Vi må stå løpet ut

Illustrasjonsbilde.

Ingen av hendelsene i vårt scenario er fiktive, selv om de er forsterket og flyttet i tid og rom. Hendelsene kunne også vært biter av en hybrid operasjon mot Norge – regissert av en annen stat. Scenariet beskriver en mulig operasjon der en stat bruker politiske, økonomiske, militære og sivile virkemidler; for å oppnå noe overfor Norge uten å trigge at NATO griper inn.

Scenariet beskriver en mulig operasjon der en stat bruker politiske, økonomiske, militære og sivile virkemidler for å oppnå noe overfor Norge uten å trigge at NATO griper inn. 

Scenariet beskriver hendelser i mange sektorer: kraft, telekommunikasjon, tungindustri, luftfart, skipsfart, nødetater, bank, buss og tog. I alle disse sektorene finnes mange svært kompetente ledere, driftspersonell og sikkerhetsfolk som kan «fikse greiene» i egen virksomhet – men bare i eget hus og innen egen sektor. 

I 2015 etablerte Statsministerens kontor et fast sekretariat for Regjeringens Sikkerhetsutvalg (RSU). Sikkerhetsutvalget ledes av statsministeren og er regjeringens organ for å diskutere og ta beslutninger i viktige graderte sikkerhets- og beredskapsspørsmål. I vårt scenario ville hendelsene aldri nådd RSU. De hadde blitt håndtert i den enkelte virksomhet, kanskje rapportert til direktorat og departement, kanskje politianmeldt, men neppe blitt sett i sammenheng. 

Hvert departement har ansvar for samfunnssikkerhet og beredskap i egen sektor. Dette gjør det utfordrende å oppnå felles forståelse av at vi utsettes for en koordinert operasjon, siden ingen som kontinuerlig oppdaterer situasjonsbildet, utleder konsekvenser eller utvikler hypoteser. Hvilket departement eller direktorat er det som skal trykke på den «store røde knappen»? På hvilket grunnlag beslutter regjeringens ledelse å iverksette nasjonale beredskapstiltak og når? Er det RSU som skal gi anbefalingen – og i så fall – på hvilket felles grunnlag og hvor raskt?

Grenseløst og hurtig

I fjorårets rapport sa vi: «Samhandling mellom norske sikkerhetsmyndigheter, Forsvaret, Politiet og andre naturlige samarbeidspartnere i sivil sektor er avgjørende for å oppnå robust sikkerhet og beredskap i Norge. I hele krisespekteret, fra normalsituasjon til en alvorlig hendelse treffer samfunnskritiske funksjoner, er det avgjørende at ressursene finner hverandre så raskt som mulig.» 

Telenor Norge mener fortsatt at et «Situasjonsrom Norge» er nødvendig. Med vårt digitaliserte samfunn og den fremtiden som ligger foran oss, må statsministeren til enhver tid kunne få et bilde av rikets tilstand på tvers av sektorer sammen med konsekvensbeskrivelse og beskrivelse av hvilke hypoteser det arbeides etter. Situasjonsrommet må ledes av noen med fullmakt til å ta tverssektorielle beslutninger. Det må være både embetsbeslutningskraft og politisk beslutningskraft på samme sted. Det må ikke være opp til sektorene å overprøve dette. I situasjonsrommet må det være evne til å ta beslutninger og gjøre prioriteringer for å håndtere hendelsen(e) med minst mulig konsekvens for samfunnet og borgerne. Dette vil være en investering i nasjonal beredskap og kunnskap på tvers av sektorer. 

Sjefen for Cyberforsvaret, generalmajor Inge Kampenes, peker tydelig på behovet for at vi må samarbeide mer og på nye måter når han sier «Det betyr at den digitale sikkerheten til norske private og offentlige virksomheter i større grad enn noen gang tidligere er tett knyttet til statssikkerheten. Samfunnssikkerheten og statssikkerheten smelter på denne måten sammen. Det innebærer at vi må jobbe på en bredere front enn det vi har gjort de siste årene.» 

Når sjefen for NC3, avdelingsdirektør Olav Skard Jørgensen, snakker om hvordan hans folk samarbeider tett med blant annet cyberkrimsentrene i Sverige, Finland, Danmark, Island, Storbritannia, Nederland, Tyskland, Europol og Interpol, samt med spesialistmiljøer i blant annet Frankrike, Spania, Japan, New Zealand, Canada, USA og Australia så viser det tydelig hvor grenseløst «the fifth domain» er.

Alle snakker om behov for å se helhet

I 2018 kom NATO til Norge; NATO-øvelsen Trident Juncture 2018 brakte 50.000 soldater til Norge som øvde noen uker i Sør-Norge. Hele Totalforsvaret var aktivt for å få tropper inn, øvelsen gjennomført og få alle hjem igjen. For Telenor Norge var Trident Juncture en beredskapsoperasjon som varte i over et år. Gode forberedelser, formalisert samarbeid med Cyberforsvaret og andre sentrale aktører ga oss kontinuerlig god situasjonsforståelse. Takket være etablerte gode grensesnitt kunne feil forebygges og forhindres. Formalisering av ansvar og grensesnitt er nødvendig når vi skal sikre statssikkerhet og samfunnssikkerhet. 

