Hvorfor er Forsvaret sårbare for fiendtlige cyberoperasjoner?

Stadig mer av norsk forsvarsevne digitaliseres.[1] Og ettersom F-35 jagerflyene blir navet i den operative strukturen vil denne digitaliseringen bli enda sterkere i årene foran oss. Dette er bra, ikke minst for et lite forsvar som har få styrker til rådighet. Men som like fullt må dekke et norsk operasjonsområde som er altfor stort i forhold til antallet styrker. Finnmark er for eksempel like stort som Danmark. Og sjøområdene utenfor Norge er syv ganger større enn fastlandet. Mer digitalisering gjør derfor at et overbelastet forsvar raskere får samordnet og kraftsamlet innsatsen fra ulike luft-, sjø- og landmilitære enheter. Dermed får norske myndigheter mer effekt i målområder som ellers ville vært preget av spredt innsats fra enkeltstående kapasiteter. Dreningen mot færre men mer teknologitunge plattformer, som alle løser oppdrag ut i fra et felles IKT-basert «nervesystem», er en god idé. Ideen minner om de selvstendige franske divisjonene under det spanske felttoget i 1809, som i ettertid ble et tidløst mantra i europeisk krigføring: «march divided, fight united».

Kritiske sårbarheter

Men forsøkene på å gjøre Forsvarets styrker til et digitalt «system-av-systemer» gjør også at kritiske sårbarheter kommer sterkere opp i dagen. Vi snakker om fundamentale svakheter i egen organisasjon; sårbarheter som langt på vei risikerer å nulle ut digitaliseringsgevinsten som regjeringen ser for seg. For er det virkelig noen som tror at Forsvarets mest kritiske funksjoner, evnen til å utøve kommando og kontroll gjennom en velfungerende IKT-system, vil forbli urørt? Hva om situasjonen drar seg til i Barentshavet, langs Finnmarkskysten, eller langs mer hybride operasjonslinjer i «de tusen hjem» der Ola og Kari Nordmann trenger strøm, internett og mobildekning for å overleve (Heier 2020)? Vil Forsvaret kunne utøve kommando- og kontrollfunksjoner i slike scenarioer?

Dette er viktige spørsmål, for ifølge Etterretningstjenesten og Politiets sikkerhetstjeneste kommer de mest presserende truslene mot Norge fra cyberdomenet. Særlig fra russiske og kinesiske aktører, som hver dag og hvert sekund tester, kartlegger og penetrerer norske datasystemer. Denne formen for nettverksoperasjoner er ikke et særegent russisk eller kinesisk fenomen. Tvert imot, nettverksoperasjoner er en naturlig del av Forsvarets operative omgivelser og er bare et uttrykk for en ting: våre kriger og operasjoner må alltid forstås i lys av vår samtid. Nettverksoperasjoner mot motpartens sårbare punkter er med andre ord en helt normal aktivitet. Det er noe de aller fleste statene i dag forbereder seg på. Særlig mot potensielle motstandere man selv ikke har et nært, tillitsbasert sikkerhetspolitisk samarbeid med.

På stedet hvil?

Det som er spesielt i en norsk sammenheng er imidlertid dette: samtidig som det norske samfunnet er ett av verdens mest digitaliserte, og samtidig som forsvarsevnen digitaliseres, ser Forsvaret ut til å stå på stedet hvil når det gjelder beskyttelse mot den mest sannsynlige trusselen. Ifølge sjefen for det norske Cyberforsvaret, generalmajor Inge Kampenes, har de norske styrkene ingen mulighet til å beskytte seg mot utenlandske cyberangrep (Eide og Nørstebø, 2017): «Vi er marginale på hele spekteret av oppgaver – fra oppfylling av beredskapsbeholdning til styrkestruktur og planverk. […] Hvis det pøses på med cyberangrep mot oss vil vi ikke holde lenge». Manglende cyberberedskap gir dermed inntrykk av et forsvar som lider av digital umodenhet.

Med unntak av Riksrevisjonen (2011) og McKinsey & Co. (2015) er Forsvarets digitaliseringsproblemer sterk underkommunisert. Dette poengteres også av norske stortingsrepresentanter, som hevder at manglende cyberberedskap i Forsvaret «er ukjent farvann», og at «vi ikke har stor nok oppmerksomhet rundt dette». De folkevalgte innrømmer sågar at myndighetene «springer litt etter» når det gjelder å forstå omfanget av Forsvarets cyberproblemer (Elvenes, Sivertsen & Skotåm, 2019). Spørsmålet som melder seg er derfor dette: Hvorfor er det slik at Forsvaret er så dårlige til å beskytte seg selv mot den mest sannsynlige trusselen fra cyberdomenet? Det finnes ikke ett svar på dette spørsmålet. Mange årsaker spiller inn; noen svar vil ha stor forklaringskraft mens andre svar vil ha mindre. I denne artikkelen vil jeg likevel fremheve ett poeng, nemlig at Forsvaret langt på vei må ta skylden selv.

