Hvordan bør næringsliv og myndigheter håndtere det nye trusselbildet?

Næringsliv og myndigheter må være på samme lag når nasjonal sikkerhet har blitt alles ansvar.

Næringslivet våknet nærmest blinde i en ny verden den 24. februar 2022. Samtidig som myndighetene prøvde å finne ut hvordan fullskalainvasjonen av Ukraina ville påvirke vår sikkerhet, trådde næringslivet inn i den nye, norske forsvarslinjen. Det ble plutselig veldig tydelig at deres ansvar for forvalting av norsk teknologi, kunnskap og verdier sto i sentrum for nasjonal sikkerhet. Nå har det gått to år, og vi har enda en lang vei å gå. For å forstå hvordan samfunnet og næringslivet kan spille hverandre gode i turbulente tider, er det ingen andre enn vår nyeste fagprofil, Cathrine Lagerberg, man bør prate med.

Cathrine har en todelt bakgrunn fra ingeniørfag og forsvar – som sivilingeniør fra olje- og gassindustrien, samt flerkildeanalytiker og seniorrådgiver i Forsvaret. Nå jobber hun i Deloittes avdeling for Risk Advisory, hvor hun bygger opp etterretningsbaserte rådgivningstjenester som bistår virksomheter med helhetlige risiko- og trusselvurderinger, støtte til sanksjoner og eksportkontroll, og annen strategisk rådgiving og beslutningsstøtte relatert til sikkerhet og trusselbildet. Cathrine har et brennende engasjement for å finne nye måter å styrke nasjonal sikkerhet på.

Cathrine, vi fikk nylig presentert årets trussel- og risikovurderinger. Hva er dine tanker rundt årets fremleggelse?

For oss som jobber med sikkerhet var det lite nytt. Den største endringen var nok, ikke overraskende, et større fokus på Kina. Selv skulle jeg ønske tjenestene i større grad tok opp det russisk-kinesiske samarbeidet, og hva det betyr for norsk næringsliv. De to landene har et såpass utstrakt militært øvelsessamarbeid og uttalt strategisk samarbeid at det er klart at de også jobber sammen på etterretningsfeltet.

Det er usikkert i hvor stor grad, men Russland skal ifølge relativt ny informasjon bruke kinesisk-utviklede dataprogram til destruktive nettangrep og andre formål mot Ukraina. Kina er heller ikke sanksjonert og det har kommet få føringer fra myndighetene til næringslivet om hvordan de skal forholde seg til dette. Selv om Utenriksdepartementet ikke tillater eksport av flerbruksvarer for militær bruk til Kina, vil det være umulig for næringslivet og selskapene å vurdere hvorvidt dette skjer eller ikke. Kinas etterretningslov pålegger private virksomheter og personer å samarbeide med kinesiske myndigheter ved behov. Derfor vil man aldri kunne «garantere” at eksport til Kina går til sivil sluttbruk. Tilsvarende, når Kina er Norges største forskningspartner, er veien kort fra norsk kunnskap til kinesiske militærprogram.

Næringslivet er forventet å gjøre gode vurderinger, men hvor er føringene? Jeg synes faktisk PST gjør en god jobb, de avklassifiserer etterretning og stiller opp på seminarer og driver næringslivskontakt. Men det er jo til syvende og sist Utenriksdepartementet som legger føringer for sanksjoner, flerbruksvurderinger og eksportkontroll. Og her er tilbakemeldingene fra mange i næringslivet at de savner mer informasjon. Etter invasjonen i 2022 ble ansvaret for trussellandskapet ført over på næringslivet nærmest over natten, uten at det ble fulgt opp med mer informasjon om hvordan selskapene skulle håndtere dette.

Nasjonale sikkerhetsinteresser og kommersielle private spørsmål har aldri vært mer sammenkoblet enn de er nå. Gode føringer har likevel uteblitt, muligens fordi myndighetene er så opptatte. Men når nasjonal sikkerhet nå har blitt alles ansvar, må næringsliv og myndigheter være på samme lag og få tilgang til de ressursene som trengs for å kunne sikre det som må sikres.

Hvilket ansvar har næringslivet?

Norge har mange små og mellomstore sivile bedrifter med kompetanse og teknologi som kan brukes inn mot Forsvaret. BlueEye Robotic og Water Linked er to bedrifter som leverer teknologi til Forsvaret og NATO. I tillegg er Norge ledende innen sensor, kommunikasjon, navigasjon og maritim teknologi – som både Russland og Kina vil prøve å få tak igjennom ulike ulovlige eller fordekte virkemidler. Så er det i tillegg en rekke bedrifter som opererer kritisk infrastruktur resten av samfunnet er helt avhengige av, som kan forstyrres eller saboteres i fremtiden for ulike formål. Her er kraft-, energi-, vannforsyning og betalings- og kommunikasjonsfunksjoner svært utsatt.

