Foredrag: Cyberforsvaret – Operasjonalisering av beskyttelse mot en ny og fremvoksende trussel

Mandag 20. februar, gjestet ny Sjef for Cyberforsvaret, generalmajor Inge Kampenes, Oslo Militære Samfund hvor han foredro om status og utfordringer for Cyberforsvaret med foredragstittel «Operasjonalisering av beskyttelse mot en ny og fremvoksende trussel». Med sin ledergruppe til stede, fikk vi oppleve en engasjert, ydmyk og reflektert ny sjef for Cyberforsvaret.

Du kan lytte til podcast fra foredraget hans her, og du kan lese manus under i denne artikkelen. Se også hovedinnslag på 21 nyhetene her.

Vi takker generalen for et meget interessant og tankevekkende foredrag, og ønsker ham lykke til i jobben som Sjef Cyberforsvaret.

Tale for Oslo Militære Samfund

«Operasjonalisering av beskyttelse mot en ny og fremvoksende trussel»

Generalmajor Inge Kampenes, Sjef Cyberforsvaret

1

Sjef Cyberforsvaret, Inge Kampenes under sitt foredrag i Oslo Militære Samfund. Foto: OMS

Ærede forsamling,

Det er rimelig nøyaktig to år siden sjef Cyberforsvaret stod i denne salen for å ori- entere om våre utfordringer og hvordan vi understøtter Forsvarets virksomhet. Ver- den har utviklet seg i mellomtiden, og rammene for det norske Forsvaret har en- dret seg sammen med den.

Jeg har sittet i sjefsstolen på Jørstadmoen i nøyaktig fem dager – og jeg har en op- erativ bakgrunn som kampflyver – så jeg vedstår at jeg er, og kanskje alltid vil være, på gyngende grunn når det kommer til tekniske detaljer. Jeg har tatt over en spennende, inspirerende og svært viktig jobb. Jeg har fått ansvaret for å lede en organisasjon som etablerer, drifter og beskytter Forsvarets samband. Selve limet i Forsvaret. Cyberforsvaret støtter de som styrer de militære maktmidlene, de som skal sørge for effekt slik at de militære målene nås. Vi skal holde kommunikasjon- slinjene åpne i fred, krise og krig. Cyberforsvaret skal sørge for sikkert samband på moderne krigeres premisser. Jobben er spesielt viktig i disse tider fordi vi opplever en voldsom utvikling i samfunnet, der moderne krig og konflikt i stadig større grad inkluderer aktiviteter i cyberdomenet. Dette er den raskest voksende trusselen i vår tid!

I dag vil jeg beskrive hvordan rammene for Forsvaret har endret seg. Vi har gått fra en situasjon hvor vi levde med en etablert sannhet om at det ikke fantes noen trussel mot Norge, over til et verdensbilde som er mer dynamisk, komplekst og ut- fordrende, og med potensielle statlige og ikke-statlige motstandere som har en reell evne til å påvirke beslutningsprosesser og kritiske funksjoner i landet vårt. Cyberforsvaret opplever forsøk på inntrengning i Forsvarets datanettverk så godt som hver dag.

Men jeg vil også beskrive hvordan rammene har endret seg som følge av utviklingen i samfunnet innenfor vårt fagområde, og som følge av en utvikling blant våre al- lierte og blant våre samarbeidspartnere.

Generalmajor Inge Kampenes taler i Oslo militære samfund. Foto: Cyberforsvaret

2

Avslutningsvis vil jeg berøre personellmessige og teknologiske utfordringer som vi vil møte i årene som kommer, og hvordan jeg ser for meg å møte disse.

La meg først spole tilbake i historien til tiden før opprettelsen av Cyberforsvaret i 2012. I arbeidet med forsvarssjefens fagmilitære råd i 2011 hevdet generalmajor Roar Sundseth, da sjef for Forsvarets informasjonsinfrastruktur, at nettverksbasert forsvar, digitalisering av Forsvaret og tilføring av moderne materiell endret avhengighetene og sårbarhetene så radikalt at han så konturene av noe helt nytt.

Forsvarets avhengighet av moderne teknologi og sårbarhetene som fulgte med et stadig økende digitalt trusselbilde, la grunnlaget for å snakke om et nytt operativt domene. I tillegg til land-, luft- og sjødomenet hadde cyberdomenet – altså sum- men av Forsvarets digitale informasjon, sambandssystemer og materiell med digital avhengighet – nådd et punkt hvor man måtte forholde seg til dette som en entitet. Og ikke som et utvalg av relaterte og adskilte utfordringer.

Sundseth argumenterte for et behov for å utvikle nye kapasiteter – og ikke minst utvikle en organisasjon med ansvar for å beskytte Forsvaret og Forsvarets bruk av dette domenet – i møte med både nye militære trusler og nye muligheter.

