Hva er den kritiske digitale kommunikasjonsinfrastrukturen i Norge? Hvem står bak selskapene som eier og driver denne infrastrunkturen, og som leverer tilknyttede tjenester? Og hvilken myndighet har egentlig ansvaret for ha en oppdatert oversikt over kontroll og eierskap? Og hvem sitter med målbilde for hvordan nasjonal sikkherhet skal ivaretas i praksis på et område i kontinuerlig utvikling?
For å ta det første først. En ny rapport fra et ekspertutvalg ledet av professor Olav Lysne går igjennom alt. Rapporten er på 230 sider, og hele 350 sider med vedlegg, og heter "Nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur - målbilde og virkemidler" og ble presentert for noen dager siden. Den lister opp følgende områder som en del av den samfunnskritiske digitale infrastrukturen: Mobilnett, bredbåndsnett, transportnett, fiberkabler som forbinder Norge til sokkelen og til utlandet, datasentre, satellittkommunikasjonssystemer, fortifikatoriske anlegg, infrastruktur knyttet kritiske basalfunksjoner som DNS og samtrafikkpunkter.
Med dette gjør rapporten en solid jobb med å kartlegge hvilken infrastruktur som er samfunnskritisk, og hvorfor, og hvor sårbare vi er i ulike deler av den digitale leverandørkjeden. Nesten alt i samfunnet er i dag avhengig av digital kommunikasjonsinfrastruktur for å fungere. Utvalget har avgrenset seg mot å ta med infrastukturer som dekker mindre geografiske områder og omtaler heller ikke ulike sektortjenester, som bank og finanstjenester, transporttjenester eller helsetjenester, men holder seg til den digitale infrastrukturen som brukes på tvers av sektorene og har nasjonal betydning.
Etterlengtet oversikt over aktørbildet
Jeg har flere ganger etterlyst bedre oversikter over sårbarheter i digitale leverandørkjeder, spesielt fra myndighetesorganer som etterlyser bedre oversiktiger over digitale leverandørkjeder, og jeg synes Lysne-utvalget gjør en prisverdig innsats når det gjelder å beskrive hvordan ekomsektoren er satt sammen og er i rivende utvikling (kapittel 3) og hva nasjonal kontroll egentlig innebærer (kapittel 4). I kapittel 5 identifiseres de viktigste selskapene som forvalter digital kommunikasjonsinfrastruktur og i kapittel 6 presenteres en oversikt over hvilke eiere som står bak.
Jeg regner med at mange sitter men en form for oversikt over hvem som eier selskaper som Telenor, Lyse og Eidsiva. Men hvem er eierne bak selskaper som Bulk, Global Connect, Green Mountain, Tampnett, Exa Infrastructore, Arelion, Lumen, Lefdal Mine Datacenter, Space Norway, One Web, Starlink og Telia Towers? Disse eierskapene har en sentral plass i drøftingen av hvor sårbare vi er og det er drøftinger av ulike måter kjøp, salg, joint ventures, av hvordan aktører kan bruke eierskap som et virkemiddel for å skade norske interesser.
Utvalget har brukt Menon til å kartlegge eierskapet i de viktigste selsakpene i ganske stor detalj, også bakenforliggende utenlandske eiere, og har ikke avdekken noen spesielt problematiske eierforhold, med unntak av Huawei og Starlink som er nevnt spesielt, men i noen tilfeller kan det være uklarhet om bakenforliggende eierskap. Og uansett vil det være et stort behov for å følge med på endringer i eierskap fortløpende og klargjøre hva slags virkemidler som kan og bør brukes for å gripe inn.
