Søk

logo

Gjør gode trusselvurderinger selv

En av de oppfatningene jeg oftest møter som sikkerhetsrådgiver, er at trusselvurderinger er noe som bare myndigheter som politiet, Politiets sikkerhetstjeneste (PST) eller Etterretningstjenesten kan gjøre. I hvert fall ikke virksomhetene selv!

Joakim Barane (Foto:BDO)

Joakim Barane (Foto:BDO)

Det er en utbredt oppfatning at dette tilhører myndighetenes ansvars- og kompetanseområde. Når det så viser seg at kun 4%(!) av virksomhetene i Næringslivets Sikkerhetsråds (NSR) kriminalitets- og sikkerhetsundersøkelse KRISINO 2015 har innhentet PSTs åpne trusselvurdering, kan man jo spørre seg hva det er virksomhetene egentlig forventer.

Mye informasjon i åpne kilder – bruk den!

Det er svært få virksomheter, statlige som private, som kan forvente seg å få en egen trusselvurdering fra PST eller andre myndigheter. Og strengt tatt er det heller ikke nødvendig for de aller fleste. Det aller meste av den informasjonen man trenger for å gjøre en trusselvurdering knyttet til egen virksomhet, finnes i åpne kilder. PST selv er på mange felter svært klare i sin tale i deres åpne trusselvurdering for 2017. Om etterretningstrusselen skriver PST for eksempel at «Norge og norske interesser vil i 2017 utsettes for fremmed etterretningsvirksomhet som kan ha et stort skadepotensial» og at «fremmede tjenester bruker både avanserte datanettverksoperasjoner og tradisjonelle metoder mot norske mål».. Videre skriver de at Russland er mest aktiv, men at mange andre land også driver aktiv etterretning i Norge. Høyaktuelle mål er offentlige virksomheter innenfor forsvar, sikkerhet og beredskap, departementer og etater, kritisk infrastruktur, næringsliv som konkurrerer med de respektive landenes næringsliv og spesielt virksomheter innenfor petroleumsindustrien, forskning og teknologiutvikling.

Klar tale fra PST: du kan være et mål

I klartekst betyr dette at Russland og andre land har etterretningsoperasjoner av ulik art og omfang, pågående på norsk jord hver eneste dag. De har høy kapasitet, både teknologisk og på personellsiden. Hvis du for eksempel er en virksomhet som driver med maritim teknologiutvikling, og i tillegg gjerne deltar i anbudsrunder som inkluderer russiske virksomheter, er du midt i målgruppa for dette arbeidet. Tygg litt på det. Det er faktisk ikke mulig for landets sikkerhets- og etterretningsmyndigheter å si det tydeligere, uten å banke på døra til hver enkelt virksomhet, sette pekefingeren i panna på den som lukker opp og si «DU ER ET MÅL». Ett av verdens mektigste etterretningsmaskinerier er svært interessert i din gjøren og laden, og spesielt de informasjonsverdiene som er aller mest dyrebare for deg. Sannsynligvis vet de det meste som er verdt å vite allerede.

Fjern skylappene!

Likevel er dette en realitet som de færreste norske virksomheter har tatt inn over seg. Når jeg «oversetter» budskapet fra de åpne trusselvurderingene i ledergrupper og styrerom, er overraskelsen som regel stor. Er vi utsatt? Kan det skje oss? Utenkelig. Reaksjonen er nesten til å sammenligne med når det avdekkes en seriemorder, og alle naboene stiller sjokkerte opp og bedyrer at personen var verdens hyggeligste, og at det er helt uvirkelig at noe slikt kunne skje her i nabolaget. Tegnene har sannsynligvis vært der hele tiden. Man må tro det for å se det.

Din virksomhet -ditt ansvar

Svært få leser PST, NSM eller Etterretningstjenestens åpne trusselvurderinger. Det er synd, for det er mye bra og konkret informasjon der. Mange av de som leser disse, ser på det som generelle betraktninger og forstår ikke at det gjelder dem. Det er enda mer synd: Å ha informasjonen tilgjengelig uten å klare å nyttiggjøre seg av den.

