Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
side 1
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Lovområder og aktører Olav Skundberg
Opphavsrett: Forfatter
Lovområ der og åktører Innhold
1. LÆRINGSUTBYTTER OG PENSUM ..................................................................................................... 1
2. INNLEDNING ............................................................................................................................................. 2
3. LOV OM ELEKTRONISK KOMMUNIKASJON .................................................................................. 2
3.1. NIVÅ 1: SAMFERDSELSDEPARTEMENTET .............................................................................................. 2 3.2. NIVÅ 2: POST- OG TELETILSYNET (PT) ................................................................................................. 3 3.3. NIVÅ 3: NETTVETT ............................................................................................................................... 3
4. LOV OM PERSONVERN .......................................................................................................................... 5
4.1. NIVÅ 1: JUSTIS- OG POLITIDEPARTEMENTET ......................................................................................... 5 4.2. NIVÅ 2: DATATILSYNET ........................................................................................................................ 6 4.3. NIVÅ 3: INTERESSEORGANISASJONER FOR PERSONVERN ...................................................................... 9
5. LOV OM FOREBYGGENDE SIKKERHETSTJENESTE .................................................................... 9
5.1. NIVÅ 1: FORSVARSDEPARTEMENTET .................................................................................................... 9 5.2. NIVÅ 2: NASJONAL SIKKERHETSMYNDIGHET (NSM) .......................................................................... 10 5.3. NIVÅ 2: NASJONALE UTREDNINGER OG STRATEGIER .......................................................................... 10 5.4. NIVÅ 2: NORSIS ................................................................................................................................. 11 5.5. NIVÅ 3: IT-SIKKERHETSFORUM (ISF): ............................................................................................... 12
6. REFERANSER .......................................................................................................................................... 13
1. Læringsutbytter og pensum
Detaljerte læringsutbytter
Kunne beskrive hva som omhandles innen lovområdene for
o elektronisk kommunikasjon
o personvern
o informasjonssikkerhet
Kunne identifisere sentrale aktører innenfor disse lovområdene
Pensum i læreboka
Kap 3 – Lover og forskrifter,
Med spesiell vekt på kap 3.5, 3.6 og 3.8. Ekomloven er ikke omtalt i læreboka
Kap 4.4 – Sikkerhetsrelaterte organer
Med spesiell vekt på 4.4.1, 4.4.2, 4.4.10, 4.4.14
Kap 4.5, 4.6 og 4.7
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 2 av 13
2. Innledning
Lovområder
Informasjonssikkerhet er et stort tema som faller inn under en rekke lovområder, og dermed
er det også en rekke aktører som er involvert i dette. Denne leksjonen har valgt ut tre
lovområder som spesielt relevante:
Elektronisk kommunikasjon (ekom-loven)
Personvern (Personvernloven)
Informasjonssikkerhet (Sikkerhetsloven)
Ansvarsfordeling og myndighet
Vi har en generell treleddet ansvars- og oppgavefordeling i samfunnet som aktørene kan
grupperes etter. Aktørenes betydning avhenger til dels av hvem de fått sitt mandat eller
oppgave fra. Eksempelvis er et direktorat finansiert av departementet, mens en
brukerorganisasjon er finansiert av sine medlemmer.
Nivå 1: Departement som jobber med lover og politiske retningslinjer
Nivå 2: Tilsyn eller direktorater som er satt til å forvalte lovene på vegne av
departementene.
Nivå 3: Interesseorganisasjoner og «sentere» som jobber for fremme av
sikkerhetskunnskap for sine målgrupper.
