– Vi er på et minimumsnivå, mener generalmajor Inge Kampenes.
– Er det sånn at vi ikke følger med? Nei. Vi overvåker hele tiden. Men evnen til å oppdage alt er marginal. Og evnen til å analysere, er også marginal. Vi er marginale på hele spekteret av oppgaver – fra oppfylling av beredskapsbeholdning til treningsnivå til styrkestruktur til planverk, sier sjefen for Cyberforsvaret.
– Hvis det pøses på med cyberangrep mot oss, vil vi ikke holde lenge. Vi kan kanskje stoppe et angrep, men vi klarer ikke å avsløre hvem som angriper.
Hvis det pøses på med cyberangrep mot oss, vil vi ikke holde lenge
Denne høsten intervjuer forsvaretsforum.no sjefene i forsvarsgrenene og de største avdelingene. I 2015 ledet generalmajor Inge Kampenes arbeidet med forsvarssjefens fagmilitære råd. To år senere står han med begge beina i det han kaller «en omfattende omstillingsprosess». Som sjef for Cyberforsvaret skal han også forsvare mot en trussel vi ikke kan se. Det er lettere sagt enn gjort.
– Vi tar flere grep. De vil gjøre at vi ser relativt annerledes ut i fremtiden, sier han.
– Ett slik grep er en militarisering av Cyberforsvaret. Misforstå ikke. Vi skal ikke kvitte oss med sivile. Vi er en organisasjon med en stor andel sivile. Vi er 60-40, fordel sivile. Og vi jobber i stor grad med sivile ting, som IKT og datanettverk. Vi løper ikke i front med kuler og krutt. Mens andre har gjort det, har vi satt opp samband. Resultatet er at på øvelser har ikke vi vært med for å øve. Vi har vært med for å få øvelsen til å fungere.
På øvelser har ikke vi vært med for å øve. Vi har vært med for å få øvelsen til å fungere
– Hvorfor må Cyberforsvaret militariseres?
– For å være relevante. At vi militariseres, betyr at vi skal være i stand til å løse militære oppdrag – med egne ansatte. Sivile må inn i styrkestrukturen. De må kunne beskytte seg. Hvis ikke, må de beskyttes. Det kan for eksempel Heimevernet gjøre. Hvor lang tid vil vi trenge på å bli tilstrekkelig militarisert? Det handler om å trene. Og det koster penger. Målet er å skru om organisasjonen innen høsten 2018. Da har vi Trident Juncture. Det blir en viktig test for oss.
– Hva er konsekvensen av at dere ikke er der «dere bør være» i dag?
– Hvis det hadde skjedd noe i dag, hadde vi knapt kunne gjøre jobben vår på en minimumsmåte. Første gang vi var på en side i en konflikt i en øvelse, var under Joint Viking i vinter. Det ga oss en rekke erfaringer. Vi lærte at vi er nødt til å øve mer sammen med spesielt Heimevernet og Hæren.
– Hva lærte dere?
– At vi må bli mindre utsatt for effekt av fiendtlig handling.
– Hvor bekymret gjør det deg som sjef?
– Jeg er bekymret. Det vi leverer hver dag, er veldig bra. Men det er del av fredstidsdriften. I en konfliktkontekst er vi marginale. Det handler om cybersikkerhet og oppdragene vi skal utføre. Vi er sårbare og har lite robusthet i logistikk og beredskap.
– Hvorfor er det blitt slik?
– Jeg ser på det som et resultat av de siste 30 årene. Sakte, men sikkert har man gått bort fra Forsvaret av landet som det primære. Operasjoner i utlandet har vært prioritert. Det påvirker hele Forsvaret – også Cyberforsvaret.
– Hvorfor har ikke Cyberforsvaret vært en part i øvelser tidligere?
– Jeg kaller det «behagelighets»-hensyn. Når Forsvaret øver, er vi avhengig av kommunikasjonsmidler som virker. Hvis de ikke virker, får vi ikke øvd. Så enkelt er det. Å gjøre samband og kommunikasjonsbrudd til noe man øver på, får store konsekvenser for resten av aktiviteten. Derfor har man ikke gjort det. Men resultatet er at vi ikke har fått trene på hvilke tiltak vi skal iverksette dersom sambandet blir satt ut av spill. Vi trenger å øve på dette sammen med de vi skal operere med. Det er i ferd med å snu.
– Får dere øve under Trident Juncture?
– Ja. I tillegg til at vi selvfølgelig skal sørge for at alle har samband.
– Én ting er å skru sammen Cyberforsvaret på nytt. Men også Forsvaret må vel skrus sammen på ny hvis det skal ha noen effekt?
