Det er metodisk sett ingen stor forskjell på fysisk og digital sikkerhet. Tradisjonelt har vi sikret verdiene våre lag på lag etter gamle sikringsprinsipper, ved å bygge barrierer som må forseres før man når inn til verdiene. Ser man på gamle festningsverk, finner man vollgrav, murer og porter som skulle forhindre og forsinke inntrenging. Det samme gjelder for IKT-strukturer, vi legger inn digitale murer lag på lag for å beskytte data og informasjon. Den operative forskjellen er at fysisk sikring ofte fokuserer på konfidensialitet og tilgjengelighet, mens for den digitale infrastrukturen, vil fleksibilitet i stor grad være viktig. Det utfordrer sikkerheten.

Sikkerhet og sikring i byer dreier seg gjerne om fysiske sikringstiltak som skal beskytte verdier som vi ikke ønsker skal gå tapt eller bli skadet ved en eventuell uønsket hendelse. Dette kan være byens innbyggere, kritisk infrastruktur, eller funksjoner og installasjoner som er viktige for den daglige driften av nasjonen Norge. I byrom og der mange mennesker ferdes, vil det være en utfordring når man skal bygge slike barrierer, siden fysiske hindringer påvirker flyt av både mennesker, syklister og biler, som igjen påvirker de kommersielle interessene. Det er dessuten dyrt og krevende å innpasse slike tiltak etter at bygg og områder er både ferdig planlagt, prosjektert og bygget. Å integrere sikkerhet i alle faser fra begynnelse til sluttføring, kan være med på å løfte et område, både med tanke på sikkerhet mot tilsiktede, uønskede handlinger og trygghet for de som ferdes der.

Den teknologiske utviklingen gir oss nye muligheter, men også nye sårbarheter. Alle sektorer og næringer knyttes i stadig større grad sammen gjennom teknologi og kommunikasjonsplattformer. Kompleksiteten øker når alt henger sammen med alt, med grensesnittene som potensielle sårbarheter. En digital trusselaktør vil kunne utfordre våre systemer gjennom etterretning, spionasje og sabotasje, og den sektorvise avhengigheten av våre grunnleggende funksjoner gir oss utfordringer når den digitale trusselaktøren ikke krever tilstedeværelse, men kan angripe fra hvor som helst i verden. Spørsmålet er da om den fysiske sikringen av våre byer er viktigere enn den digitale?

Mariann Dellnes

Bakgrunn i Forsvarsbygg og har lang erfaring med planlegging av fysisk sikring innen arkitektur og plan i offentlig sivil og militær sektor hvor verdier og funksjoner sikres mot tilsiktede og uønskede handlinger, som eksplosjoner, beskytning, inntrengning, sabotasje, etterretning og annen kriminalitet. Jobber for å gi risikoanalyser for tilsiktede og utilsiktede hendelser større plass i arealplanleggingen for et robust og resilient samfunn i stand til å møte fremtidens utfordringer. Fagleder sikre og trygge byrom.

Jack Fischer Eriksen

Har mange års erfaring fra Politiet i Oslo, både som leder og i operativ tjeneste, og er tidligere administrerende direktør i Næringslivets Sikkerhetsråd med kjernefelt sikkerhetspolitikk, kommunikasjon og sikkerhetsrådgivning på strategisk nivå mot regjerning, departementer, politi og næringsliv. Står bak flere større sikkerhetspublikasjoner i Norge og har sittet i Kontaktgruppen forebygging terror, referansegruppen til Regjeringens IKT strategi og Samordningsorganet til Riksadvokaten. Veileder og foredragsholder for masterkurset sikkerhet på Bergen Arkitektskole.

