En fremsynsanalyse for Cyberforsvaret - del 1

I artikkelen “Hva gjør egentlig Cyberforsvaret?" stiller jeg spørsmålet: Er Cyberforsvaret en IKT leverandør, en krigsmaskin i cyberdomenet eller en støttefunksjon til militære fellesoperasjoner? Svaret jeg kommer frem til er at Cyberforsvaret er alt dette, men fyller bare delvis disse rollene. Jeg viser også til en brokete historie med store og stadig raskere organisatoriske endringer der argumentasjonen for endringene dels er tilpasning til omgivelsene og dels er effektivisering og gevinstrealisering.

Hva gjør egentlig Cyberforsvaret?
Er du en av de som lurer på hva Cyberforsvaret egentlig gjør? Hvis ikke, er du kanskje en av de som har irritert seg over Cyberforsvaret når pcen ikke fungerer, når VTC en krasjer eller når du må bytte passord? Det er vanskelig å vise til noe empiri for å

I lys av Riksrevisjonens rapport om IKT-tilstanden i Forsvaret kan vi ikke si at disse endringene har vært særlig vellykket. MAST programmet som skulle fikse alle problemene innen IKT i Forsvaret gikk også i vasken. Nå gjør vi et nytt forsøk med Forsvarssektoren 24 (F24). Lykkes vi denne gangen? Jeg håper det, for hvis ikke risikerer vi å bruke fellesskapets penger feil. Det er alvorlig. Derfor bør vi gjøre alt vi kan for å fatte gode beslutninger om hvordan vi skal omsette pengene som tas fra andre sektorer i samfunnet og mates inn i forsvarssektoren gjennom ambisjonene som settes i den gjeldende langtidsplanen.

Spørsmålet jeg stiller denne gangen er hva Cyberforsvaret kan bli i fremtiden? Det er det ikke lett å finne gode svar på. Jeg finner ikke en visjon og jeg finner ikke et fremtidskonsept som kan fortelle meg svaret. Derfor stiller jeg først spørsmålet; Hvordan kan vi finne ut hva Cyberforsvaret kan bli i fremtiden? I denne artikkelserien skal vi se på fremsynsanalyse som verktøy for å understøtte strategiske beslutninger. Først skal vi se på fremsynsanalyse som konsept og metode, deretter, i artikkel to skal vi gjennomføre en fremsynsanalyse i konteksten av Cyberforsvarets langsiktige utvikling. Først noen refleksjoner.

Kort sikt eller lang sikt?

Jeg har lenge hatt et inntrykk av at vi jobber for kortsiktig i Forsvaret. Og det har slått meg hvor lang tid vi kan bruke på ubetydelige beslutninger om omstilling, og hvor lite tid vi kan bruke på store beslutninger som har langsiktige konsekvenser. Et relevant eksempel som er mye omtalt her på STRATAGEM er utdanningsreformen. Jeg var selv en del av utdanningsreformen og fikk med meg galskapen fra innsiden. Oppdraget var å spare penger, ikke å lage en god og fremtidsrettet utdanningsordning for Forsvaret. Vi tok samtidig et strategisk valg innen utdanning, bevisst eller ubevisst. Nå står vi her. Analysen og beslutningen kunne ha vært bedre.  

Det er kanskje noe kulturelt som fanger oss? Eksempelvis argumenterer Janne Haaland Matlary for at vi mangler en strategisk kultur og sikkerhetspolitisk bevissthet i Norge. Georg von Krogh argumenterer for at det benyttes for lite fremtidsanalyser i Norge. OECD sin rapport om norsk innovasjonspolitikk fra 2017 skriver at Norge i liten grad tar i bruk strategiske og helhetlige fremtidsstudier. Vi tar med oss disse indikasjonene og går videre.

I boken “De flinkeste slutter” beskriver Andre Mundal UD som en organisasjon som er ute av stand til å prioritere. Et eksempel som gjør inntrykk er satsingen på likestilling i UD. Likestilling ble satset på med to hele stillinger, 0,133% av arbeidsstyrken på 1500 personer.  Dette medfører uunngåelig at det blir lite kraft bak slaget i gjennomføring av vedtatte mål og ambisjoner. Som Mundal sier; “man rekker bare å være til stede over alt, ikke å faktisk gjøre noe”. Jeg kjenner meg igjen. Både i Forsvaret og i Cyberforsvaret er uttrykket “one man deep” mye brukt. Viktige funksjoner og prosesser har få eller til og med ingen ansatte. Vi har det veldig travelt og alltid mye å gjøre. Avstanden mellom realitetene og festtalene er stor.