– Ja. Vi ser noen resultater allerede. Under Øvelse Hovedstad samarbeidet vi med Heimevernet. Vi fikk gjort jobben vår og fikk trent på at de ga oss styrkebeskyttelse.
– Vi intervjuer sjefene for forsvarsgrenene og spør blant annet om forholdet til cyberdomenet. Det reduseres ofte til ett begrep: samband. Overrasker det?
– Samband er viktig. Og sikkert samband er et godt begrep. Vi skal sørge for det. Jeg synes det er viktig å anerkjenne de operatives opplevelse. For dem er kanskje ikke krigføring i cyberdomenet en stor faktor, men vi jobber med å øke bevisstheten rundt digitale trusler.
Jeg synes det er viktig å anerkjenne de operatives opplevelse. For dem er kanskje ikke krigføring i cyberdomenet en stor faktor
– Er kunnskapen om hva cyberangrep kan være, for liten?
– Det er en utfordring vi må jobbe med i lang tid fremover. Heldigvis går verden litt i takt. Men hvis vi er på hælen, skal det ikke mye til før trusselen løper fra oss. Det er en posisjon vi ikke kan være i. Cyberforsvaret må snakke om truslene på en måte som blir forstått.
– Hva er egentlig trusselen?
– Den er komplisert. Cyberforsvaret skal beskytte Forsvarets IKT. Vi kan ikke beskytte samfunnet mot cybertrusler, det må den enkelte sektor ta ansvar for. Men vi ser tre type trusler: Den nysgjerrige hackeren, kriminelle ute etter økonomisk vinning og statlige aktører. Den siste trusselen kan dreie seg om spionvirksomhet, men det kan også være digitale angrep.
– Hvordan kan cyber brukes som våpen?
– Programmer kan stenge kraftposisjoner eller mørkelegge byer. De kan ødelegge banksystemer og stoppe atomvåpenprogram. Alt det her har skjedd. Vi har eksempler fra Ukraina og Iran. Det spesielle er at du kan bli angrepet fra hvor som helst. Og du kan ikke forsvare deg mot det med fly, båter og grønnkledde menn.
Du kan ikke forsvare deg mot det med fly, båter og grønnkledde menn
– Hvordan kan man forsvare seg da?
– Du trenger digitale forsvarsverk. Du må hindre fienden å komme inn i datanettverket ditt. Du må sørge for at de ikke kommer frem til det punktet i datanettverket hvor de kan gjøre skade. Når de kommer inn, må vi stoppe dem der også. Dette er en kamp hver eneste dag mellom aktører som det er vanskelig å identifisere.
– Har fienden vært inne i systemene til Forsvaret?
– Ja. Vi har hatt angrep som nesten kom frem. Vi har klart å stoppe angrep, men å spore kilden er vanskelig.
Vi har hatt angrep som nesten kom frem
– Fant dere kilden?
– Det kan jeg ikke svare på, det er gradert informasjon.
– Generalløytnant Morten Haga Lunde i Etterretningstjenesten sier at den største trusselen i cyberdomenet er russiske aktører?
– Jeg støtter etterretningssjefens vurdering.
– At fienden var så nære: Bekymrer det deg?
– Ja. Samtidig ser jeg at vi har god oversikt. Vi håndterte det. Og vi samarbeider tett med Etterretningstjenesten. De er fagmyndighet for cyberoperasjoner. Vi har fagansvar for defensive cyberoperasjoner. Det Cyberforsvaret gjør, gjør vi koordinert med Etterretningstjenesten.
– Hva er forskjellen på cyberoperasjoner og defensive cyberoperasjoner?
– Etterretningstjenesten driver etterretning. De overvåker. Vi er reaktive og reagerer når vi oppdager angrep og avvik i datatrafikken. Vi følger med på systemene til Forsvaret hver dag – 24 timer i døgnet. All aktivitet blir undersøkt. I tillegg har Etterretningstjenesten sine kapasiteter. Vi bidrar i utviklingen av Etterretningstjenestens trusselvurdering. Det vi ser at vi kommer til å trenge mer av, er operatører. Noen ganger kan det å slippe en aktør inn i datanettverket ditt være del av en defensiv operasjon. Det kan gi oss bedre tid til å analysere. Men her må vi utvikle oss. Vi har først og fremst dyktige teknikere i Cyberforsvaret. Vi er høykompetente – men vi trenger mer personell med et operativt tankesett.
– Trenger dere å øke volumet?
– Vi forholder oss til årsverk-rammen. Forsvarsdepartementet kommer med en utredning om cyber og IKT. Jeg forventer at den vil si noe om retning, men jeg tar ikke høyde for økte rammer. Men vi må bygge kompetanse, og vi må styrke cybersikkerhetsavdelingen. For å få til det, må vi bygge ned et annet sted. Vi prøver å ta mest mulig fra ledelse, stab og administrasjon.
