I konflikter, krise og krig er informasjonsoverlegenhet viktig. Det er av stor betydning å beskytte egen informasjon som kan ha verdi for en motstander å tilegne seg, og som har skadepotensial for nasjonale sikkerhetsinteresser. Potensielle motstandere vil legge betydelige ressurser i å skaffe seg innsyn i sikkerhetsgradert informasjon, og beskyttelsen av slik informasjon må derfor være solid. Informasjonen må beskyttes i hele krisespekteret, men tiltak kan variere avhengig av situasjonen. Lov om nasjonal sikkerhet med forskrifter (sikkerhetsloven) gir bestemmelser om hvordan slik informasjon skal identifiseres, klassifiseres, beskyttes og håndteres.
Totalforsvarskonseptet samt det utstrakte offentlig/private samarbeidet i samfunnet med tilhørende avhengigheter og verdikjeder krever at beskyttelsen skjer bredt i samfunnet. Den sikkerhetspolitiske situasjonen som Norge befinner seg i, understreker behovet. Det er derfor avgjørende at nasjonale, regionale og lokale myndigheter har god og omforent situasjonsforståelse for å kunne avdekke, forhindre og håndtere sikkerhetstruende aktivitet. Fylkeskommuner og kommuner utgjør en viktig del av totalforsvaret og er vesentlige for opprettholdelsen av kritiske samfunnsfunksjoner i krise og krig. For å skape et motstandsdyktig totalforsvar er det behov for en robust kommuneforvaltning.
NSM gir informasjon, råd og veiledning om identifisering, gradering og beskyttelse av sikkerhetsgradert informasjon. Statsforvalterne har også en viktig rolle i samordning og veiledning av kommunene knyttet til roller og ansvar etter sikkerhetsloven.
NSM sine forventninger til kommunene før krise og krig
Alle statlige, fylkeskommunale og kommunale organer er omfattet av sikkerhetsloven, jf. lovens § 1-2. Dette betyr at alle kommuner i Norge må tilfredsstille de generelle krav til forebyggende sikkerhet som følger av kapittel 4 i loven. Kravene omfatter blant annet å ha et styringssystem for sikkerhet, vurdere risiko, gjennomføre sikkerhetstiltak og øvelser, dokumentere sine vurderinger og være i stand til å oppdage og varsle om sikkerhetstruende forhold. I tillegg er det viktig å identifisere og kartlegge relevante avhengigheter kommuner og fylkeskommuner har.
For at kommunene skal kunne jobbe effektivt og helhetlig med sikkerhet, er det viktig å ha et godt styringssystem for sikkerhet, som en integrert del av virksomhetsstyringen. Det må dessuten være tydelig hvem som er virksomhetens leder og dermed ansvarlig i sikkerhetslovens forstand.
For å sørge for at verdier som finnes i kommuneforvaltningen blir identifisert og beskyttet tilstrekkelig, skal det gjennomføres risikovurderinger regelmessig for å ha et godt informasjonsgrunnlag ved beslutning om hvilke tiltak som skal implementeres. I tillegg skal sikkerhetstilstanden jevnlig kontrolleres. Oppdatering av avhengighetsforhold skal være en del av risikovurderingen. God risiko- og sikkerhetsforståelse også hos kommunens ansatte, leverandører og oppdragstakere er viktig. EOS-tjenestenes vurderinger og kommunens egne vurderinger bør så langt det er sikkerhetsmessig forsvarlig gjøres tilgjengelig for disse målgruppene.
Kommunene har behov for tidsriktig og relevant sikkerhets- og trusselinformasjon. Dette behovet vil øke i krise og krig. Det er ikke mulig å si på forhånd hvilken kommune som vil ha dette behovet. Dette gjør det nødvendig at alle kommuner nå så raskt som mulig setter seg i stand til å motta, behandle og oppbevare sikkerhetsgradert informasjon, minimum på BEGRENSET nivå.
Sikkerhetsloven stiller krav til merking, behandling, oppbevaring og destruksjon av gradert informasjon. Informasjon som er sikkerhetsgradert BEGRENSET skal eksempelvis oppbevares i avlåst rom eller nedlåst i oppbevaringsenhet. Dette betyr at kommuner og fylkeskommuner kan motta og oppbevare fysiske dokumenter gradert BEGRENSET i egne lokaler, så lenge kravene til oppbevaring er oppfylt. For informasjon gradert KONFIDENSIELT og høyere stilles det strengere krav.
