Tre statlige sikkerhetsmyndigheter har kommet med nye og oppdaterte trussel- og risikovurderinger. Det er nok slik at de blir bedre av å være dagsaktuelle, og med dagens krevende omgivelser og trusselbide er det i hvert fall ikke vanskelig å være konkret og aktuell om hva som truer Norge.
Forsvarsminister Tore O. Sandvik (Ap) og justis- og beredskapsminister Astri Aas-Hansen (Ap) innledet på pressekonferansen 5. februar, dagen etter at begge var utnevnt til nye statsråder. På en nyhetssak hos Regjeringen.no kan man lese både innleggende deres og om de tre rapportene som ble presentert. Det er lenker der til alle tre rapporter, som er fra Etteretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal Sikkerhetsmyndighet (NSM).
Kanskje kunne de tre rapportene vært gitt ut som en felles rapport. Selv om de tre etatene har tre litt ulike ansvarsområder og roller, er det i stor grad de samme ytre begivenhetene og endringer i risikobildet de omtaler. Når de i senere år de har kommet så langt at de presenterer rapportene sammen, på samme pressearrangement, er det ikke mye som skal til for å gjøre de tre rapportene til en felles. Men det får komme når det kommer, det viktige er at det er sammenheng og konsistens på tvers.
Etteretningstjenesten og PSTs rapporter
Det er uansett grunn til å minne om hva de tre statlige etatene som presenterer trussel- og risikovurderingene har ansvar for. Etteretningstjenesten er en etat underlagt Forsvarsjefen og Forsvaret. E-tjenestens hovedoppgaver er å varsle om ytre trusler mot Norge og prioriterte norske interesser, støtte Forsvaret og forsvarsallianser Norge deltar i, og understøtte politiske beslutningsprosesser med informasjon av spesiell interesse for norsk utenriks-, sikkerhets- og forsvarspolitikk. Deres ugraderte rapport heter "Fokus 2025".
Politiets sikkerhetstjeneste (PST) er Norges innenlands etterretnings- og sikkerhetstjeneste, underlagt justis- og beredskapsministeren. PST har som oppgave å forebygge og etterforske alvorlig kriminalitet mot nasjonens sikkerhet. Som ledd i dette skal tjenesten identifisere og vurdere trusler knyttet til etterretning, sabotasje, spredning av masseødeleggelsesvåpen, terror og ekstremisme. Vurderingene skal bidra i utformingen av politikk og støtte politiske beslutningsprosesser. Deres ugraderte rapport heter Nasjonal trusselvurdering 2025.
Disse rapportene er blitt langt mer tydelige om hvor de største truslene mot sikkerhet og trygghet i Norge kommer fra enn de var for noen år siden. I Etteretningstjenestens rapport handler det mest om utviklingen i Russland, i Kina, og forholdet mellom Russland og Kina. Det er interessante analyser av hvordan krigen i Russland tærer på Russlands økonomi over tid og hvor mye viktigere Kina er for Russland, økonomisk og militært, enn Russland er for Kina. Mens Russland er under press ressursmessig, økonomisk og militært, er Kina blitt ledende på noen fremvoksende teknologiområder.
Rapporten beskriver også hvordan sankjoner og eksportkontrollregelverk blir omgått ved hjelp av tredjeland. Det er en omtale av hvordan utfordringsbildet når det gjelder beskyttelse av samfunnskritisk infrastruktur under vann ser ut, riktignok ikke spesielt konkret når det gjelder ansvar og roller. På slutten er det analyser av oppbygging av ny kjernevåpenkapasitet etter hvert som gamle nedrusningsavtaler faller bort, og det er en analyse av hvordan pågående konflikter i Midt Østen og Afrika bygger opp under økt polariering og er i ferd med å legge til rette for voksende terrorisme.
PSTs nasjonale trusselvurdering er også mest opptatt av Russland og Kina, men her er oppmerksomheten særlig rettet mot hva det betyr for statlig etterretningsvirksomhet, påvirkning og sabotasje i Norge. Her er det en gjennomgang av trusselutsatte teknologiområder og av ulike metoder fremmede staters etteretningstjenestesr bruker mot mål i Norge. Rapporten beskriver statlige cyberoperasjoner, gjerne gjennomført ved bruk av andre aktører, rekruttering av menneskelige informanter, etteretning ved bruk av sivile fartøyer, påvirkningsoperasjoner, sikkerhetstruende økonomiske virkemidler og transnasjonal undertrykkelse, det vil si trusler fra andre stater mot enkeltpersoner i Norge. Rapporten har også en oppdatert gjennomgang av terrortrusselen mot Norge fra ulike ekstreme ideologiske bevegelser.
