SINTEF

Høringsuttalelse fra SINTEF vedr. NoU 2015 13 Digital sårbarhet - sikkert samfunn Dato: 15.03.2016 Svartype: Med merknad SINTEF takker for muligheten til å gi tilbakemelding på NOU 2015:13 Digital sårbarhet – sikkert samfunn. NOUen om "Digital sårbarhet – sikkert samfunn" er viktig. Samfunnet gjennomgår en sterkt ønsket og uavvergelig trend mot en stadig mer omfattende digitalisering. Det ligger imidlertid et stort og uoversiktlig skadepotensial knyttet til cyber-fysiske fenomener i styringssystemer for industri og kritisk infrastruktur, og dette vil øke dramatisk når "Tingenes Internett" virkelig tar av. Det må framskaffes mer kunnskap og kompetanse innen IKT-sikkerhet spesielt, og denne kunnskapen må integreres i alle sektorspesifikke programmer. Med dagens avhengighet av IKT i alle deler av vår samfunnsinfrastruktur, er IKT-sikkerhet en fundamental egenskap som må ivaretas og kontinuerlig utvikles. IKT-sikkerhetskompetanse må kombineres med domene-/bransje-kunnskap innen ulike sektorer. Videre vil vi oppfordre til å legge vekt på å knytte resiliente egenskaper inn mot IKT- og tilgrensende systemer. Resiliente egenskaper handler om å bygge opp systemer som er fleksible nok til at de kan tilpasse seg hurtige endringer i trusselbildet. Denne måten å møte sårbarhet på kommer i tillegg til fokuset på å bygge robusthet, en tilnærming som i større grad krever at en er i stand til å forutse hvilke hendelser som kan inntreffe. På denne bakgrunn er det følgende våre hovedanbefalinger:  IKT-sikkerhet er en fundamental egenskap som må ivaretas og kontinuerlig utvikles. Det bør derfor opprettes et eget forskningsprogram om IKT-sikkerhet gjennom Forskningsrådet. Kompetanse innenfor IKT-sikkerhet må integreres i alle sektorspesifikke forskningsprogrammer. Det må legges stor vekt på forskning og styrking av ledende fagmiljøer. Forskningsrådet har en viktig rolle for å prioritere midler til forskning innenfor IKT-sikkerhet. Behovet for systemkompetanse må vektlegges både innen ulike sektorer og på tvers av sektorer. Det må legges stor vekt på IKT-sikkerhet innenfor sektorer som energiforsyning, olje og gass og transport. Dette er godt beskrevet i utredningen. IKT-sikkerhet i helse- og omsorgssektoren har stor betydning. I tillegg til det som er beskrevet i utredningen, må det legges økt vekt på velferdsteknologi og "helse hjemme". IKT-sikkerhet må inkluderes i alle IKT-utdanninger, ikke bare være et frittstående utdanningsløp.    Utdyping av SINTEFs synspunkter Utredningen fokuserer bredt på betydningen av IKT innen ulike sektorer, kritiske samfunnsfunksjoner og kritiske infrastrukturer, og digitale sårbarheter relatert til disse. Kap. 19 gir i denne sammenheng en for snever beskrivelse av kompetanse knyttet til IKT-sikkerhet. IKT-sikkerhet kan ikke sees isolert fra hvilken betydning de ulike IKT-systemene har i en kritisk samfunnsfunksjon eller kritisk infrastruktur og dermed for samfunnssikkerheten. Behovet for denne type systemkompetanse må vektlegges, ikke bare innen de ulike sektorene, men også tverrsektorielt, ettersom det er gjensidige avhengigheter mellom flere kritiske funksjoner og infrastrukturer. Det er vår erfaring at kombinasjonen av IKT-kompetanse og kompetanse om samhandlingen med den funksjonen eller det systemet som IKT-systemet er en del av, har en tendens til å falle mellom stoler når behov for kompetanse og forskning beskrives.  Samspillet mellom IKT og andre teknologier kan kanskje oppfattes å være inkludert i sektorspesifikke programmer i Forskningsrådet. Det er imidlertid uklart i hvilken grad de øvrige programmene fokuserer på et samspill med IKT og nødvendig kunnskap om det kombinerte systemet. Dette er ikke omtalt i utredningen. SINTEF foreslår at det opprettes et eget forskningsprogram for IKT-sikkerhet, samt at det legges til rette for å inkludere IKT-sikkerhet som et integrert tema i sektorspesifikke FoU-programmer. Det er dessuten viktig at forskningsmidler kanaliseres gjennom Forskningsrådet og deles ut til de best egnede miljøer gjennom utlysninger og konkurranse, framfor at enkeltmiljøer blir tilgodesett med direktefinansieringer, hvilket vil begrense kvaliteten på forskningen.  