I Sundseths tid som sjef for Cyberforsvaret konsentrerte organisasjonen seg om det som var nytt; cyberdomenet og datanettverksforsvar. Hovedprioriteringen var å bygge forståelse i egen organisasjon om at overgangen fra Forsvarets informasjon- sinfrastruktur til Cyberforsvaret faktisk innebar en reell endring, og ikke bare var en symbolhandling. Sundseth forsøkte også å starte en modningsprosess og bidra til en debatt i Forsvaret omkring det nye domenet. På alle måter gode initiativer som vi fortsetter arbeidet med.

Generalmajor Odd Egil Pedersen tok over Cyberforsvaret mot slutten av 2013 og kom ganske raskt til erkjennelsen om at grunnfjellet i IKT-virksomheten i Forsvaret ikke var godt nok. Vi hadde betydelige utfordringer med den grunnleggende sikker-

3

hetstilstanden innenfor IKT. Mye av materiellet var i ferd med å bli utdatert, og det oppsto nye sikkerhetsutfordringer raskere enn man evnet å løse problemene. IKT- virksomheten var underfinansiert, og nyinvesteringer ble ikke gjennomført i tilstrekkelig grad. Vi sto i fare for å miste sikkerhetsgodkjenning for flere sentrale systemer som følge av dette. Arbeidet med å rette opp situasjonen tok mye av Pedersens tid og konsentrasjon, og arbeidet har nå kommet langt og har god frem- drift, selv om det fortsatt gjenstår et ikke ubetydelig etterslep.

Generalmajor Pedersen mente at organiseringen av IKT-virksomheten, både i Forsvaret og i Cyberforsvaret, ikke var optimal. Han la grunnlaget for en endring av Cyberforsvaret for å styrke kjernevirksomheten, og for å tilpasse organisasjonen det nye trusselbildet og nye rammevilkår. Dette arbeidet førte hans arvtaker, brigader Kurt Pedersen, videre og planleggingen av omorganiseringen av Cyber- forsvaret er nå kommet langt. Kurt Pedersen vektla Cyberforsvarets evne til å un- derstøtte Forsvarets operasjoner nasjonalt og internasjonalt.

Historien viser at Cyberforsvarets sjefer har vektlagt to svært viktige men forskjel- lige deler av oppdragsporteføljen. De har brakt organisasjonen videre fra det ut- gangspunktet som lå til grunn for opprettelsen for fem år siden. Jeg ser det som min største oppgave å nå samle kraft rundt begge disse delene, og optimalisere Cy- berforsvarets virksomhet slik det nye trusselbildet og den teknologiske utviklingen krever – og på moderne krigeres premisser.

La meg utdype trusselbildet og konsekvensene av dette.

Det ville være å sparke inn åpne dører å argumentere for at cybertrusselen er øk- ende. Det er en erkjennelse som er etablert i samfunnet. Digitale trusler rammer og påvirker samfunnet i brede lag. Norge er et av de mest digitaliserte samfunn i verden, rangert fra helt i toppen ned til nummer fem avhengig av hvilken oversikt man velger å legge til grunn. Det fører med seg store muligheter vi bør utnytte, men også en sårbarhet som vi må ta inn over oss. Alle sektorer i Norge, det være

4

seg forsvar, justis, samferdsel og energisektoren, er alle understøttet, styrt og drevet med IKT. Vi har helt siden den spede begynnelse hatt fokus på å erstatte årsverk med kostnadseffektiv teknologi. Det har gitt mange viktige besparelser, og fornying gjennom IKT har lagt grunnlag for mye av verdiskapingen som vi ser i lan- det vårt – og ikke minst så står digitalisering fortsatt for en betydelig verdistigning.

I Forsvaret står vi i samme situasjon. Vi har søkt å opprettholde en høy operativ evne gjennom å erstatte mobiliseringsforsvarets volum med et moderne og digi- talisert forsvar med høyteknologisk materiell og et høyt operativt tempo.
Det har vi i betydelig grad lyktes med, men samtidig har vi også effektivisert bort mye av den operative utholdenheten som fulgte med fortidens volumtilnærming.

Jeg er ansvarlig for et fagområde som er i hurtigere utvikling enn noen annen del av militærmakten. Hvor levetiden for luftmateriell beregnes til å være 30 eller 40 år, så er levetid og teknologiskifter innenfor IKT estimert til å være fire til sju år. Og enda mindre for noe materiell. Utviklingen er i betydelig grad drevet frem av sivile kommersielle krefter, ikke av de militære. Det gjør at Forsvarets ansatte har forventninger til teknologien de skal benytte i jobbsituasjon og i operasjoner som er krevende for Forsvaret å imøtekomme. På den positive siden gjør dette at det er enklere å innføre og implementere ny teknologi, så mulighetene for den videre moderniseringen av Forsvaret er betydelige.

Den teknologiske utviklingen er supplert med et trusselbilde som er i hurtig utvikling, parallelt med teknologien. Trusselen er i betydelig grad drevet frem av nasjonalstater og deres hemmelige tjenester i svært lukkede miljøer. Det gjør det vanskelig å forutse og predikere hvilke trusler man til enhver tid må være for- beredt på – langt mindre hvilke trusler man kan møte i fremtiden.

