Lade Byd Tang hjå Tesla

Det har blitt nokre kilometer bak rattet i nyebilen den siste månaden. Laurdag 11.06.22 tok eg med dei eldre på ein rundtur i Gulen. På veg dit, stoppa eg i Lavik, for å teste om eg kunne lade med Tesla-ladarane. Første ladar var visst defekt. Eg fekk beskjed i Tesla-appen om å bruke ein anna bås. I den nye båsen starta ladinga og etter eit par minutt med oppvarming av batteriet, auka ladinga til litt over ca 80 kw. Eg hadde ikkje brukt mykje av batteriet på turen ut. 80 kw var god ladehastigheit med sopass fullt batteri, mykje betre enn den einslege 50 kw Mer-ladaren på andre sida. På returen om kvelden, stoppa eg også for å lade litt. I teorien skulle eg greie turen heim, men det er alltid lurt med betre margin. Sidan eg var midt i køen av ferja, bak både trailerar og bubilar, er eit stopp på 10-15 minutt ein grei måte å få køen innover fjorden.

Ufordringa med Byd Tang er at bilen har ladeluka bakhøgre side, medan Tesla-bilane har ho bakvenstre side. Eg må vise omsyn. Som de ser er kablane på båsane veldig korte. Ein må rygge godt inn til båsen for at dei skal rekke. Problemet mitt er at eg må stå på plassen til båsen ved sida og ta opp plassen til Tesla-bilen som kunne brukt den båsen. I Lavik kunne eg ha løyst dette ved å ta båsen som står ved inn-/utkøyringa, rygge slik at eg står med høgresida og ladeluka ved ladaren.

ABBA Voyage Arena

ABBA Arena, London, er no klar. Før helga var det ei stor lansering og alle medlemmene var samla.

Eg har ikkje tenkt å hoppa på eit fly med det første for å få med meg dette. Ja, eg er ABBA-fan, men ikkje blodfan som skal ha med seg alt når det skjer. I løpet av helga har eg søkt på Youtube og funne nokre klipp frå «konserten». Eg må sei at det ser skikkeleg bra ut, men du greier ikkje heilt å gjenskape eit menneske og formidlinga av kjensler mm.

Den første videoen eg såg var deler av The Winner Takes it All. Det var ikkje lenge før eg la merke til at augeføringa og ansiktsuttrykket ikkje heilt var etter det eit vanleg menneske ville gjort. Det var ei umiddelbar kjensle som eg merka ned over ryggen. La oss sei att ryggmargrefleksen min slo ut, noko stemte ikkje heilt.

I tillegg ser eg at det på eit punkt i framføringa ikkje er samsvar mellom avatarane på scena og den store videovisinga. Agneta-avataren har mikrofonen i høgre hand på scena, men i høgre i det store «nærbilete». For meg ser det du til at det store bilete er speglvendt i høve scena. Teknisk sett er dette lett å korrigere.

Det kjem til å bli betre over tid, når dei får finslipe teknologien. Om nokre år vil det vere vanskeleg å skilje avatar frå menneske.

Brua mi til Tor

Som følgje av krigen og innstramminga av tilgang til informasjon i Russland, valde eg å setje opp ei bru opp mot Tor-nettverket. Ein kan blokkere inngangsnodar til Tor-nettverket, men frivillig bruer er vanskelegare å sperre. Brua mi har stått open i vel 3 veker og er ei av bruene som dei som ikkje kan nå Tor-nettverket kan få tildelt via e-post. Gradvis har det auka på med brukarar og trafikk:

I dag er det viktigare enn nokon gong at ein har tilgang til informasjon, ikkje berre det som nokon meinar du skal vite. Kan du setje opp ei slik bru, bør du bli med og stikke hol på jarnteppa som senkar seg rundt om i verda.

Når sensuren senkar seg, vel Tor

Putin i Russland har full kontroll på mediebilete. Uavhengige nyhendereaksjonar har blitt rensa ut over åra, og dei siste er i ferd med å gi seg. I desse dagar innførte dei ei lov som kan gi inntil 15 års fengsel for å spreie «falske nyhende» om det russiske militæret.

Utanlandske nyhendekjelder og sosiale medier blir blokkert. Med full kontroll kan Putin styra opinionen i Russland. I staden for groteske bilete av utbomba byar, kan han bruke arkivfoto og rigga scener som kan vise at alt går roleg for seg, berre militære mål blir målretta.

Om din tilgang til andre lands nyhende er blokkert av din nettleverandør, kan du dra nytte av Tor Project. Last ned nettlesaren og installer han på PCen. All trafikk blir sendt gjennom Tor-nettverket og du vil omgå blokkeringar.

Russland har blokkert Tor i vinter, men nettlesaren kan du finne andre stadar. Det ser også ut til at Russland har blokkert tilgang til nodar i Tor-nettverket, men det fins vegar rundt. Slike omvegar er alltid lurt å bruke dersom det autorative regimet blokkerer Tor. Sidan det er vanskeleg å sperre for bruer, som alle kan sette opp, sparar det deg for at nokon kjem på døra og kastar deg i fengsel fordi du bruker eller prøver å bruke Tor.

PS! I solidaritet med den angripne part, har eg sett opp ei bru. Det er eit lite bidrag i ei tid som tek meg 40 år tilbake i tid.

Alvorlege tema på glansa papir

I dag vart rapporten Risiko 2022 av Nasjonal sikkerhetsmyndighet publisert. Den blir berre publisert som PDF tilpassa utskrift. Førsteinntrykket når du blar gjennom er at det ser bra ut, for eit reklamehefte på glansa papir. Nett som ei bilbrosjyre som skal reklamere for eit produkt og vise alle fortreffelege løysingar frå alle vinklar. Kort sagt publikasjonar som ikkje inneheld viktig informasjon som ein kjapt ser over.

Med masse bilete, fargar, tekstsamlingar og delingar blir det kaotisk å lese. Spalteinndeling av tekst på skjerm er vondt å forhalde seg til. Det einaste positive er at det ikkje er tekst side opp og side ned, men heller korte deltkapittel. PDFen er produsert med tanke utskrift på framside og bakside per ark. På skjerm vert dette vist som to sider i breidden. Eg legg ved eit eksempel som illustrerer både layout, farge-, bildestøy samt spalteindeling og to sider vist side ved side som leseflate. Publikasjonen er kort og godt eit slit å lese og navigere seg gjennom.

