Podcast: Cybermakt i møte med et digitalisert forsvar – muligheter og bekymringer. Ved Sjef Cyberforsvaret – 28.09.2021

Mandag 28. september 2021, gjestet Sjef Cyberforsvaret, generalmajor Inge Kampenes Oslo Militære Samfund, hvor han avleverte sitt foredrag med tittelen «Cybermakt i møte med et digitalisert forsvar – muligheter og bekymringer».

Kampenes har vært Sjef Cyberforsvaret siden 2017 og har gjestet Oslo Militære Samfund ved flere anledninger.

Under kan du lese foredraget.

Foredrag for Oslo Militære Samfund, 27.09.2021

Cybermakt i møte med et digitalisert forsvar – muligheter og bekymringer

Inge Kampenes,
Generalmajor,
Sjef Cyberforsvaret

Ærede forsamling. Generaler, admiraler. Gode kollegaer og partnere.

Det er nå to år siden jeg sist snakket om utviklingen innenfor Cyberforsvarets ansvarsområde i denne salen. Tidligere år så har jeg begynt med å oppsummere kjernen i de foregående foredragene. Det skal jeg ikke gjøre denne gangen – det er etter hvert for mye innhold å oppsummere, og det er på høy tid å legge fortiden bak oss og heller fokusere på fremtiden. 

Tittelen på foredraget er Cybermakt i møte med et digitalisert forsvar – muligheter og bekymringer. Jeg vil benytte innledningen til å presentere et bilde av Forsvaret under pandemien, fordi det er et utgangspunkt for å forstå hva vi har fått til med digitalisering i Forsvaret, og hvordan vi tenker om fremtiden og utviklingen på dette området. Så kommer jeg deretter til å svare mer konkret på dette med muligheter og bekymringer – selv om jeg må ta forbehold og si det er umulig å rekke over alt gitt tiden som er tilgjengelig.

————

De første tegnene på en epidemi i Kina var bekymringsverdige, men ikke noe som hevet øyenbryn i vesentlig grad på Jørstadmoen utenfor Lillehammer. Det var først når pandemien begynte å spre seg i et voldsomt tempo i Italia at vi ante konturene av at dette også kunne treffe Norge. 

Da de første tilfellene begynte å dukke opp i Norge startet vi i Cyberforsvaret å analysere hvilke konsekvenser sykdomsutbrudd kunne få for oss – selv om vi nok må erkjenne at vi hovedsakelig tenkte på vårt eget lokale ansvar, og ikke de større samfunnsmessige konsekvensene. Som resten av Forsvaret hadde vi ikke pandemiplaner liggende i en skuff som kunne hentes frem. Det var nok ingen som hadde tatt høyde for slike omfattende utfordringer. Med utgangspunkt i lokale planer for smitteutbrudd for andre sykdommer ble prosesser for å håndtere enkelttilfeller iverksatt, og risikoreduserende tiltak ble satt i kraft. Like fullt var vi ikke tilstrekkelig forberedt når de virkelige konsekvensene traff oss.

Det var viktig for oss å redusere risikoen for egen virksomhet. Vi er en organisasjon med mange små og sårbare fagmiljøer – og løsningen for vår del ble derfor å splitte kjernevirksomhet i fysisk adskilte team, og å beholde kritisk og operativ virksomhet, samtidig som vi sendte mindre kritisk personell på hjemmekontor.

Det, kombinert med statlige og kommunale regionale og lokale tiltak, ledet til en del utfordringer for oss. Cyberforsvaret har personell på om lag 50 lokasjoner rundt om i landet, og vi ivaretar om lag 350 geografiske lokasjoner og et høyt antall støtteoppdrag. I tillegg har vi løpende oppdrag i utlandet, med alt fra Kurertjenesten til deltakelse i så godt som alle militære utenlandsoperasjoner. Kort oppsummert så treffer innskrenkinger i bevegelsesfrihet Cyberforsvaret og vår virksomhet hardt.

Derfra stengte Norge ned. Først fullt ut i perioder, men også i forskjellige regioner til forskjellig tid. Forsvarets personell som ikke betjente kritiske samfunnsfunksjoner skulle jobbe hjemmefra. Og for de av dere som ikke kjenner oss fullt ut; Forsvaret har aldri hatt IT-tjenester som er dimensjonert for å kunne jobbe effektivt og sikkert utenfor Forsvarets kontorer – hvis vi ser bort fra de operative sambandstjenestene.

Heldigvis hadde vi sammen med Forsvarsmateriell jobbet en stund med å etablere slike tjenester, men dette arbeidet hadde vært preget av konflikter, manglende felles prioritering og stillstand. Pandemien gav oss det nødvendige sjokket som gjorde at vi la stridigheter, maktkamper og byråkratiet til side og sammen klarte å aksellerere arbeidet og lykkes med å rulle ut sikre og velfungerende IT-tjenester som møtte Forsvarets behov.

