Nye tanker om IKT-sikkerhet kan frigjøre mer stridsevne

Slike hendelser kan være et symptom på feilaktige risikovurderinger. Det kan handle om mangel på forståelse for hva som virkelig skal beskyttes eller fra hvilke trusler. Da kan sikkerhet i verste fall virke mot sin hensikt.

Forsvaret kan i utgangspunktet løse dette mye bedre, gitt at det får de rette verktøyene, fastslår FFI-forskere.

For smalt perspektiv

–  IKT-sikkerhet i Forsvaret har historisk sett vært innrettet mot beskyttelse av graderte data gjennom strenge tekniske krav, men har oversett en annen vesentlig verdi: Forsvarets operative evne, sier sjefsforsker Federico Mancini ved FFI, og fortsetter:

– Når ikke alle relevante verdier tas med i vurderingen, kan risikovurderingene bli feil eller ufullstendig, og da blir ikke sikkerheten «bra nok».

Sammen med kollegaen Monica Endregard har han nå tatt for seg rammene rundt Forsvarets utfordringer på området.

Den nye FFI-rapporten Rammeverk for forsvarlig sikkerhetsnivå for IKT i Forsvaret setter IKTs betydning for operativ evne i sentrum av sikkerhetsarbeidet, og flytter vekten fra tekniske kravlister til risikoforståelse på tvers av organisasjonen.     

Det store gapet

Ikke slik å forstå at en her forkaster alt det som ligger bak dagens sikkerhetsarbeid:

– Sikkerhetsloven fra 2019 er helt grunnleggende. Den krever allerede at virksomheter som er kritiske for nasjonal sikkerhet skal ha det som kalles «et forsvarlig sikkerhetsnivå» som skal være risikodrevet og basert på en funksjonell tilnærming. Problemet er at dette likevel oppleves som utfordrende å få til i praksis for Forsvaret og de andre departementene, sier Mancini.

–  Kritikken har gjerne handlet om gapet mellom lovens intensjon og gjennomføringen. Det er fortsatt den kravbaserte tilnærmingen som prioriteres i praksis. Det mangler både kompetanse og ressurser for å gjennomføre mer risikobaserte vurderinger. Målet med de forslagene vi nå lanserer er å vise en mulig vei videre. Vi ser på hvordan sikkerhetsarbeidet kan bli en mer integrert del av virksomhetsstyringen. Slik kan det virke positivt på måloppnåelsen i Forsvaret.   

Kan bli viktig strategisk verktøy

Forskeren peker på at IKT-sikkerhet kan brukes som et strategisk verktøy:

– Vi mener at forsvarlig sikkerhet skal handle om å ha kontroll på hva som oppfattes som akseptabel risiko til enhver tid, for å kunne få så stor operativ evne som mulig. Vi må få til en sikkerhet som folk tenker er «bra» for brukeren, så bra at de vil bruke systemet. Da blir sikkerheten en muliggjører, ikke et hinder for operativ evne.

Rammeverket som presenteres i rapporten har to hoveddeler. Den ene delen viser hvordan en kan modellere avhengighetene mellom Forsvarets funksjoner og IKT. Den andre handler om å gjøre etterprøvbare vurderinger rundt hva som er viktigst å beskytte og hvordan denne beskyttelsen best kan utformes.

– Den første delen kaller vi funksjonell modellering. Vi bryter ned og modellerer Forsvarets operative funksjoner og de IKT-systemene som støtter dem. Her finner vi sammenhenger som gjør det mulig å kartlegge hva Forsvaret er avhengig av innenfor IKT for å løse oppgavene sine. Dernest kommer framgangsmåten som gjør at risikovurderinger sees på en mer sporbar og helhetlig måte. Poenget er at sikkerhetsløsninger ikke bare bør vurderes ut fra den tekniske risikoen som oppstår rundt et enkelt IKT-system: De må sees i sammenheng med verdien IKT-systemet har for helheten. Vi vil at en skal ta mer hensyn til funksjonene som egentlig skal beskyttes, for eksempel for at en operasjon skal lykkes, enn at systemet skal beskyttes for enhver pris.

