Noen trusler handler ikke om mennesker, men om tempoet i teknologien, skriver artikkelforfatter Raymond Andre Hagen, fagdirektør cybersikkerhet og Digitalisringsdirektoratet.

Sikkerhet handler om å kunne håndtere usikkerhet

I den siste tida har mange vurdert teknologivalg i lys av uro og endring. For norske virksomheter handler det først og fremst om å ha styring som holder over tid.

Raymond Andre Hagen
Raymond Andre Hagen Raymond Andre Hagen Raymond Andre Hagen Fagdirektør Cybersikkerhet i Digitaliseringsdirektoratet
Publisert

Dette er en kommentar. Den gir uttrykk for skribentens holdninger.

Informasjons-sikkerhetens tre søyler

Kjernen er informasjonssikkerhetens tre søyler: konfidensialitet, integritet og tilgjengelighet. 

Konfidensialitet handler om at innhold bare deles med dem som skal ha det, slik at åpenhet kan være høy uten at sensitive detaljer slipper ut. 

Integritet handler om at innholdet er helt og riktig, så fakta kan forstås og kontrolleres uten tvil. 

Tilgjengelighet handler om at innholdet finnes når vi trenger det.

Når disse tre henger sammen i praksis, oppstår den typen åpenhet som bygger tillit: innsyn som kan brukes, forstås og etterprøves. Da blir dokumentasjon ikke bare bevaring av fortid, men et aktivt verktøy for styring, beredskap og offentlig samtale.

Trygghet og suverenitet handler om styring, kompetanse og beredskap, ikke bare teknologi og leverandører. For norske virksomheter handler dette om hvordan de kan bygge styring og dokumentasjon som gjør de motstandsdyktige, slik at de holder kontroll og kan ta gode valg når endring gjør seg gjeldende. Målet er at åpenhet skal gi tillit, samtidig som det reduserer sårbarhetene. 

 

Åpenhet og sikkerhet

Dokumentasjon er vår kollektive hukommelse. Den binder enkeltsaker, mennesker og steder sammen over tid, og gjør at vi kan forstå hvorfor beslutninger ble tatt, og etterprøve dem. Den gir oss mulighet til å lære av feil, bygge videre på det som virker, og fatte bedre beslutninger i morgen. Uten dokumentasjon forsvinner sammenhengen, og rommet for tilfeldigheter og påvirkning vokser.

Samtidig er dokumentasjon mer enn et arkiv; den er en grunnstein i hvordan vi styrer, samarbeider og utøver demokratisk kontroll. For at denne grunnsteinen skal bære, må den være til å stole på. Fra et sikkerhetsfaglig ståsted etableres tillit ved at ting kan verifiseres og etterprøves. Forutsetningen for slik kontroll er åpenhet. Åpenhet er ikke det samme som at alt er tilgjengelig for alle, men at beslutninger om å tilgjengeliggjøre er basert på regler som kan verifiseres.

 

Alt handler om tillit

I et geopolitisk landskap, der verden oppfattes som mer usikker enn på lenge, så er det en observasjon at trusler tar så mange former.

Det være seg nye teknologier, statlige aktører, eller påvirkningskampanjer. Målet er alltid det samme: å svekke den etablerte tilliten.

 

Tempoet i teknologien

Digital suverenitet

Her er noen sentrale egenskaper for digital suverenitet:

  • Valgbarhet over tid: Vi skal kunne flytte både dokumenter og metadata uten å miste historikk og sammenhenger. Det krever åpne, omforente standarder for formater, metadata og godt dokumenterte grensesnitt.
  • Etterprøvbar drift: Med revisjonslogger, endringshistorikk og klare roller kan vi vise hva som skjedde, når det skjedde, og hvem som gjorde det.
  • Kontroll på sikkerhetsmekanismer: Vi styrer mekanismene som bærer konfidensialitet, integritet og tilgjengelighet, som kryptering, tilgangsstyring og logging, slik at bruk kan reverseres og etterprøves over tid.
  • Beredskapsaspektet: Å kunne motstå uønskede hendelser, og samtidig beholde lokal kontroll på håndteringen.
  • Geografisk robusthet: Flere uavhengige veier «ut og inn», slik at samfunnsfunksjoner kan holdes i gang selv ved bortfall.

Noen trusler handler ikke om mennesker, men om tempoet i teknologien. Kryptering er låsen vi bruker for å beskytte innholdet i våre informasjonssystemer. Når sterkere regnekraft og nye metoder (for eksempel kvanteteknologi) kommer, kan metoder som er trygge i dag bli usikre i morgen. Noe som medfører at informasjon som vi ønsker å beskytte må forholde seg til slike fremtidige trusler.

For dokumentasjon som vårt kollektive minne, er det viktig at den må beskyttes over tid, slik at vi ikke risikerer at hendelser blir endret, eller sådd tvil om i fremtiden.

 

Går etter kritiske funksjoner

Statsaktører og profesjonelle kriminelle har både kompetanse og utholdenhet, som dessverre ofte overgår det vi som skal beskytte innehar.