Like fullt var bekymringene mange i perioden. På den ene siden var det svært vanskelig å få tak i materiell til å støtte denne løsningen – for hele Norge etterspurte tilsvarende løsninger samtidig. Skolebarn måtte ha datamaskiner og iPader for fjernundervisning, ungdom trengte det samme for skole og fritidssysler og voksne hadde de samme behovene for å kunne jobbe. Kort oppsummert så var det en betydelig mangel på IT-utstyr i samfunnet.

Videre så vi konsekvensene av pandemien på den globale varehandelen. Personell var sendt hjem fra komponentfabrikker, fra fabrikkene som satte sammen materiell, fra logistikk- og transportfunksjoner og så videre og så videre. Det førte til at etterleveranser begynte å tørke opp, hvilket naturlig nok gjorde det krevende å dekke etterspørselen fra Forsvarets avdelinger og ansatte. Disse utfordringene sliter vi for øvrig med fortsatt – og de kommer nok til å henge over oss i mange år fremover. Jeg kommer tilbake til denne utfordringen når jeg senere skal snakke om verdikjedeangrep.

Det siste momentet som er viktig å fremheve når det gjelder pandemien er de digitale truslene, som nok er overførbar til andre typer kriser som nasjonalstater vil møte. På generelt grunnlag kan jeg si at det har vært mange som har søkt å utnytte seg av de utfordringene, den usikkerheten og den frykten som pandemien har ført med seg verden over. I stort har disse truslene fulgt pandemiens fremvekst. Kriminelle, aktivister og de som har sett seg tjent med å spre frykt og usikkerhet har fokusert hovedsakelig på de land og områder hvor pandemien har truffet hardest, og hvor frykten, usikkerheten og informasjonsvakuumet har vært størst.

Samtidig har pandemien drevet mange ut på hjemmekontor, og det er i seg selv en risiko. Når personell begynner å jobbe på nye lokasjoner utenfor kontoret, så er det mange sikkerhetsmekanismer som blir liggende igjen på kontoret. Det hadde vi også erfaringer med i Forsvaret. Av den grunn valgte Forsvaret å ikke gjøre unntak fra det etablerte sikkerhetsregimet under pandemien. Vi kunne valgt å åpne portene og finne løsninger for å knytte folk hjemmefra til de graderte IT-systemene og latt dem jobbe med graderte dokumenter på maskinene sine hjemme. Det gjorde vi ikke – nettopp fordi de langsiktige konsekvensene ved varig kompromittering hadde vært betydelige. 

Så er det slik at mange av de trusselaktørene som har hatt størst økning i aktivitet gjennom pandemien har vært kriminelle og aktivister – og disse gruppene har ikke nasjonens væpnede styrker som primærmål, men noe av det treffer også oss. Vi ser også at avansert statlig aktivitet har økt i perioden. Dels fordi kunnskapsbehovet ute i verden har vært stort, noe som har gitt seg utslag i økt etterretningsvirksomhet. Samtidig har også fremmede makter sett potensialet som ligger i usikkerheten og de endrede omgivelsene, og gjort forsøk på å skaffe seg tilganger til Forsvarets systemer. 

Kort oppsummert; en hver nasjonal krise gir både muligheter og utfordringer for Forsvaret. Det har vært langt flere utfordringer, men vi har også sett potensiale og benyttet oss av mulighetene pandemien har gitt oss. Med det bakteppet, som viser hvordan digitaliseringen av Forsvaret har utviklet seg de siste årene, og med bildet av hvordan kriser påvirker både digitalisering, trusselbildet og risiko går jeg videre til det egentlige temaet for foredraget; hvordan utviklingen av cybermakt påvirker det digitaliserte Forsvaret, og hvilke muligheter og bekymringer det leder med seg.

————

I denne utviklingen er det greit å starte med å bekrefte Cyberforsvarets oppgaver – og de er helt forenklet oppsummert med at vi skal understøtte Forsvarets oppdragsløsning med de IKT-tjenestene og sambandsleveransene Forsvaret trenger, og beskytte disse mot forstyrrelser og angrep i fred, krise og krig. I den videre utviklingen av virksomheten vår skal vi også få ansvaret for beskyttelse av de andre etatene i forsvarssektoren, og konseptuelt også utvide fokuset i retning av beskyttelse av Forsvarets digitale verdikjeder.   

Over de siste årene har digitaliseringen av Forsvaret skutt fart, og i årene som kommer vil digitaliseringen akselerere ytterligere. Det er mange grunner til det, men jeg skal fremheve tre primære drivere.

Den første driveren for digitaliseringen er behovet for å styrke Forsvarets operative evne. Gjennom styrket digitalisering kan vi forbedre operative prosesser, styrke samvirke mellom avdelinger og plattformer, og øke operasjonstempo og styrke situasjonsforståelse. I tillegg til å kjøpe mer avansert kjernemateriell som er digitalisert i utgangspunktet så må vi også digitalisere resten av Forsvaret for å evne å høste gevinstene i hele strukturen. For å popularisere det – en plattform som F-35 er bortkastede ressurser dersom ikke resten av Forsvaret kan utnytte sensorene og samvirke med den på bedre måter enn vi kan med F-16.

