– Vi bærer Norges digitale samfunnssikkerhet på våre skuldre

Hanne Tangen Nilsen

Samfunnsikkerhet er en kjerneoppgave for oss i Telenor, men hva betyr det egentlig? Vi har tatt en prat med sikkerhetsdirektør Hanne Tangen Nilsen for å forstå hva et slikt ansvar innebærer.

Hei Hanne, kan du først fortelle oss litt om Telenors spesielle samfunnsansvar?

Vårt viktigste samfunnsansvar er at telekomtjenestene er tilgjengelige 24/7, og at vi beskytter den infrastrukturen – slik at den ikke kan ødelegges, eller være bærer av ondsinnede aktiviteter mot kundene våre.

Det gjør det jo litt lettere å forstå hvorfor samfunnssikkerhet er viktig for Telenor …

Ikke sant?! Vi er eier av kritisk infrastruktur, og bærer 80 % av all datatrafikk i Norge. Det er vår oppgave å forstå betydningen av det – ikke bare for kundene våre, men også samfunnet forøvrig. Noen av kundene våre er også samfunnskritiske aktører, noe vi må ha tankene når vi utvikler produkter og tjenester.

Men hvis vi snur på det, hvorfor er Telenor viktig for samfunnssikkerheten?

Det handler selvfølgelig om den infrastrukturen vi snakket om, men vel så viktig er forståelsen, kunnskapen og kompetansen vi har opparbeidet oss om hvordan vi virker i samfunnet. Og med det, hvordan vi kan være med på å utvikle samfunnet.

«Jeg vil si at evnen vår til å utvikle tjenester og infrastruktur som møter samfunnsbehov en del av styrken til Telenor.»

Siden vi har et internasjonalt fotavtrykk, tar vi også med oss et globalt perspektiv på samfunnsutviklingen, noe som tilfører verdi, både til kundene våre og til myndighetene – i dialogen vi har med de.

Opplever du at det er en stolthet i Telenor på dette området?

Det er klart at mange er stolte av at det faktisk er vi som eier kritisk infrastruktur – vi bærer Norge, vi bærer Norges digitale infrastruktur på våre skuldre. Det er ingen andre enn oss som gjør det, og det ansvaret er vi veldig bevisst. Ja, så stoltheten den er der – så definitivt. Derfor er det veldig viktig å snakke om dette her, om hva vi faktisk gjør, og ikke bare fremme tjenester – som jo er det kundene våre ser mest. Jeg mener det er like viktig at de skjønner samfunnsrollen vår, og hvorfor de faktisk kan lytte til Telenor når vi snakker om sikkerhet.

Sikkerhetsdirektør i Telenor

Vi lever jo i en tid med nye digitale risikoer, vil du skille mellom digital samfunnssikkerhet og generell samfunnssikkerhet?

Jeg vet ikke om vi kan skille på det. Samfunnssikkerhet handler jo om å forstå hva det er som betyr noe for at ting skal virke, og at vi som innbyggere skal være trygge. Og det omfavner infrastrukturen, altså vei, tog, transport, finans og andre viktige funksjoner – og det digitale er en del av dette. Deler av de kritiske funksjonene er digitalisert, så vi kan ikke skille ut og si at digital samfunnssikkerhet er noe annet enn samfunnssikkerhet.. Vi må hele tiden både tenke på det fysiske, og det som er logisk og ikke synlig for oss – som ligger på innsiden av teknologien.

Hvordan jobber Telenor på de to nivåene du nevner?

For det første har vi en helhetlig tilnærming til samfunnsansvar i Telenor. Vi ser det store bildet knyttet til hvordan våre tjenester virker i samfunnet – og på hvilke områder vi må ta et større ansvar utover bare det å levere en tjeneste. Her ser vi også på hvordan vi skal jobbe med myndighetene for å sikre at vi tar de riktige valgene og de riktige beslutningene.

Men så har vi også et ansvar for den delen av samfunnssikkerheten som handler om krise og beredskap, det å ha en evne til å håndtere hendelser som måtte oppstå.

«Vi er en 24/7 beredskapsvirksomhet – noe som påvirker tankesettet vårt i alt vi gjør.»

Det er en veldig, veldig viktig del av samfunnssikkerhetsansvaret vårt – vi må ha robusthet i organisasjonen til å håndtere hendelser. Store, så vel som små.

Vi opplever hendelser i nett og tjenester hele tiden, og noen ganger får små hendelser store konsekvenser, vi må forstå sammenhengene hele tiden og om konsekvensene er lokale, regionale eller nasjonale. I slike tilfeller er det viktig å ha gode grensesnitt til alle som skal støtte oss, slik som leverandører og entreprenører – men også til myndighetene.

Vil du si at det finnes en reel trussel mot den infrastrukturen Telenor eier?

