Sikkerhetskultur i lys av sosiale medier og den digitale revolusjon.

Vi lever i en verden som gjør oss stadig mer avhengige av digitale hjelpemidler og virtuelle sosiale nettverk. Det har blitt en naturlig del av vår hverdag å dele bilder, plassering og personlig informasjon på nett. Er vi egentlig klar over hvilken potensiell gullgruve informasjonen vi deler kan være for en eventuell fiende? Alt vi foretar oss i på internett legger fra seg digitale avtrykk som kan spores.


Sikkerhetskulturen i Forsvaret må ta innover seg de elementære utfordringene ved opptreden på internett, og vi må legge til rette for at våre soldater skal kunne gjennomføre de tiltakene som iverksettes. Mislykkes vi med dette, ender Forsvaret kun opp med enda et sett regler som ikke følges opp av holdninger, kompetanse og kunnskap fra offiserer, befal og spesialister «i bruket».

Denne artikkelen skal forsøke å sette fingeren på hvorfor vi burde tenke oss om én ekstra gang før man publiserer noe på nett, eller bruker teknologien rundt oss med uvettig. Enkle feiltrinn kan føre med seg den siste biten i et puslespill en fiende har brukt lang tid på å sette sammen. Artikkelen tar for seg tre hovedtemaer; stedtjenester, forsvarets ansikt utad og naiviteten som finnes om privat publisering av forsvarsrelaterte bilder på private kontoer.

Vårt ønske, er at artikkelen skal kunne bidra til en sunn diskusjon rundt lunsjbordet, i gangene og en bevisstgjøring rundt hvordan vi skal fremstå i det offentlige rom. Hvordan soldater, spesialister, befal og offiserer fremstiller Forsvaret bør ikke være utelukkende bestemt igjennom policyer og regler. Vi trenger en diskusjon rundt holdninger, profil og sikkerhetsaspekter ved opptreden i den digitale offentligheten.  

På engelsk finnes to ord for sikkerhet: safety og security. Safety omhandler det menneskelige aspektet. Tiltak som gjøres for å unngå at mennesker utsettes for fare, skader eller tap av liv. Security omhandler derimot blant annet om de tiltak som gjøres for å sikre seg mot spionasje, sabotasje og kriminalitet. Dette er en forskjell som det er viktig å forstå, siden sikkerhetskultur ofte assosieres med «safety» når vi snakker om dette på norsk.

En påstand, er at vi er flinke på «safety» i Norge. Forsvaret har et godt rammeverk der nestenulykker og HMS-saker rapporteres, og tiltak iverksettes for å unngå at det samme skal skje igjen. Når det kommer til «security» er påstanden at vi lang på vei henger etter, og er til dels skjødesløse i vår tilnærming. En av årsakene til underrapportering av sikkerhetshendelser kan være alvoret en slik hendelse kan ha for en fremtidig karriere, og en fryktkultur som skapes når det er en forventning for straff ved rapportering.

Sikkerhetsloven er detaljert, og krever at et mistenkt brudd på loven blir etterforsket av FSA/MP, og dersom det bekreftes brudd på loven vil den ansvarlige bli straffet. Sikkerhetsbrudd ser ikke godt ut på noe rulleblad, så små sikkerhetshendelser havner ofte utenfor skuddfeltet til ASO, og blir håndtert på lavest mulig nivå. Denne formen for unnvikelse kan langt på vei føre til en bagatellisering av sikkerhetshendelser på lavere graderingsnivå, og kan være en direkte konsekvens til hvorfor vi sliter med å skille hva som er ugradert og hva som faktisk er skjermingsverdig eller gradert.  