Alle foto: Advansia

Verdier rangeres som viktig, kritisk eller meget kritisk for opprettholdelse av funksjoner, og med ny sikkerhetslov vil dette også kunne gjelde andre virksomheter som understøtter grunnleggende, nasjonale funksjoner. Rangeringen av verdier reflekterer også hvilken restrisiko man er villig til å akseptere, at man tillater tap eller bortfall av en funksjon, eller at man ikke tillater i det hele tatt. Trusselaktøren deles inn i ulike kategorier og spenner som oftest fra statlig og målrettet aktør med profesjonelle verktøy til tilfeldig kriminelle med mindre effektive verktøy. Dette kan gi et estimat på tidsbruk for å fysisk forsere barrierene frem til verdien, og gir føringer for hvordan man planlegger og bygger opp barrierene.

Vedlikeholdet av de digitale systemene er helt avgjørende for motstandsdyktigheten mot truslene. Ved å koble sammen alt på nett, etablerer man nye sårbarheter, og hvordan er vi rustet til dette skiftet? Det digitale landskapet er krevende nok for IKT-ekspertisen, og det synes urimelig å forvente at befolkningen skal kunne ha tilstrekkelig digital kompetanse for å kunne beskytte seg mot alle former for digitale trusler.

Ordliste

Smarte byer: en by som «bruker digital teknologi til å gjøre byene til bedre steder å leve, bo og arbeide i. Smartby-initiativer har som mål å forbedre offentlige tjenester og innbyggernes livskvalitet, utnytte felles ressurser optimalt, øke byenes produktivitet, og å redusere klima- og miljøproblemer i byene. Digital agenda for Norge – IKT, Meld. St. 27 (2015–2016))

IOT/Internet of Things/Tingenes Internett er nettverket av identifiserbare gjenstander som er utstyrt med elektronikk, programvare, sensorer, aktuatorer og nettverk som gjør gjenstandene i stand til å koble seg til hverandre og utveksle data. Teknologirådet

Kunstig intelligens/Artificial Intelligence (AI): Informasjonsteknologi som er i stand til å styre sin egen aktivitet. Store norske leksikon

Maskinlæring: En underkategori av kunstig intelligens, og omhandler systemer som lærer basert på grunnlagsdata og brukeradferd. Store norske leksikon

Autonome systemer: Systemer som helt eller delvis kan operere selvstendig. Det finnes ulike grader av autonomi – fra systemer hvor et menneske har overordnet kontroll over de fleste av operasjonene, til systemer som fungerer helt uavhengig av en menneskelig operatør. DigitalNorway

Sensorikk: Innretning som registrerer en påvirkning, for eksempel bevegelse, temperatur eller lys. Store norske leksikon

Den kvantifiserte byen

Når vi snakker om smarte byer, snakker vi gjerne om hvordan digitalisering kan gjøre fremtidens byer bærekraftige, effektive og trygge for innbyggere og næringsliv. Smarte byer betyr digitalisering til glede for innbyggerne og økt verdiskapning, men det omfatter også ny teknologi som både skal implementeres, sikres og vedlikeholdes.

Smarte byer er også sårbare byer når styringssystemer og enkeltkomponenter kobles sammen på internett. Kameraet du har montert for å overvåke hytta, energistyringen til hjemmet ditt, betalingstjenester, adgangskontroller, printere, kjøleskap og trådløse enheter er alle dører til infrastruktur. Når man legger til forventninger til brukeropplevelse, skapes sårbarheter i den felles infrastrukturen. Sikkerhet alene er ikke vanskelig å oppnå, og åpenhet alene er heller ikke vanskelig å oppnå. Utfordringen kommer når disse to variablene skal og må kombineres.

Relevante spørsmål kan være i hvor stor grad deling av data er nødvendig for at vi skal ta ut effekten av frem­tidens smarte byer, og hvilke hensyn som skal veies tyngst i denne utviklingen – personvern, informasjons­sikkerhet, tilgjengelighet eller brukervennlighet? Disse grensene utfordres trolig i takt med den teknologiske utviklingen og den digitale avhengigheten mellom sektorene i samfunnet. Med globaliserte og leveransedyktige tjenester kreves det god bestillerkompetanse, at systemene må vedlikeholdes og oppdateres, og at sårbarheter må detekteres og lukkes underveis.