– Hvor lang tid vil det ta å bygge kompetansen dere trenger?
– I dag cybersikkerhetsavdelingen for liten. Den må økes betydelig. Jeg tror ikke vi er der vi ønsker å være, før om et par år. Vi har også materiellutfordringer. Der håper jeg å være i mål i 2018. Ett viktig prosjekt vi jobber med, er nye datanettverkssensorer.
– Er ikke sensorene bra nok?
– De er gamle. Prosjektet har stått i stampe siden 2012. Da skulle sensorene egentlig vært byttet ut. Vi har flikket på dem, men også her er vi marginale. Det er helt nødvendig at vi får nytt materiell.
Prosjektet har stått i stampe siden 2012. Da skulle sensorene egentlig vært byttet ut
– Blir materiell fortere gammelt i cyberdomenet?
– Det blir fort utdatert. Vi jobber med omfattende prosjekter som ofte blir levert om tre-fire år. Da vet vi at materiellet kan være gårsdagens teknologi. Det er i alle fall tilpasset gårsdagens krav. Vi ser også at vi har hatt for lite investeringsmidler de siste årene. Gjennomføringen av moderniseringen av infrastrukturen er svært lav. Det har Langtidsplanen for Forsvaret bekreftet. De neste fire årene vil investeringer innenfor IKT firedobles. Det er bra, men det er også en kjempeutfordring. Vi må organisere oss på en hensiktsmessig måte og sørge for at vi har nok folk så vi klarer å lande disse prosjektene.
– Hvordan kan man unngå at materiell blir utdatert?
– Vi har sammen med Forsvarsmateriell tatt initiativ for å jobbe annerledes i investeringsprosessen. Vi ser for oss en samhandlingsmodell. Mer skal leveres underveis, og man skal drive utvikling mens man leverer. Vi vil ikke få én 200 millioners-leveranse, men heller få den stykkevis og delt – og oppdatert underveis. Det gir mer effekt. Og det er sånn man gjør det på utsiden av gjerdet innenfor IKT-prosjekter.
– Blir det mer bruk av sivil teknologi?
– Ja. Vi bruker mye sivil kompetanse allerede. Som de andre forsvarsgrenene, må vi bygge grunnmuren. Vi har mange systemer som ikke er sikkerhetsgodkjente. Vi er nødt til å bytte ut det jeg kaller «gammelt ræl», så vi slipper midlertidige brukstillatelser.
– Hvorfor er de ikke godkjent?
– Når du ikke får nok penger, tærer du på lageret. Og du prioriterer. Derfor har vi utsatt å bytte ut systemer, og det har gått utover sikkerhetsgodkjennelsene. Sånn kan vi ikke ha det.
– Under Arendalsuka i august sa Telenor at de ikke klarer å ivareta god nok cybersikkerhet. At en større statlig aktør sier dette: Hva betyr det?
– At det er svært viktig å jobbe godt og fort med dette temaet.
– Har man sovet i timen?
– Nei, jeg tror ikke det. Temaet har vært debattert, men jeg tror det har krevd modningstid. I Forsvaret har man snakket om cyber i fem-seks år, og sakte men sikkert har man blitt bedre til å ta det på alvor.
I Forsvaret har man snakket om cyber i fem-seks år, og sakte men sikkert har man blitt bedre til å ta det på alvor
– Telenor etterlyser tettere samarbeid mellom det sivile og det offentlige?
– Det er vi veldig for. Vi er i en bransje hvor de sivile aktørene i stor grad har de samme utfordringene som vi har. Sivile selskaper og akademiske forskningsmiljøer har innsikt og kompetanse som er helt avgjørende. Vi har hatt en avtale med Telenor og skal undertegne en ny. Vi samarbeider med NTNU på Gjøvik. De har et cybersikkerhetssenter. Der spiller Cyberforsvaret, Telenor og Kripos alle en rolle. Vi sponser årsverk. Og vi ser på mulighetene for å utvikle det vi kaller en «cyberrange» på Innlandet. Det vil være et digitalt øvings-, trenings- og forskningsfelt. Det vil være et fantastisk virkemiddel for å øve og utdanne nye operatører, utvikle operasjonskonsepter og forstå utfordringene sammen.
– Regjeringen har lansert en nasjonal cyberstrategi. Hva betyr den?
– Foreløpig tar vi den til etterretning. Jeg klarer ikke å se noen klare konsekvenser for Forsvaret, utover at det er viktig å samle de nasjonale aktørene. Da anerkjenner vi at cyberdomenet er viktig og at trusler må håndteres sammen.
– Nato har egen handlingsplan for digitalt forsvar. Når får Forsvaret det?