Målgrupper
Aktørene har ulike målgrupper, som også kan grupperes i en tredeling. Vi kan kategorisere
sikkerhetsbetydningen som
Nasjonale interesser (infrastruktur og statlig virksomhet)
Virksomhetskritisk (daglige aktiviteter)
Enkeltpersoner (personlig utstyr)
3. Lov om elektronisk kommunikasjon
3.1. Nivå 1: Samferdselsdepartementet
Samferdselsdepartemetet har gitt ”Lov om elektronisk kommunikasjon (ekomloven)”:
http://www.lovdata.no/all/nl-20030704-083.html
Loven gir politiske føringer, slik det uttrykkes i lovens formål: Å sikre brukerne i hele landet
gode, rimelige og fremtidsrettede elektroniske kommunikasjonstjenester, gjennom effektiv
bruk av samfunnets ressurser ved å legge til rette for bærekraftig konkurranse, samt stimulere
til næringsutvikling og innovasjon.
Loven bestemmer ansvar og oppgaver i § 1-4. Myndighet etter loven er Kongen,
departementet og Post- og teletilsynet. Videre sier loven hva denne myndigheten har til
oppgave (§ 10-1): Myndigheten skal føre tilsyn med at krav fastsatt i, eller i medhold av,
loven er oppfylt.
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 3 av 13
3.2. Nivå 2: Post- og teletilsynet (PT)
På hjemmesiden http://www.npt.no for PT finner vi at ”PT er underlagt Samferdselsdepartementet
og driver tilsyn med dem som tilbyr post- og teletjenester. Loven gir politiske føringer, slik det
uttrykkes i lovens formål: Å sikre brukerne i hele landet gode, rimelige og fremtidsrettede
elektroniske kommunikasjonstjenester, gjennom effektiv bruk av samfunnets ressurser ved å
legge til rette for bærekraftig konkurranse, samt stimulere til næringsutvikling og
innovasjon. .
PT fører også tilsyn etter esignaturloven med utstedere av kvalifiserte sertifikater (fra 2001).
PT fører tilsyn med sertifikatutstedere etter den frivillige selvdeklarasjonsordningen basert på
kravspesifikasjonen for PKI i offentlig sektor (fra 2005).
PT driver nettstedet www.nettvett.no som gir informasjon, råd og veiledning om sikker bruk av
Internett.
PT deltar i omfattende øvingsvirksomhet for et sikrere samfunn, og har et tett samarbeid blant
annet med Direktoratet for samfunnssikkerhet og beredskap (DSB).
PT har altså en rolle som tilsyn for sikkerhet og beredskap i telekomnettet og gir informasjon
om hvilke plikter tilbyderne har, hva en bruker med samfunnskritisk funksjon er og hvilke
plikter og rettigheter han har. Regulatoriske virkemidler som lover, forskrifter eller
enkeltvedtak er vurdert som nødvendig for å få tilbyderne til å investere i tiltak rettet mot
sikkerhet og beredskap.
I tillegg til å føre tilsyn med sikkerhet i infrastruktur, fører også PT tilsyn med utstedere av
visse typer sertifikater for digital signering og identifisering.
Det siste som trekkes fram er at PT er involvert i å fremme alminnelig brukersikkerhet
gjennom et organ som heter Nettvett. Nettvett.no.
3.3. Nivå 3: Nettvett
PT driver opplysningsvirksomhet gjennom et nettsted som heter Nettvett. På hjemmesiden til
Nettvett http://www.nettvett.no/ finner vi at:
Nettvett.no er et nettsted hvor du finner informasjon, råd og veiledning om sikker bruk av
Internett. Informasjonen er rettet både mot forbrukere og små og mellomstore bedrifter.
Nettvett.no er laget av Post- og teletilsynet på oppdrag fra Samferdselsdepartementet og i
samarbeid med andre myndigheter, IKT-bransjen og representanter for brukerne.
På forsiden av nettvett kan man raskt få et overblikk over hva de gir råd om:
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 4 av 13
Under ”Beskytt datamaskinen” finner man følgende informasjon. Jeg har kopiert inn dette for
å vise hvilket detaljeringsnivå Nettvett holder seg på:
Slik sikrer du datamaskinen din
Lær å sikre datamaskinen mot trusler fra Internett. Det handler om det enkle fra hvordan du
surfer trygt - til det mer kompliserte om hvordan du setter opp en brannmur. For å sikre
datamaskinen din mot uvedkommende, er det viktig at du tar en del forholdsregler.