Med tanke på oppgåva til Nasjonal sikkerhetsmyndighet – ein etterretnings- og tryggingsfunksjon for å motverke faren for alvorlege anslag mot samfunnet – er det ikkje innpakkinga, men innhaldet som tel. Som gåvepapiret på jule- eller bursdagsgåva er innpakking irrellevant.

Mitt største ønskje er at Nasjonal sikkerhetsmyndighet lagar til ei nettside som viser hovudteksten for Risiko 2023 utan nokon form for støy. For Risiko 2022 har eg teke meg den fridom å ta bort all støy og presenterer det essensiella tekstlege innhaldet under, som inkluderer forordet.

Risiko 2022

Mer krevende å beskytte Norge

I løpet av 2021 har det blitt enda mer komplekst og krevende å beskytte Norge mot alvorlige trusler. Stortinget ble rammet av et alvorlig cyberangrep i mars. Angrepet traff hjertet i vårt demokrati. Likevel gjennomførte vi et sikkert stortings- og sametingsvalg.

Ikke siden andre verdenskrig har så mange mennesker vært på flukt i verden. Sårbare flyktninger blir brukt som brikker i et strategisk maktspill mellom nasjoner. Også konflikten mellom Russland og Ukraina er en viktig påminnelse om hvor skjør freden er.

Strategiske investeringer som gir fremmede stater tilgang til viktige verdier og beslutningsprosesser, er en metode vi må ta på høyeste alvor. Fremmede staters metoder kombinerer legitime og ulovlige virkemidler. Det setter oss i en rekke dilemmaer, noe vi så da salget av motorfabrikken Bergen Engines ble stanset.

Også metoder som rammer våre digitale og teknologiske systemer må vi være oppmerksomme på. Selv om vårt høyteknologiske samfunn er sårbart, vet vi mye om hvordan vi kan øke sikkerheten. Det gir oss et godt utgangspunkt for arbeidet som må gjøres. Fremtiden vil utfordre oss enda mer enn i dag, så det gjelder å møte den klare til innsats.

Koronapandemien har allerede utfordret oss – mer enn vi kunne forestilt oss. Men den har også lært oss mye. En av lærdommene er at til tross for den økte digitale risikoen vi advarte om da hele Norge ble sendt på hjemmekontor, så ser det ut til å ha gått bra. Teleoperatørene har levert stabile tjenester når Norge trengte det mest. Det er imponerende.

En annen erfaring er at globale forsyningslinjer er sårbare. Produksjon av blant annet mikrochiper har blitt betydelig redusert på grunn av pandemien. Dette lammer produksjonskjeder i alt fra bilindustri til forsvarsindustri verden over, og forsinker viktig sikkerhetsarbeid.

Globalisering og internasjonal handel vil fremover bli utfordret av klimatiltak og komplekse verdikjeder. USA har allerede besluttet å gjøre seg mindre avhengig av andre lands produksjon. I fremtiden kan også vi måtte innstille oss på mer lokal produksjon av varer og tjenester, for eksempel matvareproduksjon. Det vil øke den relative viktigheten av verdier som i dag ikke anses som avgjørende for nasjonal sikkerhet.

Hybride trusler vil prege vår fremtid. Nasjonal sikkerhet må bli alles ansvar. Media har gjennom det siste året satt søkelys på viktige saker som gjelder vår felles sikkerhet. Dette gjør oss mer vaktsomme og øker vår motstandskraft. NSMs viktigste budskap inn i 2022 er at toppledere må prioritere å beskytte seg og samfunnet enda bedre i tiden fremover. Risiko 2022 skal bidra til å øke vår felles årvåkenhet og besluttsomhet. Sikkerhetsklimaet har blitt kaldere.

Oppsummering

Den spente sikkerhetssituasjonen i Europa aktualiserer bruken av hybride trusler, såkalte sammensatte virkemidler. Russland og Kinas omfattende verktøykasser truer viktige nasjonale verdier og interesser. Risikoen for at vi ikke er i stand til å ivareta viktige sikkerhetsinteresser øker. En forverring av sikkerhetssituasjonen vil forsterke risikoen ytterligere. Den mest alvorlige utviklingen i det nasjonale risikobildet kan oppsummeres i tre hovedpunkter.

For det første øker gapet mellom trusselen og sikkerhetsnivået i norske virksomheter og samfunnsfunksjoner. Det skyldes blant annet at bevisstheten og kompetansen om trussel- og risikobildet og hva som utgjør god nok sikkerhet, er for svak. Sikkerhetstiltakene er ikke dimensjonert for det reelle trusselbildet eller innføres ikke raskt nok når nye sårbarheter oppstår. Forståelsen for trussel- og risikobildet må økes og tiltak må iverksettes nå. Dette er et ledelsesansvar.

For det andre ser vi at sårbarheter i verdikjeder utnyttes mer målrettet. Gjennom stadig nye metoder og virkemidler, som cyberoperasjoner, investeringer og oppkjøp, utnytter trusselaktørene at virksomhetene er knyttet sammen i lange og komplekse verdikjeder. De leter etter sårbarheter hos leverandører og tilknyttede virksomheter. Ett av virkemidlene de bruker er å investere – direkte eller indirekte – i verdikjeder som er viktige for nasjonal sikkerhet. Dette gjør de gjennom kommersielle selskaper, og i de fleste tilfeller er aktiviteten helt lovlig.

Uoversiktlige verdikjeder gjør det vanskeligere å beskytte viktige nasjonale verdier. Verdikjedene må kartlegges, og sikkerhetsstyringen av leverandører og underleverandører må prioriteres høyere. For enkelte virksomheter kan det innebære at de må forenkle verdikjedene for å oppnå forsvarlig sikkerhet.

Datasentre og teleinfrastruktur, som igjen er avhengige av kraft, utgjør fundamentet i vår nasjonale digitale infrastruktur. Svikt i verdikjeder, også digitale, kan få konsekvenser både for samfunnssikkerheten og statssikkerheten, eksempelvis dersom sivile virksomheters tjenester eller leveranser til Forsvaret skulle falle bort. Viktige funksjoner må være tilgjengelige i fred, krise og krig.