Den andre driveren er digitaliseringen av omgivelsene våre. Forsvaret er en del av det norske samfunnet, og utviklingen i samfunnet, våre omgivelser og hos våre allierte, forutsetter at vi evner å holde tritt med utviklingen. Når NATO satser tungt på digitalisering og teknologisk modernisering så vil det være umulig for Norge å sikte i en helt annen retning. Videre dikteres også mye av den forvaltningsmessige utviklingen av resten av det norske samfunnet. Både fordi våre samarbeidspartnere digitaliserer seg, men også fordi publikum som vi forholder oss til – vernepliktige for eksempel – får helt andre forventninger til Forsvaret som aktør i fremtiden.

Den tredje og siste driveren for digitaliseringen er behovet for å følge, utnytte og tilpasse oss den teknologiske utvikling. Om få år vil utviklingen innenfor områder som kunstig intelligens, virtuell virkelighet, maskinlæring og stordatabehandling åpne betydelige muligheter for Forsvaret. Den fjerde industrielle revolusjon har begynt å dreie utviklingen i verden og mulighetene er enorme. Utviklingen går raskere enn det vi helt evner å forstå. De som vil vinne frem i møte med denne utviklingen er de som allerede i dag begynner å innrette seg for å kunne følge utviklingen. Skal vi evne å høste gevinstene av stordatabehandling i fremtiden må vi allerede i dag begynne å opprette, samle og systematisere det datagrunnlaget som vi vil trenge i årene som kommer. 

Forskere predikerer allerede at anvendelsen av kunstig intelligens alene i fremtiden kan få like stor betydning for menneskeheten som introduksjonen av elektrisitet. Tenk gjennom menneskets tilværelse før og etter elektrisitet. Tenk gjennom elektrisitetens betydning ikke bare for oppvarming av hus og belysning, men også betydningen for industri, miljøet, fremkomstmidler og i praksis all teknologi som menneskeheten besitter og er avhengig av. En ny slik teknologisk disrupsjon vil revolusjonere livene våre – og som med elektrisiteten så vil vi ikke fullt ut forstå mulighetene og konsekvensene før lenge etter at teknologien er introdusert. Men det er også bekymringer for konsekvensene. Da som nå var det frykt for teknologien, og det var og er behov for reguleringer. Elektrisiteten revolusjonerte også militærmakten – til det punkt hvor militære organisasjoner, materiell og personell er avhengige av elektrisitet i fred, krise og krig for å kunne fungere og operere. Det samme vil altså gjelde kunstig intelligens.

————

For fem år siden, i 2016, erkjente NATO at cyberdomenet er et krigføringsdomene på lik linje med land, sjø og luft. Siden den gang har også space, eller verdensrommet, blitt introdusert av alliansen. Så det er nå fem operasjonsdomener, hver med sine særtrekk, særegenheter og autonome rammer. Men også med dype avhengigheter mellom domenene. De kan virke inn mot og påvirke hverandre, og man kan forsterke og understøtte operasjoner i ett domene ved bruk av effektorer eller kompenserende tiltak i andre.

Introduksjonen av Space-domenet er en utfordring for oss. Ikke minst siden det norske Forsvaret ikke har kommet spesielt langt i implementeringen av, og tenkingen rundt, cyberdomenet. Jeg skal ikke liste alle utfordringene våre i denne forbindelsen, men jeg skal gi ett eksempel. Forsvaret brukte mye tid etter bekreftelsen fra NATO i 2016 på å innsnevre domenediskusjonene til å handle om cyberoperasjoner. Hva er operasjoner i cyberdomenet? Vi landet på konklusjonen at det grovt sett koker ned til offensive og defensive handlinger. Offensive og defensive handlinger internt i det digitale rom, rettet mot Forsvaret eller mot en motstander. Mye av energien i diskusjonen ble fokusert på å snevre inn problemstillingen fremfor å gå militærteoretisk til verks og stille spørsmålet om hva dette domenet kan bety for oss. Det å koke introduksjonen av et nytt domene ned til offensive og defensive handlinger internt i domenet strider litt mot domeneteorien i seg selv.

La meg utdype med noen spørsmål. I det bildet, hvor passer effektorer i de tradisjonelle domenene som virker inn mot cyberdomenet – altså elektronisk krigføring, jamming eller fysisk ødeleggelse av IKT-infrastruktur? I det bildet, hvor passer effektorer som benytter cyberdomenet som bærer for å sikre langt mer effektive operasjoner enn tidligere – som informasjonsoperasjoner og psykologiske operasjoner? Og i det bildet hvordan passer effektoperasjoner som har som mål å påføre harde eller myke effekter i de tradisjonelle domene – være det seg i den fysiske dimensjon, informasjonsdimensjonen eller den kognitive dimensjonen av krigføring?

