Det digitale risikobildet 2023

Nasjonal Sikkerhetsmyndighet (NSM) har kommet med en ny rapport, "Nasjonalt digitalt risikobilde 2023", en rapport om våre nåværende og fremtidige sårbarheter det er vel verdt å lese. 

Her er det flere kjente temaer, men med gode oppdaterte beskrivelser, og noen nyere problemstillinger det er veldig interessant å lese om, spesielt  i kapitlet om Digitale trender og utviklingstrekk. Det tar opp hvordan kunstig intelligens påvirker sikkerhet og sårbarhet, og også at kraftige kvantedatamaskiner om noen år kommer at dagens krypterte data blir langt mindre sikre. De som vil bryte seg inn hos andre får langt bedre verktøy. I begge tilfeller gjelder det å være forberedt og designe it-systemer man skal bygge nå langt mer motstandsdyktige mot endringer som kommer.

Rapportens tidsriktige forside har et bilde generert av Midjourney, en tjeneste som bruker kunstig intelligens til å lage bilder. NSM-rapporten begynner med en svært nyttig innledende gjennomgang av ulike cybersikkerhetstrusler, og har også tall som beskriver hvilke sektorer som er mest utsatt. Det mest utsatte er "tverrsektoriell forvaltning og modernisering", deretter følger "høyteknologi og næring", "forskning og utvikling" og forsvar. Men alle sektorer er med, og ingen er unntatt fra disse utfordringene. 

Tilnærmingen til kunstig intelligens i det digitale risikobildet er interessant ved at den er fremoverlent og allerede i overskriften slår fast at "Vi trenger kunstig intelligens for økt cybersikkerhet" men slår samtidig fast og vi også "trenger cybersikkerhet for kunstig intelligens". Her omtales både faren for at det er kryptografiske bakdører det er umulige å oppdage og "forgiftede" treningsdata. Men samtidig løftes kunstig intelligens frem som en viktig del av verktøykassen for å oppdage og bekjempe angrep og sikkerhetstrusler.

Siste del av rapporten beskriver ting vi sannsynligvis må bruke enda mer ressurser på fremover, som angrep på kritisk infrastruktur som olje-, gass- og kraftinfrastruktur ved å angripe styring- og kontrollsystemene. og rapporten er inne på hvordan selve omleggingen til stadig mer elektrifisering, blant annet på sokkelen og på landanleggene, og utbygging av flere vindparker på land og i havet, også gir nye digitale sårbarheter. 

Digitale leverandørkjeders sårbarhet er et tema jeg har kommentert før når jeg har skrevet om NSMs rapporter. Det er et området der vi åpenbart ikke har god nok oversikt og kontroll, og årets rapport trekker frem at avhengigheter mellom systemer som bruker åpen kildekode programvare og økt bruk av kunstig intelligens i ulike komponenter, bidrar til å øke kompleksiteten og uoversiktligheten.

På et område sliter jeg litt med å følge NSMs analyse, og hva de egentlig mener. Det gjelder det de sier er anbefalinger om hvordan vi skal innrette oss når det gjelder bruk av sikre skyløsninger. Det er en slags advarsel mot å bruke skyløsninger levert av de (få) store internasjonale leverandørene, og de peker på noe de kaller "nasjonal skytjeneste", men det er høyst uklart hva dette er, hvem som skal levere det, eller hva det vil koste. Et sted skriver NSM at:'

"Ved innføringen av en nasjonal skytjeneste vil enkelte hevde at konsentrasjonsrisikoen for samfunnskritiske IKT-tjenester øker. NSM erfarer samtidig at statlige virksomheters overgang til moderne skytjenester er preget av et fåtall leverandører. Man kan derfor stille spørsmål om man allerede i dag har en konsentrasjon av data og tjenester. Denne har i så fall oppstått ukontrollert eller ubevisst, samtidig som skytjenestene i liten grad er underlagt nasjonale kontrollmuligheter og påvirkning."

Akkurat her synes jeg tåken har senket seg litt ned over formuleringene i en ellers godt skrevet rapport. Saken er vel at det ikke er lett å sannsynliggjøre hvordan et helt nytt nasjonalt leverandørmarked skal oppstå og erstatte dagens dominerende skyløsninger. Så kan man si at dette ikke så viktig, for uklare strategier og anbefalinger blir det neppe noe av likevel. Og anbefalingene ellers i rapporten er stort sett klare og gode. selv om det naturligvis er slik at mye av det som omtales i rapporten har karakter av problembeskrivelser mer enn ferdige løsninger, og må jobbes videre med i tiden som kommer. 

Hvordan kartlegger man for eksempel sårbarhetene i store digitale økosystemer og leverandørkjeder som leverer til offentlig sektors kritiske samfunnsfunksjoner? Skal NSM ta initiativet til en områdegjennomgang? Eller er det hver enkelt sektor eller virksomhet som må ta ansvaret for å gjøre det selv? Hvor kommer den bestillingen fra? Eller kanskje det ikke skjer noe før Riksrevisjonen begynner å interessere seg for saken etter at det er sagt mange nok ganger at målet er å få bedre oversikt over digitale leverandørkjeder og Riksrevisjonen skal finne ut hva som er gjort.

Rapporten er ikke bare interessant når det gjelder det store fremtidsbildet, men har også noen gode beskrivelser og tips når det gjelder de sikkerhetsutfordringene virksomheter har i det daglige. Et av kapitlene er en gjennomgang av hvilke sårbarheter NSM oftest finner når de gjennomfører inntrengningstester i norske virksomheters informasjonssystemer. Den viser at de største og viktigste problemene i volum ikke nødvendigvis er så teknologisk avanserte. Man kan komme langt hvis man skaper en grunnleggende forståelse rundt digital sikkerhet og har noen gode rutiner på plass. De tre områdene de nevner er for det første dårlige passord. For det andre slurv med tilganger, for eksempel at eldre administrasjonskontoer ikke er deaktivert. Og for det tredje eldre versjoner av operativsystemer og programmer som har feil og hull, og burde vært byttet ut. Ting det heldigvis er ganske lett å gjøre noe med.