Fragmentert og hullete om nasjonal og digital sikkerhet

Justisdepartementet har kommet med en ny Stortingsmelding med det litt pompøse navnet "Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet". Kanskje ikke veldig overraskende valg av tematikk med tanke på hvor kritiske Senterpartiet var mot alt mulig i opposisjon, og særlig alt som ikke er statlig eller norsk. På sitt mest ufrivillig morsomme gikk de til og med inn for å legge våre helseopplysninger under sikkerhetsloven, og dermed sørge for at helseopplysninger ikke kan deles med noen, heller ikke i helsesektoren. Men det temaet er ikke tatt inn i denne meldingen.

Det er definitivt en god ide å ta det store overordnede systemorienterte blikket på om nasjonal sikkerhet og kontroll er godt ivaretatt i en tid med krig i Europa, med en rivende og grenseoverskridende teknologisk utvikling og med stadige eksempler på ting vi ikke har god nok oversikt over. For eksempel hvem de reelle eierne er til eiendommer og selskaper i Norge, eller hvem som står bak selskaper som har rettigheter og konsesjoner. Hvem offentlige virksomheter egentlig kjøper varer og tjenester fra. Eller hvilke komponenter og hvilken programvare som inngår i samfunnets viktigste digitale systemer, og hvem som har ansvar for at det finnes en slik oversikt over mulige sårbarheter.

Men i stedet for å virkelig ta et slikt helhetsblikk på forholdet mellom nasjonal sikkerhet og egnede virkemidler for oversikt, kontroll og risikostyring, og foreslå konkrete tiltak på de viktigste områdene, har regjeringen valgt en fragmentert og anekdotisk tilnærming. Det fortelles om statlig kjøp av Meraker brug og eierskapet til Bergen Engines. Det skrives litt om digitale angrep på Østre Toten kommune og på mailserveren til Stortinget (som ikke var i nettskyen), mens den store helheten, hvordan vi er mer sårbare fordi ting henger sammen i en helhet, blir i liten grad omtalt. Men så er hele stortingsmeldingen på under 50 sider, og den må ha blitt skrevet veldig fort. Korrekturen har ikke gått helt bra den heller.

Det mest positive i denne stortingsmeldingen er understrekingen av den betydningen EUs lovgivning, reguleringer og samarbeid har norsk sikkerhet. Norge er på dette området innenfor EUs grenser når det gjelder personvernregelverk, datasikkerhet og andre viktige lover og reguleringer som sikrer oss mot krefter som ikke vil oss vel, enten de angriper oss utenfra eller innenfra. Meldingen nevner spesielt EUs reviderte direktiv for et felles høyt sikkerhetsnivå i nettverks- og informasjonssystemer (NIS2) og om det trengs en norsk lov om digital sikkerhet for å sikre innføring av EUs bestemmelser i Norge. Meldingen nevner videre at:

"Andre relevante EU-regelverk er Cybersecurity Act som omhandler European Union Agency for Cybersecurity (ENISA) sitt mandat og et felleseuropeisk rammeverk for frivillig sertifisering av IT-produkter, tjenester og prosesser. Denne forordningen jobbes det med å få inkorporert i EØS-avtalen. EU har også nylig lansert lovforslaget Cyber Resilience Act med minstekrav til digital sikkerhet i produkter og tjenester. Et lovforslag om digital operasjonell motstandsdyktighet for finanssektoren, Digital Operational Resilience Act, er også til behandling i EU. Målet med forslaget er å sikre at alle deltakere i det finansielle systemet har de nødvendige tiltakene på plass for å redusere faren for digitale angrep og andre uønskede hendelser. Forslaget bygger på NIS-direktivet og vil ha forrang foran NISdirektivets regler der det er aktuelt når det er trådt i kraft. Det foreslåtte regelverket vurderes å være EØS-relevant."

Noen synes kanskje det er rart at en Justisminister fra Senterpartiet er så opptatt av å understreke EUs helt sentrale betydning for å gjøre oss tryggere i Norge. Jeg tenker det er veldig bra og at det ligger en god del læring i akkurat disse analysene. 