Konsekvensene av cyberdomenet er mange, og vi er et lite forsvar. Min bekymring er at vi ender i en situasjon hvor cyberdomenet blir ‘det glemte domenet’ i Forsvaret som følge av at vi hopper rett over på verdensrommet før vi har gjort en ordentlig jobb innenfor cyber. Og, igjen, avhengighetene mellom cyberdomenet og space-domenet er mange, så det vil være betydelige huller i det konseptuelle grunnlaget for romdomenet dersom cyber ikke er tilstrekkelig kartlagt før vi tar tak i et femte domene.

————

Forsvarets operasjoner er avhengig av cyberdomenet, og det er også slik at cyberdomenet og digitaliseringen leder til at Forsvaret har avhengigheter til andre deler av samfunnet. I langt større grad enn tidligere. Forsvarets digitale verdikjeder strekker seg gjennom forsvarssektoren, gjennom offentlige etater og aktører og videre til samarbeidspartnere, næringslivsaktører og sågar ned til enkeltpersoner når vi snakker om verneplikt, mobilisering med mer.

Det gjør at de operative leveransekjedene til Forsvaret er omfattende og komplekse. Det gjør også at operativ planlegging på operasjonelt og strategisk nivå er svært utfordrende. Det er i ytterste konsekvens utallige avhengigheter og sårbarheter som skal kartlegges og flettes sammen for å gjøre gode operative vurderinger av de digitale truslene mot Forsvarets operasjoner. Det stiller store krav til hovedkvarterene våre i årene som kommer, spesielt på operasjonelt nivå. 

Samtidig må vi erkjenne at vi har en kompetanseutfordring. De fleste i denne salen har et relativt distansert forhold til begrepene cyber og cyberdomenet. Det var ikke en del av hverdagen vår da vi vokste opp. Det var ikke et tema på befalsskoler, krigsskoler eller stabsskoler da vi fikk offisersutdanningen vår. Og mange av dem som sitter som planleggere og stabsoffiserer tilhører det som resten av samfunnet omtaler som den tapte generasjon når det kommer til digitalisering og forståelse for teknologien og dens muligheter og utfordringer. Ikke alle av oss, men en betydelig andel faller inn under den kategorien. Det er naturlig, men det er like fullt en stor utfordring.

Spesielt for det operasjonelle nivået er det derfor viktig å få tilført kompetanse og ekspertise for å forstå effektene man kan skape gjennom defensive og offensive operasjoner i cyberdomenet. Både sjefen for Etterretningstjenesten og jeg har derfor valgt å sende utvalgte offiserer og spesialister til Reitan for å hjelpe sjef FOH med å etablere et utgangspunkt for en cyber-celle i operasjonelt hovedkvarter. Jeg har tiltro til at det vil være et konstruktivt utgangspunkt som hovedkvarteret kan bygge videre på.

Vi står også overfor en annen kompetanseutfordring. For de fleste ansatte i Forsvaret så er det slik at de valgte karrierevei basert på helt annen kunnskap og interesse enn det digitale. Fremtiden, derimot, vil fordre et annet kompetansesett enn det fortiden gjorde. Ikke radikalt annerledes – vi trenger fortsatt mye av den samme kompetansen som vi gjorde tidligere i bunn, men vi trenger påbygging innenfor nye teknologiområder på toppen av dette. For fremtiden vil bringe inn nytt materiell, nye kapasiteter og nye utfordringer som fordrer bredere kunnskap og forståelse enn det fortiden gjorde. 

Dermed er det ikke snakk om å bytte ut det personellet vi har i dag. Vi trenger fortsatt etterretningspersonellet, sikkerhetspersonellet, sambandspersonellet, artilleristene og luftvernoperatørene. Men de må lære seg til å forholde seg til nye utfordringer, nye trusler og nye risikoområder for å kunne løse oppgavene sine, i tillegg til de tradisjonelle utfordringene.

Det samme gjelder for dem som forvalter personell, økonomi og eiendom, bygg og anlegg. Ergo er det ikke slik at de operative står i en særstilling her. Heldigvis tar Forsvarets høgskole dette på alvor, og det vil være fokus på dette i årene som kommer. Dessverre tar kompetanseheving tid, og vi vil derfor også måtte jobbe i flere spor enn bare det tradisjonelle utdanningssporet. Gjør vi ikke dette, så vil det ta 30 år før vi kommer i mål, og da har vi i mellomtiden hatt et irrelevant forsvar.

Fordelen Forsvaret har, rent konseptuelt, med implementeringen av kompetanse og forståelse ligger nettopp i vår utnyttelse og forståelse for domeneteori. Ihvertfall om vi tar denne teorien på alvor. Under årets Totalforsvarets cybersikkerhetskonferanse satte en representant fra Nasjonalt cyberkriminalitetssenter fingeren på problemstillingen – de har faktisk adoptert noe av domenetenkingen fra Forsvaret. «Ja», fremhevet representanten, «det er slik at vi har digital kriminalitet. Alle kriminalitetsområder kan ha digital utførelse, være det seg svindel, økonomisk kriminalitet, overgrepssaker eller hva det måtte være. Samtidig er det også slik at all etterforskning også har en digital side, enten det er i form av sporsikring, taktisk eller teknisk etterforskning». 

