Næringslivets rolle og Norges evne til å lykkes med totalforsvaret
Ukens analyse er skrevet av Birgitte Førsund, direktør i Junglemap. Hun skriver at det er et gap i hvilket trusselbilde de hemmelige tjenestene informerer om via åpne rapporter, og hvordan næringslivet innretter seg.
Den norske Atlanterhavskomité (DNAK) publiserer jevnlig Ukens analyse, skrevet av en av DNAKs samarbeidspartnere, egne ansatte eller andre. Hvis du ønsker å bidra, ta kontakt med andreas@dnak.org. Innholdet i Ukens analyse representerer forfatterens egne synspunkter og ikke nødvendigvis DNAKs.
Både det norske Forsvaret og NATO omtaler totalforsvarskonseptet som en viktig omstilling for å kunne beskytte Norge. Dette som følge av endringer i det sikkerhetspolitiske bildet og digitalisering som samlet bidrar til et trusselbilde vi aldri før har stått overfor. Eksempelvis utfordrer digitale og hybride trusler både samfunnssikkerheten og næringslivets verdiskapning. Det utfordrer også de etablerte samfunnsstrukturer og ansvarsområder innen sikkerhet, som igjen medfører behov for nye samarbeidsformer nasjonalt og internasjonalt.
Totalforsvarskonseptet ble gjenopplivet av regjeringen i 2016, og omhandler gjensidig støtte og samarbeid mellom det sivile og militære. NATO understreker at sivil beredskap, krisehåndtering og robuste samfunnskritiske funksjoner er en forutsetning for det enkelte lands, og dermed alliansens, samlede beredskap og forsvar. NATO-øvelsen Trident Juncture høsten 2018 var derfor en viktig øvelse i henhold til totalforsvarskonseptet.
En viktig del av det sivile bidraget til totalforsvarskonseptet i Norge, er næringslivet. Spesielt siden næringslivet sitter på 90 prosent av den digitale infrastrukturen. I tillegg er næringslivet leverandør inn til forsvar og andre virksomheter som er underlagt sikkerhetsloven. Samtidig er næringslivet svært utsatt og et ettertraktet mål av cyber-kriminelle enkeltpersoner, organisasjoner og land. Erfaringene fra Trident Juncture viser at næringslivet i Norge var utsatt for hendelser. En av syv norske virksomheter sier antallet mistenkelige telefonsamtaler og e-poster økte under NATO-øvelsen Trident Juncture ifølge Næringslivet sikkerhetsråd.
Felles trusselforståelse med tilhørende tiltak er grunnleggende dersom vi skal lykkes med totalforsvarskonseptet. De siste tre årene har våre hemmelige tjenester bidratt til at næringslivet har fått bedre trussel forståelse via de åpne trusselvurderingene. Dette er en viktig og riktig utvikling i det å dele forebyggende informasjon med næringslivet. Samtidig når ikke de åpne trusselvurderingene godt nok ut til alle i næringslivet enda (Ref. KRISINO-undersøkelsen / Næringslivets sikkerhetsråd -2017).
Dette kan ha en sammenheng med at ikke har fått med seg budskapet i St.mld. 38, «IKT-sikkerhet – et felles ansvar» som poengterer at alle, uansett posisjon, må ta ansvar for egen digital sikkerhet. En annen årsak kan være at Norge har en sektorinndeling når det gjelder digital sikkerhet. I Norge har vi for eksempel CERT for helse- og kraft-sektoren. CERT står for Computer Emergency Response Team som er en koordinerende enhet for informasjonssikkerhet. Men for norsk næringsliv finnes ingen CERT, og det er opp til hver enkelt virksomhet å ta ansvar for å sikre seg selv (ref. St.melding 38). Det er også få virksomheter i næringslivet som har ressurser til å drive egen etterretning, så næringslivet er avhengig av informasjon fra og et gjensidig samarbeid med myndighetene. Men for mange i næringslivet fremstår organisering av spesielt digital sikkerhet som forvirrende – hvem har ansvar for hva og hvem skal vi henvende oss til ved hendelser eller for å få råd? (Ref. Mørketallsundersøkelsen - 2018).
Så fremdeles er situasjonen at det er et gap i hvilket trusselbilde de hemmelige tjenestene informerer om via åpne rapporter, og hvordan næringslivet innretter seg.
Dette gapet må tettes om vi skal lykkes med totalforsvarskonseptet og krever en samlet innsats og økt samarbeid fra myndigheter i det å bevisstgjøre og engasjere næringslivet ytterligere. Eksempelvis bør det vurderes å gi åpne trusselvurderinger to ganger i året, ikke bare en. Dette vil fremme kontinuitet knyttet til sikkerhetsprosesser hele året, som igjen kan bidra til at flere virksomheter knytter KPI-er til digital sikkerhet.
Det bør også tydeliggjøres overfor næringslivet hvilken myndighet som er kontaktpunktet ved både rapportering av hendelser og forebygging. Med en felles trussel forståelse, forebygging og rapportering av hendelser, vil vi alle kunne bidra med riktige tiltak til et mer robust digitalt samfunn og til et velfungerende totalforsvarskonsept slik trusselbildet til enhver tid krever.
Videre lesning:
Direktoratet for samfunnssikkerhet og beredskap: «Videreutvikler totalforsvaret». Juni 2018.
Næringslivets sikkerhetsråd: «Mørketallsundersøkelsen 2018». September 2018.
Næringslivets sikkerhetsråd: «Krisino 2017 er offentliggjort». September 2017.
Regjeringen: «Støtte og samarbeid: En beskrivelse av totalforsvaret i dag». Juni 2018.
Regjeringen: «Regjeringen styrker totalforsvaret». November 2016.
Artikkelen var først publisert i Computerworld: http://www.cw.no/artikkel/sikkerhet/forstar-naeringslivet-sin-rolle-norge-skal-lykkes-med-totalforsvarskonseptet.