Droppet cyberøvelse som avdekket svikt i beredskapenJustisdepartementet får kritikk: – De som har nøkkelroller under en krise må delta i øvelser

FÅR KRITIKK : Justis- og beredskapsdepartementet har en nøkkelrolle i nasjonal kriseledelse, men involverte seg ikke i den første nasjonale cyberøvelsen på åtte år, der et høyst realistisk scenario ble spilt. – Nasjonal sikkerhetsmyndighet deltok begge dager på øvelsen, og var en sentral støttespiller gjennom hele planleggingsarbeidet, forklarer statssekretær Gjermund Hagesæter (Frp) (bildet). Men NSM er blant dem poengterte at de savnet JD, ifølge evalueringsrapporten som viser at beredskapen sviktet.
FÅR KRITIKK : Justis- og beredskapsdepartementet har en nøkkelrolle i nasjonal kriseledelse, men involverte seg ikke i den første nasjonale cyberøvelsen på åtte år, der et høyst realistisk scenario ble spilt. – Nasjonal sikkerhetsmyndighet deltok begge dager på øvelsen, og var en sentral støttespiller gjennom hele planleggingsarbeidet, forklarer statssekretær Gjermund Hagesæter (Frp) (bildet). Men NSM er blant dem poengterte at de savnet JD, ifølge evalueringsrapporten som viser at beredskapen sviktet. Foto: Ole Gunnar Onsøien / NTB scanpix
Artikkelen fortsetter under annonsen

Marsjordre om å øve og lære fra 22. julikommisjonen til tross: Justisdepartementet prioriterte ikke den nasjonale cyberøvelsen som slo ut strømforsyning og all elektronisk kommunikasjon. Nå får de kritikk.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen

Regjeringens krisestøtteenhet (KSE)

* En stab som skal støtte regjeringen og Regjeringens kriseråd i krisehåndtering i fredstid. KSE er faglig og administrativt underlagt Rednings- og beredskapsavdelingen i Justis- og beredskapsdepartementet.

* KSE bistår med kapasiteter i form av infrastruktur, teknologi, lokaler og personell. KSE har ansvar for egnede krisehåndteringslokaler i Regjeringskvartalet som er tilrettelagt med nødvendig teknisk infrastruktur som tele-, data-, sambands- og informasjonssystemer.

* Under en krise kan KSE bidra med kompetanse i form av rådgivning og faglig bistand for samordning og sentral krisehåndtering. Dette omfatter støtte til analyser, utarbeidelse av overordnede situasjonsrapporter og etablering av felles situasjonsforståelse, som grunnlag for strategiske beslutninger.

* En intern rapport utarbeidet av KSE etter terroranslaget 22. juli 2011 viste at apparatet for krisehåndtering sviktet på flere områder.

* I 22. julikommisjonens rapport står det at «evnen til å erkjenne risiko og ta lærdom av øvelser har vært for liten»:

– Det er en påminnelse om at erkjennelse ikke er å forstå, det er å handle. Man kan ikke vise til at det bare er en øvelse, det er ikke godt nok. Det kan være det reelle som skjer neste gang, sier avdelingsdirektør Einar Lunde i Nkom.

– Man kan ikke vise til at det bare er en øvelse, det er ikke godt nok. Det kan være det reelle som skjer neste gang. Det er det som ligger mellom øvelsene, som er det viktigste, sier avdelingsdirektør Einar Lunde i Nasjonal Kommunikasjonsmyndighet (Nkom) til ABC Nyheter.

Et cyberangrep anses som den største reelle trusselen mot Norge. Slås ekom og kraft ut, vil det ramme så å si alt av samfunnets funksjoner.

ABC Nyheter skrev tirsdag om de store svakhetene i beredskapen som ble avdekket under NCEK15. Mye sviktet under øvelsen.

Men Justis- og beredskapsdepartementet, som er ansvarlig for Krisestøtteenheten (KSE) i regjeringen, deltok ikke på NCEK15.

