Nasjonal sikkerhetsmyndighet (NSM) bekymret over Forsvarets IT-planer

Cyberforsvarets operasjonssenter, Cyber Defence Operation Center, på Jørstadmoen. Nå ønsker Forsvaret å legge tunge IT-systemer ut på nettet. Illustrasjonsfoto: Anette Ask/ Forsvaret
Cyberforsvarets operasjonssenter, Cyber Defence Operation Center, på Jørstadmoen. Nå ønsker Forsvaret å legge tunge IT-systemer ut på nettet. Illustrasjonsfoto: Anette Ask/ Forsvaret

Forsvaret vil benytte sivile selskapers skytjenester til en rekke IKT-tjenester. NSM frykter det kan gjøre sykehus som bruker samme plattform, til krigsmål. 

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Denne våren utlyste Forsvarsmateriell (FMA) en konkurranse om hvordan et forsvars digitale infrastruktur bør bygges opp. Vinner ble en allianse bestående av seks sivile IT-selskaper.

Konkret ønsker Forsvaret i større grad å bruke kommersielle skytjenester, altså å legge data og programvare på servere tilgjengelige over internett.

Etter planen legges innen kort tid en svært verdifull kontrakt ut på anbud. Det norske forsvaret skal innen 2025 investere én til to milliarder kroner i skytjenester for ugraderte og lavt graderte tjenester.

I slutten av oktober tok Nasjonal sikkerhetsmyndighet (NSM) fatt i den planlagte anskaffelsen som de mente er planlagt «tilsynelatende uten at det blir gjort en vurdering av om dette representerer en utfordring ift krigens folkerett».

– Merkelig av Forsvaret

NSMs ansvarlige eksemplifiserte problemstillingen ved å vise til muligheten for en sammenblanding av legitime og illegitime mål, for eksempel «hvis norske sykehus og Forsvaret benytter samme skytjeneste».

– Vurderingene fra NSM synes både gode og riktige, sier folkerettseksperten Mads Harlem til ABC Nyheter.

Han påpeker at etter folkeretten kan et eventuelt cyberangrep på Norge rettes mot militære, uten å ta ut den sivile infrastrukturen. Men det kan bli vanskelig hvis samme leverandør leverer tjenester til både sivile og militære myndigheter.

– Om en motstander vil bry seg om dette, er et annet spørsmål. For uansett er Norge forpliktet til å organisere og planlegge for et slikt skille, og dermed overholde krigens folkerett. Krig vil i dag også kunne skje i cyberspace, påpeker han.

– Jeg synes det er merkelig at Forsvaret i det hele tatt vurderer å ta i bruk skytjenester, men jeg er uansett svært kritisk til at dette skille er mulig hvis man har operatører som drifter både militære og sivile skytjenester sammen, sier Harlem.

Mange sivile bruker skytjenester

NSM understreker overfor Forsvarsdepartementet (FD) at det i Norge bare finnes et fåtall tilbydere av skytjenester, og at det fører til at «flere samfunnsmessige tjenester samles på en, eller et fåtall skyløsninger». (Datert 28. oktober)

For tiden ligger det ute flere sivile anbudskonkurranse på databasen for offentlige innkjøp, Doffin. Både sykehus, Norges Bank, politiet, NAV og Skatteetaten er på jakt etter leverandører på ulike nivå av skytjenester.

I svaret fra FD heter det at «ved utvikling av krigføringsmetoder, eller krigføringsmidler, skal underliggende etater vurdere om disse er i tråd med Norges forpliktelser etter krigens folkerett». Departementet viser også til iverksettingsbrevet til forsvarssektoren for langtidsperioden 2017-2020 og et direktiv fra 2003.

«Om det er behov for å foreta folkerettsvurdering av eventuelle konsepter og virkemidler må vurderes av den enkelte etat», mener FD i sitt svar datert 21. november.

