Hva består den kritiske digitale kommunikasjonsinfrastrukturen i Norge av? Hvem står bak selskapene som eier og driver denne infrastrunkturen, og som leverer tilknyttede tjenester? Og hvilken statlig myndighet har egentlig ansvaret for ha en oppdatert oversikt over kontroll og eierskap? Hvor er målbildet for hvordan nasjonal sikkherhet oppnås i praksis på et område i kontinuerlig utvikling?
En ny rapport fra et ekspertutvalg ledet av professor Olav Lysne går igjennom alt dette. Rapporten er på 230 sider, hele 350 sider med vedlegg, og heter "Nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur - målbilde og virkemidler" og ble presentert for noen dager siden. Den lister opp følgende områder som en del av den samfunnskritiske digitale infrastrukturen: Mobilnett, bredbåndsnett, transportnett, fiberkabler som forbinder Norge til sokkelen og til utlandet, datasentre, satellittkommunikasjonssystemer, fortifikatoriske anlegg og infrastruktur knyttet kritiske basalfunksjoner som DNS og samtrafikkpunkter.
Rapporten gjør en solid jobb som aldri er blitt gjort før med å kartlegge hvilken infrastruktur som er samfunnskritisk, og hvorfor, og hvor sårbare vi er i ulike deler av den digitale leverandørkjeden. Nesten alt i samfunnet er i dag avhengig av digital kommunikasjonsinfrastruktur for å fungere. Utvalget har avgrenset seg mot å ta med infrastukturer som dekker mindre geografiske områder og omtaler heller ikke ulike sektortjenester, som digitale bank og finanstjenester, transporttjenester eller helsetjenester, men holder seg til den digitale infrastrukturen som brukes på tvers av sektorene og har nasjonal betydning.
Etterlengtet oversikt over aktørbildet
Jeg har flere ganger etterlyst bedre oversikter over sårbarheter i digitale leverandørkjeder her på bloggen, spesielt fra myndighetesorganer som selv sier hvor viktig det er å ha bedre oversiktiger oversikter over digitale leverandørkjeder. Jeg synes Lysne-utvalget gjør en prisverdig innsats når det gjelder å beskrive hvordan ekomsektoren er satt sammen og er i rivende utvikling (kapittel 3) og hva nasjonal kontroll egentlig innebærer (kapittel 4). I kapittel 5 identifiseres de viktigste selskapene som forvalter digital kommunikasjonsinfrastruktur i Norge og i kapittel 6 presenteres en oversikt over hvilke eiere som står bak selskapene.
Jeg regner med at mange har en viss ide om hvem som eier selskaper som Telenor, Lyse, Starlink og Eidsiva. Men hvem er eierne bak selskaper som Bulk, Global Connect, Green Mountain, Tampnett, Exa Infrastructure, Arelion, Lumen, Lefdal Mine Datacenter, Space Norway, One Web og Telia Towers? Eierskapene har en sentral plass i drøftingen av hvor sårbare vi er og det er forklaringer på ulike måter eierskap kan påvirke, gjennom kjøp, salg, joint ventures, og hvordan et eierskap kan brukes til å skade norske interesser eller samfunnssikkerheten.
Utvalget har brukt Menon til å skaffe detaljert oversikt over eierskapet i de viktigste selsakpene, også bakenforliggende utenlandske eiere, og det er i lten grad avdekket noen spesielt problematiske eierforhold,. Riktignok er Huawei og Starlink nevnt spesielt, av ganske ulike grunner. I noen tilfeller kan det være vanskelig å få oversikt over bakenforliggende eierskap. Men eierskap endre, og det vil uansett vil det være et stort behov for å følge med på endringer fortløpende, og klargjøre hva slags virkemidler som kan og bør brukes for å gripe inn. Mye av rapporten handler om dette.
Styringsevne og handlefrihet
Utvalget faller ikke for fristelsen til å si at statlig eierskap eller lokalisering på norsk jord automatisk løser alle utfordringer, men foretar en god helhetlig drøfting av hvilke elementer som må være på plass. I noen typer kriser kan det jo også være en fordel om data lagres et annet sted enn i Norge, eller kan flyttes raskt. Og utvalget fremhever også at markedskonkurranse og privat sektors innovasjonsevne i mange tilfeller taler for at nasjonal kontroll sikres på annen måte enn gjennom statlig eierskap. Utvalget beskriver nasjonal kontroll som en funksjon av det de omtaler om styringsevne og handlefrihet:
"Slik utvalget vurderer det, omhandler nasjonal kontroll på sin side to sentrale aspekter;
statens styringsevne, og statens handlefrihet. Styringsevne kan sees på som den
myndigheten og det mandatet staten har til å fatte effektive beslutninger om digital
infrastruktur gjennom for eksempel eierskap, regulering eller avtaler. Handlefrihet
beskriver den fleksibiliteten og det handlingsrommet som staten har til å få implementert
og gjennomført disse beslutningene uten å bli begrenset av utenlandske aktører eller
andre eksterne faktorer.
