Beskyttelse av samfunnet 5: Sårbarhet i kritiske IKT-systemer - sluttrapport

BAS5 har vært et samarbeidsprosjekt mellom flere forskningsinstitusjoner, akademia, myndigheter og offentlige og private virksomheter. Prosjektets hovedtema har vært metoder for analyser av samfunnskritiske IKT-systemer. Det er BAS5-prosjektets oppfatning at arbeidet med IKT-sikkerhet blir best dersom det legges strukturerte arbeidsprosesser med klare rammebetingelser til grunn for arbeidet, uavhengig av om arbeidet gjøres på nasjonalt -, sektor- eller virksomhetsnivå. Viktige steg i slike prosesser er å konkretisere hvilket ambisjonsnivå sikkerhetsarbeidet skal ha, spesifisere hva slags roller ulike aktører skal ha og å utvikle gode metoder som kan understøtte arbeidet. BAS5 har i første rekke sett på det siste punktet: å utvikle metoder med relevans for IKT-sikkerhetsarbeidet i Norge. Målgruppen for de utviklede metodene er dels myndigheter som arbeider med nasjonal IKT-sikkerhet, dels virksomheter som eier og drifter samfunnskritiske IKT-systemer. Det metodiske arbeidet i BAS5 har vært gjennomført for å understøtte tre hovedmål i prosjektet: 1. Utvikle og anvende metodikk for identifisering og rangering av kritiske samfunnsfunksjoner og IKT-systemer. 2. Utvikle og anvende metodikk for risikoanalyse av samfunnskritiske IKT-systemer. 3. Utvikle og anvende metodikk for effektivitetsvurderinger av tiltak som kan redusere sårbarheter i IKT-systemer. Knyttet til det første målet har prosjektet utviklet en metodikk og en prosess for identifisering og prioritering. Denne er foreløpig ikke testet ut, men det anbefales at dette gjøres i etterkant av prosjektet. Knyttet til det andre målet har prosjektet utviklet en prosess for risikoanalyser av samfunnskritisk IKT som ivaretar både tilsiktede og ikke-tilsiktede hendelser, et rammeverk som understøtter valg av analysemetoder og en veileder for støtte til personer som skal gjennomføre risikoanalyser. Det tredje målet er i hovedsak koblet til prosjektets doktorgradsarbeid, som foreløpig ikke er avsluttet. De innledende arbeidene er likevel presentert som et vedlegg til denne rapporten. Prosjektet har ikke har foreslått konkrete kostnads- og effektivitetsberegnede tiltak for det nasjonale sikkerhetsarbeidet, men pekt på behovet for nytenkning rundt det offentliges rolle i IKT-sikkerhetsarbeidet. Historisk sett har det ikke vært mangel på forslag til tiltak innen IT-sikkerhetsområdet, men heller manglende rammebetingelser for at tiltak kan utvikles og inngå i en helhetlig og kontinuerlig arbeidsprosess. Et forslag til nødvendige avklaringer og overordnede tiltak er derfor presentert som en del av denne rapporten.