Beredskapen sviktet under øvelse:

Hadia Tajik (Ap) krever handlingsplan for cybersikkerhet

VIL TA GREP: – Arbeiderpartiet vil foreslå at det lages en nasjonal handlingsplan for cybersikkerhet, der blant annet roller og ansvar aktørene imellom klarlegges, kontaktflaten opp mot de private aktørene etableres tydeligere, og rutiner for trening blir stadfestet, sier Hadia Tajik, her sammen med justisminister Anders Anundsen (Frp) - som droppet den første nasjonale cyberøvelsen på åtte år.
VIL TA GREP: – Arbeiderpartiet vil foreslå at det lages en nasjonal handlingsplan for cybersikkerhet, der blant annet roller og ansvar aktørene imellom klarlegges, kontaktflaten opp mot de private aktørene etableres tydeligere, og rutiner for trening blir stadfestet, sier Hadia Tajik, her sammen med justisminister Anders Anundsen (Frp) - som droppet den første nasjonale cyberøvelsen på åtte år. Foto: Vegard Wivestad Grøtt / NTB scanpix

Hadia Tajik (Ap) kritiserer Justisdepartementet (JD) for å ha droppet cyberøvelsen som avdekket store svakheter i myndighetenes beredskap. Nå vil hun ha en nasjonal handlingsplan for cybersikkerhet.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

– Det er ikke heldig at justis- og beredskapsdepartementet, som har koordinerende ansvar, ikke deltok i øvelsen, sier lederen av Stortingets justiskomite til ABC Nyheter.

– Cyberangrep er, i motsetning til flom og hardt vær, noe vår beredskap ikke er så vant til å håndtere. Regelmessig trening på tvers av etater, og sammen med sentrale private aktører, er derfor spesielt viktig, understreker Tajik.

ABC Nyheter skrev tidligere denne uken om den nasjonale øvelsen NCEK15, som avdekket store svakheter i myndighetenes beredskap da et fiktivt cyberangrep slo ut kraftforsyningen og all elektronisk kommunikasjon i Norge sist desember. Det vil si blant annet strøm, Internett og mobilnettet.

JD, som er ansvarlig for Regjeringens Krisestøtteenhet (KSE), prioriterte ikke å delta. Det svekket øvelsen, påpekte både Samferdselsdepartementet (SD) og Nasjonal Sikkerhetsmyndighet:

– De som har nøkkelroller under en krise selv må delta i øvelser. Realismen i møtene i SDs kriseråd ble ikke god nok når JD ikke var med, og man fikk ikke øvd nok på samordning, står det i en rapport ABC Nyheter har hatt tilgang til.

Bakgrunn: Beredskapen sviktet under cyberangrep

Reaksjon: Justisdepartementet får kritikk: – De som har nøkkelroller under en krise må delta i øvelser

Tilbake i steinalderen

Cyberangrep anses av sikker- og etterretningstjenestene som en svært reell trussel mot norsk infrastruktur. Et vellykket angrep mot ekom og kraft vil lamme så å si alt av samfunnets funksjoner - og nærmest sende oss tilbake til steinalderen. Ifølge både NSM og E-tjenesten øker denne type angrep mot Norge.

Men i øyeblikket synes vi ikke beredt på å stå i mot.

* Cyberøvelsen avdekket både svikt i informasjonsflyt ovenfra og ned, mellom myndighetsaktørene, og mellom det offentlige og private – som sitter på mer og mer av den kritiske infrastrukturen som både privat og offentlig sektor - og dessuten militæret - støtter seg på.

* Myndighetenes evnet ikke å prioritere under krisen, de kjente ikke hjemler i lovverket.

Tajik mener man må ta grep:

– Arbeiderpartiet vil foreslå at det lages en nasjonal handlingsplan for cybersikkerhet, der blant annet roller og ansvar aktørene imellom klarlegges, kontaktflaten opp mot de private aktørene etableres tydeligere, og rutiner for trening blir stadfestet. Jeg tror det vil være med på å gi dette viktige samfunnssikkerhetsområdet et nødvendig løft, sier Arbeiderpartiets nestleder.