Nettvett.no gir deg råd og hjelp til bruk av datamaskiner og Internett på en sikker og god
måte.
Antivirus For å sikre seg mot direkte infisering av datamaskinen din er det viktig å ha et forsvarsverk.
Antivirusprogrammer fungerer som en vakt som sjekker alt og alle som kommer inn i
datamaskinen.
Hvis det viser seg at antivirusprogrammet har fått beskjed om at en fil eller program ikke er
sikkert, vil antivirusprogrammet hindre filen eller programmet i å virke og sette det i
karantene. Du vil da kunne gi beskjed til antivirusprogrammet om at filen er sikker og at den
skal slippes gjennom, eller slette den uten at den har fått gjort skade.
Brannmur
Brannmuren fungerer som et stengsel mot Internett. Den hindrer at andre datamaskiner og
programmer får tilgang til din datamaskins programmer. Det er viktig å ikke åpne for mange
porter i brannmuren da det kan gjøre det lettere for uvedkommende å snike seg inn i
datamaskinen din uten at du vet det.
Program og systemoppdatering
Programmene du har på datamaskinen blir gjerne utviklet. Det kan være at det er oppdaget et
sikkerhetshull i programmet eller at det kommer ny funksjonalitet. Mange programmer har
automatisk oppdatering. Det vil si at du får beskjed om at det finnes en oppdatering til
programmet og at du kan laste den ned.
I de tilfellene programvareleverandøren ikke tilbyr automatisk oppdatering, er du selv
ansvarlig for å sjekke etter oppdateringer. Det er viktig å gjøre det med jevne mellomrom.
Kommentar: Det er mange syn på hva som er gode råd til relativt uerfarne brukere. For min
del ville jeg føyd til adferd (sunn fornuft) på listen. Antivirusdatabaser er aldri helt oppdatert,
det utvikles stadig nye virus. Og program/operativsystem er aldri uten sikkerhetshull selv om
du har siste oppdatering. Derfor slipper man ikke unna med uforsiktigheter, man må kunne
vurdere hva slags nettsider man er inne på og hva slags filer man laster ned.
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 5 av 13
4. Lov om personvern
4.1. Nivå 1: Justis- og politidepartementet
Justis- og politidepartementet har laget ”Lov om behandling av personopplysninger
(personopplysningsloven)”: http://www.lovdata.no/all/nl-20000414-031.html. Formålet med
loven er gitt i § 1. Formålet med denne loven er å beskytte den enkelte mot at personvernet
blir krenket gjennom behandling av personopplysninger.
Loven skal bidra til at personopplysninger blir behandlet i samsvar med grunnleggende
personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig
kvalitet på personopplysninger.
Det er i denne loven at datatilsynet får sitt mandat (§ 42): Datatilsynet er et uavhengig
forvaltningsorgan administrativt underordnet Kongen og departementet. Kongen og
departementet kan ikke gi instruks om eller omgjøre Datatilsynets utøving av myndighet i
enkelttilfeller etter loven.
Merk at loven definerer forskjellen på personopplysninger og sensitive personopplysninger.
Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson
Med sensitive personopplysninger menes opplysninger om
rasemessig eller etnisk bakgrunn,
politisk, filosofisk eller religiøs oppfatning
at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling
helseforhold
seksuelle forhold
medlemskap i fagforeninger
Loven stiller krav til hvordan informasjonssikkerhet skal ivaretas. Kjernen i dette er at
sikkerheten skal dokumenteres, slik at Datatilsynet kan vurdere denne. Og også fordi ansatte
skal kunne sette seg inn i hvordan informasjonssikkerheten ivaretas.
§ 13. Informasjonssikkerhet
Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske
tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet,
integritet og tilgjengelighet ved behandling av personopplysninger.
For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og
databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen
skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos
databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og
Personvernnemnda.
Kongen kan gi forskrift om informasjonssikkerhet ved behandling av personopplysninger,
herunder nærmere regler om organisatoriske og tekniske sikkerhetstiltak.
