Ber industrien følge med på spionasje og misbruk av norsk teknologi

– En kjede av firma og samarbeidspartnere gjør det uoversiktlig å se hvem du faktisk samarbeider med. Til slutt kan det ende hos Russland eller Kina.

Oberstløytnant Geir Hågen Karlsen oppfordrer norsk industri til å kartlegge egne systemer og sårbarhet.
Oberstløytnant Geir Hågen Karlsen oppfordrer norsk industri til å kartlegge egne systemer og sårbarhet.Foto: Christian Bugge Hjort

Det sier oberstløytnant i Hæren, Geir Hågen Karlsen, som er hovedlærer ved Forsvarets høgskole.

– Norsk undervannsteknologi kan eksempelvis være aktuelle til fjernstyrte, militære farkoster, men samtidig anvendes kommersielt, sier Karlsen.

Samarbeid og eksport kan slik han ser det være en bakdør på gløtt for uønsket bruk av norsk teknologi.

Knut Sunde er direktør i Norsk Industri.Foto: Mikaela Berg

Kurser i sikkerhet

Knut Sunde er direktør for bransje- og industripolitisk avdeling i Norsk Industri, mener at norske industriselskap bør ha høy bevissthet på IT-sikkerhet.

Norsk industri er i tett dialog med Politiets sikkerhetstjeneste, spesielt etter Russlands invasjon av Ukraina. Internt i bransjeorganisasjonen Norsk industri har det gitt utslag i kursing, læringsmoduler og bevisstgjøring.

– Et stort tilfang, faktisk, for de som ønsker å heve bevisstheten, men det er opp til den enkelte, sier Sunde.

Viktig datasikkerhet

Det å stjele informasjon er i utgangspunktet komplekst. Digitalt finnes det derimot ofte en relativt enkel vei inn, særlig hos de som ikke har beskyttet seg, påpeker Geir Hågen Karlsen.

Han forteller til Kystens Næringsliv at trusselbildet mot norsk teknologi og norske underleverandører er komplekst.

– For et norsk selskap spiller det kanskje ikke så stor rolle om det er kommersiell informasjon eller potensielt militært.

Putins angrep mot nabolandet Ukraina har gjort norske selskap mer bevisst på utenlandsk interesse for norsk teknologi.Foto: Russiske styresmakter

Karlsen minner om viktigheten av god datasikkerhet. Gjennom internett og store datasystemer har verden blitt mindre, men samtidig er spionasje og industrispionasje er tastetrykk unna.

Norsk UD opererer med ulike lister som omfatter eksport militært materiell og utstyr som har «dual purpose», og som altså kan brukes både sivilt og militært. Han tror samtidig at norske selskap produserer og utvikler mye som er interessant for andre å kopiere.

Ikke tro på myndighetskrav

Det rettes nå ekstra oppmerksomhet mot personer fra visse land, i kjølvannet av at både Kina og Iran har tatt parti med Russland. Sunde i Norsk Industri forteller at det ikke er uproblematisk.

– Det er snakk om de vanskelige samtalene, og det kan være ubehagelig for folk fra disse landene som har bodd lenge i Norge. Hjemme har de kanskje 30 slektninger som kan presses. Det er en kynisk verden.

Han har ikke tro på ytterligere krav fra myndighetene.

– Bedriftene er stadig mer bevisste, ikke minst gjennom krav fra kunder, underleverandører og banker, sier Sunde.

Han tror ikke at næringslivet kan stå imot alle dataangrep. Det handler etter hans mening ikke så mye om datasystemer som om enkeltpersoner i form av nyansatte, innleide eller bare «sløve folk».

Samtidig erkjenner han at enkelte selskap reflekterer lite rundt dette temaet.

– Vi har sett mange tvilsomme leverandører som har kommet seg inn i sensitive marked gjennom sløve kunder. Da har vi plutselig russisk-eide selskap eller bedrifter som åpent samarbeider med russere på vei inn i tunge marked. Lave priser er fristende for innkjøpere som måles på slikt.

I fjor eksportere norske bedrifter varere for totalt 2,3 milliarder kroner til Russland. Dette er det laveste siden 2017.

Kina største trussel

Kinesisk kopiindustri er kanskje den største kommersielle trusselen, mener Karlsen. Det møtes på ulike vis.

– Et firma velger kanskje ikke å eksportere den siste og mest avanserte versjonen av et produkt.

Det krever imidlertid høy innovasjonstakt å kunne «løpe raskere enn konkurrentene».

– Da skal du løpe raskt. Produktet skal jo gjerne sertifiseres og markedsføres.