For det tredje ser vi at taktskiftet i cyberaktivitet mot Norge skjerper den digitale risikoen. Fra 2019 til 2021 har NSM sett en tredobling i antall alvorlige hendelser og cyberoperasjoner. Fremmede etterretningstjenester står bak flere alvorlige hendelser i denne perioden. Risiko for alvorlige cyberoperasjoner er høy og øker for virksomheter som arbeider med utenriks-, forsvars- og sikkerhetspolitikk. Det samme gjelder virksomheter som driver forskning og utvikling innenfor forsvar, helse, maritim teknologi, petroleum og romvirksomhet.

I tillegg ser vi en kraftig økning i digital utpressing og sabotasje, såkalte løsepengevirus eller ransomware. Både her hjemme og i andre land har slike hendelser fått omfattende konsekvenser ved at systemer lammes og viktige tjenester stopper. Bare i desember 2021 ble matvareprodusenten Nortura, mediekonsernet Amedia og Nordland fylkeskommune rammet av slike cyberhendelser.

Selv om flere tar innover seg alvoret i det digitale trussel- og risikobildet, går den teknologiske utviklingen og endringene i sårbarhetsbildet så raskt at den digitale risikoen fortsetter å øke. Sikkerheten i IKT-systemene i norske virksomheter må derfor styrkes. NSMs grunnprinsipper for IKT-sikkerhet er et godt utgangspunkt for IKT-sikkerhetsarbeidet.

Nasjonal sikkerhet utfordres av teknologiutviklingen fordi vi gjør oss avhengige av nye tjenester, og fordi nye sårbarheter oppstår. Utviklingen innen satellitt- og romteknologi, droner, telekommunikasjon og kvanteteknologi er eksempler på fremskritt som også skaper sårbarheter trusselaktører kan utnytte. Vi må kontinuerlig utvikle sikkerheten i takt med den teknologiske utviklingen.

Det er et bredt spekter av både offentlige og private virksomheter som utgjør første skanse i beskyttelsen av Norge i dag. Det må settes av tilstrekkelige ressurser for å få på plass operasjonell risikostyring. Tiltak må iverksettes fortløpende basert på oppdaterte risikovurderinger.

For å styrke nasjonal sikkerhet trenger vi et betydelig løft i bevissthet og kompetanse om trusselbildet og sikkerhetsarbeidet, fra virksomhetens øverste ledelse til den enkelte ansatte. I denne rapporten gir vi en rekke anbefalinger for å bedre sikkerheten i norske virksomheter og øke den nasjonale motstandskraften mot hybride trusler.

Økt risiko krever økt årvåkenhet. Hjelp oss med å bygge et nasjonalt situasjonsbilde gjennom å rapportere sikkerhetstruende aktivitet og hendelser. Slik kan vi sammen iverksette de riktige og viktige tiltakene.

Våre viktigste nasjonale verdier må kartlegges

Målet med å få en oversikt over de viktigste nasjonale verdiene er at vi skal bli i stand til å prioritere og disponere ressurser slik at vi ivaretar våre nasjonale sikkerhetsinteresser.

Vi skal beskytte Norges suverenitet, territorielle integritet og demokrati. Vi skal sikre vår handlefrihet, vår økonomiske stabilitet, vårt forhold til andre stater og befolkningens grunnleggende sikkerhet. Disse overordnede interessene ligger fast, men konkretiseres gjennom grunnleggende nasjonale funksjoner.

Departementene har gjort et stort arbeid med å identifisere grunnleggende nasjonale funksjoner og virksomheter som understøtter disse. Tempoet i arbeidet som gjenstår må økes. Dette er en forutsetning for at private bedrifter og offentlig sektor kan starte arbeidet med å omsette intensjoner til praktisk handling. Målet er å sikre de konkrete verdiene som våre nasjonale sikkerhetsinteresser er avhengige av.

Disse verdiene kan være samfunnsfunksjoner, store kommunikasjonsinfrastrukturer, datasentre og informasjonssystemer, bygninger, transportknutepunkt, anlegg, serverrom, databaser og antenner. Det kan være kunnskap, teknologi og tjenesteleveranser i tillegg til fysiske varer.

Arbeidet med nasjonal sikkerhet favner videre enn virksomheter som i dag er omfattet av sikkerhetsloven. Leveranser og avhengigheter gjennom verdikjeder gjør at noen virksomheter kan være så viktige at de bør omfattes av loven. Dette må vi vurdere fortløpende. Virksomheter kan også bli viktigere å beskytte dersom trusselen mot dem øker.

Under en øvelse i november 2021 skjøt Russland ned en av sine egne satellitter i verdensrommet. Deler av romsøppelet flyter fortsatt i verdensrommet og utgjør en risiko for aktive satellitter, også norske. NATO omtalte hendelsen som uansvarlig. Rivalisering i verdensrommet vil utgjøre en betydelig risiko for verdier og funksjonalitet som er viktige for Norges sikkerhet. Flere av disse er i dag ikke omfattet av sikkerhetsloven.

Norge ligger langt fremme i teknologiutvikling, innovasjon og forskning på mange områder – også innen forsvarsindustrien. Russland og Kina søker å styrke sin kompetanse og produksjon av teknologi som kan bidra til å styrke deres militære kapasitet og økonomiske posisjon. Norske bedrifter og offentlige virksomheter som produserer slike varer og tjenester, eller har verdifull kompetanse, vil kunne bli mål for fremmede stater. De kan bli utsatt for forsøk på investeringer eller oppkjøp fra disse landene, direkte eller indirekte. Når slike bedrifter og virksomheter anskaffer varer eller tjenester, vil de også kunne oppleve at aktører med sekundære målsettinger er villige til å presse prisen ned for å vinne anbudet.

Dette gjelder særlig private bedrifter og forsknings-institusjoner som utvikler og produserer teknologi som er attraktiv for trusselaktørene og der norsk utvikling og produksjon holder høy internasjonal standard. Eksempler på dette er teknologi knyttet til maritim sektor (herunder undervanns-teknologi), olje- og gass-utvinning, satellit-teknologi, droner og kryptoutvikling.

Mange bedrifter med interesser i disse markedssegmentene er ikke om-fattet av sikkerhetsloven. Da har de heller ikke juridiske verktøy eller tilgang til informasjon som gjør at de kan iverksette nødvendige tiltak for å sikre verdiene.