På andre områder, der Norge må gjøre hele jobben selv, er det tynnere med nye tiltak. Veldig tynt faktisk. Jeg vil trekke frem tre eksempler på slike områder som er helt sentrale for å forstå og forebygge sikkerhetsutfordringer og sårbarheter, men der det ikke er verken gode drøftinger av hva utfordringen består i, eller gode anbefalinger om videre prosesser for å ta tak i utfordringene.

Det første slike eksemplet gjelder mangelen på nok kompetanse på cybersikkerhetsområdet og det store behovet for folk som både har rett kompetanse og som kan sikkerhetsklareres. Her sier meldingen at:

Rekruttering av doktorgradskandidater som kan sikkerhetsklareres er en utfordring innenfor ulike teknologiområder allerede i dag. De siste ti årene har godt over 60 prosent av dem som avlegger doktorgrad innenfor teknologi ved et norsk lærested utenlandsk statsborgerskap.9 Andelen med utenlandsk statsborgerskap som søker rekrutteringsstillinger innen matematikk, naturvitenskap og teknologi var nær 90 prosent i perioden 2016-2018.10 Dette er en utvikling som må tas på alvor".

Men når dette uttrykte alvoret skal omsettes i konkrete tiltak for å sørge for at Norge har den spisskompetansen vi trenger, blir det hele plutselig veldig uklart, og ender opp i at regjeringen er usikker på om dette er noen problemstilling, og skal utrede den:

"Med dagens regelverk for sikkerhetsklarering og ansettelser i statlige stillinger, er det uklart hvordan universiteter og høyskoler kan regulere inntaket av stipendiater for å oppfylle ønsket om å utdanne doktorer som kan sikkerhetsklareres. Samtidig er det uklart hvor stort behov arbeidslivet har for doktorer som kan sikkerhetsklareres. Før regjeringen går i gang med å vurdere regelverket, bør behovet kartlegges. Regjeringen vil utrede arbeidslivets behov for doktorgradskompetanse til stillinger hvor det kreves sikkerhetsklarering."

Eksempel nummer to gjelder de digitale fellesløsningene som brukes på kryss og tvers i offentlig sektor og av privatpersoner og bedrifter. Løsninger som sørger for at det finnes oppdaterte data om personer, eiendeler og geodata (som er i Folkeregisteret, Brønnøysundsregistrene og Kartverket). At det finnes saksbehandlingssystemer, journaler og arkiver, der Arkivverket er fagmyndighet, men mangler en ny Arikivlov tilpasset dagens teknologiske virkelighet og saksbehandlingsprosesser. Det skal være innsyn og deling, men dette må gjøres på en måte som både er sikker, etterrettelig og i tråd med personvernregelverket. Å finne svar på slike problemstillinger er noe av det viktigste vi gjør for at offentlige sektor skal være effektiv og til å stole på, og noe av det viktigste gjør for å legge til rette for et konkurransedyktig næringsliv. 

Data skal deles mer og bedre. Men samtidig er også dette noe av det som gjør oss mest sårbare dersom vi ikke tar tilstrekkelig hensyn til sikkerhet. Teknisk, organisatorisk, juridisk og kompetansemessig. Og fordi dette er systemer som brukes av mange, på tvers av sektorer og forvaltningsnivåer, og offentlige og private brukere, er det helt avgjørende at denne kompleksiteten er forstått og ivaretatt. Kanskje en slags sikkerhetsmessig "områdgjennomgang" av den digitale tjenesteinfrastrukturen kunne være en mulighet? 

Noe slik er dessverre ikke regjeringen i nærheten av å foreslå. I stedet er det noen enkelttiltak som gjelder deteksjon, beredskap og kompetansebygging som ligger under justissektoren selv, men lite som vitner om et ønske om å gå mer helhetlig og tverrsektorielt til verks. Og så er man også veldig opphengt i at hvis noe gjøres av staten er det bra, for eksempel en "statlig skyløsning", selv om man ikke helt vet hva dette er. Meldingen forteller at "statlig sky" utredes i disse dager. Kanskje er det en slags ny variant av Statens datasentral fra 1980-tallet. I Stortingsmeldingen står det:

"Regjeringen vil vurdere etablering av en nasjonal skytjeneste for å sikre økt nasjonal kontroll over kritisk IKT-infrastruktur og å beskytte viktig informasjon. NSM fikk i november 2021 i oppdrag å utrede behovet for en slik skytjeneste. Flere sentrale aktører er involvert i arbeidet. Utredningsarbeidet er omfattende, komplekst og tar opp flere prinsipielle og tverrsektorielle problemstillinger, blant annet teknologiske, sikkerhetsrelaterte, organisatoriske, juridiske og økonomiske."

