Denne uken har Etterretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) lagt frem sine årlige trussel- og risikovurderinger. Rapportene ble lagt frem samtidig og beskriver de viktigste truslene mot Norge, innenfor de tre sikkerhetsmyndighetens ansvarsområder.
Her er det derfor ikke snakk om naturhendelser, helsefare, forurensning, klimaendringer eller trafikksikkerhet, men om angrep og trusler fra personer og grupper som bevisst ønsker å skade Norge, norske virksomheter eller norske borgere. Noen som vil oss vondt eller som vil oppnå noe i strid med norske interesser.
Og i motsetning til innholdet i stortingsmeldinger, strategier eller riksrevisjonsrapporter om sikkerhet, sårbarhet og beredskap, som først og fremst beskriver hva vi må beskytte og hvordan vi skal beskytte oss bedre, handler de årlige trusselvurderingene først og fremst om hvem som truer oss og hvor stor og sannsynlig denne trusselen er akkurat nå.
Etterretningstjenestens rapport heter Fokus 2023 og handler om ytre trusler mot Norge, og da konsentrert om tre ting: Russland, Kina og internasjonal terrorisme. Og aller mest handler det naturligvis om Russland som trussel, både på kort og lang sikt. E-tjenestesjefen Nils Stensønes skriver i sitt oppsummerende forord at:
"Russlands invasjon av Ukraina markerer et varig brudd med Vesten. Invasjonen har tydeliggjort trusselen Russland utgjør mot nabostater og NATO. Selv om Russland akkurat nå er svekket konvensjonelt, er de ikke mindre farlige. Russland vil gjenoppbygge sin militære evne. Kreml har få andre virkemidler enn militærmakten for å forfølge sine stormaktsambisjoner. Krigen i Ukraina rokker også ved ideen om at tettere økonomisk samhandling reduserer faren for konflikt mellom stater. Samhandling skaper også sårbarhet. Avhengigheter i forsyningskjeder blottstilles og åpner for utpressing. Ved å strupe gasstilførselen til Europa søker Russland å så splid i Vesten og svekke vestlig støtte til Ukraina. De økonomiske konsekvensene av krigen treffer nå hele Europa."
PSTs rapport heter "
Nasjonal trusselvurdering 2023" (de har ikke en like kort og fyndig tittel som de to andre) og handler om indre trusler, det vil si personer og grupper som driver med aktivitet i Norge som truer eller skader Norge. Og da særlig to ting: For det første andre staters etterretningsvirksomhet rettet mot Norge og norske virksomheter. Også her er Russland trukket frem, men også Kina, Iran og Pakistan er nevnt som land som er opptatt av å urettmessig tilegne seg avansert teknologi og forskningsbasert kunnskap. Hva slag teknologi som er særlig interessant og hvordan det jobbes for å få tilgang til den, vies en del plass i rapporten. For det andre handler det om faren for politisk motivert vold og terrorhandlinger, der ekstreme islamister og høyreekstreme blir pekt på som de som mest sannsynlig vil stå bak. Sannsynligheten for alvorlige voldshandlinger rettet mot myndighetspersoner vurderes som mindre i dagens situasjon.
Den tredje rapporten er NSMs "
Risiko 2023". Mens de to andre rapportene skiller mellom indre og ytre trusler, og i stor grad også er opptatt av om det er statlige og ikke-statlige aktører som står bak, er dette langt mindre klart i det digitale sikkerhetsdomenet som NSM har ansvaret for. Derfor har denne rapporten en litt annen karakter enn de to andre og legger mer vekt på å fortelle hvordan vi er truet enn å fortelle om hvem som står bak. Rapporten bærer kanskje litt preg av at dette både er et nyere og mer sammensatt område å skrive trusselvurderinger om, og verken begrepsbruk, avgrensningen av nedslagsfeltet eller rollebeskrivelser har satt seg helt.
Men selv om NSM virker som de er litt på leting etter en innramming på disse områdene, har jeg sans for at de trekker opp noen komplekse sikkerhetsutfordringer som åpenbart vil bli stadig viktigere og der vi i dag ikke har gode nok svar. Jeg vil nevne to: For det første bruker de begreper som "komplekst risikobilde" og "sammensatte trusler", som eksemplifiseres gjennom å beskrive hvordan en trussel kan handle om en kombinasjon av flere og veldig ulike virkemidler samtidig:
"Sammensatte trusler kan omfatte virkemidler som spredning av desinformasjon og cyberangrep, strategiske oppkjøp av norske virksomheter og kartlegging av kritisk infrastruktur. Det kan derfor være vanskelig å se hendelsene i sammenheng. Saker som i seg selv virker små, kan i en større helhet utgjøre en stor risiko."
Det andre jeg synes NSM skal ha ros for er å beskrive utfordringene med lange teknologiske leverandørkjeder. Der det er leverandører, underleverandører, komponentleverandører, programvareleverandører, utviklingsleverandører, driftsleverandører osv. i veldig lange og komplekse kjeder der man ofte ikke har oversikt over alle bidragsyterne og sammenhengene. Og heller ikke har klarlagt og pekt ut noen som skal ha ansvar for den type oversikt og kunnskap. NSM omtaler dette som at "vi er sårbare på flankene", og skriver at:
"Viktige samfunnsfunksjoner er avhengige av leverandører og underleverandører. Disse kan ha potensielt ukjente og alvorlige sårbarheter. Vi er ikke sikrere enn det svakeste ledd. Dette krever at vi evner å oppdage og avverge sikkerhetstruende virksomhet også i leverandørkjedene vi er avhengige av. Virksomheter som er av avgjørende betydning for grunnleggende nasjonale funksjoner må ta hensyn til den tilspissede sikkerhetspolitiske situasjonen i sine oppdaterte risikovurderinger."
Så mens Riksrevisjonens rapport om digitale sikkerhets- og beredskapsutfordinger handlet om dårlig oversikt og mangelfullt samarbeid på tvers av etater og sektorer - i bredden - handler mye av NSMs beskrivelser om kompleksiteter og mangelfull oversikt i lange leverandørkjeder - i dybden. Og begge deler er åpenbart riktig samtidig. Og begge deler fortjener en mer konkret oppfølgning enn det som ligger i disse rapportene, i form av at de fortjener en kartlegging av sammenhenger og avhengigheter. Kanskje en form for en systemkartlegging, kanskje i form av områdegjennomganger, av avhengigheter, sammenhenger og sårbarheter, som går både i bredden og i dybden.