Én viktig effekt av cyberangrep er usikkerheten som skapes hos beslutningstakerne. Tvilen om hva som faktisk skjer blir større, og påvirker beslutningsprosessene. Det innebærer at det vil bli stadig viktigere både å forsvare oss i cyberdomenet og å kunne foreta beslutninger under stor grad av usikkerhet. Operasjoner i cyber- domenet kan således sies å representere et paradigmeskifte fordi utviklingen går

Inge Kampenes, ny sjef for Cyberforsvaret, holdt foredrag i Oslo Militære Samfund mandag kveld. Foto: Vegard Wivestad Grøtt / NTB scanpix Foto: NTB scanpix (Se artikkel her).

5

fra en kamp om våpeneffekt til en kamp om tro og tvil om virkelighetsoppfattelsen. En slik utvikling antyder et behov for et tettere samarbeid mellom Cyberforsvaret og Etterretningstjenesten og mellom Cyberforsvaret og FOH og de taktiske sjefene.

Kort oppsummert har vi en betydelig trussel som samfunnet og Forsvaret står oven- for. En trussel som kan påvirke Forsvarets evne til å drive fredstidsdrift, men som klart også har forutsetning for å påvirke vår operative evne i krise og krig. Det er en trussel som er blant de mest dynamiske vi står ovenfor.

——-

Vi må evne å utvikle oss med denne tilstedeværende trusselen. Vi må videreutvikle vår evne til å høste operative gevinster av et høyteknologisk forsvar. Vi må utvikle konsept- og doktrinegrunnlag og vi må utvikle organisasjonen og kompetansen vår. Det vil måtte være en løpende utvikling, drevet både av endringer i trusselbildet og av teknologiske muligheter. Dette blir en betydelig oppgave, men heldigvis står vi ikke alene i prosessen.

I sommer skrev statsminister Erna Solberg under på den såkalte NATO Cyber De- fence Pledge. Dokumentet er en forpliktelse fra alliansens statsledere om å øke konsentrasjonen mot digitale trusler, og å ta cybertrusselen på alvor. Det er tre nøkkelpunkter i forpliktelsen som det er viktig å være kjent med.

Det første punktet er erkjennelsen av cyberdomenet som et domene som må forsvares på lik linje med land-, sjø- og luftdomenene. Det er i seg selv en bety- delig erkjennelse, og noe som vil føre med seg et betydelig stykke arbeid i årene som kommer. Mange i denne salen er godt kjent med dokumenthierarkiet i NATO, og forstår hvor mange styrende dokumenter som må produseres som følge av en slik erkjennelse.

I videreføringen av det, må styrende dokumenter for de andre domenene revideres og harmoniseres for å sikre at alle avhengigheter er ivaretatt. En betydelig opp- gave, men det gjør jobben enklere for Norge i det at vi ikke trenger å gjøre alt

6

dette alene. Jeg vil anbefale Forsvarssjefen at vi her, som på mange andre om- råder, bidrar aktivt og konstruktivt i arbeidet som går i alliansen og deretter im- plementerer Natos doktrine i Norge. Med minst mulig endringer. Det vil gjøre jobben vår enklere og samtidig styrke samvirket med våre allierte.

Det andre poenget som er verdt å trekke inn om Cyber Defence Pledge er hvorfor Nato velger å komme til denne erkjennelsen. Alliansen ønsker å utvikle seg i ret- ning av høyere interoperabilitet og samvirke mellom nasjonene. Det betyr at nasjonene må koble de operative IKT-systemene sine tettere sammen og utveksle informasjon og data sømløst. I Cyber Defence Pledge ligger det en erkjennelse om at disse sammenkoblingene gjør at alliansen som helhet aldri vil være sterkere enn sitt svakeste ledd. NATO har startet arbeidet med et nytt konsept, Federated Mis- sion Networking, som er en samling av standarder og tekniske løsninger som gjør denne interoperabiliteten mulig.

Skal Forsvaret kunne hente ut de fulle operative fordeler og skape reell kampkraft av nye kampfly, fregatter og en digitalisert hær, må vi skaffe Forsvaret kommu- nikasjonssystemer som gir optimalt samvirke med våre allierte. Og vi må også ha en motstandsdyktighet, en robusthet i systemene, som sammen med evnen til å drive defensive cyberoperasjoner gjør oss i stand til å forsvare oss mot avanserte cy- bertrusler.

Norge har begynt arbeidet med å tilpasse seg disse Nato-standardene. Vi er ikke i mål med det enda, men vi er aktive deltakere i arbeidet i Nato og jeg har som am- bisjon å ha en ferdig løsning i god tid før øvelse Trident Juncture i 2018. Forsvarss- jefen har gitt dette arbeidet høy prioritet, og en slik ambisjon burde være opp- nåelig når de forskjellige IKT-miljøene i Forsvarssektoren jobber godt sammen.

