Digitalt grenseforsvar: Å gjøre ingenting er uansvarlig
(Dagens Næringsliv): Regjeringen la i høst frem et forslag til ny lov for Etterretningstjenesten ut på høring. Det viktigste i lovforslaget er det som tidligere har vært omtalt som et «digitalt grenseforsvar», men som i lovforslaget har fått den langt mer presise beskrivelsen «tilrettelagt tilgang til grenseoverskridende elektronisk kommunikasjon».
Det handler kort fortalt om at Etterretningstjenesten skal få større tilgang til det digitale rom.
Primært vil dette handle om å gjøre forhåndsgodkjente søk i datatrafikken som krysser landets grenser – for å kunne fange opp avanserte dataangrep eller terrorplanlegging. Nupi har nylig sendt inn en høringsuttalelse basert på vår forskning på cybersikkerhet og internasjonal sikkerhetspolitikk.
- Les mer om NUPIs ekspertise på cybersikkerhet på nettsiden til NUPIs forskningssenter på cybersikkerhet
Dette er noen av momentene vi har tatt opp:
For det første, når samfunnet blir stadig mer digitalisert og «smart», øker også de digitale sårbarhetene. Da er det særs viktig at den bærende digitale infrastrukturen, slik som strøm, kommunikasjon, med videre, er så sikker som mulig.
Vi ser at stater i økende grad bruker digitale våpen til å spionere og kartlegge kritisk digital infrastruktur. Det har også vært noen tilfeller av digital sabotasje, altså at angripere lammer store deler av et samfunn gjennom hacking – med store økonomiske og samfunnsmessige konsekvenser. Terskelen for å utnytte disse sårbarhetene er allerede i dag foruroligende lav. Etterretningstjenesten har en viktig rolle i å bidra til denne sikkerheten – sammen med NSM, PST og andre aktører.
Les også:
- Hvordan beskytte demokratiet i den digitale tidsalderen?
- Prestisjefylt prosjekt til NUPI – skal se på digitalisering og den moderne verdensorden
Dette betyr altså at regjeringen må sørge for å bedre etterretningskapasiteten også på dette feltet.
Det å ikke gjøre noe med dette, som regjeringen kaller «nullalternativet» i høringsnotatet, er ikke et reelt alternativ. Det vil nemlig gjøre Norge fullstendig prisgitt godvilje hos andre land til å dele essensiell og tidskritisk informasjon.
Interessert i cyber? Sjekk disse episodene av NUPI Podcast:
- Michael Chertoff om cyber-angrep: Korleis skal vi beskytte oss?
- Cybernormer, diplomati og et nytt initiativ i FN
- Marina Kaljurand: Hvordan styre cyberspace?
Å basere nasjonal sikkerhet på andre lands velvilje vil være direkte uansvarlig. I tillegg kan et bevisst valg om ikke å styrke nasjonal etterretning på feltet digital kommunikasjon sende et uheldig signal om at Norge tar lett på slik sikkerhet. Norge kan i verste fall bli svakt ledd i det vestlige sikkerhetssamarbeidet.
For det andre har vi sett at den offentlige diskusjonen rundt etterretning i det digitale rom til tider er misvisende. Norsk digital kommunikasjon må antas allerede i dag å være samlet opp av andre lands etterretningstjenester, primært i Sverige og Storbritannia, og av kommersielle aktører som driver systemene.
Spørsmålet er altså ikke om vår digitale kommunikasjon skal kunne samles opp eller ikke. Det blir den allerede.
Les også:
Vår data er internasjonal handelsvare. Debatten handler om at norske myndigheter, ved Etterretningstjenesten, også skal kunne samle og gjøre søk i dette materialet, og hvordan dette i så fall bør gjøres. Selv om det at datatrafikken allerede er plukket opp av andre ikke i seg selv legitimerer at Norge skal gjøre det samme, er poenget at spørsmålet om personvern ikke er et enten/eller.
For det tredje har debatten om vi skal ha innsamling eller ikke, druknet den mye viktigere debatten om hva slags innsamling vi skal ha.
Et viktig moment her er at loven gjøres så teknologinøytral som mulig. Utviklingen av maskinlæring, autonome systemer, kunstig intelligens, kvantemaskiner med mer, vil endre trusselbildet raskt. Avanserte algoritmer brukes allerede for å søke i data og oppdage digitale angrep, noe som gjør kontroll og styring enda mer krevende.
Loven, instruksen og det øvrige systemet må være relevant også om fem eller ti år. I denne sammenhengen er det ikke minst viktig at Stortingets overvåkningsorgan for de hemmelige tjenestene, EOS-utvalget, styrkes betraktelig. Dets mandat, tekniske kompetanse og kapasitet må gjøre dem i stand til å utføre denne type ganske krevende kontroll.
Skal Norge forberede seg på den digitale fremtiden må vi tenke nytt om sikkerhet: vi må reformere de relevante organisasjonene, endre lovverket og oppdatere metodene. Samtidig må tilliten mellom stat og folk opprettholdes gjennom god politisk styring og demokratisk kontroll.
Men å gjøre ingenting er ikke et alternativ.
Denne kronikken sto først på trykk i Dagens Næringsliv 30. januar 2019.