Problematikken

I løpet av de ti siste årene har ny teknologi generelt, og i mobilmarkedet spesielt gjort det mulig for oss å kommunisere på helt nye måter. Den umiddelbare nærhet til å kunne dele nærmest alt, har endret måten vi lever og jobber. Men, utviklingen går fremover i en fart som gjør at det er vanskelig å følge hvilke muligheter som følger med teknologien. Hjelpemidlene som følger med teknologien setter oss i stand til å effektivisere arbeidsoppgaver, og gir oss uante muligheter for sanntidsdeling av situasjonsforståelse og effektivisering av operasjonsledelse.

Problemene med denne teknoligien kommer til syne når vi inkluderer menneskets iboende trang for bekvemmelighet og motvilje for endring. Et banalt eksempel er at selv etter at store nøkkelknipper har blitt erstattet av et enkelt adgangskort, blir mange fortsatt holdt åpne av stein og skokremkasser. Dette fordi «noen» syntes det er for mye styr å skanne kortet som man uansett har rundt halsen eller i lommeboka, og velger bekvemmelighet før sikkerhet.

En av mulighetene som har sneket seg inn i de fleste apper vi bruker i dag er «posisjonsdata» eller stedtjenester. Stedtjenester bruker data om hvor en mobiltelefon eller datamaskin befinner seg for å skreddersy brukeropplevelsen. Men vet vi egentlig hvem vi sender posisjonen vår til? Problemet med stedtjenester, er at de muliggjør bruk av data fra mobilen på helt nye måter. Hvem som sitter i mottakende ende av dine posisjonsdata er ikke noe som umiddelbart er enkelt å finne ut av.

For å eksemplifisere påstanden om utilsiktet bruk av stedtjenester. Skal vi bruke et eksempel fra øvelse Trident Juncture 2018 som har sirkulert på nett de siste uker.

En litt over gjennomsnittet årvåken soldat fra et land som kjemper mot nordmennene har med sin mobil på TRJE. Soldaten bruker Tinder og oppdager en stor ansamling norske soldater med bilder av seg i uniform 7-8km unna. Ved å ta med telefonen til fire-fem forskjellige plasser og triangulere avstanden til denne ansamlingen med soldater klarer de å angi en nøyaktig nok posisjon til å sende en oppklaringspatrulje. Denne patruljen bekrefter en kommandoplass i området som tidligere ble triangulert, fienden kaller inn artilleri og tar ut hele kommandoplassen. Denne historien gjentar seg flere ganger, og selv ved å innføre radiotaushet hos den norske avdelingen blir det ikke slutt på artilleriet siden fiendens etterretning var et resultat av utilsiktet deling av posisjon, og ikke slett militært arbeid.  

Om denne historien er oppdiktet eller er et resultat av krigslist vites ikke, men den viser et reelt poeng når det kommer til utilsiktet posisjonsdeling. På bakgrunn av slike hendelser har Forsvaret utformet sine regler for mobilbruk i felt. På grunn av manglende kunnskap og kompetanse er det ikke overraskende at enkelte offiserer og befal ikke forstår konsekvensen av å bryte med gjeldende policy. Uten overlegg setter vi da igjen bekvemmelighet før sikkerhet, og lar soldatene ta med seg telefonene sine i felt.

Den andre problemstillingen er Forsvarets ansikt utad. Forsvaret har som forvalter av nasjonens ytterste maktmiddel et behov for å kommunisere med befolkningen. I 2018 foregår mye av denne kommunikasjonen på sosiale medier. Forsvaret som organisasjon har en klar og tydelig mediepolicy hvor det som kommuniseres utad har en nogen lunde lik fremtoning og budskap. Forsvarets mediesenter forvalter forsvarets kommunikasjon på en relativt god måte, hvor avdelingene selv i stor grad på sjefsnivå godkjenner de bilder og artikler som skal publiseres på nett.

Problemet med forsvarets annsikt utad kommer når private aktører uten tilknytning til Forsvaret som @mighty_norway og @jenteriforsvaret, ukritisk får publisere forsvarsbilder til en følgerskare på over 125 000 personer. Til sammenligning når Forsvarets offisielle kanaler ut til rett rundt 100 000 på instagram. De uoffisielle private kanalene som ikke har en direkte tilknytning til organisasjonen når ut til langt flere personer enn hva forsvaret selv får til.