Men dette er nok ikke unikt for Forsvaret og heller ikke et definerende trekk ved samtiden. Banfield konstaterte allerede i 1959 at organisasjoner som hovedregel

“...engage in opportunistic decision-making rather than in planning: rather than laying out a course of action which will lead all the way to the attainment of their ends, they extemporize, meeting each crisis as it arises”

Det er alltid en øvelse som skal planlegges og gjennomføres, det er alltid en omstilling som må gjennomføres, det er alltid et prosjekt som skal levere noe og det er alltid rapporteringsfrister som nærmer seg.  Banfield sier videre at planer er sjelden et resultat av nitidig analyse av handlemåter og konsekvenser, men at de viktigste beslutningene er et resultat av tilfeldigheter som oppstår i sosiale prosesser mer enn et bevisst og strukturert arbeid. Og akkurat den beskrivelsen stemmer veldig godt overens med mine erfaringer fra Forsvaret.

Grunnen til at organisasjoner ikke er særlig gode på å ta gode beslutninger kan være mange. En interessant vinkling kommer fra forsker Tor Sporsem som sier at det å spille dum kan være billetten til popularitet og klatring på jobb. De som spiller dumme unngår å stille de kritiske spørsmålene som ødelegger driven og den gode stemningen. Selv om prosjektet havarerte, som de i følge riksrevisjonen ofte gjør i Forsvaret, blir de lederne som har kjørt prosjektet i grøfta med positiv innstilling også valgt til å gjennomføre neste prosjekt. Nettopp fordi de utviste et optimistisk og positivt sinn, at det viste seg å være en fullstendig urealistisk oppfatning er av mindre betydning. I forbindelse med planlegging av øvelse Polaris/Gram for noen år siden var jeg svært kritisk til det jeg mente var dårlig planlegging av en del av øvelsen. En av mine kloke sjefer beroliget meg og sa med glimt i øyet at: “øvelsen blir gjennomført og jeg kan garantere at det blir erklært en suksess”. Han fikk rett.

Jeg tror mange kjenner på dilemmaet som oppstår mellom å fokusere på langsiktige utfordringer eller kortsiktige oppgaver. Det enkle er å tømme mailboksen, det vanskelige er å fordype seg i et problem som krever langsiktig innsats for å løses. Daniel Kahneman beskriver i boken “Thinking, Fast and Slow” om sin system 1 og system 2 teori. Denne teorien forsøker å  forklarer hvordan mennesker tenker og tar beslutninger ved å skille mellom to typer tenkning:

  • System 1 er raskt, intuitivt, automatisk og krever lite anstrengelse. Det baserer seg på tidligere erfaringer, mønstergjenkjenning og emosjoner. Dette systemet tar beslutninger uten bevisst refleksjon.
  • System 2 er langsommere, analytisk, bevisst og krever mer kognitiv innsats. Det er det systemet vi bruker for komplekse oppgaver, som å gjøre kalkulasjoner eller vurdere et vanskelig problem grundig.

Kahnemans teori viser hvordan beslutningstaking påvirkes av to typer tenkning, og ved å være bevisst på svakhetene i de ulike systemene kan man forbedre kvaliteten på beslutningene man tar.

Poenget med denne refleksjonen er at vi ofte står i situasjoner der vi kjemper med oss selv om å investere tid i langsiktige analyser der belønningen kanskje aldri kommer, men som er viktig for organisasjonen, og den kortsiktige innsatsen som gir umiddelbar positiv feedback, men som kanskje ikke er det beste for organisasjonen. I denne spagaten har jeg antydet at det er noe kulturelt, noe sosialt og noe kognitivt som vi bør være bevisste på.

Spørsmålet som melder seg er: Hvordan kan man gjøre en fremsynsanalyse som ikke er et resultat av tilfeldigheter, sosiale prosesser og eksisterende mentale modeller? Og har slike analyser noen verdi? For som vi får vite av Peter Drucker: “Culture eats strategy for breakfast”. Jeg skal på tross av alt dette slå et slag for fremsynsanalyse.

Fremsynsanalyse

Fremsynsanalyse er en metode som brukes til å forutsi og analysere mulige fremtidige utviklinger, trender og scenarioer. Metoden tar sikte på å forstå hvilke faktorer som kan påvirke fremtiden, og hvordan ulike utviklinger kan påvirke en bestemt sektor, organisasjon eller samfunnsområde. Sentralt i fremsynsanalyser er å identifisere trender og drivkrefter i de strategiske omgivelsene som påvirker den fremtidige konteksten organisasjonen må forholde seg til. Tidshorisonten i scenarioanalysen må være lang nok til at man kan frigjøre seg fra dagens situasjon og kort nok til at scenarioene oppleves relevante. Metoden er ikke nødvendigvis ment å forutsi fremtiden med sikkerhet, men snarere å gi et rammeverk for å tenke kritisk om ulike mulige utfall og hvordan man kan forberede seg på dem. Ut fra ulike scenarioer kan man stille seg spørsmålet: Hva bør jeg gjøre nå for å forberede meg på disse fremtidsscenarioene?

