Hva har kultur å si for manglede cyberberedskap i Forsvaret?
I artikkelen Hvorfor er Forsvaret sårbare for cyberoperasjoner? konkluderte jeg med at hovedårsaken skyldes etatens styringsmodell: en ledergruppe med 14 ulike forsvarsgrener og driftsenheter; en innretning som inviterer til rivalisering, maktkamp og dårlig samarbeidsklima. Dels fordi IKT-systemene som skal generere operativ synergi går på tvers av etablerte roller og ansvarsforhold. Og dels fordi smale faginteresser trumfer helhet og sammenheng.[1] Ingen taper mer på organisatorisk fragmentering enn Forsvaret selv, som med knappe ressurser ikke får skapt et operativt «system-av-systemer» der luft-, sjø-, land- og cyberdomenet spiller hverandre gode. Men jeg antydet også at det finnes andre årsaker enn bare toppstyrte styringsmodeller. Forsvarets digitale sårbarhet kan også skyldes forhold som ligger dypt gjemt i hver og en av oss: i måten vi opptrer på i møtet med kolleger, i møtet med sjefer, i møtet med operative plangrupper og administrative stabsprosesser. Vi snakker om kultur: innarbeidete praksiser, meningsfellesskap, kollegiale forventninger, uformelle «sånn-gjør-vi-det-her» regler, nedarvede prosedyrer og driller. En rekke småting som bare «sitter i veggene» uavhengig av tid og rom. Hva som er militærfaglig «rett» og «galt», hva det er verdt å samarbeide med andre om, og hvordan fellestenkning skjer på tvers av luft-, sjø-, land- og cyberdomenet, påvirkes av i stor grad av hvordan vi selv, de små fagmiljøene våre, forsvarsgrenen og sjefene over oss opplever situasjonen.
Kultur som forklaring
Skal vi forstå Forsvarets sårbarhet i et stadig mer digitalisert operasjonsområde må vi med andre ord trekke kulturelle årsaksforhold inn i analysen. Dermed får vi frem flere nyanser enn hva den militære styringsmodellen isolert sett representerer. Forsvaret er nemlig ikke bare et toppstyrt verktøy for Forsvarssjefens ledergruppe; et fintunet og nøye avstemt styringsverktøy som ut ifra kloke, veloverveide, militærfaglige mål-middel analyser i Oslo beordrer luft-, sjø- og landmilitære enheter til å «slå hæla sammen og sette i marsj». Snarere tvert om. Innad i de mange små og sårbare kompetansemiljøene i etaten finnes det en rekke unike sosiale miljøer (Selznick, 1957, s. 20). Disse miljøene er overraskende sterke. Dermed har miljøene også stor påvirkningskraft, særlig når det gjelder å bestemme fart og retning på Forsvarets digitaliseringsarbeid. Disse miljøene må følgelig også tas med i betraktning, enten de befinner seg i de store hovedkvarterene på Haakonsvern, Bardufoss eller Rygge. Eller på mindre steder, som på Skjold, Andøya, Kjeller, Banak eller ved Grense Jakobselv. For alle organisasjoner lever sine egne liv. Uskrevne normer, regler og forventninger legger nemlig sterke føringer for hva som er akseptabel adferd, enten du er sjøoffiser i Bergen, spesialist i Trondheim eller grenader på Rena. Disse uformelle adferdsmønstrene tenker vi kanskje ikke over til daglig, med mindre vi kommer i prat med, eller i en heftig diskusjon, med en mer outrert kollega fra en annen forsvarsgren. Men vår egen oppfatning av hva som er rett og galt utgjør selve kulturen i enhver organisasjon. Kultur er imidlertid et diffust begrep som det er vanskelig å konkretisere. Men det vi snakker rom er «[…] a fairly stable set of taken-for-granted assumptions, shared beliefs, meanings, and values that form a kind of backdrop for action» (Smircich, 1985, s. 58).