Det tredje og siste vesentlige momentet som har kommet fra Nato nylig er en en- dring i tankesettet rundt cyberforsvar. Vi har i militære kretser lenge sett på de- fensive cyberoperasjoner som en teknisk og IKT-orientert disiplin. Signalene som nå kommer fra Nato er at alliansen tenker cyber defence i rammen av mission assur- ance – altså evnen til å beskytte, skjerme og muliggjøre alliansens evne til å løse

7

sine oppdrag. Det er en interessant, og også en riktig, måte å tenke på. Det betyr at beskyttelse i det digitale domenet går fra å være en driftteknisk aktivitet til en integrert del av en operativ kontekst.

Nato erkjenner altså at sikkert militært samband er en forutsetning for kommando og kontroll, som igjen er en forutsetning for all oppdragsløsning – på alle nivåer. Det får betydning for hvordan vi må jobbe med disse utfordringene.

For det første så må vi slutte å tenke ensidig statisk og stasjonært rundt defensive cyberoperasjoner – det blir fort resultatet når man tenker i rammen av infrastruk- tur og nettverk. Defensive cyberoperasjoner vil i fremtiden være dynamisk opp- dragsløsning som fortløpende må tilpasse seg både motstanderens handlinger, mot- standerens mål og egne operatives planer og mål. Vi må ha evne til å fatte tiltak som forebygger og kompenserer for trussel og risiko, på samme måte som vi plan- legger for trussel og risiko mot luft-, land- og sjø-operasjoner.

Operasjoner i cyberdomenet består av både defensive-, etterretnings- og offensive kapasiteter. Disse kapasitetene må spille sammen for at man skal oppnå ønsket ef- fekt. Cyberforsvaret har i dag ansvaret for de defensive kapasitetene, men er avhengig av samarbeidet med Etterretningstjenesten for å forbedre evnen til å håndtere hendelser og gjøre en effektiv jobb. Og vice versa. Vi ser med andre ord konturene av et enda tettere samarbeid mellom våre to organisasjoner. Så lenge Cyberforsvaret er de som drifter og dermed forstår Forsvarets digitale nettverk må Cyberforsvaret ha en rolle i cyberoperasjoner. Hvordan vi skal organisere dette i Forsvaret i fremtiden vil Forsvarsdepartementet utrede inneværende år.

Den defensive kapasiteten, Cyberforsvarets ansvarsområde i dag, vil måtte utvikle evne til å drive operasjonsplanlegging. Mest viktig for oss vil i fremtiden være tyn- gdepunktsanalysene. Gjennom tyngdepunktsanalysen vil vi avklare hvor op- erasjonene og styrkene våre er sårbare, hva som er kritiske kapasiteter og hva som er motstanderens evne til å ramme sårbarhetene og kapasitetene våre.

Generalmajor Inge Kampenes taler i Oslo militære samfund. Foto: Cyberforsvaret

 

8

Med utgangspunkt i tyngdepunktet må vi fatte tiltak. Tiltak som kompenserer for motstanderens mulige handlinger – være det seg i form av økt redundans eller økt beskyttelse av kritisk cyberlende. Forsvaret må kanskje sende mobile kapasiteter ut til avdelinger for å redusere reaksjonstid og øke evne til systemgjenoppretting. Og det kan være relevant å gjøre tilpasninger av nettverk og tjenester for å frus- trere eller forvirre motstanderen.

Fordelen i cyberdomenet er at vi har en mulighet til å tilpasse terrenget vårt til operasjonsplanene, ikke motsatt. Det gir oss muligheter som vi ikke har i de andre domenene.

Vi må også evne å se på Forsvaret i et større perspektiv enn det vi gjør i dag. De fleste av dere er kjent med nyhetene som kom for en drøy uke siden om sår- barheter knyttet til Nødnettet som følge av bortsetting av driftstjenester til andre nasjoner. Denne saken har overføringsverdi til forsvarssektoren, Forsvaret og mil- itære operasjoner. Utfordringen med moderne samband, som følge av globalisering og den globale markedsøkonomien, er at man etter hvert blir involvert i, og avhengig av, veldig lange og komplekse verdikjeder.

For å dra et eksempel som jeg er godt kjent med: Kampflyvåpenet. Det er rimelig å anta at en i fremtiden vil se at evnen til å projisere luftmakt vil være sentral for de aller fleste av Forsvarets operasjoner. F-35 vil være en kritisk kapasitet både i land-, sjø- og luftdomenet i fremtiden. Men verdikjeden bak selve maskinen og pi- loten er lang, selv om det er disse man i første omgang tenker på.

