En av verdens mektigste menn, Googles «statsmann» Jared Cohen, var nylig i Norge. I DN forklarer han hvordan kyniske aktører bruker internett til aktiviteter som truer borgeres rettigheter og samfunnets trygghet. Vi får også vite at Google tenker stort for å forstå og håndtere disse truslene. Som sikkerhetsforsker tør jeg påstå at Norge ikke er like fremoverlent i sin tilnærming til disse farene.
Landet vårt er alt et av verdens mest digitaliserte. I sin «digitaliseringsmelding» fra 2016 legger regjeringen opp til at Norge skal intensivere bruken av IKT. Et halvt år tidligere kom rapporten fra Lysne-utvalget, nedsatt av regjeringen for å utrede Norges digitale sårbarhet. Gapet mellom ambisjonene i stortingsmeldingen og sårbarhetene som uroer utvalget, utgjør en kløft som det blir krevende å bygge bro over.
Trolig blir det langt fra nok å følge anbefalingen om å etablere godt personvern og god IT-sikkerhet, basert på internkontroll, som er hva stortingsmeldingen vektlegger på sikkerhetssiden.
Bør vi sette bremsene på?
De nye utfordringene sprenger vante premisser om ansvar og kontroll. Sammenkoblinger av utstyr og informasjon sender risiko ut på vandring, til dels på ukjente stier. Samtidig har vi et stort etterslep på digital sikkerhetskompetanse. Derfor trengs en debatt ingen har turt å reise:
Skal vi presse sikkerhetsmarginer for å oppnå de gevinstene digitalisering åpner for? I hvilken grad vil vi tillate at risiko flyter fritt?
Bør vi rett og slett bremse den videre digitaliseringen av Norge til vi forstår, og eventuelt kan håndtere, mer av trusselbildet?
Uoversiktlig sårbarhet
Digitalisering er sekkenavnet på prosesser som gjør at stadig flere opplysninger havner i datamaskiner, og ikke minst utveksles imellom dem. Lysne-utvalget påpeker at dagens IKT-systemer fortsatt er umodne – og at risikoen for at uvedkommende får innsyn i sensitiv informasjon øker i takt med digitaliseringen.
«Mennesker har naturlig en viss forståelse av hvordan vi sikrer informasjon i manuelle, papirbaserte prosesser. Med digitaliseringen er vi i stor grad fremmedgjort, og ingen har lenger oversikt over sårbarhetsbildet, slik vi en gang hadde», skriver utvalget.
Fem janusansikter
Cyberspace fremstår ikke bare med ett, men mange janusansikt som både lokker og truer:
- «Big Brother» – «øyet» som i Orwells fremtidsroman ser alt innbyggerne gjør, møtes med streng regulering i vårt samfunn. Men lignende vesener opptrer andre steder aggressivt over landegrensene. Trolig var det dette Ukraina erfarte dette da cyberterrorister for første gang fikk satt et strømnett ut av spill. Slik skapes trygghetsbehov som flere steder kan gi et rop etter nettopp «Big Brother-øyne».
- Personalisering av digitale tjenester er noe alle liker. Medaljens bakside er «Big Other», en overvåkningskapitalisme der data fra triviell digital atferd samles inn fordi de kan bli verdifulle handelsobjekt. «Big Other» har alt skapt stor og skjevfordelt økonomisk og industriell makt.
- «Big Data» vil si å avdekke og lære fra mønstre i svære datamengder. Slik kan uventede sammenhenger oppdages, eksempelvis innen medisinsk diagnostisering eller kriminalitetsbekjempelse. Men også andre instanser enn de «gode formål» kan få de nødvendige analyseressursene – og finne mønstre som eksempelvis kan påvirke adgangen til å få forsikringer.
- «Big Five» er en psykologisk teori om personlighet. Koblingen til Big Data og sosiale medier kan gi andre sjansen til å forutsi vår atferd, skreddersy tilbud og slik gjøre livet mer bekvemt. Men hvordan skal vi vite hvem som prøver å påvirke oss, kommersielt og politisk, når utenforstående mener de kjenner oss bedre enn vi gjør selv?
- Vår appetitt på nye nettbaserte tjenester («Big Innovation») er stor. Men de færreste undersøker hva som faktisk serveres. Kun få tenker på at servitøren ikke tar ansvar for konsekvenser av feil eller avvik.
Nye angrepsflater
Alt dette vil si at nye angrepsflater er etablert. Opplysninger kan av-anonymiseres gjennom statistisk «krysspeiling», med god hjelp av hverdagsdata fra ulike arenaer. I tillegg utsettes vi for motiver og intensjoner vi ikke er vant til å møte.
Derfor må vi stille nye spørsmål, som: Når vi snart får smarte energinett, der strøm kan kjøpes, selges, brukes som spekulasjonsobjekt eller betalingsmiddel av «alle»; kan vi da stole på forsyningssikkerheten?
Det eneste som er sikkert, er at Norge må tenke nytt for å øke sin digitale motstandskraft. Ikke minst må vi diskutere strategier som kan få viktige samfunnsfunksjoner raskt på fote igjen om de slås ut av uønskede IKT-hendelser.
Artikkelen sto første gang i Dagens Næringsliv tirsdag 28. november 2017 og gjengis her med DNs tillatelse.