Risikobildet

Viktige samfunnsfunksjoner kan rammes

Risikoen for at vi ikke er i stand til å ivareta viktige sikkerhetsinteresser øker.

Politiets sikkerhetstjeneste (PST) og Etterretningstjenesten har i sine trusselvurderinger de senere år fremhevet kinesiske og russiske statlige eller statstilknyttede aktører som den mest alvorlige trusselen mot norske sikkerhetsinteresser.

De ønsker å påvirke norske beslutningsprosesser og Norges handlingsrom, styrke sin militære evne og svekke våre nasjonale sikkerhetsinteresser. Den spente sikkerhetssituasjonen mellom Russland og Vesten aktualiserer bruken av hybride trusler mot både Norge og våre allierte.

Statlige trusselaktører viser en økende vilje til å utnytte våre sårbarheter gjennom en helhetlig og langsiktig tilnærming. De utnytter kombinasjoner av virkemidler som cyberoperasjoner, påvirkningsoperasjoner, posisjonering i forskningssamarbeid og oppkjøp og investeringer. De rekrutterer og utnytter enkeltpersoner for å få tilgang til informasjon.

I cyberdomenet ser vi en økende trusselaktivitet i Norge, både fra statlige aktører og kriminelle. Internasjonalt samarbeid og etterforskning har fått økt betydning for å møte trusselen som cyberkriminelle utgjør, og dette gir gode resultater. Hydro ble i 2019 utsatt for digital utpressing som kostet selskapet minst 800 millioner kroner. I 2021 deltok Kripos i en internasjonal politiaksjon mot organiserte cyberkriminelle i Ukraina. Hackerne ble siktet for å stå bak angrepet mot Hydro i tillegg til en rekke lignende angrep i andre land. Andre saker forblir uløste.

Det er vesentlige forskjeller mellom kriminelle og statlige eller statstilknyttede aktørers intensjon og kapasitet. Selv om målet for en kriminell aktør kan være økonomisk vinning, kan det ramme viktige samfunnsfunksjoner. Kraftforsyning, tele-infrastruktur, helsetjenester og matforsyning – digital utpressing og sabotasje kan treffe hvem som helst. Det er kun et spørsmål om tid før slike hendelser får alvorlige konsekvenser for samfunnsfunksjoner og nasjonal sikkerhet.

Hendelsene vi oppdager, enten de gjelder cyber, oppkjøp, påvirkning eller skip som kartlegger vår undersjøiske infrastruktur, er sannsynligvis bare toppen av isfjellet. For å oppdage avvikene fra normalen kreves det årvåkenhet og en forståelse av normalbildet. Slike avvik kan være lovlige eller kriminelle handlinger og kan skje i alle sektorer.

Samfunnet vårt er ikke godt nok rustet for å oppdage avvik fra normalen og å se sammenhenger mellom disse avvikene. Vår oversikt over verdier, verdikjeder og avhengigheter er heller ikke god nok til at vi klarer å iverksette riktige tiltak på rett sted og til rett tid.

Nasjonal sikkerhet utfordres av teknologiutviklingen fordi vi gjør oss avhengig av nye tjenester, og fordi nye sårbarheter oppstår. Satellitt- og romteknologi bidrar til økt effektivitet, konkurransedyktighet og innovasjon, men gjør oss sårbare for manipulering av teknologien. Moderne droneteknologi utfordrer vår evne til å beskytte oss mot etterretning og sabotasje fra luften.

Den teknologiske utviklingen vil akselerere med innføringen av 5G og kvanteteteknologi. Sikker innføring og effektiv utnyttelse av ny teknologi avhenger av at vi klarer å beskytte oss mot at trusselaktører utnytter den samme teknologien for å ramme oss. Det krever god kunnskap om teknologi og sikkerhet.

Trusselaktører utnytter sårbare verdikjeder

I 2021 har vi sett flere tilfeller der trusselaktører har utnyttet sårbarheter i verdikjeder.

Det er i mange tilfeller enklere å få tilgang til en virksomhets teknologi, bedriftshemmeligheter eller annen sensitiv informasjon gjennom å utnytte en leverandør eller underleverandør enn ved å ramme en virksomhet direkte.

Verdikjedene utnyttes på mange måter. Cyberoperasjoner rammer virksomheter som leverer tjenester til en lang rekke andre virksomheter med viktige samfunnsfunksjoner. SolarWinds-saken viste hvor omfattende konsekvenser et leverandørkjedeangrep kan få. I slike operasjoner utnyttes programvare eller andre digitale leveranser eller tjenester som benyttes av mange virksomheter. Investeringer i og oppkjøp av virksomheter og eiendom er en annen effektiv metode for å få tilgang til informasjon eller beslutninger gjennom verdikjeder. Verdikjedene er helt sentrale i effektiv verdiskapning, samtidig som den totale angrepsflaten øker. Dette gjør oss sårbare.

Aktiviteten rammer bredere enn åpenbare etterretningsmål. Den rammede virksomheten er ikke nødvendigvis et mål i seg selv, men kan være et middel for å nå det endelige målet. Uoversiktlige verdikjeder og avhengigheter på tvers av samfunnsfunksjoner gjør at hendelser kan innvirke både på samfunnssikkerheten og statssikkerheten etter hvert som skillet blir mindre tydelig. Forsvarssektorens økende avhengigheter til sivil sektor, og særlig til private bedrifter, illustrerer hvor aktuell denne problemstillingen er.

Sårbarheter eller hendelser i ett ledd av verdikjeden vil raskt få ringvirkninger til andre virksomheter eller funksjoner. Hendelser hos store leverandører av IT-tjenester eller programvare vil kunne få konsekvenser for svært mange virksomheter. Økende avhengigheter mellom virksomheter sammen med trusselaktørenes evne til å finne og å utnytte sårbare ledd i kjeden gjør at risikoen har økt.

Under den pågående pandemien har verden opplevd forsyningsproblemer i flere ledd og innen mange sektorer. I en slik situasjon kan en virksomhet eller dens leverandør måtte inngå samarbeid med nye underleverandører. NSM har sett eksempler på at slike endringer i leverandørkjeden har blitt gjennomført uten nødvendige sikkerhetsmessige vurderinger.