Med andre ord, som for Forsvaret, så gjør digitaliseringen og teknologiutviklingen at både nye trusler, nye utfordringer og nye muligheter åpner seg innenfor samfunnets bredere lag. Det digitale rom omfavner alle sider av samfunnet og Forsvaret, og vår domeneteori kan benyttes for å utvikle forståelse for dette.

————

Norge er, og vil forbli, et av de mest digitaliserte samfunn i verden. Det som er en utfordring for Forsvaret vil også være en utfordring for samfunnet i fremtiden. COVID-pandemien har vist oss at digitaliseringen gir oss betydelige muligheter, også i møte med tradisjonelle utfordringer. Når smitteutfordringen traff Norge var det nettopp teknologien og digitale hjelpemidler som gjorde oss i stand til fortsatt å fungere rimelig normalt som samfunn. 

Å jobbe hjemmefra var ikke optimalt, men for mange fungerte det helt greit der hvor alternativet var at jobben ikke ble gjort. Hjemmeundervisning for skolebarn har mange utfordringer, men er bedre enn at de ikke får skolegang. Videokonferanser har sine begrensninger, men er bedre enn ingen form for sosial kontakt. Og for mange ble behovet for kulturliv, idrett og underholdning dekket av digitale hjelpemidler – selv om mange skulle ønske de kunne vendt tilbake til de tradisjonelle ansikt til ansikt-utøvelsene på disse områdene.

For mange ble sågar pandemien en betydelig øyeåpner for hvordan fremtiden vil være. Så også for Forsvaret. Er det nødvendig å vende tilbake til kostbar og miljøfiendtlig reisevirksomhet når pandemien viste oss at veldig mange fysiske møter kan erstattes av digitale hjelpemidler og videokonferanser? Forsvarssjefens svar er nei. Må det tradisjonelle spørsmålet om kontorplassering og geografisk tjenestested ha så sterkt fokus i fremtiden? Ikke om vi får gode digitale løsninger for fjernarbeid – i hvert fall for funksjoner som ikke er operative.

Forsvaret viste at vi med hensiktsmessige og sikre sambands- og IT-tjenester kan lede og gjennomføre daglig drift og operasjoner distribuert. Altså at vi i liten grad trenger å sitte geografisk samlet for å fungere. Sågar bør erfaringen med pandemien være at vi ikke bør sitte samlet på grunn av smitterisiko. En distribuert ledelsesmodell kan med andre ord være helt essensiell i fremtidig drift og operasjoner.

Min spådom er at når vi, om 20 års tid, ser oss tilbake så kommer vi til å se et Norge og et Forsvar med et ganske tydelig skille markert rundt 2020 og 2021. Norge har hatt utfordringer under COVID-pandemien, og pandemien er heller ikke over så jeg tar et lite forbehold rundt det – men jeg tror Norge vil stå sterkere tilbake etter pandemien. Basert nettopp på hvordan vi evner å utnytte teknologi, prioritere ressurser og fokusere virksomheten vår.

En forutsetning for at vi skal stå sterkere etter pandemien er at vi evner å identifisere fordelene som fremkom gjennom pandemien og beholde disse, samtidig som vi går tilbake til normalen der hvor det er nødvendig. Det vil utfordre Forsvaret på mange måter, og det er flere av rutinene våre som må revurderes for fremtiden.

———— 30

Vi vil også være mer sårbare enn tidligere. Og vi vil være sårbare på andre måter enn tidligere. For på samme måte som at digitalisering og teknologi åpner for nye muligheter for det gode, så åpner det også for nye muligheter for dem som vil oss vondt.

Et eksempel fra justissektoren. Tidligere i år kom det melding om at et av selskapene som forvalter og formidler transaksjoner av digital valuta ble rammet av et digitalt angrep. Totalt ble 600 millioner dollar stjålet fra aktører verden over – formodentlig alt fra småsparere til store og rike aktører. Men la oss fokusere litt på tallet 600 millioner dollar. Det er en enorm sum penger. Om man skulle tilranet seg den type summer i fysiske pengesedler så hadde det vært snakk om mellom seks og sju tonn i hundredollarsedler. 70 tonn i 10-dollarsedler. Med andre ord så stort volum og så stor vekt at det hadde vært umulig å gjennomføre uten gaffeltrøkker og lastebiler.

Igjen, i den tradisjonelle verden, så hadde logistikkutfordringen med å tilrøve seg, frakte vekk og omsette den type summer vært nærmest en umulighet. I den digitale verden har summen ingen vekt, og kan fraktes frem og tilbake verden over, nesten uten spor, på sekunder. En kunne selvsagt sett for seg at en klarte å stjele verdier i verdipapirer eller edelstener, men sånt er så godt som umulig å omsette i dagens verden med internasjonalt finanssamarbeid. Men digitale transaksjoner er utformet for å være mest mulig anonyme og dermed svært krevende å spore. 

