4 offentlige kilder som gir pålitelig input til risikovurderingen din

I Norge er det særlig fire informasjonskilder alle vi som jobber med risiko, sikkerhet og beredskap må kjenne til. Dette er informasjon som gir oss den overordnede og helhetlige forståelsen for mekanismene som påvirker hvilke valg myndighetene gjør, og som gir bakgrunn for, og troverdighet til, de tiltakene du iverksetter i din organisasjon. Her får du en kjapp veiviser til de ulike rapportenes vinkel og hovedinnhold.

Hvert år publiserer Politiets sikkerhetstjeneste (PST), Forsvarets Etterretningstjeneste, Nasjonal sikkerhetsmyndighet (NSM) og Direktoratet for samfunnssikkerhet og beredskap (DSB) sine oppdaterte vurderinger om hvilke trusler og risikoforhold vi står overfor.

En oversiktlig metode å kartlegge risikoer knyttet til virksomheten din. Last  ned vår gratis e-bok her.

Hovedinnhold

PSTs rapport ser særlig på forholdene i Norge som kan påvirke risikobildet, mens Forsvarets rapport baserer seg en vurdering av de ytre trusler og risikoforhold mot landet - ikke bare begrenset til de militære truslene. Det sikkerhetspolitiske bildet er en del av bakteppet for både PSTs og Forsvarets vurderinger. 

NSM er det nasjonale fagmiljøet for IKT-sikkerhet og informasjons- og objektsikkerhet, og har oppgaven med å være «... nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser". NSM sin årlige rapport har særlig fokus på forebyggende sikkerhetstiltak.

DSB vurderer risiko og sårbarheter i samfunnet, og har særlig fokus på risikokartlegging, samt forebygging og håndtering av uønskede hendelser.

Forsvarets Etterretningstjeneste             

I Forsvarets rapport fremheves det særlig to trusselområder mot Norge. 

  1. Det ene er at det foreligger en vedvarende eller økt risiko for terror mot europeiske mål, inkludert Norge. Begrunnelsen er at ustabilitet i en rekke nasjoner og regioner gjør det gunstig for terrorgruppene å opprettholde sin virksomhet samt at nye terroraktører har rom for etablering.

    I tillegg mener Forsvarets rapport at NATO, EU og vesten av enkelte fortsatt blir betraktet som en trussel.
  2. Det andre er at den digitale trusselen ikke har minket, ifølge Forsvaret. De påpeker hvordan digitale kapasiteter brukes for å innhente informasjon om Norge til å

    1. påvirke våre demokratiske prosesser eller sentrale beslutninger, eller
    2. sabotere kritisk infrastruktur, og/eller
    3. utøve (industri)spionasje.     

En trusselaktør kan kartlegge en virksomhet og de datasystemene som benyttes. Slik danner man seg et bilde av sårbarheter, svakheter og muligheter som kan utnyttes for å skaffe seg tilgang. Ansatte er sårbare og kan bli kartlagt gjennom, blant annet, sosiale medier og digitale jobbnettverk. De blir dermed en viktig del av grunnlaget for å vurdere om virksomheten er et lett eller krevende mål.

Dersom en trusselaktør finner en åpning inn i et nettverk eller et dataprogram, vil de kunne etablere såkalte "bakdører", som gir langvarig tilgang til nettverk eller innhold i dataprogram. Dermed kan man hente ut og misbruke kritiske data, men det finnes også eksempler på at data manipuleres.

Politiets Sikkerhetstjeneste (PST)

Det bildet som Forsvaret beskriver, støttes i PSTs vurdering. "... kartlegging av virksomheter og kritisk infrastruktur samt nettverksoperasjoner, vil utgjøre de mest alvorlige utfordringene ...", står det å lese i PSTs rapport, og med klar adresse til at dette gjøres av aktører utenfor Norges grenser. 

Videre understreker også PST at hovedmålgruppen for denne type informasjonsinnhenting er «... norsk forsvars- og beredskapssektor, statsforvaltning, forskning og utvikling samt virksomheter innen kritisk infrastruktur ...". 

I tillegg til bruk at data og dataprogrammer til å kartlegge sårbarheter, beskriver PST også at vi må regne med at utenlandsk personell i Norge kartlegger infrastruktur ved å filme, fotografere, og gjennomføre tekniske målinger og avlyttinger av virksomheter, infrastruktur og personer. 

