Den geopolitiske vinden blåser over næringslivet

Av Cathrine Lagerberg, Threat Intelligence & Cyber Risk, Deloitte AS

13. mar 2023
Lesetid: 5 min

Næringslivet som ikke er omfattet av sikkerhetsloven må også få oppdaterte trusselvurderinger.

C Lagerberg

Cathrine Lagerberg

Etter at Bergen Engines nesten endte opp i russisk eie for to år siden ble det avdekket en rekke svakheter i trussel- og virkelighetsforståelsen mellom norsk næringsliv og myndigheter. Geopolitikk påvirker virksomheter i økende grad. Etterlevelse betyr ikke lenger bare lover og regler, men også samfunnsansvar og sikkerhetsinteresser. Næringslivet må i stor grad basere denne forståelsen på de årlige ugraderte trusselvurderingene fra sikkerhetstjenestene, men med dagens komplekse trusselbilde er ikke dette lenger nok.

Ettersom de fleste virksomheter i næringslivet ikke er underlagt sikkerhetsloven, må de i stor grad basere seg på de ugraderte trusselvurderingene som sikkerhetstjenestene publiserer én gang i året. Målrettede trusselleveranser krever sammenstilling av analytiske vurderinger fra fageksperter fortrinnsvis med trussel- og etterretningskompetanse. Med tilgang på ekstern kompetanse kan næringslivet få den informasjonen de trenger relativt raskt i motsetning til om de må bygge opp og utvikle disse ressursene internt selv.

Ulik tilgang til oppdatert trusselbilde

Første februar i år omtalte Reuters hvordan norske eksportkontrollmyndigheter nektet den Equinor-ledede og Haugesund-baserte beredskapssammenslutningen PRSI (Pipeline Repair and Subsea Intervention) Pool-en å reparere den russiskopererte Nord Stream 2 gassrørledningen som ble sabotert i Østersjøen i fjor høst.

Gazprom, den russiske operatøren av Nord Stream 2 og medlem av PRSI Pool-en, søkte om å mobilisere skip og utstyr fra PRSI Pool-en for å reparere den ødelagte rørledningen. Men grunnet Norges forpliktelser til EU og eksportforbud av "strategiske varer, tjenester og teknologi" til Russland vurderte Utenriksdepartementet at slike tjenester ville være et brudd på det norske sanksjonsregelverket.

Avslaget ble bekreftet av Equinor som også viser til sanksjonsforpliktelsene. Dette vil sterkt forsinke reparasjonsarbeidet for Gazprom og gjøre arbeidet svært utfordrende og kostbart. Det er usikkert hvorvidt Russland i det hele tatt besitter kompetanse eller mulighet til å utføre disse reparasjonene selv.

Selv om Bergen Engines-saken viste disparitet i både myndigheter og næringslivs trusselforståelse og risikovurdering, viser Equinors avslag en koordinert trusselforståelse mellom myndigheter og næringslivet hvor de prioriterer hensynet til nasjonal sikkerhet først.

Equinor (og Gassco) ble etter sabotasjen i Østersjøen underlagt sikkerhetsloven. Det hadde nok stor betydning for selskapets trusselforståelse da selskap underlagt denne loven kan få tilgang til løpende og graderte vurderinger fra de norske etterretnings- og sikkerhetstjenestene. Dette gir selskapet et oppdatert situasjonsbilde og ledelsen vesentlig bedre beslutningsgrunnlag. Men dette er altså ikke situasjonen for de fleste virksomheter i næringslivet som i stor grad må basere seg på de årlige, ugraderte trusselvurderingene fra sikkerhetstjenestene.

Myndighetene styrker seg, men næringslivet må klare seg selv

I desember vedtok regjeringen at Nasjonalt etterretnings- og sikkerhetssenter (NESS) skulle etableres som en «Forsterket innsats mot sammensatte trusler», med formål å sikre god beslutningsstøtte til myndighetene og «særlig utsatte sektorer».