Sitat

I all teknologi er det iboende sårbarheter, og ting kan skje – men det skyldes oftere menneskelige feil eller teknisk svikt enn ondsinnede angrep. Men for oss gjelder det jo å tenke hele spekteret, vi må være robuste mot menneskelige feil, robuste mot tekniske feil og robuste i håndteringen av ondsinnede angrep. Men det henger jo veldig sammen, har du god kvalitet i drift, forvaltning og utvikling – både av infrastruktur og tjenester, så vil du være mye mer robust også i forhold til ondsinnede aktører. Da er det mye vanskeligere å utnytte sårbarhetene.

Men hvis vi ser på det trusselbildet i den digitale sfæren, hvordan vil du klassifisere det?

For å gjøre det enkelt kan vi dele trusselbildet opp i tre enkle knagger – sabotasje, etterretning og svindel. Men det er viktig å nevne at når vi jobber med trusselbildet, så vi ser ikke bare øverst i pyramiden, i midten eller nederst – vi ser hele pyramiden av trusselaktører i sammenheng.

Det kan skje at privatpersoner blir brukt som brikker i statlig etterretning, selv om det er slik at privatpersoner som oftest rammes av økonomisk svindel. Bedrifter kan rammes av industrispionasje hvor det handler om å skaffe seg informasjon. Statlig etterretning har vanligvis et svært langsiktig perspektiv, men slike aktører vil ofte benytte små leverandører på sin vei til «det store fete målet».

Det du sier her henger jo veldig på greip med sårbarheten i det moderne digitaliserte samfunnet som PST skriver om i sin trusselvurdering for 2020:

«Et digitalisert samfunn og dets avhengighet av elektronisk kommunikasjon fører også til økt sårbarhet og gir muligheter for spionasje, manipulasjon og sabotasje. Datanettverksoperasjoner kan påføre staten og samfunnet svært stor skade, så vel økonomisk og sikkerhetsmessig som politisk».

Hvordan jobber Telenor med dette?

Vi har jobbet med trusselbildet for Telenor Norge siden 2011 og vi har hatt en god dialog med blant annet Forsvarets Etterretningshøgskole i å implementere malverk og metode. Når vi snakker om trusselbildet så er det derfor gjenkjennelig for andre som jobber med det samme – faktisk vil måten vi jobber på og presenterer på bli gjenkjent i hele NATO. De åpne trusselvurderingene fra E-tjenesten og PST er svært viktige for oss. I tillegg benytter vi en rekke andre kilder i inn- og utland.. Ekomsektoren har også god og formalisert dialog med de hemmelige tjenestene i Norge, dette gir oss stor verdi når vi utvikler vårt trusselbildet.

Fra sikkerhetsrapporten Digital Sikkerhet 2019
Fra sikkerhetsrapporten Digital Sikkerhet 2019

PST nevner nye sikkerhetsutfordringer i forbindelse med at 5G snart rulles ut for fullt. Hvordan jobber Telenor for å ta vare på samfunnssikkerheten også i tiden fremover?

«Telenor har vært med i 165 år nå, og sikkerhet har alltid vært en faktor for oss.»

Vi er en sikkerhets- og beredskapsorganisasjon, og med 5G vil vi fortsatt være det. Vi skal selvsagt være vårt ansvar bevisst, men samtidig synes jeg ikke man skal drive skremselspropaganda med 5G – fordi 5G er en naturlig teknologievolusjon som muliggjør en økende digitaliseringen av samfunnet.

Når det gjelder sikkerhet, er det viktigste for oss å bygge en infrastruktur som er robust, hvor vi har et forhold til hvilke sikkerhetsmekanismer som må være på plass for å beskytte oss mot sabotasje og etterretning. Men så skal vi heller ikke glemme at 5G også kommer med en del nye elementer som betyr økt sikkerhet.

Det er sant, men hva med alle de nye tjenestene som vil bli driftet av 5G-nettet?

Det er klart at det vil lagt mye større verdier på toppen av den nye infrastrukturen – og det er nok den kombinasjonen som blir mest utfordrende for samfunnet. Og det gjør jo at kravet til robusthet, tilgjengelighet og integritet på datatrafikken som flyter igjennom nettet blir høyere.

5G åpner opp for helt nye scenarioer som vi må tenke nøye igjennom – hva skjer for eksempel hvis en pasient fjernopereres og det er forsinkelser i nettet?

Når slike operasjoner gjennomføres, blant annet ved hjelp av nettet vårt, er det viktig at vi i felleskap finner ut av hvordan vi beskytter helheten. Det er selvsagt vår oppgave å utvikle oss i takt med teknologien, men også de som legger verdier på toppen må ta sin del av ansvaret, og tenke robusthet og sikkerhet også fra sin side.

Så det du sier er at samfunnssikkerheten rundt 5G blir et kollektivt ansvar?

«Ja – her blir det et samarbeid, men jeg ville ikke ha vært redd for 5G. Dette er fremtidens mobilnett – og vi er stolte av å ta samfunnssikkerheten på dypeste alvor også på dette området.»