Den 17. februar 2022, én uke før den russiske invasjonen, vedtok Verkhovna Rada, Ukrainas nasjonalforsamling, lov om skytjenester som åpnet for bruk av offentlig sky for ukrainske myndigheter og operatører av kritisk informasjonsinfrastruktur. Tidspunktet var selvsagt ikke tilfeldig. Ukrainas regjering visste, basert på egen og utenlandsk etterretning, at de veldig snart ville bli invadert av sin aggressive russiske nabo. Uten å sikre kritiske informasjonssystemer igjennom å tillate bruk av offentlig skyplattformer, ville samfunns- og statssikkerheten være i alvorlig fare.
I kjølvannet av den russiske invasjonen, som utløste Sveriges og Finlands inntreden i NATO, har det norske forsvaret i større grad begynt å tenke og agere nordisk i sin militære planlegging. Dette er blant annet mulig fordi NATO har et velfungerende system for sikkerhetsklarering av militært personell over landegrensene. Men, forsvaret av Norge skal som kjent ikke gjøres bare av Forsvaret, men av Totalforsvaret. I langtidsplan for forsvarssektoren står dette omtalt:
Regjeringen ser et klart behov for at Norge har en størst mulig grad av felles tilnærming med våre nordiske allierte til sivil støtte til militære styrker. På militær side er det allerede innledet et tett samarbeid. Det forutsettes imidlertid også tett samarbeid og avklaringer direkte mellom sivile sektorer i de tre landene. Det pågår allerede et beredskapssamarbeid mellom enkelte sivile sektorer og aktører og motparter i nordiske land. Eksempelvis er det inngått avtaler om krisehandel og forsyningssamarbeid mellom Norge, Finland og Sverige. Regjeringen ser behov for ytterligere å styrke Norges sivile beredskapssamarbeid med Finland og Sverige for å støtte opp under kollektiv evne til å yte effektiv sivil støtte til militære styrker i krig.
Tilsvarende formuleringer finner vi i en rekke sentrale dokumenter produsert av norske myndigheter de senere årene, eksempelvis Nasjonal Sikkerhetsstrategi og Totalberedskapsmeldingen.
Men hvordan står det egentlig til med sivil sektors evne til å samarbeide om kritisk infrastruktur over landegrensene?
Nordisk sikkerhetsavtale
I 2010 inngikk alle de fem nordiske landene en Generell sikkerhetsavtale om gjensidig beskyttelse og utveksling av gradert informasjon mellom Danmark, Finland, Island, Norge og Sverige[1]. Avtalens formål er å beskytte informasjon som kan skade nasjonale sikkerhetsinteresser utenfor eget lands grenser. Den innebærer at norsk gradert informasjon skal behandles på samme måte som gradert informasjon på samme graderingsnivå i et annet nordisk land, og vice versa.
En liten digresjon, som det muligens er verdt å reflektere over, er at det året avtalen ble inngått så var det ganske fredelig i Europa selv om NATO var i krig i Afghanistan, ca. 80% av all handel i Norge var basert på bruk av kontanter, den vanligste formen for bredbånd var ADSL med 2 til 8 Mb/s hastighet, og Microsoft Azure skyplattform var nettopp lansert. Vi hadde med andre ord dagens svært urolige geopolitiske og sikkerhetspolitiske situasjon, akselererende teknologiske mulighetsrom, og globale digitale avhengighet foran oss.
Uansett, selve avtalen betyr at en norsk sivil virksomhet via NSM i Norge kan anmode om bekreftelse på at eksempelvis en finsk statsborger er sikkerhetsklarert, eventuelt at en slik sikkerhetsklarering igangsettes (Personnel Security Clearance (PSC)). Når NSM mottar en slik bekreftelse fra sin nordiske motpart, så kan virksomheten autorisere personen for å behandle skjermingsverdig informasjon underlagt norsk sikkerhetslov. Videre så kan det anmodes om at lokaler i utlandet tilhørende en leverandør eller søsterselskap hvor skjermingsverdig informasjon under norsk sikkerhetslov skal behandles, godkjennes for formålet (Facility Security Clearance (FSC)). Når dette er gjennomført så gjelder loven i det angjeldende nordiske landet for beskyttelse av informasjon for det gitte graderingsnivået.
