Spørsmål
I nasjonal trusselvurdering for 2024 utarbeidet av Politiets sikkerhetstjeneste (PST) går det tydelig frem en betydelig sikkerhetstrussel fra Kina., og at trusselen vil tilta i de nærmeste årene.
Kina har et ønske om økt kontroll over forskning og posisjonering i Arktis. Dette gjør Norge til en tilgjengelig etterretnings- og påvirkningsmulighet for Kina.
I rapporten peker også PST på at «den kinesiske partistaten jobber gjennom norske lokalpolitikere og næringslivsaktører for å fremme sin utenrikspolitikk og omgå nasjonale beslutningsprosesser».
Spørsmål til Ordfører:
1. Finnes det avtaler mellom Indre Østfold Kommune og kinesiske aktører eller myndigheter? Hvis ja, hva er innholdet i avtalen(e), hvilken sikkerhetsrisiko kan dette utøve, og vil avtalen umiddelbart opphøre eller settes på hold basert på PST’s anbefalinger?
2. Finnes det tilsvarende avtaler med andre aktører som er nevnt i PST sin trusselvurdering for 2024? 3. Er det innad i kommunen oppdaget trusler eller aksjoner/handlinger mot Indre Østfold Kommune, spesielt fra de nevnte aktører?
Svar fra ordfører Saxe Frøshaug (SP)
Som ordfører setter jeg stor pris på at vi bor i et samfunn preget av åpenhet, der Politiets sikkerhetstjeneste (PST), Norges primære innenriks etterretning- og sikkerhetsorgan underlagt Justis- og beredskapsdepartementet, spiller en viktig rolle. På samme måte har vi Etterretningstjenesten (E-tjenesten), som er ansvarlig for utenlandsetterretning og rapporterer til forsvarssjefen. E-tjenestens arbeid strekker seg over både sivile og militære spørsmål. Videre bidrar Nasjonal sikkerhetsmyndighet (NSM), som fungerer som Norges direktorat for forebyggende nasjonal sikkerhet, vesentlig til landets beskyttelse mot spionasje, sabotasje, terrorisme og komplekse trusler.
Det er av avgjørende betydning at Nasjonal sikkerhetsmyndighet (NSM), PST og E-tjenesten deler sine trusselvurderinger med oss. Dette sikrer at vi er informert om de potensielle farene og sårbarhetene som kan true vår nasjonale sikkerhet. Det er et sentralt budskap i NSM Risiko 2023 at nasjonal sikkerhet er et felles ansvar. Dette betyr at både myndigheter, bedrifter og enkeltpersoner har en rolle å spille i å sikre landets sikkerhet mot ulike trusler, inkludert cyberangrep, terrorisme, spionasje og andre former for uønsket aktivitet.
1. Finnes det avtaler mellom Indre Østfold Kommune og kinesiske aktører eller myndigheter? Hvis ja, hva er innholdet i avtalen(e), hvilken sikkerhetsrisiko kan dette utøve, og vil avtalen umiddelbart opphøre eller settes på hold basert på PST’s anbefalinger?
Indre Østfold kommune har ikke noen direkte avtaler verken med kinesiske myndigheter eller direkte med selskaper, som DJI som produserer droner eller det kinesiske selskapet Hikvision som produserer overvåkningskameraer som er nevnt i NSMs rapport «Risiko» 2024.
Indre Østfold benytter produkter fra begge disse leverandørene igjennom avtaler med norske selskaper. Jeg vil understreke at norske myndigheter ikke har lagt ned forbud mot disse leverandørene.
Teknologien og andre produkter som brukes verden over, produseres i Kina. Kinesiske produkter og teknologi er svært tilgjengelig og konkurransedyktig på verdensmarkedet.
Kinesisk teknologi, spesielt teknologi som er koblet til internett, kan utgjøre en økt risiko. Bekymringen er knyttet til at det kan finnes skjulte bakdører som igjen kan utnyttes til etterretningsvirksomhet.