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 6 av 13
Det står altså ikke i selve loven hva som er ”tilfredsstillende informasjonssikkerhet”, noe som
virksomheten må bestemme gjennom sin informasjonssikkerhetspolicy. Derimot står det i
loven at Kongen (myndigheten) kan gi forskrifter og regler om dette. Vi finner forskrifter i
”Personopplysningsforskriften”
http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20001215-1265.html
og videre veiledning og kommentarer til denne fra Datatilsynet:
http://www.datatilsynet.no/upload/Dokumenter/infosik/veiledere/SV100_00.pdf
Vi skal se spesielt på forskrifter om innsyn i e-post i sammenheng med Datatilsynet.
4.2. Nivå 2: Datatilsynet
http://www.datatilsynet.no/
”Datatilsynet er oppretta for å sjå til at personopplysningslova vert fulgt. Formålet med lova
er å verne den einskilde mot krenking av personvernet gjennom bruk av personopplysningar.
Datatilsynet er både tilsyn og ombud. Datatilsynet er eit uavhengig forvaltningsorgan
administrativ underordna Kongen og departementet.”
Hjemmesiden til datatilsynet viser hvilke saker de har befatning med:
Jeg vil spesielt trekke frem spørsmålet om virksomheters rett til innsyn i ansattes e-post og
hva Datatilsynet gir av retningslinjer for dette. Personopplysningsforskriften sier dessuten at
Reglene gjelder så langt de passer for universiteters og høyskolers innsyn i studenters e-
postkasse.
Her er kopiert inn fra Datatilsynet det de sier om e-post, og hvor jeg har markert med gulskrift
spesielt relevant tekst:
Arbeidsgivers rett til innsyn i ansattes e-post . .
Her følger en oppdatert oversikt som i korte trekk viser reglene for innsyn i ansattes e-post og filområder. Reglene trådte i kraft 1. mars 2009. .
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 7 av 13
Bestemmelsene, som ble vedtatt 28. januar 2009, vil inngå som nytt kap. 9 i personopplysningsforskriften.
Bestemmelsene gjelder for innsyn i arbeidstakers e-postkasse mv. Formuleringen omfatter innsyn i eventuelle e-postkasser den ansatte har fått i virksomheten til bruk i sitt arbeide,
men også innsyn i og gjennomsøking av arbeidstakerens personlige område i virksomhetens
datanett og innsyn i annet elektronisk utstyr. Forutsetningen er at det er arbeidsgiver som
eier utstyret, og at arbeidstakeren har fått utlevert utstyret eller tilgang til det for bruk i sitt arbeid.
Bestemmelsene gjelder dermed ikke for innsyn i utstyr som den ansatte selv eier, selv om
dette fra tid til annen benyttes i arbeidet ved virksomheten. Arbeidsgiver vil som hovedregel være avskåret fra innsyn i slikt privateid utstyr.
Bestemmelsene gjelder heller ikke for innsyn i opplysninger som er lagret på fellesområder
eller e-postkasser som er felles for hele virksomheten. Her vil arbeidsgiver ha rett til innsyn uten at særlige vilkår må oppfylles først. De nye bestemmelsene er i hovedprinsippet i tråd med Datatilsynets tidligere praksis for innsyn i e-post.
ARBEIDSGIVERENS RETTIGHETER
Arbeidsgivere har bare rett til å gjennomsøke, åpne eller lese e-post i arbeidstakerens e-
postkasse dersom vilkår satt i § 9-2 (i personopplysningsforskriften /anm) er oppfylt.
Bestemmelsen inneholder flere alternative vilkår, og det er tilstrekkelig at ett av dem er
oppfylt. Bestemmelsene skiller ikke på om innholdet er å anse som privat eller virksomhetsrelatert. Vilkårene er imidlertid utformet slik at det bare unntaksvis vil være anledning til innsyn i private e-poster.
