Cyberforsvaret: Forsvarets lim og digitale rustning

Cybertrusselen er den største trusselen mot nasjonen Norge i 2019, ifølge både PST og Etterretningstjenesten. Likevel blir Cyberforsvaret knapt nevnt i den offentlige forsvarsdebatten. Hvorfor ikke?

Cybertrusselen er den største trusselen mot nasjonen Norge i 2019, ifølge både PST og Etterretningstjenesten. Likevel blir Cyberforsvaret knapt nevnt i den offentlige forsvarsdebatten. Hvorfor ikke?

Det er Cyberforsvaret som beskytter Forsvaret mot digitale angrep. Og det er Cyberforsvaret som er «limet» som gjør at Hæren, Luftforsvaret og Sjøforsvaret kan samhandle.

Cyberforsvaret ble opprettet som en egen enhet i 2012 og ansvaret er todelt: De er ansvarlig for å beskytte Forsvarets IKT-systemer  mot digitale trusler fra et bredt spekter militære og sivile aktører. Og sørge for god informasjonsflyt og et godt situasjonsbilde og -forståelse innad i Forsvaret, slik at Hæren, Luftforsvaret og Sjøforsvaret har tilgang på samme informasjon og kan samhandle på tvers av grenene.  

Har høy prioritet

Kort fortalt: Cyberforsvaret er Forsvarets lim og rustning i møte med den digitale fremtiden.

Det kommer godt frem i Forsvarssjefens fagmilitære råd, som ble lagt fram tidligere denne måneden. Fra det laveste ambisjonsnivået (D) til det høyeste (A), står satsingen på cyber og styrkingen av Cyberforsvaret fast i alle.

«For å møte utviklingen og trusselbildet i cyberdomenet, styrkes evnen til beskyttelse og situasjonsforståelse i cyberdomenet i Etterretningstjenesten og Cyberforsvaret. Styrkingen gjelder både personell og materiell. Også evnen til å levere sikre kommunikasjonstjenester styrkes» skriver Håkon Bruun Hansen blant annet.

«For å møte utviklingen og trusselbildet i cyberdomenet, styrkes evnen til beskyttelse og situasjonsforståelse»

Cyberforsvaret var også et av to satsingsområder som forsvarssjef Håkon Bruun-Hansen selv trakk fram da han presenterte sitt fagmilitære råd på pressekonferansen.

- Forsvaret er i dag på vei inn i en digitalisert og nettverksbasert forsvarsstruktur. Lengre rekkevidde på sensorene våre og våpnene, gjør at overføringene av data mellom ulike aktører i sanntid er helt nødvendig for å utnytte våre kapasiteter. Vi må sikre at alle kan utveksle data med hverandre, vi må ha alternative kommunikasjonsmuligheter på landjorda, i luften og i verdensrommet. Vi må kunne beskytte oss mot eller omgå cyberangrep eller angrep gjennom elektronisk krigføring, for ikke å miste avgjørende kampevne tidlig. For å lykkes med dette er det avgjørende med en betydelig satsing på cyberområdet. Og en slik satsing har vi inkludert i alle alternativene, sa han under pressekonferansen. 

Likevel blir det knapt omtalt i norske medier, som hovedsakelig har fokusert på biler, båter, fly og baser.

Lite konkret

Kommunikasjonssjef Knut Grandhagen i Cyberforsvaret har ikke noe fasitsvar på hvorfor, men antar Cyberforsvaret kan virke lite konkret.

Cyberforsvaret

  • Cyberforsvaret eller 1100 ansatte og er spredt fra helt i sør til helt i nord. Hovedkontoret ligger på Jørstadmoen ved Lillehammer. Der sitter også sjef for Cyberforsvaret
  • Cybersikkerheten i Norge ivaretas av flere instanser.
  • Nasjonal sikkerhetsmyndighet (NSM) varsler og håndterer dataangrep mot nasjonal kritisk infrastruktur. Nasjonal sikkerhetsmyndighets rolle er koordinerende, men også dels utøvende.
  • Etterretningstjenestens ansvar er å forebygge og holde oversikt over trusler fra utlandet, mens politiet – spesielt PST og Kripos – har tilsvarende ansvar for innenlandske trusler og for å etterforske cyberkriminalitet. Etterretningstjenesten er fagmyndighet for cyberoperasjoner i Forsvaret, og har overordnet ansvar for å koordinere militære cyberoperasjoner.
  • Cyberforsvaret sørger for at militære datasystemer er sikre og kan bistå med sin unike kompetanse og sitt personell i tråd med bistandsinstruksen.
  • Cyberforsvaret har fagansvar for defensive cyberoperasjoner.