Flyet er avhengig av bakkeinfrastruktur – flyplass, radarer, luftvernsystemer, dri- vstoff, baseforsvar – listen er lang. Alle disse har digitale avhengigheter og sår- barheter. Men bakkeinfrastrukturen har også avhengigheter, alt fra logistikksys- temene knyttet til Forsvarets integrerte forvaltningssystem til drivstoff- og ammu- nisjonsforsyning, vedlikehold og reparasjonstjenester. Disse verdikjedene inkluder- er et betydelig antall militære avdelinger, men også sivile underleverandører, og sågar også utenlandske firmaer.

9

Dersom en motstander skulle ønske å søke å påvirke evnen til å projisere luftmakt med F-35, er det med andre ord mange forskjellige innslagspunkter som kan gjøre ham i stand til det. Og en dyktig motstander vil se på hele verdikjeden for å finne områder som han kan påvirke, yte innflytelse på eller degradere for å svekke den reelle operative kapasiteten til F-35.

Dersom Forsvaret ikke har en god forståelse for trussel og sårbarheter i hele verdik- jeden, og dersom Forsvaret ikke har forutsetning for å styrke eller beskytte alle ledd i verdikjeden – også utenfor Forsvaret – så kan evnen til å operere bli påvirket uten at en eneste militær avdeling nødvendigvis er berørt.

Det er verdt å reflektere over – og det er verdt å merke seg at rammene for min organisasjon fortsatt i dag er å beskytte Forsvarets systemer og nettverk – intet utenfor.

Jeg skal ikke stå i dag og gi noen fasit på hvordan Cyberforsvaret skal se ut i fremtiden – det skal omstillingen som er iverksatt gi svaret på. Men jeg har skissert noen momenter som det vil være nødvendig for oss å ha med oss inn i omstill- ingsarbeidet.

Vi skal jobbe videre med utgangspunkt i Forsvarssjefens målbilde: Sikker og effek- tiv K2IS som understøtter Forsvarets operasjoner nasjonalt og internasjonalt. Forsvaret skal ha en kostnadseffektiv organisering av IKT-virksomheten, men først og fremst skal vi ha sikkert samband som grunnlag for evnen til å drive moderne militære operasjoner, og for å drive forsvarlig forvaltning av Forsvaret i fredstid.

Når jeg sier sikkert samband, så er det tre tanker som er verdt å legge til sikker- hetsbegrepet.

Det første er sikkerhet i evnen til å formidle informasjon. Forsvaret må vite at ledelses- og styringssystemene er tilgjengelige og fungerer når vi har behov for dem. Vi må ha stabile systemer som ikke faller ut av driftstekniske forhold, som følge av klima eller som følge av slitasje. Det er en trygghet som våre operative

10

miljøer må ha når de skal planlegge og løse oppdrag, spesielt i krig og krise, men også i fredstid.

For å realisere denne stabiliteten er vi i dag i betydelig grad avhengig av etaten Forsvarsmateriell som har forvaltningsansvaret for systemene våre, men også av investeringsprosjektene som blir bestemt av Forsvarsdepartementet. Dersom det ikke investeres i infrastrukturen vår, eller den forvaltes dårlig, er det lite sjef Cy- berforsvaret kan gjøre for å kompensere for det med sin driftsorganisasjon. Men jeg kan videreutvikle et godt og konstruktivt samarbeid med Forsvarsmateriell og Forsvarsstaben, slik at ansvar og roller forstås og følges, og jeg kan sørge for at vi fra Cyberforsvarets side gjør den jobben vi skal gjøre som behovs- og kravstiller.

Den andre dimensjonen er sikkerhet for informasjonen som formidles. Avdelingene våre må vite at når meldinger sendes så kommer de frem på samme måte som de ble sendt, uten at en motstander eller andre kan endre, påvirke eller korrumpere innholdet. Denne sikre kommunikasjonen ivaretas i betydelig grad gjennom kryp- tografi. Det er et spennende område, og et område hvor Forsvaret og Norge i mange år var verdensledende. Det er en svært viktig funksjon, og en funksjon som er for viktig til at vi utelukkende skal belage oss på sivile standarder eller andres produkter. Nasjonal sikkerhetsmyndighet og Forsvarets forskningsinstitutt gjør vik- tig arbeid for å støtte oss på dette området, og flere av universitetsmiljøene våre driver viktig forskning. Men det er nok et område som må satses ytterligere på i fremtiden.

Den tredje og siste dimensjonen er at vi må ha evne til å forsvare militære ledelses- og våpensystemer mot fiendtlige cybertrusler, påvirkningsoperasjoner og sabotasje. Trusselbildet utvikler seg i en retning hvor fysisk ødeleggelse gjennom digitale systemer er blitt en realitet.

Hensikten til Cyberforsvaret er å sikre at den nye teknologien bidrar effektivt til kampkraft og å bidra til å forsvare Forsvarets evne til å operere optimalt i møte med et nytt og dynamisk trusselbilde. Med andre ord å opprettholde handlefrihet i

11

cyberdomenet, som det heter i Forsvarets IKT-strategi. Det er et oppdrag som blir stadig viktigere i årene som kommer.