Lav sikkerhetsbevissthet svekker nasjonal sikkerhet

Sikkerhetsbevisstheten påvirker vår evne til å avdekke sårbarheter og iverksette tiltak – både i den enkelte virksomhet og nasjonalt.

Sikkerhetsspørsmål settes stadig på den nasjonale agendaen. Dette er positivt. At de hemmelige tjenestene deltar i den offentlige debatten, er viktig. Det samme er medienes rolle. På dette området har det skjedd en markant endring gjennom 2020 og 2021. Stadig oftere ser vi at mediene setter kritisk søkelys på nasjonale sårbarheter som utnyttes, både lovlig og kriminelt. Dette bidrar til å fjerne barrierer i samfunnet og hjelper oss med å utføre samfunnsoppdraget vårt.

Likevel ser vi at bevisstheten om nasjonal sikkerhet ikke er god nok. Statsministeren påpekte i sin halvårlige pressekonferanse i desember 2021 at den sikkerhetspolitiske situasjonen i Europa ikke har vært mer alvorlig siden 1989. Han formidlet også at regjeringen gjennom sin politikk vil holde Norge trygt i møte med utfordringer i sikkerhetspolitikken. Erkjennelsen av at den sikkerhetspolitiske situasjonen angår oss alle, har ikke fullt ut sunket inn. Det er en trygghet i at vi har på plass en ny sikkerhetslov som tvinger oss til å øke bevisstheten om nasjonal sikkerhet, blant annet gjennom prosessen med å identifisere grunnleggende nasjonale funksjoner og verdier som understøtter disse. Dette arbeidet må fortsette med uforminsket styrke.

Lav bevissthet om hva som står på spill og hvilke sårbarheter som kan utnyttes, påvirker vurderinger av risiko i den enkelte virksomhet, privat som offentlig. Dette kan føre til at sårbarheter ikke blir avdekket og at nødvendige sikkerhetstiltak ikke blir iverksatt. På denne måten utsetter virksomheten både seg selv og andre for risiko som kan få konsekvenser for våre nasjonale sikkerhetsinteresser.

Det er store mørketall om alvorlige sikkerhetstruende hendelser i Norge. Dette påvirker evnen til å ivareta nasjonal situasjonsforståelse, som er avgjørende for å kunne prioritere ressurser til de riktige tiltakene. Det gjør også at evnen til å ta lærdom av tidligere hendelser svekkes, og at sårbarheter får bestå.

Alle kan delegere oppgaver i arbeidet med å oppnå forsvarlig sikkerhet, men ikke ansvaret for det. Samarbeid mellom virksomheter er viktig for å utnytte kompetanse og ressurser i et land som Norge, men det innebærer også en risiko for at helhetlig sikring ikke blir godt nok ivaretatt. Fravær av risikostyring og gode nok avtaler mellom virksomheter gir grensesnittutfordringer som kan ha konsekvenser både for de involverte virksomhetene og nasjonal sikkerhet.

Et taktskifte i cyberdomenet

Flere alvorlige cyberhendelser i 2020 og 2021 understreker det omfattende og komplekse trusselbildet vi står overfor.

Trusselaktørene viser stor kapasitet til å gjennomføre cyberangrep. Siden 2019 har NSM sett en tredobling i antall cyberhendelser som får alvorlige konsekvenser for virksomheter i Norge.

Det siste året har kartleggingsaktivitet, phishing, digital utpressing og sabotasje, og utnyttelse av digitale sårbarheter hos et stort antall virksomheter preget cyberbildet. Kartleggingsaktivitet kan innebære kartlegging av tekniske sårbarheter, hvilken informasjon som ligger på åpne nettsider og kartlegging av personer eller organisasjoner. Vi må være oppmerksomme på at dette kan være forberedelser til neste fase i et cyberangrep.

Cyberoperasjoner rammer i økende grad flere mål samtidig, på tvers av sektorer og med aktivitet som vedvarer over tid. Avanserte aktører har det siste året utført aktivitet mot virksomheter i blant annet sentralforvaltningen, forsknings- og utdanningssektoren, forsvarssektoren og andre virksomheter innen høyteknologi.

Enkelte avanserte trusselaktører forsøker å etablere et fotfeste i norske virksomheter. Cyberoperasjoner mot viktige institusjoner og samfunnsfunksjoner kan ha direkte og umiddelbare konsekvenser. Trusselaktøren kan få tilgang til systemer og sensitiv informasjon, og de kan endre innhold eller gjøre tjenester utilgjengelige. Samtidig kan cyberoperasjoner også få alvorlige langsiktige konsekvenser ved at det legges til rette for fremtidig påvirkning eller sabotasje.

Det siste året har det vært en markant økning i mengden hendelser med digital utpressing og sabotasje. Dette rammer bredt – på tvers av alle sektorer og både privat næringsliv og offentlige myndigheter. Risikoen for digital utpressing og sabotasje er høy.

I romjulen 2021 ble mediekonsernet Amedia rammet av et cyberangrep. Det førte til at papiravisene til mer enn 80 lokalaviser ikke kunne publiseres den påfølgende dagen. Angrepet mot Amedia var ett av flere cyberangrep som rammet norske virksomheter julen 2021. Forekomsten av cyberoperasjoner øker ofte i forbindelse med høytider.

Slike angrep kan ha store økonomiske konsekvenser for virksomhetene som blir rammet, og personlige konsekvenser for ansatte og kunder hvis personopplysninger havner på avveie. Samtidig kan det også ha store konsekvenser for samfunnet som helhet når varer, funksjoner og tjenester blir utilgjengelige.

Det er krevende å holde tritt med et sårbarhetsbilde som er i utvikling fra dag til dag. Pandemien har akselerert innføringen av nye digitale løsninger hos mange. Med nye løsninger følger nye sårbarheter og behov for nye risikoreduserende tiltak. Både i offentlig og privat sektor har vi sett evne til mobilisering i ekstraordinære situasjoner for å sette fokus på digital sikkerhet. Samtidig ser vi at økt bevissthet om digital risiko for sjelden blir omsatt til handling.