Bildene som blir postet på de private kontoene er i all hovedsak tatt av vernepliktige soldater som sender sine bilder til en administrator som publiserer bildene. Vi må huske på at den generasjonen soldater som vi får inn til førstegangstjeneste aldri har opplevd en analog verden, og den digitale revolusjon er ikke noe de har måttet tilpasse seg til; det er den eneste virkelighet de kjenner. Dette krever at vi som kommende offiserer og befal har et bevisst forhold til hvordan vi kan skape gode holdninger til opptreden i det digitale rom blandt våre soldater.

Den tredje problematikken vi skal ta opp er: "Den generelle naiviteten ved publisering av bilder som knytter privatpersoner til Forsvaret." Som privatperson kan være vanskelig og alltid måtte tenke at: "Det som kan virke uviktig for meg, kan være den siste brikken i et puslespill for noen andre."

“Vår oppgave er å vite alt som de andre vil skjule for oss. De andre er fienden, utlendingene, de allierte, alle de som ikke er oss. De forteller oss ikke alt, og viser oss ikke alt. Men vi vil vite alt. Så vi leter, snuser, lytter og observerer. Vi rekrutterer fra deres rekker. Det er yrket vårt: Etterretning.”

Denne åpningsmonologen fra serien «Le Bureau» gir et lite innblikk i tankesettet til en etterretningstjeneste. Alt som vi gjør etterlater seg digitale spor. Å leve i 2018 uten å legge fra seg spor som kan brukes til å følge enkeltpersoner eller grupper mennesker er nesten umulig. Mulighetene som finnes for å utnytte de digitale sporene mot oss er nærmest ubegrenset.

En av etterretningens paradokser er at metodene som gir best tilgang til informasjon belager seg på enkle menneskelige feil, samt at den som er kilde til informasjon ikke selv er klar over at informasjonen blir samlet inn. Siden vi mennesker er vanedyr, tar snarveier og velger miste motstands vei, gir metodene ofte meget god tilgang. Dette er hvorfor metodene er underlagt et regime av strengt hemmelighold og er styrt av nasjonalt lovverk, siden de griper dypt inn i et måls personlige sfære.

Med dette i bakhodet bør vi som ansatte i Forsvaret være oppmerksom på hvordan vår rolle som offiser, befal eller spesialist kan utnyttes. En fiende som kan utnytte svakheter som er skjult for oss, men åpne for han, vil kunne gi tilgang til informasjon som han ellers hadde måttet rekruttere menneskelige kilder som jobber inne i organisasjonen.

Bilder eller informasjon som postes på internett er vanskelig (om ikke umulig) å få fjernet igjen, og en fiende som ønsker å utøve personlig press i fremtiden, kan i verste fall bygge opp en database av informasjon om enkeltpersoner tilknyttet forsvaret. Personlig press basert på private opplysninger sees på som en av de største grunnene for at mennesker skal dele eller lekke sikkerhetsgradert informasjon.

Kunnskap, Kompetanse og Holdninger.

Etter å ha presentert problemstillingene ovenfor kan det kanskje virke som om vi er negative til at man i det hele tatt skal ha mulighet til å leve et digitalt liv utenfor jobben som offiser, befal eller spesialist i Forsvaret. Å innføre et rigid regelverk med klare regler for hvordan vi og våre soldater skal oppføre oss vil mest sannsynlig virke mot sin hensikt.

Så, hva blir da løsningen? Vi har troen på at ved målrettet arbeid fra offiserer og befal på tropps- og kompaninivå kan hjelpe til å skape den holdningsendringen som trengs. Vi må aktivt undervise og spre kunnskap og kompetanse om hvilke muligheter og utfordringer som finnes ved opptreden i den digitale offentlighet.