Og er ikke da problemet løst? Nei, det er tre utfordringer som gjør at denne avtalen ikke er tilstrekkelig eller fungerer i praksis.
1) Grunnleggende Nasjonale Funksjoner (GNFer) er en særnorsk ordning
Norske myndigheter har som ledd i implementeringen av norsk sikkerhetslov av 2018 hatt tett dialog med eierne av nasjonal kritisk infrastruktur for å identifisere hvilke grunnleggende nasjonale funksjoner (GNF) denne infrastrukturen produserer som har avgjørende betydning for nasjonale sikkerhetsinteresser. Disse skjermingsverdige verdiene kan eksempelvis være en teknisk lokasjon, en datasenterplattform, et IT-system, eller en tjenesteproduserende node. Samtlige verdier som er klassifisert Viktig, Kritisk eller Meget Kritisk er underlagt særskilte beskyttelseskrav.
Men, det sinnrike systemet for grunnleggende nasjonale funksjoner finnes ikke i de andre nordiske landene. Det betyr at for to tilsynelatende helt like sivile virksomheter som har kritisk infrastruktur underlagt nasjonal sikkerhetslov i henholdsvis Norge og Danmark, så vil det norske selskapet ha tydelig definerte GNFer og utpekte verdier knyttet til disse, mens det danske selskapet ikke vil ha det. Det betyr ikke nødvendigvis at det danske selskapet ikke kan være underlagt like streng nasjonal sikkerhetsregulering som det norske. Men, i praksis så ser vi at det er mindre streng regulering av ekomsektoren i våre nordiske naboland.
I Finland så er det slik at ekomtilbyder selv vurderer hva som er kritiske objekter, identifiserer hvilke nøkkelroller som skal ha tilgang eller adgang til disse objektene, og deretter anmoder finske sikkerhetsmyndigheter om sikkerhetsklarering av de konkrete personene som bekler disse rollene. Denne praksisen er hjemlet i finsk sikkerhetslov. Tilsvarende ordning finnes i Danmark. I Sverige er systemet for ekomtilbyderne ganske annerledes, og hvor de mest restriktive kravene ikke er del av sikkerhetslovgivningen, men er krav tilbyderne måtte forplikte seg til for å få lisens til å bygge 5G-nett. Videre gir svensk lov tilbydere en mulighet til å säkerhetspröva eget personell dersom de jobber infrastruktur innenfor en gitt skyddsklass, men hvor sikkerhetsklareringen er knyttet til stillingen og ikke personen.
Konsekvensen av forskjellene er etter vår erfaring at 1) det er ganske få kritiske objekter som er identifisert hos våre nordiske søsterselskaper, og dermed relativt få personer som er pålagt å ha sikkerhetsklarering, og 2) informasjon om disse kritiske objektene blir i liten grad vurdert som skjermingsverdig.
Sistnevnte betyr ikke at virksomheter i de andre nordiske landene har en uaktsom eller uansvarlig spredning av slik informasjon. Men, fordi informasjonen om disse objektene ikke er regulert under våre søsterselskapers nasjonale sikkerhetslovgivning, så følger den selskapenes interne regler for behandling av forretningssensitiv informasjon.
Denne manglende symmetrien gjør at det primært vil være naturlig for norske virksomheter med GNFer å anmode NSM om PSC og FSC for å sikre sin skjermingsverdige informasjon hos nordiske partnere, mens tilsvarende nordiske virksomheter ikke nødvendigvis har hjemmelsgrunnlag til eller ser behovet for å gjøre det samme. Videre betyr det også at slike nordiske virksomheter i liten grad har kultur, prosesser eller systemer for å beskytte denne typen informasjon i tråd med lovkravene som følger av graderingsnivåene informasjonen har i Norge.