Det er fortsatt slik at det generelle sikkerhetsnivået i IKT-systemer hos norske virksomheter er for lavt. I de fleste tilfeller er det tekniske sårbarheter som utnyttes for å kompromittere systemene. De aller fleste cyberhendelser som rammer norske virksomheter og myndighetsorganer, kunne vært unngått eller fått langt mindre alvorlige konsekvenser dersom NSMs grunnprinsipper for IKT-sikkerhet ble fulgt. Svak sikkerhet gir høy risiko for at virksomheter rammes av cyberhendelser.

Ved angrepet på Stortinget i mars 2021 utnyttet trusselaktøren en nulldagssårbarhet i Stortingets systemer. Nulldagssårbarheter er en kamp mot klokka. Det er avgjørende å oppdatere programvaren før trusselaktører utnytter sårbarheten. Dette så vi i forbindelse med de brede informasjonskampanjene som ble iverksatt da den store sårbarheten i Microsoft Exchange ble offentliggjort i mars, og da den enda mer alvorlige sårbarheten i Log4J ble offentliggjort i desember 2021. Foreløpig ser det ut til at norske virksomheter har klart seg bra gjennom dette og at sikkerhetsoppdateringer ble utført raskt hos de aller fleste. Likevel vet vi ikke med sikkerhet om sårbarhetene kan ha blitt utnyttet av trusselaktører som har lagt inn usynlige bakdører i virksomheters systemer for å utnytte disse på et senere tidspunkt, hvis og når de ønsker det.

Tiltak for å styrke sikkerheten

Sikkerhetsbevisstheten hos ledere og ansatte må heves

Private bedrifter og offentlige virksomheter må være bevisste endringer i trussel- og risikobildet.

Som øverste ansvarlig for sikkerheten bør ledelsen i utsatte bedrifter og virksomheter be om en årlig gjennomgang av de nasjonale trussel og risikovurderingene. Det er også mye å lære av sektorer som har lang erfaring med sikkerhet og risikostyring slik som luftfarten, finanssektoren og forsvarssektoren. I disse sektorene er risikostyring innarbeidet i alle faser av operasjonene og i alle ledd av organisasjonen.

Mange virksomheter sikrer seg mot driftsforstyrrende hendelser som innbrudd eller nedetid på systemene. Men disse sikringstiltakene beskytter ikke nødvendigvis mot målrettede trusselaktører. Et tilstrekkelig sikkerhetsnivå avhenger av at virksomheter oppdaterer sin kunnskap, blir mer sikkerhetsbevisste og tilpasser sikringstiltak etter endringer i trusselbildet. Sikkerhetsbevissthet er avgjørende for å forhindre og avdekke innsiderisiko, risiko for avlytting og sikkerhetstruende økonomisk virksomhet. Disse metodene er vanskelig å avdekke. Er vi ikke årvåkne, avdekker vi ikke slik aktivitet – aktivitet vi vet at forekommer.

Ta ansvar for sikkerhetsarbeidet

Sikkerhetsarbeid kan tjenesteutsettes, men ikke ansvaret for sikkerheten.

Dette innebærer at krav til sikkerhet må inngå i kontrakter mellom virksomheter. Slike krav må forhandles, styres og følges opp. Krav til rapportering av endringer og hendelser som påvirker sikkerhet må inngå i dette. Det samme må sikkerhetskrav til bruk av underleverandører.

Sårbarheter kan oppstå når flere virksomheter deler ansvar for sikkerheten, der man legger andres risikovurderinger til grunn eller der man antar at sikkerheten blir ivaretatt av andre.

Det er ikke prinsipielt galt å samarbeide eller tjenesteutsette, såfremt vi ikke mister oversikten over helhetsbildet. Gjør andre arbeidet, må det være klare og kontraktsfestede ansvars- og rolleavklaringer.

Sikkerheten i IKT-systemene må styrkes

Alle virksomheter må korrigere tekniske sårbarheter.

Dette innebærer kontinuerlig å oppdatere IKT-systemer, lukke sårbarheter i nettverks-, klient- og serverkonfigurasjon og kontrollere rettighetsstyringen internt. Flerfaktorautentisering øker sikkerheten, og logging i systemene muliggjør kontroll og raskere gjenoppretting hvis en hendelse inntreffer. Informasjon om ansatte på internett bør reduseres. NSMs grunnprinsipper for IKT-sikkerhet og den årlige rapporten Nasjonalt digitalt risikobilde er gode kilder for IKT-sikkerhetsarbeidet.

Cybersikkerhet er et tema som får stor oppmerksomhet. Rammede virksomheter deler stadig oftere sine erfaringer i offentligheten for å hjelpe andre til å unngå det. Mange sektorer peker på NSMs grunnprinsipper for IKT-sikkerhet som et viktig verktøy for å oppnå godt sikkerhet. Ved Nasjonalt cybersikkerhetssenter sitter det partnere fra mange sektorer sammen med NSM, Etterretningstjenesten, PST og Kripos for å bidra til å bygge den nasjonale IKT-sikkerheten.

Likevel er det grunnleggende sikkerhetsnivået i norske virksomheter for lavt. Det er imidlertid en styrke i det digitale sikkerhetsarbeidet at vi i stor grad vet hva som virker og hva vi kan gjøre for å redusere sårbarheter.

Velkomen etter …

Eg har følgt med utviklinga som følgje av Schrems II-domen med påfølgande retningslinjer og domar. Det overraskar meg ikkje at ting fell på plass slik eg såg det for meg. Av og til fleipar eg med at det er to måtar å gjere ting på: Min måte og feil måte. Her slår det til igjen. Du kan lytte gjennom det siste webinar til advokatfirma Fieldfisher:

Dei går mellom anna inn på den siste avgjerda i Austerrike på bruk av Google Analytics. Greit at anonymiseringfunksjonen til Google Analytics ikkje vart brukt. Hadde den vorte brukt ville det framleis vore Google som hadde strippa det siste talet i IP-adressa før ho vart lagra. Ergo hadde Google handsame personinformasjon (IP-adressa) i klartekst, som er i strid med råda frå EDPB (personvernrådet i EU).

Representantane frå Fieldfischer har lita tru på at USA kjem til å endre sine lover/reglar, men dei har tru på at EU og USA vil få på plass Privacy Shield 2.0. Det er her det kollapsar for meg. Ein advokat eller jurist må for f**n vite at ein ikkje kan avtale seg rundt lover. Det er difor vi har både Schrems I og Schrems II-domane.

