Sikkerhet og sårbarhet i elektroniske samfunnsinfrastrukturer : refleksjoner rundt regulering og tiltak
Abstract
Rapporten tar utgangspunkt i arbeidet med en serie med analyser og studier som i hovedsak er
gjennomført i BAS-prosjektserien på FFI. Arbeidet har i stor grad vært rettet inn mot å
identifisere og analysere tiltak for å møte trusler mot samfunnets viktigste infrastrukturer, som
telekommunikasjon, kraftforsyning og transport. Viktige utfordringer i disse arbeidene har vært å
vurdere hvor sårbare ulike IKT-infrastrukturer i samfunnet er overfor ulike typer påkjenninger, og
hvilke tiltak som er relevante for å øke sikkerheten og robustheten i dem.
Etter at disse prosjektene har levert sine resultater har det imidlertid vært stort fokus på de
foreslåtte tiltakene som har vært lagt frem. Det har i langt mindre grad vært fokus og interesse for
de bakenforliggende analysemetodene og prosessene som ble benyttet for å komme frem til
tiltakene. Dette er et forhold som vi mener er uheldig. Særlig innenfor området sikkerhet innen
IKT-infrastruktur skjer utviklingen så raskt at holdbarheten av slike anbefalinger er svært kort.
I rapportens første del skisseres en del forhold og utviklingstrekk rundt regulering av sikkerhet og
robusthet i EKOM- og IKT-systemer de senere årene. Deretter beskrives en del utfordringer i
forhold til sikkerhet og beredskap i en nasjonal kontekst. Her legges det vekt på
sikkerhetspolitiske, markedsmessige og teknologiske utviklingstrekk de siste ti årene.
Avslutningsvis drøftes myndighetenes mulige rolle innen IKT- og EKOM-sikkerhet.
Med dette utgangspunktet gis i rapportens siste del et innspill til innretning for et regime innen
sikkerhet og sårbarhet i elektroniske infrastrukturer. Her beskrives en prosess med tre
hovedpunkter som på tvers av sektorer og ansvarsområder kan gi nødvendig helhet og konsistens
ved utvikling av strategier og tiltak. Hovedpunktene i prosessen er:
1. Det avklares hvilke utfordringer og trusselbilde sikkerhetsarbeidet skal rettes mot – hva
er egentlig utfordringene for arbeidet med nasjonal IKT-sikkerhet?
2. Det bestemmes klare ambisjonsnivåer og målsettinger – hvor vil vi konkret med
sikkerhetsarbeidet?
3. Det identifiseres hvilke virkemidler som basert på relevans og realisme kan bidra til å
oppfylle målsettingen, og det måles hvilken effekt og kostnad disse har.
Det er sentralt at denne prosessen inneholder egenskaper for å gi sporbarhet av de beslutninger
som tas. Som innledning til dette gis en kort vurdering av forhold rundt sikkerhet og beredskap
innen EKOM-sektoren etter at BAS2-prosjektt la frem sine forslag i 1999. This report is based on the work in the BAS project series at FFI. The BAS projects have
primarily identified and analyzed measures to reduce vulnerabilities to threats against critical
infrastructures, such as telecommunication, electrical power supply and transport services.
Important challenges have been to assess how vulnerable different ICT infrastructures are against
different types of threats, and which measures are relevant to increase security and robustness in
the infrastructures in a holistic view.
After each project has delivered its results, much focus has been placed on the proposed
measures. Unfortunately, there has been little or no interest in the underlying methods and
processes used to reach the proposals. This is unfortunate, since ICT security issues are subject to
rapid changes, and since the validity of the proposed measures are relatively short.
In the first part of the report, recent developments regarding security and robustness in
telecommunication and ICT systems are discussed. Following this, a number of challenges for
ICT security and emergency preparedness are discussed in a national context. Emphasis is put on
challenges related to security policy, market-driven economies and technological developments
the last ten years. Possible roles for the national authorities in the ICT security work are
discussed.
The last part of the report proposes a new regime for security and robustness in electronic
infrastructures. This regime consists of a process in three stages. The process ensures that
strategies and measures for ICT security can be developed across different societal sectors and
areas of responsibility, in a holistic and consistent way. The three stages are:
1. Identify the challenges and threats that the ICT security work shall counter. What are the
challenges for the work with national ICT infrastructure security?
2. Determine clear ambitions, objectives and goals for the security work What are we trying
to achieve?
3. Identify measures, that based on relevance and realism can contribute in a positive way to
the main objectives with the security work. Effectiveness and cost of the measures has to
be measured against set goals.
This process would ensure that decisions and measures for the national work on ICT
infrastructure security will be robust, traceable and valid for set objectives and goals. To support
this claim, a brief assessment of issues related to security and emergency preparedness in the
national telecommunication sector the last years is given.