EOS-tjenestenes vurderinger

Slik bør din virksomhet bruke innholdet.

Slik forholder du deg til trusselvurderingene

Etterretnings- og sikkerhetstjenestene publiserer normalt sine ugraderte trussel- og risikovurderinger i begynnelsen av februar.

Stian Ervik

Cyber & Security

KPMG i Norge

I vurderingene for 2024 beskriver Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet et alvorlig og dystert bilde av utviklingen i både Norge og verden for året som kommer. Russland og Kina er trukket frem som de største truslene mot Norge. Økt etterretningsaktivitet, Russlands fortsettelse av krigen i Ukraina og Kinas globale ambisjoner bidrar til å endre de sikkerhetspolitiske rammebetingelsene Norge opererer innenfor.

Mange sikkerhetsbevisste virksomheter bruker disse rapportene som viktige verktøy for å styrke sin egen sikkerhet. Likevel opplever mange virksomheter at innholdet i rapportene ikke direkte besvarer virksomhetens spesifikke informasjonsbehov. Det kan være vanskelig å forstå hva dette vil si for sin egen sikkerhet og hva det betyr for ens egen beredskap.

Vi dykker ned i hvorfor dette er en utfordring for mange virksomheter, og gir råd om hvordan dere kan optimalisere bruken av rapportene.

Risiko 2024 - Nasjonal sikkerhetsmyndighet (nsm.no)

NTV 2024 (pst.no)

Fokus 2024 - Etterretningstjenesten

    Realistisk beslutningsstøtte

    Etterretnings- og sikkerhetstjenestenes årlige, ugraderte rapporter gir helhetlige og grundige analyser av aktuelle sikkerhetsutfordringer. De gir også verdifull innsikt for politiske beslutningstagere og samfunnet som helhet. Vår erfaring tilsier imidlertid at flere virksomheter opplever at detaljgraden på rapportene enten er for lav, eller at de ikke svarer direkte på behovene virksomheten måtte ha. Slik sett er det ikke en selvfølgelighet at rapportene gir et godt beslutningsgrunnlag for å gjennomføre sikkerhetstiltak.

    En utfordring mange sikkerhetsledere står overfor, er mangelen på presisjon i de ugraderte rapportene. Ledere, CISO-er, CSO-er og andre interessenter etterspør mer presis og relevant informasjon. Et gjentagende utsagn vi hører er «Ja, vi vet at vår sektor er utsatt og dette har vi visst lenge. Vi trenger informasjon vi kan ta beslutninger på bakgrunn av.»

    Det er gode grunner for at sikkerhetsledere ikke opplever den presisjonen de behøver. Hensikten med de tre årlige ugraderte rapportene fra EOS-tjenestene er først og fremst å fungere som et åpent, ugradert og strategisk beslutningsgrunnlag til norske myndigheter og befolkningen forøvrig.

    Rapportene er særdeles retnings- og toneangivende for den offentlige debatten knyttet til trussel- og risikobildet Norge står overfor. Spesielt på et strategisk og overordnet nivå tegner rapportene en ytre ramme som virksomheter kan nyttiggjøre seg av, men det stopper der. 

    Mangler kapabiliteter

    Norske virksomheter vil fortsette å være utsatt for fremmede staters etterretningsoperasjoner. Mens norske myndigheter har et solid apparat for å identifisere og håndtere trusler og sårbarheter, har private virksomheter ikke tilsvarende kapabilitet.

    Det eksisterer en betydelig ulikhet i evnen til å avdekke trusler og kontrollere sårbarheter mellom offentlige og private aktører. Det er stor mangel på relevant informasjon og vurderinger private virksomheter kan agere på. 

    Sikkerhetsloven og verdikjedeproblematikk

    Mange virksomheter som underlegges sikkerhetsloven forbinder dette med en rekke plikter for virksomheten. Det er imidlertid en sentral fordel for de virksomhetene som underlegges sikkerhetsloven at de har rett til å motta sikkerhetsgradert informasjon om trussel- og risikobildet for sin virksomhet. Dette bidrar til at virksomheten kan fatte beslutninger i tråd med trussel- og risikospesifikk informasjon.