PST beskriver at en del radikale miljøer er svekket, men at vi fortsatt må forvente politisk motivert vold eller angrepsforsøk fra ekstreme grupperinger. Mest sannsynlige handlemåte for slike miljøer er vold utført av et mindre antall personer med enkle våpen, kjøretøy eller eksplosiver, slik vi har sett i en del europeiske byer de siste årene. Også myndighetspersoner må forvente et visst trusselbilde mot seg på bakgrunn av saker de jobber med.

Nasjonal sikkerhetsmyndighet(NSM)

NSM har ikke publisert årets rapport, men 2017- rapporten fortsatt svært aktuell. NSM understreker at digitaliseringen skaper muligheter, men skaper også de områdene vi er sårbare på og dermed må vurdere å beskytte. NSM understreker videre: «Utfordringene i det digitale rom er grenseoverskridende og går på tvers av stater, sektorer og virksomheter. Hurtigheten og endringstakten utfordrer også IKT-sikkerhetsarbeidet».

NSM levner ingen tvil om at den enkelte virksomhet selv har ansvar for å beskytte egne verdier og å skape robusthet og motstandsdyktighet mot cyberangrep. Myndighetenes oppgave er å koordinere, være rådgiver og legge til rette for at vi som nasjon har tilstrekkelig motstandskraft.

NSM mener at mangelfullt sikkerhetsarbeid i virksomheten fortsatt er en utfordring, og at vi som ansatte også utgjør et svakt punkt. Vår bruk av e-post og ulike nettsider/nettjenester kan være avgjørende for om vi får skadelig programvare inn i egen infrastruktur eller ikke. Når vi samtidig vet at vår avhengighet til data og databaserte tjenester har økt, kombinert med det faktum at cyberangrep har økt både i antall og i kompleksitet, så er dette kritisk.

Direktoratet for samfunnssikkerhet og beredskap (DSB) 

DSB utarbeidet i 2012, 2013 og 2014 et årlig risikobilde - hovedsakelig sett gjennom "samfunnssikkerhetsbrillene", -  som tok for seg en rekke nasjonale risikoforhold. Hendelsene DSB beskrev i siste versjon, er samlet under kategoriene naturhendelser, store ulykker og tilsiktede hendelser.

Etter 2014 har DSB oppdatert det nasjonale risikobildet med et nytt årlig detaljbidrag. Her tar man også for seg slike ting som matbåren smitte, brann i tunnel og cyberangrep. Samlet sett utgjør DSBs rapporter i denne perioden en svært pedagogisk og grundig basis for alt arbeid med risiko- og trusselkartlegging - uansett virksomhet.

DSB er dermed ikke like fokusert på hva som kan hende i nær femtid, men mer på hva som kan hende med bakgrunn i samfunnsutviklingen.

Lokale forhold i nasjonal kontekst

Det er viktig å understreke at trussel- og risikovurderinger ikke er noen eksakt vitenskap; ei heller tolkningen og forståelsen av dem knyttet til egen virksomhet. Det er derfor ikke tilrådelig å utelukkende støtte seg på dette, men bruke informasjonen som innspill sammen med de lokale forholdene.

I tillegg er det viktig å understreke at denne artikkelen er svært overordnet og grovkornet sammenliknet med de respektive rapportene. 

Her er lenke til kildene benyttet på artikkeltidspunktet:

- PST: https://www.pst.no/trusselvurdering-2018/

- Forsvarets Etterretningstjeneste: https://forsvaret.no/fokus

- NSM: https://www.nsm.stat.no/publikasjoner/rapporter/rapport-om-sikkerhetstilstanden/

- DSB: https://www.dsb.no/lover/risiko-sarbarhet-og-beredskap/artikler/nasjonalt-risikobilde/

Lykke til i arbeidet med å oppdatere både ditt eget og virksomhetens risikobilde!

 

Kom i gang med risikovurdering - last ned gratis e-bok

 

Av Eivind Moen

Eivind er avdelingsleder for enheten som ivaretar prosjektbistand og kundeleveranser, og medlem av ledergruppen i One Voice. Han har sin utdanning fra Luftkrigsskolen, NTNU og Handelshøyskolen BI. Han har jobbet både med krisehåndtering og beredskap, og med prosjekt- og kvalitetsledelse. Eivind har skrevet mye av opplæringsmateriellet i One Voice.

Flere artikler fra denne forfatter

Abonner på bloggen