Digital sikkerhet
FOTO: GUNNAR RIDDERSTRÖM / UNSPLASH.En stor andel av all datatrafikk i Norge går gjennom Telenors tjenester og infrastruktur. Det gir oss et betydelig samfunnsansvar og innebærer at vi må levere stabile og trygge tjenester i fred, konflikt, krise og krig.

Vi lever i en internasjonal skjebnetid. Russlands invasjon av Ukraina medfører varig endring av den sikkerhetspolitiske situasjonen i våre nærområder. Økt geopolitisk spenning stiller eiere av kritisk infrastruktur overfor et stadig mer komplekst trussel- og risikobilde. Global endringer vil påvirke våre valg. Private selskap må være en del av totalberedskapen. Flere felles løsninger må utvikles i en nordisk og alliert ramme. Vi må være beredt.

Alt må virke

En moderne infrastruktur forutsetter et solid og sikkert fundament, der sårbarhet er redusert til et minimum. Premisset for den digitale grunnmuren i 2023 er at alt må virke hele tiden. Å lykkes med dette vil være avgjørende for hvor godt vi lykkes med å forenkle, forbedre og fornye i egen virksomhet og understøtte digitalisering av samfunnet.

Den endrede sikkerhetspolitiske situasjonen påvirker våre valg. Telenor har over de siste 10-12 årene bygd et helhetlig sikkerhetsmiljø i Telenor i Norge for å beskytte oss selv, våre kunder og ivareta vårt samfunnsansvar. Vi jobber systematisk innen tre områder: Sikkerhet, robusthet og beredskap. For at vi bygger, drifter og utvikler en så trygg og sikker digital infrastruktur som mulig. Vi har økt årvåkenhet både i det digitale og fysiske domenet, lavere terskel for å varsle, og enda tettere samarbeid med myndighetene, som Nasjonal sikkerhetsmyndighet (NSM) og Nasjonal kommunikasjonsmyndighet (Nkom).

Møte det teknologiske og geostrategiske skiftet

Det siste året har vi fått en rekke viktige rapporter som gir grunnlag for et styrket arbeid med sikkerhet og beredskap. Forsvarskommisjonen har anbefalt at det utarbeides en nasjonal sikkerhetsstrategi, at Statsministerens kontor (SMK) får tilført mer stabskraft, samt at kriserådets rolle bør utvides for å styrke evnen til tverrsektoriell situasjonsforståelse og krisehåndtering på tvers av sektorer.

Totalberedskapskommisjonen har foreslått et mer robust beredskapssystem, tilpasset vår tids utfordringer for å kunne håndtere kriser i hele krisespektret. I rapporten beskrives et forbedret beredskapssystem med motstandsdyktighet mot alle former for fare, i hele krisespektret og så lenge situasjonen varer. Kommisjonen oppsummerer sine hovedanbefalinger i ti punkter, der en rekke av disse berører Telenors virksomhet. Særskilt tettere integrering av næringslivet i den nasjonale beredskapsstrukturen, utvidet nordisk beredskapssamarbeid og forsterket arbeid med infrastruktur og digital sikkerhet er av strategisk viktighet for vår virksomhet.

For private virksomheter som Telenor har det vært viktig å understreke at styring og samarbeid må formaliseres for at vi skal få et mer effektivt totalforsvar innen disse områdene, der også private virksomheter og selskaper mer systematisk trekkes med. Private virksomheter innen olje og gass, kraft, mat, og ekom er betydningsfulle aktører for opprettholdelse av samfunnssikkerhet og statssikkerhet fordi de eier kritisk infrastruktur. De har en naturlig rolle i totalforsvaret for å gi innsikt og kompetanse om funksjonene de opprettholder, og avhengighetene de har til andre. At sikkerhetsloven ikke er fullt ut implementert i alle sektorer er et hinder for dette.

