FORVALTNINGSDATABASEN

Arvesen, Ole Jørgen (2020):

Skjevt ut fra hoppkanten? Myndighetenes organisering av sikkerhet i cyberdomenet

Forsvarets høgskole

Publikasjonstype:

Hovud-/magister-/masteroppgåve

Fulltekst:

https://fhs.brage.unit.no/fhs-xmlui/bitstream/handle/11250/2716038/2020-10-15%20%28U%29%20Masteroppgave%20Arvesen.pdf

Omtale:

https://hdl.handle.net/11250/2716038

Antall sider:

70

Publiseringsspråk:

Norsk

Land publikasjonen kommer fra:

Norge

NSD-referanse:

4756

Disse opplysningene er sist endret:

11/10 2021

Spesifikke virksomheter publikasjonen omhandler:

Sammendrag:

Digitalisering og globalisering har bidratt til et enklere og mer effektivt samfunn, men også økt sårbarheten. Utviklingen påvirker trusselbildet og har introdusert nye sikkerhetsutfordringer. Det tradisjonelle skillet mellom indre og ytre sikkerhet, fred og krig er mindre tydelig enn før. Grensesnittet mellom stat- og samfunnssikkerhet er krevende. Her ligger kjernen i statens utfordring. Hvordan fordele ansvar når norsk sikkerhetsarkitektur organiseres etter sektorprinsippet? Digitaliseringen skaper store utfordringer med å avdekke hvem som står bak en hendelse i cyber.

Studiets problemstilling omhandler tilpasninger til det endrede trusselbilde og ser på hvilke faktorer som påvirker myndighetenes veivalg i form av lovutvikling og organisering av sikkerhetsarkitekturen i cyber. Datainnsamlingen er i all hovedsak fra offentlige dokumenter som trusselvurderinger, offentlige utredninger, forarbeider og høringssvar. Først sees det på utviklingen i cyberdomenet, både fra akademia og myndighetene. Så gjennomgås tilpasninger til det nye scenario ved analyse av forarbeidene til to lovforslag, Etterretningstjenesteloven og Fullmaktsloven. Sist sees det på oppståtte gråsonescenario som følge av det utvidede trusselbilde og myndighetens plassering av ansvar.

Myndighetenes situasjonsforståelse bygger på at statlige aktører representerer den største trusselen. Det fremmes likevel at majoriteten av cyberangrep er kriminalitet. Politiet, som er primæraktøren innen samfunnssikkerhet utgir ingen offentlige trusselvurderinger. Narrativet kan således sies "å eies" av EOS tjenestene. Dette kan påvirke lovutviklingen. Fellesnevneren for begge lovforslagene er at de utfordrer grunnleggende prinsipper som rettssikkerhet og maktfordeling vårt liberale demokrati er tuftet på. Oppgaven redegjør for at det i høringsrundene ble reist en rekke grunnleggende spørsmål om ansvarsfordeling, gråsoneproblematikk og hjemmelsgrunnlag. Fordi trusselaktør er vanskelig å identifisere i cyber, oppstår et behov for tverrsektorielle løsninger. Spesielt Nasjonal sikkerhetsmyndighet har fått en utvidet rolle i å ivareta cybersikkerheten. Utvidelse av mandatet kan øke gråsonen hva gjelder hvem som er ansvarlig for hva og til hvilken tid.

Dagens sikkerhetsarkitektur kan fremstå som overlappende og til dels uoversiktlig. Trusselbildet bør sees i dimensjoner og ikke sekvensielt. Fordi statlige aktører utpekes som den største trusselen oppfattes sikkerhetssituasjonen som eksistensiell. Frykt kan derfor medføre en aksept for statlig overvåkning i bytte mot frihet. Cyber kan i så måte være i ferd med å bli sikkerhetisert. Samfunnssikkerhetsrelaterte trusler er ikke definert og derav ikke vurdert i sin fulle bredde og betydning. Norsk sikkerhetsarkitektur tar tilsynelatende utgangspunkt i statlige aktører, og sektor- og ansvarsprinsippet tvinger ansvarsfordelingen inn i tradisjonelle strukturer. Følgen er at koordineringsutfordringene øker og statens totale ressurser søkes samordnet ved at tverrsektorielle institusjoner og sentre vokser, og motstandskraften mot trusselen i cyber kan fremstå som fragmentert.
_______________________

Summary
Digitisation and globalisation have made life easier and more efficient, but they have also increased our vulnerability. The nature of the threat picture is evolving while new threats emerge. The traditional division between internal and external security, war and peace is blurred. The interface between stateand public security is demanding and is at the core of the state’s challenge. How should responsibilities be divided when Norwegian security architecture is organised along sector lines? This thesis discusses how government authorities adapt to changed threat levels and what elements influence their decisions with respect to legislative changes and organisation of the country’s cybersecurity. Data has been collected mainly from threat assessments, government white papers, preparatory works and consultation responses. First, I discuss developments in cyberspace from the perspectives of both academia and government authorities. Then I discuss how the new scenario is reflected in two proposed new laws by analysing the preparatory works. Finally, I discuss the grey areas created by the extended threat picture and the adopted division of responsibilities.

The current understanding is that other state actors represent the biggest threat. However, the vast majority of cyberattacks are criminal. The police, who are the primary actors in public security, do not publish threat assessments. Thus, it may be said that the narrative is “owned” by the intelligence, surveillance and security services, and this may shape legislation. The common denominator in both the new acts is that they challenge the fundamental principles, e.g. due process and power sharing, onwhich our liberal democracy is built.

The thesis describes how, during the consultation phase, a number of fundamental issues were raised about division of responsibilities, grey areas and authorisation. Because threat actors in cyberspace are hard to identify, they require a multi-sectorial approach. The National Security Authority in particular, has been given an expanded role in protecting national cybersecurity. The expansion of their mandate may enlarge the grey area with respect to who is responsible for what and when. The current security architecture can appear overlapping and complex. Current threat should be analysed in dimensions, not sequentially, and because state actors are identified as representing the biggest threat, the threats facing us are considered existential. Fear can then lead to greater acceptance of state surveillance in exchange of freedom. In this way, cyberspace can be said to become “securitised”.

Threats against public security are therefore not identified or discussed in necessary detail. Privateactors who on a global scale own and manage the vast majority of data, are not discussed in national threat assessments. This may lead to a “blind zone” in situational understanding. The security architecture in Norway is apparently built to counter state actors, and the sector principle of organising divides responsibilities along traditional sectorial lines. As a result, the challenges in coordinating efforts increase and the state seeks to coordinates its overall resources by enlarging multi-sectorialinstitutions and centres, and the forces combatting threats in cyberspace can appear fragmented.