Forsvarets styringsmodell

Hovedårsaken er at Forsvaret holder seg med en styringsmodell som bidrar til fragmentering, særlig av operativ innsats. Dette er ikke et problem så lenge det er fred i nordområdene. Men straks norske myndigheter settes under press vil manglende digital helhet og samordning mellom forsvarsgrener og selvstendige driftsenheter bli et alvorlig sikkerhetsproblem. For med 14 ulike forsvarsgrener og driftsenheter er det nemlig vanskelig for Forsvarssjefen å utvikle et helhetlig styringskonsept. Ikke minst for hvordan luft-, sjø- og landmilitære styrker skal gjøre hverandre gode, tilby gjensidig støtte, og skape operasjonelle dilemmaer for fienden ut ifra lokal overlegenhet i tid og rom. Forsvaret har jobbet aktivt, i hvert fall siden innføringen av prosjektet Nettverksbasert forsvar i 1999,  med dette problemet. I Forsvarsstaben kalles det, på et svært dårlig, utilgjengelig og stivbeint byråkratspråk, for en «omforent virksomhetsarkitektur» (Forsvaret 2018). Men dette menes en styringsmodell der etatens ledergruppe er omforent i synet på hva som er de overordnede IKT-relaterte utfordringene og hvordan særegne, snevre og forsvarsgrenvise IKT-behov dermed må settes til side.

Men dette er enklere sagt enn gjort. Blant annet fordi forslag som knytter luft-, sjø- og landmilitære styrker sammen alltid møter motbør. Ifølge Forsvarets egen Digitaliseringsstrategi må styringsgruppen derfor tenke mer helhetlig. Særlig i måten forsvarsgrenene samarbeider på, og i måten driftsenhetene balanserer egne og overordnede behov på (ibid). Dette er et velkjent fenomen som blant annet tidligere forsvarssjef Sverre Diesen (2005–2009) har adressert. I boken Fornyelse eller forvitring? Forsvaret mot 2020 beskriver han rollen til de tidligere generalinspektørene for forsvarsgrenene som en av de aller vanskeligste. Dette er rett og slett fordi sjefene i Forsvarssjefens ledergruppe ofte befinner seg mellom «barken og veden»:

I alle forsvarsgrener oppfattes [lederne] som forsvarsgrenens fremste tillitsmann. [De skal] kjempe for forsvarsgrens interesser overfor forsvarssjef og statsråd. Men samtidig skal de også være forsvarssjefens nærmeste rådgivere i alle spørsmål som angår deres respektive forsvarsgrener, og medlemmer av et kollegium som skal og må ta et ansvar også for helheten (Diesen 2011, s. 241).

Den digitale sårbarheten som stammer fra et fragmentert kommando- og kontrollsystem kan dermed forstås som en konsekvens av hvordan forsvarsledelsen er satt sammen. Hver og en representerer styringsmodellen et konglomerat av ulike særinteresser, som først og fremst fremmes av ledere som ser seg selv som representanter for egen organisasjon, med egne budsjettposter på statsbudsjettet, og med særegne oppgaver som skal løses i krise og krig. Dette gjør at forsvarsledelsen utsettes for et betydelig krysspress, ovenfra og nedenfra, i egen organisasjon. Problemet synes ifølge Diesen å være at forsvarsgrenenes særinteresser, eller særinteressene til driftsenhetene, altfor ofte trumfer mer helhetlige hensyn.

Uklare roller og ansvar

La oss ta et eksempel fra Forsvarets IKT-drevne kommando- og kontrollsystem. I krise og krig skal disse IKT-systemene sørge for at luft-, sjø- og landmilitære styrker samarbeider. Poenget med dette er å få små og sårbare enheter på taktisk nivå, som til daglig er spredt rundt om i landet, til å levere mer effekt i målet enn hva styrkene ville klart hver for seg. Når Forsvaret skal anskaffe og drifte dette «nervesystemet» kommer imidlertid uklare ansvarsforhold opp i dagen. Dette er fordi arbeidsoppgavene er fordelt mellom flere typer av styrker, som alle må ha makt og myndighet for å løse oppgavene sine. Dermed oppstår det rivaliseringer og maktkamper innad i Forsvaret, og opp imot stakeholders som er organisert i naboetater. Cyberforsvaret er nemlig tildelt en funksjonell myndighet når det gjelder drift og vedlikehold av IKT-systemene. Forsvarets operative hovedkvarter, derimot, som skal bruke IKT-systemene til å planlegge, lede og gjennomføre operasjoner, er tillagt en operativ myndighet. På toppen av det hele er Forsvarsmateriell, som egen etat i forsvarssektoren, tildelt teknisk myndighet på investeringssiden.