Det er muligens unødvendig å påpeke, men å forsøke å navigere på tvers av disse jurisdiksjonene krever både dyp innsikt både i nasjonalt lovverk og i nordisk lovverk, noe de færreste virksomheter eller – min påstand – nordiske sikkerhetsmyndigheter har.
2) Klareringsnivåene er til dels forskjellige
Den nevnte nordiske sikkerhetsavtalen beskriver hvilke klareringsnivåer i de ulike landene som skal anses som likeverdige. Men, det er allikevel noen interessante avvik og forskjeller.
Norge har etablert to særskilte klareringsnivåer for Adgangsklarering (AK) og Utvidet Adgangsklarering (UAK), som ikke er inkludert i den nordiske avtalen. Disse klareringsnivåene benyttes dersom personell kun skal ha tilgang eller adgang til et skjermingsverdig objekt. Dersom man eksempelvis har behov for å gi en ansatt i en svensk virksomhet fjernaksess til et norsk IT-system som krever UAK så er altså ikke dette noe avtalen regulerer. Da kreves det enten at personen sikkerhetsklarereres under norsk sikkerhetslov, dersom det lar seg gjøre gitt kravet i sikkerhetsloven om tilknytning til Norge, eller at man «overklarerer» personen til KONFIDENSIELT i hjemlandet. Sistnevnte har vi ikke hjemmelsgrunnlag til å gjøre per i dag, selv om vi er kjent med at myndighetene jobber med å finne en løsning.
Graderingsnivået BEGRENSET krever ikke sikkerhetsklarering, kun formell autorisasjon hos eier av den skjermingsverdige verdien, og omfattes derfor heller ikke av PSC-ordningen. Dette er imidlertid et nivå som er i utstrakt bruk for å beskytte skjermingsverdige verdier for norske virksomheter.
Det er også slik at svenskenes graderingsnivåer KONFIDENSIELT og BEGRENSET for sivile virksomheter ikke er omfattet av avtalen.
Forskjellene i de nasjonale systemene og begrensningen i PSC-ordningen gjør at kun en liten andel av infrastruktureiernes reelle behov for grenseoverskridende personkontroll dekkes.
3) Autonomikravene er forskjellige
I ekomforskriften §2-9 omhandlende nasjonal autonomi står det:
Nasjonal kommunikasjonsmyndighet kan i krise- og beredskapssituasjon pålegge tilbyder å utføre drift og vedlikehold av tjenestetilbudet med personell og tekniske løsninger som er lokalisert på norsk territorium.
De andre nordiske landene har tenkt ganske likt rundt autonomi. Sverige har som del av de nevnte 5G-lisenskravene innført den mest restriktive praksisen, hvor all kritisk infrastruktur og nødvendig personell må forefinnes på svensk jord også i fredstid. Finnene har en like streng praksis hvor infrastrukturen og driftspersonell må være på finsk territorium til enhver tid, mens eksperthjelp kan fås fra utlandet for tyngre vedlikehold eller ny funksjonalitet. Danmark har en lovgivning som er mer lik den norske ved at autonomikravene kan utløses i krise eller krig.
Men, hva skal en norsk infrastruktureier gjøre dersom leverandørens kompetanse til analyse og retting av komplekse feil, vedlikehold av komplekse anlegg, eller leveranse av helt nødvendige nye funksjoner befinner seg utenfor norsk territorium, i verste fall i land Norge ikke har en sikkerhetsavtale med? Det finnes nødverge paragrafer som kan benyttes i akutte tilfeller, men som ikke kan benyttes for planlagt vedlikehold, oppgraderinger eller utviklingsaktiviteter.
