KAFÉ MESH/OSLO (digi.no): Nasjonal sikkerhetsmyndighet (NSM) ved direktør Kjetil Nilsen leverte i går en lang rekke såkalte sikkerhetsfaglige råd, utarbeidet på oppdrag fra regjeringen.

IKT-sikkerhet er viet stor plass blant de 72 forslagene til tiltak, som ble overrakt i en forseggjort trykksak til bestilleren, forsvarsminister Ine Eriksen Søreide (H).

Tiltakene er rettet mot hele beredskapskjeden, og omhandler alt fra kryptering til mer overvåking, klargjøring av etaters roller og ansvar, sikring av fysiske bygg og mye mer.

Her kan du lese de 72 foreslåtte tiltakene.

NSM spiller inn en rekke forslag til lovendringer, som de mener er viktige for å få en mer robust sikring av sensitiv informasjon og infrastruktur.

- En glede å motta rådene, men stunden er også preget av stort alvor, sa Søreide. - Særlig på IKT-området har vi opplevd situasjoner over tid der man kan være under angrep uten å vite om det. Jeg ser nå fram til å gå inn i detaljene i forslagene. Tusen takk for veldig solid utført arbeid. Bilde: Marius Jørgenrud/digi.no De foreslår også å redusere antallet forvaltningsorganisasjoner. NSM vil ha færre IKT-miljøer i offentlig sektor. Konkret ber de justis og forsvar vurdere å etablere én samlet utviklings- og forvaltningsorganisasjon som får ansvar for IKT-løsningene i sentralforvaltningen.

- Det er behov for en omfattende satsing og kraftfull omlegging av sikkerhetsarbeidet i årene framover. Dette er vår vurdering av hvordan Norge bør innrette arbeidet mot 2020 og videre, sa Nilsen.

Nilsen kalte det en historisk dag. Det er første gang NSM overrekker slike sikkerhetsfaglige råd til regjeringen.

De ber også Justis- og beredskapsdepartementet og Forsvarsdepartementet om å utarbeide en ny nasjonal strategi for informasjonssikkerhet.

Norge forvalter store verdier som andre kan forsøke å tilegne seg. Det tas i bruk nye metoder, blant annet kyberangrep. Vi vet også at terrortrusselen er økende, fortalte NSM-direktøren.

- NSM har sett eksempler på store sårbarheter som andre kan ha interesse for å utnytte til sine mål. Noen er av en slik art at nesten hvem som helst kan utnytte dem. Da gjør vi det lett for de som har onde hensikter. Mange av disse sårbarhetene finnes det medisin for, men vi ser at medisinen ikke tas. Derfor står IKT-sikkerhet sentralt i rådene vi går nå.

Fikk du med deg denne? NSM vil stanse hackere med DNS

Vil ha obligatorisk overvåking

Myndighetene har siden 2000 utplassert sensorer i datanettene til en rekke norske institusjoner og bedrifter av «nasjonal viktighet».

NSMs overvåkingssentral NorCERT drifter det såkalte sensornettverket VDI (varslingssystem for digital infrastruktur), for å fange opp dataangrep.

Hittil har det kostet mellom 200.000 og en halv million kroner per år å være deltaker, og det har vært frivillig å få en slik sensornode plassert i virksomhetens datarom. Etter det digi.no erfarer omfatter det under 100 virksomheter i dag.

Nå mener NSM at det er for stor risiko forbundet med frivillig deltakelse, og forslår at dette ikke lenger skal være valgfritt. De ønsker at ordningen utvides.

- VDI bør fullfinansieres av det offentlige og gjøres obligatorisk hos virksomheter som har kritisk infrastruktur eller forvalter viktige funksjoner, sier NSM-direktør Kjetil Nilsen.

Hensikten er ifølge ham å styrke den nasjonale evnen til å oppdage kyberangrep mot norske interesser. NSM-direktøren sier også at NorCERT må styrkes betydelig.