Administrasjonen har forsikret meg om at overvåkningskameraer fra Hikvision som benyttes i kommunens innbyggertorg og bibliotek i forbindelse med at innbyggerne kan låne bøker uten åpningstidene såkalt “meråpent løsning”, ikke har tilgang til internett. All data og kommunikasjon skjer i et lukket nettverk og lagres lokalt. Leverandøren av løsningen opplyser på sine nettsider at de arbeider med å finne alternative tekniske løsninger.
Kommunen har et fåtall DJI-droner. Det bemerkes at norsk politi benytter droner fra samme produsent og at det i 2022 ble gjennomført såkalt penetrasjonstester, det vil si en hackertesting, av utstyret underveis i anskaffelsesprosessen, ifølge justisminister Emilie Enger Mehl.
Utstyret fra DJI var det som skåret best i disse testene og Politidirektøren har understreket at det er gjort en konkret vurdering av landrisikoen knyttet til bruk av DJI-droner, og PSTs trusselvurderinger er lagt til grunn.
I mars 2023 besluttet administrasjonen et forbud mot bruk av TikTok og Telegram på kommunens tjenestetelefon, arbeidstelefon og kommunens IT-utstyr som nettbrett og PCer som har vært installert på mange mobiltelefoner. TikTok eies av det kinesiske selskapet Bytedance og Telegram som opprinnelig kom fra Russland.
Administrasjonens beslutning i mars 2023 var basert på Nasjonal sikkerhetsmyndighet (NSM) som på oppdrag fra Justis- og beredskapsdepartementet foretok en vurdering av om det bør innføres tiltak, gis råd eller retningslinjer i Norge knyttet til blant annet TikTok og Telegram.
NSM vurderte at det medfører høy risiko dersom appene eller nettsidene benyttes på mobiltelefoner, nettbrett og PCer som har tilgang til kommunens IT-utstyr.
Beslutningen om forbud av TikToK på kommunens mobiltelefoner er hjemlet i personvernforordningen artikkel 32, som sier at behandlingsansvarlige (kommunedirektøren) og databehandleren skal gjennomføre tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen.
Alle mobiltelefoner samler inn mye informasjon. Nasjonal sikkerhetsmyndighet (NSM) peker på utfordringen med mulig kommersielt videresalg av slike data, samt at TikTok samler inn mye data som man ikke forstår formålet med og hva disse dataene skal benyttes til. Det kan utgjør en risiko.
Administrasjonen følger råd og retningslinjer som gis fra statlige myndigheter. Når det gjelder overvåkningskameraer fra Hikvision som benyttes til meråpent bibliotek, arbeider leverandører med å kunne tilby en ny løsning. Å bytte løsning vil medføre en ekstra utgift i størrelsesorden kr 400.000 til 500.000 i anskaffelse. Å avslutte en gyldig avtale vil ha juridiske implikasjoner. Kommunens avtale knyttet til meråpent vil ikke umiddelbart opphøre eller settes på hold. Administrasjonen vurderer det dithen at sikkerheten er tilstrekkelig ivaretatt i dagens løsning, samt at leverandøren har gitt sine forsikringer knyttet til sikkerhet.
2. Finnes det tilsvarende avtaler med andre aktører som er nevnt i PST sin trusselvurdering for 2024?
PST sin trusselvurdering nevner ikke spesifikke selskaper, slik NSM sin risiko 2024 gjør. I PST sin trusselvurdering nevnes ulike stater. Indre Østfold kommune har ingen avtaler knyttet til de
stater som er nevnt i trusselvurderingen.
3. Er det innad i kommunen oppdaget trusler eller aksjoner/handlinger mot Indre Østfold Kommune, spesielt fra de nevnte aktører?
Nåsituasjonen knyttet til informasjonssikkerhet i Indre Østfold kommune reflekterer en stadig økende kompleksitet og trusselnivå. Kommunen har opplevd tjenestenektangrep såkalt Ddos-angrep, og det er en pågående trussel som kommunen må være forberedt på å håndtere også i fremtiden.
