Uklart ansvar for ikt-kriser

Uklart ansvar for ikt-kriser

Kriseøvelsen IKT08 avdekker at Norge mangler et ansvarlig departement for omfattende ikt-kriser.

Alarmen går på Akershus festning i Oslo en mandag morgen i desember. Overvåkningsskjermene til Nasjonal sikkerhetsmyndighet (NSM) NorCERT viser massive ikt-angrep mot Norge. Organiserte kriminelle fra Øst-Europa er ute etter penger, og de går etter norske finansinstitusjoner og olje- og gassvirksomheter.

Mye informasjon kommer inn, og telefonene står ikke stille. Angrepene kommer i form av tjenestenektangrep, virus, trojanere og ulike svindelforsøk. Det koker i operasjonsrommet til NorCERT. Trusselnivået er på 4, nivået før full krig.

Denne gangen var det bare en øvelse. Nærmere 30 aktører fra privat og offentlig sektor deltok i Øvelse IKT08. Målet var å trene på krisehåndtering og prosesser i forbindelse med ikt-angrep over tre dager.

Øvelsen ble arrangert av Direktoratet for samfunnssikkerhet og beredskap (DSB), og skulle være den store, nasjonale øvelsen i 2008. NSM var medarrangør som eksperter på fagområdet, i og med at de overvåker internettrafikken i Norge og forvalter sikkerhetsloven. I tillegg var Kripos, Post- og teletilsynet, banker, telekomoperatører, olje- og gassindustrien og en rekke andre med.

Erfaringene fra øvelsen viser at Norge fremdeles har en vei å gå når det gjelder å være forberedt på og håndtere ikt-kriser.

Manglet styring

Øvelsen begynte mandag 1. desember og varte til og med onsdag. Det var flere sektorer som var rammet av ulike typer angrep. Allerede tidlig første dagen innså deltakerne viktigheten av å definere et ansvarlig departement.

- Det var ikke klart hvem som hadde ansvaret under øvelsen. Av spilltekniske årsaker kom det arbeidet sent i gang, ikke før dag to, da ble det bestemt at det var Justisdepartementet, sier seniorrådgiver Øivind Mandt i NSMs enhet for analyse og tilsyn.

I slike krisesituasjoner skal Justisdepartementet ha ansvaret til et lederdepartement er utpekt. Lederdepartementet blir det departementet som er mest berørt. I en ikt-krise, som rammer mange ulike virksomheter i flere sektorer, er det vanskelig å bestemme. Øvelsen viste at det manglet koordinering i en ikt-krise.

- Ikt er sektorovergripende, og det er ikke alltid like lett å synliggjøre ansvaret, sier fungerende avdelingsdirektør Pål Arne Hoff i NSM NorCERT, som hadde en helt sentral rolle i øvelsen.

Handlingslammet

Øvelsen viste også nødvendigheten av å ha operative enheter med beslutningsmyndighet, som kan reagere umiddelbart ved angrep. NSM har en slik operativ funksjon, men møter på flaskehalser i systemet.

- Det er viktig å handle raskt og koordinert. Mange av virksomhetene i øvelsen er typisk åtte-til-fire-virksomheter, som ikke er operative. Det er et problem, sier Mandt.

Han trekker frem muligheten for å stenge ute domener og ip-adresser i nettet. Post- og teletilsynet kan med hjemmel i Ekomloven pålegge teleoperatørene å gjøre det, men tilsynet er ikke en operativ enhet.

- Da får vi en utfordring klokken seks på en fredag, når folk har dratt fra kontoret, eller når noen er på sommerferie, sier Mandt.

NSM har døgnkontinuerlig bemanning i sin operasjonssentral, hver dag i året. Derfor ønsker de nå å få lovhjemmel til selv å pålegge teleoperatørene stenging.

- Vi skulle gjerne hatt større mulighet til å pålegge når noe skjer, sier Hoff i NorCERT.

Han er tydelig på at det er de private selskapene som må ha ansvar for nettverkene.

- Man kan ikke lage en supergruppe som skal komme inn til en teleoperatør med kofferter, ta over og redde internett. Telenor og de andre operatørene må ha kontrollen på nettet, de kan det bedre enn oss, sier Hoff.

Tiden er kritisk når ikt-angrep rammer, og hver sekund teller. Derfor er det så viktig å fatte beslutninger raskt, og ha hjemmel i lov til å ta beslutningene.

En annen viktig test som ble utført, var forholdet mellom NSM og Kripos. Det viste seg at det var en interessekonflikt. Mens NSM ønsket å gjenopprette normaltilstand i systemene, ville Kripos etterforske og spane på angriperne.

- Vi vant frem, sier Mandt.

Hvem har ansvaret? Les mer på neste side.

Les om: