I dag, 5. februar ble årets trusselvurderinger lagt frem fra henholdsvis Etterretningstjenestens, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet. Myndigheter og virksomheter må beskytte seg mot truslene som E-tjenesten «FOKUS» og PST peker på i sine trusselvurderinger. NSMs «Risiko 2025» beskriver hvordan de best mulig kan beskytte seg.

Risikobildet for 2025 er en fortsettelse av trusselvurderingene lagt frem i fjor. I år igjen er det Russland som blir trukket frem som største trusselen mot Norge, men også Kina, Iran, Nord-Korea og terrororganisasjoner trekkes frem. Vi må ikke bare vite hvem, men også hvem som har til hensikt å gjøre hva for å kunne fatte beslutninger, sier forsvarsministeren, Tore O. Sandvik.

Å styrke samfunnets motstandskraft er viktig, sier Justis- og beredskapsministeren, Astri Aas-Hansen. Det er ikke nytt at vi må forholde oss til sammensatte virkemidler, men forekomsten av de hybride truslene har økt.

Etterretningstjenestens trusselvurdering:

  • Siden i fjor har verden blitt farligere. Russland er i en varig konflikt med Vesten. I 2024 har det blitt klart at Kreml er villig til å ta høyere risiko for å fremme sine interesser, spesielt gjennom sabotasjeaksjoner (det er registrert 40 planlagte og gjennomførte russiske sabotasjeaksjoner i Europa i 2024). Og selv om det ikke er bevis som tilsier at de undersjøiske skadene i Østersjøen er forårsaket av sabotasjeaksjoner eller av Russland, er det ingen tvil om at Russland har evne til å true vestlig undervannsinfrastruktur.
  • Kina er en viktig støttespiller for Russlands krigføring.
  • Tiden med rustningskontroll (regulering av kjernevåpen) er i ferd med å renne ut, i 2026 avsluttes den siste avtalen mellom USA og Russland som regulerer kjernevåpen.
  • Det er igjen en høyere terrorfare i Vesten.

Politiets sikkerhetstjeneste:

  • PST forventer at Russland forblir den største trusselen blant statlige aktører for Norge. Den største utviklingen man har sett i trusselbildet fra Russland er at sabotasjetrusselen har økt, også ved bruk av proxy-aktører. I fjor ble to norske borgere arrestert for mulig sabotasje.
  • Det er forventet at påvirkningstrusselen fra Kina vil bli mer fremtredende i 2025. I tillegg er etterretningstrusselen fra Kina betydelig og det vil tilta videre på sikt.
  • Truslene fra statlige aktører mot Norge er mer uforutsigbare og omfattende enn på mange tiår og 2025 vil preges av sammensatte trusler.  

Nasjonal sikkerhetsmyndighet:

  • Trusselvurderingene viser at sabotasjeforsøk i Norge er sannsynlig og det er tid for å iverksette forebyggende tiltak. Mange virksomheter har allerede kartlagt sårbarhetene, bare ikke iverksatt forebyggende tiltak.  Truslene er nå alvorlige, og vi må forebygge og redusere risikoen. Ord må bli til handling, sier NSMs direktør Arne Christian Haugstøyl.

Beredskap og sikkerhet er ikke noe som kommer av seg selv, men er noe som kommer av prioritering og handlekraft. Dagens trusselvurderinger viser at det er tid for handlekraft.

Noen av UTSYNs fagprofiler har delt sine synspunkter rundt dagens fremlagte trusselvurderinger:

Intervju med Odd Jarl Borch

Hva synes du var bra med trusselvurderingene?

  • De nasjonale trusselvurderingene er selvfølgelig nyttig og klargjørende lesning, og de utfyller jo i stor grad hverandre.  Vi begynner nå å få en bedre realitetssans når det gjelder bredden i det hybride eller sammensatte trusselbilde. Og det er bra at vi i klartekst får «hengt bjella på katta» i forhold til hvem som står bak. 

Hva savner du?

  • Når det gjelder sammensatte trusler så er det mye snakk om bruk av «proxy-aktører». Dette er jo et like diffust begrep som hybride trusler og burde vært bedre belyst. Vi bør få mer kunnskap om hvem disse er og hvordan de agerer.
  • PST sin vurdering er her mer innholdsrik enn E-tjenestens, som blir ganske generisk. E-tjenestens melding kunne med fordel vært mer orientert mot hva som er viktig tematikk ute i beredskapsapparatet. Slik den fremstår så blir det mye utenrikspolitikk.
  • Det som ellers er påfallende er at mens både Langtidsplan for forsvarssektoren og Totalberedskapsmeldingen har et sterkt fokus på krigs-scenarier og oppfølging av krigsberedskapen, så er de nasjonale trusselvurderingene nesten ikke opptatt av krigstrusselen i det hele tatt. Dette virker merkelig. 
  • De trusselvurderinger som legges fram har her et alt for kortsiktig tidsperspektiv. Tidshorisonten burde matche det planperspektiv som en vil ha innenfor både Forsvaret og sivil beredskap. Trusselbildet vil kunne se helt annerledes ut på lengre sikt, for eksempel i kjølvannet av en avsluttet Ukraina-krig.

Hva er dine tanker rundt trusselvurderingens fokus på sabotasjer og spesielt hva er dine tanker rundt sabotasjer i Nord?

  • Fokuset på sabotasje er jo ganske sterkt i analysene, og det er et særlig fokus på trusler i nord. Hvis sabotasje er sannsynlig, så må jo dette trigge norske myndigheter og bedrifter kraftig og medføre krav om å følge opp med sikring og kriseberedskap.  Her synes jeg det henger veldig i løse luften hva som er konsekvensene av at en sier at sabotasje er sannsynlig.  Er det nå så sannsynlig at en bør være klar til å trykke på «den røde knappen», og ha en mobiliseringskapasitet for eksempel på sprenging av kraft- og oljerørledninger. Her burde tjenestene gå lengre i en responsklargjøring.

Noe annet du ønsker å løfte frem?

  • Ellers kunne også EOS-tjenestene vært mer presis når det gjelder hvem de retter sine anbefalinger mot. For eksempel kunne en ha vært mye mer klar på hvilke trusler spesifikke deler av næringslivet står ovenfor, og hvor langt en skal gå når det gjelder sikring.   Mangelen på presisjon er også tilstede når det gjelder vurderingene av utdannings- og forskningsmiljøene og de trusler de står ovenfor. Her bør en få sterkere fram hvilke deler av akademia som skal følge opp de anbefalingene som gis.  Det er jo ikke slik at alle forskningsmiljøene skal kutte alle bånd til land som Kina og Iran selv om de teknologiske miljøene er sårbare for denne type samarbeid. Det samme gjelder for øvrig også næringsaktører som har en betydelig kontaktflate mot land som Kina, og som bør ha det, også når det gjelder investeringer og eierskap. Så får da EØS-tjenestene gjøre jobben sin med å rettlede der det er nødvendig.

Intervju med Simen Bakke

Hva synes du er bra med trusselvurderingene?

Jeg har ikke hatt muligheten til å sette meg inn i alle detaljene enda, men jeg kan trekke frem en ting. Det virker fornuftig at etterretningstjenesten trekker frem faktumet om at vi kommer til å ha et vedvarende konfliktbilde i Europa fremover og at dette er noe vi må ruste oss for. Uavhengig av hva som skjer med krigen i Ukraina, og krigens utfall, så vil det være et økende konfliktbilde i Europa. Det er dermed nå vi har muligheten til å bygge opp beredskapen og sikkerheten vi trenger for å kunne stå imot de angrepene som er under terskelen for væpnet konflikt. Det er politiet som responderer på hendelser og ikke-militære virkemidler som er under terskelen for militær konflikt og det er essensielt at de har kapasitet til å håndtere dette også i tiden som kommer. Det er mye som kan skje før krig erklæres og forsvaret trer inn, derfor må både politiet, virksomheter og enkeltpersoner bygge opp beredskap og sikkerhet som passer det bildet vi ser fremfor oss.

Et av temaene som ble trukket frem i trusselvurderingene i dag var tilfeller av valgpåvirkning i vestlige land i 2024. Vi skal ha stortingsvalg i høst, tror du det valget kan bli utsatt for valgpåvirkning?

Det er en sannsynlighet for det. I år er det færre valg og trusselaktørene har dermed flere ressurser de kan bruke til å påvirke dette valget. Disse påvirkningsoperasjonene kan starte langt forut for valget. Allerede nå kan de begynne med å lage en grobunn for saker som skaper splittelse og polarisering i befolkningen. Det er vanskelig å sikkert utpeke disse sakene, men det er nærliggende å tenke at EU-direktivene, Acer og EØS-avtalen kan være slike saker. Dette er noe som nettopp splittet regjeringen, det engasjerer befolkningen og har direkte påvirkning på lommeboka. En slik sak kan bli en viktig kjernesak for velgerne og dermed for resultatet av valget.