I Ukraina måtte det en krig til. De har blitt svært gode på å utnytte sivil teknologi til militære formål, og det skjedde svært raskt. Vi står kanskje i en “forsvarsposisjon”, men om vi ikke sikrer vår kunnskap og forskning bedre, så kan dette ende opp hos aktører vi ikke ønsker. Dette haster, og det krever at selskaper ikke bare vurderer det som er juridisk riktig, men hva som må sikres for nasjonale sikkerhetsinteresser og hvilke konsekvenser det kan få i det lange løp om det ikke gjøres. Mister vi teknologien og kunnskapen, mister også bedriftene etter hvert konkurransegrunnlaget sitt og taper til syvende og sist kanskje mot de nasjonene som har fått tak i dette – for eksempel Kina.

Som Etterretningstjenesten akkurat uttalte på et seminar: “Dagens beslutninger påvirker morgendagens sårbarheter”. Dette synes jeg oppsummerer næringslivets rolle godt.

Hvordan kan man gjøre de offentlige trussel- og risikovurderingene bedre for næringslivet?

Jeg mener den første utfordringen er at faktisk ikke alle leser trusselvurderingene. Jeg tror vi som jobber med sikkerhet tar det for gitt at alle som burde lese dem gjør det, for eksempel ledere og beslutningstakere. Det er viktig at de forstår trusselbildet virksomhetene deres står overfor.

Men det største problemet er nok gapet mellom den forståelsen ekspertene og tjenestene sitter på, kontra det næringslivet tar innover seg. Mange bedrifter klarer ikke å forstå hva det betyr for dem, rent konkret, og relevansvurdere trusselvurderingene opp mot egen portefølje.

Hva må til for å tette dette gapet?

Jeg tror ikke det skal så mye til å gjøre dette, men vi må tenke nytt. Både små og store bedrifter med kritiske verdier kan få god bistand ved å leie inn sikkerhetsrådgivere og trusseleksperter i alt fra noen dager til måneder, avhengig av hvor kritisk situasjonen er. De kan relativt raskt vurdere bedriftenes verdier og sikkerhetssituasjon, samt bistå i en periode for å bygge opp en sikkerhetskultur eller risikoforståelse.

Poenget må være å se hvilke verdier et selskap har i det aktuelle trusselbildet som kan være utsatt for geopolitisk risiko, forsyningssårbarheter, innsidetrusler, fordekte anskaffelser og cyberangrep. Ingen selskaper er like, trusselbildet endrer seg hele tiden og motstanderne bruker nye metoder, endrer prioriteringer og danner nye allianser. Det er ikke mange selskaper som har in-house kompetanse til å vurdere dette selv.

Vi kan selvsagt ikke tette alle hull, da vil ingen bedrifter være konkurransedyktige eller kunne operere som normalt. Men, vi må være bevisste på at visse vurderinger rundt enkelte kontrakter, ansettelser eller eksporter kan gi store konsekvenser for investorer eller nasjonale sikkerhetsinteresser dersom de blir gjort for fort eller er mangelfulle. Flere norske aviser har i den senere tid belyst saker hvor norsk utstyr finner veien til Russland, kinesiske forskningsskip og Myanmar. Jeg tror de fleste selskaper følger lover og regler, men dagens trusselbilde krever ny årvåkenhet og mer strategiske og utvidede vurderinger på “toppen av jussen” for å ivareta sikkerhetspolitiske hensyn.

Et annet tema som står deg nært, er eksportkontroll. Hva ser du på som de største utfordringene på dette feltet?

Jeg tror mange selskaper skjønner alvoret, men hvorfor skal de bry seg når det i Norge ikke er noen konsekvenser? Da et norsk firma eksporterte en bil til Russland i 2023 fikk de bare et forelegg på 50 000 kroner. Denne summen reflekterte den antatte fortjenesten på salget. Dette er knapt en straff, og ikke noe man kan vise til som et eksempel for at andre bedrifter skal ta dette alvorlig og bry seg.

Det er heller ikke et krav om å sjekke eksport til Tyrkia, Kazakhstan eller Maldivene. Når et land som Maldivene for eksempel kjøper mengder med mikroelektronikk, eller Kazakhstan kjøper industriutstyr vi vet Russland trenger til sin militærproduksjon, bør man spørre seg om mottakerlandet er kjent for å trenge dette. Det krever at du har et oppdatert bilde av geopolitikk, teknologistatus, omgåelsesmetoder og allianser som endrer seg. Du må ha en helt annen situasjonsforståelse og kompetanse nå enn før.

Problemet er at mange selskaper ikke vet hva de besitter av verdier og teknologi som har mulig flerbruk, det vil si militære bruksområder. For som PST skrev i sin årlige vurdering: når et land som Russland ikke lenger får tak i det de trenger av kritisk teknologi vil de gå på kompromiss med kvaliteten og spesifikasjonene. Dermed sitter nok veldig mange selskaper med teknologi som ikke er listeført og som de ikke selv skjønner har militært potensiale. Dette skaper utfordringer. Tar de kontakt med myndighetene for eksportlisens for eksempel, eller vet de hvilke verdier de må sikre i form av spionasjerisiko, oppkjøpsrisiko eller innsideproblematikk? Det er mange ting å tenke på for bedrifter som aldri før har måttet forholde seg til trusselbildet eller sikkerhetsinteresser.

