Droppet cyberøvelse som avdekket svikt i beredskapenJustisdepartementet får kritikk: – De som har nøkkelroller under en krise må delta i øvelser
Marsjordre om å øve og lære fra 22. julikommisjonen til tross: Justisdepartementet prioriterte ikke den nasjonale cyberøvelsen som slo ut strømforsyning og all elektronisk kommunikasjon. Nå får de kritikk.
Regjeringens krisestøtteenhet (KSE)
* En stab som skal støtte regjeringen og Regjeringens kriseråd i krisehåndtering i fredstid. KSE er faglig og administrativt underlagt Rednings- og beredskapsavdelingen i Justis- og beredskapsdepartementet.
* KSE bistår med kapasiteter i form av infrastruktur, teknologi, lokaler og personell. KSE har ansvar for egnede krisehåndteringslokaler i Regjeringskvartalet som er tilrettelagt med nødvendig teknisk infrastruktur som tele-, data-, sambands- og informasjonssystemer.
* Under en krise kan KSE bidra med kompetanse i form av rådgivning og faglig bistand for samordning og sentral krisehåndtering. Dette omfatter støtte til analyser, utarbeidelse av overordnede situasjonsrapporter og etablering av felles situasjonsforståelse, som grunnlag for strategiske beslutninger.
* En intern rapport utarbeidet av KSE etter terroranslaget 22. juli 2011 viste at apparatet for krisehåndtering sviktet på flere områder.
* I 22. julikommisjonens rapport står det at «evnen til å erkjenne risiko og ta lærdom av øvelser har vært for liten»:
– Det er en påminnelse om at erkjennelse ikke er å forstå, det er å handle. Man kan ikke vise til at det bare er en øvelse, det er ikke godt nok. Det kan være det reelle som skjer neste gang, sier avdelingsdirektør Einar Lunde i Nkom.
– Man kan ikke vise til at det bare er en øvelse, det er ikke godt nok. Det kan være det reelle som skjer neste gang. Det er det som ligger mellom øvelsene, som er det viktigste, sier avdelingsdirektør Einar Lunde i Nasjonal Kommunikasjonsmyndighet (Nkom) til ABC Nyheter.
Et cyberangrep anses som den største reelle trusselen mot Norge. Slås ekom og kraft ut, vil det ramme så å si alt av samfunnets funksjoner.
ABC Nyheter skrev tirsdag om de store svakhetene i beredskapen som ble avdekket under NCEK15. Mye sviktet under øvelsen.
Men Justis- og beredskapsdepartementet, som er ansvarlig for Krisestøtteenheten (KSE) i regjeringen, deltok ikke på NCEK15.
Det får de kritikk fra både Samferdselsdepartementet (SD) og Nasjonal Sikkerhetsmyndighet (NSM) for. Det fremgår av en fersk evalueringsrapport fra cyberangrepet.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenBAKGRUNN: Beredskapen sviktet under cyberangrep
– Må delta i øvelser
I rapporten står det:
* De som har nøkkelroller under en krise selv må delta i øvelser. Realismen i møtene i SDs kriseråd ble ikke god nok når JD ikke var med, og man fikk ikke øvd nok på samordning.
* I det aktuelle scenariet ville det vært naturlig at Forsvarsdepartementet (FD) og JD med underliggende myndigheter deltok aktivt i øvelsen.
* NSM poengterer at deltakelse fra JD var savnet for at myndighetsforumet skulle øves realistisk.
– Det var dumt for øvelsen, sier Einar Lunde i Nkom, som var ansvarlig for NCEK15.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenSE SVAKHETENE SOM BLE AVDEKKET I CYBERØVELSEN NEDERST I SAKEN
Øvelsen ble avholdt i desember i fjor. Både kraftforsyningen og ekom ble slått ut etter at den fiktive staten Slavistad utførte et rettet cyberangrep på sentral norsk infrastuktur – der blant annet Telenor gikk ned for telling.
Artikkelen fortsetter under annonsenI evalueringsrapporten, som ABC Nyheter har fått tilgang på, står det:
«Alle deltakere i øvelsen har et samfunnsansvar. Sett i lyset av konklusjonene fra 22. juli-kommisjonen, der en observasjon var at «evnen til å erkjenne risiko og ta lærdom av øvelser har vært for liten», må nødvendig ledelsesforankring og involvering være obligatorisk for fremtidige øvelser av dette formatet.»
