Hvordan beskytte deg når du ikke vet hva truslene er?

Publisert: 27. februar 2023

Geopolitikk påvirker virksomheter i økende grad. Etterlevelse betyr ikke lenger bare lover og regler, men også samfunnsansvar og sikkerhetsinteresser. Ettersom de fleste virksomheter i næringslivet ikke er underlagt sikkerhetsloven, må de i stor grad basere seg på de ugraderte trusselvurderingene som sikkerhetstjenestene publiserer én gang i året.

Målrettede trusselleveranser krever sammenstilling av analytiske vurderinger fra fageksperter fortrinnsvis med trussel- og etterretningskompetanse. Med tilgang på ekstern kompetanse kan næringslivet få den informasjonen de trenger relativt raskt i motsetning til om de må bygge opp og utvikle disse ressursene internt selv.

Ulik tilgang til oppdatert trusselbilde

01. februar 2023 omtalte Reuters hvordan norske eksportkontrollmyndigheter nektet den Equinor-ledede og Haugesunds-baserte beredskapssammenslutningen PRSI Pool-en å reparere den russiskopererte Nord Stream 2 gassrørledningen som ble sabotert i Østersjøen i 2022.

Gazprom, den russiske operatøren av Nord Stream 2 og medlem av PRSI Pool-en, søkte om å mobilisere skip og utstyr fra PRSI Pool-en for å reparere rørledningen, men grunnet Norges forpliktelser til EU og eksportforbud av "strategiske varer, tjenester og teknologi" til Russland vurderte Utenriksdepartementet at slike tjenester ville være et brudd på det norske sanksjonsregelverket.

Avslaget ble bekreftet av Equinor som også viser til sanksjonsforpliktelsene. Dette vil sterkt forsinke reparasjonsarbeidet for Gazprom og gjøre arbeidet svært utfordrende og kostbart. Equinor ble etter sabotasjen i Østersjøen underlagt sikkerhetsloven. Det har stor betydning for selskapets trusselforståelse da selskap underlagt denne loven kan få tilgang til løpende og graderte vurderinger fra sikkerhetstjenestene Etterretningstjenesten, PST og NSM. Dette gir selskapet et oppdatert situasjonsbilde og ledelsen vesentlig bedre beslutningsgrunnlag.

Myndighetene styrker seg, men næringslivet må klare seg selv

I desember vedtok regjeringen at Nasjonalt etterretnings- og sikkerhetssenter (NESS) skulle etableres som en «Forsterket innsats mot sammensatte trusler», med formål å sikre god beslutningsstøtte til myndighetene og «særlig utsatte sektorer».

Dessverre viser Riksrevisjonen til store forsinkelser i myndighetenes kartlegging av hvilke virksomheter som skal sikres etter sikkerhetsloven. Dette gjør allerede utsatte bedrifter enda mer sårbare og det vil ta lengre tid før disse får den oppdaterte trusselforståelsen og beslutningsstøtten de trenger.

Geopolitikk øker kompleksiteten i trussellandskapet

Eksportkontroll og sanksjonsetterlevelse har blitt så sammensatt at få selskaper forstår betydningen av geopolitikk når det kommer til due diligence og bakgrunnssjekker. Flerbruksvarer kan fort havne i feil hender.
En rekke bedrifter og industrisektorer får nå et ansvar de ikke har bedt om eller forstår. De har kanskje heller ikke forutsetningene for å forstå. Økt ansvar medfører ofte økte utgifter og investeringer, og sikkerhetstiltak og prosedyrer oppfattes lett som en byrde. Ledelser må forstå hvilke verdier og sårbarheter de har, og hvilke konsekvenser hendelser kan få for både nasjonen og Norges allierte.

Uten oppdatert risikobilde, vil miljø som produserer kritisk teknologi, kunnskap eller infrastruktur, ofte mangle kunnskap om trussellandskapet og hvilken betydning verdensbildet har for dem. Med tilgang til kun årlige og ugraderte, og relativt generiske trusselvurderinger forblir virksomhetene utsatte til de selv tar ansvar for kunnskap om verden.

Økende behov for bedriftsspesifikke trussel- og etterretningsprodukter

Næringslivets fundament er myndighetene hvor virksomheter støtter seg på råd fra blant annet UD i eksportkontrollsaker og NSM om sikkerhetsloven, men med dagens trusselbilde strekker ikke myndighetene til alene.

Mangel på spesifikke trusselvurderinger gjør at mange virksomheter ikke forstår hvordan deres kunnskap, tjenester eller teknologi kan ha flerbruksverdi, og er dermed ikke i stand til å gjøre gode nok egenvurderinger.

Men ansvaret hviler på virksomhetene selv, de må få tak i den informasjonen som kreves for å gjøre de riktige vurderingene. Oppdatert beslutningsgrunnlag for en trusselutsatt virksomhet må bli utarbeidet for den enkelte virksomhet. Vurderingene bør bli tverrfaglig utarbeidet gjennom en metodisk, helhetlig, analytisk og etterretningsbasert tilnærming for å ivareta det geopolitiske aspektet som kreves. Leveransene må også kunne produseres ved behov gjennom Request for Information (RFI).

Bedriftsspesifikke trusselleveranser fra Deloitte

Deloitte Cyber Risk har en egen avdeling for trusselanalyse og -etterretning. Gjennom tverrfaglig, analytisk og metodisk tilnærming kan vi bidra til å bygge god trusselforståelse og levere spesifikke trussel- og risikovurderinger for den enkelte virksomhet. Dette vil gi virksomheter og beslutningstakere bedre situasjonsforståelse, herunder innsikt i hvilke strategiske og operasjonelle trusler og sårbarheter de står ovenfor, og da bidra til økt kvalitet i beslutningsprosesser.

Avdelingen består av analytikere og ingeniører med bred og lang bakgrunn fra både næringsliv, myndigheter og etterretning, og et mangfold av ekspertkompetanse innen blant annet etterretning, cyber, sanksjoner og eksportkontroll.