Selv om eksempelet er fra justissektoren, så er dette forhold som utfordrer samfunns- og statssikkerheten. Vi ser at totalitære regimer evner å finansiere sin alenegang og isolasjon gjennom digital kriminell virksomhet, og gjennom det skaffe seg tilgang til betydelige mengder med utenlandsk valuta som de ellers ville vært avskåret fra som følge av internasjonale sanksjoner og myke maktmidler. Gjennom å etablere seg som en digital trusselaktør evner de å omgå sanksjoner, opprettholde handlefrihet og motvirke internasjonalt samarbeid og sanksjoner på måter som gjør at de forblir en trussel mot verdenssamfunnet på andre maktarenaer. Jeg skal ikke trekke frem mange eksempler, men for de fleste er nok regimet i Nord-Korea det åpenbare.

Så disse nye truslene som vi møter som samfunn endrer på mange måter hvordan vi forstår risiko, og hvilke risiki vi kan utsettes for, men også det mulige omfanget som disse utfordringene kan få. Det er, med andre ord, en betydelig endring i trusselforståelse som må ligge til grunn for å forstå utfordringene i den moderne verden.

————

Vi har hørt det uttalt, også fra denne talerstolen, at det nye trusselbildet utfordrer måten vi forstår skillet mellom samfunnssikkerhet og statssikkerhet på. Cybertrusselen er kanskje den mest sentrale driveren for utviskingen av dette skillet. Cyberdomenet binder sammen samfunnet og staten – og cybertrusler mot det ene truer også det andre. Jeg skal utdype dette.

Forsvaret har over de siste årene gjort grep for å effektivisere mange logistikk- og støttefunksjoner. Strategiske samarbeidsrelasjoner med næringslivet har gjort at Forsvaret står langt mindre autonomt enn det vi gjorde tidligere. Det er en dyd av nødvendighet, og det gir oss mange fordeler. Men det gjør også at verdikjedene til Forsvaret er langt mer kompliserte – som nevnt tidligere.

Fra et cyberperspektiv så medfører det noen utfordringer vi må håndtere. Sårbarhetene til våre samarbeidspartnere har potensial for å bli en operativ risiko for Forsvaret. Digitale angrep på strategiske partnere, som er autonome rettssubjekter, kan medføre betydelige utfordringer for våre operasjoner, men også for den daglige driften av Forsvaret. Leverandører til Forsvaret kan også bli et sårbart punkt som motstandere kan benytte for å påvirke Forsvarets IKT- og sambandssystemer.

Vi har gjennom året som var sett noen spektakulære verdikjedeangrep. Det mest avanserte rammet det amerikanske IT-selskapet SolarWinds og ble kjent ved årsskiftet. Gjennom å ta seg inn i og manipulere programvareoppdateringen i et av selskapets produkter lyktes trusselaktøren å kompromittere opp mot 18,000 kunder som brukte programvaren til SolarWinds. Vi snakker da om brukere som Pentagon, det amerikanske utenriksdepartementet og finansdepartementet og Microsoft i tillegg til aktører verden over. Gjennom skadevaren som ble installert fikk trusselaktøren muligheter til å etablere egne tilganger og bakdører til kundenes IT-systemer som de igjen kunne benytte til å jobbe seg videre inn i systemene – til det formål de måtte ønske.

Igjen – om vi skal se dette i et mer tradisjonelt trusselperspektiv, så ville etterretningsoperasjonen som hadde vært nødvendig for å kompromittere så mange aktører verden over vært så godt som umulig. Det hadde krevd så enorme ressurser, og båret med seg så stor risiko, at det hadde vært urealistisk. I den moderne tidsalder kan det løses med å kompromittere ett sentralt ledd i en verdikjede. Enten verdikjeden er knyttet til fredsdriften eller til Forsvarets operasjoner i krise og krig.

————

Vi ser at det fjerde domenet åpner for maktanvendelse på nye områder, men også forsterker tradisjonelle operasjonsformer, eksempelvis informasjonsoperasjoner. Teknologien legger press på de rammene som vi lenge har oppfattet som stabile og kjente.

Men hva betyr egentlig dette for Forsvaret og for militære operasjoner i fremtiden?

Jeg legger til grunn at krigens natur er konstant, selv om krigens karakter endrer seg i tråd med utviklingen. Digitalisering, teknologisk utvikling og den generelle moderniseringen av samfunnene våre gjør at militærmakt tar nye former og gir oss nye utfordringer. Det er heller ikke nytt. Utviklingen av luftmakt, samband, atomvåpen, GPS-styrte presisjonsvåpen og langtrekkende kryssermissiler er alle eksempler på faktorer som har preget militærmakten og endret krigens karakter i vår levetid. 

Men kompleksiteten ved planlegging, ledelse og utførelse av militære operasjoner bli større. Dels som følge av nye trusselformer, men også fordi særkarakteristikken ved cyberdomenet gjør at en hver fremtidig konflikt må forutsettes å bli global, om ikke annet så fordi kriminelle aktører og aktivister vil engasjere seg i konflikter der hvor de finner det opportunt.