Nå prøver Norge ordne opp i dette ved å blant annet opprette et nytt direktorat for eksportkontroll og sanksjoner. Vil et nytt statlig organ strekke til for å løse problemene eller finnes løsningene et annet sted?

Det er superviktig at dette blir etablert og det kommer ikke et minutt for sent. Trusselbildet krever virkelig at de som forvalter eksportkontroll og sanksjoner får nok ressurser. Men som jeg pleier å si: næringslivet prøver, men motstanderne prøver hardere. Motstanderne våre benytter seg av ikke-statlige aktører for å gå spisset til verks når det gjelder cyberangrep eller for å skjule sluttbruker eller eierskap. I land som Norge er anskaffelsesprosesser byråkratiske, iallfall i det offentlige. Sånn må det nesten bare være, men i slike anskaffelsesprosesser taper demokrati – med trege og byråkratiske prosesser – mot autokrati. Land som Kina og Russland venter ikke til produktene er ferdig testet, til de har blitt ISO-sertifisert eller kvalitetssikret. Enten det er maskinvare, programvare, spionprogramvare eller destruktive virusprogram, bruker og kjøper de det som finnes enten av kriminelle eller på det mørke nettet. Det er her Vesten taper så det synger. Vi er enn så lenge ledende på teknologi, men jeg er usikker på hvor lenge dette vil vare hvis vi ikke tar i bruk mer ikke-statlige/offentlige og private aktører for å prøve å kontre dem.

Jeg håper at myndighetene og det private kan dra synergier og styrke hverandre. Nasjonal sikkerhetsmyndighet har en sertifiseringsordning for cyberhendelser som er et godt eksempel på samarbeid mellom privat og offentlig. Dette burde man kunne utvide til denne typen rådgivning og bistand skal vi rekke å sikre kritisk norsk teknologi og kunnskap. Konsulentbransjen har rykte på seg for bare å være opptatt av profitt. Men veldig mange av oss er sikkerhetsklarert og brenner for å beskytte nasjonale verdier. La oss spille myndighetene og næringslivet gode!

Hvilken beskjed ønsker du å gi til bedrifter som nå skal prøve å manøvrere i det nye trusselbildet?

Konvensjonell eksportkontroll eller compliance mener jeg ikke eksisterer i tradisjonell forstand lengre. Vi er i et helt annet sikkerhetsbilde og vi må innse at måten vi tidligere har håndtert eksportkontroll på, ved å søke i listene, ikke fungerer lenger. Sanksjonerte entiteter vet at de finnes i listene og vil finne andre måter å anskaffe, oppkjøpe eller inngå samarbeid på. I de primære tilgangene og databasene compliance-ansvarlige jobber med, vil du veldig sjeldent få treff. De mest kritiske bedriftene må nok innse at dagens situasjon fordrer at du prioriterer mer ressurser på compliance, eksportkontroll og trusseletterretning for å ivareta det helhetlige trusselbildet.

De fleste mellomstore og store bedrifter må i fremtiden ha en Chief Security, Chief Threat eller Chief Risk-ansvarlig, som til enhver tid kan oversette og relevansvurdere ulike hendelser og risikoer til forretningsstrategien. De små selskapene ser seg nok tjent med å leie inn noe slik ekspertise eller iallfall få utarbeidet bedriftsspesifikke trusselvurderinger for å være konkurransedyktige og “compliant”.

Jeg tror investorer i økende grad kommer til å kreve at selskaper har gjennomført gode trusselvurderinger før de vurderer om de skal investere. Selskapene må skjønne konsekvenser av geopolitikk og hvordan det påvirker dem. Hva skjer hvis Kina invaderer Taiwan? Hvilke konsekvenser vil containertransporten i Midtøsten få om situasjonen eskalerer? Har du evaluert din tilgang til kinesiske sensorer? De bedriftene som er flinke og har gjort proaktive vurderinger vil ha en mye mer bærekraftig og motstandsdyktig forretningsstrategi. Det å være reaktiv er så utrolig mye dyrere enn å gjøre små proaktive tiltak.

Vi må gjøre det lukrativt å ta hensyn til nasjonal sikkerhet. Kan man få aksjonærene til å belønne en bedrift som sier nei til en kontrakt av sikkerhetshensyn? Kan myndighetene subsidiere virksomheter som gjør tydelige vurderinger og favoriserer sikkerhetsinteresser fremfor profitt? Kanskje unge i fremtiden heller vil jobbe i en bedrift som tar hensyn til nasjonale sikkerhetsinteresser enn bedrifter som bare er profittjagende? Man skal ikke se bort fra markedsverdien av å bruke trusselbildet positivt.

Av: Ragnhild Tvergrov Skare