Kapittel 1 Grunnleggende begreper for informasjonssikkerhet

I dette kapitlet lærer du hva informasjonssikkerhet er, og også betydningen av andre sentrale begreper relatert til informasjonssikkerhet. Det hersker dessverre en del forvirring rundt noen begreper, der denne boken tar stilling. Du lærer om denne forvirringen slik at du selv ikke blir forvirret når begrepene dukker opp i ulike betydninger og sammenhenger.

Det kan være forvirrende at det benyttes mange forskjellige begreper med (delvis) samme betydning, som for eksempel datasikkerhet, IT-sikkerhet, informasjonssikkerhet, cybersikkerhet og digital sikkerhet. Nye ord skapes kontinuerlig, og ordenes popularitet endrer seg over tid. «Datasikkerhet» har vært populært fra 1980-tallet, «cybersikkerhet» dukket opp og ble populært fra 2010-tallet, mens «digital sikkerhet» ble skapt av norske myndigheter i 2019 i den hensikt å være et samlebegrep for begrepene ovenfor. Når det også rimer godt med begrepet «digitalisering», har «digital sikkerhet» fått en viss popularitet. «Informasjonssikkerhet» har hatt en jevn popularitet gjennom hele denne perioden. Dessuten er «informasjonssikkerhet» en direkte oversettelse av det engelske «information security», som er nedfelt i en rekke internasjonale standarder og rammeverk. Denne boken velger å hovedsakelig bruke ordet «informasjonssikkerhet» med betydning som stort sett overlapper med de andre begrepene.

For purister handler informasjonssikkerhet også om beskyttelse av informasjon på papir eller formidlet gjennom analoge lydbølger, mens digital sikkerhet bare omhandler beskyttelse av digital informasjon. Hvis for eksempel noen kollegaer diskuterer sensitiv informasjon mens de har lunsj på en kafé, slik at andre personer hører hva de sier, så er det strengt tatt ikke et brudd på digital sikkerhet, men et brudd på informasjonssikkerhet. Det har egentlig liten nytte å fokusere på denne forskjellen, for i praksis har begrepene den samme betydningen.

Det fins mange ulike definisjoner på datasikkerhet, cybersikkerhet og IT-sikkerhet, som typisk refererer til sikkerhet for ting som på en eller annen måte er koblet til datanett eller internett. Et eksempel er følgende definisjon som er hentet fra Wikipedia:

Datasikkerhet, cybersikkerhet eller IT-sikkerhet er beskyttelse av datasystemer og datanett mot angrep fra ondsinnede aktører som kan føre til uautorisert informasjonsavsløring, tyveri av, eller skade på, maskinvare, programvare eller data, i tillegg til avbrudd eller feil ved tjenestene de leverer.1

Begrepet sikkerhet er overlesset med ulike meninger på norsk, noe som kan skape forvirring. Som eksempel viser figur 1.1 nedenfor hvordan tre svært ulike engelske begreper typisk oversettes til «sikkerhet», selv om hvert engelske begrep har gode separate oversettelser til norsk.

Engelsk Norsk

Security

Safety Sikkerhet Certainty (dårlig oversettelse)

Engelsk Norsk

Security Sikkerhet

Safety Trygghet Certainty Visshet (god oversettelse)

Setningene nedenfor gir eksempler på overlesset bruk av «sikkerhet» og hvordan det bedre kan uttrykkes med spesifikke begreper.

Etter bølgen av cyberangrep mot biler med alvorlige ulykker som konsekvens kan vi med sikkerhet si at sikkerhet i biler er viktig for sikkerhet i trafikken.

En bedre formulering av samme setning er:

Etter bølgen av cyberangrep mot biler med alvorlige ulykker som konsekvens kan vi med visshet si at cybersikkerhet i biler er viktig for trygghet i trafikken.

Begrepet «usikkerhet» er på tilsvarende måte overlesset med ulike meninger. For å ha et rikere språk bør «unsecure» oversettes som «usikker», «unsafe» og «insecure» som «utrygg», og «uncertain(ty)» som «uviss(het)».

Selv om «sikkerhet» og «usikkerhet» er overlessede ord, blir vi i praksis sjelden forvirret fordi vi raskt forstår den rette betydningen ut fra sammenhengen. Likevel er det språkfattig å overlesse «sikkerhet» og «usikkerhet» med ulike meninger – det er bedre å bruke ord med klare separate betydninger, noe denne boken forsøker å gjøre. 1 Wikipedia, s.v. «Computer security», lest 28.03.2023 (min oversettelse). https://en.wikipedia.org/wiki/Computer_security.

Et tilfelle der betydningsforskjellen er avgjørende, er når vi snakker om et feilsikkert (fail secure) eller feiltrygt (fail safe) system. Et eksempel kan være en ståldør til et sikkert hvelv der låsen er styrt elektronisk. En feilsikker lås er at den automatisk går i lås hvis strømmen forsvinner, for å beskytte verdiene i hvelvet. En feiltrygg dør er at den automatisk åpnes hvis strømmen forsvinner, slik at det ikke oppstår fare for at mennesker stenges inne i hvelvet.