- I det digitale rom er tid irrelevant. Geografi er irrelevant. Cyberangrep skjer raskere enn lysets hastighet og derfor er forebygging og aksjoner svært krevende å håndtere, og det er utfordrende for mange å forholde seg til disse nye utfordringene, sier han til High North News. 

Grandhagen tror også det er en del begrepsmisforståelser ute og går. Mange bruker cyberforsvar som begrep kan omhandle både på den samlede innsatsen til politiet, Nasjonalt Cybersikkerhetssenter, E-tjenesten og Cyberforsvaret. Mens Cyberforsvaret, den militære organisasjonen, har et ansvarsområde som isolerer seg til å beskytte Forsvaret.

- Men, i den moderne verden, strekker avhengigheten av et godt cyberforsvar seg langt ut over Forsvaret. Og vårt ansvar utvides fra 2021 til å inkludere hele Forsvarssektoren, ikke bare Forsvaret som i dag, sier han.  

Richard Utne, som er en av fagprofilene til UTSYN, forum for utenriks og sikkerhet, mener begrepsbruk og - forståelse er av avgjørende betydning. 

- Jeg har tidligere dokumentert at blant aktørene som samvirker i samfunnssikkerhet i Norge er det generelt en manglende omforent begrepsavklaring på forståelsen av begrepet «risiko». Effekten av dette kan i ytterste konsekvens bli en systemisk kollaps, og denne trusselen er ytterst reell etter hvert som ny teknologi øker gjensidig avhengighet, sier han og viser til Stortingsmelding 10 (Risiko i et trygt samfunn) der det står:

«Begrepsbruk og begrepsforståelse kan ha stor betydning i arbeidet med samfunnssikkerheten, og er viktig for en presis og god faglig debatt innenfor samfunnssikkerhetsfeltet. Hvis ulike etater og aktører har ulik forståelse av begreper kan det føre til misforståelser, svekket samhandling og i siste instans påvirke vår evne til å håndtere hendelser.»

 

 

Brannslokking

Det norske Cyberforsvarets største utfordring er den forebyggende delen av arbeidet.

- Trusselaktørene er ekstremt flinke til å lære av hverandre og dedikere folk og tid til å finne svakheter og komme opp med nye angrepsformer. Man kan si at vi forsøker å gjøre det samme på defensiv side, men det er svært krevende å komme i forkant av trusselaktørene.

De fleste former for digitalt forsvar i dag er bygd opp rundt det som kalles «signaturbasert deteksjon», det vil si - veldig forenklet - å lete gjennom datatrafikk og elektroniske signaler etter kjente indikatorer på angrep og stoppe truslene når de blir oppdaget.

- Men det fordrer jo at noen allerede har blitt angrepet først. Å oppdage ukjente eller nye trusler er en atskillig mer krevende prosess, som krever svært mye tid og personellressurser

I tillegg gjør graderingsnivået på informasjon og informasjonsdeling med privat sektor arbeidet vanskelig.

- Vi mangler et effektivt system for å raskt identifisere og håndtere de store hendelsene, mener Grandhagen.

Må springe fortere

Heller ikke blant beslutningstakerne på Stortinget, er Cyberforsvaret noe som debatteres eller fokuseres særlig på. I alle fall ikke i det offentlige rom.

Under debatten «Sikkerhetspolitisk balansekunst», som ble avholdt i Bodø mandag, ble stortingspolitikerne  Hårek Elvenes (H) og Eirik Sivertsen (Ap), samt Per-Gunnar Skotåm (R) utfordret av Per Gøran Wilhelmsen, sjefssersjant i Cyberforsvaret, på hvorfor ingen av dem i det hele tatt nevnte cybertrusselen i en sikkerhetspolitisk debatt.

Under debatten «Sikkerhetspolitisk balansekunst», som ble avholdt i Bodø mandag, ble stortingspolitikerne  Hårek Elvenes (H) og Eirik Sivertsen (Ap), samt Per-Gunnar Skotåm (R) utfordret på hvorfor ingen av dem i det hele tatt nevnte cybertrusselen i en sikkerhetspolitisk debatt. Foto: Siri Gulliksen Tømmerbakke

Eirik Sivertsen, som sitter på Stortinget for Arbeiderpartiet og også er leder for det arktisk parlamentariske samarbeidet, erkjenner at man i dag «springer litt etter» når det gjelder cybersikkerhet.