Hva kan enkeltmennesket gjøre for å sikre seg?

Tiden er inne for å gå over fra å bare vurdere risikoen til å begynne å iverksette tiltakene. Sikkerhetsmiljøene vet allerede hvor skoen trykker, men det kan være vanskelig å få ledelsen på banen for å iverksette tiltakene for å ivareta sikkerheten, det er ofte en kostnad som ikke bidrar inn i virksomhetens oppdrag. De store virksomhetene som jobber med eller forvalter kritisk infrastruktur er ofte klar over trusselen mot virksomheten og har gode tiltak for å ivareta sikkerheten så godt som mulig. Derfor kan det være tenkelig at trusselaktører utnytter sårbarhetene som finnes hos mindre virksomheter. Virksomheter som kan være underleverandør i en kritisk verdikjede. Det trusselvurderingene presenterer er både en økt kapasitet og vilje blant trusselaktørene til å utnytte sårbarheter og i dag står ikke sammenhengen mellom trussel og tiltak i stil her i Norge. Men det er ofte enkle tiltak som skal til, og risikoen er ofte allerede vurdert.

Hva synes du var mest interessant med dagens fremleggelser?

PST trekker frem at de vurderer det som sannsynlig for russisk sabotasje i Norge i 2025, det vil si at det er mer enn 50% sannsynlighet for sabotasje i løpet av dette året. Med en så stor sannsynlighet bør alle som kan være i russiske aktørers målbilde være obs på dette. I tillegg ble det vektlagt at det er sannsynlig at trusselaktørene vil benytte seg av kriminelle miljøer for å gjennomføre disse operasjonene. Hvis vi legger sammen det PST sa om sannsynligheten for sabotasjer og det NSM presenterte om sårbarheter med kunnskap om at alle bruker tid på å vurdere risiko, men ikke til å iverksette tiltak, kan man si at virksomhetene fortsatt er sårbare for sabotasje.

Intervju med Cathrine Lagerberg

Hva synes du er bra med trusselvurderingene?

  • Jeg synes det er bra EOS-tjenestene fremhever alvoret og viser til at næringslivet må gå fra ansvar til handling, «fra risikovurderinger til iverksettelse» som NSM skriver. Det er helt i tråd med Totalberedskapsmeldingen som påpeker et prekært trusselbilde hvor private virksomheter må være mer bevisste og forstå hvilke verdier de må verne om for nasjonale sikkerhetsinteresser.
  • For oss som bistår kunder med situasjonsforståelse og trusselvurderinger er dette en årlig fremleggelse vi ser frem til og som gir oss gode føringer for å gi dem god sikkerhetsrådgivning og beslutningsstøtte. Dette øker selvsagt muligheten til å bygge motstandsdyktighet, bedre beredskapsevne og forebygge uønskede hendelser i hele samfunnet, i både offentlig og privat sektor.
  • Og ettersom trusselvurderingene tar utgangspunkt i etterretning og ekspertvurderinger gjerne basert på høyt gradert informasjon, gir dette et kvalifisert og oppdatert grunnlag for bedre risikovurderinger vi kan bruke i næringslivet.
  • Så skaper det bevissthet og åpenhet om trusler i samfunnet som er kritisk for alle sektorer ettersom dette til syvende og sist angår de fleste av oss.

Hva savner du?

  • Trusselvurderingene er klare på både russiske og kinesiske trusler mot norske virksomheter, og Etterretningstjenesten fremhever hvor avgjørende Kina er for Russlands krigføring i Ukraina, men samtidig begrenser støtten til Moskva for å unngå vestlige sanksjoner.
  • Basert på dette, og møte med svært mange bedrifter fra små til store konsern, så savner jeg mer om hvordan det russisk-kinesiske partnerskapet påvirker norsk næringsliv. Hvordan vurderer EOS-tjenestene at kinesiske aktører deler informasjon om norske virksomheter og norsk sokkel til Russland? Vil Kina utføre hybride handlinger på vegne av Russland mot norske interesser? Dette har en del å si for beslutningene de enkelte bedriftene tar og hvordan de skal vekte sine risikovurderinger og iverksette tiltak.
  • Virksomheter forstår ikke hvordan de skal håndtere Kina, når de blir advart mot dem i disse årlige trusselvurderingene, samtidig som det på den andre siden oppmuntres til både handel og samarbeid med dem.
  • Savner anbefalinger for hvilke apper som lastes ned og installeres også på private telefoner og ikke bare tjenestetelefoner.