På generelt grunnlag så forekommer det jevnlig forsøk på uautorisert tilgang eller angrep fra ulike former for trusler på internett. Dette kan inkludere automatiserte skanninger som søker etter kjente sårbarheter eller sikkerhetshull i brannmurer eller andre sikkerhetsmekanismer. Disse skanningene kan være en del av et bredere angrepsforsøk eller bare en del av en generell innsats for å kartlegge og identifisere sårbare systemer på internett.
Det er derfor viktig for organisasjoner å være proaktive med å opprettholde sikkerheten til sine nettverk og systemer ved å implementere robuste sikkerhetstiltak, inkludert oppdaterte brannmurer og sikkerhetsoppdateringer.
I tillegg mottar kommunen, som mange andre kommuner og virksomheter, en rekke forsøk på phishing/nettfiske, noe som ytterligere understreker behovet for å opprettholde en høy standard for informasjonssikkerhet.
Hvem som eventuelt står bak disse handlingen, kan man ikke med sikkerhet si. Ordfører kan ikke
spekulere i dette, da man ikke har et tilstrekkelig faktagrunnlag. Ordfører henviser til den informasjon som er åpen i de tre offentlige trussel- og risikovurderinger som utgis i første kvartal hvert år.
Cyberoperasjoner utføres av profesjonelle organisasjoner som opererer på globalt nivå. Disse organisasjonene distribuerer løsepengevirus og skaffer inntekter igjennom det, tyveri av personlig informasjon og økonomisk svindel er andre områder som benyttes til å finansiere denne virksomheten.
I tillegg til kriminelle aktører opererer også statlige aktører. Formålet med slike operasjoner kan være å samle inn etterretningsinformasjon, påvirke politiske prosesser eller å destabilisere.
Administrasjonen arbeider løpende med å styrke kommunens motstandskraft mot slike trusler. Det eksisterer beredskapsplaner knyttet til elektronisk kommunikasjon. Disse planene er utformet for å sikre effektiv håndtering av hendelser og rask gjenoppretting av tjenester i tilfelle av cyberangrep eller andre sikkerhetsbrudd.
Administrasjonen markerer hvert år den nasjonale sikkerhetsmåneden. Dette er et viktig tiltak for å styrke folkevalgte og ansattes bevissthet og kompetanse når det gjelder å gjenkjenne og håndtere blant annet phishingforsøk. Dette er avgjørende for å redusere risikoen for vellykkede angrep.
Administrasjonen jobber kontinuerlig med å implementere organisatoriske- og tekniske tiltak for å styrke sikkerheten. Dette inkluderer regelmessig oppdatering av prosedyrer, innføring av teknologier som styrker sikkerheten, og gjennomføring av risikovurderinger og sårbarhetsanalyser samt opplæringstiltak.
Administrasjonen setter alltid krav om databehandleravtaler ved anskaffelser av løsninger hvor data lagres utenfor kommunen. Løsninger som tilbys i markedet har ofte komplekse leverandørkjeder, hvor det kan være mange ulike underleverandører. Angrep i verdikjeden er en trussel som alltid er til stede. I databehandleravtalene har databehandler en varslingsplikt til kommunen, knyttet til sikkerhetsbrudd og endringer i underleverandører.
Kompleksiteten på dette området, gjør det nødvendig å samarbeide på tvers av kommunegrenser og forvatningsnivåer. Kommunen deltar aktivt i DigiViken og har et nært samarbeid med de øvrige eierkommunene til IKOMM AS. Deling og utveksling av erfaringer og kunnskap er nødvendig.
Kommunestyret vil få en forvaltningsrevisjon om IKT-sikkerhet til behandling før sommeren. Østre Viken kommunerevisjon har gjennomført revisjoner der de har vurdert kommunens IKT-sikkerhet opp mot Nasjonal Sikkerhetsmyndighets (NSM) grunnprinsipper for informasjonssikkerhet, og vil legge frem sine funn og anbefalinger.
Forvaltningsrevisjonen gir en muligheten til å evaluere nåværende praksis og identifisere eventuelle områder for forbedring når det gjelder IKT-sikkerhet. NSMs grunnprinsipper er etablert for å sikre at informasjon og data blir behandlet på en trygg og forsvarlig måte, og revisjonen gir kommunen en verdifull mulighet til å sikre at de følger beste praksis på dette området.