Summen av endringer i globale maktforhold, økt regional ustabilitet, fragmentering av det internasjonale systemet og høyere risikovilje for maktbruk mot andre stater markerer en ny sikkerhetspolitisk situasjon. Europa vil i årene som kommer måtte ta langt større ansvar for egen sikkerhet. Det samme gjelder i høy grad for Norge, som en rik og sårbar liten stat med et åpent demokratisk samfunn, en utadrettet økonomi i et geopolitisk utsatt område.
Fra NOU 2023: 14 Forsvarskommisjonen av 2021
- kapittel 17.1 En ny tid

Telenors rolle som beredskapsaktør

Telenor i Norge eier og forvalter samfunnskritisk infrastruktur, og sørger for trygge og stabile leveranser av digitale tjenester på mobil, fastnett og bredbånd. Dette inkluderer å levere tale, data og sms som grunnleggende nasjonale funksjoner (GNFer), som er kritiske for at det norske samfunnet fungerer. En stor andel av all datatrafikk i Norge går gjennom våre tjenester og infrastruktur. Det gir oss et betydelig samfunnsansvar og innebærer at vi må levere stabile og trygge tjenester i fred, konflikt, krise og krig. Vi erkjenner at vi er et mål for avanserte trusselaktører. Vår virksomhet er underlagt sikkerhetsloven.

Nye muligheter med hele Norden i NATO

Vi har lange tradisjoner for å samarbeide tett i Norden. Med Sverige og Finland i NATO ligger alt til rette for ytterligere nordisk samarbeid også i det digitale domenet. Et slikt samarbeid er viktig med tanke på stabil og trygg infrastruktur i krise og krig. Erfaringene fra Ukraina, der det internasjonale samfunnet og industripartnere har stilt opp, viser viktigheten av internasjonalt samarbeid for å kunne holde digitale tjenester og infrastruktur oppe. Et slikt samarbeid kan utvikles til å bli viktig i den nordiske regionen.

Det er positivt at «regjeringen vil kartlegge strategisk viktig infrastruktur for å identifisere hvilke allierte og nære partnere vi er mest avhengig av for å sikre nasjonal kontroll, og etablere et tett, forpliktende og forutsigbart samarbeid med disse». Det er samtidig behov for økt grad av samarbeid på tvers av landegrensene. Sikkerhetssituasjonen vi står overfor i dag har et annet alvor enn tidligere. Det krever nye strategier og valg. Et tettere nordisk samarbeid vil kunne bidra til rask effekt dersom nordiske industripartnere kan mobilisere innovasjonskraft innenfor rammeverk som bygger på strategiske samarbeidsavtaler.

Vi har merket oss initiativet om mer forpliktende samarbeid og integrasjon mellom de nordiske landene på forsvarsfeltet, og ser det som naturlig at dette sees i sammenheng med tilsvarende prosesser på sivil side. Det er etter vår oppfatning nå svært viktig for ekombransjen å formalisere muligheten for å dele tekniske løsninger og infrastruktur på tvers i Norden, innenfor rammen av forsvarlig sikkerhet, for økt motstandsdyktighet og utholdenhet.

Telenor har spesielt merket seg at Totalberedskapskommisjonen anbefaler at «Norske myndigheter ved finsk og svensk Nato-medlemskap tar initiativ til samarbeid om digital sikkerhet og økt beredskap i Norden». Etter Telenors vurdering trengs et nordisk initiativ for å bedre benytte tekniske løsninger og infrastruktur som fiber og datasentre på tvers av land i Norden og for felles nytte av begrensede personalressurser. Dette vil styrke den nasjonale forsyningssikkerheten med flere ressurser nær Norge, og den nordiske regionen totalt sett og stimulere de multi- nasjonale teknologileverandørene til å etablere kompetansemiljøer i Norden. Et slikt samarbeid vil kreve endringer og harmonisering av nasjonale regelverk. Dette arbeidet bør iverksettes straks.

