Trussel- og risikovurderinger i 2025: Har din virksomhet orden i eget hus?

Det er avgjørende at både offentlige og private virksomheter iverksetter nye og skjerpede tiltak for å beskytte seg selv og nasjonale sikkerhetsinteresser. Dette innebærer å være forberedt på scenarioer som tidligere virket utenkelige, som ødeleggelse av kritisk infrastruktur og sabotasjeaksjoner.

De største sikkerhets- og etterretningstruslene for Norge er fremdeles Russland og Kina. Norge vil bli utsatt for både fysiske og digitale etterretningsoperasjoner fra utlandet som krever økt årvåkenhet fra oss alle. Som en ny trussel peker PST også på risikoen for sabotasjeaksjoner fra Russland utført av proxy-aktører i Norge, altså personer eller organisasjoner som utfører oppdrag uten å ha formell tilknytning etterretnings- og sikkerhetstjenester eller andre myndighetsorganer. Planlagte aksjoner fra proxy-aktører kan være vanskelige å avdekke fordi forbindelsen til oppdragsgiveren kan være godt skjult.

NSM understreker at virksomheter må prioritere forebyggende tiltak og beredskap for å redusere risikoen for sabotasje og innsidevirksomhet. Dette inkluderer å kartlegge egne verdier og avhengigheter, styrke deteksjonstiltak og øke årvåkenheten, og etablere gode varslingsrutiner. NSM anbefaler også å øve på beredskapsplaner for å sikre rask respons og gjenoppretting ved bortfall av kritiske innsatsfaktorer som kraft og internett. 

Dessuten bør norske virksomheter styrke arbeidet med personellsikkerhet for å forhindre innsidevirksomhet, blant annet gjennom å bevisstgjøre alle ansatte om innsidetrusler, metoder som benyttes for rekruttering av innsidere og hvordan man kan avdekke innsidevirksomhet. Samtidig er det viktig å sørge for at virksomhetenes tiltak for personellsikkerhet overholder andre krav arbeidsgiver er forpliktet av, herunder personvernlovgivningen, reglene om kontrolltiltak i arbeidsmiljøloven og restriksjonene i likestillings- og diskrimineringsloven.

Gjennom anskaffelser kan fremmede aktører skaffe seg tilgang til kritisk informasjon fra norske virksomheter. Anskaffelsesprosesser må derfor utformes for å forhindre denne sikkerhetsrisikoen. Det innebærer å integrere sikkerhetshensyn i alle faser av anskaffelsesprosessen, fra risikovurdering av leverandører til etablering av strenge kontraktskrav. 

Videre bør det gjennomføres grundige risikovurderinger for å velge riktige sikkerhetstiltak, og relevante sikkerhetskrav må fremgå av konkurransevilkår og kontrakter. Det er også viktig å sikre en kontinuerlig flyt av oppdatert informasjon om endringer som påvirker risikovurderinger, samt å ha oversikt over hele leverandørkjeden. Oppdragsgivere bør etablere mekanismer for å følge opp leverandører og sikre at tilgang til skjermingsverdige verdier opphører ved kontraktslutt.

Det digitale risikobildet er i konstant endring, og cyberoperasjoner utgjør en betydelig trussel. Virksomheter bør kartlegge alle IT-systemer og redusere sårbarhetsflater ved å installere sikkerhetsoppdateringer kontinuerlig. NSM anbefaler også å gjøre gode kartlegginger av egne leverandørkjeder og iverksette tiltak for å redusere risikoen fra leverandørkjedene. Det er også viktig å sikre at servere som leverandører har tilgang til, ikke kan benyttes for uautorisert tilgang til andre systemer.

Kunstig intelligens (KI) kan både være en ressurs og en risiko. Virksomheter bør designe KI-modeller med sikkerhet i fokus og sikre leverandørkjeden under utviklingen av KI-verktøy. Ansatte bør gjøres kjent med trusler og risiko for phishingforsøk som bruker KI-generert innhold.