Sikkerhet og sårbarhet i elektroniske samfunnsinfrastrukturer : refleksjoner rundt regulering og tiltak

Abstract

Rapporten tar utgangspunkt i arbeidet med en serie med analyser og studier som i hovedsak er gjennomført i BAS-prosjektserien på FFI. Arbeidet har i stor grad vært rettet inn mot å identifisere og analysere tiltak for å møte trusler mot samfunnets viktigste infrastrukturer, som telekommunikasjon, kraftforsyning og transport. Viktige utfordringer i disse arbeidene har vært å vurdere hvor sårbare ulike IKT-infrastrukturer i samfunnet er overfor ulike typer påkjenninger, og hvilke tiltak som er relevante for å øke sikkerheten og robustheten i dem. Etter at disse prosjektene har levert sine resultater har det imidlertid vært stort fokus på de foreslåtte tiltakene som har vært lagt frem. Det har i langt mindre grad vært fokus og interesse for de bakenforliggende analysemetodene og prosessene som ble benyttet for å komme frem til tiltakene. Dette er et forhold som vi mener er uheldig. Særlig innenfor området sikkerhet innen IKT-infrastruktur skjer utviklingen så raskt at holdbarheten av slike anbefalinger er svært kort. I rapportens første del skisseres en del forhold og utviklingstrekk rundt regulering av sikkerhet og robusthet i EKOM- og IKT-systemer de senere årene. Deretter beskrives en del utfordringer i forhold til sikkerhet og beredskap i en nasjonal kontekst. Her legges det vekt på sikkerhetspolitiske, markedsmessige og teknologiske utviklingstrekk de siste ti årene. Avslutningsvis drøftes myndighetenes mulige rolle innen IKT- og EKOM-sikkerhet. Med dette utgangspunktet gis i rapportens siste del et innspill til innretning for et regime innen sikkerhet og sårbarhet i elektroniske infrastrukturer. Her beskrives en prosess med tre hovedpunkter som på tvers av sektorer og ansvarsområder kan gi nødvendig helhet og konsistens ved utvikling av strategier og tiltak. Hovedpunktene i prosessen er: 1. Det avklares hvilke utfordringer og trusselbilde sikkerhetsarbeidet skal rettes mot – hva er egentlig utfordringene for arbeidet med nasjonal IKT-sikkerhet? 2. Det bestemmes klare ambisjonsnivåer og målsettinger – hvor vil vi konkret med sikkerhetsarbeidet? 3. Det identifiseres hvilke virkemidler som basert på relevans og realisme kan bidra til å oppfylle målsettingen, og det måles hvilken effekt og kostnad disse har. Det er sentralt at denne prosessen inneholder egenskaper for å gi sporbarhet av de beslutninger som tas. Som innledning til dette gis en kort vurdering av forhold rundt sikkerhet og beredskap innen EKOM-sektoren etter at BAS2-prosjektt la frem sine forslag i 1999.

This report is based on the work in the BAS project series at FFI. The BAS projects have primarily identified and analyzed measures to reduce vulnerabilities to threats against critical infrastructures, such as telecommunication, electrical power supply and transport services. Important challenges have been to assess how vulnerable different ICT infrastructures are against different types of threats, and which measures are relevant to increase security and robustness in the infrastructures in a holistic view. After each project has delivered its results, much focus has been placed on the proposed measures. Unfortunately, there has been little or no interest in the underlying methods and processes used to reach the proposals. This is unfortunate, since ICT security issues are subject to rapid changes, and since the validity of the proposed measures are relatively short. In the first part of the report, recent developments regarding security and robustness in telecommunication and ICT systems are discussed. Following this, a number of challenges for ICT security and emergency preparedness are discussed in a national context. Emphasis is put on challenges related to security policy, market-driven economies and technological developments the last ten years. Possible roles for the national authorities in the ICT security work are discussed. The last part of the report proposes a new regime for security and robustness in electronic infrastructures. This regime consists of a process in three stages. The process ensures that strategies and measures for ICT security can be developed across different societal sectors and areas of responsibility, in a holistic and consistent way. The three stages are: 1. Identify the challenges and threats that the ICT security work shall counter. What are the challenges for the work with national ICT infrastructure security? 2. Determine clear ambitions, objectives and goals for the security work What are we trying to achieve? 3. Identify measures, that based on relevance and realism can contribute in a positive way to the main objectives with the security work. Effectiveness and cost of the measures has to be measured against set goals. This process would ensure that decisions and measures for the national work on ICT infrastructure security will be robust, traceable and valid for set objectives and goals. To support this claim, a brief assessment of issues related to security and emergency preparedness in the national telecommunication sector the last years is given.