Innsyn skal alltid være saklig begrunnet. Hvis opplysningene lett kan fremskaffes uten innsyn
i e-post, vil kravet til saklig begrunnelse ikke være oppfylt. Prøv derfor å få tak i informasjonen på annen måte før innsyn gjøres. Merk også at det er forskjell på innsyn i
konkrete tilfeller som kan skje dersom vilkårene er oppfylt, og kontinuerlig overvåkning av den ansattes e-postkorrespondanse. Slik kontinuerlig overvåkning er ikke tillatt.
I følgende situasjoner kan innsyn være aktuelt:
* Når det er nødvendig for å ivareta den daglige driften.
Typisk ved arbeidstagerens fravær dersom det er god grunn til å tro at det er kommet
virksomhetsrelaterte meldinger i e-postkassen som arbeidsgiver trenger av driftshensyn.
Tidsaspektet har stor betydning og korte akseptfrister kan begrunne innsyn selv ved kortere fravær.
* Når det er nødvendig for å ivareta andre berettigede interesser ved virksomheten. Målestokken er hva man i alminnelighet anser som legitime hensyn ved en virksomhet. Det
kan for eksempel tenkes at innsyn kan begrunnes med et legitimt behov for å ivareta
virksomhetens rykte.
* Ved begrunnet mistanke om at bruk av e-postkassen medfører grovt brudd på de plikter
som følger av arbeidsforholdet. Pliktbruddet må være grovt. Kravet vil typisk være oppfylt
dersom e-postkassen benyttes til å gjennomføre straffbare forhold, for eksempel at den
ansatte laster ned og/eller videresender bilder av utuktig omgang med barn (barnepornografi) eller til ulovlig fildeling.
* Ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen kan gi grunnlag for oppsigelse eller avskjed. Situasjoner som er nevnt i merknadene er mistanke om at e-posten
benyttes til trakassering av kolleger eller til utsending av spam eller e-post med skadelig innhold.
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 8 av 13
Det er ikke anledning til å avtale innsyn i andre situasjoner enn det som følger av denne
bestemmelsen til arbeidstakerens ugunst. Hva som er til ugunst for arbeidstakeren må
vurderes konkret, men regler som gir arbeidsgiver større adgang til innsyn vil som hovedregel
være til ugunst for arbeidstakeren. Bestemmelsen er imidlertid ikke til hinder for at
arbeidstakeren selv uoppfordret gir arbeidsgiver rett til innsyn, for eksempel ved uventet sykdom.
Når innsyn skal gjennomføres
Arbeidstakeren skal så langt mulig varsles før innsyn og få anledning til å uttale seg før innsyn blir gjennomført! Varselet skal innholde informasjon om
Hvorfor vilkårene for innsyn anses oppfylt
Hvilke rettigheter arbeidstakeren har etter forskriften
Arbeidstakeren skal så langt mulig gis anledning til å være tilstede under innsynet og har rett
til å la seg bistå av tillitsvalgt eller annen representant. Arbeidstageren kan imidlertid fritt avstå fra å være tilstede eller avstå fra å ha noen representant.
Dersom innsyn skjer uten forutgående varsel, for eksempel dersom tidsaspektet tilsier at man
ikke rekker å varsle før innsyn eller den ansatte ikke er mulig å få tak i, skal den ansatte
underrettes i etterkant av innsynet.
Underretningen skal inneholde informasjon om
Hvorfor vilkårene for innsyn anses som oppfylt
Hvilke rettigheter arbeidstakeren har etter forskriften
Hvilken metode som er benyttet ved innsynet
Hvilke e-poster eller andre dokumenter som er åpnet samt
Resultatet av innsynet.
Ved arbeidsforholdets opphør
Det følger av § 9-4 at arbeidstakers e-postkasse skal avsluttes når arbeidsforholdet opphører.
Arbeidsgiver kan imidlertid kreve at arbeidstaker sorterer ut og arkiverer virksomhetsrelatert
e-post før e-postkassen slettes. Innsyn i e-postkassen før avslutning av denne vil eventuelt være begrenset av reglene som er beskrevet over.