Flere aktører i den norske ekomsektoren har i innspill til kommisjonen understreket at de definerer hele Norden som sitt hjemmemarked. Innenfor rammene av forsvarlig sikkerhet mener Telenor at autonomi må forstås i en nordisk kontekst. I den endrede sikkerhetspolitiske situasjonen vises det til initiativet om mer forpliktende samarbeid og integrasjon mellom de nordiske landene på forsvarsfeltet. Det ytres i den forbindelse ønske om et nordisk initiativ innen sektoren for å benytte knappe personalressurser mellom nordiske naboland og benytte tekniske løsninger og infrastruktur som fiber og datasentre på tvers av land i Norden. Dette vil styrke den nasjonale forsyningssikkerheten med flere ressurser nær Norge, og det vil styrke den nordiske regionen totalt sett og stimulere de multinasjonale teknologileverandørene til å etablere kompetansemiljøer i Norden.

Fra Totalberedskapskommisjonens NOU 2023: 17 - Nå er det alvor.

Tettere integrering av næringslivet

Det er positivt med en økende erkjennelse av næringslivet som beredskapsaktør og beredskapsressurs. I et beredskapsperspektiv er det helt avgjørende, som blant annet Totalberedskapskommisjonen har understreket at «næringslivet er tettere knyttet til beredskaps- og krise-håndteringssystemene fra det sentrale nivået til de regionale og lokale nivåene».

Telenor opplever å være en anerkjent Totalforsvarsaktør. Det er ikke i departementer eller direktorater at Grunnleggende nasjonale funksjoner (GNF) blir rammet, det vil være i offentlige og private, sivile og militære virksomheter. Slike aktører med samfunnskritisk funksjon må derfor innpasses bedre i Totalforsvaret for å gi innsikt og kompetanse som trengs for å kunne være bedre forberedt på å virke sammen i konflikt, krise og krig. Dette vil kreve formalisering og et betydelig videre arbeid for å få effekt.

Regjering og Storting har, basert på kommisjonenes rapporter, et sjeldent godt grunnlag for å klargjøre rammer, roller og forventninger til samfunnskritiske virksomheter i privat sektor. En slik styrking av beredskapsevnen bør drives av et behov for innovasjon, nytenkning og bærekraftig verdiskapning. En mer strategisk tilnærming til utvikling og beskyttelse av kompetanse og teknologi innen kritisk kommunikasjon bør prioriteres.

Styrke evnen til digital hendelseshåndtering

Telenor merker seg regjeringens ambisjon om at den «nasjonale innsatsen bør kraftsamles» knyttet til nasjonal hendelseshåndtering. Etter Telenors oppfatning er det behov for et styrket tverrsektorielt samarbeid som samler alle domener, og hvor både offentlige og private aktører er med. Etter vår oppfatning kommer sektorprinsippet og tilhørende fragmentert koordinering til kort i denne forbindelse.

Telenor merket seg Riksrevisjonens undersøkelse av myndighetenes samordning av arbeidet med digital sikkerhet i sivil sektor, jf. Dokument 3:7 (2022–2023). Riksrevisjonen bekrefter at «svak samordning av roller, ansvar og krav gjør arbeidet med digital sikkerhet krevende for virksomhetene», at det ikke er «lagt godt nok til rette for tverssektoriell hendelseshåndtering», og at det er «det er behov for mer øving av tverrsektoriell håndtering av hendelser på nasjonalt nivå». Telenor deler disse vurderingene.

Kriserådets rolle bør utvides for å styrke evnen til tverrsektoriell situasjonsforståelse og krisehåndtering på tvers av sektorer. Antall medlemmer bør utvides til en bredt sammensatt embetsgruppe med representanter fra alle sentrale beredskapsaktører, næringslivet og det regionale nivået. Dette vil både styrke analysearbeidet og legge til rette for bedre og bredere beslutningsgrunnlag for regjeringen. Sentralt totalforsvarsforum bør utvikles til et nasjonalt totalforsvars- og beredskapsråd med en styrket myndighet som rådgiver for regjeringen, både med hensyn til forebygging, beredskap og nasjonal krisehåndtering. Dette rådet bør ha et fleksibelt format som kan tilpasses og utvides, og der utvalgte kommersielle virksomheter og partene i arbeidslivet inkluderes.

