economic Incentives for Sharing Security Information at det er store økonomiske gevinster ved å dele trusselinformasjon, spesielt i et næringsliv med høy innbyrdes konkurranse. Geir Inge Stokke, konserndirektør i COOP Norge, uttalte at ”vi konkurrerer i markedet, men vi konkurrerer ikke på informasjonssikkerhet.”

Mangel på åpenhet kan føre til en uheldig samfunnsutvikling der vi som nasjon blir mindre villig til å ta i bruk de muligheter som teknologien gir. En befolkning som frykter digitale handelsløsninger vil unngå dem. Mangel på tillit til at offentlig forvaltning kan behandle våre opplysninger på en trygg måte, vil skape en motstand mot digitalisering i det offentlige. Et næringsliv som blir bombardert med skremsler, og som i liten grad får vite noen detaljer, kan umulig helt forstå trusselen. Faren for at vi, av frykt, overkompenserer med sikkerhetstiltak som hemmer økonomisk vekst er stor.

Våre sikkerhetsmyndigheter gjør flere alvorlige feil. For det første tegner de et alvorlig, men uspesifisert trusselbilde. Dette er mer egnet til å skremme enn å sette oss i stand til å tilpasse vår atferd til den reelle risiko vi utsetter oss for ved å bruke nettet.

For det andre har NSM innført et system som legger begrensninger på hvem som kan få informasjon om hendelser og trusler, og hvem disse kan dele informasjonen med. Varsler om trusler og sårbarheter kommer oftest med pålegg om å ikke publisere det til offentligheten.

For det tredje er det få virksomheter som har et samarbeid  med vårt nasjonale cybersenter. Dette er ingen helhetlig og god løsning for en nasjon med 500.000 små bedrifter som står for halvparten av den nasjonale verdiskapingen. Disse står på gangen når NSM deler sin informasjon om trusler som også vil ramme dem.

Sikkerhetsmyndighetene skal hemmeligholde informasjon som kan skade nasjonen, men de må balansere dette behovet med de store fordelene som digitaliseringen gir. De har et særskilt ansvar for å sørge for at vi har en trygg hverdag på nett, men de kan ikke løse denne oppgaven alene. NSM la nylig frem sitt Helhetlig IKT-Risikobilde der deling av informasjon om cybertrusler knapt er nevnt. Fremtidige sikkerhetsfaglige råd må inneholde en tydelig anbefaling om hvordan næringslivet og den enkelte skal settes i stand til å beskytte seg selv.