Styringsevne og handlefrihet
Utvalget faller ikke for fristelsen til å si at statlig eierskap eller lokalisering på norsk jord automatisk løser alle utfordringer, men foretar en god drøfting av hvilke elementer som må være på plass. I noen typer kriser kan det jo også være en fordel om data lagres et annet sted enn i Norge, eller kan flyttes raskt. Og utvlaget fremhever også at markedskonkurranse og privat sektors innovasjonsevne i mange tilfeller taler for at nasjonal kontroll sikres på annen måte enn gjennom statlig eierskap. Utvalget beskriver nasjonal kontroll som en funksjon av det de omtaler om styringsevne og handlefrihet:
"Slik utvalget vurderer det, omhandler nasjonal kontroll på sin side to sentrale aspekter; statens styringsevne, og statens handlefrihet. Styringsevne kan sees på som den myndigheten og det mandatet staten har til å fatte effektive beslutninger om digital infrastruktur gjennom for eksempel eierskap, regulering eller avtaler. Handlefrihet beskriver den fleksibiliteten og det handlingsrommet som staten har til å få implementert og gjennomført disse beslutningene uten å bli begrenset av utenlandske aktører eller andre eksterne faktorer.
Rapporten beskriver også viktige utviklingtrekk fremover. Det handler blant annet om viktige teknologiske trender som kunstig intelligens, overgang til stadig mer skybaserte tjenester, tingenes internett, sterk vekst i antall datasentre og energiforbruk, og det at stadig større verdier bæres av de kommersielle kommunikasjonsnettene. Neste generasjons nød- og beredskapsnett er et godt eksempel på denne overgangen fra en statlig operatørorganisasjon til det kommersielle 5G-nettet.
Kritiske funksjoner utenfor norsk jurisdiksjon
Et eget veldig interessant kapittel mot slutten av rapporten handler om ulike funkjoner vi er avhengige av, og som vi i dag ikke har kontroll over, men, enten vi liker det eller ikke, er avhengige av aktører og infrastrukturer utenfor Norge. Det gjelder det globale adressesystemet for internett, sertifikatutstedere av rotsertifikater, en nasjonal infrastruktur for tidstjenester, globale skytjenesteløsninger, internettsamtrafikk over landegrensene, skybaserte meldings- og taletjenester, og lavbanesatelitter. Utvalget kommer med en anbefaling om hvordan dette bør følges opp:
"Digitaliserings- og forvaltningsdepartementet bør vedlikeholde et faktagrunnlag knyttet til nasjonal avhengighet av utenlandske innsatsfaktorer, herunder mikrotjenester, DNS-tjenere, sertifikattjenester, og internettsamtrafikk. Dette faktagrunnlaget bør danne basis for utvikling og vedlikehold av målbilde og virkemidler for nasjonal kontroll, og i den sammenheng vår avhengighet til infrastruktur som ligger utenfor norsk jurisdiksjon."
Mye i denne rapporten handler om oversikt over aktører og eierskap og mye handler måter å holde oversikt over investeringer og eierskapsendringer, hvilke lovverk som skal gi hjemler for dette og hvordan det skal organiseres. Men det viktigste kapitlet om alle handler om hvordan vi best setter opp det som kalles "En strukturert tilnæring til nasjonal kontroll", og er tema for rapportens kapittel 11. Her slås det fast at det i tillegg til en reaktiv strategi for å fange opp saker som dukker opp, og screene utenlanske investeringer, også må være en proaktiv strategi for å etablere et målbilde og tiltak for nasjonal kontroll som er robust i møte med ulike scenarioer.
Målbilder, veikart og tiltak som metode
Dette er så sentralt at jeg våger meg på et litt lengre sistat:
"Det proaktive nivået innebærer at myndighetene etablerer et langsiktig mål på hvilke styringsevner og handlefriheter staten skal ha på ulike deler av den digitale infrastrukturen. Dette målbildet bør fastsettes etter føre-var-prinsippet, og være dimensjonert for scenarioer øverst i krisespekteret – krig og konflikt. Den proaktive tilnærmingen er viktig for å sikre at nødvendig styringsevne og handlefrihet over kritisk digital kommunikasjonsinfrastruktur allerede er etablert når det oppstår alvorlige situasjoner som utfordrer våre nasjonale sikkerhetsinteresser.
Målbildet må veies opp mot andre viktige samfunnshensyn. Dette presiseres også i Meld. St. 9 (2022–2023): «Nasjonal kontroll som virkemiddel må brukes på en slik måte at det bidrar til forutsigbarhet og tillit, og at det ikke fører til unødvendige begrensninger for verdiskapning og utenlandske investeringer i Norge, eller for norsk markedsadgang i utenlandske markeder.» Når målbildet er definert, må gapet mellom dagens situasjon og målbildet identifiseres. En viktig forutsetning for dette er at myndighetene er i stand til å etablere en god oversikt over infrastrukturen, og løpende opprettholde oversikten gjennom teknologiske, markedsmessige og selskapsmessige endringer."