SE SVAKHETENE SOM BLE AVDEKKET I CYBERØVELSEN NEDERST I SAKEN

– Må sikre kompetanse

Å lære av å øve var et sentralt poeng i anbefalinger Gjørv-kommisjonen kom med etter terrorangrepene 22. juli. I rapporten etter NCEK15 vises det til denne:

«Alle deltakere i øvelsen har et samfunnsansvar. Sett i lyset av konklusjonene fra 22. juli-kommisjonen, der en observasjon var at «evnen til å erkjenne risiko og ta lærdom av øvelser har vært for liten», må nødvendig ledelsesforankring og involvering være obligatorisk for fremtidige øvelser av dette formatet.»

Tajik kommenterer det slik:

– Siden vi er et ganske nettbasert samfunn, er våre samfunnsinstitusjoner også mer sårbare for både menneskelige feil, naturkatastrofer og aktive hackerangrep. Vi må sikre at våre sentrale aktører på feltet har den nødvendige kompetansen og sterke nok fagmiljøer til å møte disse sammensatte utfordringene.

Hun sier at Norge har en strategi for informasjonssikkerhet fra 2012, og en strategi for forsvarssektoren fra 2013, men at vi ikke har noen overbygning.

Les også: Frykter russisk hybridkrig mot Norge

– Lage handlingsplan neste skritt

– Vi mangler i dag en politisk forankret nasjonal sektorovergripende cybersikkerhetsstrategi. Noe av oppgaven må også være å definere hva som er samfunnskritisk infrastruktur på cyberområdet. Når den samfunnskritiske infrastrukturen kan tenkes å være enkelte private aktører, for eksempel banker, må også forholdet mellom det offentlige ansvaret for felles trygghet, og det private ansvaret for å sikre sine institusjoner, gjøres tydeligere, understreker Tajik.

SÅRBARE: Svikter Telenors kjernenett, får det alvorlige konsekvenser for de aller fleste samfunnsområder i Norge, var en av konsekvensene Olav Lysne (til venstre) i Sårbarhetsutvalget gjorde justis- og beredskapsminister Anders Anundsen (Frp) oppmerksom på tre dager før den store cyberøvelsen JD ikke prioriterte. Der var nettopp dette et scenario. Foto: JD
SÅRBARE: Svikter Telenors kjernenett, får det alvorlige konsekvenser for de aller fleste samfunnsområder i Norge, var en av konsekvensene Olav Lysne (til venstre) i Sårbarhetsutvalget gjorde justis- og beredskapsminister Anders Anundsen (Frp) oppmerksom på tre dager før den store cyberøvelsen JD ikke prioriterte. Der var nettopp dette et scenario. Foto: JD

Til høsten skal gjennomføres en ny nasjonal IKT-øvelse: SNØ16. Hensikten er å sette Norge i stand til å håndtere et IKT-angrep som rammer på tvers av sektorer. Det skal ha fokus på konkret håndtering av konsekvenser som følge av angrep, opplyser statssekretær Gjermund Hagesæter (Frp) til ABC Nyheter.

Øvelsen skal blant annet bygge på erfaringene fra NCEK15, samt anbefalingene det såkalte Lysne-utvalget kom med i Sårbarhetsutvalgets rapport, som justis- og beredskapsminister Anders Anundsen (Frp) fikk overlevert tre dager før cyberøvelsen de droppet.

– Det er bra at regjeringen satte ned et digitalt sårbarhetsutvalg, Lysne-utvalget, som la frem sine anbefalinger i november i fjor. Det naturlige neste skritt mener jeg nå er å lage en handlingsplan for cybersikkerhet, slår Hadia Tajik fast.

Foto: Grafikk: Sverre Frugård
Foto: Grafikk: Sverre Frugård

Personvernpolicy