Forebyggende sikkerhet og VDI

I Teknisk Ukeblad 17/2004 skriver Joachim Seehusen en kritisk artikkel rettet mot Varslingssystemet for Digital Infrastruktur (VDI). Å sikre Norge mot angrep på teknologisk infrastruktur er en sammensatt oppgave. Det er derfor gledelig at TU setter søkelys på saken, men ikke fullt så gledelig at vesentlige punkter blir misforstått. TU ser seg blind på at noe av informasjonen rundt VDIs virksomhet foreløpig er unndratt offentlighet i stedet for å se på hva VDI faktisk gjør.

VDIs hovedfunksjon er å detektere og varsle om alvorlige dataangrep fra Internett mot kritisk infrastruktur. Målrettede koordinerte angrep kan sette store deler av den kritiske infrastrukturen ut av spill. Slike koordinerte angrep rammer flere aktører samtidig, og kan kun avdekkes ved å sammenholde data fra ulike virksomheter slik det gjøres i VDI. Også globale trusler som ikke er spesielt rettet mot den norske infrastrukturen kan medføre at kritisk infrastruktur ikke kan kommunisere over Internett (eksempler på dette er spredningen av såkalte dataormer som er et voksende og tilbakevendende problem). I stedet for å basere nasjonale trusselvurderinger kun på data fra kommersielle aktører og offentlig tilgjengelig informasjon, har VDI gjennom sine egne innsamlingssystemer mulighet til å bekrefte internasjonale trender samt å detektere koordinerte angrep som rettes spesielt mot Norge.

Medlemskap i VDI er frivillig og basert på at medlemmene selv bestemmer hvorvidt de ønsker offentlighet eller ikke. Enkelte private aktører ønsker å beskytte seg mot den oppmerksomheten deltagelsen i VDI kan medføre. For VDI er det dessuten viktig at komplette oversikter over deltagere ikke blir offentliggjort. Våre medlemmer sender informasjon i sanntid til VDI om angrep mot sine systemer. Disse dataene kan sammenlignes med informasjonen fra sensorer i et klassisk alarmsystem. Å offentliggjøre plasseringen av sensorene og deres virkemåte, eller detaljerte rapporter om detekterte innbruddsforsøk gjør systemet mindre effektivt.

At VDI i følge TU skulle være startet "i all stillhet", leser vi med stor forbauselse. Den første pressemeldingen om etableringen av VDI ble sendt ut 8. desember 2000 fra Justis- og politidepartementet. VDI er videre omtalt i flere stortingsproposisjoner og i Nasjonal strategi for informasjonssikkerhet.

TU gjør et poeng ut av at private virksomheter med spesialkompetanse innen datavirus ikke er invitert til VDI-samarbeidet. Men VDIs oppgave er ikke å detektere virus. Dette løser virksomhetene selv ved sine egne sikkerhetstiltak. For å kunne detektere virus må en overvåke innhold i e-poster. Dette er i strid med den enkelte arbeidstakers rettssikkerhet. Det er derfor viktig å skille mellom virus og dataormer som sprer seg automatisk mellom nettverk. VDIs hovedfunksjon er å overvåke kritisk infrastruktur mot målrettede ondsinnede angrep. Videre er hensikten til VDI å ha oversikt over infrastruktur det norske samfunnet er avhengig av for å kunne varsle medlemmene i samarbeidet. At den enkelte virksomhet har egne sikkerhetsopplegg er derfor ikke noe argument for å insinuere at VDI er en overflødig satsing.

Selve prinsippet bak forebyggende defensiv sikkerhet er å gardere seg mot mulige trusler i fremtiden - å være i forkant. TU antyder at Statens satsning på VDI som forebyggende tiltak er bortkastet bruk av skattepenger. Da kan en fristes til å spørre seg hvilken vinkling TU ville valgt dersom vi hadde fått et angrep der skadene på kritisk infrastruktur ble så omfattende at verdier for mangfoldige millioner samt liv gikk tapt. Vi trenger ikke se lenger enn til strømbruddene i Nord Amerika og Italia for å forstå at det moderne samfunnet er sårbart med hensyn til stadig større avhengighet av teknologi.

Trusselbildet mot Norge er i stadig forandring. I den årlige risikovurderingen fra Nasjonal sikkerhetsmyndighet pekes nettopp datanettverk ut som mål for terror- og sabotasjeaksjoner. VDI er også et verktøy for å utarbeide trusselvurderinger og få en bedre forståelse av den trusselen dataangrep over Internett representerer. I tillegg gir VDI et grunnlag for å vurdere eksisterende sikkerhetsmekanismer og foreslå forbederinger som kan bidra til å redusere sårbarheten i samfunnet.

dr.ing. Christophe Birkeland,

leder av VDI.