Datatilsynet anbefaler
.Ha klare og tydelige retningslinjer om bruk av virksomhetens datasystem. Legg særlig vekt på
tiltak som kan hindre behovet for innsyn. Dette kan for eksempel være bruk av såkalt
fraværsassistent ved planlagt fravær. Videre må det tydelig gå frem om det skal være tillatt å benytte den personlige e-post adressen til privat bruk.
Dersom virksomheten tillater privat bruk, må man være konkret. Unngå uklare ord og fraser i
beskrivelsen av omfang, som for eksempel at ”rimelig privat bruk” og ”begrenset privat bruk”
er tillatt.
Definer hva som anses som et grovt brudd som kan føre til e-postinnsyn i virksomheten.
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 9 av 13
Definer når det kan bli aktuelt med innsyn i e-post, hvem som kan beslutte at innsyn skal skje, og hvilken fremgangsmåte man vil benytte i slike tilfeller.
Lag egne e-postadresser til tillitsvalgte som kan benyttes i deres tillitsverv.
RÅD TIL ARBEIDSTAKERE - RETTIGHETER
Begrens de private aktivitetene på arbeidsgivers datasystem. Datasystemet er ment for å
utføre arbeidsoppgaver. Prøv å unngå korrespondanse som ikke er jobbrelatert via e-posten på jobben.
Krev klare og tydelige retningslinjer for hva som er akseptabel/uakseptabel bruk av jobbens
datasystem, og om det er lov å bruke det til private gjøremål. Merk e-poster som er private
med ”privat” i emnelinjen og/eller lagre disse i et mappesystem som tydelig viser at innholdet er privat.
Husk at alt du foretar deg både på Internett og med e-postsystemet vil kunne spores tilbake til deg.
Så langt det er mulig, skal du varsles før innsyn eventuelt foretas. Du har krav på informasjon
om saken. Dette skal naturlig inneholde dokumentasjon for hvorfor det ble foretatt innsyn,
hvordan innsynet ble foretatt, hvilke e-poster eller andre dokumenter som ble åpnet og hva
man fant under innsynet.
4.3. Nivå 3: Interesseorganisasjoner for personvern
Digitalt personvern
• Opprettet august 2011 som respons på at Stortinget vedtok implementering av
DLD (Datalagringsdirektivet)
• http://www.digitaltpersonvern.no
Elektronisk Forpost Norge (EFN)
• EFN er en elektronisk borgerrettsorganisasjon - en rettighetsorganisasjon for
ALLES rettigheter - som jobber med medborgerskap og juridiske rettigheter i
IT-samfunnet.
• http://efn.no
5. Lov om forebyggende sikkerhetstjeneste
5.1. Nivå 1: Forsvarsdepartementet
Sikkerhetsloven trådte i kraft juli 2001 og sorterer under Forsvarsdepartementet. Formålet
med loven er å:
Motvirke trusler mot rikets sikkerhet
Ivaretas den enkeltes rettssikkerhet
Kontroll med forebyggende sikkerhetstjeneste
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 10 av 13
Denne loven etablerer Nasjonal Sikkerhetsmyndighet (NSM) med ansvar for å koordinere
forebyggende sikkerhetstiltak og kontrollere sikkerhetstilstanden.
5.2. Nivå 2: Nasjonal sikkerhetsmyndighet (NSM)
https://www.nsm.stat.no/
NSM skal holde Forsvarsdepartementet og Justisdepartementet orientert om
trygghetstilstanden i militær og sivil sektor. NSM er et direktorat underlagt
Forsvarsdepartementet.
Sett i forhold til IKT og sikkerhet så kan man merke seg at NSM står bak
SERTIT - sertifisering av IT-produkter
NorCERT - Norges nasjonale senter for håndtering av alvorlige dataangrep mot
samfunnskritisk infrastruktur og informasjon.
Årlig NSM sikkerhetskonferanse
Månedsrapport med en forenklet oppsummering av risikoen for alvorlige dataangrep
mot kritisk digital infrastruktur i Norge.
