Næringslivets rolle og
Norges evne til å lykkes med totalforsvaret

Skjermdump fra Stortingsmelding 38 om IKT-sikkerhet.

Det er et gap i hvilket trusselbilde de hemmelige tjenestene informerer om via åpne rapporter, og hvordan næringslivet innretter seg.

Av: Birgitte Førsund, direktør i Junglemap

Både det norske Forsvaret og NATO omtaler totalforsvarskonseptet som en viktig omstilling for å kunne beskytte Norge. Dette som følge av endringer i det sikkerhetspolitiske bildet og digitalisering som samlet bidrar til et trusselbilde vi aldri før har stått overfor. Eksempelvis utfordrer digitale og hybride trusler både samfunnssikkerheten og næringslivets verdiskapning. Det utfordrer også de etablerte samfunnsstrukturer og ansvarsområder innen sikkerhet, som igjen medfører behov for nye samarbeidsformer nasjonalt og internasjonalt.

Totalforsvarskonseptet ble gjenopplivet av regjeringen i 2016, og omhandler gjensidig støtte og samarbeid mellom det sivile og militære. NATO understreker at sivil beredskap, krisehåndtering og robuste samfunnskritiske funksjoner er en forutsetning for det enkelte lands, og dermed alliansens, samlede beredskap og forsvar. NATO-øvelsen Trident Juncture høsten 2018 var derfor en viktig øvelse i henhold til totalforsvarskonseptet.

En viktig del av det sivile bidraget til totalforsvarskonseptet i Norge, er næringslivet. Spesielt siden næringslivet sitter på 90 prosent av den digitale infrastrukturen. I tillegg er næringslivet leverandør inn til forsvar og andre virksomheter som er underlagt sikkerhetsloven.

En viktig del av det sivile bidraget til totalforsvarskonseptet i Norge, er næringslivet. Spesielt siden næringslivet sitter på 90 prosent av den digitale infrastrukturen.

Samtidig er næringslivet svært utsatt og et ettertraktet mål av cyberkriminelle enkeltpersoner, organisasjoner og land. Erfaringene fra Trident Juncture viser at næringslivet i Norge var utsatt for hendelser. Én av syv norske virksomheter sier antallet mistenkelige telefonsamtaler og e-poster økte under NATO-øvelsen Trident Juncture ifølge Næringslivets sikkerhetsråd.

Felles trusselforståelse med tilhørende tiltak er grunnleggende dersom vi skal lykkes med totalforsvarskonseptet. De siste tre årene har våre hemmelige tjenester bidratt til at næringslivet har fått bedre trusselforståelse via de åpne trusselvurderingene. Dette er en viktig og riktig utvikling i det å dele forebyggende informasjon med næringslivet. Samtidig når ikke de åpne trusselvurderingene godt nok ut til alle i næringslivet enda (ref. KRISINO-undersøkelsen/Næringslivets sikkerhetsråd 2017).

Dette kan ha en sammenheng med at ikke alle har fått med seg budskapet i St.melding 38 «IKT-sikkerhet – et felles ansvar» som poengterer at alle, uansett posisjon, må ta ansvar for egen digital sikkerhet. En annen årsak kan være at Norge har en sektorinndeling når det gjelder digital sikkerhet. I Norge har vi for eksempel CERT for helse- og kraft-sektoren. CERT står for Computer Emergency Response Team som er en koordinerende enhet for informasjonssikkerhet. Men for norsk næringsliv finnes ingen CERT, og det er opp til hver enkelt virksomhet å ta ansvar for å sikre seg selv (ref. St.melding 38). Det er også få virksomheter i næringslivet som har ressurser til å drive egen etterretning, så næringslivet er avhengig av informasjon fra, og et gjensidig samarbeid med, myndighetene. Men for mange i næringslivet fremstår organisering av spesielt digital sikkerhet som forvirrende – hvem har ansvar for hva og hvem skal vi henvende oss til ved hendelser eller for å få råd? (ref. Mørketallsundersøkelsen 2018).

Så fremdeles er situasjonen at det er et gap i hvilket trusselbilde de hemmelige tjenestene informerer om via åpne rapporter, og hvordan næringslivet innretter seg.

Dette gapet må tettes om vi skal lykkes med totalforsvarskonseptet og krever en samlet innsats og økt samarbeid fra myndigheter i det å bevisstgjøre og engasjere næringslivet ytterligere. Eksempelvis bør det vurderes å gi åpne trusselvurderinger to ganger i året, ikke bare en. Dette vil fremme kontinuitet knyttet til sikkerhetsprosesser hele året, som igjen kan bidra til at flere virksomheter knytter KPI-er til digital sikkerhet.

Det bør også tydeliggjøres overfor næringslivet hvilken myndighet som er kontaktpunktet ved både rapportering av hendelser og forebygging. Med en felles trussel forståelse, forebygging og rapportering av hendelser, vil vi alle kunne bidra med riktige tiltak til et mer robust digitalt samfunn og til et velfungerende totalforsvarskonsept slik trusselbildet til enhver tid krever.

Kommentaren ble først publisert i Computerworld, 12. august 2019.