Norge har allerede mottatt de første F-35 som benyttes til pilottrening i USA. De første flyene kommer til Norge i høst. Stortinget har videre besluttet å kjøpe nye overvåkingsfly, og nye undervannsbåter. Videre anskaffer vi kampluftvern til Hæren, og vi har startet en landmaktsutredning som skal legge grunnlaget for den videre utviklingen av Hæren og Heimevernet. Det er naturlig å anta at landmakten i årene som kommer også skal motta nytt, mer moderne og digitalisert materiell. Forsvarsdepartementet har videre erkjent at det vil være nødvendig å investere tungt i samband for å høste det fulle potensialet av disse nye plattformene. Luft- forsvaret har vært tydelig på at F-35 ikke bare er en kapasitet for luftmakt, men at kampflyet også skal være en styrkemultiplikator i land- og sjødomenet. For at dette potensialet skal kunne realiseres vil det være nødvendig å knytte Forsvarets operative avdelinger, Forsvarsgrenene og støtteavdelingene ytterligere sammen i fremtiden.

Vårt oppdrag er å legge til rette for disse sammenkoblingene både med samband, med materiell, med teknologi og med robuste konsepter som understøtter de oper- ative miljøene. I denne konteksten ser jeg det som min oppgave å bidra til å fjerne bekymringene til Forsvarets operative sjefer. Min oppgave er å legge til rette for og muliggjøre evnen til å projisere militærmakt hurtigere, mer effektivt, sikrere og med større sjanse for å lykkes. Således er Cyberforsvaret en styrkemultiplikator.

Cyberforsvaret består i dag av ca. 1300 personer, hvorav ca. 200 er elever og sol- dater. Vi har et betydelig antall sivilt tilsatte – opp mot 70% i den største av de to underavdelingene. De er meget faglig dyktige, og besitter i mange tilfeller kom- petanse som vi ikke har evne til å erstatte, hverken blant militært personell eller i det norske samfunnet forøvrig. De er også dedikerte, motiverte og gjør en meget god og viktig jobb for Forsvaret hver dag. Til dels under svært krevende forhold.

12

Men personellsammensettingen gir oss noen utfordringer når vi skal løse oppdrag i krise og krig. Vi er avhengig av å kunne benytte alle ansatte i hele konfliktspek- teret. Men det er lover, regler og konvensjoner som er begrensende på bruken av sivile i væpnet konflikt. Situasjonen er et resultat av en bevisst prioritering basert på et foreldet trusselbilde som tilsa at det ikke eksisterte en militær trussel mot Norge. Det var en periode hvor mange militære ingeniører konverterte til sivile stillinger, fordi både Forsvaret og den enkelte fant det hensiktsmessig. Som nasjon tok vi da beslutninger som nå gir oss langsiktige utfordringer.

Men vi har også fått servert en løsning av Stortinget i form av ny ordning for mil- itært tilsatte. Innføringen av det nye spesialistkorpset er en gavepakke for Cyber- forsvaret. Gjennom konvertering av sivilt tilsatte til spesialister får vi en mulighet til å benytte flere ansatte i hele konfliktspekteret. Dette arbeidet er i gang, men det tar tid. Spesielt som følge av at Cyberforsvaret i stor grad står i en særstilling i Forsvaret. Hæren, Sjøforsvaret og Luftforsvaret har ikke samme andel sivilt tilsat- te, og temaet har derfor ikke vært tilstrekkelig diskutert. Forsvarets logistikkorgan- isasjon er kanskje det nærmeste vi kommer til å ha en sammenlignbar utfordring.

Med spesialistkorpset får vi også mulighet til å beholde folk lenger i stilling enn det vi har hatt tidligere. Et mål med ordningen er å kunne gi ansatte som ønsker det en horisontal karriere hvor de har vekst i lønn og ansvar i tråd med faglig kompetanse, og kan fokusere på å bli ekstremt dyktig på sitt fag. Det er en betydelig fordel for en så teknisk virksomhet, og en kompetanseorganisasjon, som Cyberforsvaret er. Vi bruker mye ressurser på kompetansebygging og sertifisering av personell som blir sittende for kort tid i stilling.

Dette er en faktor som også gjør at konvertering av offiserer til spesialister vil være viktig for oss, og her er vi også i god prosess med å implementere den nye tilsettingsordningen. Vi gjennomfører nå to omganger med konverteringer i året frem mot 2020 når ordningen skal ta effekt for fullt.