Les også: Totalslakt av forsvarets IT-prosjekter

- Metadata, ikke innhold

Hans Christian Pretorius leder operativ avdeling i Nasjonal sikkerhetsmyndighet. Bilde: Marius Jørgenrud/digi.no Hans Christian Pretorius er avdelingsdirektør ved NSMs operative avdeling.

Han gir et innblikk i hvordan overvåkingen med sensornodene foregår.

- Vi registrerer i snitt 10-15 IP-pakker i det alarmen går. Hvis vi får med oss personopplysninger, for eksempel fra en e-post, har vi rutiner om at det skal varsles og rapporteres til EOS-utvalget. I fjor hadde vi fem tilfeller av pakker som inneholdt personopplysninger, som da måtte håndteres etter vår prosedyre, sier Pretorius til digi.no.

Tidligere under pressekonferansen understreket NSM-direktør Kjetil Nilsen at det er metadata og ikke innholdet i datatrafikken etaten har behov for å fange opp.

Avdelingsdirektør Pretorius forteller at NSM ikke har begynt å se på hvor mange virksomheter eller datanettverk de mener bør omfattes av VDI-sensornettverket.

I realiteten snakker vi én overvåkningsnode per brannmur for alle virksomheter som myndighetene mener forvalter kritisk infrastruktur.

- Hva er den reelle kostnaden per sensor?

- Den er veldig lav. Rett og slett fordi den har vi bygget selv på open source. Og vi har standardisert den slik at den kjører på vanlig VMware. For en bedrift som har VMware-boksen klar, så er det egentlig bare linja som koster, sier Hans Christian Pretorius.

Sensornoden blir følgelig rullet ut som et programvaretillegg for noen. Den har en utviklingskostnad for NSM, som også har utgifter knyttet til utrulling av signaturfiler for å fange opp ondsinnet kode, men også til varsling av hendelser og bistå når hendelser oppstår.

For kunder som ikke har det nødvendige tekniske utstyret i eget datarom vil en fysisk installasjon ligge i størrelsesorden 20.000 kroner, ifølge avdelingsdirektøren.

Så du denne? Gammel ubåtbunker ble datasenter

Åpner for massiv datalagring

Avlesingen er forbundet med kontrovers. NRK har tidligere kastet ut sensoren, da de fryktet for kildevernet.

Bakgrunn: NRK kastet ut statens «spionboks»

I fjor valgte de å gjenoppta samarbeidet, etter å ha veid fordelene ved bistand til å håndtere angrep som høyere. Statskanalen erkjente at de har diskutert dette internt, og at diskusjonen har vært vanskelig.

Nylig dukket problemstillingen opp igjen.

I arbeidet med å revidere sikkerhetsloven, har regjeringen foreslått et pålegg om lagring av informasjon i fem år, og at NSM gis rett også til innsyn i elektronisk kommunikasjon, herunder innholdet i e-post.

Det rimer ikke helt med det NSM-direktør Kjetil Nilsen trafkk frem av behov, da han torsdag sa at det er metadata de ønsker å registrere.

Lovforslaget har fått NRK til igjen å vurdere å trekke seg fra VDI.

- Dersom ordningen utvides, så ivaretar ikke det vår uavhengighet og kildevernet. Da kan vi rett og slett ikke være med i samarbeidet, har kringkastingssjef Thor Gjermund Eriksen sagt til Bergen Tidende.

Avisen har på lederplass også gitt uttrykk for at lovforslaget er en snikinnføring av datalagring.

Datatilsynet mener at forslaget gir NSM en «blankofullmakt for innsamling, registrering, lagring, analyse, sammenstilling og utlevering (…) av et uinnskrenket antall datakategorier. Det er vanskelig å forutse omfanget av enkeltindivider som blir berørt, skriver tilsynet i sin høringsuttalelse (pdf).

Ut på tur: Slik øver Forsvaret på digital krig