Aktører går etter samfunnskritiske funksjoner for å skape støy, tvil, eller av økonomiske årsaker. Ofte kan et mål være å så tvil: «kan vi stole på journalen?», «er beslutningsgrunnlaget helt?». Selv små avvik kan forstørres til mistillit hvis de skjer i feil øyeblikk. Vår svært sammenkoblede verden, og ikke minst stadig mer effektive teknologi medfører at det å tape tillit kan være en svært hurtig prosess.

 

Påvirkning utenfra

Når fragmenter av informasjon plukkes ut av kontekst eller kombineres med andre åpne kilder av varierende kvalitet, kan de brukes til å styre adferd: få oss til å handle raskere enn vi burde, eller senere enn vi kan. Et kjent eksempel ser vi etter Russlands fullskala invasjon av Ukraina. Offentlige rapporter dokumenterer mange tusen meldinger på sosiale medier som forsøker å fremstille Norges støtte til Ukraina som aggressive handlinger mot Russland. Målsetningen er den samme: å svekke tilliten til samfunnsstrukturene vi er avhengige av.

Når noe går galt, er fristelsen å lukke oss og ikke dele. Målet vårt er det motsatte: å beskytte åpenheten. Vi publiserer i rett tid og riktig detaljgrad nettopp for at enkelthendelser ikke skal drive oss mot mindre innsyn over tid.

 

Digital suverenitet: åpenhet med handlingsrom

Digital suverenitet er et krevende begrep. I den ene enden forstås det som «totalitet»: at infrastruktur, data og beslutninger alltid skal ligge lokalt: fullt eierskap, full tilstedeværelse. I den andre enden handler det mer nyansert om å hevde suverenitet over tid: at vi kan sikre kontroll på de viktigste dataene og funksjonene våre i fred, krise og krig, gjennom en kombinasjon av egne kapasiteter og allierte vi kan lene oss på over tid.

Tre røde flagg i metadata

  1. Koblingsnøkler. Felter som gjør det lett å koble mot andre åpne kilder: presise indikatorer (saksnr* klokkeslett), koordinater/adresser, fødselsdatoer og unike referanser. Slike kombinasjoner kan avsløre mer enn hver opplysning alene.
  2. Sanntidsrytme. Tidsstempler på minutt-/time-nivå og «fortløpende» status kan vise bemanning, kapasitet og rutiner. Vurder å vise utvikling per uke/måned når detaljer ikke trengs for innsynet.
  3. Interne spor. Interne merknader, brukernavn, systemstier/versjoner og tekniske felter som ikke er ment for publikum. Slike spor kan misforstås eller misbrukes.

Den siste forståelsen er styrende her: målet er handlingsrom, ikke isolasjon. For dokumentasjons-feltet betyr det at vi må kunne vise hvordan materialet behandles, flyttes og beskyttes, uavhengig av plattform; kunne bytte uten å miste historikk og sammenheng; og styre nøkler, logger og tilganger når det gjelder. Åpenhet bygger tillit, forutsatt at vi også er åpne om forvaltningen bak: nøkler, logger og formater.

 

Hvorfor dette angår dokumentasjon?

Dokumentasjon lever lenger enn systemene rundt den. Arkivuttrekk som var «trygge» i går, må kunne leses i morgen; metadata må gi mening også etter en plattformflytting. Derfor er standardisering ikke pynt, men en forutsetning: omforente og åpne internasjonale standarder for formater, metadata og utveksling, er det som gjør portabilitet reell.

Uten slike standarder blir eksport ofte en engangskonvertering som mister sammenheng, versjons-historikk og tilgangslogger, og da er vi ofte låst til en spesifikk leverandør.

Åpenhet, åpne standarder og leverandøruavhengighet henger tett sammen: vi kan ikke love etterprøvbarhet hvis ikke struktur og formater kan flyttes uten tap. Når vi velger løsning, velger vi i praksis også bevaringsstrategi; velger vi åpne, omforente standarder, velger vi samtidig muligheten til å bytte leverandør uten å miste historikk. Åpenhet om innhold uten åpenhet om format, prosess og sporbar drift er bare en halv løsning.

 

EU, Norge og globale plattformer

Diskusjonen om digital suverenitet tipper lett over i geopolitikk: hvem er venner, hvem er krevende, og skal vi velge «beste løsning» uansett? Fra et samfunnssikkerhetsperspektiv må vi ta den samtalen, men gjøre den praktisk: det handler om å sikre leveranse og styring over tid. Kompetanse er avgjørende: i anskaffelse, innføring og drift/vedlikehold, og sannheten er at selv de største er for små til å klare alt alene. Derfor bygger vi kapasitet hjemme, og støtter oss samtidig på allierte og leverandører vi har tillit til.