Ubemannede undervannsdroner har et stort sivilt bruksområde, men er samtidig eksempel på teknologi som utnyttes av fremmede makter.Foto: Kongsberg Maritime

En annen avveining for et internasjonalt rettet selskap er om konkurransen fra Kina kan true globalt, eller om kinesiske kopister kun forsyner sitt eget, regionale marked.

– Det er en risiko det kan være verdt å ta, i et marked man uansett kanskje ikke ville kommet inn i.

Slik ruster du deg

– Hvordan kan en liten eller mellomstor norsk bedrift ruste seg mot digitale trusler?

– Det første de må gjøre er å kartlegge hva de har av systemer. I en organisasjon av en viss størrelse blir ofte det mange, forferdelig mange systemer, som gjerne er dårlig beskyttet.

«Forferdelig mange» var en dyrekjøpt erfaring for Toten kommune, som i starten av 2021 ble rammet av et større hackerangrep med krav om løsepenger. Angrepet lammet hele kommunen, og et kostnadsoverslag for skadeomfanget er på pene 32 millioner kroner.

– Toten hadde rundt 200 datasystemer. Da er det snakk om et komplekst bilde, og det er viktig å ha en plan, og å etablere sikkerhetsløsninger. Backup er ett punkt.

– Hvor starter man?

– Du må gå gjennom ulike scenarier. Altså, hva skjer om du blir utsatt for eksempel for et løsepengevirus. Hva skjer hvis alle datasystemer slås av?

Oberstløytnanten tar eksempel i Nortura – som har «levende dyr inn, pølsepakker ut», som han uttrykker det.

– Samtidig er det her snakk om en svært kompleks logistikk og produksjon, som krever en robust plan for uforutsette hendelser.

Geir Hågen Karlsen trekker Toten kommune frem som eksempel på hvor galt det kan gå etter et angrep.Foto: Lokman Ghorbani

En slik plan vil måtte omfatte konsekvenser for markedet, altså hva som skjer når kunder ikke mottar varer eller tjenester.

– Hvilke kunder sitter du igjen med? spisser han.

Merkes når noe går galt

Sunde i Norsk industri sier at det merkes godt i bransjen når en bedrift har fått en karamell.

– Flere har stått frem med dyrekjøpte erfaringer. Det er en god vekker, og gjør nok at det internt og i det stille blåses i luren: hvor sårbare er vi?

Han mener at ansettelser og eierskap er et tema som har gått under radaren i mange år.

– Når supermaktene braker sammen, blir det fort kinkig for bedriftene. Kineserne er flere steder supre eiere som bidrar til kapital og utvikling av norske bedrifter. Samtidig vet alle innerst inne at det over tid kan bli problematisk. Det finnes ingen enkel løsning.

Oberstløytnant Karlsen tror bedrifter har godt av å ha en plan å øve på.

– Et minimum er at ledelse og nøkkelpersoner tar en gjennomgang av ulike caser. Her er det viktig at ledelsen er med.

Denne typen øvelser må gjerne skaleres opp.

– Da kan det være nødvendig med ekstern hjelp, for de færreste har egen stab på dette. Krisehåndtering er et fag i seg selv, og det finnes aktører som ikke bare kan trå til hvis alt stopper opp, men også for å være preventiv.

Karlsen minner om Nasjonal sikkerhetsmyndighet, NSM, som har gode veiledere på egne hjemmesider, men også lenker til enkelte godkjente tredjepartsselskap.

– Det er mulig du trenger ekstern hjelp til å håndtere veiledningene, sier han.

Sanksjoner bak speilet

– Er norske bedrifter godt rustet?

– Det må du spørre hver enkelt selskap om, men få bedrifter har en stor IT-avdeling som kan håndtere alt. Da er kunnskap deretter. Enkelte sektorer som finans og helse sine egne, dedikerte cyber emergency response team.

Kopiprodukter, teknologityveri og «dual purpose»-materiell på avveie er ikke det eneste norske bedrifter må passe seg for.

– Amerikanske myndigheter har mange sanksjoner rettet mot Kina. Da må leverandører være forsiktig om det er amerikansk teknologi i produktet.

De kan man risikere å bli utestengt fra det amerikanske markedet, fra dollarmarkedet, eller risikere tap av omdømme. Men også Kina kan gjøre grep mot norske interesser. En «geopolitisk risiko», kaller Karlsen det bedrifter med sterke Kina-forbindelser løper.

– Er du til stede i Kina med assets, kan disse bli fryst. Salg og service har tilsvarende mindre risiko.
(Copyright)
Publisert 17. January 2023, kl. 05.39Oppdatert 17. January 2023, kl. 13.40