Rapporten beskriver også viktige utviklingtrekk fremover. Det handler blant annet om viktige teknologiske trender som kunstig intelligens, overgang til stadig mer skybaserte tjenester, tingenes internett, sterk vekst i antall datasentre, og energiforbruk, og det at stadig større verdier bæres av de kommersielle kommunikasjonsnettene. Neste generasjons nød- og beredskapsnett er et godt eksempel på denne overgangen fra en statlig operatørorganisasjon og -infrastruktur til det kommersielle 5G-nettet.
Kritiske funksjoner utenfor norsk jurisdiksjon
Et eget veldig interessant kapittel mot slutten av rapporten handler om ulike funkjoner vi er avhengige av, og som vi i dag ikke har kontroll over, men, enten vi liker det eller ikke, er avhengige av aktører og infrastrukturer utenfor Norge. Det gjelder det globale adressesystemet for internett, sertifikatutstedere av rotsertifikater, en nasjonal infrastruktur for tidstjenester, globale skytjenesteløsninger, internettsamtrafikk over landegrensene, skybaserte meldings- og taletjenester, og lavbanesatelitter. Utvalget kommer med en anbefaling om hvordan dette bør følges opp:
"Digitaliserings- og forvaltningsdepartementet bør vedlikeholde et faktagrunnlag knyttet til nasjonal avhengighet av utenlandske innsatsfaktorer, herunder mikrotjenester, DNS-tjenere, sertifikattjenester, og internettsamtrafikk. Dette faktagrunnlaget bør danne basis for utvikling og vedlikehold av målbilde og virkemidler for nasjonal kontroll, og i den sammenheng vår avhengighet til infrastruktur som ligger utenfor norsk jurisdiksjon."
Mye i denne rapporten handler om oversikt over aktører og eierskap, måter å holde oversikt over investeringer og eierskapsendringer, hvilke lovverk som skal gi hjemler for å gripe inn, og hvordan det skal organiseres. Men det viktigste kapitlet om alle handler om hvordan vi best setter opp det som kalles "En strukturert tilnæring til nasjonal kontroll", og er tema for rapportens kapittel 11. Her slås det fast at det trengs bådde en reaktiv strategi for å kunne fange opp saker som dukker opp, og screene utenlanske investeringer, men det må i tillegg være en proaktiv strategi som etablerer et målbilde og tilhørende veikart og tiltak for å oppnå en nasjonal kontroll som er robust i møte med ulike scenarioer.
Målbilder, veikart og tiltak som metode
Dette er så sentralt at jeg våger meg på et litt lengre sistat:
"Det proaktive nivået innebærer at myndighetene etablerer et langsiktig mål på hvilke styringsevner og handlefriheter staten skal ha på ulike deler av den digitale infrastrukturen. Dette målbildet bør fastsettes etter føre-var-prinsippet, og være dimensjonert for scenarioer øverst i krisespekteret – krig og konflikt. Den proaktive tilnærmingen er viktig for å sikre at nødvendig styringsevne og handlefrihet over kritisk digital kommunikasjonsinfrastruktur allerede er etablert når det oppstår alvorlige situasjoner som utfordrer våre nasjonale sikkerhetsinteresser.
Målbildet må veies opp mot andre viktige samfunnshensyn. Dette presiseres også i Meld. St. 9 (2022–2023): «Nasjonal kontroll som virkemiddel må brukes på en slik måte at det bidrar til forutsigbarhet og tillit, og at det ikke fører til unødvendige begrensninger for verdiskapning og utenlandske investeringer i Norge, eller for norsk markedsadgang i utenlandske markeder.» Når målbildet er definert, må gapet mellom dagens situasjon og målbildet identifiseres. En viktig forutsetning for dette er at myndighetene er i stand til å etablere en god oversikt over infrastrukturen, og løpende opprettholde oversikten gjennom teknologiske, markedsmessige og selskapsmessige endringer."