Intern spenninger og samarbeidsproblemer
Når vi forsøker å forstå hvorfor et forsvar med 14 selvstendige driftsenheter har problemer med å gå i takt, og bli enige om hvordan de best kan inngå i et IKT-fellesskap som skaper synergi og helhet på tvers av grenvise kjerneoppgaver, må vi dukke ned i etablerte normer og tradisjoner. Vi snakker om særegne forsvarsgrenvise doktriner og prosedyrer, men også uskrevne tommelfingerregler og forventninger om hva som bør gjøres i helt konkrete situasjoner. For eksempel når Brigade Nord utsettes for jamming eller mister forbindelsen til omverdenen. Eller når de nye F-35 jagerflyene blir stående på rullebanen på Evenes fordi nettverksforbindelsene til radarsystemene og CAOC’en ikke virker. I en digital hverdag, der egne kommando- og kontrollsystemer er High Value Targets på russiske mållister, må vi ta for gitt at slike situasjoner raskt vil oppstå. Men at styrkene som skal forsvare Norge i det hele tatt ender opp i slike situasjoner skyldes ikke bare russiske motstandere. For russerne gjør bare det som er mest logisk, og som den kinesiske generalen og filosofen Sun Tzu postulerte for mer enn 2500 år siden: angrip motparten der han er mest sårbar; unngå å møt motpartens sterke sider. Vel så mye som russiske kalkyler skyldes norske sårbarheter interne spenninger og samarbeidsproblemer i Forsvarets egne rekker, langt nede i organisasjonen, på taktisk nivå, i «utkant-Norge», i god avstand fra regjeringskorridorene i Oslo, på trygg avstand fra Forsvarsdepartementet og Forsvarsstabens irrganger.
På disse stedene, som for ved Sjøforsvarets hovedkvarter i Bergen, ved Luftforsvarets bastion på Rygge, eller i Hærens tyngdepunkt på Heggelia i Troms, føles ikke behovet for kompromiss og forhandling med overordnede myndigheter like sterkt. Det som føles sterkere er lojaliteten og samholdet i primærgruppene: i det kollegiale nettverket som i år etter år har utviklet særegne doktriner på våpenskolene, blant kolleger som har undervist i luft-, sjø- og landmilitære teorier på krigsskolene, og som innerst inne er best på de standardprosedyrene som gjelder på båtene, flyene og kjøretøyene de selv har erfaring med. Vi snakker om særegne profesjonsfellesskap; kollegiale bånd som i generasjoner har fått lov å utvikle seg mer eller mindre alene, i trygg avstand fra maktens sentrum. Geografisk avstand betyr noe for utviklingen av særegne kulturer (Thomson, 2008).
Sosialisering og meningsfellesskap
For å forstå hvorfor Forsvaret står svakt i møtet med fiendtlige cyberangrep, eller hvorfor taktiske styrkebidrag ikke klarer å beskytte seg mot de mest sannsynlige truslene, er det fordi det eksisterer særegne meningsfellesskap rundt om på de ulike moene. Bak leirgjerdene, i skyttergravene, dypt nede i ubåtene og høyt oppe i lufta sosialiseres offiserer og spesialister inn i bestemte måter å forstå IKT-problematikken på. Slike sosialiseringsprosesser skaper stiavhengighet. Ofte med tydelige «fødselsmerker» fra organisasjonens fortid (Christensen et al., 2017, s. 61-64). Dette er hva James G. March og Johan P. Olsen (1989) kaller historisk ineffektivitet. I den virkelige verden betyr det at Forsvaret, som enhver annen stor organisasjon, tidvis har store problemer med å følge med i tiden. Dette gjelder særlig når nye IKT-systemer eller nye teknologiske våpensystemer dukker opp i horisonten. Eksempler på dette kan være bruk av droner eller kunstig intelligens (Røkke, 2017; Christensen, 2017).
Så langt er dette bare luftige og teoretiske antakelser med et lite konkret belegg. Hvis vi går dypere til verks for å undersøke hva som reelt sett rører seg rundt om i de operative kampavdelingene, kan vi forvente følgende: at det digitale etterslepet langt på vei skyldes motstand fra sterke subkulturer innad i taktiske luft-, sjø- og landmilitære styrker. Dette betyr at det innad i den militære kommandokjeden finnes underenheter som styres av særegne normer og oppfatninger om hva et godt IKT-system er. Og at disse oppfatningene kolliderer med andre deler av Forsvaret når ny IKT utfordrer måten som eksisterende kjerneoppdrag løses på. Innenfor egen forsvarsgren eller driftsenhet står enhetene sterkt. Riktignok ikke ut ifra hva som tjener Forsvarsstaben eller Forsvarssjefens ledergruppe best. Men ut ifra hva som er best for egen avdeling, kompetansemiljø eller forsvarsgren. Vi snakker om en kultur der egne kjerneoppgaver beskyttes av en kultur tuftet på lojalitet, samhold og disiplin. Men også på ulike former for konservatisme, rigiditet og innadvendthet. Særlig når egen driftsenhet eller avdeling står overfor bredere og mer gjennomgripende teknologidrevne endringer.
