Er kravene som vi i Norge i dag stiller til sikring og beskyttelse av ugradert informasjon, tilstrekkelig?
Gårsdagens sak om at en av IT-plattformene til 12 departementer hadde blitt kompromittert, legger grunnlaget for en interessant faglig diskusjon, nemlig:- Hvilke krav stiller vi (i Norge) til ugraderte plattformer som behandler informasjon som er, eller burde være unntatt offentlighet med hjemmel i annet lovverk enn sikkerhetsloven?
Tolv departementer utsatt for dataangrep
Sjeldent eksplisitte krav
Jeg har ingen kjennskap til hendelsen utover det som har fremkommet i media. Hendelsen er kun illustrasjon på en mer generell problemstilling.
Ifølge statsråd Gjelsvik, gjelder det en løsning for departementenes saksbehandling. Det ble understreket at hendelsen er alvorlig. Hvilken informasjon som har blitt kompromittert eller som har kommet på avveie, er ikke offentlig kjent.
I dag skilles det i stor grad på sikkerhetsgodkjente plattformer for behandling av gradert informasjon etter sikkerhetsloven, og ugraderte plattformer. Sistnevnte behandler ofte et svært bredt spekter av informasjon som er, eller skal være unntatt offentlighet, med hjemmel i en rekke ulike lovverk.
Lovverk som ofte er sektorspesifikke, og hvor kravene til sikring av informasjonen sjeldent er eksplisitt fastsatt. Det kan være generelle formuleringer som for eksempel i politiregisterloven.
«For meg fremstår det som at vi i Norge har behov for et mer standardisert løp som er bedre harmonert på tvers av sektorer, knyttet til beskyttelse av ugradert informasjon.»
Må beskytte informasjon bedre
Dette åpner naturligvis for tolkninger, noe som gir mulighet for en risikobasert tilnærming som gir eieren mulighet til å vekte ulike hensyn. Likevel er det slik at:
- Vi (som samfunn) flytter mer informasjon, også sensitiv informasjon, over på digitale plattformer,
- De digitale plattformenes kompleksitet og avhengigheter øker,
- Antallet sårbarheter som avdekkes øker betraktelig
- Flere og mer avanserte trusselaktører opererer aktivt for å utnytte sårbarhetene for å få tilgang til sensitiv informasjon lagret på ugraderte plattformer som er tilgjengelig fra internett.
For meg fremstår det som at vi i Norge har behov for et mer standardisert løp som er bedre harmonert på tvers av sektorer, knyttet til beskyttelse av ugradert informasjon som er, eller burde vært unntatt offentlighet.
Dette trenger ikke, og bør antakeligvis heller ikke være like omfattende som sikkerhetsgodkjenning av systemer for behandling av sikkerhetsgradert informasjon.
Brukte "Zero day" i departements-angrep
Har et forbedringspotensiale
Likevel eksisterer det, etter hva jeg vet, ingen eller få standardiserte "løp" knyttet til utvikling og implementering av plattformer for behandling av informasjon, som etter loven skal beskyttes fordi den er unntatt offentlighet med hjemmel i andre lovverk.
Her har vi et forbedringspotensiale som vi burde utnytte.
Til slutt er det på sin plass å gi litt skryt til DSS, NSM og de øvrige som har vært involvert i hendelseshåndteringen. Den fremstår fra utsiden som profesjonell. En spesiell kudos til den som avdekket trusselaktiviteten og som førte til oppdagelsen av en ukjent Zero-Day exploit.
Deteksjonsevne har bare blitt viktigere i den sårbare og sikkerhetspolitisk ustabile verden som vi i dag lever i.