Håndtering av IKT-sikkerhetshendelsene i Helse Sør-Øst og fylkesmannsembetene – en vurdering

I dag er de aller fleste samfunnsfunksjoner, virksomheter og individer i større eller mindre grad avhengig av digitale tjenester. Anvendelsen av IKT gir oss mulighet til å effektivisere prosesser og tjenester som brukes i hverdagen, men medfører også økt risiko for å bli utsatt for uønskede hendelser i det digitale rom. Slike hendelser kan være alt fra mindre svindelforsøk til omfattende dataangrep gjennomført av avanserte trusselaktører, med hensikt å samle informasjon, sabotere tjenesteproduksjon eller ramme styringsevnen til sentrale virksomheter eller myndigheter.

I 2018 ble både helsesektoren og fylkesmannsembetene rammet av IKT-angrep. Hendelsene var omfattende og krevde at mange aktører bidro i håndteringen. Forsvarets forskningsinstitutt (FFI) har fått i oppdrag av Justis- og beredskapsdepartementet å evaluere håndteringen av hendelsene. Evalueringen skal kartlegge hendelsesforløp og involverte aktører, ta utgangspunkt i samfunnssikkerhetsinstruksen og rammeverk for håndtering av IKT-sikkerhetshendelser, og anbefale videre utvikling av sistnevnte. Til sist skal FFI komme med læringspunkter og anbefalinger til hva som bør øves på i øvelse Digital 2020. For å løse oppdraget har FFI i all hovedsak basert seg på intervjuer med de involverte aktørene i kombinasjon med dokumentstudier og erfaringen forskerne har innenfor krisehåndtering og IKT.

Begge hendelsene framstår som datainnbrudd hvor avanserte trusselaktører har vært ute etter informasjon, og forsøkt å operere skjult. Hendelsene ble oppdaget relativt raskt, og hendelsen som rammet helsesektoren hadde betydelig større omfang når det gjelder både rammede aktører og systemer enn hendelsen som rammet fylkesmannsembetene. Funnene viser at få aktører var forberedt på hendelser av et slikt omfang og hadde i liten grad oversikt over egne verdier, sårbarheter og systemer.

Samfunnssikkerhetsinstruksen retter seg mot departementene, mens rammeverket retter seg mot aktørene NSM NorCERT, sektorvise responsmiljø og virksomheter. FFI finner ingen uoverensstemmelser mellom dokumentene. Imidlertid gir disse et lite helhetlig bilde av aktørene som er relevante for håndteringen av IKT-sikkerhetshendelser. Særlig sentrale samordningsaktører som Direktoratet for samfunnssikkerhet og beredskap (DSB) savnes. Instruksen og rammeverket gir et godt utgangspunkt for å få en felles forståelse av fagbegreper, enkelte roller og ansvar, men løser ikke det FFI peker på som den største svakheten når det gjelder IKT-sikkerhetshendelser – nemlig forebygging, forberedelser og oversikt over egne verdier, sårbarheter og systemer. Det bør vurderes å utarbeide veiledere på dette punktet for henholdsvis små, mellomstore og større virksomheter.

Øvelse Digital 2020 skal etter planen ikke øve det tekniske personellet. FFI mener likevel at den tekniske dimensjonen bør ivaretas slik at sammenhengen mellom det som skjer på teknisk nivå og videre beslutninger knyttet til håndtering blir belyst og øvd. Deltakerne bør utfordres på informasjonsdeling – både når det gjelder ulike typer informasjon og mottakergrupper. I tillegg bør det legges til rette for at operative konsekvenser for øvingsdeltakerne vurderes og at ressursallokering på sentralt nivå, SRM-nivå og virksomhetsnivå øves.