Utredningen vektlegger evnen til å gjenoppta virksomhet etter hendelser, og det er derfor riktig å se på såkalte resiliente egenskaper og tilnærmingsmåter, som får stadig økende oppmerksomhet i sikkerhetslitteraturen, særlig knyttet til kritiske infrastrukturer. Utredningen bruker begrepet robusthet som betegnelse på "den motstandskraft et system har mot en uønsket hendelse, samt den evne systemet har til å gjenoppta sin virksomhet etter at hendelsen har inntruffet" (kap. 4.1). Robusthet vil som regel handle om forhåndsplanlegging og å bygge flere lag av barrierer mot definerte scenarioer. Robusthet i tradisjonell forstand er imidlertid kun én mulig strategi for å håndtere digital sårbarhet. I tillegg vil det såkalte resiliens-perspektivet inneholde viktig kunnskap om den evnen et system har til å håndtere uforutsette hendelser. Dette krever en fleksibilitet og evne til å tilpasse seg nye trusler som må komme i tillegg til de barrierene en kan bygge inn i systemet gjennom design. En resilienstilnærming vil være virkningsfullt på lengre sikt for å skape en forsvarlig balanse mellom å legge til rette for verdiskaping og innovasjon gjennom informasjonsteknologi og samfunnets digitale sårbarhet. En slik tilnærming vil ha implikasjoner for tiltak som er beskrevet under overskriftene kompetanse (kap. 19), felleskomponenter (kap. 22), tverrsektorielle tiltak (kap. 23).     SINTEF har forøvrig følgende kommentarer til enkeltkapitler i utredningen:   Kap. 3 – Rettsstatsprinsipper og grunnleggende samfunnsverdier SINTEF vil gjerne påpeke at det ikke ble konkludert endelig om Åsta-ulykken skyldtes teknisk svikt i signalanlegget eller menneskelig svikt. Det ble derimot påpekt alvorlig systemfeil knyttet til både sikkerhetstenkning og sikkerhetsstyring.   Kap. 6 - Trender som påvirker sårbarhetsbildet Dette kapitlet er stort sett veldig bra, men Software Defined Networking (SDN) kunne ha vært omtalt som en trend som påvirker sårbarhetsbildet.   Kap. 7 – Utilsiktede og tilsiktede IKT-hendelser Dette er en bra oversikt. Det er positivt at utilsiktede hendelser er grundig gjennomgått i kap. 7.1, da dette ofte lett glemmes i andre sammenhenger.   Kap. 9 – IKT-sikkerhetsarbeid i andre land I kap. 9.6 nevnes at flere land har lagt vekt på IKT-sikkerhet allerede i barneskolen. Det er viktig at IKT-sikkerhet inkluderes i læreplanen for den norske grunnskoleutdanningen, særlig med tanke på barns hyppige og ofte ukritiske bruk av sosiale medier.   Kap. 13 – Energiforsyning SINTEF ser et behov for økt kunnskap om hva den økte avhengigheten av IKT har å si for forsynings-sikkerheten. Dagens modeller for forsyningssikkerhet tar i liten grad inn over seg de nye cyber-truslene, og det er viktig med bedre verktøy og metoder for å fange opp, forstå og håndtere de sårbarhetene som kommer som følge av økt bruk av IKT i kraftnettet. Tiltakene som foreslås for tilsyn, veiledning og ressurssterke fagmiljøer er viktige for å gjøre kraftsektoren bedre i stand til å håndtere cyber-trusler, men det er også et kunnskapsgap som bør adresseres av fagmiljøer med kompetanse på både IKT-sikkerhet og forsyningssikkerhet. Det er forøvrig positivt at det fokuseres på evne til å håndtere uønskede hendelser, og spesielt øvelser, både innen energiforsyningen og olje og gass (kap. 13 og 14).   Kap. 14 – Olje og gass Denne analysen er godt dekkende og peker på sentrale utfordringer i sektoren. Gode eksempler er trukket fram. Faktaboksene 14.1 og 14.2 gir meget god innsikt i hvilke farer og trusler O&G-sektoren står ovenfor. Dette er ytterligere aktualisert i PSTs trusselvurdering for 2016. Det er både riktig og viktig at det fokuseres på styrking av tilsyn og hvilke barrierer som eksisterer. Like viktig er det at kompetansen og bevisstheten om dette temaet styrkes.   Kap. 15 – Vannforsyning Vi stiller oss bak anbefalingen om økt vektlegging av hendelseshåndtering, både innen vannforsyningen og andre sektorer.     Kap. 17 – Helse og omsorg Utredningen gir en god oversikt over de mange og svært krevende utfordringer sektoren står overfor. Imidlertid fokuserer utredningen i større grad på spesialisthelsetjenesten enn primærhelse og "privat helse". Det er bred internasjonal enighet om at fremtidens store helseutfordringer er innen kroniske sykdommer og "helse hjemme", vel så mye som på sykehus. Velferdsteknologi er derimot et stort satsningsområde med mange muligheter framover, men det krever et pålitelig og sikkert nett helt fram til hver enkelt bruker. Det bør derfor utarbeides en strategi og identifiseres tiltak for å sikre denne kommunikasjonskanalen for at nye velferdsteknologiske løsninger skal kunne utnyttes til det fulle og ikke innebære en risiko for brukerne.  