 

Figur 1: Framework Foresight

En forenklet modell av metoden vises i figur 1. Vi har allerede sett på historien til Cyberforsvaret i artikkelen hva gjør egentlig Cyberforsvaret. Nåsituasjonen for både Forsvaret og Cyberforsvaret er godt dokumentert gjennom Forsvarskommisjonen, Totalberedskapskommisjonen, Langtidsplanen, av Riksrevisjonen samt i en rekke FFI rapporter og andre interne dokumenter. Neste del av fremsynsanalysen handler om å identifisere de grunnleggende trendene i samfunnet. Her finnes en mengde gode kilder som vi kan støtte oss på. NATOs fire Strategic Foresight publikasjoner, EUs årlige fremsynsanalyse, FNs arbeid med fremsynsanalyse, egne trendanalyser utarbeidet for offentlig sektor eller av FFI, samt fremsynsanalyser gjennomført av våre nære allierte er eksempler på gode kilder. Vi må heller ikke glemme jobben som gjøres av EOS-tjenestene med å beskrive trusler og risiko i de årlige ugraderte publikasjonene. Når trendene er funnet og beskrevet innenfor det aktuelle domenet, i vårt tilfelle Forsvaret og Cyberforsvaret, grupperes trendene, omformes til drivere og reduseres ned til et håndterlig antall som til slutt representerer de fire til seks viktigste nøkkeldriverne. Disse driverne benyttes deretter til å generere fremtidsscenarioer. Deretter lages det indikatorer som man kan følge utviklingen innen for å kunne si hvilket fremtidsscenario man beveger seg mot.

Fremsynsanalyse kan hjelpe med å strukturere et problem og kan bidra til å forutse det usannsynlige. Prosessen med å identifisere og analysere drivkrefter og kombinere disse for å finne alternative utviklingslinjer, tvinger oss til å tenke på fremtiden på måter vi ikke er i stand til med å kun bruke egen ekspertkunnskap og intuisjon. Så har det verdi å drive på med dette for å finne ut hva Cyberforsvaret kan bli i fremtiden?

Bør vi drive på med fremsynsanalyse?

Det er fristende å konkludere med at det er jo fullstendig logisk at dersom man tenker gjennom hva som kan skje fremover så er man i stand til å gjøre bedre valg, uten å henvise til noen kilder. Det er jo den samme begrunnelsen vi bruker i operasjonsplanlegging. Fiendens mulige handlemåter legges til grunn for planlegging av egne operasjoner. Det gir felles forståelse for hva som skal oppnås, hvorfor det skal oppnås og hvordan det skal oppnås. Og viktigst av alt, det gir endringsberedskap når fienden velger en helt annen handlemåte enn den vi har lagt til grunn.

Peter Schwarts oppsummerer i boken “The art of the long view” med at:

“No matter what future takes place, you are much more likely to be ready for it - and influential in it - if you have thought seriously about scenarios".  

Han sier også at de fleste organisasjoner gjennomfører ikke slike prosesser fordi man tror at man ikke trenger det eller fordi man ikke har kompetanse til å gjennomføre det. Et annet viktig poeng er at slike analyser ikke er et substitutt for andre formelle planprosesser, men en tilleggsmetode som hjelper med å informere, ramme inn og kontekstualisere eksisterende formelle plan og beslutningsprosesser. Det finnes mange gode eksempler på bedrifter som har hatt stor nytte av fremsynsanalyser. Og det finnes mange gode eksempler der mangelfull innsikt om fremtiden har ført til dårlige beslutninger. Jeg støtter meg på World Economic Forum konkluderer med at “The world’s top companies are using strategic foresight — you should too”.

Oppsummering

Hva kan Cyberforsvaret bli i fremtiden? Svaret på dette spørsmålet er at ingen vet. Alternativt så er svaret at mange vet, men at det eksisterer en mengde helt ulike oppfatninger. Derfor bør vi finne ut av det.

Hvordan kan vi finne ut hva Cyberforsvaret kan bli i fremtiden? Det finnes metoder for å gjøre fremsynsanalyser, og det finnes eksempler på at dette er smart å drive på med. I tillegg finnes det en mengde gode kilder som kan benyttes for å gi kvalitet og relevans til analysen. Problemet vårt er spagaten mellom å investere tid og ressurser i langsiktige analyser samtidig som de kortsiktige problemene krever oppmerksomhet. I denne spagaten har jeg antydet at det er noe kulturelt, noe sosialt og noe kognitivt som vi bør være bevisste på.

Motivasjonen vår bør være at de beslutninger vi tar i dag vil gjøre Cyberforsvaret mer eller mindre relevant i fremtiden avhengig av utviklingen i strategiske omgivelser, kvalitet på beslutninger som fattes og evne til å gjennomføre det som besluttes.