Utvalget mener at det trengs slike proaktive målbilder for ulike kritiske infrastrukturer og lister opp de viktigste: Passiv infrastruktur (f.eks. fiberinfrastruktur, herunder sjøfiber), støtteinfrastruktur (f.eks. datasentre, fortifikatoriske anlegg, mobiltårn, jordstasjoner, klokkeinfrastruktur, nummerportering og opprinnelsesmarkering) og tjenesteproduksjonsinfrastruktur (f.eks. transportnett, bredbåndsnett, internettinfrastruktur, mobilnett og satellittkommunikasjonsinfrastruktur). I tillegg bør det etableres målbilder for kontroll med personellressurser og kompetanse som vil kreves.
Med utgangspunkt i slike målbilder vil det være mulig å identifisere gapene mellom nåsituasjonen og det fastsatte målbildet, og finne ut hva slags tiltak som vil kreves for å tette gapet. Dette vil naturligvis bli en omfattende jobb, men den er fullt mulig å gjøre:
"En komplett gapanalyse for kritisk digital kommunikasjonsinfrastruktur vil kunne være omfattende, men samtidig gjennomførbar når arbeidet brytes ned i delmålbilder for konkrete infrastrukturkategorier med tilhørende definerte styringsevner og handlefriheter. Gapanalysen av én infrastrukturkategori kan da også aggregeres og analyseres sammen med gapanalysene til de andre infrastrukturkategoriene. Dette vil gjøre det mulig for myndighetene å trekke ut overordnede observasjoner."
Utvalget peker også på hvilke ulike strategier og planer som allerede finnes og som de nye målbildene kan intereres i, for eksempel regjeringens digitaliseringsstrategi, statens eierskapsstrategi, sivilt beredskapssystem, en ny datasenterstrategi, strategien for posisjonsbestemmelse, navigasjon og tidsbestemmelse, langtidsplanen for forsvaret, en oppfølgning av totalberedskapsmeldingen og en ny nasjonal sikkerhetsstrategi.
Et første steg før man kommer til utarbeidelsen av målbildene vil være å ha oversikt over hvilken kritisk digital kommunikasjonsinfrastruktur det er viktig å sikre nødvendig nasjonal kontroll med, og hvilke virksomheter som forvalter denne. Dette er jo noe departementene uansett har ansvar for å gjøre i henhold til sikkerhetsloven, men utvalget finner likvel grunn til å minne om at noen må ta et helhetsansvar:
"Utvalget anbefaler at Digitaliserings- og forvaltningsdepartementet identifiserer og holder ved like en dokumentert oversikt over virksomheter i henhold til sikkerhetsloven § 2-1, samt øvrige virksomheter som forvalter digital kommunikasjonsinfrastruktur og funksjoner som anses samfunnskritiske."
"Utvalget anbefaler at når et målbilde for nasjonal kontroll er etablert bør Digitaliserings- og forvaltningsdepartementet utvikle og vedlikeholde en gapanalyse av målbildet som beskriver de aktuelle virkemidlene staten rår over, og eventuelle svakheter, begrensninger og hindre for å bruke disse for å sikre de nødvendig styringsevner og handlefriheter."
Hvor ble det av "nasjonal sky"?
Jeg synes de anvefalingene Lysne-utvalget har kommet med er et langt skritt i riktig retning når det gjelder å sette igang et arbeid med å kartlegge sårbarheter i digitale verdikjeder og eierforhold, etablere målbilder og finne tiltakene som tetter gapene. Men jeg sitter igjen med at par store spørsmål som ikke er utvalgets feil, men ligger hos de som har gitt utvalget dette oppdraget.