Et tredje viktig område meldingen nevner, men er helt uten både helhetsbeskrivelser og virkemidler for, er spørsmålet om hvem som eier hva i Norge. Hvordan myndigheter og allmennheten kan finne ut hvem som egentlig eier selskaper, eiendommer, konsesjoner og rettigheter? Også her er det slik at stortingsmeldingen er opptatt av virkemidler justissektoren selv rår over, blant annet styrking av  sikkerhetslovens bestemmelser om eierskapsinformasjon, men det er jo bare en liten del av denne utfordringen. Skal vi avsløre hvitvasking, organisert kriminalitet, oligarkers skjulte eierinteresser, kriminalitet rundt offentlige anskaffelser og alt mulig annet vi utsettes for av kriminell og sikkerhetstruende virksomhet, må vi ha tilgang til denne kunnskapen og disse dataene hver dag og hele tiden.

Det interessante her er at myndighetene allerede har registre som legger til rette for at slik informasjon kan være tilgjengelig. Skatteetaten har et aksjonærregister som brukes til å kreve inn skatt på formue, utbytte og gevinster, men her er det bare opplysninger som er oppdatert hver 31. desember. Kjøper man aksjer i januar blir det ikke synlig i registeret før utpå våren året etter. Brønnøysundregistrene bygger opp et register over reelle eiere i selskaper, men dette virker ikke særlig høyt prioritert av regjeringen. Og det er jo litt rart at det skal være to ulike registre med samme data to ulike etater. 

Bedrifter har alle disse eierdataene selv, kontinuerlig oppdatert. Noen bruker exel-ark, andre har avanserte digitale aksjeeierbøker som kan utveksle data med andre og også legge ut slik informasjon åpent. Vi kunne kan hatt en modell der de ikke bare sender inn oppdaterte eierdata til myndighetene hver dag det skjer en endring, helst automatisk, men at dette også er tilgjengelig for de som trenger innsikt, enten man er sikkerhetsmyndighet, offentlig innkjøper eller en samfunnsinteressert borger. Der offentlige registre og private fagsystemer virker sammen. Kanskje alt skal være åpent for alle, kanskje ikke, men det bør i hvert fall finnes digitale systemer som muliggjør åpenhet om denne type data. Slik er det ikke i dag.

Når det gjelder eiendom har vi enda dårligere oversikt over reelle eierskap enn det er i aksjeselskaper. Her trenger man i dag ikke å oppdatere eierskapsinformasjon, slik en del saker i Dagens Næringsliv har bragt frem i lyset den siste tiden. Dette varsler regjeringen at den vil se på og sannsynligvis endre, men interessen for å sørge for digitale løsninger som til tillegg gir tilgang til slik kunnskap i praksis virker nokså laber. At Brønnøysundregistrenes-, Skatteetatens-, og Kartverkets digitale infrastruktur ikke løftes frem som en del av løsningen på de sikkerhetsutfordringene vi nå har er rett og slett ganske merkelig. I stedet slår meldingen fast at:

"Kontroll med hvem som er reelle eiere av for eksempel infrastruktur, naturressurser eller eiendom av betydning for nasjonal sikkerhet er viktig. Regjeringen ønsker bedre oversikt over dette. Det vil gi innsikt i om eierskapet kan være en utfordring for nasjonal sikkerhet. Informasjon om utenlandsk eierskap blir registrert av en rekke institusjoner, både norske og internasjonale, men informasjonen blir i dag i liten grad systematisert. Dette krever derfor et utstrakt samarbeid nasjonalt og internasjonalt."

Dette er i og for seg ikke helt feil. Men det ville hjelpe å interessere seg for og beskrive de fellesløsningene og digitale systemene som faktisk trengs for å få den oversikten og systematiseringen stortingsmeldingen etterlyser. Og foreslå en prosess som gjør at vi kan lykkes bedre med å få bedre oversikt og kontroll på systemnivå.