Kompetanseproduksjon er også en utfordring, siden utdanningen som sivile insti- tusjoner bringer frem i mange tilfeller kan være utdatert den dagen ungdommene

13

skal ut i tjeneste. Jeg er så heldig, og Forsvarssjefen er så heldig, at vi har en ut- danningsinstitusjon for cyberingeniører som er koblet tett på de operative miljøene i Forsvaret. Det gir oss en mulighet til å utdanne personell med tidsriktig kom- petanse for jobben de skal løse når de kommer ut i tjeneste. Det er viktig, for alvoret er så stort innenfor vårt ansvarsområde, at vi ikke har råd til å feile. Ut- danningsmiljøet i Cyberforsvaret har også et godt og nødvendig samarbeid med forsknings- og skolemiljøer som Forsvarets forskningsinstitutt og NTNU Gjøvik. Fra i sommer blir Forsvarets ingeniørhøgskole overført til Forsvarets høgskole, og jeg er sikker på at admiral Dedichen er bevisst hvor unik og verdifull den kompetansen som produseres på ingeniørhøgskolen er for Forsvaret og vår evne til å håndtere cybertrusselen. Jeg vil legge mye energi ned i å utvikle et godt og konstruktivt samarbeid med Sjef Forsvarets høgskole, slik at vi kan utdanne det riktige antallet ingeniører og teknikere med riktig kompetanse enda mer kostnadseffektivt.

Parallelt med at vi får på plass den nye utdanningsordningen og en mer hensik- tsmessig personellstruktur – og dermed får mer forutsigbarhet rundt forholdene som går på beredskap og reaksjonsevne – så følger vi med på den teknologiske utviklingen.

Som forsvarsministeren skisserte i sitt foredrag i denne salen tidligere i år, så er planen til regjeringen i første omgang å få eksisterende kapasiteter til å fungere mer optimalt, deretter å øke operativiteten og reaksjonsevnen og til slutt å utvikle Forsvaret videre. For Cyberforsvaret vil det være nødvendig å forsere det siste punktet. Vi må være klar i forkant med våre moderne tekniske løsninger og syste- mer for å sikre at kapasitetene som tilføres resten av Forsvaret kan understøttes fra dag én.

Utviklingen og styrkingen av materiellet og kapasitetene våre vil derfor, i henhold til forsvarsdepartementets investeringsplan, begynne allerede i 2018. Fra å ha hatt betydelige kutt i investeringene innenfor vårt ansvarsområde i 2014 og 2015, så går vi nå over i en ny situasjon. Investeringsporteføljen innenfor mitt ansvarsområde de kommende årene er ambisiøs, og vi har gått fra å bekymre oss for lave in- vesteringer til å måtte kraftsamle om gjennomføringsevnen. Vi skal lykkes, men vi

Generalmajor Inge Kampenes taler i Oslo militære samfund. Foto: Cyberforsvaret

 

14

er avhengig av omforente prioriteringer og støtte fra andre deler av Forsvarssek- toren for å lykkes med dette ambisjonsnivået.

Investeringene har til hensikt å utvikle nettopp de kapasitetene som knytter Forsvaret, forsvarsgrenene og de operative plattformene våre sammen.

Digitaliseringen av Forsvaret har tidligere vært kjent som nettverksbasert forsvar. Sjef Cyberforsvaret har hatt en pådriverrolle for dette, noe som ikke vil være min- dre relevant eller viktig i fremtiden. Snarere tvert imot. Samtidig har Forsvarets ledelse hatt utfordringer med begrepet nettverksbasert forsvar de siste årene. Det er flere utfordringer som følger med begrepet. Det ene er at det gir et bilde av at man når en tilstand, er blitt nettverksbasert, og så er oppdraget løst.

Det andre er at begrepet har blitt lest forskjellig og har forskjellig betydning i forskjellige deler av Forsvaret.

Jeg ønsker derfor at vi beveger oss bort fra begrepet Nettverksbasert forsvar, og heller snakker om den løpende moderniseringen og digitaliseringen av Forsvaret. Nettopp fordi dette er en pågående og potensielt uendelig moderniseringsprosess. Teknologien innenfor elektronisk kommunikasjon og IKT beveger seg i dag fremover i kvantesprang. Generasjonene av teknologi drives frem av ambisiøse markedsak- tører, og det vil sannsynligvis aldri være mulig for Forsvaret eller det militære å ta tilbake pådriverrollen på dette området. Det er en viktig erkjennelse.

Derfor vil Forsvarets virksomhet i fremtiden måtte innrettes for å ta i bruk eksis- terende sivil moderne teknologi, med så små tilpasninger som mulig, og nytte den til militære formål.

Det fordrer at vi legger til rette for denne bruken ved å implementere robuste sikkerhetsstandarder som ivaretar Forsvarets særbehov for sikkerhet og redundans. Vi må sikre oss at vi ikke blir fristet til selv å begi oss ut på en lang og krevende teknologiutvikling. Vi har sett at materiellutviklingsløp innenfor vårt ansvarsområde kan ta opp til åtte år – om ikke lenger. Det er en betydelig utfordring som må løses. I løpet av åtte år kan teknologien ha utviklet seg flere generasjoner. Mye av det vi investerer i er, eller er i ferd med å bli, utdatert før det har blitt tatt i bruk.

15

Ved å tilpasse oss til etablerte standarder i Nato, og ved å koble en størst mulig grad av sivil hyllevare og Nato-løsninger der det er mulig, så vil vi kunne redusere implementeringstiden kraftig. Derigjennom sikrer vi at Forsvarets operative avdelinger er best mulig understøttet og mest mulig teknologisk oppdatert til en- hver tid.