Det andre forholdet jeg vil fremheve er avhengighetene mellom det moderne Forsvaret og de digitale verdikjedene. De vil gjøre at enhver konflikt i fremtiden vil treffe bredere deler av det norske samfunnet. Det vil sette flere grunnleggende prinsipper på prøve, som eksempelvis distinksjonsprinsippet i folkeretten. Dette er ikke nytt for Forsvaret – den norske totalforsmodellen gjør at vi har erfaringer med disse kompleksitetene – men de vil være mer tilspisset i fremtiden og de vil fordre helt andre samarbeidsforhold mellom militære og sivile aktører i fred, krise og krig.

Sist men ikke minst så vil den styrkede digitaliseringen og teknologiske utviklingen av Forsvaret bety at fremtidens forsvar vil fordre en annen kunnskap, kompetanse og kultur enn tidligere. Det er som følge av at krigens karakter og Forsvarets operasjoner blir annerledes – slik jeg har redegjort for. 

————

Når vi da erkjenner at vi har utfordringer og at utfordringene blir større i årene som kommer, når vi erkjenner at vi har et problem som treffer oss i alle dimensjoner – fra individer, til virksomheter, til samfunnssikkerhetsdimensjonen og til statsssikkerhetsdimensjonen, når vi ser at trusselen er betydelig i dag og bare blir større i fremtiden: Hva er så løsningen? 

Jeg skal ikke driste meg til å svare utfyllende på dette spørsmålet. Det er et komplisert spørsmål som våre politiske ledere våre allierte og andre tygger på. Men jeg skal komme med noen refleksjoner.

Jeg tror det første og viktigste er at vi må erkjenne trusselen. Vi må forstå trusselen, forstå de mulige løsningene og gjøre tiltak for å aktivt forvalte risikoen som vi utsetter oss for. Det legger et ansvar på alle i en organisasjon, fra den enkelte ansatte og hele veien opp gjennom enhver virksomhet. Men ikke minst så legger det et ansvar på oss som er ledere. Ledere har generelt for lite kunnskap og forståelse på dette området, og jeg mener det er en unnlatelsessynd som henger over mange. Om dette med å gjøre aktive tiltak, så mener jeg: Put Your Money Where Your Mouth Is!

Kompetansebygging er en faktor som må være en del av løsningen, og dette vil måtte treffe oss alle. Forsvaret jobber allerede med å få digitale trusler og cyberdomenet inn i utdanningsporteføljen vår, men det vil være nødvendig for oss å gjøre kompenserende tiltak for dem som er både ledere og stabsoffiserer i dag. De skal ikke bli eksperter, men de trenger en grunnleggende forståelse for det fjerde domenet slik at de kan gjøre vurderinger og tiltak innenfor sitt felt. På samme måte som også hæroffiserer må ha kunnskap nok om luftdomenet til å forstå hvordan luftoperasjoner virker inn på landmakten.

Kompetanseproduksjon vil være en utfordring, og Forsvaret produserer i dag spesialister både i Cyberforsvaret og ved Cyberingeniørskolen ved Forsvarets høgskole. Dyktige unge soldater og befal. Men vi produserer ikke offiserer – og vår evne til å lede operasjoner i cyberdomenet i fremtiden bekymrer meg. Forsvaret trenger et personellkorps i balanse mellom spesialister og offiserer, i dag og i fremtiden, og den balansen har vi ikke i dag. 

Samfunnet generelt produserer heller ikke nok kompetanse innenfor dette området, spesielt når det kommer til sikkerhetspersonell. Samtidig leder digitaliseringen av samfunnet til at behovet stadig øker. Jeg er bekymret for at dette i fremtiden kan lede til at vi mister mye personell fra Forsvaret til samfunnet rundt oss. Bra for samfunnet, kanskje, men definitivt en utfordring for Forsvaret. Vi ser allerede i dag at dyktig cybersikkerhetspersonell er lønnsledende i mange sektorer i samfunnet – og det er tilsynelatende vanskelig for Forsvaret og staten å konkurrere om de dyktigste blant oss all den tid etterspørselen er langt større enn tilbudet i arbeidsmarkedet.

Når vi har et kompetanseunderskudd i samfunnet så setter det sektoransvarsprinsippet under press. Det er flere utfordringer der det digitale trusselbildet møter sektoransvarsprinsippet i Norge. Men, når kompetansemangelen blir betydelig så vil den enkelte sektor aldri ha ressurser nok til å kunne møte alle utfordringene. Jeg drister meg til å påstå at de færreste sektorer i Norge har forutsetning til å møte eller håndtere de mest avanserte trusselaktørene der ute alene. Like fullt ser vi at nettopp de mest avanserte retter sitt fokus på norske organisasjoner, offentlige og private virksomheter, og myndigheter. Og det er også viktig å ha i bakhodet at det trusselbildet vi ser i dag ikke er sluttilstanden for trusselutviklingen. Vi ser allerede i dag at offensive aktører i økende grad automatiserer sine offensive handlinger, og med utviklingen innenfor kunstig intelligens, stordatabehandling og maskinlæring så vil utfordringene for den enkelte sektor bare bli større. Vi må derfor tenke på hvordan vi skal evne å håndtere dette i en mer kompleks fremtid – ikke bare slik situasjonen er i dag.

