Forsvarlig sikkerhetsnivå for Forsvarets bruk av IKT – en innledende studie

Abstract

Forsvarets IKT-strategi presiserer at informasjons- og kommunikasjonsteknologi (IKT) er en kritisk faktor for at Forsvaret skal kunne løse sine oppgaver i krig, krise og fred, og uunnværlig for at Forsvaret skal kunne gjennomføre sine operasjoner på en effektiv og sikker måte. IKT-sikkerhet er derfor avgjørende for å sikre at Forsvarets IKT-systemer er tilgjengelige, til å stole på og at sensitiv informasjon beskyttes mot uautorisert tilgang eller tap. Formålet med denne rapporten er å støtte Forsvaret og Forsvarsstaben innenfor styring av risiko og sikkerhet på IKT-området. Utgangspunktet for rapporten er at det ikke er etablert tilnærminger for hvordan Forsvaret kan utføre funksjons- og risikobaserte vurderinger for bruk av IKT som grunnlag for kontinuerlig å opprettholde et forsvarlig sikkerhetsnivå, slik sikkerhetsloven krever. Funksjonsbegrepet er sentralt. Vi velger å benytte begrepet IKT-baserte funksjoner som et samlebegrep for både IKT-tjenester, informasjonssystemer og IKT-infrastruktur. En IKT-basert funksjon inkluderer menneskelige, teknologiske og organisatoriske ressurser. Rapporten presenterer et forslag til et rammeverk for forsvarlig sikkerhetsnivå for Forsvarets bruk av IKT. Rammeverket søker å etablere sammenheng mellom overordnede nasjonale sikkerhets-interesser og gjennomføring av militære operasjoner, til risiko og sikkerhet på teknisk nivå. Det har en klar top-down tilnærming, der verdien av IKT-baserte funksjoner, sikkerhet og risiko er knyttet til hva funksjonene brukes til og hvordan de bidrar til nasjonale sikkerhetsinteresser, i tråd med sikkerhetslovens systematikk. Det legges også til grunn at detaljert kunnskap om militære operasjoner og innsikt i systemer og teknologier er nødvendig, det vil si en bottom-up tilnærming. Rammeverket har tre deler. Den første delen er et verdihierarki for nasjonal sikkerhet for forsvarssektoren. Nasjonale sikkerhetsinteresser, og grunnleggende nasjonale funksjoner med underfunksjoner, skal ligge til grunn for å vurdere risiko og oppnå et forsvarlig sikkerhetsnivå. Bruken av IKT i Forsvaret må vurderes i en operativ kontekst. Det viktige er funksjonaliteten som IKT utgjør for Forsvaret i ulike situasjoner. Det vil si hvilke operative evner IKT-baserte funksjoner bidrar til, både direkte og indirekte. Vi har brukt et forenklet eksempel for å utvikle og illustrere tilnærmingen. Å innhente og systematisere informasjon om operativ kontekst utgjør andre trinn, informasjonsfremkalling, i rammeverket. Siste del av rammeverket ser på hvordan det kan etableres et forsvarlig sikkerhetsnivå basert på en funksjons- og risikobasert vurdering for operativ bruk av IKT-baserte funksjoner for å oppnå militær effekt. Vi anbefaler at slike vurderinger utføres ved å kombinere metoder og fremgangsmåter, og at risiko- og sikkerhetsstyring bør være en kontinuerlig prosess. En system-teoretisk tilnærming til risiko og sikkerhet kan være nyttig, og FFI anbefaler å utforske dette i videre arbeid. Før rammeverket kan anbefales tatt i bruk, er det behov for å teste og foredle rammeverket gjennom praktiske, relevante anvendelser.

The Norwegian Armed Forces' ICT strategy specifies that Information and Communication Technology (ICT) is a critical factor for the Armed Forces to be able to solve their tasks in war, crisis and peace, and indispensable for the Armed Forces to be able to carry out their operations in an efficient and safe manner. ICT security is therefore crucial to ensure that the Norwegian Armed Forces' ICT-systems are available, can be trusted and that sensitive information is protected against unauthorized access or loss. The purpose of this report is to support the Norwegian Defence Staff and the Norwegian Armed Forces in general within the management of risk and security in the ICT area. Our point of departure is that there are no established approaches for how the Norwegian Armed Forces can carry out functional and risk-based assessments for the use of ICT as a basis for continuously maintaining an appropriate level of security in accordance with the Security Act. We choose to use the term ICT-based functions as a collective term for both ICT services, information systems and ICT infrastructure. An ICT-based function includes human, technological and organizational resources. We have developed a proposed framework to achive an appropriate level of security for the Armed Forces' use of ICT. The framework seeks to establish a connection between overall national security interests and the implementation of military operations, to risk and security at a technical level. It has a clear top-down approach, where the value of ICT-based functions, security and risk is linked to what these functions are used for, and how they contribute to national security interests, in line with the Security Act. Also, detailed knowledge of military operations and insight into systems and technologies is necessary, i.e. a bottom-up approach. The framework has three parts. The first part is a national security value hierarchy for the defence sector. National security interests, and fundamental national functions with sub-functions, must form the basis for assessing risk and achieving an appropriate level of security. The use of ICT in the Armed Forces must be assessed in an operational context. What is important is the functionality that ICT provides for the Armed Forces in various situations. That is, the direct and indirect contribution of ICT-based functions to operational capabilities. We have used a simplified example to develop and illustrate the approach. Obtaining and systematizing information about operational context constitutes the second step, information elicitation, in the framework. The last part of the framework looks at how an appropriate security level can be established based on a functional and risk-based assessment for the operational use of ICT-based functions to achieve military effects. We recommend that such assessments are carried out by combining methods and approaches, as part of continuous risk and security management. A system-theoretic approach to risk and security can be useful, and we recommend exploring this in further work. Before the framework can be recommended for use, there is a need to test and refine the framework through practical, relevant applications.