Gitt det faktum at vi ikke produserer alle varer og tjenester selv, så befinner naturlig nok den dypeste kompetansen seg i de landene hvor komponentene er designet eller produsert. Det er store avvik mellom listen over NATOs medlemsland, som danner utgangspunktet for militært samarbeid, og listen over de landene hvor det er inngått bilaterale sivile sikkerhetsavtaler. Det gjør at det svært utfordrende å tappe inn i et leverandørmarked som i all hovedsak befinner seg utenfor landets grenser.
Norges geografiske sårbarheter
Norges geografi og bosettingsmønster gir oss noen spesielle sårbarheter.
Nordland fylke er ca. 6,3 kilometer på sitt smaleste, og dette svært begrensede arealet – i praksis en fastlandsstripe – er nødvendig for fremføring av ekomtilbydernes nasjonale fiberkabler. Disse kablene er avgjørende for et Nord-Norge som evner å kommunisere med omverden, eller potensielt blir ekomdødt hvis kablene kuttes. Videre er det ca. 1100 kilometer med båt fra Tromsø til Longyearbyen, en havreise som normalt sett tar tre til fire døgn. Navlestrengen til fastlandet består av to dypvanns fiberkabler, hvorav den ene ble alvorlig skadet den 7. januar 2022 av en russisk fisketråler. Juni 2023 ble den endelig reparert, ca. 17 måneder etter bruddet.
De mange sjøkabelbruddene i Østersjøen har også minnet oss om Norges generelle avhengighet til kabler over land og sjø til Norden og Europa for å kommunisere med familie og kolleger i utlandet, benytte helt vanlige internettjenester, eller aksessere virksomhetens IT-systemer plassert i en offentlig sky.
Gitt disse geografiske svake punktene så er det åpenbart at det ville ha være smart å benytte svensk eller finsk territorium for å redundanstiltak som ytterligere ville ha hevet sikkerheten til ekomtjenestene i Norge. Men, enhver ekomkabel eller -node som plasseres på svensk eller finsk territorium vil være underlagt svensk eller finsk lovverk – det være seg ekomlov, sikkerhetslov, etterretningslov, eller eksport- og importregelverk. Og, så lenge nodene er en del av en norsk GNF og ekomtjeneste, så gjelder fremdeles norsk sikkerhetslov og ekomlov. Det betyr at nodene kanskje ikke har tilstrekkelig beskyttelse av lovverket i det landet de er plassert, samtidig som den norske virksomheten kan bryte norsk sikkerhetslov og ekomlov hvis en kompromittering av noden påvirker GNFen eller ekomtjenesten.
Her er det lett å gjøre feil, og vanskelig å gjøre rett.
Små og sårbare kunnskapsmiljøer
Få internasjonale teknologileverandører som leverer komponenter og tjenester til kritisk infrastruktur finner det i dag regningssvarende å etablere brede og dype kunnskapsmiljøer for kritisk infrastruktur i Norge, Sverige, Finland, Danmark eller Island. Dette fordi de ofte bare kan betjene det nasjonale markedet miljøet er plassert i. Realiteten er at de benytter andre land for å betjene sitt globale marked, basert på vurderinger av lønnskostnader, størrelse på markedet, regulatoriske krav, eller tilgang til kompetanse. Ofte er dette land Norge ikke har sikkerhetsavtale med, noe som innebærer store praktiske utfordringer for norske virksomheter ved kjøp av tjenester.
I ekomsektoren så har de nordiske landene tre til fire nasjonale mobilnett, totalt 18 for hele regionen som betjener en befolkning på noe over 27 millioner. I USA så finnes det tre store og to små mobilnett som betjener en befolkning på 340 millioner, i Japan fire som betjener en befolkning på 123 millioner, og i Kina fire som betjener en befolkning på 1408 millioner. Jeg skal ikke her gå inn i den politiske debatten om vi har en god eller dårlig måte å organisere mobilsektoren på i Norden spesielt eller i EU generelt, men det er verdt å fundere over ett faktum: Antall teknologier i et mobilnett er konstant, altså helt uavhengig av hvor mange basestasjoner eller kunder man har. Samtidig så er antall kunder og omsetning et uttrykk for hvilke finansielle muskler man har for å bygge og drifte disse mobilnettene. En konsekvens er at det er svært få ansatte i en liten tilbyder som har dyp kompetanse på hver enkelt teknologi, samtidig som avhengigheten til utenlandske leverandører er tilsvarende høy.