Dersom EU og USA skulle forhandle fram ei Privacy Shield 2.0-avtale, skriv ho ut på smalt, mjukt papir, rull det saman og bruk det som toalettpapir. Du kan òg vente på ein Schrems III-dom som pulveriserer Privacy Shield 2.0. Som eg har sagt tidlegare er det berre ei løysing på denne gordiske knuten, USA må endre sitt lovverk.

Ryzen vs Intel

Eg har det siste året hatt ei Lenovo Thinkpad T14s AMD Gen 1 (med noko betre spesifikasjonar) på jobben. Under Windows 10 fungerte ho upåklageleg. Eg melde meg frivillig til ei testgruppe for å teste ut overgang til Windows 11. Oppgraderinga gjekk greit og maskina fungerte ei tid veldig bra. Med 6 kjerner og totalt 12 trådar var maskina ypperleg for virtuelle maskiner. Kali linux var veldig jamn og responsiv med 4 kjerner tildelt den virtuelle masina.

Sidan eg likar å halde ting oppdatert med nyaste drivarar og oppdateringer for mellom anna ivareta informasjonstryggleiken, syter eg for at BIOS, firmware, OS og applikasjonar er oppdaterte og eventuelle svakheiter er lukka. Du veit bonden fiksar gjerdet for å sleppe å sjå hjorten ete opp frukthausten. Eg held maskina oppdatert og sikker.

Under perioden med Windows 11 byrja maskina sporadisk å blåskjerma. Har også kollegaer som opplever det same. Sidan eg alltid vel å vere i forkant var eg ekstra påpasseleg med å oppdatere ho samt skifte til absolutt siste drivarar frå AMD. Det var av og til det gjekk lang tid mellom blåskjermane, men på torsdag kaste eg inn handklede. Etter to blåskjermar i løpet av kort tid fekk eg ny maskin.

No sit eg med Lenovo Thinkpad T14s Intel Gen 2 med ein Intel Core i5-1135G7 med 4 kjernar og 8 trådar. Eg merkar stor skilnad mellom Intel og AMD. Når eg køyrer den same virtuelle maskina på Intel, er det ikkje lenger snakk om ei jamn og responsive oppleving. Nei, det hakkar og det går saktare. Kali linux køyrer i eit virtuelt miljø. Justeringar eg gjer påvirkar ikkje det totale bilete noko. Windows 11 er fullt oppdatert og det er ikkje oppdateringar i bakgrunn som stel kreftene. Det er godt mogleg at det rett og slett blir for tungt for prosessoren. For meg er det klart at 11-generasjon Intel ikkje er like bra som Ryzen.

Vrøvl, Microsoft

Las artikkelen på Digi om Stockholm som finn det problematisk å ta i bruk Microsoft 365-portefølgjen som følgje av Schrems II-domen og gjeldande lovheimlar for etterrertning i USA. Eg har skrive ein del innlegg om dette i løpet av fjoråret. Spesielt er FISA 702 problematisk, men også Cloud Act blir drege fram.

Kort sagt kan Microsoft, som Electronic Communication Service Provider, bli pålagt å hente ut informasjon dei har lagra på eit ikkje-amerikansk individ utan å sei ifrå eller la vedkomande få moglegheita til å motsetje seg utleveringa. Kor informasjonen er lagra i universet er likegyldig. Den same problemstillinga gjeld andre skyleverandørar som kjem inn under definisjonen Electronic Communication Service Provider. Du får ikkje poeng for å gisse Google eller Apple.

Det som får blodet til å koke litt her er når Microsoft prøver å skyve denne problemstillinga under teppet:

Teknologi- og sikkerhetsdirektør Ole Kjeldsen sier til teknologiavisen at de har jobbet målrettet for å beskytte europeiske kunders privatliv. 

Han konstaterer at skytjenestene deres er i tråd med Schrems II-dommen.

Den siste setningen er rett og slett vrøvl, sprøyt, feberfantasi, usannheit og/eller rein løgn. Det endrar ikkje det fakta at Microsoft, som amerikansk selskap, er underlagt amerikanske lover der dei kan bli pålagd å levere ut data på eit ikkje-amerikansk individ. Microsoft står over for å eit dilemma: Dei kan velje å bryte amerikansk lov eller europeisk lov. Ein kan ikkje avtale seg rundt lover. Det er lett å konkludere med at Microsoft vel å ikkje bryte amerikansk lov. Her finn du statistikken på forespørslar/ordrar dei har handsama gjennom åra.

Microsoft 365, der du kan sjå informasjon i nettlesaren, f.eks. Office Online, betyr at informasjon vert handsame i klartekst. Det som vert vist til deg i nettlesaren er klartekst transportert til og deg i ein kryptert kanal over internett. Sjølv om informasjonen blir låst ned eller kryptert når den blir lagra hos Microsoft, betyr det at Microsoft har tilgang til nøkkelen for å låse opp informasjonen.

Det kan vere greit å ha på minne at «sky» er berre eit ord for nokon andre sin(e) datamaskin(er)!

Foto av Manuel Geissinger frå Pexels.com

Valet fall på Lenovo-berbar

Som følgje av arbeidet mitt med 4K-video av fotturane mine, oppgraderte eg for nokre år til stasjoner maskin. Stasjonere datamaskiner er langt kraftigare enn berbare maskiner. Og skulle du greie noko berbart i same klasse, ha på minne at kraftige saker i liten innpakning treng kraftig kjøling. Opp gjennom tidene har eg fått nok av berbare maskiner som høyres ut som hårfønarar når det røyner på.

Dei siste åra har kjøpt nokre berbare maskiner for å gjere nokre forsøk før eg har selt dei vidare. Ulempa med rimelege maskiner er at dei, med få unntak, har veldig dårleg skjermar. Oppløysinga kan vere full HD, men fargedekinga, lys og/eller kontrakst er elendig. Du kan risikere så sitje med ein skjerm fargestikk, f.eks. eit blåeleg skjer. Arbeid med video og bilete blir aldri bli bra på slike skjermar.