Det ene jeg lurer på er hvor det er blitt av ambisjonen om en nasjonal og sikker skyløsning? Lysne-utvalget beksriver prosessen, og hvordan ambisjonen om en "statlig sky" i KVU/KS1-prosessen ledet av Justisdepartementet ble endret til en ambisjon om en lukket skytjeneste hvor det gjennom sikkerhetsgraderte anskaffelser inngås en avtale med en eller noen få private leverandører som skal utvikle, drifte og forvalte en nasjonal skytjeneste for staten.
Det tenker jeg var et klokt valg, men hvor der denne skyløsningen blitt av? Hvem har ansvaret for å få den på plass? I tildelingsbrevet for 2025 til Forsvarsdepartementets nye underliggende etat Statens graderte plattformtjenester kan vi lese at:
"Virksomhetene som i dag benytter SGPs ugraderte plattform skal på sikt, og tidligst mulig, overføres til ugraderte tjenester fra Departementenes digitaliseringsorganisasjon/Nasjonal Sky."
Men når jeg leser tildelingsbrevet for 2025 til Digitaliserings- og forvaltningsdepartementets nye underliggende etat Departementens digitaliseringsorganisasjon (DIO) klarer jeg ikke finne noen ting om Nasjonal Sky. Har den havnet i et annet department, for eksempel i en underliggende virksomhet til Justisdepartmentet, som tross alt hadde ansvaret for konseptvalgsutredningen. Skal deres underliggende etat Nasjonal Sikkerhetsmyndighet (NSM) ha dette asnsvaret? Noe tildelingsbrev til NSM i 2025 klarer jeg ikke å finne, men penger til datasenter er det helt sikkert ikke der.
Og da er det kanskje bare en mulighet igjen, og det er at ambisjonene om en nasjonal sky på en eller annen måte blir en del av Forsvarets modernisering av sine IKT-systemer, som starter med tre forprosjekter. Men hvordan forholdet til sivil sektor ivaretas i disse planene er så langt ikke beskrevet, og kanskje ikke helt avklart heller.
Er DFD rett departement?
Den andre uklarheten for meg er om Digitaliserings- og forvaltningsdepartementet er rett adressse for flertallet av tiltake som foreslås i rapporten. Og hvorfor er egentlig DFD oppdragsgiver for dette ekspertutvalget? Det virker kanskje opplagt at DFD som er det koordinerende digitaliseringsdepartmentet, også har det tverrgående og koordinerende ansvaret for forebyggende digital sikkerhet. Men det har de ikke. Våren 2013 ble dette ansvaret plassert i Justisdepartementet gjennom en kongelig resolusjon. Det er også JD og ikke DFD som har lagt fram stortingsmeldinger og strategier om IKT-sikkerhet. JD har ansvaret for den sivile samfunnssikkerheten og beredskapen, har DSB og NSM som underliggende etater og da er det helt naturlig at også den digitale sikkerheten, som inngår i stort sett all annen sikkerhet og bededskap, også er plassert her.
Hvorfor er da DFD oppdragsgiver for Lysne-utvalget når de ikke har det tverrsektorielle ansvaret for IKT-sikkerhet? Det er fordi DFD er sektoransvarlig departement for ekom, det vil si Lov om elektronisk kommunikasjon (ekomloven), mobil og bredbåndspolitikk, og har Nasjonal kommunikasjonsmyndighet som underliggende etat. Nå har definisjonen av hva som er med i ekomsektoren naturligvis blitt utvidet de senere årene, og omfatter i dag både internett og datasentre, men det er fortsatt sektorpolitikk som er begrunnelsen for DFDs og Nkoms rolle på et felt der det allerede er lovverk og sektoransvar som overlapper hverandre. Sikkerhetsloven ligger under Justisdepartementet. Kringskasting er under Kulturdepartementet. Eierskapspolitikk er under Næringsdepartementet. Det er også Næringsberedskapsloven og rompolitikken.
Så uansett er dette en salat av ulike sektoransvar, lovverk og roller, og mye som må koordineres på tvers dersom ambisjonen om et helhetlig målbilde skal kunne realiseres. Utfordringen er å finne ut hvem som er best plassert til å ivareta den koordinerende rollen som et slikt helhetsansvar vil kreve.
Ingen kommentarer :
Legg inn en kommentar