Den 12. februar ga etterretnings- og sikkerhetstjenestene ut sine årlige, ugraderte trussel- og risikovurderinger

Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet beskriver et alvorlig og dystert bilde av utviklingen i både Norge og verden for året som kommer. Russland og Kina er trukket frem som de største truslene mot Norge. Økt etterretningsaktivitet, Russlands fortsettelse av krigen i Ukraina og Kinas globale ambisjoner bidrar til å endre de sikkerhetspolitiske rammebetingelsene Norge opererer innenfor.

Mange sikkerhetsbevisste virksomheter benytter disse rapportene som viktige verktøy for å styrke sin egen sikkerhet. Likevel opplever mange virksomheter at innholdet i rapportene ikke direkte besvarer virksomhetens spesifikke informasjonsbehov. Det kan være vanskelig å forstå hva dette vil si for sin egen sikkerhet og hva det betyr for ens egen beredskap.

Vi dykker ned i hvorfor dette er en utfordring for mange virksomheter, og gir råd om hvordan man kan optimalisere bruken av disse rapportene.

Risiko 2024 - Nasjonal sikkerhetsmyndighet (nsm.no)

NTV 2024 (pst.no)

Fokus 2024 - Etterretningstjenesten

Fra strategisk informasjon til realistisk beslutningsstøtte

Etterretnings- og sikkerhetstjenestenes årlige, ugraderte rapporter gir helhetlige og grundige analyser av aktuelle sikkerhetsutfordringer. De gir også verdifull innsikt for politiske beslutningstagere og samfunnet som helhet. Vår erfaring tilsier imidlertid at flere virksomheter opplever at detaljgraden på rapportene enten er for lav, eller at de ikke svarer direkte på behovene virksomheten måtte ha.

Årets rapporter tegner et dystert bilde av utviklingen i det sikkerhetspolitiske landskapet og belyser aktuelle tema som vil prege året som kommer. Det er ikke en selvfølgelighet at rapportene gir et godt beslutningsgrunnlag for å gjennomføre sikkerhetstiltak. En anerkjent utfordring vi står overfor, er mangelen på presisjon i de ugraderte rapportene. Ledere, CISO-er, CSO-er og andre interessenter etterspør mer presis og relevant informasjon. Et gjentagende utsagn vi hører er «Ja, vi vet at vår sektor er utsatt og dette har vi visst lenge. Vi trenger informasjon vi kan ta beslutninger på bakgrunn av!»

Vi opplever at også EOS-tjenestene er klar over dette gapet. Eksempelvis har Politiets sikkerhetstjeneste selv understreket at deres Nasjonal Trusselvurdering 2024 er ment å skulle dekke behovet for personer og virksomheter som selv ikke har tilgang på sikkerhetsgraderte vurderinger. Det er et veldig godt moment og en berømmelig innsats. Selv om rapportene fra EOS-tjeneste treffer godt på et overordnet, strategisk nivå er vår erfaring fortsatt at de ikke svarer direkte på personers og virksomheters særegne informasjonsbehov.

Det er gode grunner for at sikkerhetsledere ikke opplever den presisjonen de behøver. Hensikten med de tre årlige ugraderte rapportene fra EOS-tjenestene er først og fremst å fungere som et åpent, ugradert og strategisk beslutningsgrunnlag til norske myndigheter og befolkningen forøvrig. Risiko- og trusselvurderingene er ment å understøtte beslutninger og bidra til utformingen av norsk sikkerhets-, beredskaps-, forsvars-, og utenrikspolitikk. Rapportene er særdeles retnings- og toneangivende for den offentlige debatten knyttet til trussel- og risikobildet Norge står overfor. Spesielt på et strategisk og overordnet nivå tegner rapportene en ytre ramme som virksomheter kan nyttiggjøre seg av, men det stopper der. 

Norske virksomheter trenger et godt apparat for å avdekke trusler og sårbarheter

Norske virksomheter er utsatt og vil fortsette å være utsatt for fremmede staters etterretningsoperasjoner i året som kommer. Mens norske myndigheter har et solid apparat for å identifisere og håndtere trusler og sårbarheter, har private virksomheter ikke alltid tilsvarende kapabilitet. Det eksisterer en betydelig ulikhet i evnen til å avdekke trusler og kontrollere sårbarheter mellom offentlige og private aktører.