– Jeg tror det vokser fram i kjølvannet av cyberstrategien. Jeg forventer at utredningen til Forsvarsdepartementet sier noe om veien videre.
– Forventer du endringer?
– Ja. Ansvar og oppgaver er fordelt på mange aktører. Det kompliserer. Både ledere og ansatte er usikre på hvor rammene for sin virksomhet går. Forsvarsmateriells IKT-avdeling er en veldig viktig aktør, som vi har et komplisert grenseforhold til. Jeg forventer at man enten bekrefter at det skal være sånn eller at man fordeler roller, ansvar og myndighet på nytt. Tidligere har det i stor grad vært maktkamper om hvem som skal gjøre hva. Jeg opplever at de er dempet nå. Jeg tror vi som jobber med cyber- og IKT-virksomhet vil bli prioritert i tiden fremover, fordi trusselbildet hele tiden bekreftes.
Ansvar og oppgaver er fordelt på mange aktører. Det kompliserer
– Har man ikke trodd på det tidligere?
– Jeg tror det i stor grad ble sett på som teori. Nå har vi eksempler på reelle sårbarheter. Ta utsetting av tjenester. Helse SørØst satte ut vedlikehold av pasientdatabaser til Romania. Plutselig var dataene tilgjengelige for alle. Det er et skrekkeksempel og en øyeåpner.
– Flere av de store aktørene i cyberdomenet er del av Cyberkoordineringssenteret. Det er ikke Cyberforsvaret. Burde dere vært der?
– Senteret driver koordinerings- og informasjonsutveksling for etterretnings- og overvåkingstjenestene. Vi har en liaisonoffiser der. Det er viktigere å ha et tett og godt forhold til Etterretningstjenesten.
– Hva gjør dere hvis det kommer et cyberangrep mot Forsvaret?
– Hvis vi oppdager et angrep, håndteres det av flere avdelinger i Cyberforsvaret. Og vi samarbeider med Etterretningstjenesten når det er nødvendig.
– Langtidsplanen sier også at det skal utredes hvorvidt Cyberforsvaret kan støtte andre samfunnssektorer?
– Det er del av utredningen til Forsvarsdepartementet. Det kan dreie seg om mobile sensorer eller analyse-team. Vi kan hjelpe og gi råd til sivile bedrifter. Men jeg blir overrasket dersom Cyberforsvaret får konkret ansvar for å beskytte andre samfunnssektorer.
– Har dere kapasitet til det?
– Den vil være svært begrenset. Men vi har litt.
– Robert Mood sa i 2008 at Hæren kunne forsvare en bydel i Oslo. Hvor stor del av cyberdomenet kan dere forsvare?
– Cyberdomenet er grenseløst, men vårt ansvar er å beskytte Forsvarets samband og datanettverk. Sånn sett er det en klar begrensning. Fienden kan komme fra hvor som helst, men skal han inn i de graderte datanettverkene våre, må han gjennom noen kanaler. De overvåker vi. Og i disse kanalene vil vi være i stand til å håndtere et angrep. Men vi har begrenset kapasitet. Derfor konkluderer jeg også med at vi har marginal evne til å forsvare oss.
– Hva betyr fremtidens landmakt for Cyberforsvaret?
– Jeg tror landmakten blir veldig digitalisert. Behovet for båndbredde blir større, og den kapasiteten må vi skaffe. Da må vi også trene sammen. Blir vi en begrensende faktor – som i dag – er det uheldig.
Blir vi en begrensende faktor – som i dag – er det uheldig
– Du ledet arbeidet med fagmilitært råd. Er det riktig å si at FMR var mer teknologi-drevet enn det Langtidsplanen til slutt ble?
– Jeg støtter det forsvarssjefen sier i vedlegget til Langtidsplanen. Det er ikke blitt satset så mye på ubemannede kapasiteter og satellitter som han anbefalte. Det ville vært utfordringer med det også. Ubemannede fartøyer er ikke gratis. Men de gir noen fordeler på taktisk og operasjonelt nivå. En fiende som bruker slike kapasiteter, vil ha en fordel når ikke vi gjør det.
– Bare 37 prosent mener at Forsvaret har høy kvalitet, ifølge meningsmåling i regi av Folk og forsvar. Hvorfor er det så få som har tillit til Forsvaret?
– Det betyr ikke at de sier at Forsvaret er dårlig. Det de sier, er at Forsvaret ikke klarer å møte trusselen som er der ute. Det tror jeg er resultatet av en nødvendig og lang debatt omkring Forsvaret. Den har pågått siden Fagmilitært råd. Folk har skjønt at det forsvaret vi har, er for lite.
Folk har skjønt at det forsvaret vi har, er for lite
***