Forsvarlig sikkerhetsnivå for Forsvarets bruk av IKT – en innledende studie

Forsvarets IKT-strategi presiserer at informasjons- og kommunikasjonsteknologi (IKT) er en kritisk faktor for at Forsvaret skal kunne løse sine oppgaver i krig, krise og fred, og uunnværlig for at Forsvaret skal kunne gjennomføre sine operasjoner på en effektiv og sikker måte. IKT-sikkerhet er derfor avgjørende for å sikre at Forsvarets IKT-systemer er tilgjengelige, til å stole på og at sensitiv informasjon beskyttes mot uautorisert tilgang eller tap. Formålet med denne rapporten er å støtte Forsvaret og Forsvarsstaben innenfor styring av risiko og sikkerhet på IKT-området.

Utgangspunktet for rapporten er at det ikke er etablert tilnærminger for hvordan Forsvaret kan utføre funksjons- og risikobaserte vurderinger for bruk av IKT som grunnlag for kontinuerlig å opprettholde et forsvarlig sikkerhetsnivå, slik sikkerhetsloven krever. Funksjonsbegrepet er sentralt. Vi velger å benytte begrepet IKT-baserte funksjoner som et samlebegrep for både IKT-tjenester, informasjonssystemer og IKT-infrastruktur. En IKT-basert funksjon inkluderer menneskelige, teknologiske og organisatoriske ressurser. Rapporten presenterer et forslag til et rammeverk for forsvarlig sikkerhetsnivå for Forsvarets bruk av IKT. Rammeverket søker å etablere sammenheng mellom overordnede nasjonale sikkerhets-interesser og gjennomføring av militære operasjoner, til risiko og sikkerhet på teknisk nivå. Det har en klar top-down tilnærming, der verdien av IKT-baserte funksjoner, sikkerhet og risiko er knyttet til hva funksjonene brukes til og hvordan de bidrar til nasjonale sikkerhetsinteresser, i tråd med sikkerhetslovens systematikk. Det legges også til grunn at detaljert kunnskap om militære operasjoner og innsikt i systemer og teknologier er nødvendig, det vil si en bottom-up tilnærming.

Rammeverket har tre deler. Den første delen er et verdihierarki for nasjonal sikkerhet for forsvarssektoren. Nasjonale sikkerhetsinteresser, og grunnleggende nasjonale funksjoner med underfunksjoner, skal ligge til grunn for å vurdere risiko og oppnå et forsvarlig sikkerhetsnivå. Bruken av IKT i Forsvaret må vurderes i en operativ kontekst. Det viktige er funksjonaliteten som IKT utgjør for Forsvaret i ulike situasjoner. Det vil si hvilke operative evner IKT-baserte funksjoner bidrar til, både direkte og indirekte. Vi har brukt et forenklet eksempel for å utvikle og illustrere tilnærmingen. Å innhente og systematisere informasjon om operativ kontekst utgjør andre trinn, informasjonsfremkalling, i rammeverket. Siste del av rammeverket ser på hvordan det kan etableres et forsvarlig sikkerhetsnivå basert på en funksjons- og risikobasert vurdering for operativ bruk av IKT-baserte funksjoner for å oppnå militær effekt.

Vi anbefaler at slike vurderinger utføres ved å kombinere metoder og fremgangsmåter, og at risiko- og sikkerhetsstyring bør være en kontinuerlig prosess. En system-teoretisk tilnærming til risiko og sikkerhet kan være nyttig, og FFI anbefaler å utforske dette i videre arbeid. Før rammeverket kan anbefales tatt i bruk, er det behov for å teste og foredle rammeverket gjennom praktiske, relevante anvendelser.