Du har nettopp åpnet nye og større lokaler for Norcert og varslet økte midler til NSM. Du advarer selv i taler om at «angrep fra land, sjø og vann får man gjerne varsel om, mens ved cyberangrep er det tilnærmet null varsling». Er trusselbildet så ille som det kan virke som?
– Vi ser stadige forsøk på industrispionasje, og kanskje spesielt at det plantes trojanere til bruk for framtidige operasjoner. Det som også er klart, er at ingen private aktører kommer i nærheten av stater når det gjelder trusselens størrelse. Det jobbes godt på mange nivåer her i landet, men NSMs klare tilbakemelding er at gapet mellom sikkerhetsnivået og trusselbildet likevel øker. Vi har en prisverdig tillitskultur i Norge som kanskje ikke er like velegnet i cyberspace.
Cyberavdelingen på Jørstadmoen er den mest hurtigvoksende avdelingen under ditt departement. Er digitalt forsvar omsider nå en fullverdig våpengren?
– I alle andre hensyn enn det rent formelle, ja. Det siste har litt med tradisjoner å gjøre. Det jeg kan si, er at det som tidligere var samlet under paraplyen Forsvarets informasjonsinfrastruktur (INI) på Jørstadmoen nå er omdøpt til «Cyberforsvaret». Vi har også gjort det klart at cyberspace nå anses som en fullverdig fjerde, militær arena – på linje med land, luft og sjø.
Når kan egentlig Cyberforsvaret eller Norcert beskytte kritiske sivile installasjoner, altså gripe inn og hjelpe til om for eksempel Statoil eller kraftsektoren rammes av et dataangrep? Er det ikke slik at Grunnloven stopper Forsvaret, mens NSM og Norcert må holde seg innenfor sikkerhetsloven?
– Dette er teknisk sett riktig, og jeg har sett problemstillingen vært reist. Samtidig er det en litt skapt problemstilling. Både Forsvaret og Norcert kan med loven i hånd bistå hvem som helst med håndteringen av et dataangrep, om de får en forespørsel først. Bistand fra Forsvaret til sivil sektor er ikke juridisk problematisk i seg selv, eksempelvis soldater som lemper sandsekker ved en flom. Heller enn lovendringer, fokuserer vi på gode kommunikasjonskanaler og rutiner, slik at alle som faktisk vil ha hjelp, vet hvor de skal ringe.
Cyberangrep kjennetegnes ved at det er vanskelig, om ikke umulig, å identifisere avsenderen annet enn med begrunnet gjetning. Samtidig vil en eventuell væpnet konflikt for Norge heretter i praksis alltid starte med et massivt cyberangrep. Hvilken hjelp har vi da egentlig i Nato?
– Norge er et lite land som må forholde seg til statlige trusselaktører med store ressurser. Nato er i så måte en essensiell partner, og har blant annet bygd opp et Centre of excellence i Estland. Men når det gjelder kriteriene for å utløse en Nato-mobilisering, har det utvilsomt vært tunge diskusjoner. Det er liten tvil om at dataangrep kan utløse FN-paktens rett til selvforsvar, og dermed også Nato-involvering.
Vi har etter hvert lest og hørt om en del spektakulære dataangrep. Hvilke dataangrep kunne utløst bruk av Nato-paktens artikkel 5, altså «plukker på én av oss, plukker du på alle»-regelen?
– Som sagt debatteres dette fortsatt intenst. Men Norges offisielle innspill til Nato er at dataangrepet må gå over i den fysiske verden. Konseptet ble for mange introdusert med Stuxnet: At inntrengningen skjer via dataanlegget, men at konsekvensene påvirker liv og helse, eller skaper store ødeleggelser i det fysiske rom. Samtidig trenger det ikke være en artikkel 5-situasjon for å trekke inn Nato ved et dataangrep. Det holder med alminnelig hjemmel i folkeretten, og det blir igjen et spørsmål om hvordan vi skal tolke selvforsvarsretten.
Les også:
Slik knuste nordmennene Stuxnet
AutoCAD-orm stjeler industrielle plantegninger
– Norsk sikkerhet er forverret
Målrettet dataangrep mot Forsvaret
