– Økende grad av angrepsforsøk mot underleverandører

Nasjonal sikkerhetsmyndighet (NSM) sin rapport Risiko er én av tre offentlige trussel- og risikovurderinger som utgis i første kvartal hvert år. Risiko 2023 beskriver hvordan trusselaktører kan utnytte sårbarheter hos virksomheter og i samfunnet, og hvilken risiko dette medfører. Det skriver NSM på sine nettsider.

– Vår jobb er å bedre Norges evne til å beskytte seg mot spionasje, sabotasje, terror og sammensatte trusler. Vi ser at mange virksomheter har blitt flinkere til å prioritere sikkerhet, men advarer mot å tro at jobben er gjort, sier Sofie Nystrøm, direktør i NSM.

Flere virkemidler brukes

I årets rapport peker NSM særlig på tre forhold:

1. De største selskapene og anleggene er kompliserte å angripe. Angrepsforsøkene vil derfor i økende grad gå mot underleverandører.
2. Fremmede aktører investerer og kjøper seg inn i norske virksomheter og eiendom for å få sensitiv informasjon og skaffe seg strategisk viktig teknologi. Norge opplevde nær 50 slike saker i 2022. Om lag to tredjedeler har tilknytning til Russland og Kina. I dagens sikkerhetspolitiske klima, med omfattende sanksjoner mot Russland, øker risikoen for at økonomiske virkemidler blir brukt med fiendtlige hensikter.
3. Målrettede påvirkningsoperasjoner med spredning av desinformasjon. På sikt kan desinformasjon svekke tilliten vi har til hverandre, til statlige institusjoner, og dermed også skade vår politiske stabilitet i Norge.

Svakeste leddet for å nå de store

Direktør i Næringslivets sikkerhetsorganisasjon Knut Oscar Gilje trekker fram NSMs vurderinger om sårbarhetene som ligger i leverandørkjedene.

– NSM sier de ser det blir stadig mer tilpassede løsninger for å skaffe seg innpass der det er sensitiv teknologi og informasjon. Det svakeste leddet i leverandørkjeden brukes gjerne for å nå de store og sentrale virksomhetene. Det betyr blant annet at mindre underleverandører vil kunne bli brukt for å skaffe seg tilgang til sentrale system og godt sikrede virksomheter.

Han sier alle i norsk næringsliv må fortsette å være minst like årvåkne som tidligere.

– Vi skal ikke nøle med å varsle NSM og andre myndighetsorganer når vi mener noe er unormalt, understreker Gilje.

Varsle myndighetene

Gjør dere kjent med hva som skal varsles, til politiet, Politiets sikkerhetstjeneste (PST), NSM eller andre. Det viktigste er ikke hvem varselet går til eller hvordan det er formulert, men at det skjer. Lag deres egne rutiner for varsling slik at ansatte er trygge på hva de skal gjøre.

Varslingsplikten til NSM omfatter all aktivitet, eller mistanke om aktivitet, som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser, uavhengig om den er lovlig eller kriminell. Virksomheter uten varslingsplikt oppfordres også til å ha en lav terskel for å rapportere til NSM om slik aktivitet.

Slik varsler du Nasjonal sikkerhetsmyndighet:

• Telefon 02497 (24/7)
• E-post cyberhendelser: cert@ncsc.no
• E-post sikkerhetstruende virksomhet og hendelser: varsel@nsm.no

Faktaboks Risiko 2023

• Nasjonal sikkerhetsmyndighet sin rapport Risiko er én av tre offentlige trussel- og risikovurderinger som utgis i første kvartal hvert år. De øvrige gis ut av Etterretningstjenesten og Politiets sikkerhetstjeneste.
• Risiko 2023 beskriver hvordan trusselaktører kan utnytte sårbarheter hos virksomheter og i samfunnet, og hvilken risiko dette medfører. I rapporten peker NSM på hvordan myndigheter og virksomheter bør redusere sårbarheter for å gjøre trusselaktørenes jobb vanskeligere.
• Risiko 2023 henvender seg til hele samfunnet, men spesielt til ledere og personell med sikkerhetsoppgaver. Målet med rapporten er å gi virksomheter bedre forutsetninger for å se sikkerhetsarbeidet i en større sammenheng.
• Rapporten kan lastes ned på nsm.no/Risiko2023