Vi vet at avanserte hybride operasjoner består av mange angrepsmetoder og vi vet at digitale angrep kan ha like lange leveransekjeder som våre egne. Hvordan skal Norge kunne se en helhet der kanskje også en pandemi utnyttes som del av en hybrid operasjon? Hvordan kan vi få en tverrsektoriell tilnærming og utnytte den samlede kompetanse slik at beslutningene tas på et helhetlig grunnlag?
Scenarioet vi beskrev i Digital Sikkerhet 2019 var satt sammen av reelle enkelthendelser i og utenfor Norge som så ble lagt inn i en hypotetisk tidslinje over tre uker: GPS-jamming, ransomware, sabotasje mot sambandsinstallasjon, utfall av AMK-sentraler og sabotasje mot 113, redusert kapasitet i Nødnett, problemer med GPS-posisjonering, utfall av nettbanktjenester, lokal jamming av mobilnett, brann og innbrudd på et av Telenor Norges anlegg, Avinor uten kontakt med Eurocontrol, droner i innflyging ved OSL, person omkommet på grunn av forgiftet drikkevann, feil på strømstyring ved helikopterbase, tog og busser stanser på grunn av systemfeil, eksplosjon i hydrogentank og Norge ekomdødt på fem sentrale steder.
«Fiksjon og beslutningstagning blandes for sjelden.» Slik begynner en artikkel av Richard Fontaine, Chief Executive Officer ved Center for a New American Security (CNAS) i War on the Rocks i april.
Fontaine fortsetter: «Den lærde politikeren leser rapporter, bøker og forskningsartikler, alt sammen innrettet mot å skulle gi den høyest mulige kvalitetstenkningen før sentrale avgjørelser. Disse innspillene - til og med de uunngåelige klassikerne - er nesten ubarmhjertig sakprosa. I mitt eget felt med nasjonal sikkerhet vender man seg ofte til Thucydides og Hobbes, Machiavelli og Sun Tzu, Waltz og Kissinger. Det er langt mindre vanlig å se de som er dypt inne i utenrikspolitikk, økonomi eller helse fordype seg i Tolstoj eller Dickens, Mishima eller Achebe, Marilynne Robinson eller Michael Chabon.
Dagens globale krise demonstrerer hvorfor de burde gjøre det. Når politikere treffer hastebeslutninger med enorme, livsendrende konsekvenser, trekker de på sitt lager av intellektuell kapital samlet over flere tiår. Hver disiplin - psykologi, økonomi, biologi, historie – analyserer verden gjennom et bestemt prisme. Likevel er det bare fiksjon som inviterer oss inn i andres sinn, tar oss gjennom tid og rom og gir oss en slags opplevelse vi ellers aldri kunne oppnå. Ved å trollbinde oss med karakterene og historiene, hjelper skjønnlitteraturen beslutningstakere til bedre å forstå mennesket, og forme hensiktsmessig respons.»
Fontaine trekker frem både Søren Kierkegaard og Virginia Woolf og han er langt fra alene om å henvise til å lese fiksjon og skjønnlitteratur for å evne å ta gode beslutninger i krise eller forstå at en krise er i ferd med å oppstå.
Pensjonert admiral og tidligere Supreme Allied Commander Europe (SACEUR) James G. Stavridis sa i et intervju i 2015 blant annet: «Som et verktøy for å forstå verden og for å forstå hvordan du kan endre verden, synes jeg skjønnlitteratur er utrolig viktig. Vi må erkjenne at det er forskjeller i hvordan folk lærer og hva folk vil lese, for meg – og jeg tror for de aller fleste mennesker – er det å lese historier den beste måten å lære på.»
Den kortreiste maten med reservedeler fra USA
Direktør Odin Johannessen i NSR skriver i sin kronikk blant annet: «Vi har blitt mer spesialiserte. Enkle ogarbeidsintensive prosesser foretas i lavkostnadsland,mens vi fikser det avanserte selv. Det har skapt lange ogkompliserte verdikjeder. Om noe inntreffer i Asia, får detkonsekvenser også for oss. Når verdensfabrikken for myeog mangt, Kina, blir stengt på grunn av et virus, stopperproduksjonen også opp i Europa og USA.»
De fleste har tatt inn over seg at vi lever i et samfunn der vi er avhengig av andre nasjoner for å bygge et digitalisert moderne Norge. Vi kunne for eksempel ikke produsert telekommunikasjon i Norge med kun norske produkter, du ville ikke kunnet lese denne rapporten uten at produkter fra en rekke land og mennesker fra en rekke virksomheter var involvert. Det er mange leverandører og underleverandører som igjen har underleverandører som også har underleverandører før du får bilen din, telefonen din, pengene dine, maten din eller undervisningen via Internett.
Telenor Norge gjennomgår, som resten av næringslivet, endringer i egen organisasjon for å tilpasse oss nye krav fra myndigheter og marked. Økende kompleksitet og ny teknologi stiller krav til ny kompetanse og arbeidsmetodikk. Stadig mer komplekse verdikjeder stiller større krav til hvordan vi samhandler og følger opp leverandører og underleverandører. En verdikjede er altså langt mer enn teknologi, det er kunnskap, kontrakter, vedlikeholdsavtaler, industriproduksjon, forskning og utvikling, transport, mennesker – og tillit.
