For nøyaktig ett år siden ble vi utsatt for det første kjente cyberangrepet på Norge. En ukjent aktør tok over datasystemet til Nobelinstituttet og brukte det til å få adgang til datamaskinen til nesten alle som besøkte instituttets hjemmeside i trolig 22 timer. Cyberangrepet fikk mye oppmerksomhet i media, nasjonalt og internasjonalt, men har siden blitt glemt i offentligheten. Det virker det som politikerne har gjort også.
Forsmak
Angrepet 25. oktober var alvorlig, men likevel kun en forsmak på hvor sårbart det norske samfunnet er gjennom cyberspace. I fagmiljøer, både i Norge og utlandet, er man meget bekymret for sårbarheten til kritisk infrastruktur. Skrekkscenarioet er at noen skal hacke seg inn på datasystemene til kraftverk og slå av strømmen i større områder. Da kan sykehus, banker og rensingsanlegg stoppe opp.
Om dette lar seg gjøre i stor skala er uklart, men utviklingen innen cybersikkerhet går feil vei. Truslene vokser i antall og kompleksitet, samtidig som vi blir mer avhengig av cyberspace og dermed mer sårbare for angrep.
Den alarmerende utviklinger på området burde fått norske myndigheter til å satse friskt på cybersikkerhet, men dessverre har prosessen rundt opprettelsen av en nasjonal strategi for cybersikkerhet nærmest stoppet opp.
Kraftig motstand
I 2009 fikk Nasjonal Sikkerhetsmyndighet (NSM) i oppdrag å levere et forslag til en norsk cyberstrategi. Den ble levert desember samme år med mål om å kartlegge utfordringer innen cybersikkerhet og definere myndighetenes langsiktige strategi. I tillegg foreslo den opprettelsen av et nasjonalt cybersenter. Deler av notatet møtte til dels kraftig motstand i høringsrunden og spesielt Forsvaret reagerte prinsipielt mot forslaget om å legge cybersenteret, med alle dets foreslåtte oppgaver, under NSM.
Uenigheten var så stor mellom aktørene at strateginotatet ble lagt dødt. Istedenfor ble det besluttet at deler av strategien skulle bakes inn i de nye retningslinjene for informasjonssikkerhet.
Prinsipielt sett er det problematisk at man utarbeider retningslinjer uten en klar strategi—normalt sett flyter førstnevnte ut av sistnevnte—men enda verre er det at de gamle retningslinjene utløp ved nyttår. Inntil videre gjelder de gamle, som ble utarbeidet i 2007. Dermed har Norge per dags dato verken en strategi eller oppdaterte retningslinjer for cybersikkerhet.
Krangler fremdeles
Målet er at de nye retningslinjene skal være klare 1. januar 2012, men lite tyder på at den fristen blir overholdt. Fremdeles krangler fire departementer om hvordan cybersikkerhet skal håndteres, og dette er dessverre indikativt på et større politisk problem: en mangel på lederskap. Istedenfor å ta klar styring over et område med stadig viktigere samfunnsmessig betydning har regjeringen latt departementer og etater havne i en skikkelig ”turf fight.”
Ettårsjubileet til angrepet på Nobelinstituttet er en betimelig påminnelse på at geografi betyr lite i cyberspace. Det er kun mulig med sterkt lederskap fra øverste politiske hold.
Illustrasjonfoto.
Mest kommentert siste døgn