Det er stor mangel på relevant informasjon og vurderinger private virksomheter kan agere på. Til EOS-tjenestenes forsvar må man allikevel påpeke at hovedformålet med rapportene ikke er å tjene den enkelte bedrift med risiko,- sårbarhets,- og trusselvurderinger, spesielt ikke i en ugradert rapport. Det er også en annen debatt om det offentlige skal bruke tid og penger på å tjene private virksomheter. Men det er et betydelig poeng at norske virksomheter ikke har de samme kapabilitetene som norske myndigheter for å tilegne seg en god og dekkende forståelse for trussel- og risikobildet de står overfor.

Sikkerhetsloven og verdikjedeproblematikk

Mange virksomheter som underlegges sikkerhetsloven forbinder dette med en rekke plikter for virksomheten. Det er imidlertid en sentral fordel for de virksomhetene som underlegges sikkerhetsloven at de har rett til å motta sikkerhetsgradert informasjon om trussel- og risikobildet for sin virksomhet. Dette bidrar til at virksomheten kan fatte beslutninger i tråd med trussel- og risikospesifikk informasjon. I tillegg vil virksomheter underlagt sikkerhetsloven også ha tett dialog både med Nasjonal sikkerhetsmyndighet (NSM), Sivil klareringsmyndighet og det relevante departementet som kan bidra med å avklare spørsmål knyttet til sikkerhetsstyring.

Private virksomheter som er omfattet av sikkerhetsloven opererer imidlertid ikke i et vakuum og er en del av en lang og kompleks leverandørkjede. Det er i utgangspunktet kun leverandører som inngår i sikkerhetsgraderte anskaffelser som vil på lik linje med virksomhetene underlagt sikkerhetsloven kunne motta spesifikk trussel- og risikoinformasjon. Disse virksomhetene utgjør et fåtall av alle leverandører i virksomhetens verdikjede.

Samfunnskritiske virksomheter

Allerede i 2016 kom Direktoratet for samfunnssikkerhet og beredskap (DSB) med en liste over det norske samfunnets 14 kritiske funksjoner. Til den dag i dag så er en rekke av virksomhetene som angis som ansvarlige eller involverte i opprettholdelsen av disse funksjonene ikke underlagt sikkerhetsloven. Disse virksomhetene som i stor grad understøtter samfunnskritiske funksjoner havner praktisk talt i en blindsone der de ikke mottar tilstrekkelig med relevante vurderinger og informasjon fra myndighetene. Virksomhetene står på bar bakke og er overlatt til seg selv.

Å skulle forholde seg til EOS-tjenestenes rapporter er en vanskelig øvelse for mange virksomheter. Selv om de store linjene er der, er ikke informasjonen relevant nok. Det er derfor ingen automatikk i at de skulle svare på hver enkelt virksomhets informasjonsbehov.

Små, mellomstore og store bedrifter trenger derfor skreddersydde risiko,- sårbarhets,- og trusselvurderinger for å avdekke egne sårbarheter og hvilke trusler de står overfor i året som kommer. Ulike virksomheter har ulike informasjonsbehov, og disse er førende for hvordan man går frem i å produsere trusselvurderinger.

Vi anbefaler følgende:

  • Ha oversikt over virksomhetens kritiske verdier. Gjennomfør verdivurderinger og kartlegg virksomhetskritiske verdier og verdier som understøtter kritiske samfunnsfunksjoner. Trusselaktørene er ute etter verdiene dine.
  • Få kontroll på den grunnleggende sikkerheten. Gjennomfør innledende risikovurderinger. Skreddersydde risiko,- sårbarhet, og trusselvurderinger skal prioritere videre retning for sikkerhet.
  • Avklar bedriftens sikkerhetsmessige informasjonsbehov og harmoniser disse med forretningsmålene dine. Skreddersydde risiko-, sårbarhets-, og trusselvurderinger skal bidra til å nå bedriftens forretningsmål, ikke å hindre dem.
  • Bruk EOS-tjenestenes ugraderte rapporter som kontekst for dine produkter. Rapportene tegner et godt bakgrunnsbilde, men virksomheten din må selv samle inn relevant informasjon tilpasset dine informasjonsbehov.

Vi hjelper deg – Ta kontakt

Vi i KPMG er klare til å hjelpe deg og din virksomhet. Vår Cyber & Security-avdeling består av rådgivere og jurister med lang erfaring og kompetanse innen sikkerhetsarbeid i både privat og offentlig sektor. Vår trusseletterretningstjeneste benytter sin operative erfaring fra etterretning og sikkerhetsarbeid, og hjelper i dag virksomheter med skreddersydde trussel,- sårbarhets,- og risikovurderinger.

Ta kontakt med oss i dag – Vi finner de gode løsningene