Et mineryddingseksempel

Mancini bruker autonome systemer som eksempel:

–  Forsvaret vil gjerne ta i bruk autonome systemer for å øke operativ evne og redusere faren soldatene utsettes for. Et eksempel er mineryddingsfartøy. For å kunne finne flere miner trenger de tilgang til data som i utgangspunktet er gradert. Imidlertid sier sikkerhetskravene at graderte data ikke kan ligge på systemer som er utenfor kontrollerte områder. For at autonome systemer skal gi økt operativ evne er det meningen at de skal kunne vandre fritt, uten vakter som følger dem. Alternativet hadde vært å fjerne de graderte dataene og risikere å ikke finne mange av minene. En risikobasert tilnærming kunne komme fram til at det likevel er akseptabelt å droppe kravet om kontrollerte områder. Det er fordi den økte operative evnen er så viktig i et gitt scenario at vi er villig til å ta risikoen. Slike avveininger er kjernen av et forsvarlig sikkerhetsnivå. Rammeverket vårt skal hjelpe med å identifisere og løse dem. 

Kjente problemer

Forsvarets problemer med IKT og sikkerhet har vært kjent i flere år.

Riksrevisjonens kritikk i oktober 2022 sa åpent hva det handlet om. Rapporten deres pekte på at sårbarheter i IKT-sikkerheten ga risiko for Forsvarets operative evner. Den sa at informasjonssystemene fungerte for dårlig sammen, og at Forsvaret manglet et solid system for sikkerhetsstyring. Riksrevisjonen pekte på at det også ble brukt systemer som ikke tilfredsstilte kravene i sikkerhetsloven. Dessuten manglet det både oversikt over og kunnskap om egne informasjonssystemer, med få begrensninger på antall systemer.

En ny rapport fra Riksrevisjonen i februar i år sier at noe er blitt bedre, men at det fortsatt knytter seg kritiske utfordringer til IKT-sikkerheten.

Moden ramme

Innholdet i den nye rapporten kan bli et viktig bidrag til at mange av problemene blir lettere å løse. Federico Mancini og Monica Endregard oppsummerer at formålet med utviklingen av en strukturert og etterprøvbar metodikk er at Forsvaret skal kunne gjøre mye bedre risikovurderinger med hensyn til IKT-sikkerhet.

Avstanden mellom lovkrav og praksis har preget sektoren, fastslår de. Så hvordan kan det tettes?

– Vi sier at i utgangspunktet at rammeverket er modent. Det nærmer seg et nivå hvor det kan tas i bruk i praksis. Samtidig ser vi på noen kritiske, men overkommelige utfordringer. De krever samordnet innsats på tvers av forsvarssektoren, sier Mancini, og oppsummerer:

– Sikkerhetsloven pålegger alle departementer å identifisere det som kalles GNF-er, altså grunnleggende nasjonale funksjoner innenfor ansvarsområdene sine. Den første utfordringen er mangel på en nedbrytning. En slik gjør det mulig for ansatte i Forsvaret å lett se hvilke funksjoner de støtter i det daglige, og i hvilken grad. Det er helt nødvendig. Slik det er nå, blir alt kritisk for alt. Da er det vanskelig å prioritere, påpeker forskeren.

I rapporten heter det: «Uten en overordnet og koordinert aktivitet er faren at det vil defineres forskjellige funksjoner på alle nivåer, som ikke er konsistente med hverandre».

– Dette må løses for å kunne gjennomføre helhetlige vurderinger.

Like påkrevd er operative scenarioer for krise og krig.

– Disse scenarioene må defineres av dem som er spisskompetente innenfor teknologi, operasjoner og sikkerhet i fellesskap. Arbeidet er nødvendig for at de operative avveiningene skal bli realistiske. For eksempel: Hvilke av Forsvarets funksjoner kreves forut for en alliert flåtestyrke som skal til Norge og hvor mye av disse funksjonene kan vi tape før allierte ikke kan tas imot?

Så langt samordning og scenarioer. Et tredje behov handler om digitale verktøy.

– Den omfattende sammenstillingen av informasjon og utvikling av de store og komplekse modellene som trengs for å bruke rammeverket effektivt, krever digitale verktøy for å kunne være håndterbart. 

Oppsiden

Federico Mancini er sikker på at et etablert rammeverk gir en synlig oppside for Forsvaret:

– Vi går her fra å tenke på sikkerhet som en byråkratisk prosess som lammer systemet, til å se det som en fundamental byggekloss for stridsevnen. Med dette rammeverket kan vi kutte byråkratisk støy og målrette bruk av ressursene der de teller mest. Da sikrer vi at Forsvaret – på alle nivåer – får gjort jobben sin når det virkelig gjelder. Derfor er ikke dette bare et verktøy for IT-sjefen. Det er en metodikk som gir forsvarspersonell både frihet, tillit og operativ slagkraft når de trenger det mest.