Nøkkelen er vilkårene: Kan vi eksportere i åpne formater (dokument og metadata), få ut revisjonslogger, styre nøkler og sette grenser for databruk og modelltrening? Da kan vi bruke både europeiske og amerikanske økosystemer og likevel bevare handlingsrommet. Hvis vilkårene er uklare, flytter vi dataene våre nærmere «hjemme», under regler, avtaler og standarder vi kan etterprøve. Slik blir suverenitet mindre et spørsmål om geografi, og mer et spørsmål om kontroll, kompetanse og varige relasjoner.

 

Exit som beredskap

En exit-strategi kan kjennes fjern. Ikke fordi den er teknologisk umulig, men fordi den ofte oppleves som et svar på et uklart spørsmål: når skulle vi egentlig trenge den? Sett fra et samfunnssikkerhetsperspektiv er svaret enkelt: når noe hindrer oss i å lese, flytte eller forklare materialet vårt. Det kan være tekniske feil, leverandørskifter, juridiske tvister eller endringer i geopolitikk. For dokumentasjon, vår kollektive hukommelse, er tap av tilgang uakseptabelt. Derfor må exit håndteres som beredskap: vi sikrer at materialet kan forvaltes «for evig og alltid», også når verden rundt skifter.

Flere saker om datasikkerhet

security datasikkerhet cyber

Exit handler mindre om å «like» eller «ikke like» en leverandør, og mer om å tåle hendelser vi ikke rår over. Det betyr at vi planlegger for operasjonelle alternativer med andre, eller komplementære, egenskaper enn dagens løsning: at vi faktisk kan hente ut dokumenter og metadata i åpne formater, lese dem et annet sted uten tap av sammenheng, og opprettholde drift ved bortfall.

Parallellisering er ett grep: holde to, eller flere løsninger i drift, eller vedlikeholde en «lesbar» kopi et annet sted, slik at minst én løsning alltid fungerer uansett situasjon.

En slik tilnærming er ikke luksus, men en enkel kost/nytte-vurdering: litt mer struktur nå er billigere enn å stå uten tilgang dersom noe uforutsett skulle inntreffe.

 

Avhengighet uten avmakt

Spørsmålet om vi kan stole på amerikanske teknologileverandører blir ofte polarisert. Min vurdering er nøktern: Ja, vi kan, uten å være naive. Suksessen de har hatt bygger på tiår med teknologisk lederskap, og den verdien har vi nytt godt av. I tillegg er USA vår nærmeste allierte, og det geopolitiske båndet gir et reelt stabilitetsmoment. Uenigheter oppstår, og det er naturlig, og forventet i alle relasjoner som har en reell verdi.

Samtidig legger ikke dette lokk på behovet for digital suverenitet: vi må sikre handlingsrommet vårt uansett hvem som leverer.

For Norge er geografi en del av bildet. Ser vi på kartet, med Sverige og Finland, utgjør vi i praksis en «øy» mot Russland. Digitalt er vi sterkt avhengige av forbindelser via blant annet Irland og Danmark for å nå våre allierte og globale leverandører. I en geopolitisk krise kan denne avhengigheten bli en sårbarhet. Da handler suverenitet om redundans og beredskap: flere uavhengige ruter, lokalt tilgjengelige regioner og løsninger, og realistiske plan B-er som ikke stopper ved én kabel eller én region.

 

Aktiv risikostyring

Det positive er at bildet er i bevegelse til vår fordel. Flere store aktører har etablert drift nærmere oss, og nordiske teknologimiljøer bygger opp egen kapasitet. Summen gir mindre sårbarhet og mer valgfrihet. Vi bør utnytte styrken i de beste globale løsningene og bygge norske/nordiske alternativer der det gir varig kompetanse og robusthet.

Vil du skrive for oss?

Sikkerhet og beredskap tar imot både kommentarer (kortere meningsytringer om konkrete saker, temaer eller problemstillinger) og fagartikler (kronikk og analyser fra fagpersoner, med større krav til forfatterens bakgrunn og kunnskap).

Send oss gjerne en e-post: sikkerhet@nso.no

Spørsmål knyttet til geopolitikk og digital suverenitet kan ikke løses enkelt. Vurdering av samarbeidspartnere må forstås som aktiv risikostyring, der målet er å gjøre avhengighetene styrbare, slik at kontroll, sikkerhet og etterprøvbarhet står seg når krav, risiko og rammevilkår endrer seg over tid. Endringer i struktur, relasjoner, teknologi eller leverandører kan være både nødvendig og riktig, men de krever kapasitet, nitidig planlegging og forståelse av konsekvenser.

Sikkerhet handler i stor grad om å kunne håndtere usikkerhet, og det må ikke bli slik at ambisjonen om nye løsninger i seg selv introduserer risiko som svekker virksomheten.

 

En lengre versjon av denne artikkelen ble først publisert i INIO Tidskrift for informasjonsforvaltning 2/2025. Artikkelen er gjengitt med tillatelse.

sikkerhet dokumentasjon digital suverenitet åpenhet tillitsbygging kommentar
Powered by Labrador CMS