Fra månedsrapporten for august 2010 kan man lese i oppsummeringen, som her er vist for å få
et bilde av nivået de opererer på:
”Pulsen har vært forhøyet i nesten 2 uker. Den ble senket noen dager etter at lnk-sårbarheten på Microsoft Windows som blant annet Stuxnet brukte for spredning, ble patchet. Adobe kom med out-of-cycle oppdatering i uke 33 som dekker kritiske sårbarheter, deriblant en sårbarhet som ble presentert på BlackHat. Denne måneden hadde Microsoft tidenes største patchetirsdag. De sendte ut sikkerhetsoppdateringer for 31 sårbarheter hvorav 16 var definert som kritiske. I tillegg har det dukket opp en ny angrepsvektor på Microsoft Windows som omtales som "DLL load Hijacking". En midlertidig løsning for dette ble lansert siste uke i august. Denne perioden har som tidligere perioder vært preget av mye håndtering, koordinering og analyse i forbindelse med målrettede trojanere rettet mot NorCERT medlemmer og partnere. Av rutinesaker er det fortsatt mange phishing-saker, malware og infiserte maskiner som blir rapportert om til internettleverandørene. I august har Stuxnet fortsatt vært et viktig tema. NorCERTs avdelingsdirektør Christophe Birkeland har uttalt seg om Stuxnet i Aftenposten og på NRK Dagsrevyen. Stuxnet ble varslet av NorCERT til deltagere og andre potensielle brukere av SCADA-systemer i juli.”
5.3. Nivå 2: Nasjonale utredninger og strategier
Departementene kan iverksette utredninger av saker med samfunnsmessig interesse. Et slikt
område er nasjonal sikkerhet i IKT infrastruktur. Vi skal nå se forhistorien til etablering av
NorSIS og satsing på IKT-sertifisering. Det startet med utredningen ”Et sårbart samfunn” og
ble fulgt opp i ”Nasjonal strategi for informasjonssikkerhet”.
Justisdepartementet iverksatte en utredning som het ”Et sårbart samfunn”. Utredningen ble
lagt frem som Norges Offentlige Utredninger (NOU) nr 24 i år 2000, og betegnes derfor som
NOU 2000:24.
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 11 av 13
Et av de foreslåtte tiltakene i denne utredningen var å etablere et nasjonalt
sikkerhetssenter SIS. Senteret var i prøveperioden et samarbeidsprosjekt mellom
SINTEF og UNINETT og lokalisert i Trondheim.
Et annet av de foreslåtte tiltakene var å styrke IKT-tilsyn og sertifiseringsordninger,
dette handler om kvalitetssikring gjennom prosedyrebeskrivelser.
(Det kan i parentes bemerkes at utredningen også foreslår at IKT-sikkerhet etableres som eget
fag ved høgskoler og universitet. Sånn sett er dette faget i tråd med utredningens tilrådinger.)
Forsvars-, Nærings- og Justisdepartementet la så fram strategien ”Nasjonal strategi for
informasjonssikkerhet” i juni 2003.
Denne strategien sa at SIS skulle evalueres etter prøveperioden og vurderes for permanent
etablering (kap 6-III, side 21): Forsøksprosjektet Senter for informasjonssikring skal evalueres innen utgangen av 2004 og et forslag til en evt. permanent ordning fremmes. Senterets hovedoppgaver er å fremskaffe et helhetlig bilde av truslene mot norske IKT-systemer, formidle informasjon, kompetanse og kunnskap om trusler og mottiltak samt ivareta kontakt og samarbeid med tilsvarende organisasjoner i andre land. Det skal stimuleres til at flest mulig virksomheter, offentlige som private, innrapporterer sikkerhetshendelser til senteret i forsøksperioden.
Strategien forslo også at man skal satse på sertifisering av IT-sikkerhet (kap 6-IX, side 24): Etablerte sertifiseringsordninger for IT-sikkerhets implementering i organisasjoner (BS7799-ordningen under Norsk Akkreditering) og for IT-sikkerhet i produkter og systemer (SERTIT i Nasjonal sikkerhetsmyndighet) bør tas bredere i bruk av norske virksomheter.