- Vi lever i et samfunn som blir stadig mer avhengig av elektroniske virkemidler, men  så langt har vi ikke stor nok oppmerksomhet rundt hvilken risiko disse også utgjør. Dette er ukjent farvann og vi har ikke kommet langt nok. Når det er sagt, tror jeg ikke dette er noe særnorsk fenomen og kunnskapen har heldigvis blitt bedre de siste årene, men det jeg er bekymret for angrep som potensielt kan lamme hele samfunnet ved å slå ut kommunikasjonsnettet og ta kontroll over viktige samfunnsinstanser, sier han.

- Vi må nok ta inn over oss at her er nye former for angrep og trusler som vi ikke ennå har gode nok svar på hvordan vi skal håndtere. Vi er ikke der vi skal, men springer som vanlig etter. Vi må kanskje begynne å springe enda fortere.

Richard Utne påpeker at cyberangrep som forårsaker skade, ødeleggelse eller forstyrrelse i privat sektor er fremdeles relativt sjeldent:

- Men «cybertrusselen» og digitale angrep mot kritisk infrastruktur er en raskt voksende bekymring. En rapport fra Forsvarets forskningsinstitutt (FFI) konkluderte imidlertid med at oppfatningen om at cybertrusselen er en avgjørende faktor i konflikter, for permanent å lamme en motstander med spektakulære digitale angrep på samfunnets infrastruktur, neppe er realistisk. I stedet må cybertrusselen sees på som et maktmiddel som brukes sammen med andre koordinerte hendelser, der hovedmålet er å vinne dominans over informasjonsdomenet, å ta eierskap til narrativet, og forskyve et strategisk tyngdepunkt til fordel for ikke å oppnå en enighet om represalier eller for å identifisere hvor god beredskapen er, og/eller på hvilket nivå myndighetene identifiserer at de har et avgjørende ansvar for å beskytte samfunnets motstandskraft, sier han.

Vi er ikke der vi skal, men springer som vanlig etter. Vi må kanskje begynne å springe enda fortere.

Eirik Sivertsen (Ap)

Selvmotsigende lovverk

Cyberforsvaret har altså ansvar for den militære infrastrukturen. Men de er ikke inkludert i det nyopprettede Felles cyber koordineringssenter (FCKS), som består av E-tjenesten, PST, NSM og Kripos.

- Og det er min store bekymring. For det er Cyberforsvaret som beskytter Forsvaret og dermed Forsvarssjefens evne til å forsvare NorgeHvis det kommer en russisk soldat over grensa med gevær, vil han bli stoppet av Hæren, som rykker ut for å beskytte nasjonen Norge. Men kommer det et stort cyberangrep, kan ikke Forsvaret komme nasjonen til unnsetning, for her ligger sektoransvarsprinippet prinsippet til grunn, argumenterer Wilhelmsen i Cyberforsvaret.

En ny sikkerhetslov trådte i kraft fra 1. januar 2019. I Sikkerhetsloven ligger sektoransvarsprinsippet til grunn. Det vil kort forklart bety at hver sektor har ansvar for å ivareta sin egen datasikkerhet og skal rapportere til sitt respektive departement ved angrep eller andre trusler.

Men samtidig står det om samvirkeprinsippet, som setter krav til nettopp samvirke på tvers av de tradisjonelle sektorlinjene. Disse to prinsipper er tidvis krevende å ivareta samtidig. Ett eksempel der sektorprinsipp og samvirke aktivt utfordres er ved såkalte hybridscenarier.

  • Merk: I et høringsutkast til NOU 2019:13 står det «for å vurdere om det også utenfor de tilfeller som reguleres av beredskapsloven, bør innføres en sektorovergripende fullmaktsbestemmelse som gir regjeringen hjemmel for midlertidig å supplere, og om nødvendig gjøre unntak fra, gjeldende lovgivning.

Utvidet ansvar?

Hårek Elvenes og resten av Utenriks- og forsvarskomiteen på besøk hos Cyberforsvaret på Jørstadmoen for en knapp måned siden.

- Vi har ikke god nok oversikt over de digitale truslene  Organisasjonen er i støpeskjeen og har ikke «satt seg» helt, mens truslene er nye og akselererende. Første skritt var å få reorganisert Cyberforsvaret. Det ble gjort i 2017. Vi har kommet et steg videre, men truslene er ennå udefinerbare og har i tillegg forgreininger inn i sivilsamfunnet, sist illustrert da Helse Sør-Øst ble angrepet, sier Elvenes og fortsetter:

- Det kan hende, men dette har jeg ikke dekning for i verken regjerings- eller stortingsdokumenter, at Cyberforsvaret på sikt vil få et utvidet ansvar, et ansvar som inkluderer sivil sektor.

Ideen blir ikke avvist av verken Ap eller Rødts representant.