Beskyttelsen av sikkerhetsgradert informasjonen skal i det daglige etableres som grunnsikring. Tiltakene omfatter krav som fremgår av lov og forskrift, samt eventuelle tiltak utledet av virksomhetens egen risikovurdering, som igjen er basert på det gjeldende trusselbildet. Tiltakene kan omfatte adgangskontroll inn til bygg eller kameraovervåking av områder. I det digitale domenet skal sikkerhetsgradert informasjon behandles på godkjente systemer hvor nødvendige sikkerhetstiltak er implementert. Kommunens ordinære ugraderte systemer kan ikke benyttes.
Om en kommune har blitt rammet av sikkerhetstruende virksomhet, eller det er begrunnet mistanke om at slik virksomhet har rammet eller vil kunne ramme virksomheten eller andre virksomheter, eller det er begått alvorlige brudd på krav til sikkerhet i kap. 5-7 iht. loven skal kommunen umiddelbart varsle NSM.
Dersom kommunene oppdager eller mistenker å ha blitt utsatt for digitale angrep, skal Helse- og kommuneCERT i Norsk Helsenett informeres, med kopi til NSM som nasjonal responsfunksjon. Det bør også vurderes å kontakte statsforvalteren og lokalt politi. For håndtering og rapportering av digitale angrep vises i det til Nasjonalt rammeverk for håndtering av digitale angrep. Kontaktinformasjon skal holdes oppdatert.
Dersom en kommune får kunnskap om en planlagt eller pågående aktivitet som kan medføre en ikke ubetydelig risiko for at nasjonale sikkerhetsinteresser blir truet, skal kommunene uten hinder av taushetsplikt varsle NSM for eventuelt videre oppfølging overfor ansvarlig sektordepartement. Det er viktig at kommunene har lav terskel for å varsle om slike saker.
Områder som kommunene må være særlig forberedt på ved krise og krig
Oppdaterte risikovurderinger
Risikovurderinger vil måtte oppdateres hyppigere i krise og krig, ettersom endringer i virksomheten eller i trusselbildet kan forekomme når som helst, jf. virksomhetsikkerhetsforskriften § 12 siste ledd. For eksempel kan informasjonssystemer som håndterer gradert informasjon behøve jevnlig revurdering av risiko dersom disse har høy endringsfrekvens eller eksponering mot internett.
Siden risikovurderingene beskriver virksomhetens verdier, sårbarheter og konsekvenser ved bortfall eller reduksjon, vil det være naturlig at disse skjermes med sikkerhetsgradering.
Implementering av påbygningstiltak
Påbygningstiltak til grunnsikringen av sikkerhetsgradert informasjon kan etableres ved å forsterke allerede etablerte fysiske, menneskelige, organisatoriske og elektroniske sikkerhetstiltak, eller ved å etablere helt nye tiltak for å kunne håndtere nye trusler eller sårbarheter. Dette kan gjøres ved å utvide soner, forsterke perimetersikring eller øke egen patruljering og vakthold. Slike tiltak bør være enkle og raske å etablere, og samtidig raskt kunne deaktiveres.
Påbyggingstiltakene bør utarbeides basert på scenarioer fra risikovurderingen.
Et eksempel på forholdet mellom grunnsikring og påbygningstiltak kan være at virksomheten i utgangspunktet bruker sikkerhetsdører med et avansert elektronisk låssystem til alle adgangspunkter. I en normalsituasjon er det da tilstrekkelig at de ansatte åpner døren med sitt adgangskort. Dersom risikoen øker kan det som et påbygningstiltak innføres PIN-kode for å kunne åpne dørene. Ved heving av risiko til et høyere nivå kan det i tillegg innføres adgangsbegrensning.
Unntak fra krav og nødrett
Sikkerhetsloven med forskrifter åpner for at virksomheter kan søke unntak fra enkelte sikkerhetskrav. Disse mulighetene må kommunene ha satt seg inn i med tanke på eventuell situasjonsbestemt og begrunnet søknad til riktig myndighet.
Nødrett kan også hjemle unntak fra å følge regelverket. Virksomhetsikkerhetsforskriften § 71 sier at en person kan gis tilgang til skjermingsverdig informasjon (…) uten å være autorisert eller klarert dersom vilkårene i straffeloven § 17 om nødrett er oppfylt.
En virksomhet som gir en slik tilgang, skal uten ugrunnet opphold varsle klareringsmyndigheten og Nasjonal sikkerhetsmyndighet om hvilke personer dette gjelder, og hvilket graderings- eller klassifikasjonsnivå personen har fått tilgang til. Det er imidlertid viktig å understreke at man ikke kan planlegge med nødrett.