Løsningen på kompetanseutfordringen er i stor grad samarbeid. Forpliktende samarbeid om forebyggende sikkerhet og tilpasset beste praksis for utøvelse av sikkerhetsarbeid. Samarbeid om erfaringsdeling og kompetansebygging hos hverandre, uavhengig av konkurranseforhold. Vi må samarbeide innenfor hendelseshåndtering og gjenoppretting etter hendelser – for det er en både ressurs- og arbeidskrevende jobb som ofte er vel så utfordrende som den initielle smellen når virksomheten blir angrepet og kompromittert. 

Under Totalforsvarets cybersikkerhetskonferanse for noen uker siden presenterte ledelsen for Østre Toten kommune sine erfaringer fra da de ble rammet av et betydelig cyberangrep fra en kriminell aktør tidligere i år. Det er én uttalelse som henger igjen hos meg etter redegjørelsen de ga, og det var som følger «Det er ingen nine one one som man kan ringe når sånt treffer oss». Altså ingen nødnummer, og ingen som svarer i møte med den type hendelse. Det er bekymringsverdig. For det er ikke slik at samfunnet ikke har ressurser. Den norske stat har mange aktører som kan bistå, gi råd eller være til hjelp. Men vi har ikke tilstrekkelige mekanismer på plass som sikrer at samfunnets ressurser finner hverandre. Det er en betydelig utfordring, spesielt fordi vi ikke har nok kompetanse til å dekke alles behov.

Jeg er så heldig og så privilegert at jeg har støtte fra de hemmelige tjenestene til å løse mine oppdrag. Etterretningstjenesten, Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet er uvurderlige støttespillere å ha på lag når trusselaktørene banker på døren. Etterretning, trusselvurderinger og sårbarhetsvurderinger er fantastiske verktøy når vi skal herde systemene våre, stanse trusselaktører eller i verste fall følge og kaste ut aktører som har trengt seg inn i systemene våre. Det kan være at disse ressursorganisasjonene også burde kunne støtte bredere lag av samfunnet – selv om det i seg selv er utfordrende som følge av graderingsnivå og juristiksjon.

————

Jeg tror jeg skal stanse oppramsingen av anbefalinger der, før jeg begynner å gå andre i næringen. Det er ikke Cyberforsvaret som skal løse utfordringene – hverken for et digitalt samfunn eller for helheten i et digitalt forsvar.

Løsningene må like fullt finnes, for det grunnleggende budskapet er fortsatt slik det har vært de siste årene: Digitaliseringen gjør oss sårbare, det høye teknologinivået vårt fører med seg nye trusselformer og et moderne forsvar må evne å håndtere både de utfordringene som vi tradisjonelt har stått ovenfor, så vel som de nye utfordringene vi erfarer i dag og som fremtiden bringer til torgs.

De siste årene har vi tatt grep for å tilpasse Cyberforsvarets organisasjon til dette nye virkelighetsbildet som jeg har beskrevet. Vi hadde en stor omstilling som ble fullført i 2018, og vi vil rundt nyttår avslutte en ny, større omstilling. Det høres ut som mye endring for en militær organisasjon, og jeg har forståelse for det synet. Samtidig forvalter vi det fagområdet i Forsvaret, og det faget i militærteorien, som er i raskest og mest radikal endring. Det stiller andre krav til oss med tanke på det å være i stand til, og å være villig til, å tilpasse og endre oss. 

Jeg føler meg priviligert som sjef Cyberforsvaret som har både ansatte og tillitsvalgte som ser og forstår behovene for endring, og når vi kommer til første januar så vil vi ha en organisasjon på plass som vil bringe oss langt nærmere å kunne håndtere både dagens og fremtidens utfordringer i godt samarbeid med strategiske samarbeidspartnere fra næringslivet. Ihvertfall det omfanget av utfordringene som vi har evnet å se og kartlegge der vi står i dag.

Det er viktig, fordi fremtidens krig og fremtidens konflikter kommer ikke til å være identisk med gårdagens. Militærmakten og militærteorien endrer seg som følge av teknologiutviklingen, og som følge av digitaliseringen av Forsvaret, våre allierte og våre mulige motstandere. Det eneste jeg kan si med sikkerhet er at fremtidens konflikt kommer til å være preget av at krigens karakter har endret seg. Det betyr at vi også må endre oss for å være relevante for det som fremtiden måtte bringe av utfordringer.

Takk for oppmerksomheten! Jeg vil være tilgjengelig for spørsmål, dersom ordstyrer tillater det.