Svært solide sikkerhetsråd fra NSM

I dag ble Nasjonal sikkerhetsmyndighets (NSM) Sikkerhetsfaglige  råd lagt frem for Regjeringen. Den gjør en svært solid jobb med å beskrive norske sikkerhetsutfordringer i bred forstand og svakheter i apparatet skal forebygge og hindre at det skjer skade, og kan trygt anbefales som et pensum for oss som trenger en slik bred beskrivelse av hvordan vi er satt opp for å møte disse truslene. Den kommer i en overkommelig versjon på ca 80 sider.

Tidligere har jeg noen ganger vært litt kritisk til at NSM er litt distansert, ja til og med litt sytete overfor andre myndigheter de mener ikke gjør jobben sin, mens de selv bare trenger mer ressurser. Der er ikke NSM nå. De tar et lederskap i å beskrive problemer og anbefale løsninger og fremgangsmåter for å finne løsninger på områder med komplekse sammensatte sikkerhetstrusler. Der det gjerne kreves et samarbeid på tvers av sektorer og nivåer for å finne gode svar. Og da kommer man ikke unna at både Regjeringen og sektordepartementene og sikkerhetsmyndighetene har en stor jobb å gjøre. 

Det er en ganske ambisiøst dokument NSM har skrevet, med mange ulike og til dels forskjelligartede utfordringer samlet i et felles dokument, og der det er flere gode beskrivelser av jobben som må igangsettes for å gjøre noe med svakhetene. Jeg kommer tilbake til noen av disse om et øyeblikk. 

I den grad Justisministeren og Forsvarsministeren hadde håpet at diagnosen fra NSM ville gi dem en slags støtte i at de er godt i gang med å løse problemene var det absolutt ingen slik støtte å hente. Tvert imot fikk de klar beskjed om at det er en enorm avstand mellom handlingene som er nødvendige og det som gjøres. Det er grunnleggende svakheter i måten særlige den tverrsektorielle beredskapen er satt opp og hvordan informasjon håndteres og deles med de som trenger den. Kritikken er til tider svært krass.

Riktignok ble det understreket at konteksten nå er at den sikkerhetspolitiske situasjon er blitt dramatisk annerledes og vanskeligere, noe som er godt beskrevet i trusselvurderingene som kom tidligere i år fra NSM, PST og Forsvaret. Men strengt tatt er det vel ingen av svakhetene i beredskapen og den for svake tverrsektorielle organiseringen som har oppstått på grunn av ytre forhold nå. Poenget er at  konsekvensene av problemer som allerede var der kan blir så mye mer negative nå.

Men, litt mer konkrete om innholdet, og noen sitater for å understreke hovedpoengene i denne analysen. Dokumentet går først igjennom den overordnede sikkerhetstenkingen og hvordan vi skiller mellom statsssikkerhet, samfunnssikkerhet, virksomhetssikkherhet og vår individuelle sikkherhet. Det beskrives også hvordan lovverket og organiseringen av sikkerhetsarbeidet er dimensjonert for å håndtere ulike nivåer av sikkerhetstrusler og -hendelser. 

I rapportens del 2, hoveddelen fra side 20, er det en ambisiøs tematisk gjennomgang av 12 kritiske områder. Alle er viktige, men jeg skal nøye meg med å nevne tre av de mest tverrgående og komplekse, som får sterk kritikk og som det vil være mest krevende å løse: 

Fra temaet "situasjonsforståelse og responsevne" har NSM flere lite beroligende analyser av situasjonen. La meg nevne disse:

"Både departementer og virksomheter har mangelfull oversikt over og forståelse av risikobildet. Som følge av dette har ikke myndighetene de nødvendige forutsetningene for å bygge et rettidig situasjonsbilde. Samlet sett betyr det at forebyggende sikkerhetsarbeid på alle nivå blir utilstrekkelig, og at myndighetenes responsevne risikerer å være reaktiv og fragmentert. Norge oppnår dermed ikke et forsvarlig nasjonalt sikkerhetsnivå. Rapportering om sikkerhetsstatus på skjermingsverdige verdier og kritiske samfunnsfunksjoner skjer i flere forskjellige løp og er ikke tilstrekkelig dekkende i alle sektorer."

