Næringslivets
sikkerhets-
råd
Meny

Webinar: Hybride trusler krever hybrid forsvar med OUS

23. apr 2026
Lesetid: 4 min

Sikkerhetssjef Torkel Thune ved Oslo universitetssykehus (OUS) delte erfaringer og tydelige advarsler i NSRs webinar: Vi investerer for mye i cyber og for lite i alt det andre - og det vet motstanderne våre.

Tittelen på foredraget stjal Torkel Thune ærlig og redelig fra en ukrainsk foredragsholder som holdt et innlegg på en sikkerhetskonferanse i Norge. Det passer godt. Ukraina har på verst tenkelig vis lært verden hva hybrid krigføring faktisk innebærer i praksis, ikke som abstrakt begrep, men som en daglig virkelighet der cyberangrep, fysisk sabotasje, påvirkningsoperasjoner og menneskelig infiltrasjon virker i kombinasjon. Budskapet Thune brakte med seg til webinaret var enkelt: Det samme bildet er i ferd med å tegne seg her hjemme, og vi er ikke organisert for å møte det.

Sikkerhet er ikke et mål i seg selv

Thune startet med å slå fast noe han mener altfor mange i sikkerhetsbransjen glemmer: Sikkerhet har ingen egenverdi. Den eksisterer utelukkende for å understøtte produksjonenenten det er pasientbehandling, strømleveranse eller finansielle transaksjoner.

«Jeg driver ikke med sikkerhet på Oslo universitetssykehus fordi vi er en sikkerhetsorganisasjon. Vi driver det for at vi skal drive sikker, forsvarlig og god pasientbehandling» sa han.

Det er et tilsynelatende enkelt poeng, men konsekvensene av å ta det på alvor er store. Det betyr at sikkerhetssjefen ikke kan sitte i en silo og telle risikoer, sikkerhetsarbeidet må være forankret i den faktiske driften, i linjen, hos lederne som er ansvarlige for at hjulene går rundt.

Den ubehagelige sannheten om budsjett

Det meste av foredraget kretset rundt en observasjon Thune kaller et postulat, en påstand han mener er tydelig, men som han erkjenner at han ikke kan dokumentere med tall: Vi bruker for mye på cyber og for lite på alt det andre.

I de fleste organisasjoner han kjenner til, inkludert sin egen, har cybersikkerhet romslige budsjetter og høyt utdannet personell med bachelor- og mastergrader. Fysisk sikkerhet, personellsikkerhet og beredskap opererer til sammenligning på ensifrede prosenter av det samme beløpet – og rekrutterer fra en langt tynnere faglig grunnmasse.

Problemet er ikke at cyber er overvurdert. Problemet er at de som vil oss vondt, ser den samme skjevheten. De angriper der vi er svakest, og der vi har lavest kompetanse. Det er ikke et spørsmål om strategi, det er elementær logikk.

Angriperne trenger ikke bryte seg inn lenger

En av observasjonene fra webinaret kom egentlig fra Telenors trusselvurderinger, men Thune brukte den som utgangspunkt for sitt sterkeste argument: Angriperne trenger ikke lenger å bryte seg inn. De får ansatte til å gjøre jobben for seg.

Thune er tydelig på at dette ikke handler om å mistenkeliggjøre ansatte. Det handler om å skape en kultur der det er trygt å si fra, og der organisasjonen har systemer for å fange opp ansatte som er under press, enten det er press fra kriminelle nettverk, utenlandske aktører eller andre.

«Vi må tørre å snakke om det. Ikke for at alle skal sitte og se skjevt på hverandre, men for at alle skal være trygge på at vi vet om det, og at det er trygt å si fra» sa han.

Når sikkerhetssjefen, beredskapsansvarlig og risikodirektøren løper i hver sin retning

En av de mest grunnleggende strukturelle utfordringene Thune peker på er fragmenteringen av sikkerhetsansvaret. I de fleste store organisasjoner og dette gjelder ifølge ham like mye privat næringsliv som helsesektoren, er cybersikkerhet forankret i IT, fysisk sikkerhet i eiendom og drift, og personellsikkerhet i HR. De rapporterer til ulike ledere, har ulike budsjetter og snakker ikke nødvendigvis samme språk.

I fredstid er dette upraktisk. I en krisesituasjon kan det bli avgjørende - på feil måte.

«Hvis ikke de delene av organisasjonen som skal håndtere forsvaret er samtrent, samkjørt og samsnakket i fredstid, klarer de det hvert fall ikke når det drar seg til» sa Thune.

Råd og oppfordringer

Ikke alle som hørte på webinaret leder et sykehus med 25 000 ansatte. Thune hadde også et budskap til de minste: Vent ikke på myndighetene.

Uansett om det kommer en nasjonal handlingsplan, en ny NS-standard eller en veileder fra NSM, den enkelte organisasjon kjenner sine egne behov best. En organisasjon som er veltrent på sikkerhet og beredskap, vil håndtere nesten hva som helst, fordi de fleste trusler i bunn og grunn er variasjoner over de samme grunnleggende temaene.

Et konkret råd han delte for de som ikke vet hvor de skal begynne: Still deg selv og lederne dine spørsmålet «Hvis all IT er nede - hva vil du ha opp først?» Det er et deceptivt enkelt spørsmål som tvinger frem de riktige diskusjonene om hva som faktisk er kritisk, og hva som kan vente.

Styret bør involveres. NIS2-implementeringen gjør det personlige ansvaret til styremedlemmer langt tydeligere enn før for dem det gjelder, og én presentasjon i styret i året burde være et minimum for enhver virksomhet med et reelt risikobilde.

Og til syvende og sist: Sikkerhet er ikke sikkerhetssjefens ansvar alene. Det er linjens ansvar, forankret hos de som er ansvarlige for produksjonen, med sikkerhetssjefen som faglig støtte og kompetansesenter.

Dette er et sammendrag av NSRs webinar «Hybride trusler krever hybrid forsvar», holdt 23. april 2026, med Torkel Thune, sikkerhetssjef og avdelingsleder teknologi og innovasjonsklinikken, Oslo universitetssykehus.

Hold deg oppdatert på våre andre webinar i webinarkalenderen.

Takk for at du vil laste ned en rapport fra NSR.

  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
  • ${ error }
Lukk

Takk!

En epost med lenke til nedlasting av ${ this.publicationData ? this.publicationData.title : '' } er sendt til ${ this.email }.

Lukk