Som vi har sett av årets trusselvurderinger blir det europeiske trusselbildet stadig mer alvorlig i takt med økt stormaktsrivalisering. Ut av dette tegner det seg også et stadig tydeligere mønster: Flere og flere offentlige og private virksomheter trener på, og tar i bruk prosedyrer og rutiner som stammer fra etterretningsfaget. Dette skjer dels for å sikre virksomhetenes egne verdier og leveranser i en usikker tid. Men også for å få en dypere og mer nyansert forståelse av hvordan egne verdikjeder og egen verdiskaping påvirkes av et uforutsigbart globalt trussellandskap.
Den økte interessen for trening på og implementering av etterretningsanalyse og etterretningsprinsipper (heretter e-prinsipper) er positivt. Dette er fordi offentlige og private virksomheter får økt redundans og motstandskraft i samfunnet som gjennom ulike totalforsvarsordninger forbereder seg på kriser og krig. Dette fenomenet går som en rød tråd gjennom mine egne forskningsarbeider. I denne artikkelen vil jeg derfor redegjøre for hvorfor offentlige og private organisasjoner kan dra nytte av å bruke e-prinsipper.
Det tradisjonelle etterretningsarbeidet gjøres oftest av klassiske maktorganer i statsapparatet, som for eksempel Politiets sikkerhetstjeneste (PST) i justissektoren eller Etterretningstjenesten i Forsvarssektoren. Poenget med dette har vært å gi den politiske ledelsen og de utøvende departementene og etatene mer innsikt i hvilke trusler landet står overfor, og eventuelt varsle om nært forestående angrep.
Men de siste tiårene har det vært en gradvis økning i kommersielt kjøp og salg av etterretningstjeneste. Dette gjelder særlig innenfor cyberdomenet. For ettersom stadig flere private og offentlige virksomheter tar i bruk billigere, mer avansert og brukervennlig IKT i egen verdikjede, øker samtidig behovet for å forstå hvilke trusler som kan ramme virksomheten. Stadig flere direktorater og etater, som for eksempel Skattedirektoratet og Tolletaten, har derfor etablert egne etterretningsseksjoner- eller avdelinger. Det samme gjelder for samfunnskritiske tjenester innenfor tele, helse og finans.
Etterretningsarbeidet handler i grovt om fire forhold: å styre etterretningsressursene i riktig retning, å gjennomføre en effektiv innhenting og prosessering, en påfølgende klok analyse & vurdering, og til sist – en presis formidling om trusler, eventuelle mottiltak, og potensielle muligheter. En av hovedoppgavene blir dermed å redusere usikkerheten til beslutningstakerne, og styrke sikkerheten rundt egne kritiske sårbarheter. I privat og offentlig sektor kommer dette konkret til uttrykk gjennom stadig mer detaljerte og dyptpløyende rapporter om trussellandskapet og risikovurderinger om egen digital infrastruktur. Målet er å gi beslutningstakere en best mulig situasjonsforståelse slik at beslutningene som tas blir så kloke, veloverveide og helhetlige som mulig.
I dette ligger altså ønsket om å kunne ta proaktive og kloke valg i uforutsigbare omgivelser. Etterretning handler dermed ikke bare om å forstå trusselbildet. Vel så mye handler etterretningsarbeidet om å forstå mulighetsrommet, altså hvilke valg som må tas for å øke eget handlingsrom og derigjennom styrke virksomhetens egen fremtid. Mens man i militær sammenheng ofte fokuserer på en motparts kapasiteter (evne) og hensikter innenfor en geopolitiske ramme, vil det i næringslivet handle mer om å kartlegge markedsdynamikken, den teknologiske utviklingen (for eksempel Kunstig Intelligens (KI)), konkurrentenes aktiviteter, samt et bredt spekter av mulige fysiske og digitale utfordringer.
Hvorfor kan organisasjoner trenge etterretning?
Gitt de enorme sikkerhetspolitiske endringene Europa har opplevd i kjølvannet av det russiske angrepet på Ukraina i februar 2022, som for eksempel brudd på gassforsyningslinjer og kommunikasjonskabler og de endrede handelsvilkårene mellom USA og verden, er nettopp evnen til å ta velinformerte beslutninger blitt enda viktigere. Virksomhetenes beslutninger, enten de er i offentlig eller privat sektor, krever en vedvarende god situasjonsforståelse – om så vel trusselbildet som eget mulighetsrom. Ikke minst ettersom selv små usikkerheter potensielt sett kan gi store ringvirkninger på omgivelsene.
