Jeg har ved flere anledninger gått tilbake til Kåre Willoch og hans NOU 2000:24, «Et sårbart samfunn», når jeg forsøker å trekke de historiske linjene som viser Norges oppvåkning rundt digitale trusler. Willoch var tidlig ute med å fokusere på det digitale trusselbildet.
Er det én ting vi har lykkes med siden Willoch, er det å kartlegge og systematisere trusler. Vi har en imponerende mengde rapporter: NOU 2015:13 «Digital sårbarhet – sikkert samfunn», «Nasjonal strategi for digital sikkerhetskompetanse» (2019), NOU 2018:14 «IKT-sikkerhet i alle ledd», for å nevne noen. Mange av dem dekker samme tematikk og gir til en viss grad overlappende anbefalinger.
Akkurat nå er det ikke ny kunnskap vi mangler. Det vi trenger er en som faktisk gjør noe med det vi allerede vet
Et mer aktuelt eksempel er Totalberedskapskommisjonen og NOU 2023:17 «Nå er det alvor», etterfulgt av Totalberedskapsmeldingen, Meld. St. 9 (2024–2025), som «setter retningen» for omleggingen av totalforsvaret.
På papiret, i hvert fall.
Vi trenger fortsatt innsikt og kompetanse, men vi må slutte å utrede det samme igjen og igjen, uten at det fører til handling. Anbefalinger som ikke følges opp med tydelig eierskap, beslutninger og finansiering, hjelper lite. Det vi trenger nå, er konkret handling. Og tiden er knappere enn før, fordi den globale sikkerhetssituasjonen slår rett inn i norsk samfunns- og næringsliv. I en verden preget av raske endringer, desinformasjon og emosjonelle reaksjoner, blir vi sårbare for digitale påvirkningsoperasjoner og hybride trusler.
Mønsteret er at et utvalg får et mandat, skriver en melding og får oppmerksomhet i en periode, før det dabber det av. Så skjer noe nytt, og vi starter på nytt igjen med enda en utredning.
Jeg er ikke alene om å se dette mønsteret.
«La oss nå begynne å jobbe seriøst med dette, la oss ikke bare være ofre for tilfeldighetene som gjør at vi bare ender opp et sted. Og ikke sett ned et utvalg hvert tiende år som begynner på nytt og skal se på hvordan verden ser ut nå. Det kommer ikke til å gå bra.»
Advarselen kommer fra OsloMet-professor og Simula-direktør Olav Lysne i et intervju med Digi i forbindelse med overleveringen av nettopp Totalberedskapsmeldingen. Budskapet hans er tydelig: Det holder nå.
Det kan være mange grunner til at gode intensjoner og ønsket om handling dør, et sted på veien mellom «regjeringen vil … » i en stortingsmelding og konkret gjennomføring i forskjellige sektorer ute i samfunnet. Riksrevisor Karl Eirik Schjøtt-Pedersen snakket om én av flere årsaker under Forbedringskonferansen i november i fjor da han snakket om deling av data og spurte «Spenner sektorprinsippet bein på løsningene?»
Sektorprinsippet er godt innarbeidet i norsk statsforvaltning, men særlig når det kommer til digital sikkerhet, er det åpenbart for meg at denne måten å organisere ansvar på, ikke er hensiktsmessig. For mange komplekse prosesser og ansvarsområder som går på tvers av verdikjeder, økosystemer og lovverk skal koordineres, samtidig som verden og det politiske landskapet endrer seg raskt.
Andre land har valgt andre løsninger enn sektorprinsippet i møte med store og akutte problemstillinger som ikke lar seg avgrense til én sektor eller ett departement. I USA og i en rekke europeiske land har man utnevnt såkalte «czarer» – offentlig oppnevnte personer med ansvar for konkrete områder, som rapporterer direkte til statsministeren eller presidenten.
Vi trenger ikke å kalle det en «czar». Men innenfor rammen av vårt demokrati mener jeg det er verdt å vurdere om én person med ansvar og myndighet på tvers, som rapporterer til statsministeren, er verdt et forsøk.
Vi trenger én ansvarlig person som ser helheten, tar beslutninger og mobiliserer samfunnets ressurser. En som faktisk kan sette anbefalingene fra NOU-er, rapporter og strategier ut i live. For akkurat nå er det ikke ny kunnskap vi mangler. Det vi trenger er en som faktisk gjør noe med det vi allerede vet.
Sigrun Hansen Bock
Direktør for cybersikkerhet i Tietoevry Tech Services og styreleder i Norwegian Cybersecurity Cluster
