Portvokteren
Truslene mot Norge har aldri vært mer komplekse – og reelle, mener direktør i Nasjonal sikkerhetsmyndighet, Arne Christian Haugstøyl.
Et 60-talls væpnede konflikter.
Et 10-talls kriger.
Mer enn 100 millioner mennesker på flukt.
Et krigshissig naboland.
Dette er den verden som Nasjonal sikkerhetsmyndighet (NSM) manøvrerer seg fram i. Direktoratet som skal sikre at norske myndigheter og virksomheter har evne til å beskytte seg mot spionasje, sabotasje, terror og sammensatte trusler.
– Vi står foran de mest alvorlige truslene mot landet vårt, sier Arne Christian Haugstøyl, direktør i NSM.
Han har tatt plass i et møterom i NSMs lokaler på Fornebu. Et nøkkelbånd i regnbuens farger henger rundt halsen.
– Konfliktnivået er det høyeste vi har hatt siden andre verdenskrig. Og det som påvirker oss mest, er at et naboland har gått til angrepskrig. Mange av de diplomatiske forbindelsene til Russland er kuttet, samtidig som russerne har et stort informasjonsbehov. Det gjør at de ofte bruker cyberoperasjoner for å skaffe seg informasjon.
– Hvor reelle er truslene mot Norge i dag?
– Alle krigene og konfliktene bidrar til økt polarisering som skaper grobunn for mer ekstremisme. Etterretningstrusselen mot Norge er høy. Og sabotasjetrusselen er for første gang i moderne tid reell. Det siste bør norske virksomheter merke seg. Det er ikke bare en fare for at viktig informasjon kan stjeles, men også at kritisk infrastruktur kan bli utsatt for sabotasjeaksjoner.
Han begynte i jobben i juli. Etter et langt liv i politiet, Politiets sikkerhetstjeneste (PST) og noen år som konsulent i sikkerhetsselskapet Advansia, er det nå mannen fra Agder som skal lede landets forsvar mot spekteret av sikkerhetstrusler i 2024.
– Vår generasjon har aldri opplevd et så komplekst sikkerhetsbilde som nå. Vi må forstå hva de store driverne er for å kunne gjøre de riktige tiltakene for å beskytte oss, sier han.
Mens Etterretningstjenesten og PST definerer hva trusselbildet til enhver tid er, er det NSM som anbefaler hvordan myndigheter og virksomheter kan forebygge og motvirke anslag fra disse truslene.
– De som vil oss vondt, bryr seg ikke om personvern, GDPR, internasjonale lovverk eller demokratiske spilleregler. Derfor vil de alltid ligge et hestehode foran oss som er satt til å beskytte nasjonen mot dette.
Han har klare råd til norske virksomheter som er bekymret:
– For det første: Sikkerhet bør ikke overlates til noen få ansatte, det må inn i hele virksomhetsstyringen. Det er det viktigste. Dernest må virksomhetene vite hvilke verdier de må beskytte. Så må de ha oversikt over leverandørkjedene sine, for å vite hvem de er avhengige av og hvilken betydning det har for virksomheten dersom underleverandører blir rammet.
Nå sitter han med en hvit kaffekopp med skriften «Nasjonal sikkerhetsmyndighet» foran seg.
– Risikoen ved å ignorere sikkerhetsarbeidet må ikke undervurderes: En angriper kan stenge virksomheten ute fra dataene sine og kreve løsepenger for å frigi informasjonen. Da rammes man hardt økonomisk. Rådet er å jobbe strukturelt med å lukke sårbarhetene så godt som mulig.
Han vet hva som kan skje. Hackerangrepet mot Hydro i 2019 er bare ett av flere angrep som norske virksomheter har opplevd. Samtidig nevner han CrowdStrike som et helt annet skrekkeksempel. Sommeren 2024 utførte datasikkerhetsselskapet en sikkerhetsoppdatering som inneholdt feil, og ledet til store IT-problemer verden over.
– Når mer enn åtte millioner datamaskiner lammes samtidig, viser det hvor avhengige vi er av leverandører og hvilke sårbarheter vi har i samfunnet. Og det viser hvor viktig det er med god IT-beredskap.
– Hvilke lærdommer trakk du av den hendelsen?
– At du aldri kan sikre deg 100 prosent. Mange jobber godt med digital sikkerhet og forstår at det er viktig med et beredskapsplanverk. Det gjelder både uhell og villede handlinger. Du må alltid leve med en risiko. De mest avanserte trussel-aktørene vil klare å ramme deg uansett. Det gjelder å ha et planverk så konsekvensene av et angrep blir minst mulig. For eksempel: Har du redundans på noen av de viktigste verdiene dine?
– Backup på dataene?
– Ja, backup, men også muligheten til å ta andre systemer i bruk. Hvis hele virksomheten slås ut av at systemet rammes, bør man også ha systemer som kan brukes i en fase før du er tilbake i normaltilstand.
NSM er ansvarlig for et nasjonalt varslingssystem, VDI, som skal avdekke og varsle om cyberangrep mot digital infrastruktur. Gjennom VDI overvåker NSM datatrafikken for å stanse digitale angrep. I samråd med utvalgte virksomheter får egne team tillatelse til å bruke ulike metoder for å bryte seg inn i bedriftene for å teste sikkerheten, forteller han. Forutsetningen er imidlertid at de er omfattet av sikkerhetsloven.