Maten kan være så kortreist den vil, traktoren bonden trenger er også avhengig av globale verdikjeder, laste- bilene som frakter maten til grossistens lager og videre til butikken er ikke produsert i Norge. De digitale løsningene som holder orden på lagerbeholdning og pakksedler ville ikke virket uten at deler og programvare fra mange nasjoner var satt sammen i et system av systemer.
Trusselaktørene vet – og utnytter
Vi har blitt flinkere til å beskytte verdier, systemer, produkter og løsninger. Dette medfører at trusselaktørene ser etter alternative svakheter eller bruker nye metoder og mer ressurser for å oppnå sine intensjoner.
Verdikjedene kan ha sårbarheter både hos mennesker, i teknologi og prosesser. Jakt på og utnyttelse av svakheter i verdikjeder er kjente handlemåter for avanserte trusselaktører.
IKT-systemer fra forskjellige selskaper i mange land som knyttes sammen medfører en økt risiko der hvor selskaper med generelt lavere sikkerhetsnivå enn i Norge knyttes til norske systemer. Dette medfører at vi må tenke beskyttelse av de lange linjene. Vi må stille formelle krav og vi må kontrollere. Trusselaktørene på sin side ønsker kunnskap om hvem vi bruker som leverandører og underleverandører for å kunne slå til der verdikjeden er svakest.
Et eksempel på en aktør som angriper digitale verdikjeder er en myndighetssyrt aktør som sannsynlig er kinesisk og kjent under mange navn; «Barium», «ShadowHammer», «ShadowPad» eller «Wicked Panda». Under infeksjonen av ASUS Live Update ble 600.000 maskiner initielt infisert, men kun 600 maskiner ble utnyttet. Under infeksjonen av CCleaner ble så mange som 700.000 maskiner infisert, men kun omkring 40 av disse ble videre utnyttet. Aktøren var altså meget målrettet i valg av mål. Det ville være naivt å anta at slike operasjoner ikke også rettes mot norske virksomheter.
Når vi beskytter våre digitale verdier må vi ikke glemme at de står i fysiske omgivelser. Hvis den fysiske beskyttelsen ikke holder tritt med den logiske så har vi gitt trusselaktøren spillerom. De avanserte aktørene vil drive både fysisk og logisk innhenting for å sikre informasjon til senere, kanskje som del av en langsiktig sabotasjeoperasjon.
Og så har vi kommet til menneskene; innsidetrusselen er ikke ny, men den er blitt aktualisert både på grunn av globaliserte forretningsmodeller med lange verdikjeder, og fordi gode tekniske beskyttelsesmekanismer etableres mot angrep på IKT. Myke mål (mennesker) blir dermed en viktig vei inn til den mest verdifulle informasjonen som strategier, planer, forskning, beredskap, systemkonti og administratorrettigheter. PST er tydeligere enn noen gang i å påpeke at fremmed etterretning vil rekruttere kilder og kartlegge personer og virksomheter i Norge. Kultivering av kilder over lang tid er en prioritert handlemåte fra statlige aktører som ønsker innpass i norske virksomheter.
NTNU-rapporten «Har samfunnssikkerheten blitt bedre etter 22.juli 2011» fra forskningsprosjektet The next disaster (NEXUS) oppsummeres funnene slik:
Risikoerkjennelsen i samfunnet generelt, og blant aktører som arbeider med samfunnssikkerhet og beredskap, har økt. Terrorangrepene 22. juli 2011 ser ut til å ha hatt en lignende effekt på samfunnssikkerhets- og beredskapsområdet som Alexander Kielland-ulykken hadde på HMS-arbeidet i norsk petroleumsvirksomhet. Dette i form av en økt bevissthet om at hendelser med lav sannsynlighet og store konsekvenser må komme på dagsorden og bli prioritert.
Det øves mer, og scenarioene er mer krevende enn tidligere – ikke bare i form av større og flere hendelser, men også gjennom involvering av flere aktører og økt fokus på samvirke.
En omfattende rekke med tiltak er iverksatt i justissektoren. De aller fleste av disse er imidlertid av strukturell art, mens Gjørv-kommisjonens hovedkonklusjon i stor grad pekte på kulturelle utfordringer.
I tiden etter 22. juli 2011 ble mye ressurser brukt på samfunnssikkerhet på relativt kort tid. Disse ressursene har imidlertid blitt skjevt fordelt mellom de ulike forvaltningsnivåene. Det kommunale og regionale nivået har ikke blitt styrket i samme grad som departements- og direktoratsnivået. Dette til tross for at forventningene til kommunenes arbeid med samfunnssikkerhet er økende, blant annet gjennom forskrift om kommunal beredskap.
Vi finner få tegn til at samordningsproblemet er løst. Et nytt samvirkeprinsipp er innført, men vi kan ikke se at dette i seg selv er tilstrekkelig til at ressursene skal finne hverandre. Samordning knyttet til forebyggende arbeid mellom ulike etater og forvaltningsnivå har det største forbedringspotensialet.