og

"Flere virksomheter og sektorer etterlyser mer spesifikk informasjon fra myndighetene om trussel -og risikobildet for egen sektor. Det finnes en rekke bransjespesifikke fora og samordningskanaler for å dele informasjon til ulike virksomheter og sektorer. Mange av disse er imidlertid ad-hoc-preget og mangler systematikk og kontinuitet. Det er også flere virksomheter, både offentlige etater og private bedrifter, som ikke er tilknyttet slik informasjonsdeling."

Om temaet tverrsektoriell styring har NSM mye å si. Man trenger ikke lese mellom linjene for å skjønne at arbeidet med å innføre ny sikkerhetslov ikke akkurat er i rute, og at det særlig er arbeidet med å identifisere de grunnleggende nasjonale funksjonene (GNF) i henhold til sikkerhetsloven som er vanskelig. Og ekstra vanskelig er det når det er avhengigheter på tvers av sektorer som kan få kritisk betydning:

"Verdier som understøtter grunnleggende nasjonale funksjoner mangler sikring Identifiseringen av grunnleggende nasjonale funksjoner er en forutsetning for at departementene skal kunne vurdere hvilke virksomheter innenfor eget ansvarsområde som forvalter verdier av betydning for nasjonale sikkerhetsinteresser. Noen grunnleggende nasjonale funksjoner er tverrsektorielle, og ansvaret for disse er delt mellom flere departementer. I andre tilfeller forvalter virksomheter i én sektor verdier av betydning for grunnleggende nasjonale funksjoner i en annen. Manglende kartlegging av verdier får konsekvenser gjennom hele verdikjeden. Det medfører risiko for at verdier som blir forvaltet på tvers av sektorer ikke blir identifisert, eller at det oppleves som uklart hvem som har ansvaret."

En anne interessant påpeking er at Norge ikke har en overordnet samfunnssikkerhetsstrategi, men mange, Og det at det finnes sektorvise strategier er ikke så merkelig, men hva er det som gjelder på toppen av sektorenes prioriteringer. Hvordan finner man ut hva som gjelder for Norge? Det mener NSM ikke er så enkelt:

"Norge mangler omforente og enhetlige nasjonale sikkerhetsmål Ulikt mange av våre allierte har ikke Norge en overordnet nasjonal sikkerhetsstrategi. Myndighetenes føringer må fortolkes gjennom en rekke strategier og policydokumenter fra regjeringen og ulike departementer. Disse dokumentene, som langtidsplanen for forsvarssektoren og stortingsmeldinger fra Justis- og beredskapsdepartementet og Utenriksdepartementet, kommer til ulik tid og har skiftende sektorvise prioriteringer. Fraværet av en overordnet sikkerhetsstrategi gjør det krevende å nå overordnede nasjonale målsettinger gjennom felles innsats. Det blir blant annet vanskelig å planlegge og styre større sikkerhetsinvesteringer over tid og på tvers av sektorer."

Jeg nevner også temaet cybersikkerhet, som naturligvis også er en sånn litt brysom størrelse som går på tvers av departementene og sektorene i staten, og også på tvers av statlig og kommunalt forvaltningsnivå og på tvers av offentlig og privat sektor. NSM skriver at:

"Statlig IT-utvikling ivaretar verken koordinering eller behov for samvirke i tilstrekkelig grad Teknologier som virtuell virkelighet, skytjenester, lokale datasentre (edge computing) og nye 5G-relaterte tjenester gir muligheter for økt robusthet og lokal autonomi, økt mobilitet, større gjenbruk av applikasjoner og tjenester, og bedre samvirke mellom etater. Totalforsvaret har behov for moderne IT-plattformer med digitale tjenester som fungerer godt i hele krisespekteret. Sammen skal plattformene bidra til at Norge har nødvendig datakraft for grunnleggende nasjonale funksjoner og andre viktige samfunnsfunksjoner når krisen inntreffer. IT-utviklingen i de ulike etatene og sektorene er ikke i tilstrekkelig grad styrt etter felles prinsipper. Dette fører til at etater som har behov for digitalt samvirke og kommunikasjon, bygger egne løsninger som i for liten grad snakker sammen og ivaretar samvirkebehov."