I Norge går grensen mellom ytringsfrihet og Forsvarets behov for skjerming i Sikkerhetsloven. Dette skillet er relativt klart, men det er en utopi å tro at alle soldater skal ha inngående kjennskap til loven og dens innhold. Dersom Forsvaret innfører et rigid regelverk som begrenser handlingsrommet for egen tenkning, vil dette være direkte motstridende med forsvarets uttalte ledelsesfilosofi, som legger intensjonsbaserte føringer til grunn for ledelse.

Som beskrevet tidligere i artikkelen har Forsvaret behov for å kunne drive åpen og ærlig kommunikasjon. Forsvaret som organisasjon har i løpet av de siste 10-15 årene gjennomgått en holdningsendring når det kommer til åpen og ærlig kommunikasjon med befolkningen. Vi har gått fra en vernepliktig mobiliseringshær hvor store deler av den oppvoksende generasjonen hadde førstehånds erfaring med forsvaret, til et innsatsforsvar med knapt 10 000 soldater som årlig kalles inn til førstegangstjeneste. Dette krever at Forsvaret kan kommunisere med samfunnet på nye måter, og krever i så måte en åpen og gjennomsiktig strategi fra organisasjonen.

Det aller meste som Forsvaret driver med er offentlig og ugradert. Forsvaret har informasjonsplikt ovenfor politikerne og skattebetalerne som forventer at de enorme pengesummene som investeres blir brukt på en riktig og fornuftig måte. Selv om det aller meste av aktiviteten er ugradert, er det behov for at det finnes gode holdninger som kan hjelpe den enkelte bruker til å ikke poste den siste biten i puslespillet.

Som (kommende) offiserer og befal er det vår plikt å bidra til at vi i fremtiden kan bli enda bedre til å benytte oss av god kommunikasjon i det digitale rom. Som sjefer blir vi nødt til å ta oss tid til å utdanne oss selv og våre soldater i hvordan uaktsomhet og naiv «like-jakt» kan ha større konsekvenser enn hva man kanskje skulle tro.

Økt kompetansedeling fra fagmiljøene som jobber med sårbarhet og innhenting vil også kunne bidra til at vi kan få større kraft bak ordene som kommuniseres «top-down» som policyer og retningslinjer på bruk av digitale plattformer og sosiale medier. Vi må søke informasjon om hvordan vi kan utnytte de muligheter som teknologien gir oss, samtidig som vi må inngå å tiltrekke oss unødvendig oppmerksomhet ved å bruke den uaktsomt.

Vi lever i en verden der vi har et reelt behov for åpenhet. Som offiserer og profesjonsutøvere må vi ta innover oss det faktum at vi er tildelt kommando over det ytterste maktmiddel fra staten, og at vi med det har et ansvar for hvordan vi fremstår som rollemodeller, holdningsskapere, ledere og følgere. For å være klar til krig i kveld vil det være like viktig å ikke bli et offer for latskap, og uaktsom bruk av teknologien rundt oss. Vi må være villige til å lære og utvikle oss. Teknologien gir mange uante muligheter, men kan også være en stor fiende. Fremtiden krever en aktiv og bevisst sikkerhetskultur som baserer seg på gode holdninger, relevant og rett kompetanse samt operasjonaliserte ferdigheter på laveste nivå.

Kulturdannelsen er vårt ansvar, men hvordan skal vi bidra til den i fremtiden?


Denne artikkelen er skrevet etter et intervju med Oblt. Aleksander Jankov. Med sin bakgrunn som talsperson for Hæren, og nåværende stilling som sjef Etterretningsbataljonen har han både erfaring og kompetanse til å kunne kommentere dette temaet. Hans uttalelser er bakgrunn for flere av de punktene som diskuteres underveis i artikkelen. Allikevel er det også synspunkter og meninger som blir presentert under «problematikken» som står for artikkelforfatterens egen regning, og som ikke skal tillegges Oblt. Jankov.


Artikkelen er også publisert i Forposten nr.4 2018/desember