- 9. mai 2023
- Av:Oda Nødtvedt
Innsikt
‘- Krisen kan ramme i morgen
Det var advarselen fra Sofie Nystrøm, leder for Nasjonal sikkerhetsmyndighet (NSM), på talestolen under dagens fremleggelse av NSMs sikkerhetsfaglige råd til regjeringen.
Proactimas beredskaps- og sikkerhetseksperter Jo Tidemann og Hanne Cook har en tydelig oppfordring i lys av den ferske rapporten: Alle virksomhetsledere i Norge bør ta inn over seg rapporten, og styrer og ledergrupper bør sette dette på agendaen.
Ekspertene utdyper:
-Rapporten fra NSM er et tydelig og godt verktøy for arbeidet med sikkerhet og beredskap i norske virksomheter. Sammen med andre nasjonale trussel- og risikovurderinger gir den god beslutningsstøtte til arbeidet med å ta innover seg trusselbildet og reflektere over hva de ulike truslene betyr for egen virksomhet; det samfunnsoppdraget man skal levere på eller de verdiene man skaper. Virksomheter må stille seg spørsmålet «Hva er det med vår virksomhet som kan gjøre oss sårbare for de ulike truslene som identifiseres?»
NSMs sikkerhetsfaglige råd skal gi myndighetene oversikt over de viktigste sikkerhetsutfordringene Norge står overfor. Rådet blir NSMs viktigste innspill i langtidsplanene til Justis- og beredskapsdepartementet og Forsvarsdepartementet, sammen med fagmilitært råd og rapportene fra forsvarskommisjonen og totalberedskapskommisjonen.
Jo Tidemann, NSM bruker sterkere formuleringer enn vi er vant til, eksempelvis «Myndighetene må arbeide bevisst for å styrke forsvarsviljen i befolkningen». Hvorfor det?
-NSM er svært tydelige i framleggingen av sitt sikkerhetsfaglige råd i dag. Vi bør ta rapporten på alvor og handle deretter, både i offentlig og privat sektor. Utfordringene rundt pandemien var unødvendig store i den første tiden, og et godt eksempel på tydelige advarsler vi ikke tok nok på alvor. Ved et cyberangrep som bredt rammer kritisk samfunnsinfrastruktur i Norge vil tidsfaktoren medføre større press enn under pandemien i 2020 Mange har tatt inn over seg at «krisen kan ramme i morgen» og jobber godt med forberedelser. Men, det ligger dessverre iboende i oss å unnvike noe som er stort, truende og utfordrende. Vi må komme oss vekk fra «dette skjer ikke med oss».
Ordet «trussel» i ulike former er nevnt 167 ganger, «risiko» og «cyber» 73 ganger hver i løpet av rapportens 86 sider. Den kan leses nærmest som en oppfordring til nasjonal mobilisering for samfunns- og cybersikkerhet.
Hanne Cook, rapporten tegner et dystert bilde av Norges cyberberedskap?
-Ja, den slår fast at departementer og virksomheter mangler oversikt. De forstår ikke risikobildet. Forebyggende sikkerhetsarbeid strekker ikke til. «Norge oppnår dermed ikke et forsvarlig nasjonalt sikkerhetsnivå.», fastslår NSM. Rapporten ser også fremover mot 2030. Dette fremtidsblikket er det også vesentlig å ta med seg i utviklingsprosesser, fordi dette er faktorer som vil påvirke trusselbildet ikke bare i dag, men de kommende årene.
Ifølge NSM mangler næringslivet verktøy for å avdekke såkalte innsidere som kan være utplassert for å samle informasjon. Hva kan næringslivet gjøre?
-Innsidetrusselen er høyst reell, og det handler om å identifisere hvilke områder av virksomheten som kan være attraktive for etterretningsaktører. Her bør norske virksomheter gå gjennom rutiner for ansettelser, personaloppfølging, samarbeid med eksterne aktører og interne varslingsrutiner. Ikke minst handler det om å bygge en god sikkerhetskultur og en situasjonsbevissthet i organisasjonen, slik at ledere og medarbeidere er omforent om hva trusselen er og hvordan den påvirker virksomheten. Samlet kan slike tiltak bidra til å øke sjansen for å både forebygge og/eller avdekke atferd eller aktører som kan være forenlig med informasjonsinnhenting på vegne av fremmede etterretningstjenester.
Jo Tidemann, hvordan kan virksomheter gjennomføre strategiske planer eller satsninger på en slik måte at det tas høyde for truslene som kan ramme?
-God risikostyring og systematisk etablering av beredskap er det korte svaret. Men et viktig løft for evnen til å kunne reagere på eksempelvis cyberangrep, er at virksomheter kartlegger hvem interessentene er. Dette sier noe om hvem man skal og bør samhandle med. Etter en kartlegging bør man aktivt engasjere interessentene og skape en felles forståelse for gjensidig avhengighet, robusthet, ansvar og roller, samt kommunikasjonen som forventes. Så må man trene og øve på denne samhandlingen. Vi er fortsatt generelt for dårlige på samhandling under beredskapssituasjoner mellom virksomheter både i offentlig og privat sektor i Norge. Ved å fokusere på samhandlingen basert på risikobildet vil man bidra til å styrke samfunnssikkerheten.
Her er noen av hovedmomentene i rapporten:
- Beredskapsplanene for det sivile samfunn «mangelfulle». Infrastruktur som kan være sårbar i en krise eller krig er dårlig beskyttet.
- Ute i rommet øker truslene. Norsk romindustri er et attraktivt mål, mener NSM. Og den er for dårlig beskyttet mot angrep. Truslene kan være fysiske, dataangrep, støysignaler (jamming) og narremetoder (spoofing).
- Næringslivet mangler verktøy for å avdekke såkalte innsidere som kan være utplassert for å samle informasjon.
- Nasjonal innsats mot påvirkningsoperasjoner må samordnes i én etat. Det anbefaler NSM.
- NSM vil ha et nasjonalt program for teknologi og cybersikkerhet. Digital sikkerhet bør inngå som et obligatorisk fag i alle IKT- og teknologiutdannelser.
—
Hanne Cook en av landets fremste trusselanalytikere og holder til ved Proactimas kontor i Bergen. Hun har tidligere ledet arbeidet med politiets trussel- og risikovurderinger og blant annet analyseleder og fagleder ved etterretningsseksjonen i Vest politidistrikt.
Jo Tidemann er beredskapsekspert med fokus på håndtering av cyberangrep. Han har 16 års erfaring som konsulent innen risikostyring, beredskap, bærekraft, ledelse og sikkerhetskultur. Jo har bakgrunn fra Sjøforsvaret og holder til i Trondheim.
Vil du vite mer om hvordan Proactima kan bidra med råd og beslutningsstøtte for din virksomhet?
Ta kontakt med Hanne Cook eller Jo Tidemann for en prat.