NSMs Risko 2025
Den tredje rapporten er fra Nasjonal sikkerhetsmyndighet (NSM) Deres rolle er å være Norges direktorat for forebyggende sikkerhet med ansvar for å bedre Norges evne til å beskytte seg mot spionasje, sabotasje, terror og sammensatte trusler. Gjennom rådgivning, tilsyn, testing, forskning og utvikling bidrar NSM til at virksomheter sikrer sivil og militær informasjon, systemer, objekter og infrastruktur med betydning for nasjonal sikkerhet. I Risiko 2025, NSMs årlige risikovurdering, er målet å gi norske virksomheter bedre forutsetninger for å se eget sikkerhetsarbeid i en større sammenheng. Rapporten beskriver sårbarheter trusselaktørene forsøker å utnytte og tiltak for å redusere risikoen for at de lykkesSelv om alle tre rappoerter har hevet seg og blitt stadig mer interessante, og dessverre stadig mer dagsaktuelle, de siste årene, tror jeg Nasjonal sikkerhetsmyndighets (NSM) har hevet seg aller mest. Det er mulig jeg overdriver litt, men jeg synes å huske at deres rapport tidligere var en litt sytete rapport som klaget over at andre ikke gjorde jobben sin, særlig når det gjaldt digital sikkerhet, og at de ikke hadde nok ressurser til å gjøre jobben, men at de egentlig ikke hadde så mye å komme med av konkrete analyser, innsikt eller råd. Den var rett og slett ikke på høyde med de to andre trusselvurderingene. Det har heldigvis endret seg de siste årene.
I årets Risko 2025 har NSM valgt å presenterer en viktig og interessant meny av trussel- og risikovurderinger som også får frem bredden og kompleksiteten i utfordringene vi møter, og som NSM må forholde seg til. Rapporten er innom:
- Påvirkning og desinformasjon i forbindelse med valg.
- Tiltak for å redusere risikoen for sabotasje.
- Sikring mot insidevirksomhet i samfunnsviktige virksomehter.
- Sikring mot misbruk av nettverkstilkoblede elektroniske sensorer, blant annet innvendige og utvendige kameraer og mikrofoner i kjøretøy.
- Avhengigheter av satelittbaserte tjenester og hvordan disrupsjon av signaler kan gjøre skade.
- Sikkehet i forbindelse med forsvarets anskaffelsesprosesser
- Utenlandske investeringer i lokalsamfunn og infrastruktur, der Kirkenes havn er nevnt spesielt.
Siste del av NSMs trussel- og risikovurderinger handler om digital sikkerhet og sårbarhet, det området jeg tror de fleste forbinder med NSM. Her synes jeg at deler av det NSM presenterer er litt mindre treffsikkert når det gjelder innsikt og anvendbarhet enn jeg skulle ønske. Det er fint at NSM beskriver ulike typer digitale angrep vi kan bli utsatt for, som løsepengevirus, nulldagssårbarheter og angriper-i-midten, der angriper kommer seg mellom offer og en tjeneste, og på den måten får lurt til seg informasjon. Det står noen linjer om hvordan kunstig intelligens er en økende trussel, at mobiltelefoner og mobile enheter utgjør en viktig sårbarhet. Nyttige påminnelser alt sammen.
NSM minner oss om at det er kommet en ny digitalsikkerhetslov som implementerer NIS-1 direktivet fra EU i norsk lov. Når det gjelder behovet for et oppdatert lovverk som kan bidra til å bekjempe digitale trusler og angep er dette litt flokete landskapet med overlappende lovverk også tema i Totalberedskapsmeldingen, Det hadde ikke gjort noe om NSM kom med noen klarere meldninger om at det er blitt et stort problem at Norge henger langt etter EU når det gjelder oppdatert lovverk og gjerne også noen råd om hvordan vi innretter en ryddeprosess når det gjelder forholdet mellom disse lovverkene og anbefalinger om rydding i roller og anvar når det gjelder digital sikkerhet. Eller er det noen andre som skal komme med disse anbefalingene?
En gammel kjepphest jeg har er behovet for å beskrive hvordan et digitalt økosystem, digitale leverandørkjeder og digitale avhengigheter ser ut konkret. Jeg tror NSM kan gjøre mer enn å skrive at virksomheter skal:
- "Kartlegg egne avhengigheter. Skaff oversikt over hvilke leverandørkjeder virksomheten er en del av, enten som kunde eller leverandør."
- "Gjennomfør risikoreduserende tiltak for å redusere sikkerhetsrisikoen knyttet til leverandørkjeder."
Jeg tror det blir stadig viktigere å få denne type informasjonen frem i en form som selv styrer og ledelser som ikke er digitale sikkerhetsspesialister kan forstå og handle på bakgrunn av. NSM kan gå foran og vise oss hvordan det kan gjøres.