    I tillegg vil virksomheter underlagt sikkerhetsloven også ha tett dialog både med Nasjonal sikkerhetsmyndighet (NSM), Sivil klareringsmyndighet og det relevante departementet som kan bidra med å avklare spørsmål knyttet til sikkerhetsstyring.

    Private virksomheter som er omfattet av sikkerhetsloven opererer imidlertid ikke i et vakuum og er en del av en lang og kompleks leverandørkjede. Det er i utgangspunktet kun leverandører som inngår i sikkerhetsgraderte anskaffelser som vil på lik linje med virksomhetene underlagt sikkerhetsloven kunne motta spesifikk trussel- og risikoinformasjon. Disse virksomhetene utgjør et fåtall av alle leverandører i virksomhetens verdikjede.

    Samfunnskritisk blindsone

    Allerede i 2016 kom Direktoratet for samfunnssikkerhet og beredskap (DSB) med en liste over det norske samfunnets 14 kritiske funksjoner. Til den dag i dag så er en rekke av virksomhetene som angis som ansvarlige eller involverte i opprettholdelsen av disse funksjonene ikke underlagt sikkerhetsloven. Disse virksomhetene som i stor grad understøtter samfunnskritiske funksjoner havner praktisk talt i en blindsone der de ikke mottar tilstrekkelig med relevante vurderinger og informasjon fra myndighetene. Virksomhetene står på bar bakke og er overlatt til seg selv.

    Å skulle forholde seg til EOS-tjenestenes rapporter er en vanskelig øvelse for mange virksomheter. Selv om de store linjene er der, er ikke informasjonen relevant nok. Det er derfor ingen automatikk i at de skulle svare på hver enkelt virksomhets informasjonsbehov.

    Små, mellomstore og store bedrifter trenger derfor skreddersydde risiko,- sårbarhets,- og trusselvurderinger for å avdekke egne sårbarheter og hvilke trusler de står overfor i året som kommer. Ulike virksomheter har ulike informasjonsbehov, og disse er førende for hvordan man går frem i å produsere trusselvurderinger.

    Sikkerhetsekspertene anbefaler

    • Ha oversikt over virksomhetens kritiske verdier. Gjennomfør verdivurderinger og kartlegg virksomhetskritiske verdier og verdier som understøtter kritiske samfunnsfunksjoner. Trusselaktørene er ute etter verdiene dine.
    • Få kontroll på den grunnleggende sikkerheten. Gjennomfør innledende risikovurderinger. Skreddersydde risiko,- sårbarhet, og trusselvurderinger skal prioritere videre retning for sikkerhet.
    • Avklar bedriftens sikkerhetsmessige informasjonsbehov og harmoniser disse med forretningsmålene dine. Skreddersydde risiko-, sårbarhets-, og trusselvurderinger skal bidra til å nå bedriftens forretningsmål, ikke å hindre dem.
    • Bruk EOS-tjenestenes ugraderte rapporter som kontekst for dine produkter. Rapportene tegner et godt bakgrunnsbilde, men virksomheten din må selv samle inn relevant informasjon tilpasset dine informasjonsbehov.

    Ønsker du å snakke med en ekspert på sikkerhet og trusselvurderinger? KPMG har et av Norges største miljøer innen både digital og fysisk sikkerhet. Ta kontakt så hjelper vi deg med sikkerhetsråd tilpasset behovene i din virksomhet.

    Relevante tjenester

    Gransking og evalueringer

    Integritet og etterlevelse av regelverk er avgjørende for tillit.

    Risikotjenester

    Sørg for trygg vekst og langsiktig suksess med proaktiv risikostyring

    Sikkerhet og beredskap

    Få hjelp til å beskytte det som er viktig for din virksomhet

    Gransking, compliance og økonomisk kriminalitet

    Få relevant innsikt i nyheter, trender og beste praksis innen gransking, compliance og bekjempelse av økonomisk kriminalitet.