Fra NOU 2023: 14 - kapittel 17.2.2 Nye krav til styring, ledelse og ressursbruk

Øve og trene

Telenor har tidligere tatt til orde for øvelser på tvers av sektorer hvor vi får testet samvirke, samhandling, ledelse og koordinering som kan ha relevans for å kunne håndtere faktiske hendelser. I denne sammenhengen må viktigheten av at det øves på reelle scenarier understrekes.

Etter Telenors vurdering vil økt bruk av øvelser kunne bidra til styrket tverrsektorielt samvirke og ledelse på strategisk, operasjonelt og taktisk nivå. God felles situasjonsforståelse, ikke bare informasjonsdeling, vil og sette alle med beredskapsansvar bedre i stand til å forstå hendelser i kontekst og å fange opp helheten i hybride operasjoner. Øvelser er også en god arena for å bygge kjennskap til hverandres kapabiliteter og arbeidsmetodikk, samt utvikle nettverk og relasjoner mellom nøkkelpersoner hos kritiske totalberedskapsaktører.

Øvelse Bukkesprang

Telenor Norge har siden 2017 arrangert «Øvelse Bukkesprang», Norges største og tverrsektorielle «live fire»- øvelse i digital hendelseshåndtering. I samarbeid med Cyberforsvaret og Nasjonal sikkerhetsmyndighet (NSM) samler Telenor Norge deltakere fra sentrale aktører i offentlig sivil, militær og privat sektor på Fornebu, hvor vi øver i dedikert infrastruktur med tekniske spor etter simulerte trusselaktører av høyst realistisk karakter. I løpet av en ukelang øvelse oppnår vi erfaring, kunnskapsutveksling og nettverksbygging på tvers av sektorer. Det overordnede målet med øvelsen er å styrke totalforsvaret av Norge. Øvelsen er unik i norsk sammenheng, og et viktig bidrag til den digitale totalberedskapen.

Informasjonsdeling og plattform for samhandling

Styrket samhandling mellom norske sikkerhetsmyndigheter, Forsvaret, Politiet og andre naturlige samarbeidspartnere i sivil sektor er avgjørende for å oppnå et mer robust og sikkert beredskapssamvirke i Norge. Samarbeidet i dag mangler grunnleggende innsatsfaktorer, er for fragmentert og på enkelte områder fortsatt mer dugnadsorientert enn forpliktende.

Blant annet har ikke virksomheter tilstrekkelig tilgang til oppdatert trussel- og sikkerhetsinformasjon. I tillegg mangler mange virksomheter, som fremhevet i NSMs sikkerhetsfaglige råd, løsninger for sikkerhetsgradert samhandling. Dette er spesielt alvorlig når det gjelder virksomheter som er en del av Totalforsvaret.

En særskilt utfordring er at det per i dag ikke finnes kommersielle datasentre eller offentlige skyplattformer tilrettelagt for virksomheter underlagt sikkerhetsloven. Et stadig økende antall virksomheter vil få et behov for skyplattformer og datasenter til utpekte skjermingsverdige systemer eller behandling av skjermingsverdig informasjon. Det er derfor viktig at myndighetene i ulike relevante prosesser, som konseptvalg for nasjonal skyløsning eller regulering av datasentre, bidrar til at dette kan realiseres.

Datasentre og skytjenester for sensitiv informasjon, funksjoner og infrastruktur av betydning for nasjonale sikkerhetsinteresser bør etableres i Norge. Datakraft må sikres gjennom distribuerte skytjenester i regionale og lokale datasentre i Norge og beredskapsavtaler med nære allierte i tilfelle krise.