– Det er viktig å få fram at NSM er mye mer enn et cyberdirektorat. Det er en stor del av jobben å identifisere og håndtere cyberangrep mot Norge, men vi er også rådgivere for hvordan folk skal forholde seg til fysiske trusler – særlig for de virksomhetene som er underlagt sikkerhetsloven. Vi jobber innenfor alle domener: Personellsikkerhet, digital sikkerhet, fysisk sikkerhet og organisatorisk sikkerhet.
Han rynker pannen.
– Vi må ikke se oss blinde på ett domene, fordi en trusselaktør hopper over gjerdet der det er lavest. Glemmer man å jobbe med personellsikkerhet og sikkerhetskultur, kan virksomheten få råtne epler på innsiden som bevisst eller ubevisst tukler det til og gjør at man blir kompromittert. Da hjelper det lite med en solid digital grunnmur.
Vår generasjon har aldri opplevd et så komplekst sikkerhetsbilde.
Er vi årvåkne nok? Forstår vi – både enkeltpersoner og virksomheter – hva som kan treffe oss? Haugstøyl mener at vi alltid kan bli bedre.
– Flere forstår at vi lever i en verden der det sikkerhetspolitiske bildet er mye mer alvorlig enn før. Samtidig er nok noen, både ledere og ansatte, fremdeles for naive om hvilke farer som kan true.
– Vi setter jo pris på tilliten mellom ulike lag i samfunnet, burde vi bli mer mistenksomme?
– En av de største styrkene vi har i Norge, er tilliten. Den skal vi ta vare på. Men det er forskjell på å ha tillit og blind tillit. Hvis vi som myndigheter ikke klarer å ta vare på sikkerheten til folk, vil den gode tilliten svekkes over tid. Derfor er det viktig å bevisstgjøre borgerne om de sammensatte truslene. En stor trussel nå, er påvirkningsoperasjoner. Der kan aktører med hjelp av teknologi og kunstig intelligens gjøre det krevende for oss å vite hva som er sant. Vi må lære barn og ungdom god kildekritikk og hva som står på spill, for de teknologiske truslene blir enda større framover.
– NSM holder kurs i maskinlæring og kunstig intelligens, burde det samme inn i skoleverket?
– Ja, vi trenger at unge vil utdanne seg innen teknologi så Norge kan ligge langt fremme i digital kompetanse. Det vi har lært om kildekritikk så langt er nesten utdatert allerede, for de metodene som angriperne bruker er av en annen idrett.
– Har vi et godt utgangspunkt for å bli mer motstandsdyktige?
– Vi har et veldig godt utgangspunkt. Vi er et utdannet folk, et samfunn med et høyt intellektuelt nivå, og – i motsetning til andre land – svært lite polariserte. Det er stor politisk enighet om de store linjene i utenriks-, sikkerhets- og forsvarspolitikken. Alt dette gjør at vi fortsatt kan bevare en høy grad av tillit til hverandre.
Ambisjonen hans nå er å gjøre NSM godt synlig i samfunnet.
– Jeg vil at NSM skal samarbeide med sivilsamfunnet på en god måte. Det handler ikke minst om å veilede og rådgi de virksomhetene som trenger å styrke sikkerheten om sine interesser.
Han lener seg fram i stolen.
– Tidligere har det vært et skille mellom Forsvaret og andre aktører i arbeidet med nasjonal sikkerhet. Det skillet finnes ikke lenger. Derfor vil NSM være helt tydelige på at truslene treffer helt ned til individnivå – helt ned til enkeltansatte i bedrifter eller forsvarsavdelinger for den saks skyld. Det betyr at vi må samarbeide enda tettere med både offentlig og privat sektor.
Haugstøyl har en siste oppfordring:
– Noe av det viktigste sikkerhetstiltaket en virksomhet kan gjøre, er å ha et godt arbeidsmiljø. Det kan ikke gjentas for ofte.
– Ja?
– Et godt arbeidsmiljø gir trygghet til å melde fra når du gjør en feil som kan få betydning for sikkerheten. Det er også en forutsetning for å bygge en kultur der det å si fra til kollegaer som bevisst eller ubevisst slurver med sikkerhet blir sett på med takknemmelighet og ikke som en fornærmelse. Godt arbeidsmiljø forebygger også bevisste innsidere. Historien viser oss at mange av de kjente innsiderne var motivert av hevn eller manglende lojalitet til arbeidsgiver, ledere og kollegaer.
– Det er undervurdert hvor viktig arbeidsmiljøet er?
– Fornøyde medarbeidere gjør som regel en bedre jobb enn misfornøyde medarbeidere, og risikoen for interne sikkerhetsproblemer er mindre dersom trivselen er høy. Noen glemmer kanskje hvor viktig trivsel på jobben er, men det er jeg svært opptatt av. For i de aller fleste tilfeller, både ved cyberangrep og interne sikkerhetsproblemer, er det et menneske som står bak.
De mest avanserte trusselaktørene vil klare å ramme deg uansett Det gjelder å ha et planverk så konsekvensene av et angrep blir minst mulig.