5.4. Nivå 2: NorSIS
http://www.norsis.no/
Etter prøveperioden i Trondheim ble senteret permanent etablert som Nasjonalt senter for
informasjonssikring (NorSIS) i 01.01.2006 og plassert i Gjøvik.
Aktivitetene til NorSIS, og spesielt i tilknytning til informasjonssikkerhet i virksomheter, er
tema for neste leksjon, men på deres hjemmeside kan man lese:
”Norsk senter for informasjonssikring (NorSIS) er en del av regjeringens helhetlig satsing
på informasjonssikkerhet i Norge. NorSIS jobber for at informasjonssikkerhet skal bli
en naturlig del av hverdagen, gjennom å:
Bevisstgjøre om trusler og sårbarheter
Opplyse om konkrete tiltak gjennom nyheter, råd og veiledninger
Påvirke til gode holdninger innen informasjonssikkerhet
Målgruppen er norske virksomheter i privat og offentlig sektor, og NorSIS skal så langt som
mulig også imøtekomme innbyggernes behov. Alle samfunnsgrupper skal kunne dra nytte av
våre tjenester. NorSIS er faglig underlagt Fornyings-, administrasjons- og
kirkedepartementet.”
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 12 av 13
5.5. Nivå 3: IT-SikkerhetsForum (ISF):
http://www.isf.no/
I motsetning til Nettvett og NorSIS, som er drevet og bekostet av det offentlige, er ISF en
interesseorganisasjon som bekostes av medlemmene. Stikkordet er nettverksbygging.
”ISF er en ideell organisasjon som skal arbeide med informasjonssikkerhet for medlemmene.
Medlemmene er organisasjoner innen så vel offentlig forvaltning som privat næringsliv og
felles for oss alle er interessen for informasjonssikkerhet. Målet er å samarbeide i prosjekter -
basert på medlemmenes kompetanse og erfaringer - for å belyse og avklare trusler og
sårbarheter for den enkelte organisasjon. I tillegg vil medlemmene opparbeide et nyttig
kontaktnett hvor de kan ta del i og samarbeide med andre i sikkerhetsarbeidet.”
Avdeling for informatikk og e-læring, Høgskolen i Sør-Trøndelag
Informasjonssikkerhet
side 13 av 13
6. Referanser Sortert i den rekkefølgen de dukker opp i leksjonen:
Ekomloven
http://www.lovdata.no/all/nl-20030704-083.html
Post- og teletilsynet (PT)
http://www.npt.no
Nettvett
http://www.nettvett.no/
Personopplysningsloven
http://www.lovdata.no/all/nl-20000414-031.html.
Personopplysningsforskriften
http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20001215-1265.html
Personopplysningsforskriften, veiledning og kommentarer fra Datatilsynet:
http://www.datatilsynet.no/upload/Dokumenter/infosik/veiledere/SV100_00.pdf
Datatilsynet
http://www.datatilsynet.no/
Et sårbart samfunn
http://www.regjeringen.no/nb/dep/jd/dok/NOUer/2000/NOU-2000-24.html?id=143248
Nasjonal strategi for informasjonssikkerhet:
http://www.regjeringen.no/upload/kilde/mod/red/2000/0002/ddd/pdfv/249054-
nasjonal_strategi_for_informasjonssikkerhet.pdf
NorSIS
http://www.norsis.no/
Norsk Akkreditering
http://www.akkreditert.no/no/
SERTIT
http://sertit.no/
Nasjonal sikkerhetsmyndighet (NSM)
https://www.nsm.stat.no/
Månedsrapport fra NSM
https://www.nsm.stat.no/Arbeidsomrader/Internettsikkerhet-NorCERT/Internettsikkerhet---
NorCERT/Manedsrapport/
ISF (IT sikkerhetsforum)
http://www.isf.no/