Store mengder data genereres av sensorer plassert ut i byene av både myndigheter og private aktører. Sensorene får input på byens tilstander, eksempelvis kan dette være måling av støybelastning, trafikkflyt, ladekapasitet for el-biler eller ledige sykkelparkering og parkeringsplasser. Informasjonen sendes videre til sentraler via radiosignaler eller kabler, og genererer et stort datagrunnlag for videre vurdering. Over tid genereres stor-data, som gjør det mulig å måle effekt av endringer, gjøre uttrekk, sammenstille og analysere. Man kan se for seg den at digitale byen fremstår en dynamisk organisme som måles og monitoreres med IKT-infrastrukturer der nettverket er veier med dører inn til styringssystemer og andre verdier. Dette kan innebære en automatisering av hele organismen, for eksempel gjennom rutiner for re-ruting, nivåer på varslinger og alarmer, som selv regulerer toleransegrenser før gjenopprettelsesmodus må iverksettes. Man kan også se for seg viktigheten av en analog tvilling til den digitale, for de mest kritiske funksjoner, slik at disse også skal kunne opereres manuelt ved en eventuell hendelse – tilsiktet eller utilsiktet.

Virksomheter kan ha større motivasjon og muligheter til kontroll av tilgang, håndtering og avhending av både hardware og software i de vanlige og tradisjonelle IKT-infrastrukturer, slik som nettverk, servere og lagring. Dette gir en viss sikkerhet og beskyttelse, men når det gjelder apper, sensorer og forbrukerelektronikkk, vil forbrukerens krav og forventninger til fleksibilitet og pris være viktigere enn sikkerhet. I tillegg vil sårbarhetene også ligge i at det er mange som ikke har IKT som fag og som implementerer, plasserer ut og bruker disse verktøyene.

Tingenes Internett vs. tingenes Bekvemmelighet

Kretsløpene av sammenkoblede komponenter som genererer data og som styrer infrastrukturer, kaller vi gjerne Tingenes Internett (The Internet Of Things – IOT). I denne sammenhengen er beskyttelse mot angrep som manipulerer data eller hindrer data i å bli produsert en viktig faktor. Typisk for IOT og sensorikk, er at mye data kommer til å bli lagret og prosessert nær kildene fordi det er krevende å sende store mengder til et datasenter, der de ville kunne bli beskyttet. Det betyr at sensitive data vil kunne komme til å bli behandlet i distribuerte nettverk i skyløsninger. Vedlikehold og oppgradering av distribuerte systemer med installasjon av sikkerhetspatcher og oppdatering av passord for ekstremt mange enheter vil være utfordrende, men fordelen er at sårbarheten ikke behøver å få samme konsekvens ettersom mindre enheter, ofte med begrenset prosesseringskapasitet er involverte.

Salg av innsamlede data og informasjon fra sensorer er en egen business, og fra mobiler, ipad’er, biler og kamera kan man i dag kjøpe anonymiserte data fra teleoperatører som forteller hvor vi er, hvor vi beveger oss og beste rute fra A til B. Ekthet, riktighet, eierskap og juridiske spørsmål knyttet til denne informasjonen vil også bli viktig.

Maskinlæring og kunstig intelligens baserer seg på programmerte verdier, uten at man nødvendigvis tar inn over seg sikkerheten eller etikken til disse. Det pågår etikkdebatter om kunstig intelligens (AI) og i hvor stor grad dette skal få kontrollere alt fra autonome kjøretøy til våpensystemer. Det eksisterer ikke et globalt og omforent normverk basert på en felles kulturell plattform, noe som er relevant når man angir verdivariabler i algoritmer. Globalt sett har vi individuelle oppfatninger av og ulike lovverk for hvor mye overvåkning som bør være tillatt. Spørsmålet er hvordan håndterer man dette i smarte bygg når variablene beveger seg inn og ut av grenseland for innsamling av data.