På papiret kan det kanskje virke overkommelig om samarbeidet fungerer. I praksis derimot er dette problematisk, særlig når ledergruppen settes under press – noe som ikke er unaturlig for en militær beredskapsorganisasjon. For så snart denne styringsmodellen, mellom det funksjonelle, det operative og det tekniske møter hverdagen begynner også rollene å flyte over i hverandre. Dette er dels fordi Cyberforsvaret ofte må omkonfigurere nettverk som Forsvarets operative hovedkvarter bruker, særlig i operasjoner mot dynamiske russere som hele tiden endrer modus operandi. Men også fordi Cyberforsvarets funksjonelle krav til IKT-systemene får stor betydning for de tekniske løsningene som Forsvarsmateriell skal utarbeide og kjøpe inn. Dermed viskes grensesnittene ut mellom de tre driftsenhetene. Kanskje er det derfor at Forsvaret, tross en kronisk underfinansiering i mange år, tar seg råd til å holde de væpnede styrkene med nærmere 200 IKT-systemer som ikke kan kommunisere med hverandre (Heier, 2018, s. 305)?

Rivalisering og maktkamp

Uklare roller og ansvarsforhold ødelegger synergien som opprinnelig var ment for å gi hverandre gjensidig støtte i møtet med fienden. Fraværet av et samlende, helhetlig og sikkert IKT-system bidrar snarere til et utall av ulike reservedeler, servicepunkter og logistiske fotavtrykk samlet sett trekker store ressurser bort fra den spisse enden. I tillegg skapes det friksjon og samarbeidsproblemer, noe som også ble poengtert av Cybersjefen, generalmajor Inge Kampenes under Arendalsuka sommeren 2019. Her ble det hevdet at Forsvaret «… faktisk ikke er like flinke til å samarbeide… fordi vi har tillitsutfordringer, vi har maktkamper, vi prioriterer ikke eller tar oss ikke tid til å samarbeide eller vi erkjenner ikke verdien i dette i en relativt fredelig hverdag» (Sævold, 2019). Den tidligere sjefen, generalmajor Odd Egil Pedersen (2013–2017) opplevde det samme. I 2017 valgte han å fratre stillingen fordi, som han selv sa det, «… makt og myndighet ble pulverisert».

At de ulike forsvarsgrenene og driftsenhetene som møtes i etatens ledergruppe ikke vil innordne seg et felles integrert IKT-system er godt kjent. Problematikken er dokumentert fra blant annet konsulentselskapet McKinsey & Co. I en rapport fra 2015 hevdet de at Forsvaret har valgt

… en uegnet organisering av IKT. Modellen bidrar til ansvarspulverisering og uløste oppgaver. Det er store uklarheter i ansvarsforhold og ingen unison begrepsbruk mellom funksjoner. Dette driver både duplisering av funksjoner, eksempelvis i skillet mellom forvaltning og drift, og uløste oppgaver, eksempelvis rundt brukerstyring av systemer (2015, s. 51).

Manglende samhandling på tvers av grener, driftsenheter og naboetater synes dermed å skape store sårbarheter. Dette er rett og slett fordi knappe ressurser verken kraftsamles eller settes inn der trusselen er størst. Dette problemet ble også åpent adressert i 2015 under et foredrag i Oslo Militære Samfund. Her advarte Pedersen sine kollegaer fra luft-, sjø- og landdomenet om at de militære styrkene til Forsvaret ikke kunne kommunisere med hverandre. Selv ikke når styrkene befant seg i det samme operasjonsområdet. Enda verre var det at selv våpensystemer fra en og samme forsvarsgren heller ikke kunne gi hverandre gjensidig støtte (Pedersen, 2015). Dette problemet er også synlig i Forsvarets digitaliseringsstrategi, om enn formulert i vage og generelle ordelag slik at ingen fornærmes: «uklar rollefordeling, duplisering og uløste oppgaver» fremheves som særlig vanskelig, og som spesielt viktig å løse (Forsvaret, 2018).

Konklusjon

Slutning vi kan utlede fra denne artikkelen er som følger: Måten Forsvaret er organisert på, med 14 forsvarsgrener og selvstendige driftsenheter i etatsledelsen, åpner opp for store sårbarheter i egen organisasjon. Det er mulig innretningen er fornuftig i fredstid, fordi daglige oppgaver kan fordeles og delegeres nedover i kommandokjeden, i tråd med innarbeidede rutiner og prosedyrer – uten at organisasjonen utsettes for press. Men samordningsbehovet som oppstår på tvers av de operative domenene vil garantert skape store sårbarheter som russiske cyberkrigere fra GRU vil utnytte når de taktiske styrkebidragene settes på krigsfot. Dette er fordi det IKT-baserte nervesystemet som skal knytte alle landets militære styrker sammen til ett system-av-systemer er fragmentert, dårlig sikret og preget av mangler. Når de operative styrkene rundt om i det ganske land har problemer med å innfinne seg med færre men mer kompatible IKT-systemer, synes det som at Cyberforsvaret har for lite myndighet. Dels opp imot de andre forsvarsgrenene eller driftsenhetene i etaten, og dels opp imot Forsvarets materiellavdeling. I stedet bidrar arbeidsdeling og delegering av makt og myndighet mellom Cyberforsvaret og de andre driftsenhetene til en pulverisering av ansvar for hvem som skal gjøre hva når kommando- og kontrollsystemene skal strømlinjeformes.