Avdelingsdirektør Hans Robert Bjørnaas i NSM skriver i en epost til ABC Nyheter at de er «tilfreds med at problemstillingen er synliggjort, og at Forsvarsdepartementet har sendt ut denne påminnelsen og presiseringene til aktørene som er relevante for anvendelse av skytjenester i forsvarssektoren».

Bjørnaas sier også at problemstillingen ligger på utsiden av NSMs ansvarsområde, men «vi vurderte likevel problemstillingen som så prinsipielt viktig, at vi ønsket å synliggjøre at vi ut fra dialogen vi hadde med Forsvaret, ikke registrerte at forholdet var adressert».

Omfattende planer for skyen

Da Forsvarsmateriell utlyste sin plan- og designkonkurranse i vår, var man oppstemte over mulighetene.

– I vårt moderne digitale samfunn er det en del likheter mellom våre behov og de vi ser i helsevesenet, finanssektoren og innenfor justis. Ingen er tilfreds med å miste informasjon i dag. Samtidig er det noen områder hvor vi har større behov enn det andre har, sa for eksempel FMAs programdirektør Petter Moe.

Deltakerne i konkurransen var ifølge ham både helnorske og internasjonale selskaper med tilknytning i Norge. I sommer ble vinnerne kåret – en allianse mellom selskapene Sopra Steria, HPE, Microsoft, Pearl Consulting, VMWare og Sap Norge.

Det er svært omfattende systemer som Forsvaret ønsker å legge over på en skytjeneste. I en artikkel på FMAs hjemmesider beskrives omfanget av planene slik: «I plan- og designkonkurransen har Forsvarsmateriell og juryen sett etter et omfang som inkluderer IKT-plattformer for alle relevante formål i Forsvaret, inkludert kommando og kontroll, forvaltning, ERP, kontorstøtte, samhandling og digitalisering. Med andre ord – IKT-arkitektur på tvers av bruksområder».

I anbudet for konkurransen fremkommer det at systemet også er tenkt brukt i felt og sammen med allierte styrker:

«Det er en målsetning å oppnå mer effektiv informasjonsdeling, samhandling og gjennomgående tjenester for nasjonale styrker i operasjoner, samt med aktører i totalforsvaret og allierte».

Etter planen skulle det utlyses en konkurranse om millard-kontrakten for leveranse av skytjenester til Forsvaret før nyttår. Fredag opplyste Forsvarsmateriell at anbudskonkurransen legges ut på nyåret.

«Den korte utsettelsen skyldes at det fra og med utlysning vil kreve mye og hard jobbing over lengre tid av de som ønsker å delta i anbudskonkurransen. Det er unødvendig å lempe dette i fanget på vår(e) fremtidig(e) strategiske samarbeidspartner(e) i selve juleferien. Derfor har vi valgt å offentliggjøre konkurransen etter juleferien, det vil si på nyåret», skriver Petter Moe, direktør for Forsvarsmateriells investeringsprogram MAST, i en epost til ABC Nyheter.

– Manglende kunnskap

Folkerettseksperten Mads Harlem er bekymret fordi både bedrifter og offentlige myndigheter har manglende kunnskap og derfor sjelden tar hensyn til krigens folkerett i bruken av sivile i Forsvaret. Den økende digitaliseringen viktig sivil infrastruktur og oppgaver i Forsvaret, understreker problemet ytterligere.

Harlem viser også til diskusjonene om det norske forsvarets bruk av sivile tolker i Afghanistan som avdekket at det ikke var gjort tilstrekkelige risikovurderinger fra Forsvarets side.

– Å bruke sivile tolker er i seg selv ikke i strid med krigens folkerett. Men tar man dem med i felt og utstyrer dem med uniformer blir de et lovlig mål. På samme måte som at det skal gjøres vurderinger av hva man skal bruke sivile til Forsvaret, må sivilinfrastruktur beskyttes i cyberspace, påpeker juristen med 17 års tidligere fartstid som folkerettsjurist for Røde Kors.

Personvernpolicy