Når «ingen konkret trussel» blir hvileputen

Torsdag i forrige uke meldte svenske TV4 om en alvorlig trussel mot energiinfrastrukturen i alle de nordiske landene. 

Norske myndigheter tonet raskt ned: Justisdepartementet sa det ikke foreligger noen spesifikk trussel, PST så ingen grunn til å endre sine vurderinger, og Gassco var ikke kjent med konkrete trusler mot norske gassrørledninger.

Jeg forstår behovet for å ikke skape unødig frykt. Men formuleringen «ingen konkret trussel» er ikke det samme som «ingen grunn til bekymring». 

Den risikerer å sende et farlig signal, både til befolkningen og til virksomhetene som drifter vår kritiske infrastruktur: at dagens sikkerhetsnivå er godt nok.

Nasjonal sikkerhetsmyndighet (NSM) var heldigvis tydeligere. Fagdirektør Andreas Skjøld-Lorange sa rett ut at tiden ikke er inne for å senke guarden, og at vi det siste året har sett aktivitet rettet mot energisektoren i Norge. Det er et budskap som fortjener minst like store overskrifter. 

Fra lavrisiko til høyverdi

Nordiske kraft- og gassnett er ikke lenger bare ingeniørkunst, de er strategiske mål. I en stadig mer digitalisert energisektor, der IT og operasjonell teknologi (OT) veves tettere sammen, blir angrepsflatene dramatisk større. Smart-nett, fjerndrift og IoT-sensorer gir effektivitet, men også nye inngangsdører for dem som vil inn.

forsvaret

Ber sivile være årvåkne under Nato-øvelse

Nyere angrep mot europeisk energiinfrastruktur, blant annet i Polen i desember, viser at virtuelle innbrudd raskt kan bli til fysisk forstyrrelse. 

Når Europa samtidig er tungt avhengig av norsk gass, flytter Norden seg fra «lavrisiko-kategori» til «høyverdi-mål». 

At det akkurat nå ikke foreligger en verifisert plan om å ramme en bestemt norsk installasjon, betyr kanskje at vi ikke har oppdaget siste steg i angrepskjeden.

Resiliens må trenes, ikke arkiveres

For mange virksomheter i energisektoren eksisterer beredskapsplaner i permer og på intranett. Erfaringer fra virksomheter som opererer i Ukraina, slik selskapet jeg jobber i, viser hvor fordelaktig det er for en virksomhet å jobbe med motstandskraft og håndtering av uforutsette hendelser. 

I en tid der NIS2-direktivet og sikkerhetsloven stiller nye krav, og trusselaktørene opererer døgnet rundt, bør sikkerhetsarbeid flyttes fra dokumenter til operasjonell hverdag, inn i styrerommet, i investeringsbeslutninger og i ledelsens løpende agenda.

Konkret betyr det tre ting:

For det første: Realistiske øvelser. Ikke skrivebordsøvelser i en konferansesal, men cyber-fysiske scenarioer som involverer IT, OT, ledelse og leverandører. Angripere skiller ikke mellom avdelinger, det bør ikke øvelsene gjøre heller.

For det andre: Kontinuerlig testing. OT-overvåking, penetrasjonstesting og red teaming må behandles som løpende trening, ikke som enkeltstående prosjekter som kommer når budsjettet tillater det.

For det tredje: Målrettet kompetansebygging. De som sitter med drifts- og beredskapsansvar, trenger spesialisert opplæring, ikke generiske e-læringskurs om passord og phishing.

Et nordisk ansvar

Trusselen som diskuteres i Sverige, Danmark, Finland og Norge, stopper ikke ved grensen. Kraftmarked, gassrør, datasentre og teleinfrastruktur binder Norden sammen til ett funksjonelt system. 

Et vellykket angrep på én del av systemet kan gi konsekvenser langt utover landegrensene. Derfor er det ikke nok å slå fast at ingen spesifikk trussel rammer Norge akkurat nå. 

Vi må investere i felles øvelser, dele erfaringer på tvers av land og sektorer, og bygge reell kapasitet, ikke bare rapportere at vi har en plan. 

NSM har rett: Tiden er ikke inne for å senke guarden. Jeg vil gå lenger, tiden for planlegging alene er over. Nå handler det om gjennomføring. 

LES OGSÅ:

Trusselvurderinga 2026

Meiner Russland prøvar å rekruttere ukrainarar i Noreg

ukraina

E-sjefen: – Russland taper 1000 mennesker per dag

Nytt om navn

Hun er ny sjef for Cyberforsvarets IT-avdeling