På fredag i forrige kom de tre åpne trussel- og risikovurderingene fra Etterretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM). De ble som vanlig lagt frem samtidig og tatt imot av forsvarsministereren og justis- og beredskapsministeren. Alle tre er tilgjengelige i lenker her på regjeringens nettsider.
Det er få gode nyheter i disse analysene. Mye går i feil retning og påvirker Norge negativt. Rapportene beskriver en sikkerhetspolitisk situasjon som er den mest krevende siden 2. verdenskrig. Internasjonal stormaktspollitikk og rivalisering slår inn som konkrete sikkerhetstrusler mot Norge, og i Norge.
Disse åpne rapportene er nødvnedigvis ganske generelle, men de er blitt en god del mer konkrete med årene, og setter navn på hva slags samfunnnskapdelige aktiviteter vi utsetters for, kommer med konkrete eksempler på hendelser og navngir hvilke land og aktører som står bak.
Sikkerhets- og beredskapspensum
De tre rapportene har etter hvert fått en status som et slags sikkerhets- og beredskapspensum for både offentlige og private virksomheter, og spesielt virksomheter som i kraft av det de driver med er særlig utsatte for ulike type trusler og angrep. Rapportene har litt ulik innretning. Mens PST og Etteretningstjenesten er mest opptatt av å beskrive hva si må forvente av trusler, og hvem som står bak, er NSMs rolle å gi råd og hjelpe virksomheter beskytte seg mot disse truslene. NSM formulerer det slik i innledningen til sin rapport Risiko 2026
"I rapporten peker NSM på hvordan myndigheter og virksomheter bør beskytte seg mot truslene som Etterretningstjenesten og PST beskriver i sine årlige trusselvurderinger. Målet med NSMs risikovurdering er å gi virksomheter bedre forutsetninger for å etablere og opprettholde et forsvarlig sikkerhetsnivå i lys av det nasjonale risikobildet. Dette gjelder alle virksomheter, men spesielt for virksomheter omfattet av sikkerhetsloven eller digitalsikkerhetsloven."
I praksis betyr dette at NSMs rapport er mindre analyserende, og mer praktisk rettet, og gir beskrivelser og råd om sikkerhetsstyring, kartlegging av verdier og anvengigheter, personellsikkerhet, fysisk sikring, dronedeteksjon, innsikt i eierskapet ti de man handler med, operasjonell teknologi og cybersikkerhet. Og det er omtale av risiko knyttet til at det på noen områder er lite leverandørmangfold, for eksemåel når det gjelder busser til kollektivtransporten eller internasjonale skytjenester offentlig sektor benytter.
Noen positive nyheter
Mens utfordringsbildet er krevende, er det heldigvis noen positive nyheter fra NSM også. De skriver i rapporten om et nytt verktøy, cybersjekk.no, som virksomheter kan bruke til å undersøke engen digital sikkerhetstilstand. Verktøyet gir et raskt overblikk over egen tilstand og anbefaler tiltak tilpasset virksomheten som vil bedre sikkerhetsnivået. Det tar 30 minutter å gjennomføre undersøkelsen.
En annen nyskaping er et samarbeid mellom Nasjonal sikkherhetsmyndighet og Næringslivets sikkerhetsråd (NSR) om en ordning for varslig av bedrifter om at de er utsatt for digitale angrep. Rett før jul kunne NSR fortelle at 1400 bedrifter er blitt vaslet om slike digitale angrep. Mange av disse bedriftene var ikke selv klar over at de hadde blitt kompromittert, og kunne utgjort en vare for kunder, leverandører og samarbeidpartnere.
Digitale verdikjeder og fragmentering
Så er det også ting som ikke er kommet i orden, og som ikke har fått noen plass i rapporten fra NSM, men som må nevnes. Selv om jeg har skrevet her på bloggen at det er den rapporten som har forbedret seg mest, så er dette også rapporten med størst forbedringspotensiale. Det er særlig to ting jeg gjerne skulle sett en konkret oppfølging av, enten i rapporten eller på annen måte:
- Det ene er å beskrive såkalte digitale leverandørkjeder, det vil si digitale verdikjeder og avhengigheter som gjør oss sårbare, og kanskje ikke har full oversikt over hvem som står bak ulike komponenter og tjenester som inngår i kritiske data- og kommunikasjonstjenester. Dette er noe NSM selv har etterlyst en oppfølging av i tidligere rapporter. Og det er en oppgave der ekspertutvlaget bak rapporten "Nasjonal kontroll med kritisk digital kommunikasjonsinfrastruktur – målbilde og virkemidler" (Lysne 3-utvalget) har anbefalt en konkret fremgangsmåte for å både kartlegge nåsituasjonen og og for å beskrive et ønsket fremtidig målbilde. Men dessverre ser det ikke ut til at dette er blitt fulgt opp så langt.
- Det andre forbedringsområdet handler om å få fortgang i arbeidet med å beskrive hvilke virksomheter, samfunnsfunksjoner og tjenester som er underlagt sikkerhetsloven, og hvordan vi organiserer ansvar, roller og tilsyn for samfunnskristiske infrastrukturer og -tjenester som ikke ligger under sikkerhetsloven, men under en del andre lov- og regelverk, som samfunnssikkerhetsinstruksen, digitalsikkerhetsloven (NIS-1), CER-direktivet, Ekomloven og en rekke sektorlover. Dette er ikke en kritikk jeg har funnet på for å ha noe å kritisere, men en erkjennelse av til dels uklare og til dels overlappende regelverk og anvarsområder som er beskrivet i regjeringens Stortingsmelding om totalberedskap. Den blogget jeg om her.
Jobbes det med en slik nyoppdeling der ansvaret etter sikkerhetsloven og rikets sikkerhet skilles klarere fra annen samfunns-, virksomhets- og individsikkerhet, slik Gjedrem 2-utvaltet har foreslått. Det er i hvert fall ikke noe i de tre rapportene som gir noe hint om endringer.