- Skjønner tankegangen, men det er mulig å argumentere både for og imot. Men dette er nytt  terreng og jeg skal ikke avvise noe initiativ for å diskutere hvordan vi skal sikre oss bedre mot digitale trusler, sier Sivertsen i Ap.

- Å hente militær kompetanse over på sivil sektor, bør være mulig. Det fungerer fint for eksempel i Kystvakten, sier Skotåm og avslutter:

- Det vi aldri kan forsikre oss mot, det er toskeskap og dumhet, og når Helse Sør-Øst setter ut pasientarkivet til India, og dermed i praksis overlater oppfølgingen av 800.000 pasienter til en bedrift i et land vi overhodet ikke vet hvordan ivaretar datasikkerheten, da er det idioti, og det har vi ingen garanti mot. 

Det vi aldri kan forsikre oss mot, det er toskeskap og dumhet.

Per-Gunnar Skotåm (R)

Frykter papirtigre

Kommunikasjonssjef Knut Grandhagen vil ikke ta stilling til hvorvidt Cyberforsvaret skal ta mer ansvar, også for sivil sektor.

- Per i dag er vi dimensjonert for å ivareta Forsvaret, og vi er marginalt nok oppsatt for å håndtere det. Dersom vi i fremtiden skulle få utvidede ansvarsoppgaver, må det komme ressurser slik vi kan bygge ut kapasiteten og unngå å etablere «papairtigre», sier han, men understreker:

- Vi tar selvsagt på oss det oppdraget hvis vi får det.

FMR Cyberforsvaret

I Forsvarssjefens fagmilitære råd står disse prioriteringene for Cyberforsvaret fast i alle fire alternativer:

Cybersikkerhetssenter (MilCERT)

Evne til situasjonsforståelse, beskyttelse og handlefrihet

Operativ støtte

Evne til å levere kommunikasjonsinfrastruktur og understøtte kommando- og kontrollstruktur

Kommunikasjonsinfrastruktur

Satellittkommunikasjon

Taktisk datalink

Kommunikasjonsnettverk

Radioinfrastruktur

Strategisk samarbeid

Grovt sett mener Grandhagen det er to store utfordringer med det norske samfunnet i dag når det gjelder digitale trusler.

- Norges befolkning, næringsliv og offentlig sektor er alle svært opptatt av tilgjengeliggjøring av digitale tjenester, men de færreste har innsikt i og forståelse for trusselbildet og hvordan de skal beskytte seg. På den positive siden registrerer vi at kommersielle aktører som Telenor og Telia har nylig begynt fokus på å selge sikkerhetstjenester, noe som kan tyde på at det er et marked for å selge sikrere tjenester, og det er jo bra.

Den andre trusselen er at nye it-systemer og digitale tjenester blir kjøpt inn, men uten at det settes av midler og ressurser til opprettholde sikkerheten til løsningene over tid

- Generelt sett ser vi at der hvor digitalisering er veldig tett knyttet til virksomhetsmodellen, eksempelvis i finanssektoren, er fokuset på sikkerhet høy, men i mange andre sektorer er sikkerhetsnivået lavere og under press

Utne siterer fra Stortingsmelding 38 der det står at «En endret sikkerhetspolitisk situasjon, kombinert med hybride trusler, aktualiserer sivilt–militært samarbeid i det digitale rommet mer enn noen gang. Forsvarssektoren og sivil sektor benytter i økende grad felles IKT-infrastruktur, og tjenester kjøpes av kommersielle aktører. Det innebærer at også digitale sårbarheter er felles. Et godt samarbeid mellom sivile og militære myndigheter er avgjørende.»

- Implisitt ligger felles situasjonsforståelse som en kritisk nødvendighet for samhandling.

Har ikke nok kunnskap

På spørsmål fra High North News om politikere og beslutningstakere har god nok kunnskap om Cyberforsvaret, svarer Eirik Sivertsen et klart:

- Nei.

Hårek Elvenes sier: 

- Jeg kan ikke svare på vegne av alle andre, men kunnskapen om cybertrusler og hvordan disse kan møtes kan sikkert bli bedre. Dette er komplekse og sammensatte trusler av nokså ny dato. Derfor ble Cyberforsvaret opprettet for få år siden.

Mens Per-Gunnar Skotåm, som en direkte årsak av utfordringen han fikk fra sjefssersjanten i Cyberforsvaret under debatten i Bodø, i skrivende stund sitter på et NUPI-seminar for å lære mer. 

- Jeg tror de færreste har begrep om hva det dreier seg om. Det var at spørsmålet kom opp på mandag som gjorde at jeg prioriterte dette nå, sier han.