"Kompleksitet er den største sårbarheten i det norske digitale samfunnet i dag"

Overskriften er hentet fra fjorårets rapport fra Nasjonal sikkerhetsmyndighet (NSM): «Et sikkert digitalt Norge – IKT-risikobilde 2018». Økt usikkerhet om hvilke aktører som forsøker å utnytte sårbarheter i vårt samfunn, har den siste tiden fått mer medieomtale og økt oppmerksomhet i våre styrende organer. Har dette betydning for deg og din virksomhet, og hvordan skal du i såfall forholde deg til dette?

I Norge er det særlig fire informasjonskilder alle vi som jobber med risiko, sikkerhet og beredskap må kjenne til. Dette er informasjon som gir oss den overordnede og helhetlige forståelsen for mekanismene som påvirker hvilke valg myndighetene gjør, og som gir bakgrunn for, og troverdighet til, de tiltakene du iverksetter i din organisasjon. Her får du en kjapp veiviser til de ulike rapportenes vinkel og hovedinnhold.

Hvert år publiserer Politiets sikkerhetstjeneste (PST), Forsvarets Etterretningstjeneste, Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for samfunnssikkerhet og beredskap (DSB) sine oppdaterte vurderinger om hvilke trusler og risikoforhold vi står overfor. Om du er usikker på hvor du skal starte med å forstå et mulig risikobilde for din virksomhet, start da med å lese disse fire rapportene. Og dersom du trenger å komplettere, balansere eller kvalitetssikre eget risikobilde, bruk disse fire rapportene som referansegrunnlag.

PSTs rapport ser særlig på forholdene i Norge som kan påvirke risikobildet, mens Forsvarets rapport baserer seg en vurdering av de ytre trusler og risikoforhold mot landet - ikke bare begrenset til de militære truslene. Det sikkerhetspolitiske bildet er en del av bakteppet for både PSTs og Forsvarets vurderinger.

NSM er det nasjonale fagmiljøet for IKT-sikkerhet og informasjons- og objektsikkerhet, og har oppgaven med å være "... nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser". NSM sin årlige rapport har særlig fokus på forebyggende sikkerhetstiltak.

DSB vurderer risiko og sårbarheter i samfunnet, og har særlig fokus på risikokartlegging, samt forebygging og håndtering av uønskede hendelser.

Forsvarets Etterretningstjeneste            

I Forsvarets rapport understrekes det at etterretningsoperasjoner fra andre land er den mest omfattende utfordringen vi står overfor, og spesielt nettverksoperasjoner. Dette er alle former for digitale operasjoner som har til hensikt å skaffe informasjon om militære og sivile beslutningsprosesser, sivil og militær infrastruktur, og sivile og militære verdier av stor betydning. Det betyr at både myndigheter på alle nivå, og private aktører er i målgruppen, og i følge Forsvarets rapport er utviklingen preget av at denne type spionasje og etterretning har blitt mer omfattende, koordinerte og effektive enn noen gang.

Følgende utsagn er en god beskrivelse av utviklingen: "Det er særlig tre utviklingstrekk som utmerker seg innen nettverksoperasjoner: utnyttelse av tredjeparts infrastruktur, nettverksoperasjoner med sabotasjeformål og bruk av krypteringsvirus til økonomisk utpressing."

Les Forsvarets rapport her:  Fokus 2019 - Etterretningstjenestens vurdering av aktuelle sikkerhetsutfordringer.

Politiets Sikkerhetstjeneste (PST)

PST skriver innledningsvis i årets rapport følgende: «I 2019 vil flere lands etterretningstjenester forsøke å rekruttere kilder og kartlegge personer og virksomheter i Norge. De vil også forsøke å skaffe seg urettmessig tilgang til norske virksomheters datanettverk. Formålet vil være å skaffe sensitiv informasjon og å påvirke beslutninger. Operasjonene til disse tjenestene vil rettes mot personer og virksomheter innen norsk statsforvaltning, kritisk infrastruktur, forsvar og beredskap, samt mot forskning og utvikling».

Det er særlig én faktor som gir slike aktører forventes å bruke i følge rapporten, og det er økonomiske virkemidler. Norge har som kjent en åpen økonomi, og dette kan brukes til å skaffe sensitiv informasjon. Gjennom eierandeler og annen form for økonomisk engasjement, kan aktører får informasjon om beslutningsprosesser, beredskapstiltak og kritisk infrastruktur.

Videre skriver PST:

«Økonomiske virkemidler kan også være effektive når formålet er å få tilgang til sensitiv informasjon eller teknologi som en stat har hatt problemer med å skaffe gjennom ordinære etterretningsoperasjoner. Bedrifter som utvikler høyteknologi til bruk i våpenprogrammer, eller annen industri av strategisk betydning, er særlig utsatt, og vi forventer enkelte forsøk på at slike bedrifter kan bli kjøpt opp av utenlandske aktører».