For styrker som til daglig opererer i Barentshavet, i luftrommet utenfor Finnmarkskysten eller langs Grense Jakobselv er riktig nok den grenvise korpsånden viktig. Dette gjeler særlig i møtet med fienden, der samhold og operativ evne skal opprettholdes under ekstreme fysiske og psykiske påkjenninger. Men som sagt, sterk korpsånd kan også føre til unødig rigiditet og innadvendthet. Særlig når etablerte praksiser utfordres og tar oppmerksomheten vekk fra den tradisjonelle måten som luft-, sjø- og landmilitære oppdrag blir løst på.
Kjerneoppgaver først, så forsvar mot cyber
Eksempler på slike problemer fremkommer blant annet fra Forsvarets egen Cyberutredning fra 2018, som ble skrevet i forkant av Forsvarssjefens militærfaglige råd til regjeringen samme år. Her fremkommer det blant annet at Forsvarssjefens føringer på IKT-feltet, slik disse ble formidlet til forsvarsgrenene mellom 2013 og 2019, hadde liten effekt. Etter seks år var det fremdeles bare noen få luft-, sjø- og landmilitære styrkene som opplevde at cyberrelaterte tiltak og mottiltak var en integrert del av hverdagen (Forsvaret, 2018, s. 17). Mer enn 20 år etter at etaten selv innførte det Nettverksbasert forsvar var det snarere slik at militær trening og øving langt på vei ble knyttet til forsvarsgrenenes tradisjonelle oppdragsportefølje. I realiteten betyr dette full fokus på særegne luft-, sjø- og landmilitære domener. Forsvar og egenbeskyttelse mot ondsinnede cyberangrep ble bare trent sporadisk. Det var også, ifølge Cyberutredningen, «liten til moderat aktivitet» når det gjaldt integrerte fellesoperative øvelser. Ifølge en ansatt i Cyberforsvarets planstab virket det som at mange ansatte rundt om i Forsvaret var «dyrket frem i egen forsvarsgren, noe som [bidro] til at fellesoperasjoner ofte anses som temmelig abstrakt i forhold til mer håndfaste luft-, sjø- og landoperasjoner. Dette så vi særlig når egne IKT-systemer skulle endres eller standardiseres».
Viljen til å øve på cyberoperasjoner rundt om i det ganske land virker med andre ord å være nokså liten. Dette inntrykket ble også støttet av en ansatt fra Cyberforsvarets våpenskole, som hevdet at det innad i de luft-, sjø- og landmilitære kompetansemiljøene ikke ble utviklet realistiske bilder av hvilke sårbarheter egen avdeling egentlig hadde. Ei heller ble det bevisstgjort hvilke cybertrusler egen avdeling eller Forsvaret i stort stod overfor når styrkene skulle ut på oppdrag. Dette skyltes, ifølge Cyberutredningen, at de taktiske styrkebidragene som skal skape synergi gjennom et felles integrert IKT-system i liten grad er opptatt av cybersikkerhet, cyberoperasjoner og cyberberedskap. Når prioriteringen på tradisjonelle luft-, sjø- og landmilitære kjerneoppgaver prioriteres før øvelser der egne styrker utsettes for jamming, blending og lammelse, blir naturlig nok de operative styrkene enda mer sårbare. Dette er fordi, ifølge Cyberutredningen, at Forsvarets innsats fragmenteres siden trening på beskyttelse mot cyberangrep blir sporadisk. Dermed mangler så vel avdelingene som mannskapene for øvrig nødvendig kompetanse. Kvaliteten på «cyber-spill under øvelsene er lav og problemstillinger håndteres på et svakt militærfaglig grunnlag» (ibid, s. 17).
Lokale tilpasninger
En mulig årsak på problemet er dette: egne IKT-løsninger tilpasses lokale utfordringer i den enkelte avdeling, og er ikke nødvendigvis kompatible med den nettverksbaserte konfigurasjonen som Cyberforsvaret ønsker for hele Forsvaret. Dermed klarer ikke de taktiske styrkebidragene å integrere seg inn i en helhetlig IKT-arkitektur. Cyberforsvaret har riktig nok ansvar for å rulle ut det digitale nervesystemet, men Cyberforsvaret har lite gjennomslagskraft når det gjelder å overbevise kolleger i Luft-, Sjø- og Landforsvaret om at kapasitetene deres må tilknyttes akkurat dette systemet. Kulturell motbør innad i grenene ble ytterligere forsterket av manglende formell myndighet tillagt Cyberforsvaret; dermed ender det opp med at forsvarsgrenene selv får bestemme hvordan nye IKT-løsninger skal tilpasses og brukes sammen med særegne løsninger.
