Cyberwar is happening - and it’s about to get much, much worse advarer Joel Brenner i en artikkel på foreignpolicy.com. Han fokuserer på kineserne, som for ti år siden hacket seg til 20 terabyte data fra Pentagon, og i 2009 prøvde å stjele kildekoden til Google. Mens førstnevnte eksempel viser hvordan et vellykket dataangrep kan gi en fremmed makt tilgang til sensitive statshemmeligheter, kan Google-angrepet kanskje best klassifiseres som moderne industrispionasje - en slags ny variant av jakten på den berømte Coca Cola-oppskriften. 

Men cyberkrigføring kan få mer direkte konsekvenser enn som så. Gjennom en svært sofistikert aksjon har vestlige etteretningstjenester lykkes i å stikke kjepper i hjulene for Irans atomprogram ved å plante viruset Stuxnet i deres datasystemer.

Her til lands har Hafslund Nett avdekket forsøk på hacking i sine datasystemer. Og det er vanskelig å forestille seg hvor alvorlige konsekvenser et dataangrep som setter det norske strømnettet ut av spill vil kunne få. Et slikt verste-fall scenario vil lamme de fleste grunnleggende samfunnsfunksjoner og få dramatiske konsekvenser for liv og helse. Usannsynlig, kanskje, men den siste tids hendelser har lært oss at det nettopp er for det usannsynlige vi må planlegge. 

Og om strømnettet ikke rammes direkte er likevel det meste av vår samfunnskritiske infrastruktur sårbar for dataangrep. Forrige uke ble det avdekket at uvedkommende kunne overta kontrollen over Oslos vannforsyning ved hjelp av en mobiltelefon med Bluetooth og koden 0-0-0-0. 

Et dataangrep vil også alvorlig kunne ramme samfunnets kommunikasjonssystemer. Da mobilnettet falt ut tidligere i år sto ca 13.000 bygninger “som barnehager skoler, alders- og sykehjem”  uten brann- og tyverialarmer.  Dersom internett som sådan faller ut vil det selvsagt få enorme konsekvenser for samfunnets evne til å fungere. Den offentlige utredningen “Når sikkerheten er viktigst” (NOU 2006:6) konkluderte blant annet med at “en rekke kritiske funksjoner som dekker samfunnets grunnleggende behov er avhengig av elektroniske kommunikasjonsett og - tjenester.” 

Takket være IKT-revolusjonen er det blitt slik at alt henger sammen med alt i vår kritiske infrastruktur. Et dataangrep som rammer internett vil i tillegg til å sette kommunikasjonsevnen ut av spill kunne ramme strøm- og vannleveranse og vice-versa. Det er nettopp denne gjensidigheten som gjør samfunnet så sårbart. 

For mange vil kanskje dette fremstå som selvfølgeligheter. Og for de som har fulgt med bør ikke sårbarhet i kritisk infrastruktur være nyheter. Både Willoch-rapporten “Et sårbart samfunn”, (NOU 2000:24), den tidligere nevnte “Når sikkerheten er viktigst” (2006:6) og ikke minst FFIs BAS-forskningsprosjekt har i stor grad fokusert på konsekvensene av IKT-revolusjonen for samfunnssikkerheten. Jeg anbefaler alle å skumme rapportene - det er skremmende lesning. 

Så hvor flinke er vi til å beskytte oss mot dataangrep? Ikke veldig, skal vi tro Nasjonal Sikkerhetsmyndighet:

“Mange virksomheter – offentlige så vel som privat, underlagt sikkerhetsloven eller ikke – har ikke nødvendige forebyggende sikkerhetstiltak og systemer for å vedlikeholde disse”, heter det i deres “Rapport om sikkerhetstilstanden 2010”.  Videre skriver de: 

Det er til dels vesentlige mangler i det forebyggende sikkerhetsarbeidet med konsekvenser for den nasjonale sikkerhetstilstanden (…) Sikkerhetsarbeidet for å beskytte den økende mengden viktig informasjon, og kritiske samfunnsinfrastrukturer og -objekter har stagnert”.

Det er grunn til bekymring. Men det er i det minste et godt tegn at vi nå snakker om utfordringene. Det å øke den generelle bevisstheten i statlige og private virksomheter er et viktig skritt mot et tryggere samfunn. Men bedre offentlig styring og tilsyn må også til. Arbeidet med å beskytte kritisk infrastruktur er så viktig at det må være en topp politisk prioritet - og det bør seriøst vurderes å legge ansvaret inn under et eget sikkerhetsdepartement.