Det reises en problemstilling i kap. 17.5.4 om at klinisk skjønn kan "digitaliseres bort" som et resultat av et marked med stor innovasjon og økonomisk verdi, både offentlig og privat. SINTEF vil påpeke at det kan ha alvorlige konsekvenser, og denne utfordringen må tas på alvor og møtes med riktige tiltak.   Kap. 18 – Transport Utredningen gir en god beskrivelse av transportsektoren og sårbarhetene i hver enkelt del av sektoren. Mange av sårbarhetene er felles for de ulike delene av transportsektoren, både når det gjelder tilsiktede og utilsiktede IKT-hendelser. Det foreligger åpenbart et stort behov for videre kunnskapsutvikling innen IKT-sikkerhet for en samlet transportsektor. Vi støtter utredningens anbefalinger om beredskapsplaner og reserveløsninger. I tillegg vil vi anbefale at det etableres krav til IKT-sikkerhet i alle autonome transportsystemer som tas i bruk. Vi vil også anbefale at det arbeides videre med problematikken rundt personvern og systemløsninger der nødvendig anonymitet er ivaretatt.   Kap. 19 – Kompetanse (med referanse til kap. 23) SINTEF støtter fullt ut det utredningen skriver om at IKT-sikkerhet må vektlegges i alle IKT-utdanninger og at dette ikke kun er en særinteresse for de som velger å studere sikkerhet. Det henvises i kap. 19.5.2 til en IKT-evaluering gjennomført av Forskningsrådet i 2012. SINTEF vil presisere at denne ble gjort blant universiteter og høyskoler. Beskrivelser i utredningen kan lett leses som at konklusjonen gjelder alle sikkerhetsmiljøer i Norge, men sikkerhetsmiljøene i instituttsektoren, inkludert SINTEF, var altså ikke en del av denne evalueringen. SINTEF gir ellers sin støtte til tiltakene som er beskrevet i kap. 19.8.2.   I kap. 19.5 gis det en opptelling av antall personer og størrelser på forskningsgrupper som jobber med IKT-sikkerhet. Det er imidlertid uklart hvordan skal slike tall forstås. Tallenes størrelse indikerer at det er lagt en snever tolkning av IKT-sikkerhet til grunn, isolert knyttet til IKT-systemene selv. En slik opptelling gir liten mening ettersom vi ikke har blitt presentert for kunnskap om hva behovet er knyttet til IKT-sikkerhet som en del av samfunnssikkerheten.   I kap. 19.5.3 om Forskningsrådets rolle og kap. 19.5.4 som refererer til EUs forskning, gis det en beskrivelse av forskningsprogrammer knyttet til IKT. Det er noe uklart hva som menes med dette. På den ene side kan det oppfattes til å være en snever beskrivelse av Forskningsrådets og EUs programmer opp mot bredden av temaer i utredningen og den systemforståelsen som er beskrevet ovenfor. På den annen side er det nevnt under de faglige tematiske prioriteringene i IKTPLUSS at f.eks. områdene Kompleksitet og robusthet og Et trygt informasjonssamfunn er knyttet sammen, herunder samspill mellom teknologi, individer og samfunn. Størrelsen på det årlige budsjettet i IKTPLUSS indikerer imidlertid at det ikke er særlig rom for å ivareta det tverrfaglige kompetansebehovet innen ulike sektorer i dette programmet.   Kap. 21 – Avdekke og håndtere digitale angrep Utredningen setter et betydelig og nødvendig fokus på styring og kriseledelse (kap. 20) samt å avdekke og håndtere digitale angrep (kap. 21). SINTEF slutter seg til at dette løftes fram som viktige prioriteringsområder framover. I kap. 21.11.4 foreslår vi følgende tillegg for å dekke behovet for forskning på hendelseshåndtering: "For å sikre rekruttering av relevant kompetanse i fremtiden er det viktig at fagmiljøene har en aktiv rolle overfor akademia og at det utlyses forskningsmidler for forskning på hendelseshåndtering som fagområde."   Med vennlig hilsen Alexandra Bech Gjørv, Konsernsjef Maria Bartnes, IT-sikkerhetsleder Justis- og beredskapsdepartementet Til høringen Til toppen <div class="page-survey" data-page-survey="133" data-page-survey-api="/api/survey/SubmitPageSurveyAnswer" data-text-hidden-title="Tilbakemeldingsskjema" data-text-question="Fant du det du lette etter?"