Sjøsikkerhetsavdeling
Sentral postadresse: Kystverket Postboks 1502 6025 ÅLESUND
Telefon: +47 07847 Internett:
E-post: www.kystverket.no [email protected]
For besøksadresse se www.kystverket.no Bankgiro: 7694 05 06766 Org.nr.: NO 874 783 242 Brev, sakskorrespondanse og e-post bes adressert til Kystverket, ikke til avdeling eller enkeltperson
Justis- og beredskapsdepartementet Postboks 8005 Dep
0030 OSLO
Deres ref.: Vår ref.:
2014/5206-15 Arkiv nr.:
005 Saksbehandler:
Bjørnar Kleppe Dato:
14.03.2016
Høring - "Digital sårbarhet - sikkert samfunn" (NOU 2015:13)
Det vises til brev fra Justis- og beredskapsdepartementet til Kystverket – Innspill Høring -
"Digital sårbarhet - sikkert samfunn" (NOU 2015:13), datert 9. desember 2015. Når det gjelder utvalgets anbefalinger innenfor transportområdet, i kapittel 18.5 Vurderinger og tiltak på tvers av transportsektoren, har Kystverket disse synspunktene.
Kystverket er enig med utvalget i at digitale sårbarheter utgjør et potensial for svikt i transportsystemet og for ulykker, at utviklingen gjør at dette potensialet vil øke ettersom tiden går, og at dette gjør det nødvendig å øke innsatsen mot digitale sårbarheter.
Utvalget skriver i kap 18.4.3 Beredskap og hendelseshåndtering, om at det ikke er kjent at norsk maritim sektor har vært berørt av alvorlige hendelser knyttet til digitale sårbarheter.
Kystverket og DnV GL utførte Sjøsikkerhetsanalysen 2014 som blant annet bestod av en bred analyse av omfang og årsaker til skipsulykker i norske farvann gjennom de siste 20 årene. Her ble det heller ikke påvist at digitale sårbarheter er en viktig årsak til
skipsulykker. Ressursinnsatsen mot digitale sårbarheter bør antagelig øke fremover, men bør likevel stå i et rimelig forhold til at de erfarte skadevirkningene tross alt har vært små så langt.
Kommentarer til anbefalingene som utvalget gir i kapittel 18.5 Vurderinger og tiltak på tvers av transportsektoren:
Utvalget vil anbefale at sektoren går igjennom beredskapsplanene og sjekker disse opp mot digitale sårbarheter og reserveløsninger. Beredskapsplanverket må også ha planer for å håndtere digitale kriser der leverandører befinner seg utenfor Norges grenser.
Innenfor Kystverkets sjøsikkerhetstjenester, har vi de senere åra økt fokuset på digitale sårbarheter i våre tjenester, for eksempel via ROS-analyser og påfølgende tiltak for de mest sentrale sjøsikkerhetstjenestene som Kystverket leverer. Særlig med vekt på tilfeller med tap av offentlig ekom eller sentrale IKT-systemer. Kystverket tar utvalgets anbefaling til etterretning, og vil ta sikte på å ivareta denne gjennom strategien for samfunnssikkerhet i Kystverket. Denne er under utarbeidelse nå med både informasjonssikkerhet og IKT-
sikkerhet som sentrale fokusområder.
HOVEDKONTORET
Side 2
Utvalget anbefaler at Samferdselsdepartementet styrker tilsynsmyndighetene innenfor transportsektoren innen IKT-sikkerhet.
Når det gjelder Kystverkets ansvarsområde, så er Kystverket delegert tilsynsmyndighet i forhold til sikkerheten i norske havner og havneanlegg som mottar skip i internasjonal fart.
Sikringskravene fremgår av EU-forordning 725/2005, herunder SOLAS Kapittel XI-2 og ISPS-koden, samt EU-direktiv 2005/65. Dette er implementert i norsk lov gjennom forskrift nr 538 om sikring av havneanlegg og forskrift nr. 539 om sikring av havner. Det er etablert en egen organisasjon i Kystverket for å ivareta tilsyn, veiledning og utvikling av dette regelverket.
Havnesikringsregelverket omfatter også sikring av IKT-systemer og nettverk, men uten at sikring mot eksterne digitale cyberangrep mot disse systemene er spesifikt omhandlet.
Cybersecurity var heller ikke et fokusområde i IMO da SOLAS Kapittel XI-2 og ISPS-koden ble utviklet. Dette regelverket har i første rekke fokus på fysisk sikring i forhold til
uautorisert tilgang til og utnyttelse av disse systemene. Regelverket og de norske forskriftene innebærer således pr. i dag ingen tilsynsplikt i forhold til tiltak rettet mot
eksterne digitale cyberangrep, og Kystverket har pr. i dag heller ikke kompetanse til å føre tilsyn i forhold til dette aspektet. Hvis det i tilsyn og veiledning etter
havnesikringsregelverket skal legges spesiell vekt på cyberaspektet innen IKT-sikkerhet og digitale sårbarheter, så vil det være nødvendig å styrke Kystverkets kompetanse og
ressurser ved å tilføre relevant IKT-sikkerhetskompetanse.