I min «dagjobb» i Nordisk Finans CERT (NFCERT) bruker vi aktivt e-prinsipper i vår jobb med å beskytte sektoren. NFCERTs sluttprodukter gir finanssektoren kunnskap om hvordan de selv kan forstå sine egne risikoer i lys av det relevante trusselbildet. Eksempler på dette kan for eksempel være potensialet for, eller skadeomfanget av, et mulig cyberangrep, eller hvordan geopolitiske endringer rundt om i verden kan påvirke DDoS (Distributed Denial of Service) aktiviteten til hacktivister (hacker + aktivist). E-prinsippene kan også synliggjøre virksomhetens muligheter, som for eksempel betydningen av å inngå et strategisk partnerskap med en konkurrent, eller å ta i bruk kunstig intelligens (KI) innenfor ett eller flere virksomhetsområder. For eksempel, en organisk etterretningsenhet som sitter tett på ledergruppen setter dermed ledelsen bedre i stand til å tenke proaktivt og strategisk fordi planleggingen blir mer presis, reaksjonene mer kalibrert opp imot problemene, samtidig som fleksibiliteten ivaretas ved raskt å kunne utnytte oppdukkende muligheter man ikke hadde sett på forhånd. Denne logikken er allmenn – og den er svært viktig i en bredere totalforsvarssammenheng.
For mange virksomheter er en av de fremste grunnene til å bruke e-prinsipper nettopp muligheten til å redusere usikkerhet. Militære etterretningsavdelinger jobber i noen av de mest uforutsigbare omgivelsene som finnes, og deres systematiske tilnærming til innsamling, bearbeiding og analyse av informasjon har reddet utallige liv og store samfunnsressurser. Selv om utfordringene i privat og offentlig sektor sjelden er direkte knyttet til liv eller død, står likevel betydelige verdier på spill. Alt fra kapital og aksjonærenes tillit, til omdømme og konsekvenser ved brudd på sanksjoner, kan få konsekvenser. Gode etterretningsmetoder gjør det mulig for organisasjoner å se forbi de mest umiddelbare utfordringene. Snarere kan det utarbeides scenariobaserte planer som tar høyde for mulige overraskelser. Ved å vurdere og foreslå hvordan andre aktører kan reagere på en geopolitisk endring, mulige konsekvenser av nye lover og regler, kan etterretning gi et solid fundament for strategisk planlegging og risikoreduserende tiltak.
I militære organisasjoner kan trusler blant annet dreie seg om militære styrkers evner (kapabilitet) og hvor mange de er (kapasiteter). Det kan også handle om å få oversikt over skiftende eller uklare alliansekonstellasjoner, eller hvordan nye teknologier kan påvirke den etablerte maktbalansen. I næringslivet handler det ofte om regulatoriske endringer. Eksempler på dette er NIS2 (Network and Information Systems Directive 2) eller DORA (Digital Operational Resilience Act, spesifikt for finanssektoren), industrispionasje fra konkurrenter, cyberangrep fra organiserte kriminelle, eller mer sofistikerte former for spionasje, påvirkningsoperasjoner eller digitale angrep fra fremmede makter. Like viktig som evnen til å identifisere trusler er evnen til å fremheve potensielle muligheter. En velfungerende etterretningsprosess kan for eksempel gjøre egen virksomhet i stand til å overvåke utviklingen, for deretter å ta proaktive grep i forkant av situasjoner som mest sannsynlig vil eskalere. En velfungerende E-funksjon kan dermed være en styrkemultiplikator; et instrument som muliggjør nye vekstmuligheter, nye partnerskapsavtaler, eller ny produktutvikling. Resultatet er uansett det samme: En proaktiv holdning der egen virksomhet ikke bare forsvarer egne interesser på defensivt vis – men aktivt utvider eget handlingsrom i et landskap som blir mer og mer sammensatt og uforutsigbart.
Ved å fokusere på både hva motstandere kan gjøre (deres evner og størrelse) og hvorfor de gjør det (deres motiver og intensjoner), blir etterretning et kraftfullt verktøy for å styrke egne beslutningsprosesser. Denne todelte forståelsen, som er et bærende prinsipp i etterretningsfaget, kan overføres sømløst til privat og offentlig sektor. Når en organisasjon vet at en motstander (organisert kriminell eller statlig aktør) ikke bare har kapabilitetene (evnene) og kapasitetene (størrelsen) til å lansere en kampanje, men også en klar intensjon og motivasjon om å gå målrettet mot organisasjonens interesser, blir det langt enklere å respondere med kalibrerte og nøye avstemte mottiltak. Samtidig kan etterretningen avsløre situasjoner der en aktør mangler de nødvendige ressursene eller gjennomføringskraft. Da kan nettopp dét være et godt tidspunkt for å gjennomføre egne tiltak, i et mer fremoverlent operasjonsmodus. Over tid fører denne kompetansen til langsiktige «konkurransefortrinn» og en mer selvsikker tilnærming til strategiske valg.
Men en sak har alltid flere sider, og sånn er det også med etterretningsarbeidet. Til tross for styrkene finnes det en rekke begrensninger. En av dem er den konstante og dyptgripende usikkerheten om hva de neste dagene, ukene, månedene eller årene vil bringe. Det kan skje overraskelser og dramatiske hendelser som ingen kunne spådd på forhånd. Og dét understreker virksomhetenes behov for tilpasningsdyktighet og alternative planer. Organisasjoner og myndigheter har mange ganger feilberegnet situasjonen på grunn av overdreven tro på tilsynelatende sikre prognoser. En balansert etterretningskultur krever derfor både ydmykhet og en robust plan for hva man gjør dersom situasjonen plutselig endres. De geopolitiske endringene Europa har vært vitne til de siste årene, samt globale konflikter og teknologiske omveltninger, viser hvor viktig det er å holde seg à jour slik at egne beslutningsgrunnlag alltid er oppdaterte.