Det får de kritikk fra både Samferdselsdepartementet (SD) og Nasjonal Sikkerhetsmyndighet (NSM) for. Det fremgår av en fersk evalueringsrapport fra cyberangrepet.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

BAKGRUNN: Beredskapen sviktet under cyberangrep

– Må delta i øvelser

I rapporten står det:

* De som har nøkkelroller under en krise selv må delta i øvelser. Realismen i møtene i SDs kriseråd ble ikke god nok når JD ikke var med, og man fikk ikke øvd nok på samordning.

* I det aktuelle scenariet ville det vært naturlig at Forsvarsdepartementet (FD) og JD med underliggende myndigheter deltok aktivt i øvelsen.

* NSM poengterer at deltakelse fra JD var savnet for at myndighetsforumet skulle øves realistisk.

– Det var dumt for øvelsen, sier Einar Lunde i Nkom, som var ansvarlig for NCEK15.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

SE SVAKHETENE SOM BLE AVDEKKET I CYBERØVELSEN NEDERST I SAKEN

Øvelsen ble avholdt i desember i fjor. Både kraftforsyningen og ekom ble slått ut etter at den fiktive staten Slavistad utførte et rettet cyberangrep på sentral norsk infrastuktur – der blant annet Telenor gikk ned for telling.

Artikkelen fortsetter under annonsen

I evalueringsrapporten, som ABC Nyheter har fått tilgang på, står det:

«Alle deltakere i øvelsen har et samfunnsansvar. Sett i lyset av konklusjonene fra 22. juli-kommisjonen, der en observasjon var at «evnen til å erkjenne risiko og ta lærdom av øvelser har vært for liten», må nødvendig ledelsesforankring og involvering være obligatorisk for fremtidige øvelser av dette formatet.»

– Samme problem 22. juli

MÅ FORVENTE ANGREP: – Private aktører er ikke underlagt sikkerhetsloven. Dette ikke særnorsk, men mer og mer kritisk infrastruktur er på private hender. Først nå er det begynt å sige inn hos myndigheter, sier Einar Lunde, avdelingsdirektør i Nasjonal Kommunikasjonsmyndighet. Foto: Nkom
MÅ FORVENTE ANGREP: – Private aktører er ikke underlagt sikkerhetsloven. Dette ikke særnorsk, men mer og mer kritisk infrastruktur er på private hender. Først nå er det begynt å sige inn hos myndigheter, sier Einar Lunde, avdelingsdirektør i Nasjonal Kommunikasjonsmyndighet. Foto: Nkom

– Det er en påminnelse om at erkjennelse ikke er å forstå, det er å handle. Man kan ikke vise til at det bare er en øvelse, det er ikke godt nok. Det kan være det reelle som skjer neste gang. Det er det som ligger mellom øvelsene, som er det viktigste, sier Einar Lunde i Nkom.

Øvelsen avdekket at informasjonen fra toppen og ned sviktet. En årsak er at private aktører – som kontrollerer kritisk infrastruktur – ikke er underlagt sikkerhetsloven og kan gis gradert informasjon. Det samme skjedde under terrorangrepene 22. juli:

Artikkelen fortsetter under annonsen

«Ikke minst fikk den brede deltakelsen som konsekvens at ikke alle saker kunne tas opp i kriserådet, selv om de hørte naturlig hjemme der, fordi de omfattet gradert informasjon som bare et fåtall av deltakerne var sikkerhetsklarert til å kunne få kjennskap til», står det i 22. julikommisjonens rapport.

Artikkelen fortsetter under annonsen

Men dette ble igjen et problem:

SÅRBARE: - Svikter Telenors kjernenett, får det alvorlige konsekvenser for de aller fleste samfunnsområder i Norge, var en av konsekvensene Olav Lysne (til venstre) i Sårbarhetsutvalget gjorde justis- og beredskapsminister Anders Anundsen (Frp) oppmerksom på tre dager før den store cyberøvelsen JD ikke prioriterte. Der var nettopp dette et scenario. Foto: JD
SÅRBARE: - Svikter Telenors kjernenett, får det alvorlige konsekvenser for de aller fleste samfunnsområder i Norge, var en av konsekvensene Olav Lysne (til venstre) i Sårbarhetsutvalget gjorde justis- og beredskapsminister Anders Anundsen (Frp) oppmerksom på tre dager før den store cyberøvelsen JD ikke prioriterte. Der var nettopp dette et scenario. Foto: JD

– Private aktører er ikke underlagt sikkerhetsloven. Dette ikke særnorsk, men mer og mer kritisk infrastruktur er på private hender. Først nå er det begynt å sige inn hos myndigheter. Vi må forholde oss til private aktører. I cyberdomenet går alt veldig fort. Du må håndter situasjonen der og da, sier Einar Lunde.