Det er altså ikke teknologien eller den digitale samhandlingen på nye teknologiske plattformer som i følge NSM er årsak til utfordringene. De skyldes heller ikke bruk av skyløsninger, datasentre eller 5G, tvert imot. Utfordringene skyldes at man ikke har satset mer på å ta i bruk moderne og sikre it-plattformer, og at de nye løsningene det blir investert i satses på stykkevis og delt i hver sektor, men ikke som del av en mer samlet strategi.

Er det så noen lyspunkter i dette? Ja, jeg mener det er et lyspunkt at NSM er så tydelige i sine analyser av hva som ikke er på plass og hvor alvorlig dette er for norsk sikkerhet. Men det er også mye bra i tiltakene som er foreslått. Nå er tiltakene nødvendigvis litt mer fragmenterte enn problembeskrivelsene, og en viktig grunn til det er at det å løse komplekse og tverrsektorielle utfordringer krever mer enn noen enkle tiltak. Til dels må man rett og slett jobbe seg gjennom en materie som i liten grad er kartlagt godt nok tidligere. Problemet når man ikke har full oversikt over problemet er at man må skaffe seg bedre oversikt over problemet først. Flere av tiltakene handler derfor om dette. Og la meg trekke frem et tiltak om et målbildearbeid jeg er særlig begeistret for under cybersikkerhetstemaet:

"Et overordnet digitalt målbilde er avgjørende for en sikker digital transformasjon i hele samfunnet. Målbildet bør realiseres gjennom en langtidsplan for digital infrastruktur. Langsiktig og forutsigbar finansiering er en forutsetning for å realisere et slikt målbilde. Digital transformasjon er nødvendig for å heve det norske samfunnets digitale motstandskraft til et langt høyere nivå frem mot 2030."

Her tenker jeg at dette bør foregå i tre trinn som må sees i sammenheng, og der en langtidsplan må lages til slutt. Først må man få bedre oversikt over nåsituasjonen i form av langt bedre oversikt over helheten i de offentlige it-systemene. både det som er driftet i egen regi og det som er satt ut til ulike leverandører. Og hva slags komponenter og programvare som inngår. Jeg tror mange etater sliter med å ha full oversikt over egne systemer og jeg tror ikke det finnes noen som har oversikt over komplekse verdikjeder i bredden, på tvers av virksomheter, eller i dybden bakover leverandørkjedene. Det gjør oss sårbare. Med en slik kunnskap kan det lages et digitalt målbilde der en viktig del av jobben nødvendigvis må være å avdekke  og rydde opp i disse sårbarhetene. Og så vil målbildet være et utgangspunkt for mye annet, både planer, investeringer, organisatoriske grep og ryddig i ansvar og roller.

Et lite poeng til slutt. En del av regjeringens retorikk allerede da de var i opposisjon har fått det til å høres ut som statlig it-drift, en statlig skyløsning og statlig eierskap til alt mulig giør oss sikrere og mindre sårbare. Den fellen har ikke NSM gått i. Distribuerte løsninger drevet av kompetente og profesjonelle partnere er i mange tilfeller bedre for samfunnssikkerheten enn å gjennopprette statens datasentral. NSM skriver for eksempel at:

"Sensitive data i offentlig sektor må beskyttes Datasentre og skytjenester for sensitiv informasjon, funksjoner og infrastruktur av betydning for nasjonale sikkerhetsinteresser bør etableres i Norge. Datakraft må sikres gjennom distribuerte skytjenester i regionale og lokale datasentre i Norge og beredskapsavtaler med nære allierte i tilfelle krise."

Det blir spennende å se om hvordan regjeringen tar den utfordringen de nå har fått fra NSM.