Generalsekretær Jens Stoltenberg sa på NATOs Cyber Defence Pledge Conference i London i mai blant annet: «NATO er ikke immun. Vi registrerer mistenkelige hendelser mot NATOs cybersystemer hver dag. Og cybertrusler vil bli farligere med utviklingen av ny teknologi slik som kunstig intelligens, maskinlæring og «deep fakes» der mennesker manipuleres inn i «nyheter». Disse teknologiene endrer fundamentalt krigens natur like mye som den industrielle revolusjonen gjorde. NATO tilpasser seg denne nye virkeligheten. NATOs ledere har blitt enige om at et cyberangrep kan utløse artikkel 5 i NATO-traktaten der et angrep mot en alliert blir behandlet som et angrep mot alle. NATO har utpekt cyberspace som et militært domene.»

I rapporten «Comparing Cyber Security. Critical Infrastructure protection in Norway, the UK and Finland» peker NUPI på samarbeid som nøkkelen. De har sett på utfordringer knyttet til digitalisering, privatisering og globalisering av kritisk infrastruktur i kraft- og telekommunikasjonssektorene. 

Forskingsprosjektet avdekket at små nasjoner som Norge og Finland sliter med kapasitetsbegrensninger når det gjelder hendelseshåndtering. NUPI peker på tre trender som utfordrer kritisk infrastruktur: 

  • Kritisk infrastruktur blir i økende grad digitalisert, og sikkerheten til kritisk infrastruktur dreier seg stadig mer om IKT-sikkerhet. 
  • De kritiske funksjonene befinner seg ofte i private hender, men viktigheten de har for moderne stater gjør at sikkerheten handler om mer enn økonomiske tap. 
  • Kritisk infrastruktur er i økende grad sammenkoblet og globalisert: kraftledninger og kommunikasjonsnett spenner over landegrenser.

NUPI illustrerer ulikheten i Finlands, Storbritannias og Norges tilnærming til håndtering av cyberhendelser slik:

Digital Sikkerhet
Digital Sikkerhet
Digital Sikkerhet

Det er stor forskjell på de tre modellene og sannsynligvis er ingen av de riktig for Norge fremover, men vi har kanskje noe å lære fra andre nasjoner. Rent illustrativt så kan det se ut som vi i Norge bør forenkle og formalisere. 

NSRs hybridundersøkelse setter fingeren på et fenomen; flertallet tror andre er utsatt, men ikke de selv: «Virksomheter som tror det er vanlig at virksomheter blir utsatt for hybride trusler i Norge, anser det som lite sannsynlig å selv bli utsatt. En høy prosentandel av respondentene, 60 prosent, mener det er vanlig at virksomheter blir utsatt for hybride trusler. Samtidig oppgir 48 prosent at de mener det er usannsynlig at sin egen virksomhet blir utsatt for hybride trusler. Trenden ser vi på tvers av sektorer, geografi og virksomhetenes størrelse.»

På mange måter sammenfaller dette med tenkemåten til norske virksomheter som er beskrevet i et funn i DSBs evalueringsrapport etter «Øvelse OSLO» i 2006: «[..] Aktørene er gjennomgående mer fornøyd med egen organisasjon enn andre [..]».

Samhandling på tvers

Dette vitner om manglende trusselforståelse i virksomheters risikostyring. Men det krever også en forankret og felles situasjonsforståelse utover virksomhetene. Hybride operasjoner krever proaktivitet og samhandling på tvers av sektorer, departement og ansvarsområder.

Næringslivets Sikkerhetsråd sier i sin betraktning til Hybridundersøkelsen: «Totalforsvarskonseptet går ut på at det skal være gjensidig støtte og samarbeid mellom Forsvaret og det sivile samfunn i hele krisespekteret fra fred via sikkerhetspolitisk krise til krig. Dette krever at næringslivet og myndighetene har en tett dialog og deler informasjon.» 

Hybride trusler og trusselbildet vi befinner oss i tar ikke hensyn til offentlige sektorinndelinger og ansvarsområder. Situasjonen vi står overfor nå krever derfor proaktivitet, samhandling på tvers av sektorer, departementer og ansvarsområder, samt en forankret og felles situasjonsforståelse. 

Erfaringsmessig fokuserer vanlig krisehåndtering mer på det reaktive. Derfor bør privat-, sivil-, politi- og militær sektor legge opp til mer gjensidig informasjonsflyt og øvelser knyttet til proaktivitet. 

Vi står midt i den femte industrielle revolusjon og er deltakere i et nasjonalt maraton på mange områder. Vi trenger samhandling og evne til kommando og kontroll. Med Totalforsvaret og en fortløpende tilgjengelig situasjons- og konsekvensforståelse oppdager vi det hybride angrepet mot Norge før det er for sent. 

Det har begynt å skje noe, men når samfunnet digitaliseres mer og mer må vi gjøre ting annerledes enn før. Vi må stille oss spørsmålet om eksisterende samfunnsstrukturer er robuste nok for fremtiden. Digitalisering skjer fortløpende. Da må måten vi samhandler på justeres tilsvarende.