I de fleste tilfeller er det ikke feil at «certainty» og «safety» oversettes til «sikkerhet», og de fleste ordbøker og Google translate gjør nettopp det. Likevel anbefaler denne boken å oversette «certainty» til «visshet», og «safety» til «personsikkerhet» eller «trygghet».

Generelt sett er sikkerhet beskyttelse av verdier mot skade, der det fins mange ulike kategorier av verdier som hver kan skades på forskjellige måter.

Sikkerhet er beskyttelse av verdier mot skade.

Sentrale verdikategorier kan for eksempel være eiendom, infrastruktur, demokrati, samfunnsorden, liv og helse, miljø, data og personinformasjon. For hver av disse verdikategoriene er det veletablerte fagområder for sikkerhet:

• Fysisk sikkerhet er beskyttelse av fysisk eiendom mot innbrudd, tyveri og ødeleggelse.

• Personsikkerhet/safety/trygghet/HMS er beskyttelse av liv og helse.

• Miljøsikkerhet er beskyttelse av miljøet ved å forhindre forurensning og invasjon av fremmede arter i naturen.

• Sivil sikkerhet er opprettholdelse av lov og orden, også kalt rettssikkerhet.

• Samfunnssikkerhet er beskyttelse av kritisk infrastruktur og grunnleggende funksjoner som energiforsyning, kommunikasjon og transport.

• Nasjonal sikkerhet er opprettholdelse av vår nasjonale suverenitet, territorielle integritet og demokratiske styreform (se definisjon fra sikkerhetsloven i avsnitt 15.3.1).

• Informasjonssikkerhet er beskyttelse av konfidensialitet, integritet og tilgjengelighet av informasjonsverdier (se definisjon i neste avsnitt).

• Person(opplysnings)vern er beskyttelse av personopplysninger gjennom krav til innsamling, lagring, sletting, deling og behandling av informasjon om personer (se kapittel 10 om personvern).

Verdi-/sikkerhetskategoriene ovenfor har ofte gjensidige avhengigheter. For eksempel er informasjonssikkerhet naturligvis helt essensielt for samfunnssikkerhet fordi kritisk infrastruktur styres av IT-systemer. I sektorer der personsikkerhet/safety er svært sentralt, benyttes begrepet «sikkerhet» typisk i betydning av «safety», mens begrepet «sikring» ofte benyttes i betydning av «informasjonssikkerhet». Olje- og gassindustrien er nettopp en slik sektor. Figur 1.2 viser at det fins ulike kilder og årsaker til sikkerhetsbrudd.

Fysisk sikkerhet

Personsikkerhet/safety

Miljøsikkerhet

Sivil sikkerhet

Samfunnssikkerhet

Nasjonal sikkerhet

Informasjonssikkerhet Personvern

Innen fagfeltet informasjonssikkerhet fokuseres det mest på tilsiktede handlinger som årsaker til hendelser. Samtidig er det viktig å ta i betraktning at informasjonsverdier også kan skades som følge av menneskelige feil, tekniske feil, systematiske feil og naturhendelser. Systematiske feil betyr at sikkerhetsbrudd oppstår på grunn av inadekvate spesifikasjoner for systemer og prosesser. Sagt på en annen måte: Sikkerhetsbrudd oppstår nettopp fordi systemene er korrekt bygget etter spesifikasjoner som er feil. Tekniske feil er relativt lett å rette ved å sørge for at systemet er i samsvar med spesifikasjonene. Systematiske feil kan være vanskelig å rette fordi spesifikasjonene først må rettes slik at systemene kan endres, eller nye systemer må bygges. Hvis feilen allerede fins i milliarder av systemer, må disse først fases ut, som kan ta mange år. Svakheter i mobilnett er et eksempel på dette, som beskrevet i avsnitt 7.4.5.

Generelt sett er informasjonssikkerhet å beskytte informasjonsverdier mot skade. En informasjonsverdi kan være selve informasjonen, men også ressurser for representering og behandling av informasjonen. Eksempler på informasjonsverdier er data, fysisk IT-utstyr og infrastruktur, systemer, konfigureringer, programvare, applikasjoner og til og med menneskelige ressurser. Det fins altså ingen tydelig avgrensning av hva som kan være en informasjonsverdi.

På den annen side fins det en klar definisjon på hvordan informasjonsverdier kan skades, nemlig gjennom brudd på konfidensialitet, integritet eller tilgjengelighet. Målsettingen for informasjonssikkerhet er dermed å opprettholde Konfidensialitet, Integritet og Tilgjengelighet (forkortet KIT) for informasjonsverdier. På engelsk kalles sikkerhetsmålene Confidentiality, Integrity and Availability, forkortet som CIA. Dette kalles ofte KIT-triaden, typisk illustrert som i figur 1.3.