Det er også en utbredt misforståelse at etterretningsanalytikere alltid vil treffe bedre med sine spådommer enn folk uten spesialkunnskap. Visse etterretningsanalytikere har riktignok et solid grunnlag i historikk, strategi, cyber, KI, og geopolitikk. Likevel viser det seg at selv de mest erfarne ekspertene tar feil. Blant annet fordi de ofte preges av biaser, som for eksempel forutinntatte meninger man forsøker å bevise (confirmation bias) eller gruppetenking (groupthink). Gode analytiske evner, streng metodisk tilnærming, samt gode ferdigheter i å kommunisere skriftlig og muntlig med et klart og presist språk, er fortsatt helt avgjørende. Særlig viktig er det å oppmuntre til kritisk tenkning og bevisstgjøring av egne fordommer, oppfatninger og holdninger som ellers vil gi etterretningen en følelsesladet og unyansert slagside. Her kommer trening på og anvendelse av strukturerte analytiske teknikker (SAT) til sin rett. Det er ikke bare i Forsvaret man kan finne SAT kurs. Dette tilbys også i det private og er noe flere private og offentlige organisasjoner har sendt noen av sine ansatte på de siste årene.
Dersom en organisasjon blindt stoler på ekspertene uten intern kvalitetssikring, kan det fort oppstå feilvurderinger. En viktig erfaring fra så vel invasjonen av Irak i 2003 som fra invasjonen av Ukraina i 2022 er derfor å invitere til diskusjon, legge metodene på bordet, og fremme en åpen og transparent arbeidskultur i hele beslutningssystemet. På den måten øker sannsynligheten for at feil fanges opp i tide, og at beslutningene som tas bygger på en objektiv og faktabasert situasjonsforståelse som er forankret på et høyt faglig nivå.
Et spesielt fenomen, gjerne kalt “Etterretningsparadokset,” illustrerer en situasjon der vellykket etterretning kan fremstå som bortkastet i etterkant. Dersom et militært etterretningsmiljø varsler om en kommende trussel, og myndighetene iverksetter tiltak som forhindrer at den realiseres, kan det i ettertid synes som om trusselen aldri var reell. Det samme kan skje i privat og offentlig sektor: hvis en organisasjon investerer tungt i sikringstiltak mot et fryktet datainnbrudd, men alt forblir rolig, kan omverdenen mene at slik sikring var unødvendig og kanskje vurdere å redusere budsjettene. Dette til tross for at det nettopp var disse tiltakene som avverget et potensielt datainnbrudd. Paradokset understreker betydningen av inngående forståelse for e-faget, god dokumentasjon og kontinuerlig bevisstgjøring av hvorfor e-prinsippene bør følges, slik at man ikke undergraver viktigheten av langsiktig, proaktiv sikkerhet.
Konklusjon
Denne artikkelen har på en overordnet måte beskrevet hvordan etterretningsprinsipper kan brukes i offentlige og private virksomheter. Nytteverdien av dette er åpenbar siden offentlige og private virksomheter er byggeklossene i et robust og velfungerende totalforsvar. Omgivelsene og trusselbildet som preger Europa gjør dermed at aktører med samfunnsansvar i Norge ikke kan overse verdien av etterretning som beslutningsstøtte.
Til dét er Norges strategiske risiko for høy siden landet er plassert tett på noen av verdens mest avanserte atomstyrker på Kolahalvøya, samtidig som Norge også er en strategisk energileverandør til det europeiske kontinentet og viktige NATO-land. Metodene som i en årrekke har støttet nasjonal sikkerhet kan like effektivt brukes til å verne om organisasjoner i privat og offentlig sektors interesser og identifisere muligheter. En ledelse som tar i bruk e-prinsippene vil lettere kunne spisse den strategiske visjonen, gi ansatte tilgang til pålitelig og relevant informasjon og etterretning, og skape en organisasjonskultur der risiko håndteres proaktivt. Selv om usikkerhet og prediksjoner som kan være feil alltid vil være en del av bildet, gir en metodisk tilnærming til etterretning det beste utgangspunktet for å oppnå gode resultater over tid. Ved å koordinere innsats internt og med leverandører, investere i relevant teknologi, bygge gode partnernettverk og verne om den analytiske integriteten, kan organisasjoner i privat og offentlig sektor bruke etterretning aktivt for å navigere potensielle trusler, beskytte interesser og innovere på et nivå som gjør organisasjonen til en varig suksesshistorie. Dette er med på å bygge robusthet og øke totalforsvaret av Norge.
Foto: Forsvaret.no