Informasjonen fra informanter i Cyberforsvaret og fra Forsvarssjefens cyberutvalg understøttes også av uttalelser fra sjefen for Cyberforsvaret. Under den årlige talen i Oslo Militære Samfund i 2019 hevdet generalmajor Inge Kampenes at hele det norske forsvaret risikerte å stagnere og bli irrelevant. Dette er fordi sikkerheten til stat og samfunn i siste instans baserer seg på en fungerende digital infrastruktur (Kampenes, 2019).
De grenspesifikke ønskene om selv å tilpasse seg Forsvarets IKT-systemer gjennom lokale tilpassinger er et uttrykk for hva grenene selv opplever som viktigst, og hva som følgelig er mindre viktig. Slike vurderinger skjer ikke ut ifra brede, tverrfaglige, nasjonale og helhetlige forsvarsperspektiver. Snarere skjer det ut ifra hva som er forventet adferd i den luft-, sjø- eller landmilitære avdeling man selv lever og ånder for. Et uttrykk for dette er måten trening og øving skjer på i de operative enhetene. Trening og øving på konsekvenser fra russiske cyberangrep prioriteres ikke fordi denne formen for virksomhet kommer i veien for andre og viktigere øvingsmål, ifølge Cyberutredningen (Forsvaret, 2018, s. 7). Slik virksomhet innebærer nemlig mye ventetid, særlig for de avdelingene som er så uheldig å bli blendet, lammet eller jammet. Dermed opplever avdelingene ute i felt at verdifull tid og mye penger går tapt. For når alle må sitte og vente siden sambandssystemene er døde, blir hver og en satt ut av spill.
Dette problemet ble også understreket av den tidligere sjefen for Cyberforsvaret (2015–2017), generalmajor Odd Egil Pedersen: Øvelser som simulerer fiendtlige cyberangrep der kommando- og kontroll systemer eller GPS-signaler forsvinner nedprioriteres til fordel for forsvarsgrenvise kjernefunksjoner som for eksempel manøver, samvirke, ild og bevegelse. Dette er helt naturlig, for i tråd med innarbeidede normer og forventninger om hva det vil si å være en luft-, sjø- eller hæroffiser, så er det en ting som gjelder: å prioritere funksjonaliteten til de kapasitetene man selv er helt avhengige av for å få løst forsvarsgrens egen kjerneoppgave. Dermed fortsetter det tradisjonelle plattformsentrerte forsvaret – med forsvarsgrenvise fly, kjøretøyer og fartøyer. Det er, ifølge en informant fra Cyberforsvaret, langt ifra nettverksbasert. Svak cyberberedskap og manglende egenbeskyttelse kan dermed forstås som et introvert ønske om å bli enda bedre på det som er forsvarsgrenenes raison d'être: luft-, sjø- og landmilitære slag mot fiendtlige styrker; motparter som i all hovedsak er trent og utstyrt som en selv.
Konklusjon
Hvilken slutning kan utledes fra det kulturelle perspektivet? Det mest naturlige synes å være at uformelle normer og adferdsmønstre i forsvarsgrenene har en stor betydning på Forsvarets digitale problemer. Det sterke engasjementet for at egen forsvarsgren skal fungere så optimalt som mulig i krise og krig gjør at den militære kommando -og kontrollkjeden fragmenteres. Dette er ikke fordi offiserene og spesialistene på det taktiske nivået ikke vil at forsvarsevnen skal fungere knirkefritt. Men fordi de ansatte velger å sette egen gren og avdeling først når det IKT-systemene skal tilpasses oppdragsporteføljen. Innarbeidede praksisfellesskap i Hæren, Sjøforsvaret og Luftforsvaret gjør det unaturlig å bruke IKT-systemer som ikke fungerer på en fregatt, i en stridsvogn eller i et jagerfly. Problemet forsterkes ved at Cyberforsvaret ikke har myndighet til å bestemme over grenene, noe som gjør at ansvaret for å få på plass en helhetlig digital infrastruktur smuldrer opp. Kraften som trengs for å tvinge igjennom standardiserte løsninger rundt om i det ganske land forvitrer.