Det siste halve året har eg vurdert å kjøpe meg ei ny berbar maskin som er rimeleg kraftig med god skjerm. Det var ei lita stund eg lurte på om eg skulle gå for Apple Macbook Air eller Pro. Med den nye M1-prosessoren samt dei ekstremt gode skjermane virka det forlokkande, men det er også nokre ulemper. Eg må gå over frå Windows til MacOS og venje meg til eit nytt økosystem med operativsystem og applikasjonar. Prisen for maskine er høg. Skulle eg spesifisere Air med 16 GB og 512 GB SSD, henda prisen på rundt kr 17 000. Proen ville kome på over kr 20 000. Ei anna ulempe er at støtta. Vil du ha topp støtte og hjelp dersom problem oppstår, må du legge ut ytterlegare kr 2 800. Totalprisen for maskinene kjem då på rundt kr 20 000 eller godt over.

Dei siste 9 åra har eg nytta Lenovo Thinkpad på arbeid. Erfaringa med ulike modellar har etterlete eit solid og positivt inntrykk. Dei har berre fungert og byggkvaliteten har vore svært god. Oppfølginga frå Lenovo har vore eksemplarisk. Via Lenovo Vantage har ein programvarestøtte over mange år. Her kjem programvare, firmware og bios-oppdateringar til maskinene i mange år for å sikre du har ei velfungerande og sikker maskin.

Eg har lagt merke til at Lenovo har arbeidd seg opp i forbrukarmarknaden over åra. Ideapad Pro og Yoga-seriane har mang ei overbevisande maskin. Dei siste månadane har eg lagt merke til at dei har byrja å levere svært gode skjermar med maskinene. Dei er lyssterke, har høg oppløysing og god fargedekning. Det er 14″ med 2880 x 1800 (16:10) og 16″ med 2560 x 1600 oppløysing, begge med 16:10-forhold som gir større plass vertikalt til arbeid med dokumet eller lese nettsider. Eg har også lagt merke til at maskinene kan bli levert med ekstremt gode støtte og hjelp, f.eks. 2 år hjelp på staden. I tillegg vert dei levert med kraftige prosessorar. På min stasjonere har eg ein AMD Ryzen 7 3700X med 8 kjernar som kvar kan køyre 2 samtidige trådar (16 virtuelle prosessorar). AMD Ryzen 7 5000-serien har det same. Ein kan velje mellom U-serien, med lågt straumforbruk (15-25 watt), og lang batteritid eller H-serien (45 watt) med meir kraft.

Valet mitt enda opp på ein 14″ Lenovo IdeaPad 5 Pro til kr 8 749. Ordinær pris er kr 10 490. Eg synes den gav best balanse mellom kraft og berbarheit til ein god pris. Maskina kjem med ein AMD Ryzen 7 5800U, 16 GB minne og 512 GB lagring. Skjermen er på 2880 x 1800 punkt og er fantastisk. Fargane, lys og kontrast er god, langt betre enn det eg har vore van med. Gjenskin frå omverande lyskjelder blir redusert sidan skjermen ikkje er blank. Standard skalering i Windows var sett til 200%, men eg greier å køyre med 175% og får plass til meir informasjon på skjermen. Batteritida er veldig god. Variert arbeid med litt video på si gir 6-7 timar. Lett skrivearbeid med musikk på øyra gir lengre batteritid.

I annonsa står det at ho kjem med Windows 10 Home, men mi kom med Windows 11 Home. Ho har Windows Hello-kamera og eg kan logge på med ansiktsgjenkjenning. Det fungerer langt betre enn fingeravtrykklesing. Anten det er iPad, iPhone eller PC har det alltid fungert dårleg. Fingeravtrykka mine er ikkje «stabile» nok. Når det gjeld støtte frå Lenovo, kjem ho med 2 år støtte på staden. Får eg problem slepp eg sende ho nokon stad. Nokon vil kome til meg for å rette feil (på maskinvara). Feil på programvare fiksar eg sjølv.

Om eg skal dra fram noko negativt, kan det vere val ein har gjort på tastaturet. Home, Page Up, Page Down og End er ikkje separate tastar. Ein må bruke Fn + piltastane for å bruke dei. Mogleg kanten mot deg er litt i skarpaste laget. Eg merka det på ein hudfold som følgje av klokka på armen. Med klokka av armen merka eg det ikkje lenger. Begge deler er smårusk som eg venje eller tilpasse meg til.

Aketur: Eivaldgjerdemyri

Jula 2021 har hatt ein del gode dagar. Eg går mykje i Njøsadalen og registrerer at vaksne og ungar har teke med seg snøkjelken. I djup snø går ikkje slike alt for godt. Du treng god unnabakke. Det har vorte litt mindre snølag dei siste vekene og bil og traktorspor har kome til. I desse går snøkjelken betre.

Eg henta fram ein snøkjelke og gjekk inn dalen. På veg inn dalen tenkte eg på kva som kunne vere optimal start, Den kortaste alternativet eg hadde i tankane var å starte over Galdagrindi, ca 2 km inn dalen, der vegen flatar ut like før brua over til den gamle stien opp til Skagasete.

Eg valde å gå vidare og ved krysset mellom vegen frå Skagasete og Geitadalen, og valde å halde fram inn Geitadalen. Her gjekk eg ca 1/2 km til der vegen flatar ut, nokre hundre meter før Eivaldgjeremyri. Bilete under er for 2 år sidan og har noko meir snø enn i dag. Starten gjekk ved steinen du ser til høgre, ved vegen.

Like før eg starta kom det framover dalen ein snøscooter. Det var til stor hjelp sidan snøkjelken går betre på trakka snø. Eg greidde å kome lenger ut på nokre av dei litt meir flate partia nedover dalen. Det var vel berre knappe 50 meter etter Blomhola eg måtte hjelpe til.

Like etter Blomhola kjem du til det første partiet der du bør ta det litt med ro. Det er den bratte, feildoserte svingen ned mot Galdagrindi. For høg fart, gjerne i kombinasjon med litt isete underlag og du kan kome til å smake på bergveggen. Neste parti der du må ta det med ro vil vere nede i Vetlagjerdet. Like etter du passerer den gamle løa og starten på stien opp mot Åsen til Fadnastølen, skal du gjennom ein nesten 90 graders sving for å kryssa elva. Å køyre av brua og enda i elva ein iskald vinterdag er ikkje fristande for dei fleste.

Eg hadde ikkje med GoProen på aketuren, men her får du oversikt over den litt over 3 kilometer lange aketuren ut dalen: