3 Dagens sikkerhetsutfordringer
Forvaltningen av forebyggende sikkerhetsarbeid har historisk sett hatt en regelbasert tilnærming. Med endringer i rammebetingelsene for sikkerhet har denne tilnærmingen særlig de siste årene blitt utviklet til en mer risikobasert tilnærming. I NOU 2016: 19 kapittel 4.1 beskrives grundig forholdet mellom risikohåndtering og forebyggende nasjonal sikkerhet. Etter departementets vurdering er dette en god og tidsriktig beskrivelse som departementet finner å legge til grunn for det nye lovforslaget. Ettersom forslaget er en såkalt rammelov som forutsettes utfylt med en rekke forskrifter, vil det ikke bli tatt stilling til ulike mulige faglige tilnærminger og metoder for risikovurdering og risikoanalyse. Hvilke tilnærminger og metoder som velges i konkrete tilfeller, vil i stor grad være avhengig av hvilke typer objekter eller systemer som skal vurderes. Systemer som inneholder mye informasjonsteknologi, vil eksempelvis ofte kreve andre tilnærminger enn rene fysiske objekter og systemer.
Utvalget har lagt til grunn den såkalte trefaktormodellen for risiko ved beskrivelsen av dagens sikkerhetsutfordringer (NOU 2016: 19, side 41 flg.). Trefaktormodellen består av faktorene trussel, sårbarhet og verdi. Utvalget gir en grundig drøfting av ulike typer verdier med betydning for nasjonal sikkerhet. Utvalget drøfter også trusler mot nasjonal sikkerhet og nasjonale sårbarheter. Etter departementets vurdering er denne drøftingen godt tilpasset dagens situasjonsbilde. Likevel må det understrekes at trussel- og sårbarhetsbildet vil kunne endres betydelig over tid. Departementet legger derfor opp til at loven i størst mulig grad skal være uavhengig av den videre utviklingen av trussel- og sårbarhetsbildet. Basert på dagens oppfatning følger under en oppsummering av de mest sentrale utfordringene som departementet legger til grunn for loven.
Rammebetingelsene for norsk sikkerhet er endret siden gjeldende sikkerhetslov trådte i kraft i 2001, og den sikkerhetspolitiske situasjonen i Europa og nærliggende områder er i dag mer usikker og uforutsigbar. NOU 2016: 19 beskriver trusselbildet vi står overfor på side 49 og påfølgende sider. I langtidsplanen for forsvarssektoren (Prop. 151 S (2015–2016)) beskrives den sikkerhetspolitiske situasjonen i vår del av verden som mer krevende enn på lenge, og det framheves at store utfordringer tett på NATOs ansvarsområde kan få direkte konsekvenser for norsk og allierte staters sikkerhet. Dette kommer i tillegg til utfordringer i europeiske land og allerede eksisterende sikkerhetsutfordringer knyttet til globale utviklingstrekk. Situasjonen gir ifølge Politiets sikkerhetstjeneste (PST) et spillerom for et bredt spekter av statlige og ikke-statlige aktører (PST Trusselvurdering 2017, side 3). Etterretningstjenesten og PST vurderer at enkeltepisoder som i utgangspunktet er små hendelser, kan få alvorlige og til dels uforutsigbare konsekvenser som ingen av partene i utgangspunktet ønsker eller er tjent med. Nye trusler utvikles raskt.
Nasjonal sikkerhet handler om å verne nasjonens interesser og verdier mot trusler. Nasjonale særegenheter og globale trender setter rammene for Norges sikkerhetssituasjon, men den økende internasjonaliseringen gjør at globale utviklingstrekk har stadig mer å si for det nasjonale trusselbildet. Globalisering og internasjonalisering øker kontakten, sårbarheten og avhengigheten på tvers av landegrenser. Samlet sett har dette ført til en økt sannsynlighet for at nasjonale interesser og verdier blir skadelidende som følge av etterretning, sabotasje og terrorhandlinger. Slike hendelser kan være vanskelig å forutse, og de kan få store konsekvenser for vår sikkerhet. Norge blir også påvirket av andre utviklingstrekk, som digitalisering og økonomisk, demografisk og teknologisk utvikling. Nye verdier skapes, nye sårbarheter etableres og trusselbildet er i stadig endring. Dette stiller store krav til det forebyggende sikkerhetsarbeidet (Prop. 151 S (2015–2016), NSM Risiko 2017, side 7).
For at trusselaktører skal nå sine mål, vil de søke etter sårbarheter som kan utnyttes. Sikkerhetsmessige sårbarheter kan ha organisatoriske, menneskelige eller tekniske årsaker (NSM Risiko 2017, side 23).
I NOU 2016: 19 påpekes det at vi lever i et informasjonssamfunn i rask utvikling. Det er derfor knyttet spenning til hvordan trusler i det digitale rom vil utvikles. Utvalget skriver i NOU 2016: 19 i kapittel 4.3.2.1 på side 56:
«Den globale teknologiutviklingen er et gode som samtidig fører med seg noen alvorlige og grenseoverskridende utfordringer. Trusselaktører i det digitale rom inkluderer både statlige og ikke-statlige aktører. Metodene som benyttes, blir stadig mer avanserte og målrettede. Den økte avhengigheten på tvers av land og sektorer gjør at nettverksbaserte angrep kan ha omfattende skadevirkninger. Disse utviklingstrekkene har ført til et mer sammensatt og mindre forutsigbart trusselbilde.»
Statlig etterretning er et sentralt virkemiddel for å støtte et lands politiske, økonomiske og sikkerhetspolitiske interesser. Etterretningsvirksomhet mot Norge og norske interesser skjer i stor utstrekning fra statlige aktører. PSTs vurderinger tilsier at fremmed etterretningsvirksomhet som kan ha et stort skadepotensial, vil fortsette i og mot Norge også i tiden framover. Aktiviteten er i stor grad rettet mot politiske beslutningsprosesser, norsk forsvars- og beredskapssektor, nærings- og industriaktører og viktig infrastruktur. Formålet er blant annet å kartlegge sårbarheter i det norske samfunnet, militære kapasiteter og andre sikkerhets- og beredskapsressurser. I tillegg er norske virksomheter som arbeider med høyteknologi særlig utsatt, ifølge PST. Særlig utsatt er også opposisjonelle som lever i eksil i Norge.
Aktørenes mål er å få tilgang til sensitiv og skjermingsverdig informasjon, påvirke politiske, økonomiske og forvaltningsmessige beslutninger og undersøke muligheter for å kunne sabotere viktig infrastruktur ved en eventuell framtidig konfliktsituasjon.
I NOU 2016: 19 pekes det på at aktørers intensjoner om å påføre samfunnet betydelig skade skaper et behov for bevissthet knyttet til spredning av informasjon. Utvalget skriver i kapittel 4.1.2 på side 42:
«I praksis betyr dette at den eller de som utfører eller planlegger å utføre handlingen vil kunne tilpasse handlingen til de sikkerhets- og beredskapstiltak som de har kjennskap til eller forventer skal finnes. Dette fører til et behov for å ha et bevisst forhold til hvordan informasjon om risikoreduserende tiltak skal distribueres. Behovet for skjerming av slik informasjon er åpenbar.»
Ved en tilspisset sikkerhetspolitisk situasjon forventer PST at Norge vil bli utsatt for et spekter av virkemidler, inkludert etterretningstjenesters involvering i påvirkningskampanjer og spredning av desinformasjon (PST Trusselvurdering 2017, side 10). Hensikten vil trolig være å påvirke den politiske debatten og svekke legitimiteten til politiske beslutningsprosesser.
PST påpeker at fremmede tjenester bruker både datanettverksoperasjoner og tradisjonelle metoder mot norske mål. De arbeider blant annet aktivt for å få tilgang til personer i virksomheter som behandler sensitiv informasjon og teknologi (PST Trusselvurdering 2017, side 9). Nettverksbaserte etterretningsoperasjoner gjennomføres i stort omfang mot Norge og norske interesser.
