Rammeverk for forsvarlig sikkerhetsnivå for IKT i Forsvaret – bruk for et taktisk kommunikasjonsnettverk

Forsvaret er en virksomhet som er kritisk for nasjonal sikkerhet og er derfor underlagt sikkerhetsloven. Dermed er Forsvaret pålagt å etablere og ivareta et forsvarlig sikkerhetsnivå for de verdiene som muliggjør at Forsvaret kan oppfylle sin funksjon på en god måte. Forsvarets informasjons- og kommunikasjonsteknologi (IKT) er en slik verdi. Ifølge sikkerhetsloven skal et forsvarlig sikkerhetsnivå basere seg på en funksjonell tilnærming og være risikodrevet, men det har vist seg å være utfordrende å få dette til i praksis. FFI har jobbet med å utvikle et rammeverk som skal bøte på dette problemet, ved å tilby en strukturert og etterprøvbar metodikk for risikovurderingene knyttet til Forsvarets bruk av IKT.

Denne rapporten oppsummerer arbeidet med rammeverket så langt ved å beskrive de delene som er utviklet, og ved å introdusere et tiltenkt taktisk kommunikasjonsnettverk for å illustrere bruken av rammeverket i praksis. Med unntak av eksempelet med kommunikasjonsnettverket ble disse resultatene publisert som egne fagfellevurderte artikler, men de blir her for første gang sammenstilt på en helhetlig måte.

Rammeverket består av to hoveddeler. Den første delen er en tilnærming for å bryte ned og modellere Forsvarets funksjoner og de IKT-systemene og infrastrukturene som støtter disse funksjonene, på en måte som synliggjør sammenhenger. Den andre er en fremgangsmåte som bruker denne funksjonelle modellen til å gjennomføre de nødvendige risikovurderingene på en mer sporbar, helhetlig og etterprøvbar måte. Målet er å danne et bedre grunnlag for å kunne vurdere mulige sikkerhetstiltak på en måte som tar hensyn til både regulatoriske og funksjonelle krav på bakgrunn av risikovurderingene, og som gjør det mulig å komme fram til hva som kan anses som et forsvarlig sikkerhetsnivå.

Eksempelet tar for seg en nettverksinfrastruktur som skal brukes til å koble sammen flere forskjellige taktiske nettverk og gi en mer sømløs informasjonsflyt i kampnære situasjoner. Vurderingene som presenteres gjennom bruk av rammeverket, er kun illustrative, og de baserer seg på flere forenklinger av infrastrukturen og en del antakelser rundt dens rolle i militære operasjoner som ikke reflekterer faktiske operative forhold. Formålet er å demonstrere hvordan rammeverket kan brukes til å utlede et bedre risikobasert beslutningsgrunnlag for sikkerhetsrelaterte vurderinger – ikke å komme med konkrete teknologiske løsningsforslag for et reelt taktisk kommunikasjonsnettverk.

Konklusjonen er at rammeverkets modenhet nærmer seg et nivå hvor det kan tas i bruk i praksis, og at metodikken produserer vurderingene som kan etterleve intensjonen i sikkerhetsloven. Imidlertid hindrer mangelen på en mer granulert funksjonell nedbrytning av Forsvarets oppgaver og på dimensjonerende operative scenarioer oss i å gjennomføre mer helhetlige vurderinger. I tillegg kreves det digitale verktøy for å håndtere de store og komplekse modellene som er nødvendige for å kunne bruke rammeverket.