Les PSTs trusselvurdering for 2019 her.

Nasjonal sikkerhetsmyndighet (NSM)

Digitaliseringen er en svært viktig del av utviklingen i vårt samfunn, og IKT er en del av vår kritiske infrastruktur. Digitaliseringen skaper effektivitet og konkurransekraft, men den digitale verden er også kompleks og uoversiktlig fordi det er mange leverandører og aktører som bidrar inn i de ulike delene av verdikjeden:

"Trusselbildet mot norske verdier er dynamisk, og sammen med den samfunnsmessige og teknologiske utviklingen skjer endringer så raskt at mottiltakene ikke henger med. Hos NSM NorCERT går alarmen mange ganger daglig, og vi ser stadig mer komplekse og omfattende angrep."

NSM levner ingen tvil om at den enkelte virksomhet selv har ansvar for å beskytte egne verdier og å skape robusthet og motstandsdyktighet mot cyberangrep. Samtidig synes det som om utviklingen går i positiv retning. Både private og offentlige virksomheter setter i større grad IKT-sikkerhet på dagsorden internt, og det er et større fokus på virksomhetens risikobilde og verdivurderinger, ifølge NSMs rapport.

Dette til tross, det er fortsatt risikoforhold vi må løse lokalt og nasjonalt i tiden fremover:

  1. Et ufullstendig risikobilde: Mange har fortsatt ikke god nok oversikt over og forståelse for egne sårbarheter og eget risikobilde
  2. Mangelfull daglig sikkerhetsstyring resulterer i at de ulike tiltakene i en virksomhet ikke blir sett i en helhet, og derved ikke gitt rett prioritering
  3. Utro tjenere (insidere) har for stort spillerom som følge av svakheter eller mangler i virksomhetens sikkerhetsarbeid
  4. Flere og flere tjenester og verktøy digitaliseres, men mangelfull sikring av samfunnsviktig informasjon og informasjonssystemer utgjør risiko ved at uvedkommende får tilgang til betydningsfull informasjon
  5. Viktige samfunnsfunksjoner vil kunne bli satt ut av spill som følge av mangelfull helhetlig sikring av objekter og infrastruktur
  6. Private aktører må inngå i et helhetlig risikobilde pga sin rolle som sentral leverandør av kritiske tjenester og utstyr til kritiske samfunnsfunksjoner

Les NSMs rapport her: RISIKO 2019 - Krafttak for et sikrere Norge

Direktoratet for samfunnssikkerhet og beredskap (DSB)

DSB skal ha oversikt over det mer generelle risiko- og sårbarhetsbildet i samfunnet, og har siden 2011 utgitt risikoanalyser av et bredt spekter av scenarioer. Analysene omhandler risiko knyttet til katastrofale hendelser som kan ramme det norske samfunnet og som vi bør være forberedt på å møte, både naturhendelser, store ulykker og tilsiktede handlinger. I 2019-versjonen presenteres 16 risikoområder som har det til felles at de inneholder farer eller trusler som kan utløse alvorlige hendelser for det norske samfunnet.

Styrken i DSBs rapport er at den er konkret, den beskriver metodikken og den beskriver hvordan den enkelte virksomhet kan ta med seg forståelsen og informasjonen inn i egen virksomhet. Trussel- og risikovurderinger er ingen eksakt vitenskap; ei heller tolkningen og forståelsen av dem knyttet til egen virksomhet. Det er derfor ikke tilrådelig å utelukkende støtte seg på dette, men bruke informasjonen som innspill sammen med de lokale forholdene.

Les DSBs rapport her: Analyser av krisescenarioer 2019

Med tanke på ikrafttredelsen av ny sikkerhetslov i år, og med tanke på økt fokus på, økt erkjennelse om, og økt kompetanse om de ulike trusler og risikoforhold som preger omgivelsene, har vi de beste forutsetninger for å bli enda bedre i å sikre egen virksomhet. Vi oppfordrer til å lese de respektive fagrapporter da denne artikkelen er svært overordnet og grovkornet.

New call-to-action

 

Av Eivind Moen

Eivind er avdelingsleder for enheten som ivaretar prosjektbistand og kundeleveranser, og medlem av ledergruppen i One Voice. Han har sin utdanning fra Luftkrigsskolen, NTNU og Handelshøyskolen BI. Han har jobbet både med krisehåndtering og beredskap, og med prosjekt- og kvalitetsledelse. Eivind har skrevet mye av opplæringsmateriellet i One Voice.

Flere artikler fra denne forfatter

Abonner på bloggen