– Samme problem 22. juli
– Det er en påminnelse om at erkjennelse ikke er å forstå, det er å handle. Man kan ikke vise til at det bare er en øvelse, det er ikke godt nok. Det kan være det reelle som skjer neste gang. Det er det som ligger mellom øvelsene, som er det viktigste, sier Einar Lunde i Nkom.
Øvelsen avdekket at informasjonen fra toppen og ned sviktet. En årsak er at private aktører – som kontrollerer kritisk infrastruktur – ikke er underlagt sikkerhetsloven og kan gis gradert informasjon. Det samme skjedde under terrorangrepene 22. juli:
Artikkelen fortsetter under annonsen«Ikke minst fikk den brede deltakelsen som konsekvens at ikke alle saker kunne tas opp i kriserådet, selv om de hørte naturlig hjemme der, fordi de omfattet gradert informasjon som bare et fåtall av deltakerne var sikkerhetsklarert til å kunne få kjennskap til», står det i 22. julikommisjonens rapport.
Artikkelen fortsetter under annonsenMen dette ble igjen et problem:
– Private aktører er ikke underlagt sikkerhetsloven. Dette ikke særnorsk, men mer og mer kritisk infrastruktur er på private hender. Først nå er det begynt å sige inn hos myndigheter. Vi må forholde oss til private aktører. I cyberdomenet går alt veldig fort. Du må håndter situasjonen der og da, sier Einar Lunde.
Les også: Frykter russisk hybridkrig mot Norge
Ny øvelse til høsten
Justis- og beredskapsdepartemerntet har gitt Direktoratet for samfunnssikkerhet og beredskap (DSB) i oppdrag å arrangere en stor nasjonal IKT-øvelse senere i høst, SNØ15. Den skal sette Norge bedre i stand til å håndtere et større IKT-angrep som rammer på tvers av sektorer, og ha fokus på konkret håndtering av konsekvenser som følge av angrep.
Artikkelen fortsetter under annonsenIfølge oppdragsbrevet fra JD til DSB skal SNØ15 bygge på erfaringene fra Nkom-øvelsen.
Einar Lunde sier:
– Det er en skuffelse om vi på IKT16-øvelsen ikke har forbedret læringspunktene.
JD kjente ikke til evalueringsrapporten
ABC Nyheter har sendt kritikken reist av både Samferdselsdepartementet og
Nasjonal Sikkerhetsmyndighet til Justis- og beredskapsdepartementet. De var ikke kjent med rapporten, og trengte flere dager på å sette seg inn i den.
På spørsmål om hvorfor ikke JD - som har en nøkkelrolle i nasjonal kriseledelse – involverte seg i en to dagers øvelse der et høyst realistisk scenario for et cyberangrep ble øvd på – forklarer statssekretær Gjermund Hagesæter (Frp) i en epost at Krisestøtteenheten deltok som observatør.
Artikkelen fortsetter under annonsen– Nasjonal sikkerhetsmyndighet deltok begge dager på øvelsen, og var en sentral støttespiller gjennom hele planleggingsarbeidet. Videre var Direktoratet for samfunnssikkerhet og beredskap med i planleggingen og gjennomføringen for å ta med erfaringer fra denne øvelsen inn i planleggingen av nasjonal IKT-øvelse 2016, skriver han.
Artikkelen fortsetter under annonsenNSM poengterer altså at JD var savnet i rapporten.
– Deltar neste gang
Videre skriver Hagesæter:
– Det er viktig å understreke at øvelsen var spesielt tilrettelagt for de som har ansvaret for den kritiske infrastrukturen innen ekom- og kraftsektoren. Kontakt med de andre enhetene i justissektoren (Politiets sikkerhetstjeneste, lokalt politi osv.) var naturlig med i det scenariet som ble spilt. Dette ble også simulert under øvelsen og loggført tidlig i spillet, og deretter flere ganger underveis etter hvert som bildet ble enda mer alvorlig, skriver Hagesæter.
Han visere videre til at det til høsten skal gjennomføres en ny nasjonal IKT-øvelse for første gang.
– Hensikten med øvelsen er å sette Norge i bedre stand til å håndtere et større IKT-angrep som rammer på tvers av sektorer. JD deltar i planleggingen og gjennomføringen av øvelsen. Som del av øvelsen har JD også igangsatt et arbeid for å utarbeide et nasjonalt rammeverk for digital hendelseshåndtering. Formålet er blant annet å avklare og tydeliggjøre innsatsen mellom relevante aktører ved digital hendelseshåndtering.