Flere personer med tilknytning til land som Norge ikke har et sikkerhetsmessig samarbeid med, har stillinger som gir dem tilgang til sensitiv og skjermingsverdig informasjon. Disse kan være særlig utsatt for rekrutteringspress fra hjemlandets etterretningstjenester. Ifølge PST vil en kombinasjon av innsidevirksomhet og datanettverksoperasjoner ha et meget stort skadepotensial.
Etterretningstjenesten peker på at truslene i det digitale rom mot politiske, militære og økonomiske mål i Norge er økende, og at vi kan forvente omfattende etterretningsoperasjoner mot Norge framover (Fokus 2017, side 6). Dette gjelder blant annet operasjoner som tar sikte på å påvirke nasjonale beslutningsprosesser. Det vurderes at digital sabotasje i en spent situasjon kan brukes som virkemiddel for å skape kaos og øve press. NSM vurderer at datanettverksoperasjoner og digital spionasje fra statlige aktører utgjør betydelig risiko for offentlig forvaltning og for virksomheter som forvalter viktig infrastruktur, viktige samfunnsfunksjoner og høyteknologi. Ifølge NSM overvåker trusselaktører de mest attraktive målene kontinuerlig. NSM peker på to trender for IKT-hendelser i Risiko 2017. Den ene er at de mest ressurskrevende sakene fra avanserte aktører øker i omfang. Den andre at de samme aktørene har begynt å angripe mindre norske virksomheter for å utnytte de kompromitterte nettverkene videre, som infrastruktur i angrep mot andre, større mål (Risiko 2017, side 17–18).
Samfunnets økte avhengighet av IKT-baserte informasjonssystemer fører med seg alvorlige sårbarheter mot trusler i det digitale rom. Ved en samfunnsmessig eller sikkerhetspolitisk krise er det avgjørende at IKT-systemene er tilgjengelige og opererer som de skal, skriver NSM i Risiko 2017 side 9. Mange viktige nasjonale funksjoner er avhengige av internett, og bortfall av nettet kan forsterke eller forverre en krise. Den økte avhengigheten av internett gjør at nettverksbaserte angrep kan ha omfattende skadevirkninger og har potensial til å ramme hele spekteret av norske interesser.
Trusselen fra voldelig ekstremisme har økt. Ifølge Etterretningstjenesten har terrortrusselen fra militante islamister generelt sett blitt mer alvorlig og kompleks. Antallet terrorangrep i Europa har økt, og de fleste av disse kan knyttes til ISIL. Selv om ISIL blir svekket i Irak og Syria og kapasiteten til å gjennomføre sentralstyrte terrorangrep dermed blir redusert, vurderer Etterretningstjenesten at organisasjonens nettverk i Europa vil være en betydelig trussel også den nærmeste tiden (Fokus 2017, side 6). PST vurderer at ekstreme islamister representerer den største terrortrusselen mot Norge (PST Trusselvurdering 2017, side 4).
Departementet legger vekt på sikkerhetsutfordringene som følger av en stadig sterkere globalisering av samfunnet og økende avhengighet av relasjoner med resten av verden. Disse påvirker særlig forholdet til sårbarhet og trussel. En viktig faktor i utviklingen er den sterke utbredelsen av informasjonssystemer og infrastruktur som også i økende grad er globale i utbredelse og funksjon. Sammenholdt med et sammensatt og dynamisk trusselbilde fører dette til komplekse sikkerhetsutfordringer med stor grad av endringer over tid. For å møte disse utfordringene er det etter departementets vurdering behov for en mer dynamisk og fleksibel lov enn tidligere. Som en konsekvens av denne utviklingen foreslår departementet en begrenset utvidelse av lovens virkeområde sammenliknet med dagens lov, der det forventes at flere private virksomheter enn i dag vil bli omfattet av loven. Departementet foreslår en rammelov. Behovet for økt dynamikk og fleksibilitet uttrykkes gjennomgående i de ulike bestemmelsene i lovforslaget.
I NOU 2016: 19 legger Sikkerhetsutvalget etter departementets syn fram en grundig drøfting av ulike virkemidler og tiltak for å oppnå god nasjonal sikkerhet. Denne vil også bli lagt til grunn i det videre arbeidet med forskrifter til loven for å sikre at tiltak er tidsmessige og tilpasset utviklingen.