Maskinlært arealplanlegging?

Norge er allerede ledende på smart sensorikk, avansert robotstyring, autonome skip og kjøretøy, intelligent trafikkstyring og ladeinfrastruktur for elbiler. Regjeringen har nedfelt følgende målsetning i Nasjonal strategi for digital sikkerhet (2019): «En vellykket digitalisering handler også om at løsningene ivaretar krav til sikkerhet og den enkeltes personvern på en god måte, og at vi kan ha tillit til at digitale løsninger fungerer slik de skal.»

Kunstig intelligens står i dag allerede klar til å planlegge våre byer, basert på data som blir foret inn i maskinen som input, og output som generes er forslag til løsninger. Inputdata kan være reguleringsbestemmelser, grunnforhold, solforhold, støymålinger, infrastruktur, veiplaner, nabolagsprofiler, kriminalitetsprofiler og så videre. Output kan gi en rekke ulike indikasjoner på optimale tomtevalg, best mobilitetsflyt og gunstige knutepunkt, trafikkavvikling og byggehøyder.

Dette er i mange tilfeller både flott og tidsbesparende og gir beslutningstagere et mangfoldig grunnlag å planlegge videre fra. Det kan på en annen side slå uheldig ut dersom mye av input er basert på ufiltrerte data fra sensorer, og ikke en kvalitativ utvelgelse. Med andre ord: Hvordan knytter man verdivurdering av informasjon til prosessert AI og selvlærende systemer?

Hvordan skal vi kontrollere at AI-systemene ikke produserer feil og desinformasjon? Og er vi mer opptatt av å være mer innovative enn trygge på løsningene som utvikles? For et samfunns motstandsdyktighets skyld vil dette være vitale data i en beredskapssammenheng – å vite at energiforsyningen er i stand til å møte gitte behov i varierende situasjoner, at data for risikoanalysene er valide, at de er sanne, og at de er oppdaterte.

Små bedrifter – store problemer

Basert på Krisino 2019 (Kriminalitets- og sikkerhetsundersøkelsen i Norge ved Næringslivets Sikkerhetsråd) har kun 28 % av 2 500 intervjuede ledere sagt at de siste året har gjennomført en risikoanalyse knyttet til kriminalitet. Dette medfører at store deler av næringslivet er ubevisst sin risiko, noe som gir enorme sårbarheter. Det offentlige er derimot flinkere til å gjennomføre risikoanalyser. Ca. 90 % av norsk næringsliv har 10 ansatte eller færre, og det er disse virksomhetene som i minst grad er bevisst sin risiko, og dette gir samfunnet som helhet en stor risiko. Det offentlige Norge blir mer og mer avhengig av private virksomheter, som underleverandører og eiere av kritisk infrastruktur. Næringslivet er på mange måter del av vårt totalforsvar, og må beskyttes mot digitale trusler langt bedre enn i dag.

Hvis vi ser til Mørketallsdataunder­søkelsen 2019 (utgitt av Næringslivets Sikkerhetsråd), har cirka 40 % av alle norske virksomheter rapportert at de har hatt en eller flere alvorlige IKT hendelser i løpet av 2018. En av de største bekymringene er at mange virksomheter ikke oppdager at de er utsatt for hendelser, og i over 50 % av tilfellene skyldes hendelsene menneskelige feil. Brukerne av teknologien utgjør den største sårbarheten og slik vil det trolig også være i lang tid fremover. Og trenden er tydelig, trusselaktørene angriper det svakeste ledd for å komme frem til verdiene, og målutvelgelsen er enkel – de små og mellomstore virksomhetene, som ikke har ressurser eller kunnskap om sin egen risiko.