Det empiriske belegget til denne konklusjonen understøttes av annen forskning på kultur i forsvarsgrenvise kompetansemiljøer. I en masteroppgave om operativ erfaringshåndtering fra 2016 er det først og fremst «kulturelle normer og verdier, samt en selvdefinert passende adferd, [som styrer] hvordan erfaringshåndteringen praktiseres i Hæren, Luftforsvaret og Sjøforsvaret (Erstad og Folkestad, 2016). I en annen analyse fra 2016 ble det avdekket at kompetansemiljøer i forsvarsgrenene handlet mer ut ifra selvoppholdelsesdrift og lokal korpsånd enn ut ifra overordnede strategiske forsvarshensyn: i «Dekanstudien» fra Forsvarets høgskole ble det hevdet at «… grendelte utdanningsinstitusjoner har utviklet seg […] i isolat fra de andre grenene», noe som har vært svært uheldig for «felles perspektiver, felles løsninger [og] faglige synergier» (Bjerga et. al., 2016, s. 2). Dette kom blant annet til uttrykk i måten forsvarsgrenenes krigsskoler forberedte seg på før de selv skulle slås sammen til en felles Forsvarets høgskole. I forkant av sammenslåingen brukte blant annet Luftkrigsskolen i Trondheim innleide konsulenter fra private selskaper for «å tydeliggjøre egne behov» fordi det viktigste var «… å lage en strategi for at særegenheter [i Luftforsvaret] ivaretas» (Carlsten, Skaug & Haugdal, 2016, s. 21).
Kultur er med andre ord en sterk kraft som sitter i hver og en av oss, og som gjør at overordnede, helhetlige og balanserte løsninger blir vanskelig å implementere. De som rammes mest av dette er Cyberforsvaret, som på mange måter kommer mellom barken og veden: mellom en toppstyrt ledergruppe i Oslo, som forventer at det skapes mest mulig forsvarsevne for pengene. Og en lang rekke unike kompetansemiljøer som forvalter verdifulle taktiske styrkebidrag. Men som mest av alt er opptatt av å løse sine egne oppdrag, ikke Forsvarets, i fred, krise og krig.
Foto: Cybersikkerhetssenteret (CSS), Cyberforsvaret på Jørstadmoen (Anette Ask/Forsvaret)
Litteratur
Bjerga, K. I., Skaug, R., Espevik, R., Haug, K. E., Pedersen, O., & Pedersen, T. (2016). Dekanstudien 2016. Oslo: Forsvarets høgskole.
Carlsten, T. C., Skaug, R. & Haugdal, B. K. (2016). Krigsskolens relevans? (NIFU Arbeidsnotat 2016:6). Hentet fra https://nifu.brage.unit.no/nifu-xmlui/bitstream/handle/11250/2397983/NIFUarbeidsnotat2016-6.pdf?sequence=1&isAllowed=y
Christensen, T. (2017). Strategisk kompetanseledelse som fenomen: mote eller ny substans? I T. Heier (Red.), Kompetanseforvaltning i Forsvaret (s. 52-68). Oslo: Universitetsforlaget.
Erstad, K. og Folkestad, E. (2016). Operativ erfaringshåndtering i Forsvaret. Masteroppgave. Tromsø: Norges arktiske universitet.
Forsvaret. (2018). Digitaliseringsstrategi for Forsvaret. Oslo: Forsvarsstaben.
Kampenes, I. (2019, oktober). Utviklingen av militær cybervirksomhet i lys av det fagmilitære råd. Tale i Oslo Militære Samfund, Oslo. Hentet fra https://oslomilsamfund.no/2019/10/15/foredrag-sj-cyfor-generalmajor-inge-kampenes-utviklingen-av-militaer-cybervirksomhet-i-lys-av-det-fagmilitaere-rad/
March, J. G. & Olsen, J. P. (1989). Rediscovering Institutions. The Organizational Basics of Politics. New York: The Free Press.
Røkke, Truls (2017), «Ny kompetanse i krig – innføring av droneteknologi i Forsvaret», i Tormod Heier (red), Kompetanseforvaltning i Forsvaret (Bergen: Fagbokforlaget», s. 261-276.
Selznick, P. (1957). Leadership in Administration: A Sociological Interpretation. New York: Harper & Row, Publishers, Inc.
Smircich, L. (1985). Is the Concept of Culture a Paradigm for Understanding Organizations and Ourselves? I P. N. Frost, L. F. Moore, M. R. Louis, C. C. Lundberg & J. Martin (Red.), Organizational Culture (s. 55-72). Beverly Hills, CA.: Sage.
[1] Artikkelen er den andre av to artikler til Stratagem som bygger på Tormod Heier og Bjørn Mobech-Hanssens «Et forsvar i digital krise?», i Internasjonal Politikk, 78(3):362-382. https://tidsskriftet-ip.no/index.php/intpol/article/view/2288/4577.