Kommunalt eide selskaper spiller en nøkkelrolle i beredskapen. Disse selskapene må forberede seg på nye trusler gjennom målrettede sikkerhetstiltak, ifølge risikorapporten fra Nasjonal sikkerhetsmyndighet (NSM).
Økende sikkerhetstrusler
Den sikkerhetspolitiske situasjonen i Europa er skjerpet, og trusselbildet har endret seg dramatisk de siste årene. Etterretningstjenesten og Politiets sikkerhetstjeneste peker på økt risiko for sabotasje, spionasje og digitale angrep.
NSM trekker fram at norsk infrastruktur kan være et mål, særlig innen energi- og transportsektoren.
– Kommunalt eide selskaper leverer tjenester som er avgjørende for hverdagen til innbyggerne. Strømforsyning, avfallshåndtering, vannforsyning og brannberedskap er tjenester som må fungere, selv i en krisesituasjon. Hvis disse systemene rammes av et cyberangrep eller fysisk sabotasje, kan det få store konsekvenser for både lokal og nasjonal sikkerhet, sier administrerende direktør Øivind Brevik i Samfunnsbedriftene.
Digitale trusler øker
Cyberangrep har blitt en større utfordring. NSM påpeker at stadig flere aktører utnytter sårbarheter i IT-systemer for å stjele informasjon eller lamme kritiske tjenester.
Advarer mot kunstig intelligens
NSM skriver i rapporten «Risiko 2025» at kunstig intelligens (KI) gir store muligheter, men også nye trusler. KI kan forbedre cybersikkerhet, men kan også brukes til å utføre sofistikerte cyberangrep, desinformasjonskampanjer og sosial manipulering.
«Generativ kunstig intelligens (KI) blir i økende omfang brukt til å understøtte påvirkningsoperasjoner. Falsk informasjon, i form av video, bilde, lyd og tekst, blir generert med hensikt å påvirke, forvirre og destabilisere. Innhold i phishingkampanjer kan eksempelvis enkelt genereres med tilgjengelige språkmodeller. Generativ KI kan også brukes til å opprette brukere i sosiale medier i et høyt tempo. Ved hjelp av KI-verktøy kan det enkelt genereres et større antall falske profiler som samhandler seg imellom, noe som øker profilenes legitimitet utad og kan bidra til å spre falsk informasjon» heter det i rapporten.
NSM har lagt ned forbud mot den kinesiske KI-appen DeepSeek for sine ansatte. NSM-sjef Arne Christian Haugstøyl råder andre norske ledere å følge etter.
– I NSM er det ikke lov til å laste ned DeepSeek på tjenesteenheter. Og jeg vil oppfordre norske virksomheter som mener at de har jobbsensitiv informasjon på enhetene sine, til heller ikke å gjøre det – i og med at usikkerheten er så stor rundt hvordan denne informasjonen blir lagret og hvordan den blir brukt, sier Haugstøyl.
Øivind Brevik sier at Samfunnsbedriftene tar oppfordringen.
– Vi har valgt å følge rådene fra NSM, og inntil videre tillater vi ikke at DeepSeek-appen installeres på jobbenhetene til våre ansatte, sier Brevik.
Løsepengeangrep mot kommunale tjenester kan for eksempel føre til at vannforsyning, renovasjon eller nødetater mister tilgang til viktige systemer.
For kommunalt eide selskaper betyr dette at cybersikkerhet må være en del av den daglige driften. Her er noen tiltak som NSM mener bør prioriteres:
- Oppdatert IT-sikkerhet: Regelmessige oppdateringer av programvare og sikkerhetssystemer.
- Opplæring av ansatte: Ansatte må være klar over risikoen ved phishing-angrep og sosial manipulering.
- Backup og reserveløsninger: Gode systemer for datalagring kan forhindre tap av informasjon ved et angrep.
Sårbar infrastruktur krever fysisk sikring
Fysiske angrep på infrastruktur er også en økende trussel.
– NSM advarer om at kraftlinjer, havneanlegg og vannforsyning kan være mål for sabotasje. Dette kan skje gjennom direkte angrep, eller gjennom spionasje og manipulering av systemer, sier Øivind Brevik.
Han sier at dette spesielt gjelder ubemannet infrastruktur i distriktene.
For å møte denne utfordringen må kommunene og deres selskaper:
- Styrke fysisk sikkerhet: Overvåking, adgangskontroll og sikring av kritiske installasjoner.
- Beredskapsøvelser: Trene på håndtering av sabotasje og strømbrudd.
- Samarbeid med nasjonale myndigheter: Utveksle informasjon og følge opp sikkerhetsanbefalinger.
Kommunenes ansvar i totalberedskapen
– Regjeringen har slått fast at Norge trenger et sterkere totalforsvar der både sivile og militære aktører samarbeider. Kommunene og deres selskaper har en viktig rolle i dette, sier Brevik.
– Derfor må de identifisere hvilke verdier og tjenester som er mest sårbare, og ta ansvar for å beskytte dem.
Brevik sier at den viktig del av denne innsatsen er å forstå hvordan lokal sikkerhet henger sammen med nasjonal beredskap.
– Et angrep på en havn eller et strømnett kan påvirke hele regionen og gi ringvirkninger langt utenfor kommunens grenser. Det krever en mer helhetlig tilnærming til sikkerhet.
Veien videre: Fra analyse til handling
NSM understreker at virksomheter i Norge ikke kan påvirke selve trusselbildet, men de kan redusere sårbarhetene sine. Det er på tide å gå fra analyser til konkrete tiltak.
Kommunalt eide selskaper bør derfor:
- Gjennomføre risikoanalyser for å avdekke sårbare punkter.
- Etablere klare beredskapsplaner for ulike scenarioer.
- Sikre nødvendig samarbeid med relevante myndigheter og sektorer.
– Norge er et trygt land, men tryggheten krever innsats. Ved å ta sikkerhet på alvor, kan kommunale selskaper bidra til å sikre både lokalsamfunn og nasjonal infrastruktur i en usikker tid, sier Øivind Brevik.