En fragmentert styringsmodell, arbeidsfordeling og delegering av ansvar og myndighet gjør derfor at den mest sannsynlige trusselen får et uforholdsmessig stor spillerom i møtet med Forsvaret. IKT-konfigurasjonene som de taktiske styrkebidragene så sårt trenger for å samordne seg bli i stedet overlatt til snevre forsvarsgrenvise særinteresser. Dette gør at kjerneoppgavene i henholdsvis luft-, sjø- og landdomenet oppfattes som viktigere enn overordnede og mer helhetlige prioriteringer. I slike organisatoriske omgivelser oppstår det nye sårbarheter; dels gjennom manglende kompetanse på taktisk nivå i kommandostrukturen, men også gjennom manglende prioritering på beskyttelsestiltak mot fiendtlige cyberangrep gjennom trening og øvelse (Forsvaret 2019).

I så måte kan det hevdes at den militære styringsmodellen utgjør en sikkerhetsrisiko for landets myndigheter. Dette er rett og slett fordi den digitale fragmenteringen gjør det enklere for russiske eller kinesiske nettverksoperasjoner å påvirke hele eller deler av det IKT-relaterte konglomeratet av systemer som norske styrker skal gå til krig med. For det er jo viktigheten av nettopp disse systemene som også gjør IKT-strukturen til såkalte high value targets for enhver motpart som måtte ønske å påvirke norsk forsvarsevne. Å få flest mulige norske styrker til å opererer i blinde utenfor Mørekysten, eller forbli i et «sort hull» på rullebanen i Bodø eller i leiren på Rena, er nemlig mer effektivt enn å risikere en kamp på norske premisser.


Innlegget er finansiert av Eckbos Legat.


Foto: Cybersikkerhetssenteret (CSS), Cyberforsvaret på Jørstadmoen (Anette Ask/Forsvaret)


Litteratur

Diesen, S. (2011). Fornyelse eller forvitring? Forsvaret mot 2020. Oslo: Cappelen Damm.

Eide, O. K. & Nørstebø, C. (2017). Vår evne til å stå imot et cyberangrep er marginal. Forsvarets forum. Publisert 11. oktober 2017 10:58. Sist oppdatert 18. oktober 2017 09:10. Hentet fra https://forsvaretsforum.no/v%C3%A5r-evne-til-%C3%A5-st%C3%A5-i-mot-et-cyberangrep-er-marginal

Elvenes, H., Sivertsen, E. & Skotåm, P.-G. (2019, 28. oktober). Debatt om cybertrusselen mot Norge. Innlegg fra konferansen Sikkerhetspolitisk balansekunst i regi av UTSYN, Bodø. Hentet fra https://www.facebook.com/highnorthnews/videos/2506680956093205/

Forsvaret. (2018). Digitaliseringsstrategi for Forsvaret. Oslo: Forsvarsstaben.

Forsvaret. (2019). Forsvarssjefens fagmilitære råd, 2019 – rapport fra cyberutredningen. Oslo: Forsvarsstaben.

Heier, Tormod (2019), «Forbereder vi oss på riktig krig», Samtiden nr. 1, s.

McKinsey & Company. (2015). Modernisering og effektivisering av stabs-, støtte- og forvaltningsfunksjoner i forsvarssektoren. Hentet fra https://www.regjeringen.no/globalassets/departementene/fd/dokumenter/rapporter-og-regelverk/150317modernisering-og-effektivisering-av-forsvarssektoren.pdf.

Riksrevisjonen (2011). Riksrevisjonens undersøkelse av intern kontroll i forsvarssektoren.  (Dokument 3:9 (2010–2011)). Hentet fra https://forsvaret.no/ifs/ForsvaretDocuments/Dokument%20nr.%203_9%20(2010-2011)%20Riksrevisjonen%20unders%C3%B8kelse%20av%20intern%20kontroll%20i%20forsvarssektoren.pdf.


[1] Artikkelen er den første av to artikler som bygger på Tormod Heier og Bjørn Mobech-Hanssens «Et forsvar i digital krise?», i Internasjonal Politikk, 78(3):362-382. https://tidsskriftet-ip.no/index.php/intpol/article/view/2288/4577.