I nyeste utgave av Politiets beredskapssystem, del – Retningslinjer for politiets beredskap fra 11. mai står det: «Med sammensatt virkemiddelbruk, også kalt hybrid virkemiddelbruk, menes i denne sammenheng statlige eller ikke-statlige aktørers trusler om eller bruk av en kombinasjon av politiske, militære og økonomiske maktmidler og informasjon og sivile virkemidler for å utnytte sårbarheter, skape uro og oppnå bestemte mål.
Målet vil som oftest være å påvirke beslutninger i ønsket retning. Dette gjøres ved å skape usikkerhet og forvirring rundt hva som skjer, og om intensjonene bak aktivitetene. Eksempler på slik virkemiddelbruk er desinformasjon, påvirkningskampanjer, angrep mot digitale tjenester og infrastruktur og ulovlig datainntrengning.
Enkelthendelser kan oppstå innenfor flere ulike sektorer og med lang tid mellom hver hendelse. Det gjør det både krevende å avdekke at de er en del av samme kampanje, og å håndtere dem på best mulig måte. Det er ofte mye som er usikkert i slike situasjoner, blant annet kan det være vanskelig å vite om ulike hendelser kan knyttes til én og samme trusselutøver, og uklart hva trusselutøveren ønsker å oppnå.»
I digitale operasjoner mot Norge, norske interesser, norske virksomheter og norske borgere er imidlertid ikke datamaskinen, telefonen eller nettverket eller teknologien i seg selv det som er trusselaktørens mål. Han ønsker å stjele informasjon som teknologien bærer eller forberede en operasjon som kan sette teknologi ut av spill, han er på jakt etter en konsekvens for samfunnet eller inntekter til seg selv.
Det er fortsatt en del, både i privat, offentlig, sivil og militær sektor som tenker på cyberangrep som noe digitalt, noe annet enn «ordentlige angrep» og det er fortsatt de som mener at vi har robust beredskap og håndteringsevne i Norge. Det er veldig bra at Norge har fått en satsing i justissektoren for å forbedre den totalt nasjonale cyberrobustheten.
I politiet har Norge fått Nasjonalt cyberkrimsenter i Kripos (NC3) som skal bistå norsk politi i konkrete etterforskninger og videreutvikle spisskompetanse innenfor cyberområdet. I Nasjonal Sikkerhetsmyndighet er Nasjonalt cybersikkerhetssenter (NCSC) etablert for å styrke Norges motstandsdyktighet og beredskap i det digitale rom. Men hverken NC3 eller NCSC kan eller skal sitte med hypoteseutvikling og konsekvensforståelse av totaliteten: «Hva hvis dette har en sammenheng?» Den nasjonale overkommandoen med privat- offentlig, sivil og militær sektor som har evne og mandat til nasjonal tverrsektoriell kommando og kontroll finnes ikke.
Tenk om coronakrisen hadde vært en rask, og ikke langsom, krise …
Tenk om en stat hadde benyttet coronakrisen og iverksatt scenarioet vi beskrev i Digital Sikkerhet 2019 samtidig …
Sektorprinsippet står, men tverrsektoriell situasjonsforståelse og evne til å utlede hypoteser, og mulige konsekvenser, så vel som å forsvare oss må gjøres tverrsektorielt. Det gjøres mye og godt arbeid i sektordepartement og direktorater, men vi må også ha en tverrsektoriell 24/7 toppnode i Norge med kommando og kontroll. Vi tror tiden er overmoden for en politisk debatt om robusthet og beredskap – vårt digitale Norge angripes fordi vi har verdier, informasjon og beliggenhet som trusselaktører ønsker å utnytte og benytte til sin fordel.
Alt avhenger av alt
Det trengs et bredere kunnskapsgrunnlag knyttet til å redusere risikoen som følger av gjensidige avhengigheter, og konkrete tiltak som sikrer bedre felles nasjonal situasjons- og konsekvensforståelse. En utredning for en fremtidsrettet totalberedskap må sikre samordning og samhandling på tvers av sektorer, inkludere flere offentlige og private virksomheter og sikre samarbeid mellom myndigheter og virksomheter innenfor avklarte roller og ansvar. Det er i tillegg viktig at både offentlige og private virksomheter stiller krav om sikkerhet i anbudsprosesser for å sikre moderne og fremtidsrettet nasjonal beredskap som inkluderer bredere. Det gjelder også gode og effektive prosesser for klarering av nøkkelpersonell.
Robusthet og beredskap må også bygges med tanke på hybride operasjoner. Det er selvsagt at vi da må ta vare på logikken som kommer fra rasjonalitet og vitenskap - men vi må også ta i bruk logikken som beskrives av kunstnere, diktere og historiefortellere. Vi må tenke litt fiksjon for å kunne forberede oss på morgendagens trusler. Vi tror det er helt nødvendig får å kunne bygge hypoteser utenfor boksen – og derigjennom god trusselforståelse, konsekvensforståelse og nasjonal robusthet.