Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon
– Det er ikke heldig at justis- og beredskapsdepartementet, som har koordinerende ansvar, ikke deltok i øvelsen, sier lederen av Stortingets justiskomite til ABC Nyheter.
– Cyberangrep er, i motsetning til flom og hardt vær, noe vår beredskap ikke er så vant til å håndtere. Regelmessig trening på tvers av etater, og sammen med sentrale private aktører, er derfor spesielt viktig, understreker Tajik.
ABC Nyheter skrev tidligere denne uken om den nasjonale øvelsen NCEK15, som avdekket store svakheter i myndighetenes beredskap da et fiktivt cyberangrep slo ut kraftforsyningen og all elektronisk kommunikasjon i Norge sist desember. Det vil si blant annet strøm, Internett og mobilnettet.
JD, som er ansvarlig for Regjeringens Krisestøtteenhet (KSE), prioriterte ikke å delta. Det svekket øvelsen, påpekte både Samferdselsdepartementet (SD) og Nasjonal Sikkerhetsmyndighet:
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsen– De som har nøkkelroller under en krise selv må delta i øvelser. Realismen i møtene i SDs kriseråd ble ikke god nok når JD ikke var med, og man fikk ikke øvd nok på samordning, står det i en rapport ABC Nyheter har hatt tilgang til.
Bakgrunn: Beredskapen sviktet under cyberangrep
Reaksjon: Justisdepartementet får kritikk: – De som har nøkkelroller under en krise må delta i øvelser
Cyberangrep anses av sikker- og etterretningstjenestene som en svært reell trussel mot norsk infrastruktur. Et vellykket angrep mot ekom og kraft vil lamme så å si alt av samfunnets funksjoner - og nærmest sende oss tilbake til steinalderen. Ifølge både NSM og E-tjenesten øker denne type angrep mot Norge.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenMen i øyeblikket synes vi ikke beredt på å stå i mot.
* Cyberøvelsen avdekket både svikt i informasjonsflyt ovenfra og ned, mellom myndighetsaktørene, og mellom det offentlige og private – som sitter på mer og mer av den kritiske infrastrukturen som både privat og offentlig sektor - og dessuten militæret - støtter seg på.
Artikkelen fortsetter under annonsen* Myndighetenes evnet ikke å prioritere under krisen, de kjente ikke hjemler i lovverket.
Tajik mener man må ta grep:
– Arbeiderpartiet vil foreslå at det lages en nasjonal handlingsplan for cybersikkerhet, der blant annet roller og ansvar aktørene imellom klarlegges, kontaktflaten opp mot de private aktørene etableres tydeligere, og rutiner for trening blir stadfestet. Jeg tror det vil være med på å gi dette viktige samfunnssikkerhetsområdet et nødvendig løft, sier Arbeiderpartiets nestleder.
SE SVAKHETENE SOM BLE AVDEKKET I CYBERØVELSEN NEDERST I SAKEN
Å lære av å øve var et sentralt poeng i anbefalinger Gjørv-kommisjonen kom med etter terrorangrepene 22. juli. I rapporten etter NCEK15 vises det til denne:
«Alle deltakere i øvelsen har et samfunnsansvar. Sett i lyset av konklusjonene fra 22. juli-kommisjonen, der en observasjon var at «evnen til å erkjenne risiko og ta lærdom av øvelser har vært for liten», må nødvendig ledelsesforankring og involvering være obligatorisk for fremtidige øvelser av dette formatet.»
Artikkelen fortsetter under annonsenTajik kommenterer det slik:
Artikkelen fortsetter under annonsen– Siden vi er et ganske nettbasert samfunn, er våre samfunnsinstitusjoner også mer sårbare for både menneskelige feil, naturkatastrofer og aktive hackerangrep. Vi må sikre at våre sentrale aktører på feltet har den nødvendige kompetansen og sterke nok fagmiljøer til å møte disse sammensatte utfordringene.
Hun sier at Norge har en strategi for informasjonssikkerhet fra 2012, og en strategi for forsvarssektoren fra 2013, men at vi ikke har noen overbygning.
Les også: Frykter russisk hybridkrig mot Norge
– Vi mangler i dag en politisk forankret nasjonal sektorovergripende cybersikkerhetsstrategi. Noe av oppgaven må også være å definere hva som er samfunnskritisk infrastruktur på cyberområdet. Når den samfunnskritiske infrastrukturen kan tenkes å være enkelte private aktører, for eksempel banker, må også forholdet mellom det offentlige ansvaret for felles trygghet, og det private ansvaret for å sikre sine institusjoner, gjøres tydeligere, understreker Tajik.
Artikkelen fortsetter under annonsen
Til høsten skal gjennomføres en ny nasjonal IKT-øvelse: SNØ16. Hensikten er å sette Norge i stand til å håndtere et IKT-angrep som rammer på tvers av sektorer. Det skal ha fokus på konkret håndtering av konsekvenser som følge av angrep, opplyser statssekretær Gjermund Hagesæter (Frp) til ABC Nyheter.
Øvelsen skal blant annet bygge på erfaringene fra NCEK15, samt anbefalingene det såkalte Lysne-utvalget kom med i Sårbarhetsutvalgets rapport, som justis- og beredskapsminister Anders Anundsen (Frp) fikk overlevert tre dager før cyberøvelsen de droppet.
– Det er bra at regjeringen satte ned et digitalt sårbarhetsutvalg, Lysne-utvalget, som la frem sine anbefalinger i november i fjor. Det naturlige neste skritt mener jeg nå er å lage en handlingsplan for cybersikkerhet, slår Hadia Tajik fast.