Trusselvurderingene peker på sabotasje mot kritisk infrastruktur og du har god erfaring med å jobbe tett på kritisk infrastruktur. Hvor godt rustet tror du vi er, og hvilke tiltak burde vi eventuelt innføre?

  • Det er et godt spørsmål. Som trusselvurderingene påpeker, så retter trusselaktørene operasjoner mot sårbarheter i verdikjededen, derfor må virksomheter som opererer kritisk infrastruktur som sannsynligvis har god sikkerhet også sette krav til underleverandørene som ikke nødvendigvis har tilsvarende sikkerhetstiltak.
  • Mange av de bedriftene vi treffer, har lite helhetlig strategi rundt deres sikkerhetstankegang og- tiltak. De forsterker cybersikkerheten uten å ivareta innsidertruslene, og setter høye krav til egen sikkerhet, men ikke underleverandørene sine. Man er tross alt ikke sterkere enn det svakeste ledd.
  • Dessverre opererer mange selskaper med reaktive risiko- og sikkerhetsvurderinger etter at skaden allerede har skjedd, la oss kalle det «lappeteppe-strategi». Men, som både NSM og PST fremhever, må utsatte virksomheter som håndterer kritisk infrastruktur forstå hvordan trusselaktører søker å kartlegge dette for å sabotere på ulike måter og hvilken rolle de har i Totalforsvaret.
  • Som NSM også skriver, så gjør mange virksomheter underlagt sikkerhetsloven ikke gode nok risikovurderinger i anskaffelser, for eksempel screening og due diligence av selskaper, personell og kontraktører til både offentlige og private virksomheter. Dette gjør at trusselaktører kan få tilganger og inngangsvektorer de kan utnytte for sabotasjeformål.
  • Selv om det ikke er nevnt i noen av trusselvurderingene som nå ble lagt frem, så er trusselen mot OT- og IKS systemer kritisk. Ikke bare fordi nedetid er alvorlig for produksjon og økonomi, men fordi det kan få alvorlige konsekvenser for samfunnstjenester og vi kan miste kontroll over verdier av betydning for nasjonal sikkerhet.
  • Men vi ser heldigvis mer og mer fokus på dette, så la oss håpe at virksomhetene begynner å gjøre mer proaktive og strategiske vurderinger av anskaffelser, underleverandører og hele verdikjeden sin og iverksetter gode sikkerhetstiltak i tråd med trusselbildet.
  • Angående tiltak, så kommer jo CER-direktivet for «Kritiske enheters motstandsdyktighet», som vil kreve at utsatte virksomheter gjennomfører helhetlige risikovurderinger som omfatter alle typer trusler, inkludert hybride og sabotasjerettede trusler mot kritisk infrastruktur. Frem til de kommer, mener jeg at alle kritiske virksomheter bør gjøre Sikringsrisikoanalyser mot intenderte/tilsiktede hendelser i tråd med NS 5832 – en norsk standard som beskriver prinsippene for gjennomføring av sikringsrisikoanalyse, dvs. for risiko knyttet til tilsiktede uønskede (hovedsakelig kriminelle) handlinger.

Noe annet du ønsker å løfte frem?

  • Sikkerhet er et lederansvar. Virksomheter er selv ansvarlige for sikkerheten for sine systemer og leveranser. Derfor må ledelsen, styrer og investorer sørge for at de som jobber med sikkerhet, trusler og risiko har nok ressurser til å gjøre gode nok vurderinger, enten det er inhouse eller bruk av eksterne eksperter.
  • God sikkerhet og redusert risiko krever oversikt over egne verdier, innsikt i hvorvidt fremmede stater og trusselaktører er interessert i disse, hvor sårbare verdiene er og hvilken rolle virksomheten har for totalforsvaret og samfunnets beredskapsevne. Først da kan virksomhetene iverksette nødvendige og tilstrekkelige risikoreduserende tiltak.
  • Sabotasjeaksjoner, innsiderisikoen og uønsket teknologi- og kunnskapsoverføring i Norge er reell. Norske virksomheter kan ikke vente lenger; forebyggende tiltak må prioriteres i dag og sikkerhet kan ikke lenger være valgfritt.
  • Trusselbildet krever mye av norske virksomheter. Men det lønner seg å jobbe forebyggende framfor skadebegrensende. Og de virksomhetene og investorene som prioriterer sikkerhet, vil skape konkurransefortrinn både i forhold til konkurrenter, det internasjonale markedet og på lengre sikt med redusert risiko og bedre motstandsdyktighet.
Kategori: ,