Det kan virke som om mange virksomheter mener at myndighetene må skrive en spesifikk trusselvurdering for akkurat deres virksomhet, for at de skal kunne bruke den i sin risikostyring og sitt sikkerhetsarbeid. En slik holdning kan sammenlignes med om jeg skulle ignorere Oslo-politiets advarsler om at det nå er en innbruddsbølge på gang på Oslo vest, og forlange at de skulle gjøre en vurdering av sannsynligheten for at akkurat mitt hus blir rammet før jeg kunne forholde meg til det. Politiet sier at innbruddsaktiviteten er høy i mitt område, og jeg vet vel selv hvor attraktivt mitt hus er, og hvor mye verdiene mine betyr for meg. Det bør være mer enn nok til å treffe tiltak. Dersom politiet finner ut av konkrete planer om å ramme mitt hus, forventer jeg selvfølgelig at de sier fra. Det samme kan vi forvente av PST, dersom ikke taktiske vurderinger tilsier noe annet. Vi kan imidlertid ikke forvente at verken politiet eller PST skal ha fullstendig kontroll over alt, hele tiden. Derfor må vi selv bruke generell informasjon om trusselbildet til å gjøre våre egne vurderinger.

Alle kan gjøre trusselvurderinger – slik går du frem

Hvem som helst kan i utgangspunktet gjøre gode trusselvurderinger. Det handler om å systematisere og strukturere tilgjengelig informasjon på en hensiktsmessig og metodisk god måte, slik at man kan trekke konklusjoner som kan brukes som videre beslutningsgrunnlag.

  • Skaff deg en oversikt over egne verdier. Hvilke av dine ressurser er kritiske for virksomheten din, eller for samfunnet for øvrig?

  • Kartlegg hvilke trusselaktører som kan være interessert i å tilegne seg eller skade disse verdiene

  • Gjør en vurdering av disse trusselaktørenes intensjon, kapasitet og motivasjon. Hvor reell er denne trusselen for din virksomhet? Det finnes gode verktøy og metoder for å systematisere slike vurderinger og konklusjoner. Mye informasjon finnes i åpne kilder.

  • Forsøk å redegjøre for trusselaktørenes modus operandi, eller fremgangsmåte, i historisk, samtidig og antatt fremtidig perspektiv. Hvordan kan denne aktøren gå frem for å ramme din virksomhet? Hva er sannsynlig handlemåte og hvorfor?

Neste skritt er naturligvis å vurdere egne sårbarheter ut fra konklusjonene i trusselvurderingen, og til å implementere hensiktsmessige og forholdsmessige sikringstiltak for å redusere risiko.

I BDO bistår vi virksomheter med dette hele tiden, enten det er gjennom opplæring i metode for trussel- eller risikovurderinger, eller mer omfattende bistand til å kartlegge og analysere informasjon sammen med virksomhetene. For en strategisk trusselvurdering finnes det mer enn nok grunnlag i åpent tilgjengelig informasjon, samt den informasjonen virksomheten selv besitter. Det er tross alt virksomhetene som kjenner seg selv og sine omgivelser best.

Kunnskap og erkjennelse er nødvendig

Å håndtere eller bekjempe trusselaktørene er i de fleste tilfeller myndighetenes ansvar. Å gjøre seg selv mest mulig robust er imidlertid en oppgave også for virksomhetene selv, og dette krever en reell forståelse for sitt eget trusselbilde. En slik forståelse begynner med kunnskap om hvordan man kan innhente, tolke og nyttiggjøre seg av tilgjengelig informasjon, samt et bevisst forhold til egne verdier. Deretter må man erkjenne dette trusselbildet, og integrere det som en av flere styrende faktorer i sitt eget arbeid med risikostyring, sikkerhet og beredskap.

Man blir i hvert fall ikke sikrere av å stikke hodet i sanden.

Kommende aktiviteter

Følg oss

Våre eiere