Sikkerhet er ikke et valgfag

Sikkerhet går ikke over, blir aldri god nok og er ikke enkelt, la oss erkjenne det. Sikkerhet handler om å beskytte seg mot noe som kanskje ikke vil skje, og dermed veies ofte kostnader opp mot nytteverdi. Selv om vi alle kan forstå en mulig negativ konsekvens av et potensielt sikkerhetsbrudd, så er sannsynligheten for at noe skjer en diskusjon. For det vil jo gjerne gå bra. Vil det ikke?

I Digital sikkerhet 2020 fokuserte vi på leverandørkjedesikkerhet. Siden den gang er offentligheten blitt kjent med en drøy håndfull store og alvorlige – og ikke minst vellykkede leverandørkjedeangrep. Et angrep utført av russisk etterretning mot programvareselskapet SolarWinds Inc. har rettmessig fått mye medieoppmerksomhet.

I årets rapport borer vi enda mer i temaet leverandørverdikjeder og beskyttelse, og vi ønsker å bidra til å knuse noen myter. Myter om at sikkerhet hindrer organisasjonens evne til å være smidig, at brukeren er det mest sårbare leddet eller at sikkerhet gir en dårlig brukeropplevelse. Det handler om å flytte oppmerksomhet mot hva som kan løses, i stedet for alt som sikkerhetsarbeid utfordrer.

Veldig ofte hører vi «Det er ikke noe en virksomhet, offentlig eller privat, kan gjøre for å motstå operasjoner fra avanserte trusselaktører.» Vi er ikke enige i det. Det er fullt mulig å velge å skaffe seg aktørbasert trusselforståelse og motstandsdyktighet. Man kan med større sannsynlighet oppdage, bremse og stanse en trusselaktør om man velger en holistisk og risikostyrt tilnærming til sikkerhet. Hvis du velger å gjøre det vanskelig og risikabelt for trusselaktøren å operere uten å bli oppdaget, og øker sannsynligheten for at angrepet kan feile, vil aktøren meget sannsynlig tenke seg om en gang til før han angriper.

I de siste årene har Etterretningstjenesten (E) og Politiets sikkerhetstjeneste (PST) vist stor åpenhet ved å publisere gode trusselvurderinger. Nasjonal sikkerhetsmyndighet (NSM) har på samme måte publisert gode risikovurderinger. Disse rapportene mener vi er viktig at virksomheter hensyntar i sitt sikkerhetsarbeid. Dessverre synes det i dag fortsatt å være mange virksomheter som ikke tar innover seg hva disse vurderingene kan bety for egen virksomhet.

Telenor Norge har valgt å legge arbeid i å forstå hva rapportene fra E, PST og NSM har å si for oss som markedsaktør, samfunnssikkerhets- og statssikkerhetsaktør – og ikke minst hva innholdet i dem har å si for våre kunder. Vi kan ikke spå, men vi har valgt å ville forstå hva trusselaktører, statlige og kriminelle, ønsker å oppnå, hva de kan, hvilke metoder de benytter og hvilke sårbarheter de ønsker å utnytte. Vi kan ikke bygge en god grunnsikring uten å velge å forstå dette, og hva det betyr for egen organisasjon. Trusselvurderingen skal gi organisasjonen innsikt i hva det er vi må oppnå beskyttelse mot og brukes aktivt i risikostyring. I år har vi også valgt å belyse det menneskelige aspektet som sikkerhetstjenestene peker på. Det er ikke bare i filmindustrien spennende ting skjer, rekruttering av agenter skjer også i virkeligheten. Det skjer gjennom menneskelige relasjoner.

Myndighetene gjør også valg som kan forbedre samfunns- og statssikkerheten vår i måten de velger å legge til rette for og stimulere både forvaltningen, virksomheter og innbyggere. Stortingsmeldingen om samfunnssikkerhet (Meld.St. 5 2020-2021) etterlater ingen tvil om hvordan situasjonen er: «Den sikkerhetspolitiske situasjonen er forverret, noe som medfører økt risiko for spionasje, digital kartlegging og sabotasje, og spredning av desinformasjon og falske nyheter. Samfunnets økte digitalisering gir statlige og ikke-statlige aktører nye verktøy og arenaer til å forfølge sine strategiske interesser.»

Meldingen gir en god beskrivelse av sammenhengene og avhengighetene som blir stadig viktigere for samfunnets sikkerhet. Det er foreslått flere tiltak som vi oppfatter kan skape en forskjell, og hvor en sektorovergripende tilnærming er vanskelig å unngå. Vi etterspør en dreining av fokus der styring på tvers av sektorer står mer sentralt enn koordinering, og at tiltakene i enda større grad ledet mot gjennomføring enn utredning.

God samfunnssikkerhet henger sammen med den grunnsikringen som etableres gjennom virksomheters daglige virke for oss som brukere og kjøpere av offentlige og private tjenester. Spørsmålet vi må stille oss alle er om arbeidet har nok prioritet sett opp mot alt annet som skal gjøres, og hvor langsiktige man er i sikkerhetsarbeidet. Er vi villige til å prioritere sikkerhet opp mot andre kriterier når virksomheten kjøper inn varer og tjenester? Og tar vi de riktige grepene for å sikre tilgang på kritisk kompetanse på sikkerhetsområdet?

Rekken av sikkerhetshendelser er lang og konsekvensene varierer, men mange hendelser viser at sikkerhetsarbeidet ikke har hatt høy nok prioritet. Vi snakker 2021 – vi er opplyste og vi har de beste forutsetninger til å ta gode valg. Hva holder oss tilbake?

Det krever tid og kunnskapsbygging å gå i front for godt sikkerhetsarbeid, både fra ledelse og fagmiljøer. Aksept av at det foreligger en risiko er første skritt på veien. Bevisste valg er veien videre. Én åpen dør kan medføre store samfunnskonsekvenser. Ett feil valg kan tømme bankkontoen din. Myndigheter, offentlige og private virksomheter og vi som innbyggere må alle ta aktivt del i kunnskapsbyggingen slik at vi sammen, og alene, kan gjøre de gode valgene.

Christer Eneroth, sikkerhetsdirektør, Hanne Tangen Nilsen, sikkerhetsdirektør bedriftsmarkedet og Petter-Børre Furberg, administrerende direktør i Telenor Norge.