Hvem vokter vokterne?

Under åpningen av Nasjonal sikkerhetsmåned som pågår akkurat nå, presenterte blant andre Nasjonal Sikkerhetsmyndighet (NSM) en rapport om it-trusselbildet. Ett av poengene i denne presentasjonen, var at NSM har oppdaget langt færre alvorlige sikkerhetshendelser i år enn i fjor. Tilsynelatende en god nyhet, men NSM mener at dette skyldes at angriperne bare har blitt flinkere til å unngå å bli oppdaget.  

NSM har mange oppgaver under den felles overskriften "forebyggende nasjonal sikkerhet". Innenfor it-sikkerhet er kanskje NorCERT, Norwegian Computer Emergency Response Team, mest kjent. Det er en organisasjon underlagt NSM som skal oppdage og og håndtere alvorlige dataangrep i Norge.

Åpenbart "good guys", og CERT har da også sine røtter tilbake til dengang internettet først og fremst var et universitetsnett. Det første CERT-et ble opprettet i 1988 på Carnegie Mellon University, i bakkant av at Morris-ormen tok ned store deler av det som da var internett.

Samtidig er NSM overvåkere, og defineres av Stortinget som en av EOS-tjenestene, altså etterretnings-, overvåkings-, og sikkerhetstjenestene. Her nevnes NSM sammen med Politiets sikkerhetstjeneste (PST), Forsvarets sikkerhetsavdeling (FSA), og Etterretningstjenesten som organer som er underlagt særlig kontroll av Stortinget.

Denne kontrollen utføres av EOS-utvalget, Stortingets kontrollutvalg for EOS-tjenestene, som skal utføre sitt arbeid uavhengig av Stortinget. Dermed kan ikke nåværende stortingsrepresentanter være medlem av utvalget, men flere av medlemmene har tidligere sittet på Stortinget. I tillegg finner vi andre størrelser fra særlig politikk og annen offentlig virksomhet.

Ett av midlene NSM bruker til å oppdage uønskete hendelser på det norske nettet, er det såkalte VDI-nettet (Varslingssystem for digital infrastruktur). Det består av overvåkingssensorer som er utplassert i en rekke private og offentlige virksomheter av "nasjonal viktighet".

NRK er en slik institusjon, og hadde en VDI-sensor installert i perioden 2006 til 2010. I 2010 besluttet NRK å fjerne sensoren, av frykt for at kildevernet var truet. I fjor høst revurderte NRK situasjonen igjen, og besluttet å sette inn en VDI-sensor igjen. Det ble begrunnet i at NRK har et stort behov for å beskytte seg mot angrep, og at NSMs VDI-løsning er "under demokratisk kontroll", og derfor sikker, med tanke på kildevernet. Det er altså Stortingets EOS-utvalg som NRK sikter til.

I NSMs sikkerhetsfaglige råd, som ble lagt fram tidligere i høst, foreslår NSM å utvide og gjøre VDI obligatorisk for utvalgte virksomheter. I rapporten NSM la fram nå sist, kommer NSMs syn klart fram: "Sensornettverket VDI må styrkes for å kunne gi et tilstrekkelig bilde av den nasjonale ikt-sikkerhetstilstanden", kan vi lese der. 

Det ligger i sakens natur at i nasjonal forebyggende sikkerhet inngår det tiltak som er nødt til å være unntatt offentligheten. Samtidig fortalte avsløringene til NSA-varsleren Edward Snowden en tydelig historie: Myndighetsorganene som er ansvarlige for nasjonal sikkerhet har evne og vilje til å gjøre tiltak – i sikkerhetens navn – som krenker og er uforenlige med verdiene til samfunnet de er satt til å beskytte. Det er et stort problem, og det er liten grunn til å tro at dette er et isolert tilfelle som bare kan skje i USA.

At NSM både er en god og viktig bidragsyter i samfunnets sikkerhetsarbeid og samtidig blant overvåkerne under særlig oppsyn, er en problematisk dualitet. Det er ingen som tror at NSM og de andre har annet enn de beste hensikter, men samtidig er det et behov for samfunnet å kunne forvisse seg om at vokterne ikke krysser linjer som ikke skal krenkes.

Det er også en teknisk krevende oppgave å ettergå hva NSM og de andre egentlig fortar seg. At noen forhenværende politikere skal kunne oppdage mer enn det etterretningsorganene selv ønsker å oppgi når de inspiseres, er en mildt sagt optimistisk ide. Et uavhengig og sterkt fagmiljø som har teknisk innsikt på linje med de som inspiseres, burde være et minstekrav. Kanskje en "Riksrevisjon for overvåkerne" kan være en vei å gå? Vi skjønner at vi trenger voktere, men i et åpent og fritt samfunn må også de voktes.