Dette er alle perspektiver som vil drøftes når Forsvarsdepartementet nå skal utrede IKT- og cyberområdene i Forsvarssektoren. Arbeidet med en helhetlig gjennomgang av disse områdene ble signalisert i Langtidsplanen og bekreftet i Stortingets innstilling for noen måneder siden. Jeg ser frem til resultatet av arbeidet, for som jeg har redegjort for så er det betydelige utfordringer knyttet til IKT-virksomheten i Forsvaret. Jeg har tro på at arbeidet under departementets ledelse vil legge grunnlaget for å løse de fleste av disse utfordringene.

Uavhengig av hvilke beslutninger som tas på bakgrunn av utredningen så mener jeg det er noen sannheter vi ikke kommer utenom når vi ser inn i fremtiden.

Den ene sannheten er at IKT og cyberdomenet vil være enda viktigere for Forsvaret. Både når det kommer til videre effektivisering, men også for å sikre en optimal operativ evne og for å understøtte Forsvarets operasjoner.

En annen kjensgjerning er at cyberoperasjoner blir viktigere for Forsvaret i fremti- den, både som følge av utviklingen av trusselen og som følge av vår økende avhengighet av avanserte, nettverksbaserte våpensystemer og kommando- og kon- trollsystemer. Dette fordrer at Cyberforsvaret utvikler seg i en retning som gjør oss bedre i stand til å støtte og samarbeide med Forsvarets øvrige avdelinger.

En tredje erkjennelse er at de digitale utfordringene ikke er problemer som Forsvaret møter i isolasjon. Avhengigheten vår til totalforsvaret og øvrige sektorer i samfunnet fører med seg at interesseområdet til Forsvarssjefen innenfor cyber- sikkerhet blir større enn bare Forsvaret. Det er også slik at store deler av samfun-

16

net står ovenfor de samme utfordringene som vi gjør – fordi moderne samfunn er langt mer sammensatt og komplekse enn tidligere. Det er også forhold som vi, i vår rolle, må ta inn over oss og forholde oss til. Det kan også få betydning for hvilke oppgaver Cyberforsvaret skal ha i fremtiden – men det skal Forsvarsdepartementet og vår politiske ledelse få lov til å konkretisere.

En fjerde sannhet er at cyber er et område som vil fortsette å ha omskiftelige og dynamiske grensesnitt både internt i Forsvaret, i forsvarssektoren og mot det sivile samfunnet. Ergo kreves det et omfattende samarbeid med mange aktører. Det kreves innsats for å utvikle begrepsapparater og rolleforståelse, samt tydelige ans- vars- og myndighetsforhold. I denne sammenhengen er det hensiktsmessig på det nåværende tidspunkt å være pragmatisk både med tanke på ansvarsfordeling og organisering av virksomheten. Utviklingen vil kreve et omfattende samarbeid på tvers av samfunnssektorer og med det private næringslivet for å fremskaffe og un- derstøtte nødvendige kapasiteter – både materiell, leveranser og tjenester – til det beste for samfunnet, forsvarssektoren og Forsvaret.

Samtlige nasjoner i NATO jobber med å finne hensiktsmessige måter å planlegge, organisere og utføre oppgaver som hører til IKT- og cybervirksomheten. Det er der- for fornuftig å holde et øye med hva våre allierte gjør i denne konteksten.

Britene offentliggjorde i 2016 en ny nasjonal cyberstrategi. De fokuserer sin videre utvikling innen cybersikkerhet langs tre akser.

Den første aksen er kompetanse og kunnskap. Den andre samarbeid og infor- masjonsdeling. Den tredje aksen er innovasjon og modernisering.

Slik jeg ser det er dette en god strategi også for det norske Forsvaret, og de tre ak- sene var for øvrig noe generalmajor Sundseth fokuserte på i sitt foredrag her i Oslo militære samfunn for drøyt fire år siden.

17

I tillegg til å sørge for sikkert samband på moderne krigeres premisser, vil jeg videreføre arbeidet langs disse aksene, og utvikle Cyberforsvaret slik at vi forblir en tidsriktig og relevant aktør i Forsvaret. Både for understøttelse av Forsvarets operasjoner og Forsvarets virksomhet forøvrig.

Den digitale trusselen mot samfunnet og mot Forsvaret er økende. Oppmerk- somheten på dette området er økende i samfunnet, men vi er fortsatt ikke tilstrekkelig rustet til å håndtere disse truslene. Det gjelder både for samfunnet og for Forsvaret. Vi lever i spennende tider, mine damer og herrer – og det er en spen- nende tid å være sjef for Cyberforsvaret.

Takk for oppmerksomheten. Jeg vil nå svare på spørsmål fra salen.

18

Se også artikkel på NRK.no relatert til foredraget her:

Forsvaret undersøker leverandører

Skriv ut