Riksrevisjonen sin nylig utgitte rapport viser til store forsinkelser i myndighetenes kartlegging av hvilke virksomheter som skal sikres etter sikkerhetsloven. Dette gjør allerede utsatte bedrifter enda mer sårbare og det vil ta lengre tid før disse får den oppdaterte trusselforståelsen og beslutningsstøtten de trenger.

Geopolitikk øker kompleksiteten i trussellandskapet

Eksportkontroll og sanksjonsetterlevelse har blitt så sammensatt at få selskaper forstår betydningen av geopolitikk når det kommer til due diligence og bakgrunnssjekker. Flerbruksvarer kan fort havne i feil hender.

En rekke bedrifter og industrisektorer får nå et ansvar de ikke tidligere har hatt. Økt ansvar medfører ofte økte utgifter og investeringer, og sikkerhetstiltak og prosedyrer oppfattes lett som en byrde. Ledere må forstå hvilke verdier de har, og hvilke konsekvenser hendelser kan ha for nasjonen og våre allierte.

Uten oppdatert risikobilde, vil miljø som produserer kritisk teknologi, kunnskap eller infrastruktur, ofte mangle kunnskap om trussellandskapet og hvilken betydning verdensbildet har for dem.

Økende behov for bedriftsspesifikke trussel- og etterretningsprodukter

Næringslivets fundament er myndighetene hvor virksomheter støtter seg på råd fra blant annet UD i eksportkontrollsaker og NSM om sikkerhetsloven, men med dagens trusselbilde strekker ikke myndighetene til. «Vi forventer at alle gjør egne vurderinger knyttet til regelverket og søker ekstern juridisk bistand ved behov.» skriver UD på sine sider. Virksomhetene må selv få tak i informasjonen som kreves for å gjøre riktige vurderinger.

Når næringslivet ikke mottar oppdaterte og målrettede trusselvurderinger, vil mange virksomheter heller ikke ha kunnskap eller forståelse for hvordan deres forskning og kunnskap, tjenester eller teknologi kan ha flerbruksverdi og dermed ikke godt nok grunnlag for å gjøre gode nok egenvurderinger. Sivil teknologi eller kunnskap kan ha høy militær nytteverdi dersom den blir anvendt av riktig (les: uønsket) sluttbruker.

Bygge opp kompetanse internt eller hente eksternt

Uten sikkerhetsloven i ryggen og tilgang til sikkerhetstjenestene, har mange virksomheter nå to valg – enten investere i og utvikle egne trussel- og etterretningsressurser internt som over tid kan levere disse produktene, eller hente umiddelbart tilgjengelig kompetanse eksternt.

Det ligger mange fordeler i å bygge opp og besitte slik kompetanse internt. De store virksomhetene i markedet kan ha ressurser til å bygge opp et miljø bestående av både strategiske sikkerhetsrådgivere og trusselanalytikere, men dette vil verken være hensiktsmessig, forholdsmessig eller mulig for mange små- og mellomstore bedrifter. Disse må finne andre måter å løse det på.

Ulempen med denne type trusselleveranser er at de ofte krever sammenstilling av vurderinger på tvers av fagområder og fageksperter med ulik trussel- og etterretningskompetanse. Det er en modningsprosess å bli en god etterretningsanalytiker, og det krever både innsats og ressurser å bygge opp slik ekspertise internt.

Det kan derfor være store fordeler av å hente denne kompetansen eksternt fra private aktører som har rådgivere og konsulenter tilgjengelige som allerede besitter denne kompetansen. Private tilbydere er heller ikke bundet av byråkrati i like stor grad som myndighetene og kan raskere levere målrettede og oppdaterte trusselvurderinger. Slik kan næringslivet få tilgang til kritisk og målrettede trusselvurderingene som kreves for å ta bedre beslutninger.

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.