I løpet av 2024 vil en ny lov om digital sikkerhet tre i kraft. Denne loven er utformet for å sikre at grunnleggende krav til digital sikkerhet blir oppfylt av virksomheter som leverer samfunnsviktige tjenester.
Dette representerer et betydelig skritt fremover i å styrke landets digitale infrastruktur og beskytte mot potensielle trusler og angrep.
Hensikten med loven er flerdelt. For det første skal den bidra til å forebygge, avdekke og motvirke uønskede hendelser i nettverks- og informasjonssystemer som brukes for å levere samfunnsviktige tjenester og digitale tjenester. Dette inkluderer å styrke sikkerheten til kritiske infrastrukturer som energi- og vannforsyning, helsevesen, transport og finansielle tjenester, som alle er avhengige av pålitelige og sikre digitale systemer for å fungere effektivt.
I tillegg til å fokusere på nettverks- og informasjonssystemer, legger loven også til rette for økt sikkerhet i IKT-produkter, IKT-tjenester og IKT-prosesser. Dette innebærer å sette strenge krav til sikkerhetsstandarder og praksis for utvikling, implementering og vedlikehold av digital teknologi.
Den nye loven om digital sikkerhet representerer derfor en viktig milepæl i arbeidet med å styrke nasjonal sikkerhet i den digitale tidsalderen. Ved å etablere klare retningslinjer og krav til digital sikkerhet, bidrar loven til å bygge et tryggere og mer robust digitalt samfunn som er bedre rustet til å møte dagens og fremtidens utfordringer innenfor cyberdomenet.
Avslutning
Til slutt vil jeg benytte anledningen til å belyse et viktig punkt som er gjennomgående i de nasjonale sikkerhetsvurderingene.
Det er en økende aktivitet knyttet til påvirkningsoperasjoner. NSM, PST og Etterretningstjenesten (E-tjenesten) har gjort risikovurderinger som peker på dette som en økende trussel.
Som folkevalgte og ansatte er det viktig at vi er oppmerksomme på denne typen operasjoner. Påvirkningsoperasjoner er strategiske handlinger for å forme folks oppfatninger, holdninger og handlinger. De kan komme i mange former, fra propaganda og desinformasjon til manipulasjonsteknikker som utnytter psykologiske prinsipper.
Fremmede etterretningstjenester bruker sine cyberkapasiteter mot politiske myndighetsmål i Norge for å innhente informasjon om holdninger, beslutningsprosesser og standpunkt i saker av betydning for sitt land.
Dette skjer gjennom at det spres falske nyheter for å svekke folks tillit til media, offentlige myndigheter, eller andre viktige samfunnsinstitusjoner.
Vi må erkjenner at påvirkningsoperasjoner forekommer og vi må ta nødvendige forholdsregler. Dette betyr å være kritiske til all informasjon vi mottar, forsikre oss om at den kommer fra pålitelige kilder, og være oppmerksomme på tegn til manipulasjon.
Et særlig område der vi må være på vakt, er sosiale medier. Her finner man manipulativ informasjon, ofte gjennom innlegg som spiller på følelser og skaper polarisering. Disse innleggene kan være designet for å fremme bestemte agendaer eller ideologier, og de utnytter ofte folks sterke følelsesmessige reaksjoner for å spre seg raskt og bredt.
Derfor må vi alle uavhengig av rolle, utvise en digital dømmekraft på sosiale medier. Vi må lære å identifisere tegn på manipulasjon, som overdreven polarisering, overdreven følelsesmessig appell og manglende faktabasert argumentasjon.
Ved å være oppmerksomme på slike tegn og ta oss tid til å verifisere informasjonen vi kommer over, kan vi beskytte oss selv og andre mot manipulasjon.
Min vurdering er at vår administrasjon arbeider planmessig, strukturert og følger fortløpende med på trusler og farer som gjelder informasjonssikkerhet. Dette gjør administrasjonen for å sikre både innbyggernes, ansattes og de folkevalgtes informasjon. Det skaper trygghet for oss som folkevalgte.