Les også: Frykter russisk hybridkrig mot Norge

Ny øvelse til høsten

Justis- og beredskapsdepartemerntet har gitt Direktoratet for samfunnssikkerhet og beredskap (DSB) i oppdrag å arrangere en stor nasjonal IKT-øvelse senere i høst, SNØ15. Den skal sette Norge bedre i stand til å håndtere et større IKT-angrep som rammer på tvers av sektorer, og ha fokus på konkret håndtering av konsekvenser som følge av angrep.

Artikkelen fortsetter under annonsen

Ifølge oppdragsbrevet fra JD til DSB skal SNØ15 bygge på erfaringene fra Nkom-øvelsen.

Einar Lunde sier:

– Det er en skuffelse om vi på IKT16-øvelsen ikke har forbedret læringspunktene.

JD kjente ikke til evalueringsrapporten

ABC Nyheter har sendt kritikken reist av både Samferdselsdepartementet og

KRITISERER: – Realismen i møtene i SDs kriseråd ble ikke god nok når Justisdepartementet ikke var med, og man fikk ikke øvd nok på samordning, skrev Einar Solvik Olsens (til høyre) (Frp) samferdselsdepartement. Her fra VIP-delen av øvelsen. Foto: Nkom
KRITISERER: – Realismen i møtene i SDs kriseråd ble ikke god nok når Justisdepartementet ikke var med, og man fikk ikke øvd nok på samordning, skrev Einar Solvik Olsens (til høyre) (Frp) samferdselsdepartement. Her fra VIP-delen av øvelsen. Foto: Nkom

Nasjonal Sikkerhetsmyndighet til Justis- og beredskapsdepartementet. De var ikke kjent med rapporten, og trengte flere dager på å sette seg inn i den.

På spørsmål om hvorfor ikke JD - som har en nøkkelrolle i nasjonal kriseledelse – involverte seg i en to dagers øvelse der et høyst realistisk scenario for et cyberangrep ble øvd på – forklarer statssekretær Gjermund Hagesæter (Frp) i en epost at Krisestøtteenheten deltok som observatør.

Artikkelen fortsetter under annonsen

– Nasjonal sikkerhetsmyndighet deltok begge dager på øvelsen, og var en sentral støttespiller gjennom hele planleggingsarbeidet. Videre var Direktoratet for samfunnssikkerhet og beredskap med i planleggingen og gjennomføringen for å ta med erfaringer fra denne øvelsen inn i planleggingen av nasjonal IKT-øvelse 2016, skriver han.

Artikkelen fortsetter under annonsen

NSM poengterer altså at JD var savnet i rapporten.

– Deltar neste gang

Videre skriver Hagesæter:

– Det er viktig å understreke at øvelsen var spesielt tilrettelagt for de som har ansvaret for den kritiske infrastrukturen innen ekom- og kraftsektoren. Kontakt med de andre enhetene i justissektoren (Politiets sikkerhetstjeneste, lokalt politi osv.) var naturlig med i det scenariet som ble spilt. Dette ble også simulert under øvelsen og loggført tidlig i spillet, og deretter flere ganger underveis etter hvert som bildet ble enda mer alvorlig, skriver Hagesæter.

Han visere videre til at det til høsten skal gjennomføres en ny nasjonal IKT-øvelse for første gang.

– Hensikten med øvelsen er å sette Norge i bedre stand til å håndtere et større IKT-angrep som rammer på tvers av sektorer. JD deltar i planleggingen og gjennomføringen av øvelsen. Som del av øvelsen har JD også igangsatt et arbeid for å utarbeide et nasjonalt rammeverk for digital hendelseshåndtering. Formålet er blant annet å avklare og tydeliggjøre innsatsen mellom relevante aktører ved digital hendelseshåndtering.