Utvalget mener at det trengs slike proaktive målbilder for ulike kritiske infrastrukturer og lister opp de viktigste:
Passiv infrastruktur (f.eks. fiberinfrastruktur, herunder sjøfiber),
støtteinfrastruktur (f.eks. datasentre, fortifikatoriske anlegg, mobiltårn, jordstasjoner,
klokkeinfrastruktur, nummerportering og opprinnelsesmarkering) og
tjenesteproduksjonsinfrastruktur (f.eks. transportnett, bredbåndsnett, internettinfrastruktur, mobilnett og satellittkommunikasjonsinfrastruktur). I tillegg bør det etableres målbilder for kontroll med
personellressurser og kompetanse som vil kreves.
Utvalget sier at rasjonalet for en slik helhetlig tilnærmingen er å unngå blindsoner som
kan oppstå ved å rette for mye oppmerksomhet mot å sikre nasjonal kontroll med én
eller noen typer infrastrukturer og funksjoner, mens man glemmer andre. Utvalget har ikke hatt tid og mulighet til å lage slike målbilder for alle infrastrukturene, det må uansett myndighetene selv ta ansvaret for å fastsette og arbeidere videre med, men de gir et eksempel på hvordan en slik måbildetilnærming kan se ut for fiberinfrastruktur når det gjelder mål for styringsevner og mål for handlefriheter
Å tette gapene
Med utgangspunkt i slike målbilder vil det være mulig å identifisere gapene mellom nåsituasjonen og det fastsatte målbildet, og finne ut hva slags tiltak som vil kreves for å tette gapet. Dette er naturligvis en omfattende jobb, men den er fullt mulig å gjøre:
"En komplett gapanalyse for kritisk digital kommunikasjonsinfrastruktur vil kunne være omfattende, men samtidig gjennomførbar når arbeidet brytes ned i delmålbilder for konkrete infrastrukturkategorier med tilhørende definerte styringsevner og handlefriheter. Gapanalysen av én infrastrukturkategori kan da også aggregeres og analyseres sammen med gapanalysene til de andre infrastrukturkategoriene. Dette vil gjøre det mulig for myndighetene å trekke ut overordnede observasjoner."
Utvalget peker også på hvilke ulike strategier og planer som allerede finnes og som de nye målbildene kan intereres i, for eksempel regjeringens digitaliseringsstrategi, statens eierskapsstrategi, sivilt beredskapssystem, en ny datasenterstrategi, strategien for posisjonsbestemmelse, navigasjon og tidsbestemmelse, langtidsplanen for forsvaret, en oppfølgning av totalberedskapsmeldingen og en ny nasjonal sikkerhetsstrategi.
Et første steg før man kommer til utarbeidelsen av målbildene må være å skaffe oversikt over hvilken kritisk digital kommunikasjonsinfrastruktur det er viktig å sikre ønsket nasjonal kontroll med, og hvilke virksomheter som eier og drifter denne. Slike oversikter er noe departementene uansett har ansvaret for å gjøre i henhold til sikkerhetsloven, men utvalget finner likevel grunn til å minne om at noen må ta et helhetsansvar, og peker på Digitaliserings. og forvaltningsdepartmenetet:
"Utvalget anbefaler at Digitaliserings- og forvaltningsdepartementet identifiserer og holder ved like en dokumentert oversikt over virksomheter i henhold til sikkerhetsloven § 2-1, samt øvrige virksomheter som forvalter digital kommunikasjonsinfrastruktur og funksjoner som anses samfunnskritiske."
Når disse målbildene er formulert, og tiltakene identifisert, forelslår utvalget at det lages en gapanalyse, som beskriver gavet mellom nåsituasjonen og en ønsket fremtid, og at dette blir et dynamisk dokument som tilpasses endrede behov, og vedlikeholdes av departmenet:
"Utvalget anbefaler at når et målbilde for nasjonal kontroll er etablert bør Digitaliserings- og forvaltningsdepartementet utvikle og vedlikeholde en gapanalyse av målbildet som beskriver de aktuelle virkemidlene staten rår over, og eventuelle svakheter, begrensninger og hindre for å bruke disse for å sikre de nødvendig styringsevner og handlefriheter."
Hvor ble det av "nasjonal sky"?
Jeg synes anbefalingene Lysne-utvalget har kommet med er et solid skritt i riktig retning når det gjelder å komme i gang med å kartlegge sårbarheter i digitale verdikjeder og eierforhold, etablere målbilder, og finne tiltakene som tetter gapene. Men jeg sitter igjen med et par store spørsmål. At de ikke besvares av utvalget er ikke utvalgets feil, men ligger hos dem som har gitt utvalget dette oppdraget.