Med mer digitalisering, flere avhengigheter og sårbarheter, må menneske bak maskin få mer kunnskap – hvis ikke går vi i møte en fremtid med sårbarheter som blir større med økt digitalisering, globalisering, tjenesteutsetting, spredning av systemer og utfordringer med vedlikeholdet av disse. Dette gir oss ikke-akseptable sikkerhetsutfordringer hvis vi skal utvikle smarte byer. Vi må utvikle sikre, trygge og smarte byer, og ta inn over oss at det er et stort gap mellom folks kompetanse og teknologiens utvikling.

Avsluttende kommentarer

Vi har metoder til å både forebygge og forhindre den tradisjonelle vinningskriminaliteten, ved hjelp av gode planleggingsprosesser, sosiale forebyggingstiltak og håndtering av hendelser. Kriminaliteten i cyber­domenet vil kreve en helt annen innsats i form av ressurser og bygging av digital kompetanse i alle sektorer.

Den digitale sikkerheten i kritiske samfunnsfunksjoner er et prioritert område i Nasjonal strategi for digital sikkerhet. Det overordnede målet er at kritiske samfunnsfunksjoner skal være understøttet av en robust og pålitelig infrastruktur, og at dette også gjelder samfunnsfunksjoner utover det som omfattes av sikkerhetsloven. Det som fremheves spesielt, er de gjensidige avhengighetene på tvers av digitale infrastrukturer, og at virksomheter bør vite hvilke tjenester de selv er avhengig av og hvilke potensielle skadekonsekvenser eventuelle hendelser kan ha for resten av kretsløpet.

I den fysiske verden er det sikkerhetskrav til alt fra lekeapparater, sykler, akebrett, husholdningsapparater og kjøretøysperrer, mens vi i den digitale verden – satt på spissen – lar krav til brukeropplevelse og personvern være drivere for sikkerheten knyttet til komponenter i dette digitale kretsløpet. Her er vi både bidragsytere og har gjort oss avhengige, og disse avhengighetene kombinert med åpenheten, er kanskje det som gjør oss mest sårbare akkurat nå.

Referanser

Departementene (2019). Nasjonal strategi for digital sikkerhet. regjeringen.no

Justis- og beredskapsdepartementet (2019). Nasjonal strategi for digital sikkerhetskompetanse

Justis- og beredskapsdepartementet (2019). Lov om nasjonal sikkerhet (sikkerhetsloven)

Næringslivets sikkerhetsråd (2019). Kriminalitets- og sikkerhetsundersøkelsen i Norge 2019 (KRISINO)

Næringslivets sikkerhetsråd (2019). Mørketallsundersøkelsen 2018. Informasjonssikkerhet, personvern og datakriminalitet

Deane Simpson; Vibeke Jensen; Anders Rubing (red) (2016). The City Between Freedom and Security: Contested Public Spaces in the 21st Century. ISBN-13: 978–3035609707 ISBN-10: 3035609705

Forsvarsbygg v/Nasjonalt kompetanse­senter for sikring av bygg (2017). Sikringshåndboka. Håndbok i sikring og beskyttelse av eiendom, bygg og anlegg mot terrorhandlinger, spionasje, sabotasje og annen kriminalitet

Nasjonal sikkerhetsmyndighet (2019). Råd for systemteknisk sikkerhet; Veiledere, håndbøker og råd

Politiets sikkerhetstjeneste (2015). Terrorsikring. En veiledning i sikrings- og beredskapstiltak mot tilsiktede uønskede handlinger

Stian Antonsen (2018). Bør alle smarte byer ha en analog tvilling? Om IKT i Smarte Byer. #Sintefblogg

Direktoratet for samfunnssikkerhet og beredskap (2017). Samfunnssikkerhet i kommunens arealplanlegging. Metode for risiko- og sårbarhetsanalyse i planleggingen. ISBN 978–82–7768–421–5

Lasse Fridstrøm (2019). Dagens og morgendagens bilavgifter. Transportøkonomisk institutt TØI rapport 1708/2019