Sagt på en annen måte: Ekomsektorens utfordring med små og sårbare interne kunnskapsmiljøer innebærer at dersom man skulle stenge grensen for leverandørenes ressurser så vil det utgjøre en uforsvarlig operasjonell og sikkerhetsmessig risiko for ekomtilbyderne, tilbydernes kunder, og dermed samfunnssikkerheten.
Beste praksis for produktivitet i en teknologibedrift er å etablere team med ansvar for alle oppgaver fra utvikling til drift, såkalt DevOps. Slike team kan bestå av kun interne ressurser, eller en blanding av interne ressurser og leverandørressurser. Teamene i Telenor er organisert rundt dette prinsippet fordi det øker hastigheten på leveransene, bedrer operasjonell kvalitet og sikkerhet, samt bedrer kostnadseffektiviteten. Men, det å strekke DevOps-prinsippene på tvers av landegrensene for skjermingsverdige verdier ville ha forutsatt at både utvikling og drift kun gjøres av sikkerhetsklarerte ressurser, altså at alle teamets medlemmer er sikkerhetsklarert og at klareringen anerkjennes i alle de landene teamet opererer i. Dette er ikke hjemlet i den nordiske sikkerhetsavtalen fordi det krever tilgang og adgang til skjermingsverdige objekter, ikke bare til skjermingsverdig informasjon.
Dersom Norden, med en samlet BNP på nivå med Italia, Canada, Sør-Korea eller Australia, hadde skapt et effektivt system for å klarere personell på tvers av landegrensene i Norden, så ville incentivene for å etablere robuste og kompetente fagmiljøer styrkes kraftig både for eierne av kritisk infrastruktur og for leverandørmarkedet.
Hva skal til for å løse dette problemet?
Manglende symmetri i de nordiske landenes sikkerhetslovgivning kombinert med forskjellig praksis for regulering av sammenlignbare virksomheter, er et kraftfullt hinder for samarbeid over grensene. Uten konkrete aktiviteter på tvers av myndighetene i Norden for å etablere fungerende og praktiske løsninger for nordisk samarbeid om kritisk infrastruktur, så blir dette så tungvint at virksomhetene gir opp.
For å gjøre noe med problemet så trenger vi:
i. Harmonisering av sikkerhetslovverket på tvers av de nordiske landene
ii. Harmonisering av hvordan samfunnskritisk infrastruktur reguleres
iii. Standardisering av hvordan informasjon om samfunnskritisk infrastruktur reguleres
iv. Autonomikrav som legger til rette for bruk av nordisk territorium for økt redundans- og resiliens
v. Mer effektive prosesser for nordisk sikkerhetsklarering (FSC og PSC)
Etablering av og samarbeid om kritisk infrastruktur over landegrensene i Norden har et stort potensial for å styrke samfunnssikkerhet og statssikkerhet i hvert enkelt land. Samtidig så er det en forutsetning for å styrke Norges sivile beredskapssamarbeid med Finland og Sverige. Men de sivile aktørene som skal levere på dette er bundet på hender og føtter av lovverk og praksis. Det problemet er det kun nordiske myndigheter som kan løse.
Når Forsvaret skal samarbeide og samhandle på tvers av nordisk territorium og på tvers av land, luft, sjø og cyber, så kan ikke totalforsvaret stoppe ved Svinesund, Storlien eller Bjørnfjell stasjon.
FOTNOTER
[1] Slike avtaler er inngått med svært mange vestlige land, samt NATO, EU og ESA. Det finnes også en Avtale mellom regjeringene i Danmark, Finland, Norge og Sverige om samarbeid på forsvarsmateriellområdet
Foto: Iben Støldal / Forsvaret