Det første jeg lurer på er hvor det ble av ambisjonen om en nasjonal og sikker skyløsning. Lysne-utvalget beskriver prosessen med å utrede behovet og løsningsalternativer, og hvordan ambisjonen om en "statlig sky" i KVU/KS1-prosessen ledet av Justisdepartementet ble endret til en ambisjon om en lukket skytjeneste hvor det gjennom sikkerhetsgraderte anskaffelser inngås en avtale med en eller noen få private leverandører som skal utvikle, drifte og forvalte en nasjonal skytjeneste for staten.
Den modellen tenker jeg er et klokt valg, men hvor er denne skyløsningen blitt av? Hvem har ansvaret for å få den på plass? I tildelingsbrevet for 2025 til Forsvarsdepartementets nye underliggende etat Statens graderte plattformtjenester kan vi lese at:
"Virksomhetene som i dag benytter SGPs ugraderte plattform skal på sikt, og tidligst mulig, overføres til ugraderte tjenester fra Departementenes digitaliseringsorganisasjon/Nasjonal Sky."
Men når jeg leser tildelingsbrevet for 2025 til Digitaliserings- og forvaltningsdepartementets nye underliggende etat Departementens digitaliseringsorganisasjon (DIO) klarer jeg ikke finne noe om Nasjonal sky. Har den havnet i et annet department, for eksempel i en underliggende virksomhet til Justisdepartmentet, som tross alt skrev konseptvalgsutredningen? Skal deres underliggende etat Nasjonal Sikkerhetsmyndighet (NSM) ha dette ansvaret? Noe tildelingsbrev til NSM for 2025 klarer jeg ikke å finne, men penger til denne type datasenter er nok ikke der.
Og da er det kanskje en ytterligere mulighet, og det er at ambisjonene om en nasjonal sky på en eller annen måte blir tatt inn i Forsvarets modernisering av sine IKT-systemer, som starter med tre forprosjekter, og der skyløsning for Forsvaret er et av disse prosjektene. Jeg har ikke sett beskrivelser av hvordan forholdet til sivil sektors behov for sikre skyløsninger ivaretas i disse planene, og kanskje er det ikke helt avklart heller.
Hva er riktig departement?
Den andre uklarheten for meg er om Digitaliserings- og forvaltningsdepartementet er rett adressse for flertallet av tiltake som foreslås i rapporten. Og hvorfor var egentlig DFD oppdragsgiver for dette ekspertutvalget? Noen tenker kanskje at DFD som et koordinerende digitaliseringsdepartmentet, også har det tverrgående og koordinerende ansvaret for forebyggende IKT-sikkerhet. Men det har de ikke. Våren 2013 ble dette ansvaret plassert i Justisdepartementet gjennom en kongelig resolusjon. Det er også JD og ikke DFD som har lagt fram stortingsmeldinger og strategier om IKT-sikkerhet siden da. JD har ansvaret for den helhetlige sivile samfunnssikkerheten og beredskapen, de har DSB og NSM som underliggende etater og da er det naturlig at også den digitale sikkerheten, som inngår i stort sett all annen sikkerhet og bededskap, også er plassert her.
Hvorfor er DFD oppdragsgiver for Lysne-utvalget når de ikke har det tverrsektorielle ansvaret for IKT-sikkerhet i samfunnet? Det er fordi DFD er sektoransvarlig departement for elektronisk kommunikasjon, det vil si Lov om elektronisk kommunikasjon (ekomloven), mobil og bredbåndspolitikk, og har Nasjonal kommunikasjonsmyndighet (Nkom) som underliggende etat. Definisjonen av hva som er med i ekomsektoren her naturligvis blitt utvidet de senere årene, og omfatter i dag både internett og datasentre, men det er fortsatt sektorpolitikk som er begrunnelsen for DFDs og Nkoms rolle på dette feltet, der det allerede finnes lovverk og sektoransvar som overlapper hverandre. Sikkerhetsloven, NSM og DSB ligger under Justisdepartementet. Kringskasting er under Kulturdepartementet. Eierskapspolitikk er under Næringsdepartementet. Statens graderte plattformtjeneste er underlagt Forsvarsdepartementet.
Så uansett er dette en salat av ulike sektoransvar, lovverk og roller, og mye som må koordineres på tvers, dersom ambisjonen om et helhetlig målbilde skal kunne realiseres. Noen roller og ansvarsområder vil kunne flyttes, for eksempel fordi teknologiutviklingen gjør gamle sektorinndelinger meningsløse, eller fordi trusselbildet er endret. Men det vil uansett være viktig å finne ut hvem som er best plassert til å ivareta den koordinerende rollen som et slikt helhetsansvar for digital samfunnsikkerhet vil kreve.
