Vi skal gjøre det vanskelig

Hanne Tangen Nilsen

Som eier av Norges viktigste digitale infrastruktur må vi ha solid kunnskap om hvilke utfordringer og trusselaktører som kan og vil påvirke den digitale sikkerheten. Denne innsikten deler vi med norske myndigheter, kunder og samarbeidspartnere. Gjennom denne rapporten ønsker vi å dele noe av vår kunnskap og tilnærming til sikkerhetsarbeid med flere.

Telenor Norge håndterer cyberangrep daglig; alt fra avanserte forsøk på spionasje, sosial manipulering og lammelse av tjenester til forsøk på innbrudd, tyveri og økonomisk bedrageri. I vår jobb med å designe, utvikle og operere Telenor Norges nett og tjenester skal vi gjøre det vanskelig for de som har uredelige hensikter å gjøre skade på vår infrastruktur, svindle, manipulere eller stjele informasjon.

Som Berit nevner innledningsvis er cybersikkerhet en strategisk viktig kompetanse for oss. Det gjør jobben min som sikkerhetsansvarlig noe enklere. Ledelsens evne til å forstå sikkerhetsrisiko er avgjørende for hvordan god sikkerhetsledelse kan utøves. Å bygge kompetanse og forståelse tar tid. Kompetanse er nøkkelen til å endre holdninger og adferd. Derfor legger vi stor vekt på å bygge tilstrekkelig kompetanse i alle ledd av virksomheten.

Det krever også en tilnærming der risikostyring er en sentral del av virksomhetens styringsmodell, og hvor risiko og tiltak er noe som diskuteres, forankres og besluttes. Vi kan ikke redusere konsekvens til null, men et tydelig risikobilde gir ledelsen mulighet til å prioritere tiltak som reduserer handlingsrommet til trusselaktørene.

Myndigheter, kritiske samfunnsfunksjoner, infrastruktureiere, leverandører og enkeltmennesker har alle et ansvar for å sørge for et motstandsdyktig samfunn. Gjennom flere utvalg de senere årene, og nå senest Stortingsmelding nr 38 (2016-2017) IKT-sikkerhet – Et felles ansvar, setter myndighetene søkelyset på nødvendigheten av å styrke sikkerhetsarbeidet i alle ledd. Sett fra vår side er det mange gode tiltak som adresseres, spørsmålet vi allikevel tillater oss å stille er om myndighetene setter nok krefter bak sine tiltak. Det er fortsatt mange tiltak som skal utredes, vil vi reelt sett se handling fremover?

Tør myndighetene modernisere sin tilnærming til militært-sivilt samarbeid, herunder å gi private virksomheter en sentral rolle i Totalforsvaret? Når skal politiet får ansvaret for kriminalitet i cyberspace fra a til å - slik de har det i alle andre domener?

Rekken av spørsmål fra vår side er mange, mest av alt fordi dette engasjerer oss og fordi vi har et ansvar i fred, krise og krig. Vi leverer kritisk infrastruktur, og vi skal beskytte tjenester så vel som informasjon om enkeltindividers digitale liv. Vi er den som kan gjøre vår digitale infrastruktur motstandsdyktig, og vi er den som reelt sett håndterer hendelser når noe skjer.

Heldigvis har vi i Norge (da denne rapporten gikk i trykken) ikke opplevd alvorlige cyberangrep som har slått ut samfunnskritiske funksjoner slik Ukraina opplevde da deler av strømforsyningen ble tatt ut i 2015, 2016 og 2017. Om det vil skje i Norge en dag kan ingen svare på, men vi må likevel være forberedt på det.

Norske myndigheter, infrastruktureiere og kritiske samfunnsaktører må ruste seg for å takle slike angrep, i fellesskap. Dette må vi jobbe sammen om. Det er vi alle tjent med.


Hanne Tangen-Nilsen

Sikkerhetsdirektør i Telenor Norge