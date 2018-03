Et stort cyberangrep mot norsk petroleumssektor er tenkelig, og vi er ikke forberedt. Det mener Cybersikkerhetssenteret ved NUPI i den ferske oppsummeringen av prosjektet Cybervåpen i internasjonal politikk.

Petroleumssektoren er enormt viktig for Norge. Den står for nesten halvparten av all eksport og en fjerdedel av statens inntekter, og må kunne kalles en del av kritisk nasjonal infrastruktur i Norge.

De siste årene er det blitt gjennomført en rekke store cyberangrep, der målet kan ha vært destabilisering. Ett eksempel er løsepengeviruset WannaCry, som i 2017 satte store deler av det britiske helsevesenet ut av spill. Et annet er angrepet på elektrisitetsnettet i Ukraina i 2014, eller NotPetya, som symbolsk nok rammet kritisk infrastruktur i Ukraina på selveste grunnlovsdagen. Eller det hemmeligholdte angrepet mot et oljeselskap i desember, ifølge sikkerhetseksperter muligens et iransk cyberangrep rettet mot Saudi-Arabia, der et produksjonsanlegg skal være blitt satt ut av spill.

Norsk petroleumssektor kan bli et mål for slike angrep i fremtiden. Russland er, i likhet med Norge, en stor leverandør av gass til Europa. Skulle konflikten mellom Russland og Vesten tilspisse seg, kan det digitale rom fort bli det første domenet der konflikten utspiller seg. I en slik kontekst kan Russlands konkurrenter i det europeiske markedet – altså norsk petroleumssektor – fort bli rammet. Hvordan et slikt angrep skal møtes, er i dag langt fra avklart.

Problemet er at ansvaret er pulverisert. Private selskaper i norsk petroleumssektor er selv anvarlige for selskapets sikkerhet. Men dersom angrepet blir alvorlig nok, har også staten et ansvar. Sektoransvaret hviler på Olje- og energidepartementet. Men ifølge petroleumsloven ligger ansvaret for sikkerhetstilsyn i oljebransjen under Petroleumstilsynet. Det er underlagt Arbeids- og sosialdepartementet. Som om ikke det var nok, kan det være at deler av petroleumssektoren blir underlagt sikkerhetsloven. Da kommer Nasjonal sikkerhetsmyndighet (NSM) inn i bildet, og dermed både Justisdepartementet og Forsvarsdepartementet.

Noen skritt blir tatt i riktig retning. Sikkerhetsloven, som ble vedtatt denne uken, er et av dem. IKT-sikkerhetsutvalget som ble oppnevnt av regjeringen i september er et annet. Men de løser ikke alt.

Sektorprinsippet fungerer greit så lenge vi snakker om en hendelse innenfor sektoren. Regjeringen må ta et overordnet ansvar for å håndtere hendelser på tvers av sektorer. Det innebærer å ruste seg til kamp, etablere en nasjonal cyberkriseberedskap og øve på å respondere på store cyberangrep – sammen med privat sektor.