Fra Sikkehetsfaglig råd – Et motstandsdyktig Norge, Nasjonal Sikkerhetsmyndighet 2023.

Harmonisert sikkerhetslovgivning

Telenor merket seg at regjeringen har fremmet forslag til lov om digital sikkerhet, og at sentrale mål med dette er å ansvarliggjøre virksomheter, sikre gjennomføring av nasjonale råd og anbefalinger, samt legge til rette for innføring av EUs NIS-direktiv. Telenors holdning er at jo flere tilbydere av samfunnsviktige tjenester innen sentrale områder som er forpliktet til å gjennomføre sikkerhetstiltak og varsle om alvorlige digitale hendelser, jo mer motstandskraftig blir vårt åpne og digitale samfunn. Dette kan være med på å bidra til en bedre koordinert respons på tvers av sektorer.

Kompetanse og industrisamarbeid

Telenor opplever en økende utfordring med tilgang på kompetanse på teknologi- og sikkerhetsfeltet. Det er et stort underskudd på slik spesialkompetanse i Norge i dag. Ikke minst opplever vi utfordringer i tilgangen på personell med riktig sikkerhetsklarering. Vi mener et tettere nordisk samarbeid rundt dette ville være nødvendig. Tettere samordning vil gi mulighet for mer effektiv utnyttelse av kompetansebasen i offentlig og private virksomheter på tvers av nordiske land. Ut over nasjonale tiltak som økt utdanningskapasitet innen relevante fagretninger, mener Telenor det er behov for å styrke det helhetlige arbeidet med å tilrettelegge for bedre teknologiutnyttelse og industrisamarbeid. Det gir anledning til å trekke på den teknologikunnskapen norsk, nordisk og internasjonal industri og næringsliv har å by på.

Telekom er en internasjonal bransje med multinasjonale leverandører, og fra leverandørsiden vil man generelt prioritere markeder av en viss størrelse. Nordisk samarbeid, med en mest mulig harmonisert sikkerhetslovgivning og klarering, vil kunne bidra til nødvendig skala og dermed i større grad kunne stimulere de multinasjonale teknologileverandørene til å etablere kompetansemiljøer i Norden. Ut over å bidra til regionens digitale motstandskraft, vil dette også kunne styrke nordisk konkurranseevne.

Et sikkerhetspolitisk fundament

Et tett teknisk samarbeid mellom bedrifter og organisasjoner over landegrensene krever et sikkerhetspolitisk fundament. Dette innebærer harmonisering av sikkerhetslovgivning og samarbeid mellom nasjonale regulatører på et helt annet nivå enn det vi ser i dag. Med et økende press på talent og kompetanse, og konsentrasjon av leverandørmarkedet med stadig lengre forsyningskjeder, blir de enkelte land i Norden hver for seg for små. Med et tettere sikkerhetssamarbeid på tvers av den nordiske regionen vil vi kunne virkeliggjøre helt andre forutsetninger for et effektivt, sikkert og robust totalforsvar.

Det trengs et styrket nordisk samarbeid om sikkerhet, robusthet og beredskap. En mer harmonisert lovgivning som tillater deling av tekniske løsninger og infrastruktur på tvers av Norden er nødvendig. Sikkerhet bygges best sammen.

Telenor vil:

  • styrke sikkerhetssamarbeidet om klarering og autorisasjon av nordiske statsborgere med et felles nordisk regime for sikkerhetsklarering, og at krav til nasjonal autonomi operasjonaliseres slik at det muliggjør å benytte personell på tvers samt dele tekniske løsninger og infrastruktur for økt robusthet og motstandsdyktighet

  • at det for sentrale aktører i Totalforsvaret raskt etableres bedre løsninger for gradert samhandling og gis bedre tilgang til trussel- og sikkerhetsinformasjon

  • at det i større grad stilles krav om å ivareta beredskapshensyn og nasjonale sikkerhetsinteresser i offentlige anskaffelser