Sikkerhet og sårbarhet i elektroniske samfunnsinfrastrukturer : refleksjoner rundt regulering og tiltak

Rapporten tar utgangspunkt i arbeidet med en serie med analyser og studier som i hovedsak er gjennomført i BAS-prosjektserien på FFI. Arbeidet har i stor grad vært rettet inn mot å identifisere og analysere tiltak for å møte trusler mot samfunnets viktigste infrastrukturer, som telekommunikasjon, kraftforsyning og transport. Viktige utfordringer i disse arbeidene har vært å vurdere hvor sårbare ulike IKT-infrastrukturer i samfunnet er overfor ulike typer påkjenninger, og hvilke tiltak som er relevante for å øke sikkerheten og robustheten i dem. Etter at disse prosjektene har levert sine resultater har det imidlertid vært stort fokus på de foreslåtte tiltakene som har vært lagt frem. Det har i langt mindre grad vært fokus og interesse for de bakenforliggende analysemetodene og prosessene som ble benyttet for å komme frem til tiltakene. Dette er et forhold som vi mener er uheldig. Særlig innenfor området sikkerhet innen IKT-infrastruktur skjer utviklingen så raskt at holdbarheten av slike anbefalinger er svært kort. I rapportens første del skisseres en del forhold og utviklingstrekk rundt regulering av sikkerhet og robusthet i EKOM- og IKT-systemer de senere årene. Deretter beskrives en del utfordringer i forhold til sikkerhet og beredskap i en nasjonal kontekst. Her legges det vekt på sikkerhetspolitiske, markedsmessige og teknologiske utviklingstrekk de siste ti årene. Avslutningsvis drøftes myndighetenes mulige rolle innen IKT- og EKOM-sikkerhet. Med dette utgangspunktet gis i rapportens siste del et innspill til innretning for et regime innen sikkerhet og sårbarhet i elektroniske infrastrukturer. Her beskrives en prosess med tre hovedpunkter som på tvers av sektorer og ansvarsområder kan gi nødvendig helhet og konsistens ved utvikling av strategier og tiltak. Hovedpunktene i prosessen er: 1. Det avklares hvilke utfordringer og trusselbilde sikkerhetsarbeidet skal rettes mot – hva er egentlig utfordringene for arbeidet med nasjonal IKT-sikkerhet? 2. Det bestemmes klare ambisjonsnivåer og målsettinger – hvor vil vi konkret med sikkerhetsarbeidet? 3. Det identifiseres hvilke virkemidler som basert på relevans og realisme kan bidra til å oppfylle målsettingen, og det måles hvilken effekt og kostnad disse har. Det er sentralt at denne prosessen inneholder egenskaper for å gi sporbarhet av de beslutninger som tas. Som innledning til dette gis en kort vurdering av forhold rundt sikkerhet og beredskap innen EKOM-sektoren etter at BAS2-prosjektt la frem sine forslag i 1999.