Når det gjelder dimensjoneringen av tilsynsinnsatsen innenfor IKT-sikkerhet, så må rammene rundt det eksisterende regelverket og gjeldende internasjonal praksis for å pålegge tiltak, hensyntas. Samtidig må det vurderes hvor stor innsats en ønsker å legge i å understøtte og veilede havnene utover tilsynsrammene med sikte på frivillighet.
Utvalget vurderer at det er behov for en felles rapporteringskanal både fra myndighetene til sektoren og fra sektoren til myndighetene når det gjelder IKT-hendelser.
Utvalget mener at Samferdselsdepartementet bør utrede hvordan rapportering av IKThendelser bør ivaretas for sektoren.
Kystverket er tilknyttet NORCERT i dag, og mottar varsler om IKT-angrep via denne tjenesten. I tillegg har samferdselsetatene etablert et samarbeidsforum for IKT og informasjonsikkerhetshendelser innen egne etater. Vi kjenner ikke til at private
aktører/maritim næring er tilknyttet et CERT-miljø i dag, men vi ser at det foreslåtte tiltaket er hensiktsmessig og bør utredes. Kystverket kan bidra til å viderebringe varsler eller til å legge til rette kontaktinformasjon til/fra næringen. Av tema som kan være aktuelt å vurdere i sammenheng med en ny varslingstjeneste kan være:
a. utfordringer med å få til innapportering av hendelser fra aktører der dette ikke er pålagt slik det er for havner innenfor havnesikringsregelverket
b. hvilken rolle innrapporteringen skal ha
c. fortrengning av eksisterende kommersielle tilbydere
d. eventuelle hensyn til skjerming av kunnskap om NORCERTs evner
Utvalget vil anbefale at Kystverket gis et overordnet ansvar for å ha en helhetsoversikt over IKT-sikkerheten i maritime verdikjeder
Som utvalget peker på, så er IKT-sikkerheten et område som trolig vil få økende betydning fremover. Blant annet gjennom skipsbroer med høy grad av integrasjon mellom
komponenter, mot tjenester som leveres fra kilder utenfor skipet, innføring av E-navigasjon og på sikt også en mulig utvikling av førerløse fartøy. Kystverket er enig med utvalgets
Side 3
anbefaling og mener et slikt ansvar bør tillegges Kystverket. Det å etablere en oversikt over området og sektorens verdikjeder, vil være et løpende arbeid der oversikten må holdes ved like over tid. Det vil kreve en evne til analyse, vurdering av sårbarheter, behov for tiltak og eventuelt også å koordinere eller veilede gjennomføring av tiltak. Det kan også være naturlig å se dette i sammenheng med oversikt over IKT-angrep / hendelser innen maritim sektor. En oversikt over hele den maritime sektoren vil trolig kreve tilsvarende type
kompetanse som behøves for å møte de anbefalingene som utvalget gir om tilsyn og hendelsesrapportering. Kystverket imøteser en nærmere dialog med departementet rundt omfanget og innholdet i ansvarsområdet.
Utvalget anbefaler Samferdselsdepartementet, i samarbeid med andre relevante
myndigheter, å ta initiativ for å finne en løsning på dette (sikring av identitet) internasjonalt.
Som utvalget peker på er det utfordrende å håndtere sterke sikkerhetsløsninger, som omfatter utstedelse av sertifikater og krypteringsnøkler, når brukerne ofte ikke er norske og også i noen tilfeller der behovet for å kommunisere ikke er kjent i god tid før det oppstår.
Som utvalget peker på, vil dette trolig kreve løsninger som er felles for den maritime sektoren globalt. Samtidig er regelverk for skjerming og behandling av persondata ulikt mellom land, og dette er også noe som det kan måtte tas hensyn til.
FNs maritime organisasjon, International Maritime Organization (IMO), arbeider i dag med å utvikle konseptet E-navigasjon som skal bidra til en fremtidsrettet bruk av digitale
systemer i skipsfarten. IMO E-navigasjon inneholder flere kommunikasjonskomponenter, blant annet Maritime Cloud, som kan bli et globalt kommunikasjonsnett mellom alle
maritime aktører, både skip og på land. IMO tar sikte på at Maritime Cloud skal basere seg på eksisterende kommunikasjonssystemer og tilføre mobilitetshåndtering, tjenestekatalog og sikkerhet. Blant annet ser en for seg at Maritime Cloud skal inneholde mekanismer for autentisering, autorisering og kryptering som kan tas i bruk der slik sikring er nødvendig.
En viktig del av maritim utveksling av personopplysninger knytter seg til meldeplikter ved havneanløp. I Norge gjøres dette gjennom den felles nasjonale portalen SafeSeaNet som opereres av Kystverket på vegne av norske maritime myndigheter og havner. Kystverket har i dag også fått ansvar for å organisere dette arbeidet med skipsrapportering innenfor IMO E-navigasjon, og deltar også i arbeidet med internasjonale retningslinjer for dette i IMOs Facilitation Committee (FAL). Samtidig som rapportering av ulike data ved havneanløp er pålagt i de fleste land, er det ikke klart per i dag at IMO vil innføre E- navigasjon som et pålegg på skip. Etter Kystverkets syn er IMO den naturlige arena for å ivareta temaet om sikring av data og internasjonal identifisering.
Med hilsen
Arve Dimmen Trond Langemyr
fung. kystdirektør fung. sjøsikkerhetsdirektør
Dokumentet er elektronisk godkjent
Side 4 Vedlegg:
