Vi har hatt fokus på fysiske sabotasjer, men trusselaktørene bruker også digitale sårbarheter for å kunne gjennomføre fysisk sabotasje, advarer direktør i Nasjonal sikkerhetsmyndighet, Arne Christian Haugstøyl.

– Næringslivet må endre hvordan de tenker sikkerhet

Bedrifter må flytte fokuset fra frykten for trusselaktørene til en proaktiv innsats for å identifisere og redusere egne sårbarheter, mener direktør Arne Christian Haugstøyl i Nasjonal sikkerhetsmyndighet.

Elizabeth Kvie Lundevall
Elizabeth Kvie Lundevall Redaktør i Sikkerhet og beredskap
Publisert

Hvordan sikre bedre

For eiere og operatører av norsk næringsliv og kritisk infrastruktur er budskapet klart: Det er tid for handling. Myndighetene jobber med tydeligere styring og prioriteringer, men bedriftene kan ikke lene seg tilbake.

Her er de viktigste grepene hver bedrift kan og bør iverksette:

  1. Identifiser og prioriter kritiske verdier: Start med å definere hvilke verdier som er mest kritiske for virksomhetens og samfunnets funksjon. Dette hjelper med å prioritere sikkerhetstiltakene. Vi må identifisere det viktigste, så må vi bruke penger på å redusere sårbarhetene der.
  2. Gå fra analyse til konkrete tiltak: Ikke la risiko- og sårbarhetsanalyser bli liggende i PowerPoint eller Excel. Iverksett faktiske tiltak for å redusere identifiserte sårbarheter. Risiko reduseres ikke på papiret.
  3. Styrk grunnberedskap og gjenopprettelseskapasitet: Invester i god reparasjonsberedskap og tilstrekkelig med reservedeler for kritisk utstyr. Det må også være på plass oppdatert gjenopprettelseskapasitet.
  4. Inkluder sabotasjescenarioer i beredskapsplaner: Dagens beredskapsplaner er ofte rettet mot naturhendelser. Virksomheter må oppdatere planene til å inkludere sabotasjehandlinger.
  5. Forbedre digital sikkerhetsstyring (OT og IT): Mange digitale sårbarheter skyldes grunnleggende mangler. Sørg for at alt utstyr er regelmessig oppdatert for å tette sikkerhetshull. Iverksett strenge passordpolicyer og bruk tofaktorautentisering. Kartlegg og sikre operasjonell teknologi som styrer fysiske prosesser.
  6. Håndter konsentrasjonsrisiko i teknologi og forsyningskjeder: Vurder avhengigheten av teknologi og tjenester fra land Norge ikke har sikkerhetssamarbeid med, spesielt Kina.
  7. Bygg bevissthet rundt den menneskelige faktoren og innsidere: Trening og bevisstgjøring av ansatte er kritisk. Ansatte må trenes i å identifisere digitale rekrutteringsforsøk, for eksempel via LinkedIn, der 20 000 britiske fagfolk har blitt forsøkt rekruttert av kinesiske tjenester. Man må snakke med de ansatte og at ikke alt er som det kan se ut innledningsvis. Vær bevisst på AI-generert manipulasjon som deepfakes. Eksperter sliter med å identifisere om lyd- eller videoopptak er ekte eller manipulert.
  8. Vurder AI- sikkerhet: Vær bevisst på risikoene ved bruk av AI, inkludert datamanipulering og potensielle «bakdører» i systemer. Innfør retningslinjer for sikker og etisk bruk av AI i virksomheten.

Kilde: Arne Christian Haugstøyl

Direktør i Nasjonal sikkerhetsmyndighet, Arne Christian Haugstøyl.

I en tid med eskalerende globale trusler og et utydelig sikkerhetsbilde mener Arne Christian Haugstøyl, direktør i Nasjonal sikkerhetsmyndighet (NSM), at norske virksomheter må forstå risiko, redusere sårbarheter og sørge for gode reserveløsninger for å minimere konsekvensene når uhell likevel rammer.

– Vi blir møtt av aktører som vil oss vondt i stort sett alle verdens hjørner. Diskusjonen rundt utfordringene norske myndigheter og virksomheter møter blir ofte veldig trusseltung, men risikoen reduseres ikke i skjemaer og systemer. Virksomhetsledere må gå fra analyser til konkrete handlinger. Det er en nasjonal dugnad der hver enkelt bedrift har et avgjørende ansvar, sier Haugstøyl under Norsk TotalforsvarsForum sin Sårbarhetskonferanse 23. september i Oslo.

 

Sikre verdiene deres

Han advarer at trusselaktører vil prøve å få tak i virksomhetenes verdier, enten for å stjele informasjon eller legge til rette for sabotasje.

– Vi må forstå verdiene våre. Alle virksomheter verdier som er viktig for at de skal fungere. Det koster for mye å sikre alt. Derfor må vi identifisere de viktigste, så må vi bruke penger på å redusere sårbarhetene der. Virksomhetsledere som eier, drifter og forvalter norsk kritisk næringsliv får ikke gjort så mye med at Russland bruker energi på å stjele informasjon eller kartlegger for sabotasje. Det de får gjort noe med det er å identifisere de viktigste verdiene og jobbe ordentlig med å redusere risikoen knyttet til verdiene, understreker Haugstøyl., oppfordrer Haugstøyl.

Trusselaktørene prøver å utnytte menneskene som jobber i virksomhetene, utnytte teknologiske sårbarheter eller sårbarheter i prosesser, som virksomhetsledere som ikke tar sikkerhet på alvor, mener Haugstøyl.

– Jeg blir oppriktig lei av å høre vi må være årvåkne. Nei, det viktige er å snu det og si «folkens, vi må ta ansvar for egne verdier og beskytte det ved å redusere sårbarheten», oppfordrer Haugstøyl.

Virksomheter kan ikke kontrollere trusselaktørenes intensjoner eller kapasitet, så det er viktig å redusere egne svakheter for å gjøre det ulønnsomt eller umulig for angripere å lykkes, presiserte Haugstøyl.

 

Russisk risikovilje

Trusselbildet mot Norge har endret seg dramatisk de siste årene. Krigen i Ukraina har ført til en økning av sabotasjetrusselen fra Russland, og over 40 sabotasjeaksjoner er registrert i Europa siden Ukraina-krigen brøt ut i 2022, og sannsynligheten for lignende hendelser i Norge er stor, ifølge NSM-direktøren.

– Politiets sikkerhetstjeneste (PST) sier det er sannsynlig at det skjer russiske sabotasjeoppdrag i Norge. Ifølge PSTs sannsynlighetsskala betyr det at der er 90 prosent sannsynlighet for at det skjer. Vi må nå gå fra risiko og sårbarhetsanalyser til å gjennomføre faktiske tiltak. Mange virksomheter har brukt masse tid og krefter på det de er pålagt, nemlig å identifisere verdier, de har funnet sårbarheter, men de igangsetter ikke faktiske tiltak, sier Haugstøyl.

Trusler fra Russland er ikke noe nytt, sier Haugstøyl, og forteller at da han begynte i PST i 2006 så han russere som også den gang kartla den kritiske infrastrukturen vår, både fysisk og digitalt. Under den kalde krigen var ingen norgeskart var mer presise enn de russiske.

– Det som er nytt er den russiske risikoviljen. Viljen til å utføre sabotasjehandlinger har endret seg. PST viser til at det er beviselig at sabotasjeangrepene som har skjedd i Europa siste årene er det russerne som har utført, sier Haugstøyl.

 

– Må jobbe med grunnberedskapen

Vi kan ikke bygge gjerder eller sikre alt av kritisk infrastruktur i Norge, og hvis en statlig aktør ønsker å begå en sabotasjehandling mot norsk kritisk infrastruktur vil de lykkes, mener Haugstøyl.

– Vi har 356.000 kilometer med strømkabel, det er som fra jorden til månen, og flere hundre trafostasjoner. Vi har 8800 kilometer med gassrør fra Norge til Europa som forsyner Europa med gass. Vi greier ikke å beskytte alt, men vi må redusere konsekvensene ved en sabotasjehandling. Vi må sørge for å ha god reparasjonsberedskap og ha reservedeler og gjenopprettelseskapasitet, sier han.

I dag er det nedetid på mange år på enkelte av de største og viktigste trafostasjonene hvis de for eksempel brenner ned. Sånn kan vi ikke ha det når truslene er så høye, mener Haugstøyl.

– Vi må derfor jobbe med grunnberedskapen vår. Vi må få scenarioene, som inntil for få år siden var utenkelige, inn i beredskapsplanene til de som forvalter den viktigste infrastrukturen vår. Jeg mener vi i første omgang skal være forberedt på hybrid krigføring, som sabotasje og branner med mere og ikke rene krigshandlinger. Bomber og granater vil være mest aktuelt i en åpen krig, mener Haugstøyl.

Han mener kritisk infrastruktur er godt rustet til å tåle norsk vær klima, men der stopper det opp.

– Kritisk infrastruktur er forberedt for vær, flom, skred, sørpeskred og hvem vet hva. Men vi er ikke forberedt på scenarioer der statlige aktører benytter sabotasjehandlinger mot, som for eksempel ildspåsettelser og droner mot vår kritiske infrastruktur. Dette er ikke godt nok kartlagt. Det haster det med å gjøre, og deretter må vi bruke penger på å sikre de største verdiene. Det handler om at vi ikke kan sikre alt, men vi må ha gode reserveløsninger slik at konsekvensene blir minst, sier Haugstøyl.

Han trekker også frem utfordringer ved at utenlandske investorer ønsker å investere i lokalsamfunn. Dette gjelder spesielt investorer fra land vi ikke har et sikkerhetspolitisk samarbeid med. Det kan dreie seg om oppkjøp av havner, bygg og virksomheter, gjerne på steder som sliter med bosetting og arbeidsplasser. Slike investeringer kan være ønskelig og kjærkomment lokalt, men i enkelte tilfeller utfordre nasjonale sikkerhetsinteresser.

Det kan være ulike intensjoner bak slike investeringer, men det handler ofte om å skaffe seg et fotfeste i Norge. Det kan dreie seg om å sikre seg nærhet til skjermingsverdige objekter eller infrastruktur eller kjøpe seg tilgang til en virksomhets teknologi eller kompetanse.

– I disse sakene må vi være forberedt på at landene som ønsker å investere kan utnytte allerede eksisterende konfliktlinjer i samfunnet vårt, slik som sentrum og periferiutfordringene, sier Haugstøyl

 

Kinas snikende trussel

Bedrifter bør ha en strategi for diversifisering der det er mulig å integrere sikkerhetskriterier i offentlige og private anbud for å unngå fremtidige utfordringer. Sikkerhet bør inn som en tydeligere kriteria i offentlige anbudsprosesser, mener NSM-direktøren.

– Russland og Kina er som to farlige naturfenomener. Russland er som en tsunami. Det er som en bølge som skyller over oss. Kina er mer en snikende trussel. Hvor mye tåler vi, spør han og trekker frem kinesiske biler som et eksempel.

– I 2019 var det 2 prosent kinesiske biler på veier, i år var det det 20 prosent kinesiske biler på norske veier. Kinesiske biler tar opp alt av lyd og vi vet ikke hvor de dataene blir av. Dataene ligger på kinesiske servere. Vi må være bevisste på dette. Hvis Kina en dag sier at de 20 prosentene med kinesiske biler ikke skal starte i Norge, ja, så må vi regne med at de kan fjernstyre dette. Dette så vi at amerikanerne gjorde med John Deere landbruksmaskiner, som russerne stjal fra Ukraina etter invasjonen i 2022. Disse startet ikke da de ble fraktet til i Tsjetsjenia. Vil det være et problem at 20 prosent av bilene i Norge ikke lar seg starte? spør Haugstøyl.

Han fortsatte med at dette gjelder for langt flere områder enn bare biler.

– Vi må være bevisst og være kritisk til hva vi gjør med hensyn til grønn teknologi, vindmøller, havvind, solenergi og mye mer, advarte Haugstøyl.

 

Flere saker om security

security datasikkerhet sikring

Enkle tiltak for bedre sikkerhet

Det enkle er ofte det beste, og det var også regelen for rådene NSM- direktøren ga norske virksomheter og publikum i salen ved Sårbarhetskonferansen.

– Trusselaktører hopper over gjerdet der det er lavest. Da er det om å gjøre å ikke være den virksomheten som har det laveste punktet på gjerdet. Vi har hatt fokus på fysiske sabotasjer, men trusselaktørene bruker også digitale sårbarheter for å kunne gjennomføre fysisk sabotasje, sier Haugstøyl.

Han presiserer at det ofte ikke er avanserte aktører eller metoder som brukes.

Dette er i stor grad «gutteroms-aktiviteter» som når høyrere nasjonale verdier. De kommer inn på grunn av sikkerhetshull på utstyret og systemene. Vi må derfor gjøre oppdateringene vi skal. Dersom alle hadde gjort litt så hadde vi fått mye bedre nasjonal sikkerhet, sa Haugstøyl.

 

Rekruttering via sosiale medier

Nye spionasjemetoder, inkludert digital rekruttering av innsidere via LinkedIn, utgjør også en betydelig fare for enkeltansatte og dermed virksomheter. Videre skaper kunstig intelligens (KI) nye utfordringer med datamanipulasjon (deepfakes) og potensielle bakveier inn i systemer.

– I 2023 sa sjefen for den britiske sikkerhetstjenesten MI5, at 20.000 briter har blitt forsøkt rekruttert til å gi informasjon eller til å kartlegge infrastruktur for kinesiske tjenester via LinkedIn. Dette må vi snakke om i norske virksomheter. Mange i norske virksomheter får henvendelser på LinkedIn og sosiale medier. Virksomheter må snakke med de ansatte om dette, mener Haugstøyl.

nyheter nasjonal sikkerhetsmyndighet sårbarhetskonferansen kina arne christian haugstøyl russland
Powered by Labrador CMS